아마존의 한국 진출 계획 소식에 맞물려서인지, 카드사들이 일으킨 대규모 개인정보 유출 덕분인지, 최근 들어 부쩍 해외(라고는 해도, 미국)의 온라인결제의 우월함과 우리나라 결제의 난해함을 비교하는 말들이 유독 눈에 띈다.
보안 해법: 해외 ‘깔지 마라’ vs. 한국 ‘깔아라’
그런 경향 속에서, 한 분이 이런 질문을 남긴 바 있다.
Q. 해외에서는 pc보안을 위해 ‘뭔가를 깔지 마라’고 하고 한국에서는 pc보안을 위해 (특히 은행과 관공서에서) ‘뭔가를 깔아라’라고 합니다. 왜 이런 차이가 생길까요?
흥미로운 질문인데, 그런 차이의 이유를 살피고 나름의 발전적 함의를 뽑아내고자 한다면 두 모델의 큰 틀거리가 무엇인지 살펴보는 것이 필요하다. 그래서 개인적으로 생각하는 가설을 바탕으로 이렇게 답변을 달았다.
A. 보안 책임의 제도적 적용 방식 차이인데, 저는 인감 문화와 서명 문화의 차이로 설명하곤 합니다. 인증물의 소유를 확인하는 게 초점인가, 거래의 과정을 확인하는 게 초점인가.
왜 이런 비유를 하는가. 새로운 기술로 기존 기능을 채워나가는 것에는 레토릭이 필요하다. UI 디자인에서는 스큐모피즘이 그런 대표적인 사례로, ‘책상’의 비유를 이어간 화면 속 ‘데스크탑’ 등이 쉽게 떠오르는 것들이다. 하지만 레토릭이란 기능의 적용 자체에도 적용되고, 특히 특정 문화권에서 어떤 기능이 초기부터 원활하게 받아들여지기 위한 중요한 연결고리다. 그것이 바로 온라인 거래의 모습들을 이해하는 중요한 열쇠가 아닐까 한다.
단적으로, 모든 거래증명에서 중요한 것은 결국 하나다. 기록된 거래 조건을 당사자 본인이 체결했음을 확실히 하는 것 말이다. 기록에 본인 증거를 남기는 방식으로, 크게 두 가지 기법이 갈라지는 것이 바로 인감과 서명이다.
인감과 서명, 두 문화
우선, ‘인감 문화’가 있다. 이것은 옥새든 막도장이든 인감이라는 증명물의 진품 검증이 가장 중요한 신뢰이며, 인감증명서라는 양식을 수반한다. 그리고 다들 알고 있듯, 한국에서 대단히 주류적인 증명방식이다. 한국에서 일찌감치 시작한 폭넓은 온라인 금융 역시 그 연장선을 택했다. 그것이 바로 공인인증서라는 개념으로, 대놓고 인감의 레토릭을 온라인에 이식한 것이다(아무래도 초기에는 그런 식의 연속적 계승이 지금보다도 훨씬 그럴싸해 보였을 것이다).
오로지 본인만 소유하는 고유의 금융거래 도장을 본인의 컴퓨터에 간직한다. 그리고 자신이 그것을 소유하고 있음을 잘 인식, 한마디로 ‘잘 지켜야’ 할 의무가 부여된다. 누가 도장을 훔쳐서 그걸로 도둑질하면, 지키지 못한 당사자 책임이 크다. 그러니 인감을 지키기 위한 보호절차 역시 내 담장 안에 설치하는 것이다. 키보드 해킹방지든 뭐든, 다 내 컴에 넣는 게 인감 레토릭의 자연스러운 논리다.
반면, ‘서명 문화’는 살짝 다르다. 서구권에서라면, 밀랍 인장을 찍던 시대가 지난 뒤로는 이쪽이 대체로 주류적이다. 서명 문화는 필체 대조라는 꽤 난이도 있는 작업을 매번 거친다기보다는(물론 증언이 명백하게 엇갈리며 위조거래가 심각하게 의심되면 결국 하지만), 서명에 이른 과정에 대한 목격과 기록으로 특화되어왔다. 조약 인준식 – 한마디로 서명하는 모습을 목격하게 하는 것 – 이라는 제의식(ritual)이 중시되는 모습을 상기해보라. 본인이 어떤 증명물을 소유하고 있는 것이 아니라 과정을 목격한 시스템이 증명물이며, 기록된 과정의 패턴에서 위화감이 탐지되면 그때 움직인다.
서명문화의 개념들을 온라인 거래에 이식하면 어떨까. 개인이 자기 컴퓨터에 어떤 증명서를 간직할 이유가 없으며(보안쉘을 위한 퍼블릭키 발급 같은 기술적 층위는 논외로 함), 거래가 위조 같은 오류 없이 깨끗하게 이뤄지도록 하는 책임은 거래를 성사시키고자 하는 쪽의 몫이다. 즉 아마존 같은 쇼핑몰, 페이팔 같은 결제대행서비스가 자기들 쪽에서 거래 기록을 안전하고 깔끔하게 정비하여 보안성을 최대화하는 서버-사이드 보안이 자연스러운 논리인 것이다. 이들은 자기 측 서버가 해킹당하는 것 방지를 위해 큰 투자를 하며, 동시에 사용자는 최대한 간단한 암호인증만으로 거래에 뛰어들어올 수 있도록 사업성을 극대화한다.
두 모델의 장점과 단점
인감 문화에서 발달한 한국식 온라인금융의 장단점은 뭐 다시 열거하기도 피곤하다. 장점은 도장이 내게 있으니 그 도장을 휘두르는 내 책임하에 뭐든지 다 할 수 있다는 것. 그리고 온라인은 워낙 익명성이 쉽다 보니, 소유와 암호라는 두 가지가 합쳐져 작동하는 공인인증서라는 도장이 보장하는 본인 증명 효과가 꽤 강력하다.
단점은, 도장을 보호하겠다고 내 컴퓨터에 온갖 이상한 것 깔려다가 보안수준도 낮추고, 보안 프로그램들이 서로 충돌하고 뭐 엉망이 된다는 것. 그리고 도장의 확인 과정을 점점 더 안전하게 하는 발전이란 곧 매번 거치는 거래 절차 자체가 점점 더 복잡해지는 것이라는 점. 덜 귀찮고 싶어하는 미디어 사용자 흐름과 정면으로 배치한다.
물론 서명 문화에서 발달한 미국식 온라인금융은 또 그 나름의 장단점이 있다. 단점은 개개인간 타행 계좌이체 같이 제도적으로 안전장치가 미리 마련된 것이 아닌 거래방식은 아예 시작도 못 하고, 해서도 안 된다는 것. 그리고 서버는 해킹하기 어려우니 그 대신 당신 컴을 해킹하거나 소셜 계정들을 돌려 돌려 뒤지며 암호를 알아내든, 당신이 식당에서 신용카드를 내밀 때 일련번호를 베껴놓든, 어떻게든 정상적인 거래를 하는 것처럼 보이도록 과정을 위조할 수 있다. 그러면 사후 조치가 될 때까지는 우선 엿 먹고 있어야 한다는 것. 하지만 장점은 사용자가 더 편한 쪽으로 기술과 제도를 발전시킨다는 것이다.
원래는 두 문화에서 발달한 장점들을 융화시키는 것의 중요성, 특히 한국 현실에서 인감이라는 사용 문화를 무시하지 못함에 대한 직시 등을 말하려고 꺼낸 이야기였는데……마지막으로 언급한 서명 레토릭 쪽의 장점이 너무 종결자급으로 강력하다.
역시 뜯어고치자.
PS. 어디까지나 이런 방식이 이해를 얻고 정착한 패턴 차이를 이해하기 위한 비유로, 문화결정론을 주장하는 것이 아니다(인감 문화가 있으나 특정 시점의 기술과 제도 같은 여러 다른 요소들로 인해 다른 길을 간 일본, 중국 등을 떠올려보자). 또한 반드시 모든 것이 의식적인 전략인 것도 아니다. 물론 한국의 경우는 ‘공인인증서=인감’이라는 비유를 초기부터 보급을 위해 열심히 사용한 것은 맞지만.
서명과 인감의 차이가 금융에 어떻게 적용되었는지에 대한 접근도 같이 다뤄지면 좋겠습니다. 수표 기반 거래와 화폐 기반 거래의 차이에서 온라인 금융 체계의 차이점도 같이 볼 수 있습니다.
아울러 애시당초 서명 기반으로 만들어진 체계에 인감을 에뮬레이션 하는 과정에서 여러 ‘억지’가 나타났지만 이 역시 유저 프랜들리라는 큰 흐름을 따라 바뀌고 있는 건 사실입니다. HTML5에서의 표준화나 클라우드를 활용한 해법 등 각종 다양한 시도가 진행되고 있습니다.
파일의 특성상 보관이 힘들기 때문에 어쩔 수 없이 서명 방식으로 바뀌어야 하죠..
한마디로 한국은 겉만 그럴듯 해보이는 추잡한 시스템을 택한것.. 이라고 쓰고보니 이 말은 사회 어느 부분에도 적용되네요