기사 공유하기

액티브엑스 폐지 서명운동 사이트를 오픈한 지 딱 일주일 째 되는 날이었다. 캠페인 메일 계정으로 이메일이 한 통 도착했다.

안녕하세요.
OO 보안업체 OO부서 OOO 입니다.

액티브엑스 폐지 서명운동 페이지를 확인하고,
저희 회사 차원에서도 함께 할 수 있는 방법이 있을까 문의드리려 이렇게 메일을 보냅니다.

http://xxxx.xxx.xxx.xxx
자사 홈페이지입니다.

같이 진행하기를 희망하며, 연락 기다리겠습니다
감사합니다.

많은 네티즌이 공공의 적 중 하나로 여기는 A업체가 액티브엑스 폐지 서명운동에 참여하고 싶다고? 눈을 믿을 수 없었다. 동료와 내용을 공유했다. 모두 흥미로워했다. 이메일을 보낸 담당자 B에게 연락해 약속을 잡고, 다음날 모임을 가졌다. ‘액티브엑스 폐지 서명운동’ 팀은 기대했다. 정말 시대가 바뀌고 있는 걸까, 뭔가 획기적인 전환점을 마련할 수 있지 않을까. 이 만남을 통해 작으나마 변화의 물꼬를 틀 수 있지 않을까.

정부가 의무적으로 액티브엑스 사용을 강제하지 않았다면 문제가 이렇게 커지지 않았을지도 모른다고 담당자 B는 말했다. 그러면서 액티브엑스에 의존하지 않은 셋업 방식의 제품 공급 계약을 꽤 큰 기업과 진행 중이라고 전했다. 하지만 기대도 잠시, 액티브엑스를 사용하지 않는 그 신제품 역시 제2의 액티브엑스에 머물고 말 것이라는 우려를 자아내기 충분했다. 왜냐하면, 여전히 다양한 운영체제(OS)와 다양한 플랫폼을 지원하는 솔루션과는 거리가 멀었고, 고질병인 무조건 설치를 강요하는 방식도 크게 달라진 것이 없어 보였기 때문이다.

생각해보자. 보안업체는 일반 인터넷 사용자가 직접 사용하는 제품을 만든다. 일반 사용자에 대한 세심한 고려와 인터넷 환경에 대한 적극적인 고민을 개미 소비자인 우리는 기대한다. 하지만 A업체에게 훨씬 더 중요한 건 규제 당국과 대기업 고객인 것처럼 보였다. 당국의 규제 때문에 어쩔 수 없었던 사정과 ‘갑’ 대기업에 대비해 ‘을’인 회사 처지를 말하는 담당자 B의 설명은,  그것이 아무리 ‘현실’이더라도, 대기업에 납품하는 하청업체로 스스로 여기는 듯 느껴져 아쉬웠다.

결국 이날, 우리는 액티브엑스와 묻지 마 설치, 특정 기술 강요라는 대한민국 인터넷 보안의 엉킨 타래를 풀 실마리를 찾지 못했다. 그렇게 기술 갈라파고스로 변해가는 대한민국 인터넷을 해결할 뾰족한 해법을 찾지 못한 채, 냉정한 현실을 거듭 확인했다. 이 글은 바로 지금/여기의 그 현실에 관한 기록이다.

미팅 참여자들의 동의를 얻어 그 대화 내용을 여기에 공개한다. (단, 담당자가 실명공개 요청에 난색을 표명, 업체와 담당자는 비실명인 A, B로 처리했다)

액티브엑스 사용은 어쩔 수 없는 현실… “사실 우리도 피해자”

(간단한 상호 인사)

B담당자 담당자 B:
일단 우리가 생각하고 있는 것을 간단히 말씀드리겠다. 지난 사정들은 우리도 어쩔 수 없는 면이 있다. 특히 전자서명법 등 액티브엑스를 사용할 수밖에 없는 상황들이 있었다. 게다가 금융권들은 스스로 책임을 밝혀야 하는 입장이기 때문에 이런 상황이 유지가 되어온 것이 사실이다.

액티브엑스를 바로 없애고 나면 기존의 국민들 중 프로그램 셋업을 못하는 분들이 해킹을 당했을 때 누가 책임을 지냐는 문제가 있을 수 있다. 액티브엑스는 분명히 없어져야 하는 게 맞는데, 그런 부분들을 생각하면서 없애주는 게 맞지 않나.

또한, 우리도 어떻게 보면 피해자라고 할 수 있다. 솔직히 욕도 엄청나게 먹지 않았나. 하지만 그걸로 돈버는 입장에서 보면 좀 애매한 부분이 있다. 만약 이런 방식이 대국민 서비스로 강제되지 않고 그냥 선택적으로 쓰는 거였으면 문제가 그렇게 크게 발생할 일은 없었을 것으로 생각한다. 우리에게도 트래픽 때문에 비용이 많이 발생할 일도 없었을 거다.

어쨌든 이런 점들 때문에 기업 이미지가 매우 좋지 않게 형성되고 있는데, 액티브엑스에 대해서 우리도 ‘피해자’라는 말씀을 드리고 싶고, 엑티브엑스 폐지 서명운동 (이하 캠페인)에 대해서는 찬성하고 있다고 밝히고 싶은데, 우리도 기업이다 보니 하루아침에 ‘동참을 하겠다’ 이렇게는 할 수는 없다.

강정수 강정수:
우선 우리를 소개하겠다. (참석자 소개) 우리는 이제 막 캠페인을 시작했다. 사실 A업체에서 먼저 연락이 온 건 우리로서도 너무 당황스러웠다. (웃음) 그래서 다들 바쁘지만 A업체가 어떤 생각을 갖고 있는지 너무 궁금해서 왔다. 역사적인 사건이라 생각한다. (웃음)

A업체 입장에서는 본인들이 이런 상황을 주도하지는 않았지만, 이런 상황에서 경제적인 이익을 얻은 건 사실이기 때문에 피할 수 없는 문제라고 생각한다. 현재의 보안시스템이 폐기되고 새로운 시스템이 도입된다고 할 때 현재의 이런 부정적인 기업 이미지를 갖고 과연 A업체가 살아남을 수 있을지도 생각해봐야 하지 않을까.

한방에 훅 간다: 비전과 계획이 필요하다

김기창 김기창:
A업체가 앞으로 몇 년 정도의 사업 전망과 기획을 하고 대비를 하고 있는지가 핵심일 수 있다. 지금까지 상황으로 보면 이미지는 계속 나빠지지만, 돈은 들어오니까 계속 그렇게 하고 있는 거 아닌가. 제도와 규제가 변하면 어떻게 대비할 건지, 다른 기업과의 경쟁에서 A업체는 어떤 강점들을 갖고 있는지 이런 것들도 비중을 갖고 준비하는 게 핵심이라고 생각한다. 우리 캠페인과 A업체 간에 상호 이익이 되는 접점을 찾으면 좋고, 안되면 어쩔 수 없다.

사실 제도는 어떻게 보면 빠르게 확 바뀔 수도 있다. 만약 A업체가 나서준다면 이 쪽 업계를 아는 분들이나 인터넷 여론에 영향력이 있는 사람들 사이에서는 엄청난 사건이 될 수도 있다.

강정수 강정수:
여러 가지 이슈들이 있지만, ‘액티브엑스 그 이후’ 문제는 큰 이슈가 아니라고 생각한다. 왜냐하면, 액티브엑스 없다고 미국이나 유럽 국가들이 한국보다 훨씬 더 많은 보안사건이 생기고, 해킹사고가 더 자주 났나. 그렇지 않았다. 나는 독일에서 11년을 살았는데, 액티브엑스 없이도, 심지어는 별도의 프로그램 셋업 없이도 아무런 문제 없이 컴퓨터를 쓰면서 살았다. 대안 문제에 대해선 우리가 크게 걱정할 필요가 없다. 중요한 건 국가가 주도하는 것이 아니라, 다양한 시도들이 존중되는 속에서 좋은 아이디어들이 나오고, 시장에서 그런 아이디어들이 수용될 수 있어야 한다는 점이다.

A업체의 미래 전망과 무관하게 그리 오래가지 않을 액티브엑스를 생각해야 한다. 이 문제는 곧 사회 이슈화해서 풀릴 문제다. 오래가지 못할 것으로 생각한다. A업체도 끌려가는 입장이 아니라 스스로 이 문제에 대해 비판적인 성찰을 하는 입장이 좋지 않겠나. 그런 의미에서 당장은 아니더라도, 단계적으로 액티브액스 중심의 보안 소프트웨어 C가 아니라 이를 탈피하는 D를 준비하겠다고 선언하면 아주 큰 의미가 있을 것이다. 언론들도 주목할 것이다.

A업체 입장에서 지금 당장 할 수 있는 단계적인 액션이 궁금하다. 말씀이 이렇다고 우리가 캠페인에 함께 한다… 이러면 생뚱맞지 않나.

B담당자 담당자 B:
맞다. 생뚱맞을 것 같다.

강정수 강정수:
물론 이렇게 고민하고 있다는 것만으로도 의미 있다. 하지만 한 걸음 더 내디딜 수 있으면 좋겠고 그런 움직임이 대중에게 전달되길 바라는 마음이다.

김기창 김기창:
캠페인과 보안업체가 겉으로 무언가 연계해서 행동하는 게 중요한 건 아니다. A업체가 발표할 게 있으면 스스로 입장 발표를 하고, 오픈넷에서 기자간담회를 열 수 있다. 다른 업체보다 앞서 가려면 단지 액티브엑스로 한정하지 않고, 한국의 보안을 위해서 바람직한 미래상은 무엇인지 고민하고, 규제에 대한 방향, 과연 국가가 이래라저래라 하는 게 도움이 되었는지 고민하는 게 좋을 것 같다.

액티브엑스에서 탈피한 셋업 방식? 제2의 액티브엑스에 불과하다!

B담당자 담당자 B:
지금 새로운 보안 제품을 모 금융권 고객사의 사이트에 연동하려고 진행 중이다. 이 새로운 제품은 액티브엑스 기반이 아니라, ‘셋업 기반’이라는 점이다. 사회적인 분위기가 지금 액티브엑스를 없애자는 것이기 때문에 고객사도 우리도 모두 긍정적으로 보고 있다.

여러분은 캠페인을 진행하시고, 우리도 개선을 모색하는, 그렇게 서로의 길을 가면서 소통이 되는 그런 정도의 느낌을 줄 수 있다면 좋지 않을까 생각한다. 그런 바람이 없었다면 굳이 먼저 전화를 드려서 ‘우리도 찬성하고 있다’고 연락을 드릴 이유가 없지 않나. 우리가 먼저 전화를 드릴 수 있었던 이유는 우리도 그런 방향으로 준비하고 있기 때문이다.

하지만 현실적으로는 우리도 기업이기 때문에 매출 감소를 감내하면서까지 나설 수가 없다. 다만 큰 업체들 위주로 조금씩 진행되다 보면 대중에게는 큰 이미지로 다가갈 수 있겠다는 생각이다.

[box type=”info” head=”담당자 B가 말하는 셋업 방식이란?”]

현재 은행이나 관공서 웹 사이트에 접속했을 때 보인 및 공인인증서 관련 기능이 필요한 경우 상단이나 하단에 보안 경고 띠가 표시되면서 액티브엑스 설치가 필요함을 알려준다. 사용자는 그걸 눌러 설치에 동의하는 방식으로 각종 보안 프로그램들이 설치된다.

액티브엑스 설치 예
액티브엑스 설치 예

반면 여기서 말하는 셋업 방식은 ‘액티브엑스를 통해 설치’하는 것이 아니라 사용자가 일반 프로그램들(애플리케이션)처럼 마이크로소프트 윈도우용 프로그램을 다운로드 받는다. 그리고 다운로드 받은 폴더로 가서 인스톨(셋업) 과정을 거쳐서 각종 보안 프로그램을 설치하는 방식을 말한다.

[/box]

써머즈 써머즈:
궁금한 게 있다. 잘 아시겠지만, 인터넷 사용자들은 국내 보안업체를 별로 좋아하지 않는다. 그 이유는 단순히 액티브엑스 때문이 아니다. ‘액티브엑스’의 함의를 고려해야 한다.

지금처럼 액티브엑스 기술을 이용하지 않은 제품을 만든다고 할 때

  • 과연 그 제품이 다양한 플랫폼을 지원하는가
  • 지금처럼 은행이나 관공서에 들어가면 하고 있는 식의 무조건 묻지 마 설치/다운로드를 강제하는가

크게 보면 최소한 이 두 가지 여부가 중요하다고 본다. 그렇지 않다면 말만 액티브엑스가 아니지 기존의 상황과 달라진 게 없지 않은가. 묻지도 따지지도 않고 설치를 강요하고 이유도 정확하게 설명해 주지도 않으면서 사용자들에게 ‘무조건 깔아라’, ‘깔지 않으면 내용을 볼 수 없다’는 식으로 나오면 지금과 다를 게 없다고 본다.

B담당자 담당자 B:
솔직히 그 말에 답변을 하자면, 처음 단계니까 액티브엑스를 쓰지 않았지만, 그 밖의 상황들은 크게 달라지지 않았다.

써머즈 써머즈:
(가지고 온 맥북을 보여주며) 지금 맥을 사용하고 있는데, 그 새로운 제품을 맥에서는 쓸 수 있는 건가?

B담당자 담당자 B:
아직 맥은 지원하지 않는다.

갑을블루스: 고객사 갑, 우리는 을

써머즈 써머즈:
당장에야 어쩔 수 없다면 ‘언제까지 어떤 플랫폼을 어떻게 지원하겠다’, ‘사용자들에게 이러저러한 내용에 대해 설명을 하겠다’ 이런 장기적인 로드맵이라도 발표하는 게 좋지 않겠나? 처음에 스스로 억울하다고 하시니 억울함을 솔직하게 말씀하시는 것도 좋겠다.

B담당자 담당자 B:
은행 등 고객사들은 우리가 지원하겠다고 해도 다른 기업들과의 관계가 있기 때문에….

써머즈 써머즈:
A업체가 단순 하청업체는 아니지 않나?

B담당자 담당자 B:
그래도 우리는 을이기 때문에…

써머즈 써머즈:
A업체도 컨설팅할 수 있는 역량이 있고, 그런 위치에 있는 거 아닌가? 인터넷 사용자들이 보안업체를 생각할 때 단순히 고객사가 이런저런 요구를 하면 그게 좋든 안 좋든 무조건 그대로 만들어주는 회사라고 생각하지 않는다. 예를 들어 고객사가 좀 이상한 요구를 하면 ‘이런 방법이 더 좋다’, ‘이건 이렇게 하는 것이 더 낫다’ 이런 식의 컨설팅을 함께 해야 하는 것 아닌가. 일반적인 시스템 개선업무(SI)라면 몰라도 보안을 책임지는 회사 아닌가.

B담당자 담당자 B:
현실을 말씀드리겠다. ‘갑’인 고객사 담당자들은 그런 식으로 솔루션을 상의하거나 만들어가는 게 아니라 이미 기존에 출시된 제품 중에서 찍는다. 백신은 이거, 방화벽은 이거. 이것, 이것, 이것으로 갖고 들어와. 그럼 그걸 보여주고, 그중에서 하나가 선택된다. 전체 그림을 ‘갑’사에서 그려준다.

그러면서 컨설팅은 또 다른 곳에서 받는다. 갑을 관계가 얼마나 심하냐면, 어떤 보안 사건 때문에 방송국과 인터뷰를 하는 과정에서 방송국 피디의 실수로 업체명이 노출됐는데, 우리 ‘대표’가 가서 그쪽 ‘담당자’에게 직접 사과를 했다.

우리 쪽 의견을 피력할 수 있는 상황이 아니다. 우리는 겨우 눈치 보면서 하는 상황이다. 지금 새로운 방식도 그 고객사가 조금 전향적이라서 그렇고, 지금이라도 고객사가 액티브엑스를 고집하면 우리도 어쩔 수 없다.

김기창 김기창:
만약 새로운 변화에 대해 대중적으로 발표한다면 혹시 다른 보안업체들과 공동으로 보조를 취할 생각은 있는가. 그런 기업들이 있다고 보나.

B담당자 담당자 B:
당연히 그런 기업들이 있다고 본다.

강정수 강정수:
갑을 관계 이슈가 더 크다면 대중적으로 선언하는 건 참 어렵다고 본다. 업계 1위인 업체와 함께 한다고 해도 어렵지 않을까 싶다.

반면 정책적인 변화로는 한번에 많은 것이 바뀐다. 최재천 의원이 액티브엑스 폐지법안을 내서 통과될 수도 있다. 이때 액티브엑스를 어떻게 규정하느냐에 따라서 ‘셋업’ 방식도 여기에 포함될 수 있다. 그런 면에서 볼 때 일괄 처리가 가능한 방향으로 우리는 고민할 수밖에 없다.

김기창 김기창:
그 새로운 제품도 웹 사이트에서 안내가 이루어지고, 인터넷 사용자가 설치하는 식으로 진행이 될 텐데, 그걸 설치하지 않는다면 이를 확인할 에이전트는 깔리는 건가.

B담당자 담당자 B:
어쩔 수 없이 고객사에서 보안프로그램이 깔렸는지 깔리지 않았는지 체크하는 에이전트는 깔린다.

강정수 강정수:
그렇다면 이름만 셋업이고 여전히 ‘액티브엑스’와 다름없다고 본다.

김기창 김기창:
여러 가지 다양한 솔루션이 개발될 수 있어야 하는데 안타깝다.

써머즈 써머즈:
셋업 방식에서 아까 그 에이전트를 설치하지 않으면 어떻게 되나?

B담당자 담당자 B:
사용자는 해당 웹 사이트에 접근할 수 없게 된다.

미움받는 기업은 오래 못 간다

강정수 강정수:
한국의 보안 환경보다도 회사의 존폐가 걸려 있는 문제라고 여기기 때문에 획기적인 변화를 기대하기는 어려울 것 같다. 일단 이 정도에서 마무리하는 게 좋겠다. 이야기해주셔서 고맙다.

B담당자 담당자 B:
이야기를 나눠 주셔서 고맙다.

김기창 김기창:
소비자의 증오를 받는 기업은 오래가기 힘들다는 것을 알아주셨으면 좋겠다.

관련 글

2 댓글

  1. 저 보안업체가 어딘진 모르겠지만 결국 보안업체들의 생각수준이라는 게 그냥 공장부품납품하는 회사이지 사용자 입장에서 보안을 생각하고, 웹을 생각하는 그런 회사는 아니라는 거군요?

    돈은 돈대로 벌어놓고 이제와서 뜬금없는 피히자 코스프레인가요?

  2. 답없네….. 답답한 양반들. 결국 궁극적인 문제는 공인인증서 사용 강제조항폐지네요. 액티브액스 백날 없애봤자 또 다른 설치방식의 프로그램으로 공인인증서를 인식시켜야하니 말이죠. 진짜 대한민국 후진국입니다

댓글이 닫혔습니다.