지난 월요일, 전산학과의 석사세미나 과목에서 김명호 교수님의 초대로 고려대 법대 김기창 교수님의 강연이 있었다. 마침 요 근래에 오픈웹 관련하여 동아리 메일링에서 3~4일에 걸쳐 160여개 이상의 메일이 오가는 등 매우 많은 논란이 오고가기도 했고, 개인적으로도 소송 원고인단에 참여를 고려해봤을 정도로(못했던 이유는 당시 나이가 안 돼서) 관심을 가지고 있는 주제였기에 안 갈 수가 없었다. 게다가 다행히 수업도 없었고 말이다. :)

강연 제목은 "Code v. Code"였다. 처음에는 법률가로서 law code를 보는 사람인 자신과 전산학도로서 source code를 보는 학생들과의 이야기를 함께 풀어보자로 시작해서 오픈웹을 통해 자신이 느꼈던 바를 정리하고, 한편으론 이 주제에 대해 잘 모르는 학생들을 위해 오픈웹에 대해 일부 설득하는 정도의 내용으로 마무리되었다.

우선 강연 내용을 요약하면 아래와 같다. (일부 빠진 내용이 있을 수 있음.)

강연 내용

• 법률가와 소프트웨어 개발자들
  • 기술 <-> 방법 <-> 법률
• 플러그인
  • 플러그인은 A라는 프로그램 맥락에서 B라는 프로그램을 실행·제어하기 위한 바구니이다.
  • 현재 국내 인터넷뱅킹에서는 SSL/TLS 보안접속도 플러그인을 통해 이루어지고 있다.
• 오픈웹
  • 플러그인을 여러 환경에 맞게 다 만들 것이냐 vs 플러그인을 아예 뺄 것인가
  • 오픈웹을 통해 여러 환경에 다 맞게 만들자고 하면 보안업체들은 좋아할 것이다. (그거 장사하는 거니까) 그래서 패소한 것이 오히려 그들의 밥그릇을 뺏어간 것 같다. (일부러 반어적 표현을 쓰신 듯.)
• cost of plugins
  • 사용자 지원 복잡
  • 보안 위험 : 무조건 '예'
  • 서비스 제공자가 접근권을 장악
  • 웹브라우저 업그레이드 못한다
• 플러그인 없으면.
  • (위의 목록과 반대)
  • 인터넷을 플랫폼으로 사용하자
  • 플러그인 기술은 이미 버려졌어야 할 옛날 기술이다.
• 앞으로 학생들이 이러한 관점에서 소프트웨어를 설계했으면 좋겠다는 의미에서 방문한 것.

사실 강연 자체는 워낙 잘 알고 있던 내용이라 별로 인상적인 느낌은 받지 못했다. (물론 내가 강연 내용에 100% 다 동의하는 것만은 아니다.) 다만 온라인으로 쓰여진 글만 보다가 직접 김기창 교수님을 보니 상당히 서민적이고(?) 재밌는 분이라고 느껴졌다.

사실 30분 정도로 짤막하게 끝난 강연시간만큼이나 길게 질의응답이 이어졌는데 진짜 중요한 내용은 여기에 더 많이 나온 것 같다. 내 질문을 포함하여 다른 사람들과 나눈 질의응답까지 모아 정리해보았다.

질의응답

• 보안업체(플러그인 공급자)에 의해 접근이 결정된다는 부분에 대해 -> 보안사고에 대한 책임을 모두 은행에 전가하는 현재의 상황으로 볼때 사회적·문화적 합의 내지는 인터넷 뱅킹의 계약 요소로 보아야 한다는 관점도 있는데 어떻게 생각하시는지? 또한 근본적으로 강제 의무를 없애면, 알아서 적절한 기술을 택하게 될 것이라는 의견도 있었다.

  • 우선 현재의 환경은 기본적으로 많이 변해서, 웹표준이나 접근성 중심으로 많이 기울어있는데, 그렇지 못한 마지막 보루가 전자금융 분야이다. 이는 법률가들의 잘못도 있다고 생각한다. (많은 사람이 안심하고 이용하게 하려면 서비스 제공자에게 모든 책임을 물어야 한다고 생각했던..) 따라서 그런 규정은 개정되어야 한다.
  • 하지만 현재의 법 규정 내에서도 사용자의 위험부담 동의 하에 충분히 설치 강제를 하지 않아도 되지만 은행들이 이것을 사용·허용하지 않고 있다. 즉, 선택권을 주지 않는다. (그리고 지금의 보안도 완벽한 게 아니다. 지금은 오히려 지금 상황에서는 그렇게 복잡한 보안장치를 걸면서도 결국 은행이 책임을 져야 하므로 은행이 불리하다고 볼 수도 있다.) 지금도 어느 정도 충분히 개선 가능하다.
  • 앞으로는 PC의 인터넷뱅킹뿐만 아니라 모바일도 중요하다. 근데... 이미 국내 몇몇 은행들은 뱅킹칩 없이 모바일뱅킹하는 솔루션까지 만들고 있다.;; 게다가 이 솔루션들은 국내 이동통신망에 매우 종속적이다. 모바일 시장에서도 똑같이 되지 않도록 노력해야 한다.
  • 국내의 훌륭한 브로드밴드 환경을 플러그인 배포가 아닌 web 2.0 / RIA에 사용할 수 있도록 해야 한다.

• 우리나라 미디어에서 인터넷 뱅킹 관련 문제를 다루는 태도가 어떻다고 생각하시는지?

  • 한국에서 아직까지 적응하지 못한 것이 컴퓨팅 리소스에 대한 접근 개념. 단지 속도 빠른 컴퓨터면 되고, 이에 대한 담론 자체가 아직 향상되지 않은 것 같다.
  • 컴퓨터·IT 전문 기자들 조차도 충분한 역량이 없다.
  • 웹표준을 이용해 제대로 된 컴퓨팅 지식을 가지고 글로벌한 장사를 할 생각을 해야 한다. 우리 학생들이 그런 일을 해야 하지 않겠나.

• 컴퓨팅 리소스를 제대로 사용하게 하려면 진입장벽이 높아지는데 컴퓨터 사용자 교육에 대한 측면?

  • 기술자들이 https+otp로 바꾸는 것에 대한 막연한 두려움을 가지는 것 같다.
  • 고객에게 교육하는 것은 그리 어려운 문제는 아닌 것 같다. (윈도우 업데이트를 제때 하는 것, 윈도 사용자라면 본격 안티바이러스 소프트웨어를 써라, 비밀번호 입력할 때 주소창 확인하기)
  • 클라이언트 해킹에 의한 보안사고 발생했을 때는 사용자가 책임질 수밖에 없다. 어차피 지금 방식이나 오픈웹이 제안하는 방식도 이 점은 마찬가지.

• 이러한 교육이 강조되면 정보접근권 격차가 벌어지지 않을까?

  • 일단 플러그인 방식은 안전보다는 편리 때문에 선택된 점이 많다. 또한 '컴맹 고객을 위한다'라는 명제 때문에 보안을 많이 compromise했다.
  • 보안 접속을 위한 https는 별도 설치가 필요 없으므로 오히려 간단하다.
  • 클라이언트 보안을 위한 우리나라 방식의 근본적인 문제점 : '사용자는 바보이기 때문에 우리가 하라는 대로 하면 보안 지켜주겠다'라는 접근 자체의 잘못되었다. 기술적으로도 허점이 많다. 결국 사회적 문제, 교육의 문제이다.

• 전자서명이 꼭 필요한가?

  • 거래내역을 담은 form에 서명하는 것은 플러그인으로 구현할 수밖에 없는데 이것이 꼭 필요한가 하는 질문이라고 다시 요약.
  • 전자서명제도 자체는 대부분의 나라에 존재. (이러이러한 요건을 갖춘 전자서명은 종이나 다른 매체를 통한 서명과 같은 효력을 가진다는 의미에서.)
  • 그러나 우리나라에만 있는 것은 법 아래에 있는 전자금융감독규정에 모든 전자거래에 공인인증서를 요구하는 규정이다. 이것을 사용할지 말지는 원래 선택적이어야 하나 우리나라에서만 강제하고 있다.
  • 강제한 이유는 그런 플러그인을 만들어 파는 시장이 활성화되기 때문으로 본다. 자신은 이것이 필수라고 생각하지 않고 선택적이어야 한다고 보며, 궁극적으로는 부인 방지를 판사가 믿어줄 거냐 아니냐의 문제기 때문에 기술보다는 법률 이슈이다. 전자서명도 결국 개인키와 그 비밀번호가 유출되면 소용이 없다.
  • 즉, 공인인증서 사용 여부는 자율에 맡겨야 한다.

시간 관계 상 학과사무실 문닫기 전에 싸인을 하고 가야 한다고 해서(...) 여기까지만 하고 끝마칠 수밖에 없었는데 몇몇 학생들과 따로 교수님이 떠나시기 전에 추가 질의응답을 할 기회를 얻을 수 있었다.

• 최근 들어 보안업체를 공격하는 글들이 많이 올라와 오픈웹에 등을 돌리는 사람들이 나타나기도 했는데 이런 점에 대해선 앞으로 어떻게 하실 생각인가요?
  • 의도적인 부분도 있었음. (자기도 욕 먹을 걸 어느 정도 예상했음)
  • 패소했다고 이렇게 나온다는 시선을 피하기 위해 소송 결과가 나오기 전부터 보다 강력하게 나오기 시작했음.
  • 비록 비판받고 있긴 하지만 이로 인해 논의 자체가 한단계 더 발전하고 더 많은 사람이 관심을 갖게 되었다는 점에서 긍정적으로 평가.
  • 앞으로도 보안에 대한 기본 전제의 인식 변화를 위해 보안업체에 대한 공격은 계속 이어질 예정.

결국, 웹상에서 상당히 독설을 내뿜고 계시는 것에 비해, 실제로 가지고 계신 생각은 내가 하는 것과 많은 부분 비슷하다는 것을 알 수 있었다. 기술적인 부분보다는 제도적 보완이나 인식 변화가 더 필요하다고 생각하고 계셨고, 다만 보안업체들을 대놓고 공격하거나 SSL+OTP 등에 대해 그렇게 강하게 주장하는 것은 그래야 사람들이 더 나은 대안을 찾기 위해 문제에 대한 인식을 시작할 수 있기 때문이라는 것이다.

최근 논란의 가장 중심에 서계신 분을 직접 앞에 놓고 이야기를 듣고 질의응답을 할 기회였기에 소중한 경험이 되었다. (석사 간 내 이전 룸메 친구는 오랜만의 한국어 강연이라서 좋았다고...ㅋㅋ) 아무튼 인터넷뱅킹에 대해 모두가 어떤 식으로든 문제 의식을 가지고 있는 만큼, 조금씩이나마 나아지길 기대해본다. 김기창 교수님과 같은 분의 노력이 빛을 발할 수 있도록. :)

오픈웹이 금융결제원을 상대로 낸 소송 2심에서 패소하면서 한동안 오픈웹 사이트가 닫히고 다음과 같은 화면이 떴었다. 그러다가 다시 사이트가 열리고 열띤 토론이 오가더니 어느 순간 DDoS 공격을 당하여 사이트가 닫히고 구글 그룹스로 대체된 상태이다.

한동안 오픈웹 사이트를 대체했던 Closed Web 광고(?)

이 과정에서, 내가 속한 SPARCS 동아리 메일링으로도 여러 선배님들이 사상 초유의 엄청난 토론을 벌였다. 불과 3~4일 사이에 메일 쓰레드가 160개 가까이 나올 만큼 뜨겁게 달아올랐는데, 다양한 의견들을 볼 수 있었다.

그 중에서 몇 가지 주요 줄기(?)만 뽑아 '내맘대로' 정리해보면,

• '사용자는 바보다'라는 가정을 하면, client PC의 보안을 확신할 수 없고 사회·문화적으로 보안 사고의 책임을 모두 은행에게 전가하는 상황에서 (매우 더럽든 어쨌든) 지금 같은 ActiveX 보안프로그램을 사용할수밖에 없다.
  • 그렇다면 사용자가 스스로 보안을 잘 지키도록(윈도 관리자 계정을 가급적 사용하지 않게 하고 업데이트를 주기적으로 실시하며 백신 프로그램 등을 사용하게) 계몽·교육해야 하는가, 아니면 지금처럼 계속 은행 입장에서 보안을 제공해야 하는가.
    • 근본적으로 보안사고의 책임 소재에 대한 범위에 대해 사회적 합의가 먼저 있어야 한다.
    • 그런 합의가 가능할까? 어떻게 해야 실현할 수 있을까?
  • 은행사이트를 열었을 때만 동작하는 보안프로그램이 어떤 의미가 있는가?
    • 일부는 기본값은 아니지만 옵션에 따라 항상 동작하게 할 수도 있다.
  • 인터넷 사용자들이 과연 인터넷에 대해 얼마나 알고 사용하는가. 공교육 차원에서 컴퓨터 교육이 보다 체계화·강화되어야 한다.
  • 한국사용자가 고분고분한 편이다. 해외에서 한국처럼 IE 버전 바뀔 때마다 이 난리 났으면 은행 커스터머 라인 마비된다.
• 문제의 요지는 ActiveX 기술을 쓴다는 사실이 아니라 보안프로그램의 강제 여부이다. ActiveX는 다만 Windows+IE 플랫폼에서 native browser addon을 개발/배포하기 가장 편하기 때문에 선택되었을 뿐.
  • 키보드 보안이나 방화벽 등 인터넷뱅킹시 사용되는 보안프로그램이 성능이 그리 뛰어나다고 하지 못할지라도, 조금이나마 크래커들을 더 귀찮게 하고 조금이나마 보안을 향상시킬 수 있다면, 은행이나 보안업계 측에서는 사용할 수밖에 없다.
  • 강제해야 한다면, 최소한 공개 플랫폼인 Linux + Firefox 환경에서 동작하는 보안프로그램이 나와야 하지 않겠는가.
    • Linux에서 root 권한 주고 소스도 모르고 믿기도 힘든 프로그램을 누가 깔겠나. 오픈소스라면 몰라도.
    • 보안프로그램 특성상 관리자 권한으로 동작하는 것은 어쩔 수 없음.
    • 사용자 편의성과 보안은 원래 함께 만족시키는 것이 어렵다.
  • 사용자 책임 하에 opt-out 할 수 있게 해야 한다.
    • 결국 이에 대한 명확한 계약 조건 명시 또는 사회적 합의 필요.
• SSL+OTP를 대안으로 사용하면 되지 않겠는가.
  • SSL이나 OTP도 만능은 아니다. (MITM 취약점 등)
    • Client PC 보안이 지켜진다면 괜찮지 않겠는가. 또 보안씰처럼 사용자가 오프라인 상에서 직접 만든 이미지를 제시한다든지, 마우스를 이용해 비밀번호를 입력하는 방법 등등 여러 장치를 통한 대안이 있을 수 있다.
  • 또다른 방법으로는 보안프로그램의 제공 수준에 따라 거래한도를 다르게 하는 것도 좋을 듯.
    • 해외와 달리(?) 국내 사용자들은 인터넷뱅킹에서 모든 것을 오프라인과 동일한 수준으로 하길 원하는 것 같다.
  • '나'는 지금같이 불편하지만 보안이 높은 인터넷뱅킹을 더 선호한다.
• 다수를 위해 소수가 반드시 희생해야 할 필요는 없다. 모두가 만족할 수 있는 방향을 찾을 수 있다면 그것을 적용하는 것이 좋다.
  • Firefox 사용자는 숫적으로는 열세라도 이미 여러 대안을 선택할 수 있는 '강자' 아닌가.
    • 누구나 다 비싼 정품 Windows를 구입해야 하는가.
    • 앞으로 모바일 디바이스에서도 웹을 많이 쓰게 될 텐데, 그런 환경에 대한 대비도 미리 해야 되지 않겠나.
    • (해외에 계신 분 말씀) 아시아권에서는 소수가 다수를 위해 참는 것을 화합으로 인정하는 것 같지만 서구에서의 harmony와는 다른 뜻이다.
• 인터넷뱅킹 서비스가 과연 공공재인가? 결국 창구 운영 비용보다 싸기 때문에 채택하는 것이 아닌가. 결국 모든 것은 시장논리에 의해 자연스럽게 선택될 것이다. 전자정부라면 이런 논의가 유효하지만 인터넷뱅킹은 글쎄.
  • 만약 공공재로 본다면, 관련 비용은 누가 지출해야 하나. 국가에서 해준다면 좋겠지만 가능성은?
• 지금처럼 보안프로그램을 강제하면서 프로그램 설치에 대한 보안경고창에 항상 '예'를 누르도록 강요하는 것은 사용자 보안을 약화시키는 결과를 가져온다.
  • 하지만 Firefox 다운로드 페이지를 봐도 그렇고 결국 다 마찬가지 아닌가.
    • 사용자가 해당 프로그램이 무엇을 하는 것인지 정확히 알게 하는 것이 중요하다.
• 문화적으로 보면,
  • 아직 계약에 대한 인식이 부족해서 사용자와 은행의 책임을 명확히 구분하지 못하고 있다.
  • 해외(특히 미국)의 경우 one-source multi-use가 매우 중요해졌고 이것이 실제 돈과도 연결되기 때문에 인터넷뱅킹 서비스도 여러 플랫폼을 지원하는 것이 당연하게 여겨지고 있다. 아직 한국에서는 그 정도까지 인식이 되지 않고 있어서 그런 게 아닐까.
  • 온라인은 단지 오프라인의 거울일 뿐. 아직도 폐쇄적인 문화이지 않은가.

이 외에도 몇 가지 줄기가 더 있지만 논의에 관련된 핵심적인 것들만 뽑아보니 대충 이 정도쯤 되는 것 같다.

내가 보기엔, 결국은 양쪽 다 맞는 소리다. 공공재적 성격을 띠는 인터넷 뱅킹과 온라인 결제 시스템이 가능하면 접근성이 높아야 하고 그렇게 하기 위해 공개 표준을 이용하는 대안들이 존재한다. 하지만 보안을 하는 사람들 입장에서는 기술적으로 '최대한'의 보안을 확보해야 하고, 사회적으로 책임소재임을 요구받는 은행이 주문한 대로 만들 수밖에 없다는 입장인데 이 역시 맞는 이야기다.

다행스러운 것은, 행정안전부에서 주최하는 회의에서 강제 여부를 해제하는 쪽으로 합의가 도출되었다는 점이다. 나도 기술적으로 지금과 같이 무겁고 불편하고 가끔 오류도 내는 보안프로그램들이 어쨌든 0.01g이라도 더 나은 보안을 위해서 필요하다면 어쩔 수 없다고 보지만, 사용자가 원한다면 은행측이 제공하는 보안프로그램을 사용하지 않을 수 있는 선택권과 접근성은 필요하다고 생각하기 때문이다.

다만 아쉬운 점은 오픈웹 쪽에서 그동안의 지리한 소송과 말이 안 통하는 상대들을 대상으로 이러한 주장을 해온 것 때문인지 나같이 오픈웹 관점을 지지하는 사람이나 보안업계 사람이나 어느 쪽에서 봐도 다소 거부감이 드는 발언들이 많이 나오고 있다는 점이다. 사람이기에 지치고 힘든 건 이해하지만 감정적으로 휘말리지 않고 생산적인 논의가 계속될 수 있었으면 좋겠다. 뭔가 '말'로는(literally) 다 맞는 얘기인데 미묘하게 글 중에 감정이 보이는 것이 아쉽다. 나만의 착각이길 바랄 뿐.

추가: 이 사태에 관해서 김국현씨가 아주 일목요연하게 논점을 잘 정리해주셨다. 이 글은 두고두고 기억해야 할 것이다.