오픈웹이 금융결제원을 상대로 낸 소송 2심에서 패소하면서 한동안 오픈웹 사이트가 닫히고 다음과 같은 화면이 떴었다. 그러다가 다시 사이트가 열리고 열띤 토론이 오가더니 어느 순간 DDoS 공격을 당하여 사이트가 닫히고 구글 그룹스로 대체된 상태이다.
한동안 오픈웹 사이트를 대체했던 Closed Web 광고(?)
이 과정에서, 내가 속한 SPARCS 동아리 메일링으로도 여러 선배님들이 사상 초유의 엄청난 토론을 벌였다. 불과 3~4일 사이에 메일 쓰레드가 160개 가까이 나올 만큼 뜨겁게 달아올랐는데, 다양한 의견들을 볼 수 있었다.
그 중에서 몇 가지 주요 줄기(?)만 뽑아 '내맘대로' 정리해보면,
- '사용자는 바보다'라는 가정을 하면, client PC의 보안을 확신할 수 없고 사회·문화적으로 보안 사고의 책임을 모두 은행에게 전가하는 상황에서 (매우 더럽든 어쨌든) 지금 같은 ActiveX 보안프로그램을 사용할수밖에 없다.
- 그렇다면 사용자가 스스로 보안을 잘 지키도록(윈도 관리자 계정을 가급적 사용하지 않게 하고 업데이트를 주기적으로 실시하며 백신 프로그램 등을 사용하게) 계몽·교육해야 하는가, 아니면 지금처럼 계속 은행 입장에서 보안을 제공해야 하는가.
- 근본적으로 보안사고의 책임 소재에 대한 범위에 대해 사회적 합의가 먼저 있어야 한다.
- 그런 합의가 가능할까? 어떻게 해야 실현할 수 있을까?
- 은행사이트를 열었을 때만 동작하는 보안프로그램이 어떤 의미가 있는가?
- 일부는 기본값은 아니지만 옵션에 따라 항상 동작하게 할 수도 있다.
- 인터넷 사용자들이 과연 인터넷에 대해 얼마나 알고 사용하는가. 공교육 차원에서 컴퓨터 교육이 보다 체계화·강화되어야 한다.
- 한국사용자가 고분고분한 편이다. 해외에서 한국처럼 IE 버전 바뀔 때마다 이 난리 났으면 은행 커스터머 라인 마비된다.
- 문제의 요지는 ActiveX 기술을 쓴다는 사실이 아니라 보안프로그램의 강제 여부이다. ActiveX는 다만 Windows+IE 플랫폼에서 native browser addon을 개발/배포하기 가장 편하기 때문에 선택되었을 뿐.
- 키보드 보안이나 방화벽 등 인터넷뱅킹시 사용되는 보안프로그램이 성능이 그리 뛰어나다고 하지 못할지라도, 조금이나마 크래커들을 더 귀찮게 하고 조금이나마 보안을 향상시킬 수 있다면, 은행이나 보안업계 측에서는 사용할 수밖에 없다.
- 강제해야 한다면, 최소한 공개 플랫폼인 Linux + Firefox 환경에서 동작하는 보안프로그램이 나와야 하지 않겠는가.
- Linux에서 root 권한 주고 소스도 모르고 믿기도 힘든 프로그램을 누가 깔겠나. 오픈소스라면 몰라도.
- 보안프로그램 특성상 관리자 권한으로 동작하는 것은 어쩔 수 없음.
- 사용자 편의성과 보안은 원래 함께 만족시키는 것이 어렵다.
- 사용자 책임 하에 opt-out 할 수 있게 해야 한다.
- 결국 이에 대한 명확한 계약 조건 명시 또는 사회적 합의 필요.
- SSL+OTP를 대안으로 사용하면 되지 않겠는가.
- SSL이나 OTP도 만능은 아니다. (MITM 취약점 등)
- Client PC 보안이 지켜진다면 괜찮지 않겠는가. 또 보안씰처럼 사용자가 오프라인 상에서 직접 만든 이미지를 제시한다든지, 마우스를 이용해 비밀번호를 입력하는 방법 등등 여러 장치를 통한 대안이 있을 수 있다.
- 또다른 방법으로는 보안프로그램의 제공 수준에 따라 거래한도를 다르게 하는 것도 좋을 듯.
- 해외와 달리(?) 국내 사용자들은 인터넷뱅킹에서 모든 것을 오프라인과 동일한 수준으로 하길 원하는 것 같다.
- '나'는 지금같이 불편하지만 보안이 높은 인터넷뱅킹을 더 선호한다.
- 다수를 위해 소수가 반드시 희생해야 할 필요는 없다. 모두가 만족할 수 있는 방향을 찾을 수 있다면 그것을 적용하는 것이 좋다.
- Firefox 사용자는 숫적으로는 열세라도 이미 여러 대안을 선택할 수 있는 '강자' 아닌가.
- 누구나 다 비싼 정품 Windows를 구입해야 하는가.
- 앞으로 모바일 디바이스에서도 웹을 많이 쓰게 될 텐데, 그런 환경에 대한 대비도 미리 해야 되지 않겠나.
- (해외에 계신 분 말씀) 아시아권에서는 소수가 다수를 위해 참는 것을 화합으로 인정하는 것 같지만 서구에서의 harmony와는 다른 뜻이다.
- 인터넷뱅킹 서비스가 과연 공공재인가? 결국 창구 운영 비용보다 싸기 때문에 채택하는 것이 아닌가. 결국 모든 것은 시장논리에 의해 자연스럽게 선택될 것이다. 전자정부라면 이런 논의가 유효하지만 인터넷뱅킹은 글쎄.
- 만약 공공재로 본다면, 관련 비용은 누가 지출해야 하나. 국가에서 해준다면 좋겠지만 가능성은?
- 지금처럼 보안프로그램을 강제하면서 프로그램 설치에 대한 보안경고창에 항상 '예'를 누르도록 강요하는 것은 사용자 보안을 약화시키는 결과를 가져온다.
- 하지만 Firefox 다운로드 페이지를 봐도 그렇고 결국 다 마찬가지 아닌가.
- 사용자가 해당 프로그램이 무엇을 하는 것인지 정확히 알게 하는 것이 중요하다.
- 문화적으로 보면,
- 아직 계약에 대한 인식이 부족해서 사용자와 은행의 책임을 명확히 구분하지 못하고 있다.
- 해외(특히 미국)의 경우 one-source multi-use가 매우 중요해졌고 이것이 실제 돈과도 연결되기 때문에 인터넷뱅킹 서비스도 여러 플랫폼을 지원하는 것이 당연하게 여겨지고 있다. 아직 한국에서는 그 정도까지 인식이 되지 않고 있어서 그런 게 아닐까.
- 온라인은 단지 오프라인의 거울일 뿐. 아직도 폐쇄적인 문화이지 않은가.
이 외에도 몇 가지 줄기가 더 있지만 논의에 관련된 핵심적인 것들만 뽑아보니 대충 이 정도쯤 되는 것 같다.
내가 보기엔, 결국은 양쪽 다 맞는 소리다. 공공재적 성격을 띠는 인터넷 뱅킹과 온라인 결제 시스템이 가능하면 접근성이 높아야 하고 그렇게 하기 위해 공개 표준을 이용하는 대안들이 존재한다. 하지만 보안을 하는 사람들 입장에서는 기술적으로 '최대한'의 보안을 확보해야 하고, 사회적으로 책임소재임을 요구받는 은행이 주문한 대로 만들 수밖에 없다는 입장인데 이 역시 맞는 이야기다.
다행스러운 것은, 행정안전부에서 주최하는 회의에서 강제 여부를 해제하는 쪽으로 합의가 도출되었다는 점이다. 나도 기술적으로 지금과 같이 무겁고 불편하고 가끔 오류도 내는 보안프로그램들이 어쨌든 0.01g이라도 더 나은 보안을 위해서 필요하다면 어쩔 수 없다고 보지만, 사용자가 원한다면 은행측이 제공하는 보안프로그램을 사용하지 않을 수 있는 선택권과 접근성은 필요하다고 생각하기 때문이다.
다만 아쉬운 점은 오픈웹 쪽에서 그동안의 지리한 소송과 말이 안 통하는 상대들을 대상으로 이러한 주장을 해온 것 때문인지 나같이 오픈웹 관점을 지지하는 사람이나 보안업계 사람이나 어느 쪽에서 봐도 다소 거부감이 드는 발언들이 많이 나오고 있다는 점이다. 사람이기에 지치고 힘든 건 이해하지만 감정적으로 휘말리지 않고 생산적인 논의가 계속될 수 있었으면 좋겠다. 뭔가 '말'로는(literally) 다 맞는 얘기인데 미묘하게 글 중에 감정이 보이는 것이 아쉽다. 나만의 착각이길 바랄 뿐.
추가: 이 사태에 관해서 김국현씨가 아주 일목요연하게 논점을 잘 정리해주셨다. 이 글은 두고두고 기억해야 할 것이다.