지난 월요일, 전산학과의 석사세미나 과목에서 김명호 교수님의 초대로 고려대 법대 김기창 교수님의 강연이 있었다. 마침 요 근래에 오픈웹 관련하여 동아리 메일링에서 3~4일에 걸쳐 160여개 이상의 메일이 오가는 등 매우 많은 논란이 오고가기도 했고, 개인적으로도 소송 원고인단에 참여를 고려해봤을 정도로(못했던 이유는 당시 나이가 안 돼서) 관심을 가지고 있는 주제였기에 안 갈 수가 없었다. 게다가 다행히 수업도 없었고 말이다. :)
강연 제목은 "Code v. Code"였다. 처음에는 법률가로서 law code를 보는 사람인 자신과 전산학도로서 source code를 보는 학생들과의 이야기를 함께 풀어보자로 시작해서 오픈웹을 통해 자신이 느꼈던 바를 정리하고, 한편으론 이 주제에 대해 잘 모르는 학생들을 위해 오픈웹에 대해 일부 설득하는 정도의 내용으로 마무리되었다.
우선 강연 내용을 요약하면 아래와 같다. (일부 빠진 내용이 있을 수 있음.)
강연 내용
- 법률가와 소프트웨어 개발자들
- 플러그인
- 플러그인은 A라는 프로그램 맥락에서 B라는 프로그램을 실행·제어하기 위한 바구니이다.
- 현재 국내 인터넷뱅킹에서는 SSL/TLS 보안접속도 플러그인을 통해 이루어지고 있다.
- 오픈웹
- 플러그인을 여러 환경에 맞게 다 만들 것이냐 vs 플러그인을 아예 뺄 것인가
- 오픈웹을 통해 여러 환경에 다 맞게 만들자고 하면 보안업체들은 좋아할 것이다. (그거 장사하는 거니까) 그래서 패소한 것이 오히려 그들의 밥그릇을 뺏어간 것 같다. (일부러 반어적 표현을 쓰신 듯.)
- cost of plugins
- 사용자 지원 복잡
- 보안 위험 : 무조건 '예'
- 서비스 제공자가 접근권을 장악
- 웹브라우저 업그레이드 못한다
- 플러그인 없으면.
- (위의 목록과 반대)
- 인터넷을 플랫폼으로 사용하자
- 플러그인 기술은 이미 버려졌어야 할 옛날 기술이다.
- 앞으로 학생들이 이러한 관점에서 소프트웨어를 설계했으면 좋겠다는 의미에서 방문한 것.
사실 강연 자체는 워낙 잘 알고 있던 내용이라 별로 인상적인 느낌은 받지 못했다. (물론 내가 강연 내용에 100% 다 동의하는 것만은 아니다.) 다만 온라인으로 쓰여진 글만 보다가 직접 김기창 교수님을 보니 상당히 서민적이고(?) 재밌는 분이라고 느껴졌다.
사실 30분 정도로 짤막하게 끝난 강연시간만큼이나 길게 질의응답이 이어졌는데 진짜 중요한 내용은 여기에 더 많이 나온 것 같다. 내 질문을 포함하여 다른 사람들과 나눈 질의응답까지 모아 정리해보았다.
질의응답
보안업체(플러그인 공급자)에 의해 접근이 결정된다는 부분에 대해 -> 보안사고에 대한 책임을 모두 은행에 전가하는 현재의 상황으로 볼때 사회적·문화적 합의 내지는 인터넷 뱅킹의 계약 요소로 보아야 한다는 관점도 있는데 어떻게 생각하시는지? 또한 근본적으로 강제 의무를 없애면, 알아서 적절한 기술을 택하게 될 것이라는 의견도 있었다.
- 우선 현재의 환경은 기본적으로 많이 변해서, 웹표준이나 접근성 중심으로 많이 기울어있는데, 그렇지 못한 마지막 보루가 전자금융 분야이다. 이는 법률가들의 잘못도 있다고 생각한다. (많은 사람이 안심하고 이용하게 하려면 서비스 제공자에게 모든 책임을 물어야 한다고 생각했던..) 따라서 그런 규정은 개정되어야 한다.
- 하지만 현재의 법 규정 내에서도 사용자의 위험부담 동의 하에 충분히 설치 강제를 하지 않아도 되지만 은행들이 이것을 사용·허용하지 않고 있다. 즉, 선택권을 주지 않는다. (그리고 지금의 보안도 완벽한 게 아니다. 지금은 오히려 지금 상황에서는 그렇게 복잡한 보안장치를 걸면서도 결국 은행이 책임을 져야 하므로 은행이 불리하다고 볼 수도 있다.) 지금도 어느 정도 충분히 개선 가능하다.
- 앞으로는 PC의 인터넷뱅킹뿐만 아니라 모바일도 중요하다. 근데... 이미 국내 몇몇 은행들은 뱅킹칩 없이 모바일뱅킹하는 솔루션까지 만들고 있다.;; 게다가 이 솔루션들은 국내 이동통신망에 매우 종속적이다. 모바일 시장에서도 똑같이 되지 않도록 노력해야 한다.
- 국내의 훌륭한 브로드밴드 환경을 플러그인 배포가 아닌 web 2.0 / RIA에 사용할 수 있도록 해야 한다.
우리나라 미디어에서 인터넷 뱅킹 관련 문제를 다루는 태도가 어떻다고 생각하시는지?
- 한국에서 아직까지 적응하지 못한 것이 컴퓨팅 리소스에 대한 접근 개념. 단지 속도 빠른 컴퓨터면 되고, 이에 대한 담론 자체가 아직 향상되지 않은 것 같다.
- 컴퓨터·IT 전문 기자들 조차도 충분한 역량이 없다.
- 웹표준을 이용해 제대로 된 컴퓨팅 지식을 가지고 글로벌한 장사를 할 생각을 해야 한다. 우리 학생들이 그런 일을 해야 하지 않겠나.
컴퓨팅 리소스를 제대로 사용하게 하려면 진입장벽이 높아지는데 컴퓨터 사용자 교육에 대한 측면?
- 기술자들이 https+otp로 바꾸는 것에 대한 막연한 두려움을 가지는 것 같다.
- 고객에게 교육하는 것은 그리 어려운 문제는 아닌 것 같다. (윈도우 업데이트를 제때 하는 것, 윈도 사용자라면 본격 안티바이러스 소프트웨어를 써라, 비밀번호 입력할 때 주소창 확인하기)
- 클라이언트 해킹에 의한 보안사고 발생했을 때는 사용자가 책임질 수밖에 없다. 어차피 지금 방식이나 오픈웹이 제안하는 방식도 이 점은 마찬가지.
이러한 교육이 강조되면 정보접근권 격차가 벌어지지 않을까?
- 일단 플러그인 방식은 안전보다는 편리 때문에 선택된 점이 많다. 또한 '컴맹 고객을 위한다'라는 명제 때문에 보안을 많이 compromise했다.
- 보안 접속을 위한 https는 별도 설치가 필요 없으므로 오히려 간단하다.
- 클라이언트 보안을 위한 우리나라 방식의 근본적인 문제점 : '사용자는 바보이기 때문에 우리가 하라는 대로 하면 보안 지켜주겠다'라는 접근 자체의 잘못되었다. 기술적으로도 허점이 많다. 결국 사회적 문제, 교육의 문제이다.
전자서명이 꼭 필요한가?
- 거래내역을 담은 form에 서명하는 것은 플러그인으로 구현할 수밖에 없는데 이것이 꼭 필요한가 하는 질문이라고 다시 요약.
- 전자서명제도 자체는 대부분의 나라에 존재. (이러이러한 요건을 갖춘 전자서명은 종이나 다른 매체를 통한 서명과 같은 효력을 가진다는 의미에서.)
- 그러나 우리나라에만 있는 것은 법 아래에 있는 전자금융감독규정에 모든 전자거래에 공인인증서를 요구하는 규정이다. 이것을 사용할지 말지는 원래 선택적이어야 하나 우리나라에서만 강제하고 있다.
- 강제한 이유는 그런 플러그인을 만들어 파는 시장이 활성화되기 때문으로 본다. 자신은 이것이 필수라고 생각하지 않고 선택적이어야 한다고 보며, 궁극적으로는 부인 방지를 판사가 믿어줄 거냐 아니냐의 문제기 때문에 기술보다는 법률 이슈이다. 전자서명도 결국 개인키와 그 비밀번호가 유출되면 소용이 없다.
- 즉, 공인인증서 사용 여부는 자율에 맡겨야 한다.
시간 관계 상 학과사무실 문닫기 전에 싸인을 하고 가야 한다고 해서(...) 여기까지만 하고 끝마칠 수밖에 없었는데 몇몇 학생들과 따로 교수님이 떠나시기 전에 추가 질의응답을 할 기회를 얻을 수 있었다.
- 최근 들어 보안업체를 공격하는 글들이 많이 올라와 오픈웹에 등을 돌리는 사람들이 나타나기도 했는데 이런 점에 대해선 앞으로 어떻게 하실 생각인가요?
- 의도적인 부분도 있었음. (자기도 욕 먹을 걸 어느 정도 예상했음)
- 패소했다고 이렇게 나온다는 시선을 피하기 위해 소송 결과가 나오기 전부터 보다 강력하게 나오기 시작했음.
- 비록 비판받고 있긴 하지만 이로 인해 논의 자체가 한단계 더 발전하고 더 많은 사람이 관심을 갖게 되었다는 점에서 긍정적으로 평가.
- 앞으로도 보안에 대한 기본 전제의 인식 변화를 위해 보안업체에 대한 공격은 계속 이어질 예정.
결국, 웹상에서 상당히 독설을 내뿜고 계시는 것에 비해, 실제로 가지고 계신 생각은 내가 하는 것과 많은 부분 비슷하다는 것을 알 수 있었다. 기술적인 부분보다는 제도적 보완이나 인식 변화가 더 필요하다고 생각하고 계셨고, 다만 보안업체들을 대놓고 공격하거나 SSL+OTP 등에 대해 그렇게 강하게 주장하는 것은 그래야 사람들이 더 나은 대안을 찾기 위해 문제에 대한 인식을 시작할 수 있기 때문이라는 것이다.
최근 논란의 가장 중심에 서계신 분을 직접 앞에 놓고 이야기를 듣고 질의응답을 할 기회였기에 소중한 경험이 되었다. (석사 간 내 이전 룸메 친구는 오랜만의 한국어 강연이라서 좋았다고...ㅋㅋ) 아무튼 인터넷뱅킹에 대해 모두가 어떤 식으로든 문제 의식을 가지고 있는 만큼, 조금씩이나마 나아지길 기대해본다. 김기창 교수님과 같은 분의 노력이 빛을 발할 수 있도록. :)