액티브엑스 논란 무엇이 잘못 되었나?

다음글은 원래 2년 정도 전에 medium.com에 퍼블리쉬 했던 개인적인 글을 다시 정리한 글이다. 지금 실정에 맞게 새로운 내용과 논리를 추가하였다.

필자는 미국에서 12년째 살고 있으며, 한국보다 미국 생활이 편하고, 한국 문화보다 미국 문화와 사회 시스템이 더 편한 사람 중의 한명이다. 그리고, 본인은 미국 마이크로소프트 본사에서 보안 관련 업무를 주로 하고 있음을 미리 밝힌다.

필자도 한번씩 한국에 갈 때마다 공인 인증서 새로 발급 받고, 계좌들 한번씩 정리를 하고 오지만, 미국에서는 접속시에 속도나 여러 문제로 인해서 결국은 접속에 시간을 허비하다가 포기하고, 나중에 까먹고 접속 기한이 지나버려서 인증서를 쓸수 없게 되는 경우도 많았다.

현재 한국의 공인 인증 체계와, 액티브 엑스 체계는 잘못 되었다라는 명제는 참이다. 왜냐하면 웬만한 인내심 없이는 사용할 수가 없으니까. 그런 영향인지 물론 필자는 최근에는 아예 한국 사이트들은 잘 사용하지도 않으니, 액티브 엑스가 얼마나 덕지 덕지 붙어 있는지 잘 알수는 없지만, 한번씩 공공 사이트를 접속해 보면, 무슨 보안 프로그램들을 줄줄이 다운로드 받으라는 팝업과 메시지들이 뜨는 것은 솔직히 편치 않다.

이러한 문제의 근본이 무엇인지 필자가 알수는 없겠지만, 그 문제를 단순히 공인 인증 체계, 액티브 엑스라는 틀로 몰아 가는 것은 문제의 근원과는 전혀 상관이 없다고 본다. 그래, 구형(legacy) 기술이라는 측면에서는 상관이 있을 수도 있겠다. 이 구형 기술들이 왜 새로운 기술로 전환이 안 되느냐? 그건 필자도 의문이다. 하지만, 근본적으로 현재 사태에 대해서 몇가지 근본적으로 생각해 볼 내용들이 있다.

문제들

문제는 서비스의 품질 문제이다.

근본적으로 인터넷 결제나 인터넷 공공 업무 문제는 다른 문제가 아니라, 서비스의 품질 문제이다. 은행이나 관공서에서 제공하는 인터넷 서비스의 품질이 낮다는 것이다. 이 부분에 대해서 동의하지 않는 사람은 없을 것이다. 서비스 품질의 문제에 집중해야 할 때에 우리는 세세한 기술에 집중하고 있고, 결국 문제가 되는 기술을 제거하고 또 다른 불편한 기술을 도입하는 방법으로 그 문제를 회피하게 만든다. 명확하게, 편리하게 사용할 수 있게 해 달라고 찝어서 요청해야 한다. 이 기술이 문제고, 저 기술이 문제라고 하지만, 전문가들은 기술이 문제가 아니라 구현이 문제라고 말할 수도 있다. ActiveX가 구시대 기술이면, 크롬 플러그인으로 만들면 모든 문제가 해결 될까? 아니면, 아마존처럼 id/password로 결제가 가능하게 하면 될까? 편리성을 담보하기 위해서 백엔드에 도입될 기술에 대한 비용에 대해서 기존 기관과 금융권들이 준비가 되어 있는가?


보안 업계란 무엇인가?

그렇다면, 보안 업계란 무엇인가? 한국의 보안 업계라는 말은 느슨한 분류 기준일 뿐이다. 누가 무슨 보안 업체를 차렸다고 해서, 보안 업계라는 단체에 가입해야 하는 것도 아니고, 누군가 보안 업계를 조종할 수 있는 인물이나 단체가 존재하는 것도 아니다. 보안 업체의 종류도 수 없이 많고, 다른 생각과 다른 제품과 서비스들을 제공한다. 또한 십여년 전 이후로는 많은 보안 인력들이 보안 업체가 아닌 기존 제품, 서비스 제공자 — 대부분 대기업 — 들로 이직해서 근무하는 현상이 뚜렷해지고 있다. 보안 업계라는 것은 실체가 없고, 많은 사람들이 보안 업계를 욕하지만, 솔직히 누구를 욕하는지 뚜렷하지도 않다. 학계도 마찬가지로 기존 공인 인증 체계와 액티브 엑스 사용 등에 대한 정책에 관여한 (또는 관여할 위치에 있는)사람들은 극소수에 불과하다. 90년대의 낡은 기술 내지는 구현체들이 현재까지 그대로 재사용되고 있는 현상은 안타깝지만, 그러한 현상이 보안 업체들에게도 딱히 긍정적으로 도움이 되지도 않는다라는 것도 알아 줬으면 한다. 기술을 안 바꾸고 있는데, 어떻게 업체들에게 도움이 될것인가? 몇몇 업체는 수혜를 받을지도 모르겠다. 하지만 99%의 보안 업체에게는 이 시장은 죽은 시장이나 마찬가지이다.

보안 업계로서의 책임

많은 사람들이 보안 업계가 철밥통을 지키기 위해서 그러느냐, 아니면 액티브 엑스와 공인 인증서로 돈을 얼마나 벌었느냐 하는 소리를 한다. 물론 그것으로 돈을 벌거나 부자가 된 사람도 있을 것이다. 하지만, 액티브 엑스와 공인 인증서의 수혜를 받은 사람은 극소수로 본다. 특히나 서로간의 유대감이 적고 다양성이 큰 보안 업계라는 틀에서 모든 사람을 보안 업계나 보안 학계로 엮을려는 시도는 무리수가 많다. 계속 말하지만, 보안 업계라는 것은 실체가 없는 신기루에 불과하다. 그리고, 많은 중소 보안 업체가 정부 납품의 수입의 큰 부분을 차지하는 것으로 보이지만, 대부분 중소 보안 업체가 제안한 기술 그대로 도입되는 것은 쉽지 않은 것으로 보인다. 결국은 고객의 극단적인 커스터마이징 요청에 의해서 원래의 취지와는 다른 형태의 결과물이 전달 되는 경우도 상당할 것으로 보인다. 결국 갑의 의지가 중요하다.

소프트웨어는 공짜

한국은 운영 체제나 기술의 사용에 있어서 유난히 구형 기술들이 많은 것은 사실이다. 작년에 한국을 한달 가량 방문하면서 많은 PC방을 방문하게 되었는데, 아직도 Windows 7만 사용하고 있는 많은 PC 방들을 보고 놀란 적이 있다. Windows 7은 이제 공식 서포트가 중단된, extended support 모드로 들어간 운영체제이다. Windows 10에서 제공되는 최신 보안 기술이나 여러 편의 기술들을 사용할 수 없다. 물론 모두 Windows 10으로 바꾸라는 말이냐, 돈이 얼마나 드는 줄 아느냐는 논리가 나올 수 있다. 바로 그 논리가 현재의 문제들을 만들어 내었을 수도 있다. 결국은 돈이다. 최신 기술, 최신 장비, 최신 소프트웨어 들을 사용하려면 누군가 그것들을 만들어 내어야 하고, 거기에 대한 정당한 댓가가 주어질 때에 제대로 된 아이디어와 제품이 나올 수 있다. 결국은 인증과 관련된 기술에 돈이 흘러 가는 구조가 필요하다. 하지만, 지금과 같이 구형 기술에 집착하는 정부 기관과 금융권의 행태는 이러한 흐름을 절대적으로 막고 있다.

결국은 서비스, 제품 제공자의 문제

정확한 공인 인증 모듈과 보안 모듈의 납품 단가와 은행, 정부 기관들이 threat modeling 등을 통해서 어느 정도의 위험을 감수 할 수 있는지에 대한 평가, 얼마만큼의 자원을 보안 체계 수립과 보안 인력 확충에 넣을 지에 대한 정책들이 바로 서지 않고서는 절대로 implementation이 제대로 될 수 없다. 왜 보안 업계라는 실체 없는 존재에게 자꾸 책임을 묻는 것일까? 왜 갑 중의 갑인 금융권과 정부 기관에는 아무런 소리를 못하는가? 을을 물고 뜯어 보아야 나오는 것은 없다. 을을 물어 뜯는 것은 그만큼 그 사람들이 비겁하다는 증거이거나 문제의 원인과 결과를 모르는 바보라는 소리이다.

정책

회사원들이 노예들이 아닌 것처럼, 아니면 IT 인력이 노예가 아닌 것 처럼, 보안 인력은 노예가 아니다. 보안 인력은 그냥 회사원이다. 이러한 보안 업계/학계에서 정책에 영향을 미칠 수 있는 인력은 정말로 극소수에 불과하다. 그마저도 얼마나 말빨이 서는 지는 알 수가 없다. 이 부분에 보안 업계, 학계에 책임을 물을 수도 있겠다. 그 동안 무엇을 했는가라고? 뭐 한국 분위기가 엔지니어나 학계의 이야기가 진지하게 정책으로 반영이 되는지 부터 물어 봐야 할 것 같다. 많은 사람들이 자신의 분야에서 무력감과 회의를 느끼는 만큼 보안 인력들도 비슷한 감정을 느낄 때가 많다.

결론

한마디로 보안 업계를 대상으로 해서 공인 인증 정책이나 액티브엑스 정책을 따지는 것은 아무런 효과가 없다. 얼만큼 어떠한 기술을 받아 들일지, 어느 정도의 위험을 감수할지 얼마만큼의 범용성을 가지게 할지에 대한 결정이 선행 되어야 한다. 그에 따라 부과 되는 사업들은 공정하고 투명하게 결정된 과정에 의해서 이행되어야 하고, 제대로 된 댓가가 지급 되어야 한다.

진짜로 이 지겨운 공인 인증서, 액티브 엑스 논란을 끝내려면 보안 업계가 아니라 금융권과 정부 기관 들을 대상으로 시위를 하기를 바란다. 뒤에서 비겁하게 도매급으로 특정인과 불특정 다수의 사람을 업계라는 이름으로 뭔가 공인 인증서 정책이나 액티브 엑스와 관련된 정책에 커넥션이 있는 듯이 비난하지 말고… 어차피 보안 업계라는 실체도 없거니와 보안 업계를 대표해서 뭔가를 약속해 줄 수 있는 주체 자체가 존재할 수도 없고, 존재하지도 않는다.

댓글 남기기