-
대한민국의 인터넷 서비스의 질을 퇴보시키는 구시대 악습의 카르텔. 깨기 위해서는 큰 틀에서의 투자가 필요한데...Security 2012. 6. 29. 12:00반응형이 글은 전에 소개했던 남성잡지인 '에스콰이어' 6월호에 실린 글입니다. 원본을 공개합니다. 잡지에 실린 내용은 약간의 편집이 들어가있으니 참고 바랍니다.
인터넷을 통해서 뭔가 물건을 사기 위해 컴퓨터를 켜고 인터넷 쇼핑몰에 들어가면 가장 먼저 뜨는 것이 뭔가를 설치하라는 다이얼로그 박스일 것이다. 쇼핑몰에서 뭔가를 사기 위해서는 어쩔 수 없이 설치해야 하며 그렇지 않으면 원하는 물건을 살 수 없기 때문이다. 인터넷 쇼핑몰에 들어와서 원하는 물건을 선택했고 그것을 사기 위해 결재를 시도하면 또 보안 플러그인을 설치하라고 다이얼로그 박스가 뜬다. 결재까지 끝난 다음에 웹 브라우저의 플러그인 검색을 살펴보면 하나의 사이트를 이용하기 위해 꽤 많은 보안 플러그인, 화면 지원 플러그인이 설치되어 있는 것을 볼 수 있다.
같은 상황이 인터넷 뱅킹에서도 벌어진다. 이체를 하기 위해 모 은행의 인터넷 뱅킹 사이트에 들어갔더니 보안 플러그인을 설치하라고 뜬다. 설치하고 인터넷 뱅킹을 진행하다가 이체 작업에 들어가면 또 보안 플러그인을 설치하라고 한다. 인터넷 뱅킹에서는 자금 이체 시 공인인증서와 보안카드, 혹은 OTP(One Time Password)를 이용해서 본인 인증을 한 후에 진행된다. 이 과정에서도 수많은 보안 플러그인 설치를 요구하다. 인터넷 뱅킹이 끝난 다음 웹 브라우저의 플러그인 검색을 살펴보면 인터넷 쇼핑몰보다 더 많은 플러그인이 하나의 인터넷 뱅킹 사이트를 이용하기 위해 설치되어있는 것을 볼 수 있다.
요 몇 년 동안 우리는 웹 표준이라는 큰 흐름을 맞이했다. 웹 표준은 어떤 OS에서도, 또 웹 브라우저에서도 동일한 화면을 볼 수 있게 표준화된 웹 언어로 인터넷 서비스를 만드는 일종의 표준화를 뜻한다. 이런 흐름에 맞춰 전세계는 지금 크로스 플랫폼, 크로스 웹 브라우저라는 모토에 맞게 인터넷 서비스를 개선하고 있다. 하지만 아직까지 대한민국은 이런 웹 표준의 흐름을 제대로 따라가지 못하고 있는 것이 현실이다. 아직도 수많은 인터넷 서비스가 ActiveX를 이용해서 서비스를 제공하기 때문이다. 왜 그것이 문제가 될까?
국내에서 많이 사용하고 있는 ActiveX 기술은 MS의 Windows라는 OS에서 역시 MS가 만든 인터넷 익스플로러(이하 IE)라는 웹 브라우저에서만 사용할 수 있는 기술이다. ActiveX 기술은 웹 브라우저에서 웹 서비스를 구현하는데 있어서 웹 브라우저가 설치된 컴퓨터의 자원을 사용할 수 있게 만들어주는 기술이다. 웹 브라우저 자체는 원래 웹 언어로만 표현할 수 있으며 시스템 자원(그래픽 카드의 더 확장된 기능 등)이나 웹 브라우저에서 제공하지 않는 기술에 대해서는 사용할 수가 없다. 하지만 Windows 환경 위에서 IE를 사용한다면 ActiveX 기술로 웹 브라우저 플러그인을 만들어서 IE에서 제공할 수 없는 기능들을 만들어서 사용할 수 있다. 그래서 국내에서는 10년 전부터 이 기술을 이용해서 다양한 기능을 인터넷 서비스에 적용해서 운영하고 있다. 인터넷 서비스가 가질 수 없는 기능을 확장시켜준다는 의미에서는 훌륭한 기술이라고 할 수 있을 것이다.
그렇다면 왜 문제가 되는 것일까? ActiveX는 Windows 위에서 IE에서만 사용할 수 있다. Linux나 Mac OS X, Chrome OS와 같은 Windows 이외의 OS에서는 사용할 수 없다. 또 같은 Windows에서 동작하는 웹 브라우저라고 하더라도 IE 이외의 Firefox, Chrome과 같은 웹 브라우저에서는 사용할 수 없다. ActiveX 기술은 오로지 IE만을 위한 기술이기 때문이다. 요즘 스마트폰, 태블릿 PC 등의 모바일 단말기를 이용해서 모바일 인터넷 서비스를 많이 즐기는데 ActiveX는 모바일 환경에서는 전혀 사용할 수 없는 기술이기도 하다. 즉, 오로지 데스크탑 환경의 Windows 위에서 IE에서만 사용할 수 있는 제약이 무척이나 심한 기술이라는 것이다. 요즘같이 크로스 플랫폼, 크로스 웹 브라우저 시대에는 도저히 안 맞는 기술이라고 할 수 있다.
많은 인터넷 서비스들이 점점 ActiveX를 걷어내고 웹 표준에 맞게 인터넷 서비스들을 바꾸고 있다. 하지만 아쉽게도 은행권의 인터넷 뱅킹 서비스와 신용카드사의 인터넷 서비스, 그리고 인터넷 쇼핑몰과 같은 서비스는 여전히 ActiveX 기술을 고수하고 있어서 많은 사람들로 하여금 사용성에 불편함을 주고 있는 것이 현실이다. 이들은 왜 시대의 흐름을 따르지 않고 마이웨이를 외치고 있는 것일까?
이런 현상에 대해서 알아보기 전에 왜 ActiveX 기술을 사용해야만 했는지 그 배경부터 살펴봐야 할 것이다. 한국에 본격적으로 인터넷 서비스가 활성화된 것은 2000년 초반이라고 봐야 할 것이다. 인터넷 서비스를 이용해서 점점 금융 거래에 대한 요구 사항이 생기자 정부는 인터넷 서비스 보안 가이드를 제시한다. 국가정보원을 통해서 만들어진 이 인터넷 서비스를 위한 금융 거래 보안 가이드에는 실제 은행에서 금융 거래를 하는 것을 모티브로 삼아서 비슷한 수준의 보안성을 유지하기 위해서 다양한 보안 지침을 포함시키게 된다. 대표적인 것이 사용자 PC의 웹 브라우저와 금융 거래를 할 서비스(인터넷 뱅킹이나 인터넷 쇼핑몰, 혹은 신용카드 인터넷 서비스 등) 사이의 암호화 통신과 사용자 PC의 웹 브라우저에서 입력되는 내용을 보호하는 키보드 보안 기능이 그것이다. 그리고 보통 은행에서 주민등록증과 같은 신분증으로 자기를 증명하듯 인터넷에서 자기를 증명하기 위해 공인인증서를 사용하도록 가이드라인을 내놓게 된다. 암호화 통신과 키보드 보안, 그리고 공인인증서 사용이라는 가이드라인은 각기 시기에 차이가 있었지만 모두 인터넷 서비스에서의 금융 거래를 안전하게 하기 위한 최소한의 보안 지침으로 정부에서 제시한 방법이며 법제화해서 지켜야만 하는 상황이었던 것이다.
2000년대 초 중반에 국정원에서 제시한 이런 보안 지침을 지키기 위해서 서비스 사업자들은 서비스 개발사에 해당 기능을 요구하게 된다. 이런 상황에서 서비스 개발사들이 취할 수 있는 방법은 그 당시로서는 ActiveX기술 외에는 없었다. 2000년대 초 중반에는 국내의 PC 사용자들 중 99%에 가까운 사람들이 Windows를 사용하고 있었으며 그 중에서도 또 99% 정도가 IE를 웹 브라우저로 사용하고 있었다. 즉, 대다수의 사람들이 Windows에 IE를 사용하고 있었다는 것이다. 물론 그 당시에도 Linux를 사용하던 사람들이나 매킨토시에서 Mac OS X를 사용하던 사람들이 있었지만 절대적 다수를 차지하는 Windows 사용자들에게 다수의 논리에 밀려서 목소리를 낼 수 없었던 상황이다. 그렇기 때문에 서비스 개발사들은 보안 솔루션 회사에 보안 플러그인 제작을 의뢰했고 가장 많이 사용하는 환경(Windows에 IE)에 맞춰서 암호화 통신 플러그인과 키보드 보안 플러그인, 그리고 공인인증서 플러그인을 만들어서 제공했던 것이다. 그리고 서비스가 구축되고 운영되면서 적어도 2000년대 중 후반까지는 별 문제없이 사용되었다.
또한 ActiveX를 사용할 수 밖에 없었던 이유 중에 하나는 국정원에서 국산 암호화 알고리즘을 인터넷 암호화 기술로 사용하도록 규정했는데 그 당시 웹 브라우저가 이 암호화 알고리즘을 지원하지 않았기 때문에 국정원 요구 사항에 충족되기 위해 어쩔 수 없이 ActiveX를 이용해서 암호화 플러그인을 만들 수 밖에 없었다. 그리고 지금도 국산 암호화 알고리즘을 지원하는 웹 브라우저는 아직도 없다. 웹 브라우저가 대부분 MS나 모질라 재단, 구글과 같은 해외 업체나 커뮤니티에서 만들어지기 때문에 국산 암호화 알고리즘이 탑재되지 않는 것이다. 재밌는 것은 현재 가장 많이 사용하고 있는 AES 암호화 알고리즘 역시 2000년대 후반부터 공개되어 웹 브라우저에 탑재되기 시작했다. AES 암호화 알고리즘은 미국에서 국가 지정 암호화 알고리즘으로 지정되어 미국 이외의 국가에서는 사용할 수 없게 강제했기 때문에 공개되기 전까지는 미국 이외의 국가에서 배포된 웹 브라우저에는 AES 암호화 알고리즘을 사용할 수 없었다. 즉, 이런 이유로 금융 거래가 필요한 인터넷 서비스는 ActiveX를 이용한 보안 플러그인을 필수로 사용할 수 없었다. 그것이 지금까지 이어진 것이다.
그렇다면 2000년대 초반에 규정된, 그리고 만들어진 서비스를 왜 지금까지 끌고 와야 하는 것일까? 이 부분에 대해서는 정부와 서비스 제공자, 보안 업체, 그리고 사용자 입장에서 살펴볼까 한다.
정부는 2000년대 초반에 만들어진 인터넷 금융 보안 방침을 계속 바꿔오고 있지만 여전히 처음에 만들어진 큰 틀은 바꾸지 않고 있다. 사용자 PC의 웹 브라우저와 서비스 서버 사이에는 국가가 지정한 암호화 알고리즘이 탑재된 암호화 방식을 사용해서 보안해야 한다는 것과 사용자 PC의 웹 브라우저에서 구동중인 인터넷 금융 서비스에서 입력된 모든 내용들은 다 보안이 이뤄져야 한다는 것, 그리고 30만원 이상의 금융 거래 시 반드시 공인인증서를 사용해서 본인 인증을 해야 한다는 것은 예전이나 지금이나 동일하게 유지되고 있다. 최근에는 좀 더 보안성을 높이기 위해 문자서비스를 이용한, 혹은 OTP를 이용한 2차 인증이 필요 조건으로 추가되고 있다는 것이 다를 뿐이다. 그리고 정부는 이러한 보안에 대한 기조를 계속 갖고 갈 생각으로 보인다. 정부는 인터넷 금융 거래 뿐 만이 아니라 모바일 금융 거래에서도 동일하게 이런 기준을 적용하라고 지시하고 있는 상황이다. 이건 또 법으로 규제되고 있기 때문에 반드시 따라야 하는 부분이다.
서비스 제공 업체 입장은 정부의 지침이 변하지 않는 한 지금의 틀을 뜯어 고칠 필요가 없다고 생각하는 쪽이다. 비싼 돈을 들여서 구축했고 또 그 동안 안정화에 많은 물질적, 시간적인 노력을 쏟아 부었는데 웹 표준이다 뭐다 해서 기능을 바꿨다가 오히려 안정화된 서비스가 불안정해지는 상황이 오게 되면 서비스 제공 업체로서는 부담이 크기 때문에 지금의 틀을 그대로 유지하려고 하는 것이다. 웹 표준에 맞추려면 지금의 방식으로는 불가능하기 때문에 새로 만들어야 하는 상황이지만 그렇게 하기에는 투자 대비 효과가 적다고 판단하고 있는 것이 현실이기에 그렇다.
인터넷 금융 서비스에 보안 모듈을 제공하는 보안 업체의 입장은 어떨까? 인터넷 뱅킹을 예로 들면 인터넷 뱅킹 서비스의 유지보수는 해당 서비스 공급 업체가 맡아서 해야 하는 것이 맞지만 현재는 보안 모듈을 제공한 보안 업체들이 보안 관련 이슈가 나올 때마다 유지보수를 진행하고 있다. 국내에 인터넷 보안 모듈을 제공하는 업체가 그렇게 많은 것이 아니기에 한 업체가 유지보수를 해야 하는 인터넷 서비스들은 상당히 많다. 보안 업체에 해당 유지보수를 맡는 엔지니어 수는 점점 줄어가고 있는 상황이다. 그렇기 때문에 보안 업체 입장에서도 인터넷 서비스 자체가 바뀌는 것을 그렇게 달가워하지 않는 것이 현실이다.
즉, 정부의 기조가 변하지 않는 한 인터넷 서비스 업체는 움직이지 않을 것이며 보안 업체 역시 엔지니어의 수급 한계로 인해 변화하는 것을 꺼려하고 있는 어찌 보면 현 상태 유지를 위한 단단한 돌이 되어가고 있는 현실인 것이다. 이런 상황에서 사용자들이 아무리 웹 표준을 부르짖어도 업계가 움직이지 않는 이상 변화는 요원하다고 볼 수 있다. 어떻게 보면 정부 - 서비스 사업자 - 보안 업체의 카르텔이 단단히 형성되어 있다고 봐도 좋을 것이다. 그리고 이 카르텔을 계속 유지하기 위해 사용자들의 의견을 묵살하고 있는 것이 현실이며 가장 큰 문제다.
이 카르텔을 깨기 위해서는 가장 먼저 정부의 보안 기조가 바뀌어야 한다. 금융당국은 스마트폰과 태블릿 PC가 대중화되고 있는 2012년인 지금에도 2000년 초반에 만든 기준을 그대로 적용하고 있다. 국가에서 지정한 암호화 알고리즘을 이용해서 암호화 통신을 해야만 하며 입력되는 모든 내용을 보호하기 위해 키보드 보안을 해야만 한다. 또 사용자 인증을 위해서는 반드시 공인인증서를 사용해야만 한다. 이 기준이 2000년대 당시에는 맞는 기준으로, 혁신적인 방법으로 각광 받았을 지는 모르지만 2012년 오늘날에는 기술의 퇴보를 가져오는 기준으로 전락하고 말았다. 시대에 맞는 보안 기준을 다시 세워야 한다.
서비스 사업자의 마인드도 바뀌어야 한다. 인터넷 서비스를 구축하기 위해서는 수많은 돈과 인력 등 노력이 필요한 것이 사실이다. 인터넷 서비스를 구축하고 운영하면서 안정화 단계를 거치면서 지금의 안정된 서비스 환경을 만들어왔다. 여기에 쏟아 부은 돈과 시간, 인력 등을 생각한다면 서비스 사업자는 이 틀을 깨고 싶지 않을 것이다. 하지만 기술은 점점 변하고 발전하고 있다. 옛날에 구축된 인터넷 서비스들은 그 당시에는 혁신적이고 편리했을지 몰라도 지금의 상황에서는 오히려 사용자들을 더 불편하게 만드는 꼴이 되어버리고 마는 것이다. 시대에 맞게 서비스에 구현된 기술들을 업그레이드하고 바꿔야 할 경우에는 바꿔야 한다. 물론 업그레이드하고 또 바꾸면서 안정화 작업을 다시 진행해야 하고 그로 인한 물질적, 경제적 투자가 계속 이어져야 하겠지만 점점 퇴보하는 기술을 계속 끌어안는 것 보다는 지속적으로 업그레이드하는 것이 더 현명한 판단이다. 문제는 위에서 말 했듯 경제 논리와 서비스 담당자들의 자기 보신 논리로 인해 이런 업그레이드 작업이 진행되지 않는다는 점이다. 서비스 담당자들은 이런 업그레이드 요구에 대해서 대응하고 싶지만 그에 따르는 업그레이드 및 안정화 기간 동안의 경제적인 손실을 두려워하는 나머지 엄두도 못 내고 있는 것이 현실이기 때문이다. 경영진들이 이런 상황을 인지하고 지속적인 투자를 해준다면 충분히 해결될 수 있는 문제지만 아쉽게도 현재 서비스 사업자의 경영진들은 현재의 수익성에 조금이라도 안 좋은 영향(그것이 단기적으로는 손해지만 장기적으로는 오히려 더 이익일지도 모르는 일임에도 불구하고)을 끼치면 안 된다는 생각을 갖고 있기 때문에 경영진들의 마인드가 먼저 바뀌지 않으면 서비스 사업자의 변화도 어려운 것이 현실이다.
보안 업계도 변화가 필요하다. 과거에 구축된 기술 만으로 어떻게든 먹고 살기 위해 서비스 사업자에 로비하고 금융당국에 로비하는 그런 구시대의 악습은 버려야 한다. 물론 모든 보안 업체들이 다 그런 것은 아니지만 일부 대형 보안 업체들이 자신들의 기술을 계속 사용하게 하기 위해서, 즉 위에서 얘기한 저 카르텔을 유지하기 위해 전 방위적으로 로비를 벌이고 있다는 것은 이미 알만한 사람들은 다 아는 사실이다. 물론 기술의 흐름을 쫓아가기 위해 다양한 기술적 업그레이드를 내부적으로 진행하고 있는 보안 업체들도 있지만 그것을 서비스 사업자나 정부가 수용하게 하기 위함 까지는 너무나도 많은 난관이 있다는 것이 문제다. 보안 업체는 현재 자기들의 기술적 한계와 인력의 한계에 부딪치고 있는 상황인데 그것을 모면하기 위해 지금의 카르텔을 더 견고하게 만들고 있는 것이 문제다. 계속 ActiveX를 이용한 보안 플러그인을 사용하게 하도록 정부와 서비스 사업자에 로비하고 있는 것이 문제다. 타 운영체계나 타 웹 브라우저를 지원하기에는 기술적, 인력적 한계가 있기에 엄두를 못 내는 것이 원인이다. 즉, 내부적으로 투자하지 않고 로비에만 신경쓰기 때문에 기술의 발전에 역행하는 상황을 만들어가고 있다는 생각이 든다.
결국은 투자의 문제가 된다. 정부의 기조 유지는 서비스 사업자가 현재의 서비스 상황에서 더 개선하기 위한 투자를 하지 않음으로 변화할 의지를 보이지 않기 때문이며 그런 정부의 의지로 인해 보안 업계 역시 기술적인 업그레이드가 아닌 그저 현상 유지에 급급한 모습을 보이고 있다는 것이다. 그리고 이 모든 것의 결과가 계속 ActiveX를 이용한 보안 플러그인 사용으로 이어지고 있다는 점이다. 서비스 사업자는 정부의 기조가 변하지 않기 때문에 서비스의 개선에 대한 필요를 못 느낀다고 하고 있다. 서비스가 개선되지 않으면 보안 업체 역시 보안 기술을 업그레이드 할 필요를 못 느낀다. 문제가 되는 보안에 대한 불안 요소에 대한 기술 개선 정도만 진행하면 된다. 서비스 사업자나 정부가 지금의 틀을 깨고 투자라는 차원에서 대폭적인 개선의 노력을 보여야만 이런 카르텔을 깰 수가 있다는 얘기다.
지금 사용자들은 이런 카르텔을 깨고 사용성과 보안성을 둘 다 잡을 수 있기를 원한다. 카르텔의 한 축인 정부와 서비스 사업자가 큰 맘을 먹고 이 틀을 깨줘야 한다. 안 그러면 한국 인터넷 서비스 시장은 계속 시대에 뒤쳐지는 모습만 보이게 될 것이다.
반응형댓글