2012

08월

01

안철수 교수님은 active-x(액티브엑스)를 없앨 수 있을까?

예전부터 항상 웹표준과 사용성에 대해서 강조하고 중요성과 당위성을 말해왔습니다. “네 직업상 그런 것이 아니냐”고 반문하는 분들도 계시겠지만 웹표준과는 거리가 먼 직종이었을 때에도 항상 주장하던 내용입니다. 많이 나아졌다고는 하지만 예전보다 나아진 수준이지 아직도 대부분 이런 주장에 “익스플로러면 됐지 왜 다른 브라우저를 신경쓰느냐” 라고 말하는 사람들이 더 많은 것도 여전합니다.
해외에서는 표준을 지원하는 버전의 익스플로러 9가 아니면 접근이 불가능한 서비스들이 생기는 이 시대에 말입니다. (익스플로러 9 또한 완벽하게 웹표준을 지원하지 못합니다. 전 10도 기대하지 않고 있습니다.)

한국에서 익스플로러를 사용하지 않는다는 것은 인터넷 쇼핑이나 금융 등 결제관련으로 모든 것을 할 수 없다는 말과 동일합니다. 사용자들에게는 선택의 권리가 사라지고 특정 OS와 특정 브라우저가 강제되어집니다.

특히 특정 OS와 브라우저에 편향된다는 것은 다양성의 문제를 넘어서 인터넷과 정보 관련분야의 발전이 정체되고 저해되며, 기득권력의 입맛에 맞추는 방법으로 사업이 운영될 수 밖에 없게 됩니다.
이것은 발전의 정체를 넘어 퇴보를 일으키며 심지어 종속으로 인해 발전할 수 있는 방법마저 제한되게 되는 심각한 문제입니다.

한국은 active-x (이하 액티브엑스)가 없으면 인터넷 서비스를 이용하기 힘듭니다. 많은 보안관련 업체들은 액티브엑스로 보안프로그램을 설치하고, 설치하지 않으면 서비스를 사용할 수 없는 상황입니다.

요즘 많은 사람들이 안철수 교수님의 행보에(?) 주목하고 있습니다. 저 역시 개인적으로 매우 존경하는 분입니다. 사업적인 부분으로만 보더라도 V3라는 백신도 만드셨고 정말 많은 어려움을 겪으면서 백신시장을 일궈내신 분입니다. 투자도, 지원도 제대로 되지 않던 당시의 한국의 열악한 시장에서 이만한 일을 하실 수 있는 분이 안철수 교수님이 아니라면 없었을지도 모릅니다. 또한 당시만 해도 경제는 디지털이 아니라 제조업이던 시절이니 그 어려움은 많이 알려진대로 말로할 수 없을 정도였겠죠.
아마 그보다는 그 분의 성품과 평소 말씀과 행동에 대한 감동이 진심에서 존경이 우러나는 것이라 생각합니다.

지난 달 오픈웹에 “안철수 교수님께 드리는 공개 질문” 이라는 포스팅이 올라왔습니다. 상당히 의미있는 질문인데요, 안철수 교수님의 행보와는 상관없이 안철수 교수님의 공과 사가 부딫히는 접점에서 그 분이 정치적으로 공적인 위치에 섰을 때, 어떤 결정을 보여주실 수 있는지 중요한 질문이라 생각을 하게 되었습니다.

분명 인터넷을 사용하시면서, 많은 국가기관에서 안랩의 액티브액스 프로그램을 사용하고, 당신 자신도 뱅킹, 결제 등의 문제를 알고 계실 것이며, 다른 분들과는 다르게 이쪽 분야와 매우 밀접하기에 문제점을 익히 알고 계실 것이기 때문에, 안랩의 대주주의 입장에서 ‘공적인 입장일 경우’ 내리는 결정은 정말 모든 것을 알 수 있는 부분이라고 생각합니다.

그동안 삼성.LG 동물원이라며, 어느 누구도 함부로 말할 수 없는, 심지어는 안랩을 운영하시면서 힘들 때 마다 삼성의 도움을 크게 받으셨던 분이시고 그에 대한 고마움도 표현하셨던 분으로서 우리나라 재벌기업의 문제점을 직언하실 수 있는 생각과 신념을 가지신 분이기에, 이 질문에 대한 답은 정말 중요하다고 생각합니다.

안철수 “신생 IT업체, 결국 ‘삼성·LG 동물원’에 갇혀 죽는다”
안철수 원장 “이대로 가면 삼성도 망한다”

이 정도로 안철수 원장님은 현재 한국의 문제점과 기업의 문제점, 그리고 그에 대한 소신을 말씀하실 수 있는 몇 안되는 사회적 인물입니다.
또한 앞서 말씀드린대로 인터넷 업계의 액티브엑스 문제도 잘 알고 계실 거라고 생각하구요.

한국은 사업하기 좋은 나라이면서 동시에 사업하기 힘든 나라입니다. 재벌기업들은 어떤 짓을 하더라도 모든것이 허용되고, 아이디어를 가지고 창업에 뛰어들면 기술보증기금 등의 국가 예산마저 이미 연초에 갈 곳이 정해져 있다는 말이 있을 정도인 상황입니다. 투자자들은 돈되는 곳에는 묻지마 투자를 하지만, 그 외에는 기업을 키울 생각도, 많은 창업자들이 자신들의 꿈을 펼쳐볼 용기마저도 들지 못하게 꺾기도합니다.

앞으로 태블릿 PC와 네트워크, 브라우저는 매우 중요한 역할을 담당하게 됩니다. 한국의 윈도우와 익스플로러 종속이 하루 속히 무너지지 않는다면 정말 힘들어지게 될 것입니다. (관련된 정책적인 문제는 제외하고)

보통 인터넷 분야에서의 1년을 현실에서의 7년 정도로 계산을 합니다. 만약 10년이 지난 업체가 있다면 그 기업은 현실에서는 70년을 버텨온 기업이 되는 것이죠.
그만큼 이 분야에서의 1년은 정말 귀하고 소중한 시간입니다. 이미 해외에서는 표준을 넘어서 경쟁체제에 돌입했는데 한국은 아직도 익스플로러 가지고 말다툼을 해야하고 정부의 규제와 외면으로 액티브엑스에 갇혀서 싸움을 벌여야 합니다. 정말 참담할 지경입니다.

더이상 지체해서는 안될 정도로 시급한 상황이 되어가고 있는 지금, 저는 안철수 교수님의 의견을 듣고 싶습니다. 지금의 상황에서는 보안업체 외에도 수많은 규제 속에서 얼마나 정체가 되고 뒤쳐질지 모릅니다.

물론 세상은 앞으로도 생산이 경제의 대부분을 차지할 것입니다. 하지만 그것을 받치고 이끄는 동력원 중하나가 IT임에는 분명하다고 생각합니다. 삽질과 폭력, 민영화와 FTA로 쓰러져 버리는 대한민국에서 이제 희망은 신생업체들과 아이디어 밖에 없습니다. 그마저도 잘못하면 힘들어 질지도 모르고요.

두서없이 공중에 붕 뜬 느낌의 글이 되어버렸지만 본질을 버리면 결국 사상누각이 되어버립니다. 공대생들은 사라져 가고, 생명을 살리는 의학은 외모와 돈벌이에만 몰리고 있습니다. 내과와 외과 의사가 사라지면 성형외과 의사가 인공호흡을 해서 사람을 사릴 수 있나요?
자동차는 생산하는데 엔진은 제대로 못만드는 나라인 이유는 기본보다 유행이 대접받기 때문입니다. 그러니 옴니아를 만들어서 전지전능이라 사람을 등쳐먹을 비양심이 존재하는 것이고, 백혈병 환자가 발생하는 작업장에서 일하는 근로자들을 부속품 취급하며 감시나 하는 것입니다.

마지막으로 앞서 말씀드렸듯 저 역시 안철수 교수님을 존경합니다. 모든 면에서 깨끗하라는 것도 아닙니다.
분명 제가 생각하기에 그 분의 상식이라면 공적인 위치에서는 옳은 판단을 할 것이라 생각하고, 보안업체 역시 발전없이 인맥과 영업을 빼면 기술력은 사라지고 없지만, 규제가 바뀌고 액티브엑스가 없다면 정말 많은 변화가 일어나고 경쟁으로 인해 기술이 발전하고 종속없는 발전이 이루어 질 것입니다.?저는 다만 더 늦기전에 빨리 이런 상황이 와야 한다고 생각하고, 그에 대한 답을 듣고 싶을 뿐입니다.

  • AX논란은 보안회사들보다.. 사실 언젠가부터 정보화를 멈춰버린 정부에 있다고 봅니다. 시대는 바뀌었는데 관련 법안 개선은 뒷전인셈이죠. 그 법안에 묶여서 개선은 쉽지 않고, 은행은 이미 만들어놓은거 돈들여서 바꾸고 싶지 않고… 반대로 쇼핑쪽은 돈이 되므로 우선 AX를 우회해서 때아닌 SMS 소액결제가 호황을 맞고 있죠.

    • 페이퍼북

      정부에 대한 논란을 시작하려면 98년으로 돌아가야 하고, 글에서 말씀드린대로 정부의 문제를 떠나서 말씀드린 것입니다. 또한 보안프로그램은 (다른 프로그램도 마찬가지지만) 액티브엑스를 통해서 배포하거나 관리하지 않아도 가능합니다.

      그들 자체가 경쟁과 발전이 귀찮은 것이 더 큰 이유겠죠. 술 한잔 기울이고 결과만 기다리면 되니.
      그래서 퇴보하는 겁니다.
      좀 오래 된 실제 예를 하나 들자면.. 관공서에 영업하는 업체가 관공서로 부터 수주를 받으면 금액의 50% 정도가 접대와 영업비용으로 사용된 것입니다. 1억 짜리 수주를 받으면 실제 개발, 납품, 유지 비용은 절반인 5천이면 충분하고 수익도 난다는 것이죠. 직접 영업사원에게 들은 이야기 입니다.

      정부는 더 퇴보했지만 공무원은 오히려 청렴해졌다고 믿고있습니다. (?)
      또한 법안 개선이 안되는 이유는 굳이 말씀 안드려도 될 것같습니다. 위의 예를 통해 산출되는 답이 있으실테구요.
      따라서 정부의 탓으로만 돌리고 손 놓고 영업만 하는 안일한 자기들의 레이스를 벌이는 업체들의 책임도 큽니다.

      예전에 네이버가 오래된 카스퍼스키 엔진으로 만든 백신을 만들어 배포하며 카스퍼스키엔진의 이름만 내세웠던 것처럼, 현재 라인이라는 앱이 5천만 다운로드가 일어났다고 하지만 국내와 일본 위주의 다운로드이며, 그 의미가 사실은 크지 않지만 수치만으로 사용자를 현혹하는 것과 마찬가지 인 것입니다.

      항상 근본과 기본이 흔들리거나 흔들게 되면 그 이후는 반드시 잘못된 상태가 되게 되어있습니다.
      액티브엑스는 이유가 어떻든 잘못된 것이고, 문제가 많으니 없애야 할 종속적인 기술입니다. 어느정도의 장점으로 이것은 낫습니다로 평가 되어야 할 부분이 아니라고 봅니다.

  • 그리고, AX가 악이냐.. 아닙니다. 윈도우즈 자체가 가지고 있는 취약점이나 공격방법은 AX가 오히려 최선인 면도 있습니다. 다만, 안써도 되는데 과도하게 써서 문제이고, 보안사고를 제품으로 보는게 아니라 프로세스로 보고, 문제가 터졌을때의 대응방법과 최소화하기위한 제도적, 조직적 고민도 함께 이루어져야 합니다. 이것을 가장 잘 아는 회사가 바로 보안회사들이구요. 근데 발주처들은 비싼 보안장비 하나사면 무적인줄 알고, 무적이라고 구라를 치고 파는 보안회사들의 문제이니, 피해는 고스란히 사용자가..

    • 페이퍼북

      솔직히 지금 말씀하시는 방식은.. 액티브엑스가 없어도 보안에 취약하다는 논리와 비슷해서 어느정도 인정하기 힘든 부분이 있습니다.
      또한 그렇다 하더라도 액티브엑스의 문제점이 더 심각하고 더 많은 문제, 단편적인 예를 들자면 글에서 말씀드린 특정 영역에 속해져 버리는 문제도 예로 들 수 있겠고요.
      액티브엑스는 절대 최선이 될 수 없습니다. 보안 프로그램은 액티브엑스가 아니더라도 설치가 가능합니다. 말씀하신데로 그것을 액티브엑스를 통해 설치하는 것도 문제고 그것을 통해 관리하는 것 자체도 심각한 문제고요.

      또 하나. 저는 항상 보안은 논리가 아니라 인문적인 부분이라 강조하는데 보안을 컴퓨터의 크래킹 정도 선에서 해결하려고 하는 것 자체도 문제죠.

      가장 심각한 것은.. 서버에 대한 검증은 없으나 사용자에게 그것을 전가시키는 것입니다. https 프로토콜을 통해 베리사인이나 코모도 같은 인증업체에 업체의 서버를 인증을 통해서 사용자에게 제공을 하고 보안관련이 필요없는 부분은 http로 제공하면 되죠.

      이것 역시 논리적 보안이 아니라 인문적 보안에 따른 논리적 보안이라고 보아야겠지만 한국은 정부부터 기업까지 이 모든것을 무시하고 있습니다. 클라이언트만의 문제가 아닙니다.

      해외사이트에서 카드결제 해보셨나요? 어떤 것도 필요 없습니다. 검증업체가 그들의 서버를 검증해주고 사용자는 검증된 서버에서 결제만 하면 제품을 다운로드 받고 설치합니다.

      다시 한 번 말씀드리지만 특정 OS에서 돌아가고, 특정 영역에 대해서 상대적으로 나은 것에 대해서 최선이라 말하는 것은 다른 보안방식도 취약하다는 말로 액티브엑스를 옹호하는 것 외에 어떠한 대안도 되지 않고, 더 큰 문제를 야기할 수 있습니다.

  • Pingback: 8월 18일 부터 갑작스런 보안서버 의무화? 이해할 수 없는 움직임. | 페이퍼북()

  • Pingback: 정보통신망법 개정으로 적용된 보안서버 의무화 추가내용 | 페이퍼북()

  • Brian Lee

    오랜만입니다. 결국 바라던 바가 이루어젔군요. 축하드립니다.
    http://openweb.or.kr/wp-content/uploads/2012/11/ahn_pledge203.pdf

    • 페이퍼북

      아직은 공약일 뿐이고, 시작된다고 해도 한동안은 변하지 않을 겁니다. 지켜봐야 하겠죠.
      기대효과는.. 링크에 나와있는 것 이상입니다.

      중요한 것은 변화의 단초가 마련된다는 것이고, 머뭇거릴 때 어디선가 강풍이 몰아치면 한국의 특성상 언제 그랬냐는 듯 모든 업체들이 표준 운운하며 다 바꿀 것입니다.

      대선을 지켜봐야 아는 문제니 패스..;