2015

05월

18

액티브X 대체기술과 공인인증서 대체기술. 멈추지 않는 추락.

지난 달 옥션에서 제품을 구매하고 결제하려는데, 실행 파일을 내려받고 설치하도록 하더군요. 쓴 웃음이 나왔습니다. 많은 분들이 아시는 것 처럼 소위 액티브 엑스(Active X) 대체기술이라며 사용자를 위한 것도, 웹 중립과 웹 표준을 위한 것도, 보안을 위한 것도 아닌 방법이 나왔습니다. 대체설치를 대체기술이라고 말만 바꿨을 뿐이고 오히려 액티브엑스보다 더 위험할 수도 있는 설치방식으로 바꼈습니다.

제가 액티브엑스와 공인인증서에 대해 블로그에 몇 번 글을 적었지만 전 항상 ‘희망 없음’을 느낍니다. 오래 전 부터 누군가는 생각보다 빨리 액티브엑스(및 공인인증서)가 사라질 것이라고 말했지만 저는 늘 다른 방법으로 이어갈 것이라고 말했습니다. 왜냐면 그것이 더 큰 이익이라고 생각하기 때문입니다. 다행인지 불행인지 저의 생각이 맞았고요(?).

액티브엑스 대체로 보이는 기술, 또는 공인인증서에 관한 글을 또 한 번 적으려다가 경향신문에서 “‘눈 가리고 아웅’ 액티브X 폐기 정책” 이라는 제목의 상세한 기사가 있어서 굳이 그럴 필요는 없게 되었네요. 그냥 개인적인 생각이나 주저리 주저리 적고 마칠까 합니다. 공인인증서와 액티브엑스에 대해 간단하게 복습을 하고 가실 분은 공인인증서 FAQ를 읽고 가면 됩니다.

옛날엔 액티브X 없앤 결제 도입했다고 모든 카드사들이 결제를 중단했지.

구석기 시대로 보이는 2013년도에 액티브엑스 없이 신용카드 결제를 할 수 있도록 알라딘이 간편결제를 도입했을 때 모든 카드사가 결제 대행사인 페이게이트에 결제 중단 요청을 한 일이 있었습니다(액티브X 없는 간편결제, 논란 두 달만에 모든 카드사 이탈).

간편결제 관련 주무부서인 금감원 IT감독국 관계자는 “간편결제 논란 관련 이해당사자들과 한자리에서 충분한 협의를 진행하기 위해 노력하고 있다”면서 “간편의 반대말은 불편이지만 보안성을 담보한 불편이기 때문에 소비자들도 금융결제시 사고 발생이나 악용 위험에 대해 항상 인식할 필요가 있다“고 설명했다.

팔로워수 20만명이 넘는 이 대표가 현대카드의 간편결제 미지원 문제를 지적하자, 현대카드 정태영 사장이 “해당 결제방법은 규제상 허용되는 안전한 방법이 아니다“라고 맞받으면서 논란은 더 증폭됐다.

당시에 관련 부처나 카드사 대표의 말은 보안이었습니다. 그것도 사용자를 위한 보안을 말하고 있었습니다.

기사를 보면 카드사나 은행이 사용자의 보안을 걱정하는 것 같은데…

금융권이 원하는 건 보안이 아니라 사고발생시 회피기술입니다. 이것을 보안이 가능하다고 말하며 수많은 문제가 터지고 보안에 취약한 것이 끊임없이 드러나고 제기되고 있음에도 귀 닫고 보안을 이야기 하는 이유입니다. 보안을 위해서 불편을 감수하라는 것이 아니라, 금융사고시 책임을 지지 않을 수 있는 법적 근거를 마련하는 것이라고 보는 것이 타당합니다. 그런데 액티브엑스를 대통령 처럼 보이는 임금의 입에서 천송이인지 만송이인지 한 마디 떨어지니 발등에 불이 날 수 밖에요. 보안을 핑계로 자신들의 면책에 유리한 방식을 걷어내려고 하니 ‘대체기술’ 이라는 말로 기존과 동일한, 오히려 기존보다 더 위험할 수 있는 대체설치를 통해 계속 책임 회피를 할 방법을 찾을 수 밖에 없습니다.

대체기술로 설치된 프로그램들 보세요. 액티브엑스로 설치되던 업체 그대로입니다. 설치방법만 바꿔서 주고 과거와 동일한 영광을 세세무궁토록 누릴 수 있으니 아무리 사용자들이 바이러스보다 더 나쁜 쓰레기라고 해도 변함이 없을 수 밖에요. 그들의 관계는 그리 쉽게 깨지지 않을 겁니다. 앞으로도 계속.

사용자에게 책임을 전가하는 최고의 선택. 공인인증서.

물론 이 기사만 그런 것이 아니라 거의 대부분의 기사가 공인인증서 같은 좋은 인증방식이 사라져서 기업이 고민인 것처럼 기사들이 나오고 있습니다. 고객과 은행 모두를 지켜줄 수 있는 기술을 국가의 정책으로 없애면서 큰 일이 날 것 같은 기사들입니다. 하지만 내용에서 나오듯 자신들도 모르게 실제 이유를 말하고 있습니다.

공인인증서 사실상 완전 폐지…은행들, 대체 인증수단 없어 ‘고심’ 중.

다시 말해 공인인증서를 대신할 만한 인증수단을 마련하는 게 현재로선 쉽지 않아서 문제다. 일부 은행들은 새로운 인증기술을 내놓거나 준비 중이지만 공인인증서보다는 안정성이 떨어진다는 평가다.

한 은행 관계자는 “금융당국이 공인인증서를 대신할 다른 수단과 병행 사용해도 된다고 했지만 사실상 (공인인증서) 폐지를 의미한다”며 “은행들이 새로운 인증기술이 자리 잡을 때까지 공인인증서를 유지해야 한다”고 강조했다.

또 다른 은행 관계자는 “공인인증서가 지금은 폐지돼야 할 규제의 온상으로 지목되고 있지만 안정성 면에서는 이를 따라갈 만한 수단이 없다”며 “공인인증서보다 안전성이 떨어지는 인증기술을 사용하다 금융사고라도 발생하면 그에 대한 보상은 고스란히 은행이 져야 하기 때문에 고민이 많다”고 걱정했다.

부인방지라는 말로 공인인증서를 통한 금융사고를 사용자에게 전가해 온 금융권은 사용자에게 책임을 떠넘길 수 없게 될까봐 고민하고 있습니다. 자신들이 책임을 회피할 다른 인증수단이 나오기 전 까지 그들에게는 쉽게 복사도 되고, 쉽게 암호도 풀리는 공인인증서를 최고의 보안 인증수단으로 사용하고 싶은 것입니다.

물론 생각하는 것 보다 많은 분들이 불편해도 액티브엑스와 공인인증서가 필요하다고 생각합니다. 편의점이나 시장에 가서 물건 사면서 인감도장 찍는 것은 화를 내면서 말도 안 되는 소리라고 하는데, 인터넷 상에서 자기 인감증명서를 쇼핑을 하거나 은행업무를 볼 때마다 찍은 것은 보안때문에 불편해도 필요하다고 생각하는 이유는… 위와 같은 기사들이 참 많은 공헌을 한 것이라 생각합니다. 난 너를 못 믿겠으니 부인방지가 안 되지만, 국가에서 부인방지를 인정해주는 인감도장을 찍어라고 하는 것은 무슨 용기로 찬성하는 것인지 모르겠네요. 내 책임이 없어도 내가 책임지고 싶은 삶을 살고 싶으신 분들이 생각보다 많습니다. 아 작년에 이통 3시가 스마트폰 유심칩에 저장하는 스마트 인증도 출시했었죠?

외국은 모두 후진국에 선한 사람들만 살아서 안전한 건가?

그렇게 국가과 기업에서 보안을 챙겨주는 이 나라는 툭하면 개인정보가 털리고 온라인 사고가 나는데, 액티브엑스도 동작하지 않은 불안한 브라우저들로 쇼핑을 하고 은행업무를 봐도 대형사고가 나는 기사가 거의 없을까요? 아마존과 익스플로러와 공인인증서 없이 얼마나 위험한 사업을 하고 있는 것일까요? 페이팔을 통해 결제를 하고 자금을 관리하는 기업들은 얼마나 살얼음판 일까요?

더군다나 외국은 보안문제가 발생할 경우 1차적으로 사용자에게 책임을 묻는 것이 아니라 기업에게 책임을 묻는데 얼마나 국내의 기술을 도입하고 싶을까요? 요즘 갑자기 FDS 관련 글들이 많이 보입니다. 이상거래를 탐지하는 기술입니다. 외국의 경우는 이런 기술들이 많이 발달되어있습니다. 우리나라처럼 사용자에게 책임을 묻고 부인방지라는 족쇄를 채워 책임을 전가하는 시스템이 아니기 때문입니다. 공인인증서 강제가 사라지면서 우리나라도 FDS를 구축하는 은행권이 늘어나고 있습니다. 하지만 이 또한 이상한 방향으로 발전하여 사용자 PC의 맥어드레스, IP주소 등을 수집하는 등 개인의 영역을 침범하고 있습니다.

기업이 해야 할 일을 국가에서 강제하고, 그것도 사용자에게 책임을 전가하는 시스템을 만들어 안전하다고 사용하게 만들고, 그 기술은 국가에서 지정한 몇 업체에 한하여 사용해야 하는 불투명한 커넥션이 끊어지지 않는 악순환이 언제 끝날 수 있을지 모르겠습니다.

payment_01제가 보안이랍시고 카드번호나 비밀번호를 가상키보드를 띄워 일일이 누르게 하는 것까지는 양보하겠습니다. 하지만 결국 맨 마지막에 강제가 사라진 공인인증서를 통해 끝끝내 부인방지를 통해 사용자에게 책임을 전가하려는 모습에서 가상키보드가 과연 보안을 위한 것인지 다시한 번 생각하게 됩니다. 누군가는 그럴 겁니다. SSL을 통한 통신만 암호화가 일어나는 것이지, 내 컴퓨터에 내가 입력하는 키는 가로챌 수 있다고 말입니다. 그걸 아는 분이라면 공인인증서와 액티브엑스가 더 빨리 없어져야 한다는 것을 찬성하지 않는 이유가 오히려 궁금해질 뿐입니다.

우리나라도 이제 FDS를 도입하지 않냐라고 말하시는 분들도 계시겠지만, 사고가 나면 기업이 개인에게 사고에 대한 책임을 지도록 법적으로 되어있는 곳에서 사고 방지를 위해 발전한 FDS와, 말도 안 되는 부인방지라는 방식으로 사용자에게 책임을 떠넘기고 사용자의 실수가 아니라면 ‘법적으로 해결하도록’ 하는 환경에서 나온 FDS가 같다고 볼 수 있을까요? 앞서 말씀드린대로 이런 이유로 좀 더 다양한 정보를 수집하는 형태가 되고 있는데요.

액티브엑스든 대체기술이든 공인인증서든 언젠가는 사라질지 모릅니다. 하지만 지금은 아닙니다. 언제 또 어떤 바람이 불어 한 곳에서 좋은 반응이 일어나면 모를까, 각 부처마다 하나의 안건을 놓고도 다른 규제를 하는 나라에서, 또한 그들과 이어져 자신들이 절대 책임을 지지 않으려 하는 암울한 상황에서 그렇게 빨리 사라지지는 않을 것이라고 생각합니다.

끊임없이 사고가 터져도 국가에서 안전하다고 강제하며 공인인증서, 액티브엑스, 아이핀, 마이핀을 다양한 방법으로 강제로 쓰게 만들고 세상 어디에서도 사용하지 않는 샵메일도 만들어 강제하게 만드는 것을 넘어, 마치 대체하지 않으면 사용자가 큰일 날 듯, 자신들의 책임회피에 큰일 난 모습을 보고 있으니 지긋지긋 하네요.

간단하게 볾만한 참고글

액티브X보다 더 나쁜 exe 파일 설치 – 잘못했어요, 그냥 액티브X 쓸게요 엉엉
액티브X만 아니면 돼’ 대통령 명령이니까