2016년 1월 12일 화요일

공인인증서를 둘러싼 감정과 대립

꽤 오랫동안 오픈넷 등을 중심으로 공인인증서에 대한 문제 제기가 있어 왔고, 그 주장의 타당함이 받아들여져서인지는 모르겠지만 공인인증서 의무사용 조항은 2014년 전자금융거래법 개정과 함께 사라졌다.

물론 여전히 공인인증서는 금융 거래의 필수 조건. 그래도 ActiveX에 의존하지 않는 공인인증서로의 변신 가능성이 갈수록 높아지고 있으니 바람직한 문제 제기가 아니었다 싶다.

그런데 이런 법 개정에 대한 불만, 공인인증서 자체가 폐기될지도 모른다는 불안을 느낀 사람들이 많았었나 보다. 최근 소위 '핀테크' 바람을 타고 결제 수단의 보안성이 강조되면서 그동안 공인인증서의 문제 제기에 앞장서온 오픈넷 등을 (비판이 아닌) 비난하는 여론이 나타나기 시작한 것.

특히 작년에 애플페이에 도입된 본인 인증 기술을 예로 들며, '애플도 인정한 공인인증서의 우수성'을 인정하지 않는 집단으로 오픈넷 등을 매도하는 듯. (SNS 상에서 '패거리' 등의 용어를 통해 극심한 분노를 표출하는 모습에 살짝 쇼킹)

자신이 원하는 얘기만 듣고 싶어 한다는 '확증편향의 오류' 사례가 아닐까 한다. 오픈넷은 공인인증서의 기반 기술인 PKI(Public Key Infrastructure)의 보안성이 낮다는 주장을 한 적이 없기 때문.

인증서를 아무나 복사할 수 있게 구현한 방식의 문제를 제기했고, 공정한 경쟁이 가능한 환경에서 기술 발전이 이루어진다는 믿음으로 공인인증서 사용을 정부가 ‘강제’하면 안된다는 주장을 했을 뿐이다.

  • 참고 : 공인인증서 논란과 해법
  • PKI의 핵심은 개인키의 기밀성, 인증서를 아무나 복사할 수 있다는 얘기는 개인키를 아무나 사용할 수 있다는 얘기.
PKI 개념(출처:minix.tistory.com/397)

심지어 오픈넷의 주축인 김기창 교수는 공인인증서에 대해 '유저 컴퓨터가 안 뚫렸다고 전제하면 아주 탁월한 해법'이라며 추켜세우기까지 한다. (2분 30초 경부터)


문제는 유저 컴퓨터가 너무 쉽게, 너무 많이 뚫린다는 것.

공인인증서를 이용한 보안 체계는 많은 문제를 불러일으켰다. 공인인증서를 쓰려면(유저 컴퓨터에 접근하려면) ActiveX를 써야 했고, 유저 컴퓨터를 지킨다는 명분으로 방화벽, 백신, 키보드 보안 등을 또 ActiveX로 덧칠해야 했으며, ActiveX 때문에 Internet Explorer만을 써야 하는 상황이 지속되면서 한 국가의 IT 환경이 특정 외국 기업에 종속되는 지경에 이르렀다.

공인인증서를 옹호하는 측은 이런 문제 제기에 대해 이렇게 반박하곤 한다.

"아무나 복사할 수 없게 해서 공인인증서 유출도 막을 수 있고, ActiveX 의존성도 없앨 수 있으며, 아예 온라인 발급을 막는 정책을 펴서 유출에 이은 불법 재발급도 막을 수 있다."

이런 개선안은 왜 문제를 제기한 후에야 나올까?

아니면 그때는 맞고 지금이 틀렸을까?

인간은 일단 적응하면 그 상태를 유지하고 싶어하는, 변화를 싫어하는 동물이기 때문이다.

"변화란 익숙하고 확실하고 예측 가능한 상태를 포기하는 것, 불확실하고 모호한 상태에 빠질 가능성이 높은 변화" - '지혜의 심리학' 중 (32 페이지)

그러나 방미가 '좀 조용히 살라'고 할 정도로 '설치던' 김부선 씨가 없었다면 난방 비리는 알고도 넘어가고, 모르고도 넘어가는 시시한 일상이 됐을 것이다. 결국 남들은 다 가만히 있는데 왜 혼자 나대냐는 비난을 감수하면서 누군가 총대를 메야만 감춰진 문제가 드러난다.


보안밥을 먹었다는 나는 공인인증서, ActiveX의 문제를 누군가가 제기하기 전까지 그게 문제인지 몰랐다. 인터넷 결제하느라 몇십 분, 몇 시간을 허비하는 과정에서 짜증도 나고, 리부팅이라도 하는 날이면 쌍욕-_-을 뱉어내면서도 그게 문제라는 생각을 못했다. 그냥 원래 그런 것, 보안은 원래 불편한 거라고 생각했다.

김기창, 김인성 교수의 주장을 듣고 나서야, 그때야 비로소 (고칠 수 있는) 문제라는 생각이 들었다. 고칠 수 있는데 왜 안 고칠까? 궁금증도 생겼다.

"사람을 포함한 동물들은 이득을 얻기보다 손해를 입지 않기 위해 열심히 싸운다." - '생각에 관한 생각' 중 (386 페이지)

결국 밥그릇 문제. 김부선 씨나 김기창, 김인성 교수 역시 오로지 널리 인간을 이롭게 하겠다는 홍익인간 정신의 발로에서 총대를 메지는 않았을 것이다. 서로의 이해관계가 충돌하고 있다. 이럴 땐 누구의 주장이 옳은 걸까?

기술적 완벽성, 고매한 도덕성 같은 것도 따져봐야겠지만 무엇보다 누구의 이익이 공리∙공익에 더 부합하는지를 따져야 하며 큰 방향, 총론이 맞다면 각론은 보완∙발전시키는 방향으로 이끄는 게 최선이라 생각한다.

그러나 사람은 감정의 동물

"심리학자 드루 웨스턴의 연구진은 공화당원과 민주당원에게 자신들의 후보가 명백히 틀린 발언을 하는 모습을 보여준 후, 개인들이 그 모순을 설명하려고 노력할 때의 뇌 활동을 관찰했다. 활성화된 부위는 이성이 아닌, 감정과 갈등 해결에 관련된 부위들이었다... 당원들은 자신이 원하는 결론을 얻을 때까지 인식의 만화경을 이리저리 돌리는 것 같았다." - '싸가지 없는 진보' 중 (95 페이지)

'사실 관계가 바뀔 때, 나는 내 마음을 바꾼다.'는 멋진 말을 남긴 케인즈같은 사람도 있겠지만, 나를 포함한 대부분의 사람들은 자신의 입장을 옹호하는 근거나 주장을 쫓게 되고, 호불호에 따라 고작 하나뿐인 장점이나 단점에서 눈을 떼지 못하며, 결과적으로 한 번 정한 입장을 쉽게 바꾸지 못한다.

그래서 서로의 입장이 팽팽한 사이에서의 논쟁은 달을 가리키는 손가락을 지적하고, 주장이 아닌 사람을 공격하기 십상이다. 감정 싸움이 되기 쉽다는 것. '싸가지 없는 진보'의 저자 강준만 교수는 논쟁에서 승리하려면 (상대방을 설득하는 것은 거의 불가능하므로) 논쟁의 구경꾼들을 내 편으로 만들라고 했다. 그러기 위해서 필요한 게 싸가지라고.

김기창, 김인성 교수의 주장은 지지하는 내가 봐도 좀 싸가지가 없더라(..) 적을 만드는 문체와 어투가 종종 보인다고나 할까? 기술자의 도덕성을 비판하고, 전문성을 의심하는 듯한 주장들.

월급 주고, 정책 만드는 사람 거스른다는 게 월급 받고, 정책을 따라야 하는 사람 입장에서 쉬운 게 아닌데. 걱정스런 마음에 기술자를 내 편으로 만들어야 하지 않겠냐는 의견을 전달하기도 했었다.

내 앞가림도 못하는 주제에 오지랖을 부린 이유는 비슷한 경험, 기술만 강조하다 되려 반감을 사게 된 경험이 있어서다. 2012년 'IDS와 보안관제의 완성' 초고를 완성한 후, 우여곡절 끝에 리뷰를 하게 됐는데, 그때 근거가 있다고 해서 주장이 무조건 받아들여지지는 않음을, 결국 사람들끼리 부대끼다 생기는 문제라는 사실을 어렴풋이나마 깨닫게 됐다.

다음은 당시 어느 리뷰어의 소중한 서평.

"전체적인 전개에서 실력이 없고, 기술력이 없고, 기술력을 향상시키려는 의지가 없는 것처럼 표현되고 있습니다. 제가 보기에는 주관적이고 특정 소그룹을 대상으로 하고 있는 것 같은데 이런 내용을 불특정 다수를 독자로 하는 책자에서 너무 쉽게 일반화 하고 있는 듯한 느낌이 듭니다. 솔루션 업계에 있지 않은 저도 읽어나가기가 불편한데... 무조건 잘못되었다. 내 생각대로 개선해야 한다는 전개는 타당하지 않습니다."

듣기 좋은 꽃노래도 한 두 번인 마당에, 반복되는 쓴소리는 감정의 골만 깊게 만들고 결국 이성은 사라진 채 감정만 남아 싸움 자체가 목적이 돼버린다. 오픈넷이 거의 10여 년 동안 공인인증서 문제 제기를 해왔지만 정작 해결의 실마리를 제공한 것은 '천송이 코트'. (대통령은 국민의 불편을 해소해줄 용의가 있지만 소통을 막고 왜곡하는 뭔가가 있다는 생각이 이 때 살짝 들더라)

오픈넷이 처음부터 서로 상처만 남는 감정 싸움을 피하고, 건전한 비판과 문제 제기에 충실했다면, (논쟁의 구경꾼인) 일반 대중의 인식 제고에 더 집중했다면 어땠을까? 기존 체계도 자정 노력을 기울이고, 공정한 경쟁을 통해 기술 발전이 가능한 환경을 더 빨리 마련했다면 어땠을까?

그랬다면 공인인증서를 가장 적극적으로 활용한 대한민국이 요새 트렌드라는 핀테크 보안을 선도할 수도 있지 않았을까? 애플은 KISA 따라쟁이에 머무르지 않았을까? (SNS도 그렇고, MP3도 그렇고 시작은 먼저 했는데)

공인인증서는 영원히

이러쿵 저러쿵 해도 공인인증서는 어떤 식으로든 유지되리라 본다.

"전자서명만이 ‘사용자의 거래내역이 변경되지 않았음을 증명’할 수 있는 부인방지 기능을 제공하며, 이는 전자금융사고 등 사용자와의 분쟁 발생시 해당 사용자의 책임을 입증하는 용도로 활용된다."

자나깨나 컴퓨터 안 뚫리길 바라는 수 밖에. 보안 업데이트 부지런히 하고, 모르는 사람은 말할 것도 없고 아는 사람이라도 인터넷으로 하는 요청은 일단 의심하고, 이메일 제목이랑 보낸 사람 잘 확인하고, 수상한 전화나 문자 피하고, 긴 비밀번호도 자주 바꿔주고.. 또 뭐가 있나? 

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스