"공인인증서, 우리는 13년 동안 속아 왔다"

이글은 프레시안 2013-04-23일자 기사 '"공인인증서, 우리는 13년 동안 속아 왔다"'를 퍼왔습니다.

[인터뷰] 오픈넷 김기창 고려대 교수

'3.20 전산망 대란' 사건을 비롯해 최근 연이어 발생한 사이버 공격으로 인해 사이버 보안에 대한 관심이 높아지고 있다. '3.20 전산망 대란'에 대해 한국 정부는 북한의 전문 해커 소행으로 결론 내렸다. 하지만 공격의 주체를 밝히는 것만으로 사이버 보안 위협에 대한 궁금증이 사라지는 것은 아니다. 우리는 왜 이러한 사이버 공격에 쉽게 노출되는 것일까?

해답을 찾는 노력은 쉽지 않다. 해킹과 보안은 고도의 컴퓨터 지식이 있어야 이해할 수 있는 영역이다. 정부는 북한 해킹의 증거로 북한에 할당된 IP 주소와 공격에 사용된 악성 코드의 종류 등을 공개하고 있지만, 이러한 공격이 어떻게 개인의 PC에 영향을 끼치는지에 대해서는 모호한 설명에 그치고 있다. 개개인의 보안 의식이 해킹 방지에 도움이 된다면, 일반 컴퓨터 이용자들에게는 꼭 필요한 정보다.

이 점을 고려하면, 한국의 사이버 보안 위협의 본질은 오히려 간단하다. 개인 PC가 악성 코드에 쉽게 감염될 수 있는 경로를 차단하면 불특정 다수를 노리는 해킹 공격을 상당수 예방할 수 있다. 문제는 그 경로의 일부가 한국 IT 환경이 태동하던 시절부터 정부에 의해 강제되고 적극 장려된 정책의 산물로 형성됐다는 점이다. 금융 거래에 사용되는 공인인증서와 공인인증서를 처리하는 액티브엑스(ActiveX) 보안 프로그램이 핵심이다.

공인인증서와 액티브엑스는 전자상거래를 이용하는 이들에게 익숙한 개념이지만, 그것이 어떻게 작동하고 어떤 위험을 안고 있는지, 정부의 전자상거래 정책이 왜 사이버 보안에 장애가 되는지 알기란 쉽지 않다. 규제 당국은 각 사용자가 공인인증서를 잘 보관하고, 비밀번호를 자주 바꾸면 된다고 홍보한다. 하지만 이는 컴퓨터를 이용하는 행동 양식과 IT에 대한 이해의 정도가 각기 다르다는 점을 고려하지 않은 채 해킹 피해의 책임을 개인의 부주의 탓으로 떠넘기는 처사라는 지적을 받는다.

해킹으로 인한 기업 공격뿐 아니라 자신의 개인 정보까지 피해를 보고 있는 일반 이용자들이 자신들을 지키기 위해서라도 이제 한국 보안 정책의 현실을 알아야 할 때라는 주장이 설득력을 얻고 있다. 2000년대 중반부터 한국의 공인인증 제도에 대한 문제 제기를 꾸준하게 해 왔던 오픈넷의 김기창 고려대 교수를 19일 만났다. 13년간 이어져 온 공인인증 제도를 돌아보고, 왜 이 제도가 현재 사이버 보안 위협에 대처하기 위해 해결해야 할 과제가 됐는지를 들어봤다. 아래는 이날 나눈 대화 내용이다. (편집자)

▲ 김기창 고려대 교수. ⓒ프레시안(최형락)

"해킹, '누가'가 아니라 '왜 이렇게 됐나'가 중요하다"
전자금융거래법 제21조3항 금융위원회는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 전자서명법 제2조 제8호의 공인인증서의 사용 등 인증 방법에 대하여 필요한 기준을 정할 수 있다.
프레시안: 최근 많은 관심을 끄는 사안이 지난 3월 20일 이후 벌어진 일련의 해킹 사건이다. 이달 초 정부 합동조사단은 북한이 해킹을 일으켰다고 발표했다. 국가적 차원의 사이버 보안도 챙겨야 하지만, 다른 시각으로도 볼 수 있다고 생각한다. 예컨대, 북한의 정예 사이버 전력만 막는다면 우리의 사이버 보안 수준은 괜찮은 편이라고 말할 수 있을까?

김기창: 역으로 '북한에 뚫리면 그건 괜찮은가'라는 질문도 가능하겠다. 그리고 지금 누구의 소행인지를 아는 게 그렇게 중요한가 싶다. 더 중요한 점은, 한두 번도 아니고 왜 이렇게 (해킹 사건이 자주 벌어지게) 됐느냐다. 북한 소행 여부는 논평할 가치를 느끼지 못하는 이슈다. 정말 관심을 가지고 정부와 보안 업체가 고민해야 할 문제는 '누가'가 아니라 '왜 이렇게' 됐느냐다. 그래야 재발을 막는 데 도움이 될 것 아닌가.

프레시안: '왜 이렇게'에 대한 단초가 정부의 발표 당시에 제기되기도 했다. 4월 9일 (MBC)는 보안 프로그램으로 널리 쓰이는 액티브엑스 '제큐어 웹'(Xecure Web)이 방송사와 금융사에 대한 악성 코드 유포 경로로 활용됐다고 단독 보도했다. 하지만 10일 정부 합동조사단은 이를 사실이 아니라고 밝혔다. 궁금한 점은 그렇다면 해커들은 어떤 경로를 통해 악성 코드를 유포했을까 하는 것이다. 여기에 대한 설명이 현재 정부 발표에서는 부족하다.

김기창: 기술적인 지식이 조금이라도 있다면 그러한 의심을 하는 것이 합리적이라고 생각한다. 정부가 이번 해킹 사건의 진상을 가리는 데 있어 신뢰를 얻지 못하고 있다. 정부 발표만 봐도 안랩이나 하우리 같은 보안 업체가 그동안 엉망으로 관리를 해왔다는 점을 부인하지 않는다.

제큐어 웹이 됐든, 다른 프로그램이 됐든 우리의 공인인증 제도, 공인인증 기술은 보안 업체들이 안전하다는 프로그램을 전 국민의 컴퓨터에 설치해야 구동되는 체제다. 프로그램을 제공하는 보안 업체들이야 당연히 그 프로그램이 안전하다고 한다. 자신들이 가지고 있는 능력을 발휘해 안전하게 만들려고 노력했다는 점을 부인하지는 않는다. 그렇지만 보안과 관련된 기술은 언제나 제3자의 검증이 필요하다는 점은 전 세계의 보안 전문가들이 다 인정하는 사실이다.

우리의 공인인증 제도를 이야기할 때 가장 중요한 부분은 안전하다고 선전하고 납품하는 제품이 정말 안전한지를 누가 검증하느냐에 있다. 이번 해킹 피해 기관에 프로그램을 제공하는 보안 업체는 당연히 그동안 최선을 다해, 안전하게 관리했다고 할 것이다. 그런데 그것을 누가 검증하나? 왜 국민에게 이러한 위험을 부담하게 하나? 지금 13년 동안 한국의 IT는 전 국민의 안전, 대한민국 IT의 안전 문제에 관해 3~4개의 보안 업체 말만 믿고 굴러 왔다고 해도 과언이 아니다. 어떤 기업이 보안 프로그램을 구입할 때는 해당 보안 업체 말만 믿는다. 다른 곳에 확인하지도 않고 제3자 검증도 없다. 이게 치명타로 돌아왔다.

공인인증 제도, 어디서부터 잘못 꿰었나
프레시안: 더 구체적으로 들여다보자. 2000년부터 전자상거래가 본격화됐는데, 왜 출발이 공인인증서였고, 왜 액티브엑스였는가?

김기창: 1999년 말까지 미국 정부는 암호화 기술의 대외 수출을 규제하고 있었다. 같은 마이크로소프트(MS)의 윈도 운영체제라도 미국 안에서 사용되는 윈도 인터넷 익스플로러(IE) 브라우저는 고강도 암호화 접속을 했다. HTTPS(인터넷 브라우저가 서버와 정보를 주고받을 때 사용하는 대화 규칙(HTTP)을 암호화 형식으로 제공하는 기술)라는 128비트 키 길이의 암호화 수준으로 접속했다. 그런데 미국 밖에서 쓰는 윈도에 포함된 IE 혹은 당시 유행했던 넷스케이프 브라우저는 40비트 길이의 저강도 암호화밖에 지원하지 않았다.

1999년 당시 기술로도 40비트 길이의 암호화는 실시간으로 뚫리는 수준이었다. 그래서 정부는 고강도 암호화 기술 개발이 제일 중요하다고 판단했다. 당시 김대중 정부에서 IT 강국 드라이브가 걸려 있을 때였다. 활성화되려면 결국은 전자상거래가 중요하고, 이를 위해서는 고강도 암호가 중요하다고 했다. 그 당시로는 옳은 판단이었다. 그래서 정부가 한국전자통신연구원(ETRI)에 자금을 지원해 전문가들이 당시로는 세계 첨단 기술과 같은 수준의 128비트 암호화에 성공했다. 그래서 국가가 이 기술을 전략적으로 지원하자고 해서 공인인증 제도를 강제했다. 좋은 기술이지만 강제하지 않으면 빛을 보지 못할 것이라는 명분이었다.

이 기술은 브라우저 내에 설치하는 부가 프로그램으로 구동한다. 액티브엑스는 인터넷 브라우저에 추가되는 부가 프로그램이다. 부가 프로그램은 파이어폭스, 크롬, 사파리 등 다른 브라우저에도 있다. 정부가 액티브엑스를 강요한 것은 아니다. 부가 프로그램을 설치하지 않으면 공인인증서를 사용하지 못하도록 되어 있을 뿐이다. 그 부가 프로그램이 액티브엑스가 된 이유는, 1990년대 후반 한국 개발자들에게 익숙한 기술이 액티브엑스였기 때문이다. 다양한 브라우저의 플러그인(plug-in)을 사용하면 위험은 덜할 것이다. 하지만 기술적으로 보면 플러그인을 이용한 서비스는 어쩔 수 없이 많이 쓰는 하나로만 수렴할 수밖에 없다. 서비스 제공자들이 여러 플러그인을 유지·보수·개선하는 것은 비용이 너무 많이 들기 때문이다.

프레시안: 당시로서는 합리적으로 의사 결정이 이뤄졌다고도 볼 수 있는데 왜 나중에 문제가 됐는가?

김기창: 안타깝게도 당시 두 가지 변화가 생겼다. 한국이 128비트 고강도 암호화에 성공했다는 게 국제 사회에 알려지자 미국이 즉각 암호화 기술의 대외 수출 규제를 풀어버렸다. 2000년 5월부터 전 세계에 배포된 IE나 넷스케이프 브라우저는 128비트 암호화를 지원했다.

한국이 별도로 개발한 기술은 그전까지 인터넷 브라우저의 저강도 암호화를 극복하기 위한 것이라는 전제가 있다. 브라우저 자체가 저강도 암호화만 지원하니 부가 프로그램을 설치해 극복하자는 것이었다. 이를 위해서는 웹 서버도 부가 프로그램을 설치해야 한다. 그래야 클라이언트(일반 이용자)와 서버 사이에 교신이 되기 때문이다. 그 당시에는 너무나 간명한 해법이었다. 그런데 미국이 규제를 풀면서 전 세계의 브라우저가 공통으로 고강도 암호화를 지원하게 된 것이다.

또 하나의 변화는 1999년 ETRI가 고강도 암호화 기술을 개발할 때만 해도 일반 이용자의 컴퓨터를 노린 해킹 공격이 현재처럼 집요하게 전개될 것이라고 아무도 예상하지 못했다. 당시로서는 '고강도 암호화가 필요하면, 프로그램을 개발해서 모든 이용자에게 뿌리면 된다'라는 간명한 인식이 통했다. 그런데 해킹이 잦아지니 액티브엑스를 포함해 플러그인을 배포하는 행위가 매우 위험한 행위가 됐다는 인식이 전 세계 전문가들 사이에 공유됐다.

게다가 우리의 128비트 암호화 기술은 현재 꼭 필요한 기술도 아니다. 현재 인터넷 브라우저는 256비트 길이의 암호화까지 지원한다. 128비트의 2배다. 키 값의 길이가 2배면 푸는 데 걸리는 시간은 기하급수적으로 늘어난다. 전 세계 브라우저가 그 수준인데 한국은 아직도 자체 개발된 128비트 암호화를 고집한다.

여기에 이용자들은 공인인증 프로그램과 다른 (악성) 부가 프로그램을 구분하지 쉽지 않다. 이는 모든 보안 전문가가 다 인정하는 사실인데 한국에서만 '믿을 수 있는 부가 프로그램만 설치하라'고 한다. 그게 무슨 의미가 있나. 필요도 없게 된 128비트 암호화 기술, 위험성이 엄청나게 커진 플러그인은 최악의 조합이다. 2000년대 초반에 이미 위험이 드러나기 시작했다. 그런데 당시 IT 드라이브를 건 정부의 공무원들은 규정을 만들고 나서 아무도 다시 들여다보지 않았다. 규정이 생기면 기득권이 생긴다. 그 체제가 13년을 갔다. 한때 잠깐 '우리도 국제 수준의 암호화 기술에 도달한 적이 있다'는 허황된 자부심, 공무원들의 공명심이 결합해 공인인증을 강제하는 규정이 탄생했고, 기득권이 생겨난 것이다.

프레시안: 기득권은 구체적으로 누구를 가리키는가.

김기창: 해당 기술로, 장사하는 업체들 몇 곳이 첫째다. 한국 보안 시장은 완전한 과점 상황이 됐다. 다른 경쟁 기술이 활발하게 들어올 수 없기 때문이다. 보안 업체들이 ETRI로부터 구입한 보안 기술로만 13년 동안 장사한 것이다. 그리고 또 다른 기득권이 있다. 금융 당국이다. 과거 공인인증 제도는 소관 부처가 몇 번 바뀌었다. 처음엔 옛 정보통신부였다. 정보통신부 담당 공무원들은 당시 공인인증이 꼭 필요한 기술이라고 했다. 그러다 소관 부처가 행정안전부로 바뀌었다. 그렇게 되니 정보통신부의 후신인 방송통신위원회에서는 공인인증서 기술이 꼭 필요한 것은 아니라고 했다. 반면에 행정안전부는 꼭 필요한 기술이라고 하고. 이게 기득권의 실체다.

▲ 공인인증서의 관리 수칙을 제시하는 정부의 캠페인 포스터.

"필요 없게 된 공인인증서, 솔직히 시인했어야 했다"
프레시안: 액티브엑스 문제만큼 공인인증서 자체도 문제라는 주장도 있다. 공인인증서는 하드디스크나 USB에만 저장하고 잃어버리지만 않으면 안전하다는 인식을 갖고 있다. 개개인이 보관하기 때문에 은행이 공격을 당해도 개인 금융 정보가 피해를 보지 않는다고도 한다.

ⓒ프레시안(최형락)

김기창: 공인인증서는 한마디로 컴퓨터파일이다. 파일이라는 것을 잘 인식하지 않고 뭔가 대단한 기술로 보거나, 전자상거래를 할 때 암호를 한 번 더 입력하는 절차 정도로 인식하는 경향이 있다. 하지만 공인인증서는 본질적으로 이용자들에게 나눠주는 파일이며, 잘 관리할 책임을 이용자에게 전가한다. USB에 저장하면 안전하다고들 하는데, 전혀 그렇지 않다. 하드 드라이브나 USB나 공격 주체에겐 마찬가지다. 해커가 이용자 컴퓨터에 침투해서 당장 하드 드라이브에 (공인인증서를 저장하는 폴더 중 하나인) 'NPKI' 폴더가 없다고 포기할까? USB에 저장했다고 해도 컴퓨터에 꽂았을 때 즉각 파악이 된다. 공인인증서는 그저 파일 형태로 폴더에 담겨 있어 (해커가 침입에 성공했을 때) 복사-붙여넣기를 하면 바로 빠져나가게 되어 있다. 사실상 남는 보안 장치는 (공인인증을 할 때 입력하는) 고정 암호밖에 없다.

프레시안: 고정 암호만 잘 간수한다면 공인인증서가 복사되는 것이 직접적인 피해로 이어지지는 않을 것 아닌가?

김기창: 그래서 비밀번호를 탈취당하지 않게 하겠다며 설치를 강요하는 게 키보드 보안 부가 프로그램이다. 그것을 설치하면 비밀번호 탈취를 막을 수 있나? 대부분 못 막는다고 본다. 프로그램이 나빠서가 아니다. 이용자의 이용 행태가 그런 방식으로 비밀번호를 지킬 수 없게 형성되기 때문이다. 공인인증서 암호와 다른 계정 암호를 같게 설정해 두고 쓰는 이용자가 대다수다. 키보드 보안 프로그램이 작동하지 않는 사이트에서 해당 계정의 비밀번호가 누출되면, 보안인증서 암호와 일치할 가능성이 높다.

파일 형태의 인증서도 누출되고 비밀번호도 탈취 위험이 있다면, 공인인증서로 어떻게 보안을 하겠다는 것인지 묻고 싶다. 금융 업계든 보안 업계든 공인인증서로는 사이버 위험을 막지 못한다는 걸 스스로 인정했기에 보안카드를 도입한 것 아닌가? 보안카드가 공격자 입장에서는 훨씬 공략하기가 어렵다. 이유는 간단하다. 원시적이기 때문이다. 온라인 상태가 아니기 때문이다. 이용자가 보안카드를 스캔해서 파일 형태로 쓰지 않는 한 안전성이 높다. OTP(일회용 비밀번호를 부여하는 인증 방식) 기술이 들어온 것도 고정 암호가 보안에 소용없는 기술이라는 것을 반증한다.

프레시안: 정리하면, 우리의 보안 정책은 첫 단추부터 의도와 달리 잘못 끼웠고, 그 뒤로는 어쩔 수 없이 굴러 오게 된 것으로 보인다.

김기창: 어쩔 수 없다고 볼 게 아니다. 정부에서 공인인증서 기술이 필요 없게 됐다면, 그 사실을 솔직하게 시인했어야 했다. 그것을 알리지 않고 마치 필요한 것처럼, 인터넷 브라우저 자체에서는 고강도 암호화를 하지 못하는 것처럼 10년 넘게 속여 온 것이다.
공인인증 제도 비판에 대한 반론들
프레시안: 결국엔 공인인증 제도 역시 한국이 온라인에서 갈라파고스가 된 원인을 제공했다고 보인다. 현재는 이에 대한 문제 제기가 어느 정도 받아들여지고 있는 듯하다. 한편으로 이러한 비판에 대한 반론도 나온다. 보안 업체 입장에서는 자신들이 정부 정책에 따라 움직일 수밖에 없어서, 비판받는 게 부당하다고 생각할 수 있다.

김기창: 그렇다면 한국에서 보안 전문가는 누가 되어야 하는가. 그러한 주장에 따르면 보안 업체 자신도 보안 전문가가 아니라는 말이 된다. 그것이 사실 현실이기도 하다. 자신을 보안 전문가 집단으로 규정하지 않고 규제 당국이 지시하는 대로 따르는, 금융 기관이 요구하는 대로만 프로그램을 공급하는 납품 업체라고 항변한다면 보안 업체라는 간판을 떼야 한다.

프레시안: 공인인증 제도로 일원화되고 이를 강제했기 때문에 전자상거래가 빠르게 성장할 수 있다는 주장도 있다.

김기창: 반대로 공인인증서가 없었다면 얼마나 더 편리하게 전자거래를 이용하고, 얼마나 많은 가능성이 열렸겠나. 그런 주장은 말이 안 되는 궤변이다. 안전한 기술이었으면 왜 강제를 했겠나. 안전한 기술이 있는데 일부러 허술한 기술을 썼겠나. 은행이 바보인가. 안전하니까 강제한다는 궤변이 13년 동안 이어져 왔다. 안전하다면 전 세계로 공인인증 기술이 팔려나갔을 것이다. OTP 기술이 왜 한국에 들어왔나, OTP를 개발한미국도 이를 강제하지 않는다. 한국도 OTP 기술을 강제하지 않는다. 그렇지만 들어와서 사용되고 있다. 안전한 기술은 전 세계로 퍼져 나간다.

우리의 공인인증 기술을 카메룬 등이 산다고 한다. 한국이 한국국제협력단(KOICA)을 통해 현지 정부를 지원하면, 다시 국내 기업이 현지에서 (공인인증 사업을) 수주해 시스템을 구축한다는 것이다. 이 기술이 그렇게 안전하다면 프랑스, 영국, 미국 시장에 진출하는 모습도 보고 싶다. 이제는 솔직해졌으면 한다. 전 세계에 공인인증서 없이 벌어지는 전자상거래의 규모를 생각해보라. 우리가 IT 강국이라고 자찬하는 것은 손바닥으로 하늘을 가리는 주장이다. 전 세계 전자상거래 규모에 비하면 우리 시장은 새 발의피다. 해외에서 공인인증서 없이 거래해도 크게 문제 되는 곳이 있었나.

프레시안: 13년 동안 이미 익숙해진 기술이기 때문에 적응하기 쉽지 않다는 주장도 있다.

김기창: 국가 차원에서 구축한 인프라라서 바꾸기엔 비용이 많이 든다고 한다. 하지만 개선하는 방법은 너무나 간단하다. 공인인증을 강제하지만 않으면 된다. 특정 보안 기술을 쓰라고 강요하지만 않으면 어떤 금융 기관은 공인인증서를 쓰지 않고 OPT로만 거래할 수도 있다. 국내에 알려지지 않은 다른 보안 기술을 동원해 거래하는 금융 기관도 나올 것이다. 대체 보안 기술을 도입하고 싶어 하는 금융 기관도 이미 있다.

그 은행과 거래하는 고객이 불편과 혼란을 겪을까. 어느 은행을 선택해 거래를 하는데, 공인인증서를 쓰지 않아도 된다고 하는 게 불편을 초래하나. 반대로 공인인증서를 유지하는 은행으로 거래한다면, 지금까지 쓰던 대로 사용하면 되는 것 아닌가.

프레시안: 그렇게 된다면 금융사나 쇼핑몰에서는 결제 방식, 보안 방식을 하나의 마케팅으로 활용할 수도 있겠다.

김기창: 당연하다. 그 가능성을 정부가 지금까지 막은 것이다. 은행·카드사들도 이 체제를 고통스럽게 생각하지 않는다. 치고 나가는 업체가 없는 구조를 만들었기 때문이다. 그 나물이 그 밥인 셈이다. 하던 대로만 하면 된다. 그런 시장을 만드는 게 정부가 할 일인가.

현재 은행·카드사들이 안이하게 영업하고, 그렇게 하는 다른 중요한 이유는 정부가 공인인증 기술을 안전하다고 계속 선전하기 때문이다. 정부가 안전하다고 선전하니 (개인정보 유출 관련 사건을 다루는) 판사도 헛갈린다. 정부가 안전하다는 공인인증 제도를 기업이 쓰다가 사고가 났는데, 아무래도 고객의 부주의로 인한 잘못일 가능성이 높다고 판단하는 것이다. 정부 정책 때문에 소비자에게 피해가 가는 것이다. 또한 우리의 보안 수준이 계속 낮아지게 만든다. 기업에 보안 사고에 따른 책임이 사라지면 보안에 투자할 이유가 없어진다. 그러다 보니 한국에는 온갖 괴상망측한 방향으로 법이 바뀌려고 한다. 기업이 보안 부문에 최소 얼마 이상을 쓰게 규정으로 강제하려는 움직임도 있다. 투자를 안 하는 것만 생각하지 투자를 왜 안 하게 되는지는 생각하지 않고, 그래서 법을 동원해서 강제한다는 논리는 전 세계에 유례없는 발상이다. 어떤 나라의 법도회사 총 예산의 몇 퍼센트를 어느 부문에 투자하라고 강제하지 않는다.

ⓒ프레시안(최형락)

공인인증서 강요 없는 세상을 상상하자
프레시안: 국내 전자상거래에만 익숙했던 소비자들이 새로운 경험을 한 것은 스마트폰이 보급되면서부터가 아닌가 싶다. 애플이나 구글의 애플리케이션(앱)을 구매하려면 카드 정보를 입력해야 하는데, 별도의 공인인증을 요구하지 않는다. 애플이나 구글처럼 전 세계의 소비자를 상대로 결제 서비스를 하는데 공인인증서를 요구하지 않는 것은, 공인인증 이외의 기술이 안전하다는 게 입증됐기 때문 아닐까?

김기창: 그래서 정부가 이제 특정 보안 기술을 선전하지 말았으면 좋겠다는 것이다. 쉽게 생각할 문제가 아니다. 피해자들의 보상 문제가 걸려 있는 첨예한 시기에 정부가 한쪽 편을 드는 것은 부도덕하다. 또 하나는 금융 기관들이 좀 더 활발하게 더 안전한 기술을 사용할 수 있게 됐다고 해보자. 국내 IT 인프라를 바탕으로 다양한 서비스를 선보이면서 전 세계를 상대로 대박을 꿈꾸는 국내 스타트업(신규 벤처 업체)들이 진정으로 장사를 할 수 있게 된다. 한국 IT의 활력은 여기서 생긴다. 아이디어도 많은데 왜 한국 안에 갇혀 살아야 하나?

이와 관련돼 코미디 같은 이야기가 있다. 외국에서도 한국의 공인인증서를 발급받을 수 있다고 정부에서 열심히 홍보한다. 그 나라 한국 대사관에 가면 받을 수 있다고 한다. 아르헨티나 국적의 아르헨티나 사람이 한국 공인인증서를 받을 수 있게 했다는 것이다. 장하다. 아르헨티나에서 한국 인터넷 쇼핑몰에서 제품을 사고 싶으면 한국 대사관에 가서 공인인증서를 받아서, 자기 사는 곳에 가서 액티브엑스를 내려받으라는 것이다. 그런 이야기를 하고 있는 공무원들의 발상이 문제다.

그런 코미디 집어치우고, 글로벌 스탠드에 맞게 보안도 따라가야 한다. 글로벌 트렌드를 잘 이해하고 잘 배워야지, 13년 묵은 보안 기술을 붙들고 우물 안 개구리처럼 굴고 있다. 현재 보안 산업을 둘러싼 기득권 구조가 혁파됐을 때 IT 산업이 만들어낼 경제의 규모를 생각해보자. 현재 보안 기술 산업 규모 정도는 껌값이다. 그러니까 정부가 마치 보안 전문가인 것처럼 굴지 말고 특정 기술의 영업사원 노릇을 하는 것을 그만뒀으면 한다.

프레시안: 가시적인 개선이 이뤄지지 않은 이유가 뭘까?

김기창: 윤리 의식이 없기 때문이다. 공익이 무엇인가. 우리 공동체가 다 같이 좀 더 나은 쪽으로 가는 것 아닌가. 그런 목적을 생각하지 않고 당장의 밥그릇, 당장의 감독 권한을 놓지 않으려는 것이다. 지금까지 7년 동안 이 문제를 놓고 규제 당국과 싸우면서 부인할 수 없이 드는 생각이다. 관련 규정을 만드는 권한을 갖고 실무를 책임지는 이들이 자신을 돌아봤으면 한다. 액티브엑스, 공인인증서라는 게 무엇인지. 이들이 직접 인터넷 뱅킹을 하고서 공인인증 제도가 필요하다고 주장하는 것인지도 의문이다. 정치권에서도 현재 문제를 제대로 인식하고 있는 국회의원이 드물다.

공인인증서 문제는 과거 WIPI(한국형 무선 인터넷 플랫폼 표준 규격) 사례와 비슷하다. IT 강국이라는 한국은 또 동시에 휴대전화 강국이라고 했다. 외국 회사에 로열티를 주지 말고 자체 개발하자고 해서 또 ETRI가 WIPI를 만들었다. 피처폰(스마트폰 이전의 휴대전화를 통틀어 일컫는 말)에 설치되는 소프트웨어는 운영체제를 막론하고 호환되는 기준을 만든 것이다. 그러고 나서 WIPI가 좋은 기술이니 강제해야 한다고 했다. 이 정도면 '강제병'에 걸렸다고 볼 수밖에 없다.

기술은 강제해서는 안 된다. 당장의 돈벌이가 될 것 같아서 국가가 밀어주는 것은 기술 자체에는 쥐약이다. 좋은 기술은 시장에서 경쟁해 살아남아야 한다. WIPI를 4년 동안 강제하는 사이 전 세계는 이미 피처폰에서 스마트폰으로 넘어가 버렸다. 한국 안에서만 피처폰을 붙들고 있었다. 정부가 결국 백기를 들기까지 4년이 걸렸다. 공인인증 제도도 마찬가지다. 도입 당시까지만 검토하고 이후 상황은 이해하려 하지 않는다. 그 뒤에는 기술로 경쟁하지 않고 정부의 힘을 빌리려는 기술 전문가 진영의 책임도 있다.

프레시안: 활동하고 있는 오픈넷에서는 공인인증 제도 강제화를 반대하고 액티브엑스를 퇴출하자는 캠페인에도 참여하고 있다.

김기창: 기술과 규제는 서로 잘 어울려야 한다. 규제가 기술 분야에서 IT 산업이 됐건첨단산업이 됐건 정부가 공권력을 동원해 강제하고 개입하는 것은 모든 국민에게 불행한 결과를 만든다. 인터넷과 뗄 수 없는 상황이 됐고, 그런 현실에서 정부의 인터넷이나 디지털 세상에 대한 규제를 좀 더 합리적으로 개선하는 게 오픈넷의 지향점이다.

/김봉규 기자