본문 바로가기

IT + α

공인인증서와 액티브X, 한심한 IT코리아의 복마전

한국 IT의 후진성을 보여주는 축소판, 과도한 액티브X 의존과 공인인증서 의무화 제도.

 

우리들의 21세기 현재 삶에서 가장 큰 위협이 되는 대표적인 것이 바로 '바이러스(virus)'다. 원래는 미생물의 일종인 바이러스, 즉 '세균(bacteria)'과 함께 미생물 중에서 양대산맥을 이루며 흔히 질병을 유발하는 천연두·사스(SARS, Severe Acute Respiratory Syndrome, 중증급성호흡증후군)·에볼라(Ebola)·인플루엔자(독감) 등과 같은 바이러스들이 인류의 역사에서 심각한 문제였다.

[바이러스에는 백신(vaccine)이 필요하고, 세균에는 항생제(antibiotics)가 필요하다. 보통 감기는 80% 이상이 바이러스가 원인이기 때문에, 대부분의 감기에 항생제 복용은 무의미한 셈이다. 특별히 2차적인 세균 감염이 있지 않은 한, 일반적으로 감기에 걸렸는데 항생제를 먹는 건 바보 같은 짓이다(항생제 오남용)]

 

하지만 근래에는 이것뿐만 아니라 흔히 말하는 '컴퓨터 바이러스'도 큰 위협이 되고 있는데, 말하자면 오프라인에서는 미생물 바이러스가 우리의 삶을 위험에 빠뜨리고 온라인에서는 컴퓨터 바이러스가 그런 문제를 야기하는 것이다. 통칭 컴퓨터 바이러스(사실 미생물·세균·바이러스가 개념이 다르듯, 컴퓨터 악성코드·스파이웨어·바이러스도 전문적으로는 구별된다. 하지만 그저 뭉뚱그려서 얘기하는 경우가 많고, 일반인들은 그냥 '백신 프로그램'으로 다 치료한다)로 인해 21세기 인간의 생활에 필수적인 컴퓨터를 제대로 사용하지 못하게 될 수도 있고, 개인정보를 도둑맞을 수도 있으며, 때로는 금전적으로 직접적인 피해를 당하기도 한다. 요즘 하루가 멀다하고 뉴스에 계속 나오는 인터넷 금융사기나 개인정보 유출, 해킹 등이 모두 이런 것과 관련된 문제들이다.

 

 

액티브엑스, 과연 무엇이 문제인가?

 

바이러스는 굉장히 크기가 작기 때문에, 우리가 자주 접하는 독감 바이러스는 빠른 속도로 변화하고 돌연변이가 일어나기도 쉽다. 그래서 인간이 독감 바이러스와 싸우려면 계속 새 백신을 개발해 내는 수밖에 없다. 자연 상태미생물 바이러스도 이런데, 같은 인간이 나쁜 의도를 갖고 일부러 만든 컴퓨터 바이러스는 여기에 한 가지가 더 첨가된다. 그것은 소위 말하는 '취약점'에 대한 악의적인 공격인데, 익히 알려진 약한 고리를 대놓고 집중적으로 공격하는 것이다. 이런 측면에서 가장 치명적인 게 바로 '획일성'이다. 어떻게 보면 결국 바이러스와 백신의 쫓고 쫓기는 싸움인데, 방어하는 쪽의 특정한 지점 하나가 공통적으로 모든 개체에 광범위하게 퍼져있고 그것을 반대편이 동일한 방식으로 항상 공격할 수 있다면, 이건 방어측의 반복적인 패배로 귀결될 수밖에 없다.

 

독감 얘기를 조금만 더 해보자. 독감은 우리가 생각하는 것보다 훨씬 더 무서운 질병이다. 1918년 스페인 독감(사망자 5000만여 명), 1957년 아시아 독감(150만여 명), 1968년 홍콩 독감(100만여 명), 1977년 러시아 독감(100만여 명) 등등.. 얼마 전에도 미국질병통제예방센터는 1월 셋째주 미국 전체 사망자 가운데 독감으로 인한 사망자 비율이 무려 10%에 육박한다는 충격적인 발표를 한 적이 있다. 절대 몇십 년 전 뉴스가 아니다. 불과 몇달 전, 2013년 1월의 공식 발표다. 이런 독감을 인류가 아직까지도 정복하지 못한 이유(아마 앞으로도 인류는 독감의 굴레에서 벗어나지 못할 가능성이 높다)는 바이러스가 변화무쌍하고 다양하기 때문이다. 만약 바이러스가 한 가지로 획일화되어 있다면 분명히 상황은 달라졌을 것이다. 이건 바이러스뿐만 아니라 세상 모든 이치가 다 그렇다.

 

그런데, 대한민국의 IT산업은 너무나 멍청한 짓을 지금 이 순간에도 그대로 반복하고 있다. 바로 액티브X에 대한 과도한 의존 문제다. ActiveX는 마이크로소프트사(Microsoft Corporation, MS)에서 개발한 사용자PC 설치 프로그램으로서, 웹사이트에서 정적인 웹문서나 콘텐츠를 멀티미디어 기술로 동작 가능하게 하여 보여주는 기술이다. 첨단 기술이 난무하는 IT분야에서(해킹도 첨단, 백신도 첨단) 액티브엑스는 특별히 최신 기술도 아닐 뿐더러(나온 지 15년도 더 됐다), 이것을 만든 마이크로소프트조차 컴퓨터 바이러스 노출에 취약한 이 기술에 대해 '사용 자제'를 권장하고 있을 정도다(쉽게 말해, 악의적인 집중 공격이 가능한 취약점). 우리 나라에서도 지난 몇 년간 발생한 대규모 개인정보 유출 사건이나 해킹사건의 주된 통로로 이용돼 왔으며, 최근에도 주요 방송사와 금융기관 해킹에 활용됐다는 의혹을 받고 있다.

[MS "기술 개발 당시에는 예측하지 못했던 문제로 스파이웨어나 바이러스 등 인터넷을 통해 사용자의 PC를 파괴할 위험성을 지닌 프로그램이 이 액티브엑스에 의존하고 있다"]

 

[2013년 6월 8일 국민일보 보도]

 

게다가 ActiveX는 결정적으로 MS의 운영체제인 윈도우즈와 웹브라우저인 인터넷 익스플로러(Internet Explorer, IE)에서만 동작하고(예전에 비해 사용자가 급증한 크롬이나 파이어폭스, 사파리 등 다양한 웹브라우저에 호환되지 않는다), 액티브엑스라는 기술 자체가 '국제 표준'도 아니다. 다른 나라 웹사이트를 이용하면서 액티브X를 설치하는 경우는 별로 없으며, 크롬이나 파이어폭스를 사용하는 데 있어서 불편한 사이트는 거의 대부분 한국 사이트인 것이다. 귀찮은 팝업창이 쉴 새 없이 뜨고 수차례에 걸쳐 파일을 설치해야만 서비스를 이용할 수 있는 게 모두 이 액티브액스 때문이고, 오죽하면 인터넷의 '독(毒)'으로까지 불린다. 하지만 한국에서 주요 사이트의 ActiveX 이용률은 무려 70~80% 이상이라고 하며, 무엇보다 접근성을 중시해야 할 공공부문도 크게 다르지 않다. 도대체 왜 이런 바보 같은 일이 계속 이어지고 있을까?

 

액티브엑스 의존의 가장 큰 원인, 공인인증서 의무화 제도

 

우리가 흔히 이용하는 인터넷뱅킹과 쇼핑몰 결제에는 액티브엑스 설치가 필수적인 경우가 대부분이다(치명적인 획일화). 최근에 와서야 액티브X 설치를 요구하지 않는 사이트들이 하나 둘 생기고는 있지만, 여전히 절대 다수의 사이트에서는 결제를 하려면 어쩔 수 없이 액티브엑스를 설치해야 하는 것이다. 그리고 설사 엑티브X 설치가 필요 없는 사이트라고 하더라도, '전자금융거래법'에 따라 30만원 이상 결제를 할 때는 의무적으로 공인인증서 인증 절차를 거쳐야만 한다. 그런데 바로 이 공인인증서 자체가 ActiveX 기술에 기반해서 만들어져 있기 때문에, 이럴 때는 도리없이 액티브엑스를 설치할 수밖에 없다.

[인터넷뱅킹을 이용하려면 무조건 설치해야 한다. 보안에 특히 취약한 액티브X를 공인인증서 때문에 설치해야 하고, 공인인증서가 있어야만 인터넷뱅킹을 할 수 있다는 아이러니!]

 

[이미지 출처: 인터넷서점 알라딘(http://www.aladin.co.kr/)의 Non ActiveX 신용카드 간편결제 페이지 갈무리]

 

외국 쇼핑몰에서 결제할 때 액티브X나 공인인증서가 필요한 경우를 본 적이 있는가? 아마 없을 것이다(미국의 페이팔이나 아마존 같은 주요 사이트들도 액티브엑스 없이 비밀번호만으로 결제를 받고 있다). 국내 공인인증서는 엑티브엑스를 거쳐 국내에서만 통용되는 윈도우 위치(NPKI 폴더)와 파일명(signCert.der·sighnPri.key)으로 저장된다고 하며, 한국인터넷진흥원(KISA)이 인증기관이고 금융결제원·증권전산원·한국정보인증·한국전자인증·한국무역정보통신 등 5곳이 발급을 독차지하고 있다. 용도 제한이 없는 범용 인증서는 개인은 4400원·법인은 11만원의 요금을 내야 하며, 매년 갱신해야 하기 때문에 이 비용 역시 매년 발생한다. 업계에서는 공인인증서 발급시장이 연간 1조원 이상에 달할 것으로 본다는데, 대한민국의 모든 '관치(官治)'가 다 그렇듯 ActiveX 설치와 관련된 이런 관행은 쉽게 고쳐지지 않고 있다(국내 한 IT학자 "액티브엑스가 끈질기에 생명을 유지하는 것은 보안이라는 목적이 아니라, 액티브엑스를 기반으로 한 인증업무가 (공공)단체의 중요한 사업으로 변질됐기 때문").

 

게다가 애플코리아나 한국어도비에서는 액티브엑스 없이 결제가 가능한 시스템을 운영하고 있으며, 심지어 국내 항공사들도 '한국어' 사이트에서는 액티브X가 필요한 방식을 운영하는 반면 '외국어' 사이트에서는 인증 없는 결제가 가능하다고 한다. 이것만 봐도 액티브엑스나 공인인증서를 필수적으로 요구하는 관행 또는 의무화 제도가 인터넷 금융사기나 개인정보 유출, 해킹 등과 직접적인 관련이 없다는 걸 분명히 알 수 있는 것이다. 왜 안 그렇겠는가? 외국에서는 인터넷뱅킹이나 쇼핑몰 결제에서 ActiveX 자체를 설치하지 않고 공인인증서도 요구하지 않는데, 그렇다고 그 나라들의 인터넷 보안 수준이 우리 나라보다 낮은가? 절대 그렇지 않다. 오히려 마이크로소프트조차 인정한 보안 취약점을 가지고 있는 액티브엑스를 이용하지 않기 때문에, 대한민국보다 전반적으로 더 낫다고 볼 수 있지 않을까 싶다.

 

[이미지 출처: 액티브엑스 폐지 서명운동(http://noactivex.net/) 사이트 내 짤방]

 

그래서 마침내 지난 5월에 국회 정무위 소속 이종걸 의원(민주당)이 공인인증서 사용을 강제하는 근거가 됐던 전자금융거래법 개정안을 냈고, 미래창조과학방송통신위원회 소속 최재천 의원(민주당)이 정부 주도 인증제도를 폐지하는 내용의 전자서명법 개정안을 각각 발의했다. 이에 대해 우리 나라 국회의원 중에서는 제일 보안에 대해 전문가라고 할 수 있는 안철수 의원(무소속, 국내 최대 백신프로그램 연구소인 안철수연구소 설립자)도 지지 의사를 분명히 밝혔으며, 시민단체와 학계도 이번에야말로 잘못된 제도를 고칠 수 있을 거라고 기대를 걸고 있었다. 하지만 이미 강력한 생태계(시장)를 구축하고 있던 세력들(모피아나 원자력마피아처럼, 이들도 공직을 그만둔 후에 관련 단체로 이직하는 경우가 많단다)의 반발이 만만치 않았고, 결국 공인인증서 의무화 제도 폐지는 며칠 전인 6월 24일에 좌절되고 말았다.

[공인인증서 의무화 폐지 여부는 가을 정기국회 때 다시 논의될 전망이라고 한다]

 

한심한 IT코리아의 복마전

 

'복마전'이라는 말이 있다. '나쁜 일을 꾀하는 무리들이 모이는 곳'을 비유적으로 이르는 말인데, 공인인증서와 액티브X 문제야 말로 한국 IT의 후진성을 그대로 보여주는 축소판이다. 사실 액티브엑스와 공인인증서를 단순히 사용하지 않는다고 해서, 대한민국의 보안 난맥상이 곧바로 해결되는 것은 전혀 아니다. 어차피 국제표준에 기반한 공인인증체계 보안 수준을 낮추지 않으면서도 간편한 결제방식 등은 지속적으로 개발해나가야 하는 것이고, 국내 IT 업체들이 국제시장에 나가서 경쟁하기 위해서도 국제표준과 관련된 기술 확보는 필수적이다. 하지만 문제는 ActiveX에 기반한 공인인증서를 강요하는 '관치(官治)'로 인해 보안 생태계가 획일화되면서, 적들의 악의적인 집중 공격에 대한민국의 보안 시스템이 전반적으로 상당히 취약해졌고, 공인인증서와 액티브엑스에만 너무 의존하다보니 그외 다양한 보안 수단에 대한 기술 개발이나 지원이 제대로 이뤄지지 않고 있다는 점이다.

 

게다가 '국가가 개입한' 공인인증서라는 것 때문에 금융사고의 책임 소재에서도 후진성이 그대로 이어지고 있다. 왜냐하면 기본적으로는 금융회사가 소비자의 피해를 보상하도록 하면서도, 공인인증서가 법적으로 강요되고 (근거 없는 믿음이지만) 어쨌든 안전하다고 말하니까, 공인인증서 관리 잘못을 빌미로 소비자에게 책임을 전가시키는 것이다.

[관련 보도에 따르면, 지난해 3월 사기범이 보이스피싱으로 피해자의 공인인증서 재발급에 필요한 정보를 얻은 다음 공인인증서를 쉽게 재발급받아 피해자 명의로 저축은행에서 대출을 받은 사건에 대해, 재판부는 발생한 손해의 40%를 피해자들에게 부담시켰다고 한다. 또 올해 4월 26일 비슷한 사례에 대해 은행 책임이 없다는 판결이 나오기도 했단다]

 

이에 대한 답은 이미 다 나와 있다. 국제 표준도 아니고 보안에도 취약한 오래된 기술인 액티브X를 한시라도 빨리 퇴출시키며, 대안 시스템 구축에 나서야 한다. 국가가 먼저 나서서 공공부문 웹사이트부터 변화를 시작해야 하고, 국가 주도의 공인인증서 의무화 제도에 대해서는 이종걸 의원과 최재천 의원의 법안 통과를 통해 법적인 걸림돌을 제거해야 한다. 인터넷서점 '알라딘'처럼 이미 액티브엑스가 필요 없는 사이트를 구축했는데도 불구하고 카드회사들의 눈치보기 때문에 시스템 적용에 어려움을 겪는 일이 발생하지 않도록, 감독당국이 보다 적극적으로 다양한 결제방식 지원 활동을 펼쳐야 할 것이다. 모바일 생태계 발전과 함께 이제 국민들이 인터넷 익스플로러만 쓰던 시대는 벌써 끝나지 않았는가? 어서 ActiveX를 퇴출시키고, 다양한 결제방식을 도입해야만 한다. (인플루엔자 바이러스의 생존 전략이 보여주듯) 획일화된 보안체계로 말미암아 한방에 훅가지 않기 위해서라도 말이다!