정보통신진흥원에 대한 재반박의 필자입니다. 정신을 차리니 이런 댓글이 달렸더군요.
저하고는 다른 시각 잘봤습니다. 그런데 의견을 구하고 싶은게, 이 사업이 정부 출연 기관이 관여된 사업인 것이 어떤 문제가 될런지요? 과거에 정보통신 분야에서 정부 또는 관련 기관이 주도하고 육성하여 그 결과가 잘된 것도 있고 잘 안된 것도 있습니다만, 전반적으로 성과가 있었다는 분위기라고 생각합니다.
오히려 MB정부에서는 과거 정부에서 IT 컨트롤 타워 역할을 했던 정통부가 해체되면서 아쉬운 점이 많았다고 보는데, 필자께선 저하고는 다른 측면에서 이를 보시는 것 같습니다. 이 사업은 어떤 측면에서 정부 주도가 바람직하지 않다고 생각하는지요? (링크)
미친 듯이 바쁜 상황에서 몬스터와 레드불과 핫식스로 일주일분의 체력을 끌어쓰고 있지만, 아무튼 일을 벌였으니 나름 친절 모드로 답변 하겠습니다.
문제는 정부 출연 기관 관여가 아니라 사업 자체가 엉망진창
정부 출연 기관이 관여된 사업이라 문제 삼는 것은 아닙니다. 정부 출연 기관이 관여하는 사업은 무척 많고 사업이 항상 그렇듯 좋은 결과도 나쁜 결과도 있습니다.
문제는 사업의 목적과 과정입니다. 정부 과제는 비록 결과적으로 실패할 망정 과정에 문제가 있으면 안 된다고 봅니다. 결국 세금으로 운영되는 거니까요. 그리고 큰 틀에서 엉뚱한 방향으로 가지 않도록 하는 역할을 해야지 이미 내부적으로 결론을 내려놓고 하나의 방향으로 몰아가는 식의 사업이 되면 문제라고 봅니다.
예를 들어 특정 기업에서 이미 개발된 기술을 지원하기 위해 말을 만든 사업이라든지, 당위성 확보를 위해 시작한 사업이라든지. 대표적인 예로 4대강 사업을 들 수 있겠습니다.
다른 사업이 어떻게 진행되고 있는지는 해당 사업에 관심이 많은 분이 의견 개진이나 합리적 의심을 할 수 있을테고, 저는 제 전공과 하는 일, 그리고 경험을 바탕으로 샵메일이 진행되는 과정은 ‘정상적이지 않아 보인다’ 라는 의심을 한 것입니다. 그리고 시간내서 조사를 해 보니 시작부터 진행까지 의혹 투성이더군요. 누군가 해명을 하든지, 시시비비를 가리던지 해야 할 것 같았습니다. 과정이 엉망인 사업에 돈을 내고 싶은 마음은, 그리고 시간을 쓰고 싶은 생각은 쥐뿔도 없으니까요.
몇몇 분들이 1년 전부터 언급하긴 했지만 이슈가 되진 못했습니다. 다들 설마 이게 진짜로 진행될거라고 진지하게 생각하진 않았거든요. 솔직히 기자도 아닌 제가 이 짓을 왜 해야 하는지… 샵메일 관련해서 온갖 기사가 쏟아지는데 ‘발품 팔아 취재’한 기사는 없어 보이고 보도자료 뿌리는 수준의 순 홍보성 기사 뿐이더군요.
IT계의 콘트롤 타워가 갖는 문제점 ‘큰 건 터뜨리기’
이건 개인마다 생각이 다를테니 적당한 문제제기는 아닙니다. 필자의 의견을 묻는 거라 생각하고 답변 드립니다. 저는 어떤 식으로든 IT/Science 관련 지원 기관이 있어야 한다는 것에는 동의하지만 흔히 얘기하는 ‘콘트롤 타워’에는 부정적입니다.
왜냐하면 누군가의 입김이 강력하게 작용할 수 있기 때문입니다. 좋은 리더를 만나면 흥할 확률이 높지만, 흔히 말하는 병맛 터지는 리더가 (너무 열심히) 일을 하면 헬게이트가 열리는… 시스템 입장에서 보면 로버스트하지 못하고 안정적이지 못합니다. 덤으로 유연성도 떨어지고.
(준)정부에서 일하시는 분들 가운데 양명의 유혹이 큰 분들은 한 건 터뜨리고 싶어합니다. ‘콘트롤 타워’에 들어가면 실제로 그렇게 하는 경우가 많습니다. 이렇게 터뜨린 사업은 운이 좋으면 성공처럼 보이기도 합니다. 혹은 성공으로 포장하기도 하죠. 중요한 것은 성공이냐 실패냐가 아닙니다. 사업의 목적과 과정과 진행이 합리적이고 상식적이냐의 문제죠. 그리고 사업 진행 결과가 얼마나 ‘유용하게 남느냐’가 평가의 기준이 되어야 한다고 보고요.
실패한 사업에서도 ‘반면교사’로 삼을 부분이 있을 것이고, 성공한 사업도 찾아보면 많은 ‘시행착오’가 있었을 것입니다. 원론적으로는 지금 당장은 아니더라도 미래를 위한 가능성의 문을 여는 방향으로 정부 사업이 진행되야 한다고 봅니다.
허나 이 사업은 이미 결론을 내린 상태에서 ‘법’을 이용해 결론 이외의 것을 모두 배제하고 진행되고 있는 부분이 특별히 더 바람직하지 않습니다. 이미 (한국식) 공인인증서 기반 기술과 시대에 뒤쳐진 보안/암호화 방식을 사용한 방법으로 표준이 되어있는 듯 하고, 진행 과정에도 의심할 거리 투성입니다. 관련 사업자가 계속 강조하는 부분은 막말로 ‘법으로 보장’ 밖에 없어보일 정도입니다. ‘(더 나을지도 모르는) 다른 방식’은 끼어들 틈이 없습니다.
어떤 기사 보니까 ‘기술 논의’는 관두고 ‘정책 확산’ 하자는 도 있던데, 이 정도면 현업에서 보면 막장 수준일 겁니다.
샵메일과 비슷한 사례로 나오는 독일의 De-mail(참고 : 위키피디아)만 보더라도 정부는 필요성에 의해 방향(법적, 기술적 요구사항. spec이 아니라 requirement)만 제시하고 업체가 자유롭게 개발하도록 하고 있습니다. 사용 여부도 모든 사용자가 자발적으로 사용하는 거지 강제 사항이 아닙니다. 그리고 De-mail은 이렇게 진행됨에도 불구하고 진행 과정의 헛점 때문에 많은 비판을 받고 있습니다. 국내와 비교해 보세요. 샵메일 진행 과정이 더 거지같아 보일겁니다.
샵메일이 사용하는 낡은 보안 표준 스펙
오늘 트위터에 보니까 샵메일 관련 표준 스펙을 훑어보고 계신 분이 있나본데, 보안이 3DES와 SEED라더군요. 3DES는 컴퓨팅 파워의 증가로 무차별 대입 공격 방식에 취약해서 AES로 대체되기 시작한지 꽤 되었고(이미 2000년 초부터 미 정부 표준 암호기술은 AES였죠), 심지어 며칠전에는 앞으로도 한동안 안전할거라 믿었던 AES 마저 위태로운 지경에 이르렀다는 보도가 나올 정도로 암호화 관련 기술도 계속 더 발전해야 할 기술이고 주시해야 할 일입니다.
SEED는 태생이 웹브라우저에서 40비트 암호화 밖에 지원되지 않을 때 국내에서 전자상거래 때문에 만든 암호화 방식이니… (뭐 이것도 파보면 슬픈 뒷이야기가 있지만) 딱 2000대 초반까지는 어쩔 수 없었으니 인정 안 할래야 안 할 수 없는, 하지만 이후에도 이것만 밀고 있는 상황, 심지어 (반)강제하고 있는 상황이 병맛인거죠.
막말로 iPhone 안 들어왔으면 더 막장이었을거라는데 500원 겁니다.SEED는 태생부터 ActiveX의 도움이 없으면 안 되었고, 지금도 플러그인이 없으면 제대로 동작하지 않으니까요.
하지만 요즘 나오는 인터넷 브라우저는 자체적으로 128비트 이상의 암호화를 지원하기 때문에 굳이 플러그인 방식을 강요할 명분이 없죠. 그럼에도 불구하고 (플러그인 방식) 공인인증기술 기반으로 샵메일이 진행되고 있는 것, 그리고 이를 법으로 강제한 것이 욕먹어 마땅한 일이라고 생각합니다. 모르고 그렇게 했다면 글로벌 보안/암호화 트렌드를 따라가지 못하고 있었던거니 일종의 직무유기일테고, 업체나 관련자의 입김이 있어서 그랬다면 더 심각한 문제일거고.
뭐, 수요 조사나 예측, 산업 동향 파악, (차세대) 기술 조사 같은거 정부 지원 사업으로 할 수 있습니다. 또 해야하구요. 하지만 그 결과를 앞으로 이런 것이 유망하고 필요할 것으로 예상되니 진행해 보라고 설득하고, 또 위험부담을 지는 부분을 ‘경감’ 시켜주는 정도의 역할을 넘어서서 하나로 결정해 놓고 ‘주도’를 해버리면 문제의 소지가 커진다는 겁니다.
