정보통신산업진흥원에 대한 재반박의 댓글 중 일부에 대해서는 정부주도로 이뤄지며 엉망진창으로 이뤄지는 샵메일 사업에서 밝혔습니다. 나머지 부분에 대해서도 답을 해 보도록 하겠습니다.
정부가 모든 걸 통제하지 말고, 민간업체의 경쟁과 지원을 유도해야
제 주장의 일관된 요지는 시장이 어떻게 될지 아무도 장담할 수 없기 때문에 정부가 나서서 시장을 주도하겠다는 방향으로 일을 추진하면 안 된다는 겁니다. 정보가 어떤 기술의 요구사항이 아니라 ‘스펙’을 만드는 순간 ‘대안’이 등장할 기회를 발로 차버리는 겁니다. 수많은 ‘기회’를 자발적으로 포기하는 겁니다. 바로 이렇게 진행되고 있어서 비판하는 겁니다.
막말로 샵메일 같은 것이 필요하다고 한다면, 정부는 지금처럼 진행할 일이 아니라 예를 좀 구체적으로 들면…
“정부 문서를 비롯하여 전자 문서화 되는 경향은 막을 수 없고, 환경 문제 등도 고려하고 하면 전자 문서를 유통하는데 필요한 기술 및 서비스가 필요하다. 현재 나온 기술 및 서비스로는 정부에서 믿고 사용하기 힘들다. 우리가 (이러이러한 방법으로) 조사한 결과 필요한 요구 사항은 이런거다. 요구사항을 모두 만족하는 기술이나 서비스 가운데 괜찮은 것은 정부에서도 이정도 예산까지 사용할 용의가 있으니 예산 범위 안에서 가장 합리적인 것으로 선택해 사용할거고, 정부가 믿고 사용하는 기술이라고 인증도 하고 홍보도 해줄게.
1) 충분히 안전하다고 검증된 암호화 기술을 이용한 통신 보안. 적어도 도/감청을 피하기 위해 transport 레이어 이상에서 암호화가 되어야 함.
2) 충분히 신뢰할만하다고 검증된 전자 서명.
3) 충분히 신뢰할만한 서버 인증.
4) 사용자 편의성 및 접근성이 높을 것.
4-1) 되도록 다양한 연령 및 계층(장애인을 포함)이 사용 가능 해야 함. 공무원 뿐 정부와 연계된 민간/대민 업무 등의 사용을 위해 민간인 및 기업도 사용할 예정임.
4-2) 다양한 OS 및 (유무선) 통신 환경을 지원해야 함.
4-3) 서비스를 이용하기 위해 기존 기술과의 호환성이 높아야 함.
5) 데이터는 충분히 검증된 암호화 기술을 이용해 저장되어야 하고 임의로 열람 및 변경이 불가능 해야 함. 열람 및 변경시 그 사실을 알 수 있어야 함.
6) 데이터는 적어도 30년 이상 안정적으로 보관 가능해야 함.
7) 전자문서의 송수신 사실을 증명할 수 있어야 함. 이 때 필요한 최소 정보는 송신자 이름/아이디, 송신 시간, 수신자 이름/아이디, 수신 시간, 열람 여부 및 열람시 열람 시간 등임.
정도까지가 정부가 알려야 하는 사항의 끝입니다. 이 가운데 요구 사항 등은 법제화가 필요하면 법제화 하면 되고요.
정부가 표준안을 들이미는 게 아니라, 좋은 기술이 표준화 되어야
관련 부속 사업으로는 위의 요구사항을 만족시키고 검증하기 위한 쪽으로 접근해서 예를 들면 ‘암호화 기술 개발 지원 사업’, ‘암호화 기술 검증 지원 사업’, ‘암호화 기술 경향 조사 지원 사업’, ‘전자 문서 유통 기술 동향’, ‘전자문서 유통 수요 조사’, ‘서버 인증 기술 지원’ … 등등의 사업을 진행할 수 있을테고… 만약 중복 사업이 진행중이거나 계획중이라면 예산 조율하거나 부처간 공동 사업으로 진행할 수 있으면 국민 입장에서는 더 좋고요.
여러 기술이 제안되고 다양한 서비스가 만들어질테고… 정말로 전자문서 유통이 활발해진다면 사용자의 선택으로 옥석이 가려질테니 이 때 ‘표준화’를 천천히 진행하면 될겁니다. 각 요구사항에서 가장 좋다는 것만 뽑아서… 선 기술개발, 후 표준화. 이게 표준화의 정석입니다. 표준안이 먼저 나왔다고 주장한 시점에 빼도박도 못하고 이건 그냥 잘못 진행되고 있는 대표적인 사업이 되는 겁니다.
샵메일과 비교할 때 얼마나 다양한 분야에서 기술 개발 및 보완이 이뤄지고, ‘작은 단위’의 사업도 발생할 가능성이 있는지, 설마 사업 자체가 실패하더라도 사업 진행 과정에서 얻은 내용이 다른 산업/사업에 영향을 줄지 비교해 봐야 합니다.
국가 주도의 기술개발, 루트와 파이의 무리수 열전
기술 개발은 그 자체로 가치가 있을 수 있는데(고급 인력 양성, 문제 도출, 비슷한 기술 개발시 개발 기간 단축 등), 기술이 쓰이지 못할 때 담당자가 면피 하려고 ‘수요와 니즈’를 부풀리곤 하죠(했죠). 이거 믿고 먼저 뛰어들었다 망하는 것일 뿐입니다. 그건 사업자가 감당해야 하는 위험일 뿐입니다. 정부 말 다 믿으면 안 되는거죠.
근데 지금까지 사업 진행되었던게 많은 부분 나폴레옹 식이었습니다. ‘정부를 따르라!’ 근데 따라가봤더니 ‘이 산이 아닌게벼…’ 이런 케이스가 많았던거죠.
앞으로 이게 차세대 먹거리다!! 뭐 이런 소리에 혹해서 사업했다 뚜껑 여니까 아니라서 망한 케이스 많습니다. DMB가 그랬습니다. 인터넷을 이용한 streaming에 발리고 있죠. 그래도 이건 좋은 케이스. 적어도 DMB 칩셋 제조사는 외국 업체에 꽤 괜찮은 가격에 회사 팔고 손털었거든요. 그 인력은 그대로 또 벤쳐하고 있고. 성공과 실패가 같이 공존하는 케이스죠.
또 와이브로가 그랬습니다. 당시 저는 앞으로 세계시장에서 lte가 될지 mobile wimax가 될지 확실하지 않으니 기술 개발 해서 통신사가 서비스 하도록 하는 것과 별개로 ‘사용자 입장’에서는 그냥 핸드폰에 wifi나 허용하라는 쪽이었죠. 당시 통신사가 핸드폰에 wifi, gps는절대 불가나 다름 없을 정도로 경기를 일으켰습니다. 분야를 좀 돌리면 줄기세포가 그랬고… 무리수 둬서 (결과적으로) 실패한 사업이 꽤 됩니다.
이걸 위에 제가 예시로 든 방식으로 지원을 바꾸면 “DMB를 만들어야 해!!”가 아니라 “이동중에도 TV나 영상 콘텐츠를 볼 수 있는 기술/서비스를 만들어야 해!!”가 되어야겠고, “Wibro를 만들어야 해!!”가 아니라 “고속 이동 중에도 음영 지역 없이 고속으로 인터넷에 연결할 수 있는 기술/서비스를 만들어야 해!!” 가 되겠죠.
시장 소비자의 선택을 놔두고 국가에 의존할 필요가 없어
그리고 라이센스를 말씀하셨는데, 이런 경쟁을 뚫고 소비자의 선택을 받은 기술은 흔히 말하는 조 단위의 라이센스비도 받을 가능성이 생길겁니다. 국가 주도로 결국은 특정 회사나 단체가 만든 암호화 기술 하나 만든거랑, 각계 전문가/기업/연구원 등이 만든 여러 암호화 기술 가운데 ‘비교해 봤더니’ 가장 우수하다고 최종적으로 판명난 거랑 어느쪽에 라이센스비를 주고 싶겠습니까? 기술을 우리 나라만 연구하는 게 아닌 상황에서 말이죠.
그런 거 판단하는 것은 정부에서 판단했다고 믿어주는 게 아니라니까요. 그냥 ‘정부에서도 사용할 정도’라는 신뢰감을 심어줄 뿐이고 이런 게 여러 모로 복합적으로 유리하게 작용하는 것 뿐이죠. 당장 ‘NASA’에서 사용한 기술. 미국 ‘NSA’에서 사용하는 기술, 미국방성이 사용하는 기술… 이러면 그 기술 만든 기업 가치가 안 올라가겠습니까?
하지만 그 이전에 NASA가 NSA가 미국방성이 선택하면 뭔가 있다는 ‘믿음이나 신뢰’가 먼저인거죠. 샵메일은 지금 진행되는 거 보면 ‘정부에서 진행하는 것은 못 믿을 것’이라는 불신만 주고 있는 상황인 겁니다.
시장에 맡기면 언제나 좋은 결과를 얻을 수 있냐고 물으셨는데, 당연히 개별 사업자는 망할 수도 있습니다. 기업이 망하면 ‘안 좋은 결과’라고 생각하는 경향이 있으신 것 같은데, 그 기술 개발 경험과 인력이 안 좋은 결과와 함께 사라지는 것은 아닙니다. 망할 기업은 망해야죠. 그게 사용자에게는 더 좋습니다. 망했던 기업에서 일했던 사람들은 새롭게 생기거나 기존에 있던 경쟁사로 들어가겠죠. 이게 안 된다면 이런게 바로 정책에서 풀어줘야 할 일이라고 보구요.
그리고 주장하시는 부분이 좀 웃깁니다. 미래부에서 외국 수준의 라이센스를 받을 수 있는 기술을 미래부에서 미리 알고 정책을 세운다구요? 그런 능력 있는 분들이 왜 미래부에 계십니까? 사업하시지;;; 그건 아무도 모르는 겁니다. 아무도 모르는 일이기 때문에, 미래에 어떻게 될지 아무도 장담할 수 없기 때문에 하나에 꽂혀서 지원하면 안 된다고 계속 강조하는 겁니다. 이런건 선택과 집중 같은 것도 아닙니다. 선택이 없는데 무슨 집중입니까. 그냥 뻘짓이지.
제 경우에 당장 AES가 보안 위협을 이렇게 빨리 받을 줄 몰랐습니다. 논문에서 얼마전에 AES도 안전하다고 방심할 수준은 아니라고 언급한 논문을 슬쩍 보긴 했지만 그래도 경고 수준이지 지금 당장 위험하다고 보진 않았거든요. 지금 암호 연구하는 사람들은 물론 기업이나 정부도 비상이 걸려야 하는 상황입니다. 그런데 3DES니 SEED니 표준 스펙에 넣어놓고 앉아있네요. 화가 나겠습니까 안 나겠습니까?
마무리 : 정부의 IT 삽질은 이제 그만
정부가 ‘규격(Spec)’을 만들면 그게 개방적이든 폐쇄적이든 문제가 생깁니다. 정부는 ‘요구사항’만 명확히 전달하고 이 요구사항을 만족하는 것 가운데 가장 합리적인 선택을 해서 정부가 사용해 주겠다는 메시지만 전달하면 되는겁니다. 정부가 규격 만들면 이권이 걸리고, 로비가 생기고, 먹튀가 생기고, 한탕주의가 생기고, 무리수를 남발하고, 법으로 어떻게 해보려고 하고…지금 샵메일처럼 진행됩니다.
진입 장벽을 낮추는 것도 해결 방안이 아닙니다. 제 문제 제기의 근본은 거듭 거듭 말씀드리지만, 정부가 주도해서 특정 기술 스펙을 만들고 이를 몰빵으로 지원하는 사업은 목적도 과정도 쉣다뻑이고, 좋은 결과를 얻기도 힘들고, 실패해도 얻는게 크지 않다는 겁니다.
ps: 개인은 가입시 1만원입니다. ‘개인 정보를 공개’하는 조건으로 면제가 될 뿐입니다. 이건 제가 글 작성하면서 팩트 체크 나름 한다고 모든 대행기관 홈페이지 찾아서 다 확인한 사항입니다. 그리고 가입비가 아니라 연간 사용료입니다. 가입할 때 단발성으로 내는 돈도 아닙니다. 용어는 되도록 정확히 써 주세요. 그런 사소한 것에서 혼란이 가중되니까요.
