최근 대선주자들의 IT 정책들 중에서 이런저런 정책들이 많이 나오고 있는데 그 중에서 눈에 띄는 정책이 있어서 좀 얘기를 해볼까 한다. 대통령 후보에서 사퇴한 안철수 박사는 IT 정책 공약으로 ActiveX 폐기(?)와 공인인증서 제도 폐지를 꺼냈다.
그리고 문재인, 안철수 단일화 이후에 이 정책은 고스란히 문재인 민주당 후보의 IT 공약으로 넘어가게 된다. 즉, 문재인이 대통령에 당선되면 현재 개인인증방법으로 쓰이고 있는 공인인증서 제도와 그동안 이래저래 말이 많았던 ActiveX는 내년부터 5년 안에 사라지게 될 상황에 놓인 것이다.
외국인이 빡쳐 키보드를 부숴버린다는 한국의 ActiveX 환경
현재 보안업체에 다니는 사람으로, 또 보안밥을 10년 넘게 먹고 있는 사람으로서 공인인증서 폐기와 ActiveX에 대해서 이런저런 생각을 해봤다. 왜 대한민국에서만 유독 공인인증서라는 조금은 변태적인(?) 인증방식이 나왔는지, 그리고 ActiveX가 왜 한국에서 그토록 활성화될 수 밖에 없었는지는 이전에 썼던 글들을 참고하길 바란다.
공인인증서 역시 ActiveX 기반으로 구동되어 움직이는 녀석인지라 지금까지는 ActiveX와 같이 생각해야 하는 상황이다.
왜 한국의 인터넷 뱅킹은 윈도 기반의 인터넷 익스플로러에서만 동작할 수 밖에 없었을까?
대한민국의 인터넷 서비스의 질을 퇴보시키는 구시대 악습의 카르텔. 깨기 위해서는 큰 틀에서의 투자가 필요한데…
현재 국내의 대부분의 소프트웨어 보안 기업들은 윈도 기반에서 ActiveX를 이용해서 웹관련 서비스의 보안을 적용한다. 키보드 입력을 해커들에게 노출시키지 않게 하기 위한 키보드 보안, 사용자의 웹브라우저 서버 사이의 통신을 암호화하는 PK를 이용한 구간 암호화 방식, 인터넷 화면 캡쳐를 방지하는 화면 캡쳐 방지 등 대부분의 보안 서비스들은 윈도우 기반의 IE에서 ActiveX를 통해서 동작하도록 되어있다. 무슨 소리인지 모르겠다고? 당신의 주거래 은행 사이트에 한 번 접속해보라.
이런 기반기술이 왜 ActiveX를 이용해서 만들어졌는지를 살펴보려면 10년 전으로 넘어가야 한다. 인터넷 금융 거래들이 활발해지면서 이에 대한 보안의 필요성이 커졌고, 국정원 등의 국가기관은 보안에 대한 지침을 내리게 된다. 돈이 움직이는 부분이니 보안의 필요성 자체는 아무리 강조해도 지나치지 않을 것이다.
하지만 국정원, 또는 그 상위 기관, 관련 기관이 보안 지침을 내리는데 있어서 기술적인 이슈나 향후의 미래는 내다보지 않고 그저 탁상행정으로 만들어진 정책을 내려서 문제가 생겼다. 물론 뛰어난 교수들과 관련 전문가들이 테스크포스를 이뤄서 정책을 만들었다. 하지만 결과물은 아쉬운 수준이다. 물론 그 당시에는 나름 획기적이라고 평가하는 사람들도 존재하지만. (먹고 살기 위한 발뺌이 아니다!)
한국의 ActiveX 환경, 도입과 정착의 배경은?
MS도 버린 ActiveX를 왜 끝까지 갖고 가려고 하느냐는 질문을 많이 듣는다. 하지만 ActiveX는 MS가 제공해주는 IE의 플러그인 방식일 뿐 그 이상도 그 이하도 아니다. 실제로 ActiveX를 사용할 수밖에 없도록 만든 것은 정부였고, 인터넷 서비스를 제공하는 업체였다. 그렇게 될 수밖에 없었던 과정을 살펴보자.
인터넷에서 사용되는 모든 금융거래는 암호화한 상태로 진행되어야 한다. 해커들에 의해서 내용이 탈취되어 악용되면 개인의 금전적인 피해는 물론, 사회적 문제로까지 커질 수가 있기 때문이다.
10년전 보안지침의 기본 논리는 간단했다. 암호화해서 거래할 수 있는 장치를 만들라는 것이다. 문제는 사용하는 암호화 알고리즘을 대한민국 기술 기반으로 한정했다는 점이다. 이 당시에는 SEED, 지금은 ARIA가 그것이다. 웹브라우저에서, 웹브라우저와 웹서비스 사이의 통신을 암호화할 때 이 암호화 기술이 적용된다.
참고로 암호화 알고리즘에 대해서 현재 산업 표준처럼 사용하고 있는 AES는 최근에야 128비트 암호화 기술이 오픈됐다. 그전에는 미국에서 국가 기반 암호화 기술이라는 이유로 타국에서 사용을 금지시켰다. 그렇기 때문에 SEED, ARIA만을 사용하게 하는 정책을 세운 것에 대해서는 뭐라고 할 상황은 아니다. 암호화 기술은 국가 기반 기술로서 가치가 있기 때문이다. 지금이야 욕먹고 있지만 이런 상황이 있었다는 것 정도는 알아두자.
국내 기술이어야 한다는 조건이 붙었던 이유는 해외 기술에 대한 불신도 있었지만 해외 기술을 국내 기반 서비스에 적용시키는 것에 대한 윗선의 불안과 불만이 있었다고 한다. 또 국내 IT 산업을 발전시킬 수 있다는 얘기도 한몫 했을 것이다.
문제는 기반이 되는 웹브라우저가 MS의 IE가 대다수였고 그 외의 웹브라우저 역시 엔진 자체가 IE 기반이던지 아니더라도 해외 웹브라우저였기 때문에 국내 암호화 알고리즘을 자체적으로 지원해줄 수 있는 방법이 없었다. 당시 파이어폭스나 크롬 같은 대항마는 없었다. 익스플로러는 반독점법을 어겨가면서까지 익스플로러를 끼워팔아 세계를 정복한 상태였다. 때문에 당시에는 윈도우 기반의 IE 의존적인 환경 속에서 동작하기 위한 ActiveX를 쓸 수 밖에 없었다. 이후 지속적인 안정화를 이루면서 지금에 이르게 됐다.
부록. ActiveX 못지않은 난적 공인인증서의 배경과 문제
공인인증서 역시 태생을 살펴보면 아주 이해가 안되는 건 아니다. 해외 서비스는 개인 증명 방법이 이메일 인증이 대부분이고, 추가로 문자 서비스 인증 등 2차 인증을 거치는 것이 일반적이다. 하지만 유독 한국에서만큼은 공인인증서가 표준이다.
법적으로 구속력을 지니고 있기 때문에 어쩔 수 없이 공인인증서를 사용해야 하기도 했지만, 국내에서는 워낙 짝퉁 이메일을 많이 사용했기 때문에 정확한 인증이 불가능하다는 현실적인 이유도 한몫 했다. SMS를 통한 2차 인증은 최근에나 본격화됐다. 초창기에는 기업들도 시스템 도입에 많은 부담을 느꼈다. SMS로 날리는 것에 대한 비용을 감당하기 어려웠다는 얘기도 돌고 있다.
하지만 공인인증서에 대해서 불만을 갖는 이유가 단지 그것만은 아니다. 국제 표준이 아닌 오로지 한국만을 위한 표준이라는 것, 그리고 공인인증서를 통한 해킹이 자주 일어나기 때문에 인증서의 보관이라는 것에 문제를 삼고 있다는 문제가 있다. 또 외부에서 써야 할 경우에는 USB 등을 이용해야 한다는 점도 불편을 주는 요소다. 여기에 ActiveX도 깔아야 한다.
미래상. 다양한 플랫폼에서의 자유로운 접근.
이런 상황에서 안철수 박사의 IT 공약을 전수받은 문재인 후보가 당선되면 ActiveX의 활용이 대폭 낮아지고, 공인인증서는 사라진다. 이후 이를 기반으로 서비스하는 보안 업체들은 상당한 타격을 입게 될 것이다. 현재 보안회사들은 이에 대한 대책에 분주하다.
그 대책, 대안은 무엇일까? ActiveX의 문제는 하나의 OS(윈도우)에 하나의 웹브라우저(IE)에서만 동작하는 싱글 플랫폼, 싱글 브라우저 방식이라는 점이다. 따라서 멀티 플랫폼, 멀티 브라우저를 지원하는 보안 플러그인을 만들어야 한다. 이미 일부 금융 서비스는 파이어폭스, 크롬을 지원하는 플러그인을 활용하고 있다.
“또 플러그인 방식이냐?”라고 할 수도 있겠지만 현실이 그렇다. 아직까지는 하나의 보안방식만을 적용하는 것은 문제가 있다. 현재 거의 국제 표준처럼 사용하고 있는 SSL 방식(서버 인증서 방식)이 대한민국의 인증 표준으로 자리잡기에는 시간이 필요하다. 그 전까지는 SSL 방식을 밑에 깔고 그 위에 자체적인 보안 방식을 입혀주는 쪽이 좋다.
또 공인인증서 폐지에 대한 대응 방식으로는 2차 인증 방식이 많이 이야기된다. ID와 패스워드로 1차 인증을 한 후에 등록된 전화번호를 이용해서 인증 문자를 보내거나 등록된 이메일로 인증 링크를 날려서 인증하는 방식이 많이 거론되고 있다. 또 OTP를 이용해서 인증하는 방식도 이야기가 나온다. 이 역시 이미 주요 기업들이 개발에 들어간 상태다.
답이 다 나와 있는데 왜 이리 늦냐고?
앞서 밝혔듯 이미 많은 보안 업체들이 이런 방식에 대해서 접근하고 있다. 하지만 사람들은 뭐가 이렇게 늦냐고, 쉬운 일 아니냐고 이야기한다. 하지만 현실은 그리 녹녹하지 않다.
먼저 보안 업체들이 각 서비스들마다 제각기 보안 솔루션을 만든 것이 문제가 된다. 같은 보안 모듈인데도 서비스 업체에 따라서 버전을 달리 만들어서 (좋게 말하면 맞춤형 커스터마이징을 했다능) 서로 호환이 안되는 것도 문제다. 핵심이 되는 코어 부분은 동일하게 하고 부가적인 서비스 부분만 좀 달리하는 방식을 썼으면 좋았겠지만, 업체들이 자기네들에 맞게 다 맞춰달라고 해서 완전히 다른 제품을 만들어서 납품하는 경우가 많다.
결정적으로 아쉽게도 보안 기업들의 개발 인프라는 열악하다. 개발 인력은 물론 시스템 엔지니어도 모자란다. 보안 개발 인프라를 제대로 갖출려면 이런 문제점들을 해소하는 것이 무엇보다도 중요하다. 그렇게 하기 위해서는 확실한 코어 개발과 업체들의 땡깡이 없어져야 한다는 전제조건이 붙지만서도.
보안은 사회의식과 맞물려 간다.
한가지 알아둬야 할 점은 공인인증기술이 취약하고 해외의 보안 방식이 더 우수한 것만은 아니다. 국내에 알려지지 않는 해외의 인터넷 금융 해킹 사건이나 사기 사건은 규모나 액수가 국내 사건에 비교할 바가 못될 정도로 크다. 국내에 잘 알려져있지 않기 때문에 사람들이 모를 뿐이다.
보안이라는 부분은 엄밀히 따지면 스스로와 자산을 예방, 보호한다는 측면에서 보험과 비슷하다. 보험을 가입하면 매달 돈을 내야만 하듯, 보안도 이런저런 모듈을 설치해야 한다. 그로 인해 PC의 속도가 저하되고 다른 어플리케이션과 충돌이 일어나는 건 분명 개선해 나아가야 한다. 하지만 이를 어떠한 방식으로 구성할지는 보안업체가 아닌, 사회적 의식이 좌우한다.
예를 들어 보자. 미국은 금융거래가 매우 편리하지만, 카드 하나 주워도 금융범죄가 쉽게 발생한다. 보안 업계는 보안 방식을 리드할 수 없다. 단지 사회의 의식과 요구에 부응하는 기술을 내놓을 뿐이다. 미국은 이런 일에 익숙해져 있고, 그 나름의 처리 프로세스가 있다. 하지만 한국은 사고가 터지면 당장 ‘사고가 났다’는 것에 과도하게 집중하기에 ‘예방책’에 집중한 보안 방식이 지배적이다. 반면 미국은 상대적으로 ‘적발’과 ‘교정’에 집중한다.
물론 시대에 맞게 보안 기술을 발전시키지 못한 보안 기업들의 책임도 어느 정도 있다. 하지만 앞서 밝혔듯 열악한 보안 개발 인프라로 인해 신기술 개발은 꿈도 못 꾸고 기존 기술의 업그레이드도 제대로 못하고 있는 상황이 지금의 ActiveX 천국인 대한민국을 만들었다.
차기 정부가 나서서 공인인증서의 폐지와 ActiveX의 남용을 막겠다고 하면 정책적으로 어느 정도 방지할 수는 있겠지만 과연 그동안 사회 전반적으로 깔려있는 시스템을 제대로 잘 원활히 바꿀 수 있을까에 대해서는 좀 의문이 남기는 한다.
그렇다면 보안업계는 이를 어떻게 바라보고 있을까? 마찬가지로 공인인증서 제도의 폐지와 ActiveX의 남용을 줄이는 것은 시대의 흐름에 맞춰서 보안 서비스를 개선해야 한다는 의식을 가지고 있다.
차기 정부가 공인인증서 제도를 폐지하고 ActiveX를 없앤다고 할 때 보안 기업들은 매출에는 타격을 받겠지만 그로 인해 새로운 보안 컨셉을 잡고 기술을 발전시킬 수 있는 기회로 삼을 수 있다는 점에서 아주 짜증나는 상황은 아닐 것이라고 생각이 든다. 하지만 이에 발맞춰 사람들 역시 보안이라는 것 자체에 대한 부정적인 인식은 좀 바뀌어야 한다. 그런 사회적 의식이 함께할 때 좀 더 성숙한 보안 관련 문제 해결 프로세스를 갖출 수 있을 것이다.
