아이핀이 해킹당했다는 사실은 익히 들으셨을겁니다.
![[사진 = 중앙 일보 ]](https://ppss.kr/wp-content/uploads/2015/06/128.jpg)
언뜻 들으면 소프트웨어 제값주기 차원에 의해 비정상적으로 책정된 비용이라고만 생각할 수 있습니다. 그런데, 저는 그렇게 생각하지 않습니다.
1. 개인정보 유출의 책임이 기업에는 없는가?
공공기관의 sw프로젝트는 최저가 낙찰로 이루어지는 경우가 많고, 사실상 보안쪽 특히 공인인증서와 아이핀은 딱 몇 업체 밖에 안한다는 느낌입니다. 프로젝트에 대한 가격은 시작 단계부터 사실 업체들이랑 어느 정도 조정이 이루어집니다. 그만큼 할 만하다고 판단했으니 그 가격에 입찰한거죠.
그런데 가격이 낮다고 보안을 소홀히 해요? 보안의 유지보수에 대한 비용을 견적을 내지 못하는 기업이 어떻게 보안 기업일까요?
기본적으로 해킹에 대한 책임은 일차적으로 해당 업체에 있습니다. 그리고, 민간기업에서 이런 일이 터졌다면 책임은 그 기업이 지는 것이 맞습니다. 오히려 개인정보보호법을 제대로 지켰는지 등을 확인하여 더 엄격히 책임을 묻고 다른 사업자에게 일을 주는 것이 맞습니다.
또한 아이핀은 개인에게만 무료일뿐, 사업자에게는 유료입니다. 실질적으로는 그 기술이 불편하고 좋지 않아 민간기업들에게서는 sms나 카드인증 등이 선호 됩니다. 직구로 말하자면, 아이핀 기술은 다른 기술 대비 경쟁에서 지고 있다는 의미입니다. 만약 공공기관에서 아이핀을 치워버린다면 사실상 아이핀은 시장퇴출에 가까울지 모릅니다.
2. 왜 유지보수 비용이 커지고 있는가?
1) 무분별한 본인인증의 사용
주로 결재와 성인인증에 관한 부분입니다. 특히 성인 사이트의 경우 악성스크립트가 심어져 있는 경우가 비교적 많아 가장 위험한 서비스들이기도 합니다.
또한 SSO(별도의 가입없이 하나의 아이디로 다수의 사이트에 로그인 하는 기술)로 공인인증서나 아이핀이 사용됩니다. 그러나, 공인인증서나 아이핀은 인감과 같은 것으로서, 중요하지 않은 정보를 보는데까지 로그인에 사용하게 되는 것은 위협을 늘리는 일입니다. 가장 보안에서 중요한 점은 통제 가능한 수준으로 그 기술을 꼭 필요한데만 쓰는겁니다. (하지만, 공인인증서나 샵메일, 아이핀의 접근 방향은 이를 사업으로 보고 있기 때문에 사용처를 늘리는데 목적이 있는 것 처럼 보입니다. 매우 아이러니 한 상황이죠.)
다행스럽게도 행자부에서 꼭 본인인증이 필요한 경우에만 한해서만 쓰게 할 수 있도록 수정한다고 하네요. 다만 걱정스러운것은 공무원들의 특성 상 한번 만들어 놓은 것은 잘 안바꾼다는 겁니다. 주로 신규서비스부터 손을 댈텐데. 강제로라도 이전것들 점검해서 예산문제로 업데이트가 어렵다면 서비스를 폐기해야 합니다. 대부분 SI로 개발되기 때문에 이러한 환경변화를 대비한 예산은 아예 고려되어있지 않습니다. 올해 예산 확보해서 내년에 반영하는 구조니… 공공기관 SW의 근본적인 문제 중 하나는 SI로 개발되어있다는 것이죠. 만약 기술지원을 포함한 기간 사용 라이센스였다면 당당히 업데이트를 업체에 요구할 수 있을텐데 말입니다.
2) ACTIVE-X 와 정체된 갈라파고스 기술
만악의 근원 액티브x입니다. 액티브X는 유지보수 비용이 매우 큰 특징을 가집니다. 더군다나 시간이 지나면 더 커질겁니다. 도입비용은 싸죠. 최저가 낙찰을 하는 공공기관의 SI가 ACTIVE-X에 매력을 느꼈던 이유가 그것이 아니었을까 하는 추측이 듭니다. 한국 정부나 공공기관들의 브라우저 지원현황을 보면 전체적으로 IE8,9 정도가 표준입니다. 그리고 IE6까지 포함합니다. 그리고 정작 중요하고 확산되고 있는 IE10, 11은 지원하지 못합니다.
![[해외 기술의 모든 스펙이란 ie10~모바일 사파리까지. 한국 공공기관은 저 플랫폼들은 아예 지원 안되는 것이 허다 하고, 지원하지 않는 IE6~9까지...전자정부 1위 맞나요? 우리는 아직도 20세기 정부입니다. ]](https://ppss.kr/wp-content/uploads/2015/06/219.jpg)
간단히 말씀드리면, 한국의 표준플랫폼은 윈도우즈 XP와 7의 근처에 있고, 그나마 윈도우즈 애플리케이션 기반이라 최신 OS나 브라우져를 지원하려면 매번 프로그램을 고쳐서 배포해야 합니다. 웹기술과 가장 큰 차이죠. 거기다가 MS가 ACTIVE-X를 비롯한 하위호환성을 버리면서 최신 플랫폼과 구 플랫폼의 동시지원을 위한 유지보수 비용은 새로만드는 것 만큼의 노력이 들고 있을겁니다. 더 나쁜 소식을 드리자면, 윈도우즈8부터는 브라우져의 다운그레이드도 안되고, IE차기버젼의 하위호환성은 더 끔찍해질 것입니다. 처음부터 표준기반의 웹기술로 만들고 있었다면 플랫폼이 변화에 비용이 훨씬 적게 들었을 것이며, 국제적으로도 많이 사용되는 기술로서 안정성도 높았을 겁니다.
ACTIVE-X기반의 보안 기술을 써서는 안되는 이유 중에 하나입니다. EXE로 배포도 하던데, ACTIVE-X와 EXE는 기술적으로 그냥 같습니다. EXE(윈도우즈 어플리케이션)를 브라우져가 부르도록 만들어 놓은 게 ACTIVE-X고, 프로그램이 부르도록 만들어 놓은 게 DLL입니다. 그냥 윈도우즈 바이너리 코드덩어리로 써서는 웹표준과는 아무 상관 없습니다.
아무도 안쓰는 기술 쓰면 처음 부터 끝까지 다 만들어야 하고, 모든 문제를 혼자 해결해야 되니 당연히 비싸집니다. 이거 잘 만들어서 해외 팔 수 있을까요? T-MAX가 자체 OS만들어서 안드로이드 이겨보겠다는것과 비슷한 이야기입니다.
3. 정부가 민간의 것을 책임지지 말아야 한다.
공인인증서와 아이핀의 근본적인 문제는 바로 정부가 민간 사업자들을 위해 기술을 제공하고 있다는 점입니다. 은행도 민간이고, 성인사이트도 민간이죠. 기술에 대한 단초는 제공할 수 있습니다. 이런식으로 개발하면 되지 않겠냐 정도로 스펙을 오픈하고, 소스를 오픈하는 방법입니다.
하지만, 아이핀과 공인인증서는 실질적인 서비스까지 책임져 줌으로서 그 위험까지 고스란히 정부가 책임져주고, 이렇게 문제가 터지니 업체는 뒤로 숨어서 예산 타령을 합니다. 처음부터 정부가 책임지면 안되는 것을 책임졌던 것이 문제입니다.
정부는 정부에서만 쓸 격리된 인증프로그램이 있어야 합니다. 이는 결재와 상거래 같은 민간의 영역과는 별도여야 합니다. 이미 핸드폰 인증, 카드인증등의 다양한 수단들이 있습니다. 공공서비스를 이용하면 로그인대신 사용되는 아이핀과 공인인증서도 제거되야 합니다. 꼭 필요한데만 사용되야 하며 SSO는 별도로 본인인증과 무관하게 만들어져야 합니다.
또한 당연한거지만, 표준 웹기술 기반에서 돌아가야 합니다. 적어도 그게 웹서비스로 만들 생각이라면 말이죠. 아예 서비스도 애플리케이션으로 만든다면 무방하겠지만, ACTIVE-X처럼 서비스와 인증을 다른 기술을 쓸 생각을 하지 마십쇼. 복잡도가 배로 늘어나고, 이에 따라 보안위험도 배로 늘어납니다.
4. 보안사고에 대한 책임을 더욱 강력하게 해야 한다.
보안 사고에 대한 책임을 더욱 강력하게 물어야 합니다. 보안사고 터졌던 곳들 잘 생각해보십쇼. 적자 나는 곳이었습니까? 돈이 없어 보안을 책임지지도 못할 수준이었다면 서비스를 해서는 안되는 것 이었을 뿐입니다. 그렇게 해서 어설프게 최저가를 하거나, 낮은 유지보수 비용으로도 사업을 하는 일은 없게 해야 합니다. 기업은 수익이 없을것 같은데는 근처도 가지 않습니다. 처음부터 존재하지 않았어야 했던 것일 뿐입니다.
원문: 숲속얘기
