“공인”인증서의 악몽이 “공인”전자주소(샵메일)로 고스란히 재현되는 중입니다. 황당한 발상이 어떤 방식으로 제도화되고, 어떻게 우리 나라의 IT 환경을 옭죄게 되는지를 분명히 보여주는 사례가 바로 샵메일입니다. 그 경위를 대략 살펴보겠습니다.

공무원은 왜 이런 황당한 사업을 벌이나?

공인인증 사업을 하고 있는 한국정보인증은 “공인인증을 기반으로 한 사업의 다각화를 모색”하는 차원에서 “전자문서 유통중개 서비스 사업도 시작할 계획”이라고 올해 8월에 그 포부를 밝힙니다. 업체의 주장을 보면, 전자문서 유통중개 서비스는 “이메일상의 등기우편”이라면서 이것을 ‘샵 메일’이라고 부르고 있습니다. (한국정보인증 고성학 대표의 올해 8월12일자 인터뷰 기사. “공인인증서비스 기반으로 사업다각화 모색”)

이런 업체들이 공무원들에게 접근하여 사업구상을 설명하면, 공무원은 이것을 덥썩 받습니다. 공무원이 이런 사업 아이템을 좋아하는 이유는 뻔합니다. IT산업 진흥, 육성, 신성장 동력 어쩌구 하면서 자신이 마치 사업가나 된듯 설치거나, 자신의 업적으로 한국의 IT가 국제무대에서 인정받을 수 있게 될 것이라는 순진, 소박한 공명심에 사로잡혀 있기 때문입니다.

하지만 뭣보다도 이런 사업 아이템을 자기 부서의 인허가, 감독 사항으로 확보해 두면 인허가를 따내기 위해 업자들이 굽신거리고 담당자는 감독권한(공무원의 밥그릇)을 챙길 수 있다는 사리사욕도 작동합니다.

공인인증서의 문제를 그대로 밟고 있는 샵메일

2012년 초 지식경제부는 전자거래기본법을 “전자문서 및 전자거래 기본법”으로 개정하고, 문제의 “공인전자주소”라는 제도를 만듭니다(개정 법률, 제2조 제8호, 제18조의4 등 참조). 온세상이 그동안 멀쩡히 잘 사용해 오던 이메일 주소를 특정 부처가 자신의 인허가 사업항목으로 만들기 위하여 “공인”을 앞에 붙인 다음 괴상한 고립의 길로 가는 모습은 인증서의 경우와 완전히 동일합니다.

인증서기술도 전세계적으로 멀쩡히 잘 작동해오던 것인데, “공인”자를 붙이고 특정 부처가 자신의 인허가 사업항목으로 변질시킨 다음에는 한국에서만 통하는 괴상한 방식으로 둔갑하고… 그 뒤에 벌어진 일은 모두들 잘 아실 것입니다.

“공인”인증 사업은 처음에는 정통부가 감독권을 챙겼고, 현재는 행정안전부가 이권을 넘겨받아 금융위원회/금융감독원과 함께 제각각 밥그릇 수호에 몰두하고 있는 것입니다. 지경부는 이런 이권들이 몹시도 부러웠나 봅니다. 그래서 이제는 이메일주소에 “공인”자를 붙여서 자신들도 밥그릇 하나 챙겨보려는 것입니다.

지경부의 이런 시도는 8월29일에 발표된 “샵메일”이라는 형태로 구체화 됩니다. 지경부 최진혁 소프트웨어융합과장(전화 02-2110-5151)과 임성민 사무관(5156)은 “공인전자주소(#메일)은 @메일과 달리 본인 및 송수신 확인이 보장되는 새로운 전자주소로서 온라인 ‘등기’와 같은 역할을 한다”고 보도자료를 돌리면서, 공인전자주소(#메일) 제도를 “세계 최초”로 도입한다고 자랑하고 있습니다. 세계 최초의 삽질에 가깝지 않을까 싶지만(…)

지경부 최진혁 과장이나 임성민 사무관이 배포한 보도자료는 한국정보인증 고성학 대표의 인터뷰 내용(괄호 안에 인용)과 거의 같습니다: (1) 본인 및 송수신 확인이 보장된다(이메일을 보낸 사람이 지정한 사람에게 정확히 전달되는 메일이다) (2) 온라인 등기와 같은 역할(이메일 상의 등기우편) (3) 샵메일 서비스, 솔루션, 장비 등 연간 700억원의 新시장 창출 효과(이러한 사업다각화를 통해 매출 1,000억 달성 목표: 현재 300억 가량… ㅋㅋ) (4) 샵메일을 전세계로 수출(해외시장 진출에 노력)

샵메일의 신뢰성과 안전성, 대체 누가 보장할 것인가

2012년 9월19일자 보도에 따르면 “현재 #메일사업자 선정을 위한 심사가 일부 진행되고 있는 상황”이며, 2012년 10월 쯤이면 샵메일 사업자가 지정될 것이며, “정부는 향후에도 #메일 사업허가를 남발하지는 않을 방침”이라는 군요, ㅎㅎㅎ

그런데, 궁금한 점이 좀 있습니다. 기존의 이메일은 크게보아 세가지 기술적 요소로 이루어져 있습니다.

MUA(Mail User Agent)는 사용자가 접하는 인터페이스를 제공하는 것인데, 응용프로그램 형태로 구현되거나(예를들어, 아웃룩, 썬더버드, …), 웹 인터페이스로 제공될 수 있습니다(gmail, hanmail 등).

유저가 MUA를 이용하여 발송을 지시하는 메세지 내용은 발송자와 연결된 메일 서버의 MTA(Mail Transport Agent)가 처리하게 됩니다. EXIM, Postfix 등의 메일 서버 소프트웨어가 SMTP라는 프로토콜을 이용하여 메일을 수신자의 메일서버로 보내는 것입니다.

수신자의 메일 서버에 도착한 메일은 MDA(Mail Delivery Agent)에 의하여 처리되며, POP나 IMAP등의 프로토콜을 사용하여 유저가 메일을 받아볼 수 있도록 해줍니다.

최종적으로 유저는 역시 MUA(Mail User Agent)를 이용하여 도착한 메일을 열어보고, 삭제, 보관 등의 작업을 하게 됩니다.

메일 전달의 신뢰성을 확보하기 위하여 MTA는 여러 조치를 취합니다. 수신자의 메일 서버가 다운되거나 하면 여러차례 배달을 시도하고, 만일 최종적으로 배달이 불가능하다고 판단하면 그 사실을 발송자에게 알립니다. 이러한 여러 작업들의 내역은 일일이 메일 서버에 기록(logging)이 됩니다. 대충 보내보고, 중간에 증발해도 그만… 이런 허접한 방식으로 이메일 시스템이 설계되어 있지는 않습니다.

보냈는데, 못받았다고 할 경우, 보낸 사람은 자신의 메일 서버의 메일 로그를 통하여 그 메일이 과연 수신인의 메일서버에 까지 전달되었는지 확인할 수 있습니다. 현재도 이미 상황이 이렇기 때문에 이메일 못받았다고 “오리발” 내미는 것이 말처럼 쉽지도 않습니다.

제일 궁금한 점은 이른바 샵메일이라는 것이, 과연 완전히 새로운 MTA 소프트웨어, 새로운 메일 프로토콜에 기반하여 서비스가 제공되는 것인지 아니면, 기존의 MTA와 메일 프로토콜을 대부분 그대로 사용하고, 최종 유저단의 MUA만 슬쩍 포장하여 서비스가 이루어지는지 하는 것입니다.

만일에… 최종 유저 인터페이스에 해당하는 프로그램(또는 플러그인)을 배포하고, 이 프로그램이 #주소를 @주소로 변환(유저는 모르게)해서 기존의 메일서버 체계를 대부분 차용해서 메일 처리가 이루어 진다면, 이른바 “공인전자메일”서비스는 대국민 사기극에 가까울 것입니다.

그렇지 않고, MTA와 메일전달 프로토콜 자체가 완전히 새롭게 설계된다면, 기존의 메일 시스템에 비하여 어느부분이 어째서 더 안전한지가 투명하게 설명되어야 할것이고… 그러한 장점들은 시장의 선택에 의하여 검증되어야 할것입니다.

기존의 어떤 프로그램도 #주소를 처리할 수는 없기 때문에 이런 샵메일을 사용하려면 보내는 사람과 받는 사람이 모두 별도의 프로그램(플러그인)을 설치해야 하는데, 세계 각국의 유저들이 과연 이런 번거로움을 거쳐갈 것인지, 이 새로운 샵메일 프로그램(플러그인)의 신뢰성과 안전성은 과연 누가 어떻게 검증할 것인지는 “시장에 의하여 결판”나야 하는 것이지 한국의 어느 관료가 강제할 성질의 것이 아닙니다.

샵메일, 공무원에 매달리지 않고 당당하게 시장의 평가를 받기를

저는 샵메일이 진정으로 새로운 메일처리 기술이기를 희망합니다. 그러나 정말 그런 “혁명적”기술이라면, X도 모르는 지경부 사무관을 상대로 썰을 풀고 설득/영업 하려하기 보다는 전세계의 고객들을 상대로 영업을 시작하는 것이 정직한 태도일 것입니다.

신기술을 개발했노라면서, 기술을 모르는 공무원 앞에 쪼르르 달려가서 썰을 풀고, 공무원은 “법제도”를 건드려서 “강제 규정”으로 이런 기술을 지원해 주겠다는 식의 움직임은 지금껏 지겹게 반복된 패턴입니다. 공인인증서도 그랬고, WIPI도 그랬고, 이제 샵메일도 똑 같은 구조를 가지고 있습니다. 기술인력이 공무원을 상대로 쎄일즈를 하고 제도적 지원에 의존하려는 발상을 계속하는 한, 한국 IT산업은 암담합니다.

대통령 선거에 즈음하여, IT산업의 “콘트롤 타워”가 필요하다는 소리가 흘러나옵니다. 위에서 설명드린 것처럼 업계가 공무원/정부에게 달려가서 지원을 호소하고, 공무원의 통제(CONTROL)를 스스로 받겠다는 한심하고 비열한 노예근성을 “콘트롤 타워” 어쩌구 하는 번지르한 말로 포장하는 분들이 아직도 “전문가”행세를 하고 다니는 작금의 실상이 개탄 스럽습니다.

정부가 IT기술에 조급하게 개입하여 “기술을 법제도로 둔갑”시키고, 그 제도에 기대어 기득권과 사업권을 빨아먹어 보려는 진드기같은 관변 사업자들이 생겨나며, 그 과정에서 공무원은 인가권/규제권/감독권… 결국에는 “이권”을 주무르게 되는 구조가 샵메일 추진과정에 그대로 나타나고 있습니다.

삽메일 도입 과정에서 드러난 지경부 최진혁 과장이나 임성민 사무관, 그리고 한국정보인증 고성학 대표 같은 분들과 “전자문서 및 전자거래 기본법” 개정 과정에서 검토보고서를 작성한 국회 지식경제위원회 수석전문위원 김호성, 그리고 개정 법률안을 발의한 지식경제부장관 홍석우의 각성과 반성을 촉구합니다.

p.s. 그런데… 썬더버드, 이볼류션 등의 메일 클라이언트들은 발신자가 자신의 개인키로 메일 내용을 완전히 암호화하고, 메일을 전자서명하여 주고받을 수 있는 기능을 이미 구비하고 있다는 사실은 알고나 계시는지…

정부가 모든 걸 통제하지 말고, 민간업체의 경쟁과 지원을 유도해야

제 주장의 일관된 요지는 시장이 어떻게 될지 아무도 장담할 수 없기 때문에 정부가 나서서 시장을 주도하겠다는 방향으로 일을 추진하면 안 된다는 겁니다. 정보가 어떤 기술의 요구사항이 아니라 ‘스펙’을 만드는 순간 ‘대안’이 등장할 기회를 발로 차버리는 겁니다. 수많은 ‘기회’를 자발적으로 포기하는 겁니다. 바로 이렇게 진행되고 있어서 비판하는 겁니다.

막말로 샵메일 같은 것이 필요하다고 한다면, 정부는 지금처럼 진행할 일이 아니라 예를 좀 구체적으로 들면…

“정부 문서를 비롯하여 전자 문서화 되는 경향은 막을 수 없고, 환경 문제 등도 고려하고 하면 전자 문서를 유통하는데 필요한 기술 및 서비스가 필요하다. 현재 나온 기술 및 서비스로는 정부에서 믿고 사용하기 힘들다. 우리가 (이러이러한 방법으로) 조사한 결과 필요한 요구 사항은 이런거다. 요구사항을 모두 만족하는 기술이나 서비스 가운데 괜찮은 것은 정부에서도 이정도 예산까지 사용할 용의가 있으니 예산 범위 안에서 가장 합리적인 것으로 선택해 사용할거고, 정부가 믿고 사용하는 기술이라고 인증도 하고 홍보도 해줄게.

1) 충분히 안전하다고 검증된 암호화 기술을 이용한 통신 보안. 적어도 도/감청을 피하기 위해 transport 레이어 이상에서 암호화가 되어야 함.

2) 충분히 신뢰할만하다고 검증된 전자 서명.

3) 충분히 신뢰할만한 서버 인증.

4) 사용자 편의성 및 접근성이 높을 것.

4-1) 되도록 다양한 연령 및 계층(장애인을 포함)이 사용 가능 해야 함. 공무원 뿐 정부와 연계된 민간/대민 업무 등의 사용을 위해 민간인 및 기업도 사용할 예정임.

4-2) 다양한 OS 및 (유무선) 통신 환경을 지원해야 함.

4-3) 서비스를 이용하기 위해 기존 기술과의 호환성이 높아야 함.

5) 데이터는 충분히 검증된 암호화 기술을 이용해 저장되어야 하고 임의로 열람 및 변경이 불가능 해야 함. 열람 및 변경시 그 사실을 알 수 있어야 함.

6) 데이터는 적어도 30년 이상 안정적으로 보관 가능해야 함.

7) 전자문서의 송수신 사실을 증명할 수 있어야 함. 이 때 필요한 최소 정보는 송신자 이름/아이디, 송신 시간, 수신자 이름/아이디, 수신 시간, 열람 여부 및 열람시 열람 시간 등임.

정도까지가 정부가 알려야 하는 사항의 끝입니다. 이 가운데 요구 사항 등은 법제화가 필요하면 법제화 하면 되고요.

정부가 표준안을 들이미는 게 아니라, 좋은 기술이 표준화 되어야

관련 부속 사업으로는 위의 요구사항을 만족시키고 검증하기 위한 쪽으로 접근해서 예를 들면 ‘암호화 기술 개발 지원 사업’, ‘암호화 기술 검증 지원 사업’, ‘암호화 기술 경향 조사 지원 사업’, ‘전자 문서 유통 기술 동향’, ‘전자문서 유통 수요 조사’, ‘서버 인증 기술 지원’ … 등등의 사업을 진행할 수 있을테고… 만약 중복 사업이 진행중이거나 계획중이라면 예산 조율하거나 부처간 공동 사업으로 진행할 수 있으면 국민 입장에서는 더 좋고요.

여러 기술이 제안되고 다양한 서비스가 만들어질테고… 정말로 전자문서 유통이 활발해진다면 사용자의 선택으로 옥석이 가려질테니 이 때 ‘표준화’를 천천히 진행하면 될겁니다. 각 요구사항에서 가장 좋다는 것만 뽑아서… 선 기술개발, 후 표준화. 이게 표준화의 정석입니다. 표준안이 먼저 나왔다고 주장한 시점에 빼도박도 못하고 이건 그냥 잘못 진행되고 있는 대표적인 사업이 되는 겁니다.

샵메일과 비교할 때 얼마나 다양한 분야에서 기술 개발 및 보완이 이뤄지고, ‘작은 단위’의 사업도 발생할 가능성이 있는지, 설마 사업 자체가 실패하더라도 사업 진행 과정에서 얻은 내용이 다른 산업/사업에 영향을 줄지 비교해 봐야 합니다.

국가 주도의 기술개발, 루트와 파이의 무리수 열전

기술 개발은 그 자체로 가치가 있을 수 있는데(고급 인력 양성, 문제 도출, 비슷한 기술 개발시 개발 기간 단축 등), 기술이 쓰이지 못할 때 담당자가 면피 하려고 ‘수요와 니즈’를 부풀리곤 하죠(했죠). 이거 믿고 먼저 뛰어들었다 망하는 것일 뿐입니다. 그건 사업자가 감당해야 하는 위험일 뿐입니다. 정부 말 다 믿으면 안 되는거죠.

근데 지금까지 사업 진행되었던게 많은 부분 나폴레옹 식이었습니다. ‘정부를 따르라!’ 근데 따라가봤더니 ‘이 산이 아닌게벼…’ 이런 케이스가 많았던거죠.

앞으로 이게 차세대 먹거리다!! 뭐 이런 소리에 혹해서 사업했다 뚜껑 여니까 아니라서 망한 케이스 많습니다. DMB가 그랬습니다. 인터넷을 이용한 streaming에 발리고 있죠. 그래도 이건 좋은 케이스. 적어도 DMB 칩셋 제조사는 외국 업체에 꽤 괜찮은 가격에 회사 팔고 손털었거든요. 그 인력은 그대로 또 벤쳐하고 있고. 성공과 실패가 같이 공존하는 케이스죠.

또 와이브로가 그랬습니다. 당시 저는 앞으로 세계시장에서 lte가 될지 mobile wimax가 될지 확실하지 않으니 기술 개발 해서 통신사가 서비스 하도록 하는 것과 별개로 ‘사용자 입장’에서는 그냥 핸드폰에 wifi나 허용하라는 쪽이었죠. 당시 통신사가 핸드폰에 wifi, gps는절대 불가나 다름 없을 정도로 경기를 일으켰습니다. 분야를 좀 돌리면 줄기세포가 그랬고… 무리수 둬서 (결과적으로) 실패한 사업이 꽤 됩니다.

이걸 위에 제가 예시로 든 방식으로 지원을 바꾸면 “DMB를 만들어야 해!!”가 아니라 “이동중에도 TV나 영상 콘텐츠를 볼 수 있는 기술/서비스를 만들어야 해!!”가 되어야겠고, “Wibro를 만들어야 해!!”가 아니라 “고속 이동 중에도 음영 지역 없이 고속으로 인터넷에 연결할 수 있는 기술/서비스를 만들어야 해!!” 가 되겠죠.

시장 소비자의 선택을 놔두고 국가에 의존할 필요가 없어

그리고 라이센스를 말씀하셨는데, 이런 경쟁을 뚫고 소비자의 선택을 받은 기술은 흔히 말하는 조 단위의 라이센스비도 받을 가능성이 생길겁니다. 국가 주도로 결국은 특정 회사나 단체가 만든 암호화 기술 하나 만든거랑, 각계 전문가/기업/연구원 등이 만든 여러 암호화 기술 가운데 ‘비교해 봤더니’ 가장 우수하다고 최종적으로 판명난 거랑 어느쪽에 라이센스비를 주고 싶겠습니까? 기술을 우리 나라만 연구하는 게 아닌 상황에서 말이죠.

그런 거 판단하는 것은 정부에서 판단했다고 믿어주는 게 아니라니까요. 그냥 ‘정부에서도 사용할 정도’라는 신뢰감을 심어줄 뿐이고 이런 게 여러 모로 복합적으로 유리하게 작용하는 것 뿐이죠. 당장 ‘NASA’에서 사용한 기술. 미국 ‘NSA’에서 사용하는 기술, 미국방성이 사용하는 기술… 이러면 그 기술 만든 기업 가치가 안 올라가겠습니까?

하지만 그 이전에 NASA가 NSA가 미국방성이 선택하면 뭔가 있다는 ‘믿음이나 신뢰’가 먼저인거죠. 샵메일은 지금 진행되는 거 보면 ‘정부에서 진행하는 것은 못 믿을 것’이라는 불신만 주고 있는 상황인 겁니다.

시장에 맡기면 언제나 좋은 결과를 얻을 수 있냐고 물으셨는데, 당연히 개별 사업자는 망할 수도 있습니다. 기업이 망하면 ‘안 좋은 결과’라고 생각하는 경향이 있으신 것 같은데, 그 기술 개발 경험과 인력이 안 좋은 결과와 함께 사라지는 것은 아닙니다. 망할 기업은 망해야죠. 그게 사용자에게는 더 좋습니다. 망했던 기업에서 일했던 사람들은 새롭게 생기거나 기존에 있던 경쟁사로 들어가겠죠. 이게 안 된다면 이런게 바로 정책에서 풀어줘야 할 일이라고 보구요.

그리고 주장하시는 부분이 좀 웃깁니다. 미래부에서 외국 수준의 라이센스를 받을 수 있는 기술을 미래부에서 미리 알고 정책을 세운다구요? 그런 능력 있는 분들이 왜 미래부에 계십니까? 사업하시지;;; 그건 아무도 모르는 겁니다. 아무도 모르는 일이기 때문에, 미래에 어떻게 될지 아무도 장담할 수 없기 때문에 하나에 꽂혀서 지원하면 안 된다고 계속 강조하는 겁니다. 이런건 선택과 집중 같은 것도 아닙니다. 선택이 없는데 무슨 집중입니까. 그냥 뻘짓이지.

제 경우에 당장 AES가 보안 위협을 이렇게 빨리 받을 줄 몰랐습니다. 논문에서 얼마전에 AES도 안전하다고 방심할 수준은 아니라고 언급한 논문을 슬쩍 보긴 했지만 그래도 경고 수준이지 지금 당장 위험하다고 보진 않았거든요. 지금 암호 연구하는 사람들은 물론 기업이나 정부도 비상이 걸려야 하는 상황입니다. 그런데 3DES니 SEED니 표준 스펙에 넣어놓고 앉아있네요. 화가 나겠습니까 안 나겠습니까?

마무리 : 정부의 IT 삽질은 이제 그만

정부가 ‘규격(Spec)’을 만들면 그게 개방적이든 폐쇄적이든 문제가 생깁니다. 정부는 ‘요구사항’만 명확히 전달하고 이 요구사항을 만족하는 것 가운데 가장 합리적인 선택을 해서 정부가 사용해 주겠다는 메시지만 전달하면 되는겁니다. 정부가 규격 만들면 이권이 걸리고, 로비가 생기고, 먹튀가 생기고, 한탕주의가 생기고, 무리수를 남발하고, 법으로 어떻게 해보려고 하고…지금 샵메일처럼 진행됩니다.

진입 장벽을 낮추는 것도 해결 방안이 아닙니다. 제 문제 제기의 근본은 거듭 거듭 말씀드리지만, 정부가 주도해서 특정 기술 스펙을 만들고 이를 몰빵으로 지원하는 사업은 목적도 과정도 쉣다뻑이고, 좋은 결과를 얻기도 힘들고, 실패해도 얻는게 크지 않다는 겁니다.

ps: 개인은 가입시 1만원입니다. ‘개인 정보를 공개’하는 조건으로 면제가 될 뿐입니다. 이건 제가 글 작성하면서 팩트 체크 나름 한다고 모든 대행기관 홈페이지 찾아서 다 확인한 사항입니다. 그리고 가입비가 아니라 연간 사용료입니다. 가입할 때 단발성으로 내는 돈도 아닙니다. 용어는 되도록 정확히 써 주세요. 그런 사소한 것에서 혼란이 가중되니까요.

저하고는 다른 시각 잘봤습니다. 그런데 의견을 구하고 싶은게, 이 사업이 정부 출연 기관이 관여된 사업인 것이 어떤 문제가 될런지요? 과거에 정보통신 분야에서 정부 또는 관련 기관이 주도하고 육성하여 그 결과가 잘된 것도 있고 잘 안된 것도 있습니다만, 전반적으로 성과가 있었다는 분위기라고 생각합니다.

오히려 MB정부에서는 과거 정부에서 IT 컨트롤 타워 역할을 했던 정통부가 해체되면서 아쉬운 점이 많았다고 보는데, 필자께선 저하고는 다른 측면에서 이를 보시는 것 같습니다. 이 사업은 어떤 측면에서 정부 주도가 바람직하지 않다고 생각하는지요?  (링크)

미친 듯이 바쁜 상황에서 몬스터와 레드불과 핫식스로 일주일분의 체력을 끌어쓰고 있지만, 아무튼 일을 벌였으니 나름 친절 모드로 답변 하겠습니다.

문제는 정부 출연 기관 관여가 아니라 사업 자체가 엉망진창

정부 출연 기관이 관여된 사업이라 문제 삼는 것은 아닙니다. 정부 출연 기관이 관여하는 사업은 무척 많고 사업이 항상 그렇듯 좋은 결과도 나쁜 결과도 있습니다.

문제는 사업의 목적과 과정입니다. 정부 과제는 비록 결과적으로 실패할 망정 과정에 문제가 있으면 안 된다고 봅니다. 결국 세금으로 운영되는 거니까요. 그리고 큰 틀에서 엉뚱한 방향으로 가지 않도록 하는 역할을 해야지 이미 내부적으로 결론을 내려놓고 하나의 방향으로 몰아가는 식의 사업이 되면 문제라고 봅니다.

예를 들어 특정 기업에서 이미 개발된 기술을 지원하기 위해 말을 만든 사업이라든지, 당위성 확보를 위해 시작한 사업이라든지. 대표적인 예로 4대강 사업을 들 수 있겠습니다.

다른 사업이 어떻게 진행되고 있는지는 해당 사업에 관심이 많은 분이 의견 개진이나 합리적 의심을 할 수 있을테고, 저는 제 전공과 하는 일, 그리고 경험을 바탕으로 샵메일이 진행되는 과정은 ‘정상적이지 않아 보인다’ 라는 의심을 한 것입니다. 그리고 시간내서 조사를 해 보니 시작부터 진행까지 의혹 투성이더군요. 누군가 해명을 하든지, 시시비비를 가리던지 해야 할 것 같았습니다. 과정이 엉망인 사업에 돈을 내고 싶은 마음은, 그리고 시간을 쓰고 싶은 생각은 쥐뿔도 없으니까요.

몇몇 분들이 1년 전부터 언급하긴 했지만 이슈가 되진 못했습니다. 다들 설마 이게 진짜로 진행될거라고 진지하게 생각하진 않았거든요. 솔직히 기자도 아닌 제가 이 짓을 왜 해야 하는지… 샵메일 관련해서 온갖 기사가 쏟아지는데 ‘발품 팔아 취재’한 기사는 없어 보이고 보도자료 뿌리는 수준의 순 홍보성 기사 뿐이더군요.

IT계의 콘트롤 타워가 갖는 문제점 ‘큰 건 터뜨리기’

이건 개인마다 생각이 다를테니 적당한 문제제기는 아닙니다. 필자의 의견을 묻는 거라 생각하고 답변 드립니다. 저는 어떤 식으로든 IT/Science 관련 지원 기관이 있어야 한다는 것에는 동의하지만 흔히 얘기하는 ‘콘트롤 타워’에는 부정적입니다.

왜냐하면 누군가의 입김이 강력하게 작용할 수 있기 때문입니다. 좋은 리더를 만나면 흥할 확률이 높지만, 흔히 말하는 병맛 터지는 리더가 (너무 열심히) 일을 하면 헬게이트가 열리는… 시스템 입장에서 보면 로버스트하지 못하고 안정적이지 못합니다. 덤으로 유연성도 떨어지고.

(준)정부에서 일하시는 분들 가운데 양명의 유혹이 큰 분들은 한 건 터뜨리고 싶어합니다. ‘콘트롤 타워’에 들어가면 실제로 그렇게 하는 경우가 많습니다. 이렇게 터뜨린 사업은 운이 좋으면 성공처럼 보이기도 합니다. 혹은 성공으로 포장하기도 하죠. 중요한 것은 성공이냐 실패냐가 아닙니다. 사업의 목적과 과정과 진행이 합리적이고 상식적이냐의 문제죠. 그리고 사업 진행 결과가 얼마나 ‘유용하게 남느냐’가 평가의 기준이 되어야 한다고 보고요.

실패한 사업에서도 ‘반면교사’로 삼을 부분이 있을 것이고, 성공한 사업도 찾아보면 많은 ‘시행착오’가 있었을 것입니다. 원론적으로는 지금 당장은 아니더라도 미래를 위한 가능성의 문을 여는 방향으로 정부 사업이 진행되야 한다고 봅니다.

허나 이 사업은 이미 결론을 내린 상태에서 ‘법’을 이용해 결론 이외의 것을 모두 배제하고 진행되고 있는 부분이 특별히 더 바람직하지 않습니다. 이미 (한국식) 공인인증서 기반 기술과 시대에 뒤쳐진 보안/암호화 방식을 사용한 방법으로 표준이 되어있는 듯 하고, 진행 과정에도 의심할 거리 투성입니다. 관련 사업자가 계속 강조하는 부분은 막말로 ‘법으로 보장’ 밖에 없어보일 정도입니다. ‘(더 나을지도 모르는) 다른 방식’은 끼어들 틈이 없습니다.

어떤 기사 보니까 ‘기술 논의’는 관두고 ‘정책 확산’ 하자는 도 있던데, 이 정도면 현업에서 보면 막장 수준일 겁니다.

샵메일과 비슷한 사례로 나오는 독일의 De-mail(참고 : 위키피디아)만 보더라도 정부는 필요성에 의해 방향(법적, 기술적 요구사항. spec이 아니라 requirement)만 제시하고 업체가 자유롭게 개발하도록 하고 있습니다. 사용 여부도 모든 사용자가 자발적으로 사용하는 거지 강제 사항이 아닙니다. 그리고 De-mail은 이렇게 진행됨에도 불구하고 진행 과정의 헛점 때문에 많은 비판을 받고 있습니다. 국내와 비교해 보세요. 샵메일 진행 과정이 더 거지같아 보일겁니다.

샵메일이 사용하는 낡은 보안 표준 스펙

오늘 트위터에 보니까 샵메일 관련 표준 스펙을 훑어보고 계신 분이 있나본데, 보안이 3DES와 SEED라더군요. 3DES는 컴퓨팅 파워의 증가로 무차별 대입 공격 방식에 취약해서 AES로 대체되기 시작한지 꽤 되었고(이미 2000년 초부터 미 정부 표준 암호기술은 AES였죠), 심지어 며칠전에는 앞으로도 한동안 안전할거라 믿었던 AES 마저 위태로운 지경에 이르렀다는 보도가 나올 정도로 암호화 관련 기술도 계속 더 발전해야 할 기술이고 주시해야 할 일입니다.

SEED는 태생이 웹브라우저에서 40비트 암호화 밖에 지원되지 않을 때 국내에서 전자상거래 때문에 만든 암호화 방식이니… (뭐 이것도 파보면 슬픈 뒷이야기가 있지만) 딱 2000대 초반까지는 어쩔 수 없었으니 인정 안 할래야 안 할 수 없는, 하지만 이후에도 이것만 밀고 있는 상황, 심지어 (반)강제하고 있는 상황이 병맛인거죠.

막말로 iPhone 안 들어왔으면 더 막장이었을거라는데 500원 겁니다.SEED는 태생부터 ActiveX의 도움이 없으면 안 되었고, 지금도 플러그인이 없으면 제대로 동작하지 않으니까요.

하지만 요즘 나오는 인터넷 브라우저는 자체적으로 128비트 이상의 암호화를 지원하기 때문에 굳이 플러그인 방식을 강요할 명분이 없죠. 그럼에도 불구하고 (플러그인 방식) 공인인증기술 기반으로 샵메일이 진행되고 있는 것, 그리고 이를 법으로 강제한 것이 욕먹어 마땅한 일이라고 생각합니다. 모르고 그렇게 했다면 글로벌 보안/암호화 트렌드를 따라가지 못하고 있었던거니 일종의 직무유기일테고, 업체나 관련자의 입김이 있어서 그랬다면 더 심각한 문제일거고.

뭐, 수요 조사나 예측, 산업 동향 파악, (차세대) 기술 조사 같은거 정부 지원 사업으로 할 수 있습니다. 또 해야하구요. 하지만 그 결과를 앞으로 이런 것이 유망하고 필요할 것으로 예상되니 진행해 보라고 설득하고, 또 위험부담을 지는 부분을 ‘경감’ 시켜주는 정도의 역할을 넘어서서 하나로 결정해 놓고 ‘주도’를 해버리면 문제의 소지가 커진다는 겁니다.

]]> https://ppss.kr/archives/12686 https://ppss.kr/archives/12686#comments Fri, 06 Sep 2013 05:05:41 +0000 http://3.36.87.144/?p=12686 개인 1만 원 기본료/年

BUT, 개인은 무료라는 업체의 주장은 사실이다. 단, 조건이 있다. 개인의 등록정보를 공개하는 경우에만 무료이다. 성명, 주민등록번호, 휴대폰 번호, 이메일 주소등을 공공기관이 활용가능하도록 공개했을때만 무료이다. 또한 샵메일 회원가입을 하게 되면 정보통신산업진흥원(NIPA)에 도 성명, 주민번호, 사업자등록번호, 주소, 이메일주소등이 자동으로 제공된다.

개인 샵메일 : 정보를 넘겨야 무료이지만, 정보를 넘기지 않으면 가입 불가?

샵메일 서비스 사업자 약관 동의 사항을 보면,

제3자 정보제공 동의

o 회사는 공인전자주소의 등록 및 관리를 위하여 정보통신산업 진흥법 제26조에 따라 설립된 정보통신산업진흥원에 아래와 같이 개인정보를 제공합니다.

– 제공받는 자: 정보통신산업진흥원

– 이용목적 : 공인전자주소 등록 및 관리

– 제공항목 : 성명, 주민번호, 사업자등록번호, 주소, 이메일주소

– 보유 및 이용기간 : 탈퇴시까지(탈퇴 이후 증명서를 발급받기 위해서는 별도동의)

– 동의거부 시 불이익 내용 : 이용자는 정보통신산업진흥원에 개인정보 제공을 거부할 수 있으나, 전자문서 유통서비스 이용은 불가능합니다.

와 같이 규정하고 있음을 알 수 있다. 가입과 동시에 개인정보는 진흥원으로 넘어간다는 것이다.

이는 개인의 선택권이 없는 강제조항으로, 위와 같이 정보제공 동의 거부시 불이익은 ‘샵메일 사용불가’다. 개인정보 제공을 거부할 수는 있으나 사용불가… 거부할 수는 있으나… 사용은 불가능… 이거 좀 그렇다. 논란이 되고 있는 개인 이용자의 연간 이용료는 주소 등록 시 개인정보를 제3자에게 제공하는걸 동의할 때만 면제된다고 명시하고 있는데,

결국, 개인 정보를 비공개로 하면 연간 1만원의 이용료를 내야 한다는 것이다. 그런데 요즘 주민등록번호도 파기하는 세상에, 왜 개인 정보를 내놓지 않으면 돈을 내야 하는가?

소중한 개인정보를 내놓으면 1만원 사태는 일어나지 않을 것입니다

샵메일은 업체나 정부 주장대로 수신인의 수신여부와 관계 없이 송신자의 송신의도와 내용이 증명되기 때문에 1만원 내기가 그래서 개인정보 공개에 동의한 경우, 범칙금, 세금고지서 등 본인의 의사(동의여부와 관계 없이)와 상관 없이 송신자 측에서 개인정보를 검색해서 중요한 문서를 보낼 수 있다는 얘기가 된다.

위 이용요금표와 같이 개인메일 주소를 ‘공공기관의 정보조회 및 활용에 동의하는 경우 무료’와 같이 되면 경찰, 국방부, 검찰, 보험, 연금공단등이 개인 정보를 조회, 각종 통보 및 고지에 얼마든지 활용할 수 있다는 얘기가 된다.

샵메일 ‘이용료 면제자’는 연 1만 원에 본인이 성명,주민등록번호,  메일주소, 휴대폰 번호, 주소,  등이 국가 기관(기업)에 무방비 상태로 노출되고 ‘한 통에 100원 주고 통지만 하면 되는’ 업체나 기관들에게는 공개된 개인정보는 손쉬운 통보의 대상이 되고 만다는 것이다.

예를 들어, 보험, 신용카드 회사등이 공개된 개인정보를 검색해 중요한 고지사항을 샵메일로 보내 놓고 정작 고객 당사자에게는 다른 수단으로 통보를 안했을 때 고객의 피해가 발생해서 분쟁이 발생한다면 ‘내용의 전달이 법적으로 보장이 되는 샵메일로 보냈으므로 수신자가 봤든 안봤든 회사는 책임 없음’이라는게 지금의 법령이다.

어느 예비군이 하는 수 없이 샵메일에 가입해서 한 1년 안보고 있었는데 어느날 메일을 열어 보니 각종 고지서와 범칙금, 독촉장이 ‘읽지 않음’ 상태로 수백통이 와 있다을 수 있다는 얘기가 된다. 마치 지금의 메일 박스처럼…

샵메일의 핵심 ‘부인방지’ 기능

샵메일이 드디어 시행 준비 기한을 넘겨 우리에게 진격하고 있다. 그들 샵메일의 첫 공격은 예비군 훈련 메일이다. 잉? 왜 하필 이면 그 많고 많은 전자공문 중에 하필 예비군 훈련 메일일까? 일단은 그 첫 번째 이유는 “부인방지”라는 기능 때문이다. 일반인들은 많이 들어보지 않았을 단어인 듯 한데, ‘부인’인 wife가 아니다. 명확한 의미로는 ‘내가 무엇인가를 행하였다는 것을 부인하지 못한다’는 얘기다.

공인인증서도 이 역할을 한다. ‘내가 A은행에서 B은행으로 100원을 이체’했을 때, ‘내 공인인증서를 이용’했다면, 나는 ‘내가 스스로 이체를 했다’는 것을 부인하지 못한다는 이야기다. 나와 인터넷의 내가 같다고 여길 수 있는 하나의 장치를 만드는 것이다.

예비군이 첫 번째 타겟이 된 이유

여기에서 샵메일의 첫 대표적 대상이 예비군 훈련 메일인지 감을 잡을 수 있을 것이다. 군대를 갔다 온 예비군이라면 알겠지만, 불쌍한 현역 군인이 훈련통지서를 예비군 본인에게 건네주고 사인을 받는다. 바쁘다고 하면 집 앞까지 찾아와서 사인을 받기까지 한다. 부모님이 받기도 하지만, 될 수 있으면 본인에게 받는다.

나에게 예비군 통지서란 진짜 쓰잘데기 없는 것이다. 하지만 국가는 나에게 공문을 보냈고 나는 그것을 수령했다는 것, 그 사실을 부인하지 못하게 사인을 받는다. 네가 통지서를 받았는데 안 오는 건 네가 바로 국가의 부름을 어긴 거니까 벌금을 내던가 추가 훈련을 받으라는 거다. 이처럼 계약의 법적 효력을 갖게 하기 위해 ‘부인방지’가 필요하다.

즉 공문서를 보낼 때, 그 공문서를 본인이 직접 받았는지를 확인하기 위한 장치가 바로 ‘부인방지’다. 공인인증서와 샵메일은 이가 온라인으로 옮겨온 것이라 할 수 있다. 그래서 만만한(…) 예비군이 첫 타겟이 되지 않았을까.

공인인증서, 정말로 부인방지 역할을 하는가?

공인인증서로 어느 정도 부인방지의 기능과 보안수준이 올라가는 건 옳은 사실이다. 기억하는지 모르겠지만, 공인인증서를(실제로는 공인인증서를 만드는 계정) 처음 만들 때에는 온라인상에서 만들지 않는다. 꼭 은행에 가서 신분증과 같이 본인 확인 후 만든다. 그 이후로 공인인증서는 나를 대표해서 온라인 상에서 임무를 수행한다. 그래서 만들어진 공인인증서는 나의 아이덴티티를 가지는 일심동체나 다름 없어진다.

그러나 이것에 문제가 있다. 예를 들자면 우리 어머니가 눈이 어두워 인터넷 이체를 해야 하는데, 클릭하고 자판 치고 그러는 거 어렵다고 나에게 인터넷 이체를 대신해 달라고 부탁한다. 어머니의 공인인증서가 깔린 PC에 어머니께서 공인인증서 비번, 이체 비번을 알려주셨고, OTP카드는 키보드 옆 책상 위에 있다.

인터넷 이체를 어머니가 한 것처럼 보이지만, 솔직히 말하면 어머니를 대신 해서 내가 한 것이다. 부인방지란 것은 벌써 깨져버렸다. 패륜아들이라면 이것을 이용해 어머니 계좌에 있는 전셋돈을 빼돌릴 수도 있는 것이다…

이런 공인인증서 체계는 좀 복잡하고 귀찮은 혹은 좀더 어려운 아이디 비번 정도의 개념이다. 이런 식의 부인방지는 사실 눈 가리고 아웅이다. 실제로 진정한 부인 방지를 하려면 망막인식 이나 손등 혈관인식 정도로 높아져야 한다는 학계의 의견도 있다.

샵메일 : 액티브엑스가 달린 메일?

그러니 샵메일의 부인방지 기능라는 건, 현재 국내 상황으로 보면 공인인증서 체계를 이용한, 쉽게말해 엑티브엑스가 달린 메일인 것이다. 이게 다다… 끝.

최초 가입시가 될지, 메일을 열어보는 시점이 될지는 모르겠지만, 아무튼 엑티브엑스, 플러그인를 깔기 위해 브라우저 및 OS 보안을 낮추다 보면 또 자연스레 바이러스 등이 깔리고 공인인증서를 해커 등이 채가고, 그 공인인증서의 비번 등 또한 채가서 내 메일을 대신 체크한다면 부인방지란 기능은 사실 무용지물이란 얘기다.

결론적으로 샵메일에서 부인방지 기능을 빼버리면 현재의 이메일 체계와 다른 것이 없다. 게다가 샵메일의 구현기술은 세계적으로 기본적으로 사용되는 이메일 기술 표준을 무시하고 만들어진 것이다. 전세계에서 샵메일을 쓰는 국가는 우리나라뿐인데, 들리는 얘기로는 지네들이 이것을 국제 표준화 시키겠다 노력 중이다 한다. 전세계의 웹트랜드는 엑티브엑스를 배제하는 방향이니 샵메일의 국제 표준화가 실현될 리 만무하다.

고로 이 사업은 솔직히 근본부터 문제가 많은 사업일 뿐만 아니라, 진행 과정은 물론, 그 미래 또한 예림이의 그 패를 꼭 들추지 않아도 오함마로 내 손을 내려 찍는 ‘똥’ 이상 이하도 아니다.

샵메일에 대한 우려와 문제점에 대한 ‘업자냄새’ 나는 글이 필요하신 분은 다음 링크를 보면 되겠다.

주의 : 오해가 확산되고 있는데, 다시한번 말씀드리지만 PPSS에 “법적 조치를 취하겠다”는 곳은 아래 반박문을 준 정보통신산업진흥원이 아닙니다. 이 글 중 등장하는 다른 업체입니다.

게시내용1: 현재 이메일 표준과 호환이 안 된다.

정보통신산업진흥원(이하 진흥원): 이메일과 샵메일은 주소체계, 암호화 등 보안체계, 본인인증체계, 통신프로토콜, 유통증명체계 등이 상이한 게 맞습니다. 2010년도에 전자문서 유통 시범시스템을 개발할 때부터 이메일과 호환되지 않도록 개발된 사항입니다.

재반박: 현재 이메일 표준과 호환되지 않는 것이 주요 비판 포인트 가운데 하나거든요. 전자문서 유통 시범시스템도 현 시스템의 대안 가운데 하나일 뿐인데, 이 시스템이 이메일 표준과 호환되지도 않아 사용하기 불편함에도 불구하고 정부 주도로 강제되는 상황이 비정상적인 것 아닌가 하는 거죠.

현재의 이메일의 기능이 딸린다, 그러니까 샵메일 같은 게 나오는 거 아니냐고 생각하는 분들이 계실 텐데요. 만약 이메일을 사용하던 개인, 기업, 정부 등이 샵메일에서 자랑하는 기능들이 필요하다고 느꼈다면, 혹은 지금까지는 못느꼈지만 앞으로 느낀다면, 누군가가 이를 해결할 아이디어를 낼 것이고, 불만을 느끼는 사람이 많아지면 여러 아이디어가 누가 먼저랄 것도 없이 나올 겁니다.

대부분의 기술이 그러하듯, 이런 기술에 관심이 많은 사람들이 시험용(프로토타입, 혹은 베타서비스)으로 이런 저런 서비스를 사용해보고, 장단점을 얘기하고, 이를 바탕으로 기술이 좋은 방향으로 개선되겠죠. 그리고 대부분의 사람들이 이러한 기술에 익숙해지고, 해당 기술이 유용하다고 판단하면 혼란을 막기 위해서 표준화가 진행되는 게 정상입니다.

표준화는 기존 기술과의 호환성, 확장성, 범용성, 진보성 등등 여러 요소를 감안하여 숙성될 것이고, 표준화가 진행되는 동안에 더 좋은 기술이 등장하면 업체가 아닌 사용자가 선택하는 방향으로 방향을 틀죠. 그것이 지금까지 기술이 발전해온 일반적이고 상식적인 과정이에요. 더 좋은 대체 시스템이 나올 수 있는 싹을 정부 주도로 뿌리부터 들어내는 건 아니라고 봐요.

게시내용2: 샵메일은 시장의 요구를 바탕으로 나온 서비스가 아니고, 보안상 기술적으로 뛰어나거나 한 것도 아니다.

진흥원: 기업 등에서 문서 유통시 전자문서로 작성해서 종이로 인쇄하고 인편, 우편, 팩스 등으로 전달하는 것은 법적증거력을 가진 전자문서 유통제도가 없기 때문이었으며, 샵메일은 신뢰할 수 있는 전자문서 유통에 대한 기업 등의 시장 요구(전자문서 실태조사 결과 등)를 반영한 것입니다.

재반박: 실제로 시장의 요구가 있었다면 여러 업체가 누가 먼저랄 것도 없이 다양한 방법으로 이런 서비스를 만들려고 시도했을 겁니다. 정부가 나서서 특정한 기술을 반강제할 이유가 없지 않나요? 사용자가 필요로 해서 어떤 서비스를 써야 하면 사용자가 직접 더 좋은 서비스를 선택하는 게 맞지, 사용자한테는 선택권도 안 주고 정부 산하 기관이 특정 기술을 미리부터 정해놓고 수수료까지 법에 명시하며 사업을 진행시킬 명분이 있을까요?

게시내용3: 고성학이라는 사람이 사업다각화를 목적으로 샵메일 사업을 진행했다.

진흥원: 샵메일은 정보통신산업진흥원에서 전자문서의 활성화를 위해 시작한 것이며 한국정보인증(대표 고성학)의 필요에 의해 시작되지 않았으며, 한국정보인증은 여러개의 공인전자문서중계자 중에서 1개의 사업자에 해당합니다.

재반박: 이건 필자에게 반박하실 내용이 아닙니다. 필자는 보안뉴스 인터뷰를 바탕으로 한 얘기고요. 만약 저 인터뷰가 잘못된 것이라면 고성학 씨 본인과 그를 인터뷰한 기자에게 확인하시기 바랍니다. 게다가 고성학이라는 인물이 해당 법 개정에 ‘정황상’ 관여했다고 볼만한 합리적인 의심을 품는 것은 공익을 위해 누구나 할 수 있는 행동이죠.

참고로 고성학씨가 대표로 있는 한국정보인증은 스스로를 국내 1호 공인인증기관이라고 홍보하고 있고, 공인전자문서유통 뿐 아니라 보관 서비스까지 하고 있더군요. 인터뷰의 내용을 다시 한 번 인용합니다.

고성학 대표는 올해 8월 한국정보인증 대표이사 취임 2주년을 맞이했다. 그는 “한국정보인증이라는 기업에서 경영을 해보니 현재 공인인증서는 보편화되어 있고 시장은 이미 성숙단계에 이르러 포화상태에 있다는 것을 알았다”고 말했다. 그는 “처음 이 회사 대표를 맡고 보니 인증서비스만 매출이 200억 가량이었다. 하지만 자본금 100억에 비해 매출 200억은 너무 적었다. 정부가 주도한 공인인증 시장이지만 매출규모나 시장은 한정되어 있다고 판단하고 공인인증을 기반으로 한 사업의 다각화를 모색했다”고 말했다. (중략)

고 대표는 “PKI 기술과 이를 기반으로 서비스를 운영하고 또 이를 바탕으로 세계 시장에 진출 경험이 있는 유일한 회사로 해외시장 진출에 노력하고 있다”면서 “올 가을에는 전자문서 유통중개 서비스 사업도 시작할 계획”이라고 밝혔다. 이 전자문서 유통중개 서비스는 이메일상의 등기우편이라고 보면 되는데 이메일을 보낸 사람이 지정한 사람에게 정확히 전달되는 메일로 ‘샵메일’이라고도 한다.

위의 인터뷰 내용을 읽은 독자라면 누구나 고성학이라는 인물이 샵메일 사업을 주도했다고 볼 수 있지 않겠습니까. 저기 언급된 PKI 기술이 기존 공인인증서에서 사용하는 기술입니다.

게시내용4. 22조에서 명시한 각종 지원사업에는 이런 식의 출연 관련 내용이 없었다.

진흥원: 정보통신산업진흥법에 있던 조항들이 전자문서 및 전자거래 기본법으로 이전된 것으로 기존에도 있던 내용입니다.

재반박: 기존 진흥법에 있던 것을 기본법으로 이전한 것뿐이라 하시는데, 저는 국가법령정보센터에서 신구법 비교를 통해 확인했습니다.

게시내용5. 중계자로 지정되지 못하면 공인전자문서 유통이 불가능한데, 현재의 이메일 유통은 컴퓨터에 이메일 서버를 설치하고 도메인 관련 설정만 하면 누구나 이메일 유통이 가능하다.

진흥원: 중계자로 지정되지 않고도 기업/개인이 중계자에 가입하여 샵메일을 사용할 수 있는 방법과, 기업등이 중계자의 클라이언트SW를 사용하는 방법, 기업에 자체적으로 샵메일 서버를 설치하여 사용하는 방법이 있습니다.

재반박: 그러니까 중계자로 지정되지 못하면 공인전자문서 유통 불가능 한 것 맞지 않습니까. 일반 사용자(기업/개인)는 ‘중계자’에게 가입해야 하는데, 업체들은 “인증받지 못한 ‘중계자’에 가입해 봤자 법적 효력 없다”고 강조하던데요?

현재의 이메일 서버처럼 초보자도 서버 설치/설정 해서 이메일 유통이 가능한 것과 달리, 샵메일 서버를 구축하지 못하면 공인전자문서 포맷을 유통하지 못하고 설사 유통하더라도 다만 공인전자문서 포맷을 유통할 수 있는 것뿐 인증된 중계자가 아닌 자가 유통한 문서는 공인전자문서로 인정해 주는 것도 아니라면서요? 그래서 중계자로 지정되지 못하면 공인전자문서 유통이 불가능하다고 쓴 겁니다. 제 이야기 어디가 틀렸는지 잘 모르겠습니다.

게시내용6. 국제 표준 이전 단계인 국내 표준화를 진행 하면서 샵메일 관련업체가 돈을 타먹겠다는 의지가 엿보인다.

진흥원: 정보통신산업진흥원은 샵메일 관련 표준기술규격을 ‘11.4월부터 제정하여 공개하고 있으며, 또한 샵메일은 전자세금계산서 유통표준으로 제정되어 있기 때문에 국내 표준화 진행하면서 업체가 돈을 타먹겠다는 내용은 사실과 다릅니다.현재는 ISO 국제표준화 기구에서 국제표준으로 추진하기 위해 샵메일 워킹그룹이 구성되어 운영중에 있습니다.

재반박: 위에서도 언급했지만, 이런 기술을 정부 산하 단체가 표준기술규격이라며 제정하여 먼저 공개하고, 이를 구현하도록 하는 방향이 잘못된 거 아닌가 하는 겁니다. 그리고 필자는 위의 고성학씨 인터뷰 내용과 진행 상황 등을 바탕으로 그 표준기술규격이 정해지는데 가장 큰 역할을 한 사람이 누구인지를 ‘합리적 의심’을 바탕으로 짚어보는 것이고요. 그리고 표준화 관련 지원 사업에 기금을 쓸 수 있도록 법에 명시되어 있으니, 제가 이걸 속되게 말해 ‘돈 타먹는다’고 표현한 거잖습니까.

게시내용7: 관공서 및 관공서와 교신하는 기업 등의 전자문서가 정부를 거치게 하는 것도 목적 가운데 하나가 아닐까 생각될 정도다.

진흥원: 샵메일에서 송수신 되는 전자문서의 본문 및 첨부파일은 정부 또는 정보통신산업진흥원에 보관되거나 거치지 않습니다. 샵메일 송수신시의 유통정보(공인전자주소, 송신.수신.열람일시, 본문및첨부파일 Hash값)가 정보통신산업진흥원에 보관되며, 송수신자의 요청시 유통정보를 가지고 유통증명서를 발급하여 법적 추정효력을 받도록 되어 있습니다.

재반박: 샵메일은 우리가 기존에 사용하던 이메일 서버(특히 지메일, 핫메일, 야후메일, AOL 등 국가기관이 확인하기 힘든 해외 서버가)가 아니라 소수의 특정 국내 인증 업체에 저장해야 하잖습니까. 정부 산하기관이 인증하기 때문에 이 업체가 정부의 입김 닿는 곳에 있을 것이라는 의심도 할 수 있죠. 그런 의미에서 정부를 거치게 한다는 생각까지 이르게 된 겁니다. 필자 입장에서는 이게 하도 의심거리가 많은 사업이라 이런 음모론까지 언급하기에 이르렀죠. 실제로 이를 진지하게 주장하고 있는 건 아닙니다. 다른 쟁점들이 워낙 많아요.

재반박에도 불구하고 여전히 문제 있다고 생각하는 부분이 있으면 알려주시기 바랍니다. 지금 ppss에게 (반박글을 올린 정보통신산업진흥원이 아닙니다) 모 기관이 “법적 조치를 하겠다”며 SNS를 통해 협박하고 있던데요, 저도 그게 뻔히 예상되어서 글을 익명으로 실었습니다. 그 정도로 지금 자기검열이 심한 상태에요. 허투루 쓴 글이 아니라는 얘깁니다.

※ PPSS가 ‘법적 조치’ 등의 협박을 받고 있다는 사실이 SNS에 전파되고 있는데, 법적 조치를 언급한 쪽은 ‘한국정보인증’입니다. 반박글을 준 곳은 정보통신산업진흥원으로 오해 없으시길 바랍니다.

안녕하세요, 정보통신산업진흥원 입니다.

관련 내용을 메일을 드리려고 했으나 알려주신 이메일주소가 전송이 되질 않아 부득이하게 답글로 내용을 송부드립니다.메일 주소를 다시 한번 알려주시길 부탁드립니다.

사실과 다른 게시내용1.

(게시) 현재 이메일 표준과 호환되는 것도 아니고,
(사실) 이메일과 샵메일은 주소체계, 암호화 등 보안체계, 본인인증체계, 통신프로토콜, 유통증명체계 등이 상이하며 2010년도에 전자문서 유통 시범시스템을 개발할 때부터 이메일과 호환되지 않도록 개발된 사항 입니다.

사실과 다른 게시내용2.

(게시) 샵메일이 보안상 기술적으로 뛰어나거나 시장의 요구를 바탕으로 나온 서비스는 아니라는 것에 대해 감을 잡는 게 중요하다
(사실) 기업 등에서 문서 유통시 전자문서로 작성해서 종이로 인쇄하고 인편, 우편, 팩스 등으로 전달하는 것은 법적증거력을 가진 전자문서 유통제도가 없기 때문이었으며, 샵메일은 신뢰할 수 있는 전자문서 유통에 대한 기업 등의 시장 요구(전자문서 실태조사 결과 등)를 반영한 것입니다.

사실과 다른 게시내용3.

(게시) 고성학이라는 사람이 샵메일을 사업다각화를 목적으로 진행시킨 장본인이라는 것은 충분히 알았을 거라 생각한다.
(사실) 샵메일은 정보통신산업진흥원에서 전자문서의 활성화를 위해 시작한 것이며 한국정보인증(대표 고성학)의 필요에 의해 시작되지 않았으며, 한국정보인증은 여러개의 공인전자문서중계자 중에서 1개의 사업자에 해당합니다.

사실과 다른 게시내용4.

(게시) 22조에서 명시한 각종 지원사업의 대부분은 기존에는 이런식의 출연 관련 내용이 없었다.
(사실) 정보통신산업진흥법에 있던 내용들이 전자문서 및 전자거래 기본법으로 이전된 내용으로 기존에도 있던 내용입니다.

사실과 다른 게시내용5.

(게시) 중계자로 지정되지 못하면 공인전자문서 유통이 불가능한 것이다, 현재의 이메일 유통은 컴퓨터에 이메일 서버를 설치하고 도메인 관련 설정만 하면 누구나 이메일 유통이 가능하다.
(사실) 중계자로 지정되지 않고도 기업/개인이 중계자에 가입하여 샵메일을 사용할 수 있는 방법과, 기업등이 중계자의 클라이언트SW를 사용하는 방법, 기업에 자체적으로 샵메일 서버를 설치하여 사용하는 방법이 있습니다.

사실과 다른 게시내용6.

(게시) 샵메일을…….. 국제 표준 이전 단계인 국내 ‘표준화’를 진행 하면서 관련업체가 돈을 타먹겠다는 의지가 엿보인다.
(사실) 정보통신산업진흥원은 샵메일 관련 표준기술규격을 ‘11.4월부터 제정하여 공개하고 있으며, 또한 샵메일은 전자세금계산서 유통표준으로 제정되어 있기 때문에 국내 표준화 진행하면서 업체가 돈을 타먹겠다는 내용은 사실과 다릅니다.현재는 ISO 국제표준화 기구에서 국제표준으로 추진하기 위해 샵메일 워킹그룹이 구성되어 운영중에 있습니다.

사실과 다른 게시내용7.

(게시) 관공서 및 관공서와 교신하는 기업 등의 전자문서가 ‘정부’를 거치게 하는 것도 목적 가운데 하나가 아닐까 생각될 정도다.
(사실) 샵메일에서 송수신 되는 전자문서의 본문 및 첨부파일은 정부 또는 정보통신산업진흥원에 보관되거나 거치지 않습니다. 샵메일 송수신시의 유통정보(공인전자주소, 송신.수신.열람일시, 본문및첨부파일 Hash값)가 정보통신산업진흥원에 보관되며, 송수신자의 요청시 유통정보를 가지고 유통증명서를 발급하여 법적 추정효력을 받도록 되어 있습니다.

블로그 내용중 사실과 다른 사항이 있어 수정을 요청 드립니다. 알려주신 이메일주소로 전송이 되질 않아 답글로 내용 송부드린다는 점 다시 한 번 말씀드립니다. 메일 주소를 다시 한번 알려주시길 부탁드리며 추가로 자료가 필요 하시거나 문의 사항이 있으시면 메일 또는 전화 주시기 바랍니다.

이러한 정부 주도의 사업은 대개 사업자 지정을 받은 업체들이 목돈을 들여서 마케팅을 전개하기 마련인데, 샵메일은 특이하게도 정부(미래부)가 주도해서 온갖 홍보와 논란거리를 제공하면서 ‘노이즈 마케팅’에 열중하고 있는 형국이다. 미래부는 시장의 IT전문가들과 공공기업들이 다들 반대하고 우려를 나타내도 ‘법과 제도’를 방패삼아 ‘진격’을 멈추지 않고 있다.

미래부가 하는 방식을 보면,

1. 우정사업본부가 제공하고 있는 ‘등기우편’ ‘내용증명’ ‘범칙금, 과태료, 세금 납부서’등 우편서비스를 샵메일로 전환하기 위한 ‘시장’으로 보고

2. 국민보험공단, 연금공단, 구청 등 공공 기관(기업)이 발송하는 월 수천만건의 ‘고지서’를 주요 타깃으로 삼은 듯하다.

일견 샵메일을 ‘팔아야 하는’ 미래부의 판단이 그르다고는 할 수 없는게 어차피 민간은 샵메일을 거들떠 보지 않는 형편이라 만만한 공기업이나, 정부부처(경찰청)를 대상으로 물건을 파는 게 쉽다고 판단한 것으로 보인다.

그러나 범칙금만 놓고 단순하게 생각해 본다면,

1. 교통위반 딱지를 돈을 내고 메일로 받을 운전자가 과연 있을까하는 점… 1년 가야 위반 한 번 안하는 운전자는 어떻게? 과태료 상습 미납부자, 하이패스 미납차량, 과연 메일 주소가 없어서 돈을 못 받고 있는 걸까…면허증 발급때 샵메일 가입을 의무화 하겠다는 발상에는 숨이 턱 막힌다…

2. @메일로 잘 받고 있는 연금, 보험료 고지서를 돈을 내고 샵메일로 받아라고 하면 과연 그렇게 ‘전환할’ 가입자가 몇이나 될까… 그냥 우편으로 보내라고 하는 사람들이 더 많을 것이다. 보험공단등이 이메일 청구서 늘리기 위해 그 동안 노력한 거는 매몰비용이 된다…)

3. 집으로 날라온 교통위반 범칙금 고지서는 기분 나빠 찢어 버려도 차량은 ‘압류’된다. 고지서를 보든 안 보든 현재도 압류 절차는 신속하게 진행되는데, ‘가입자가 보든 안 보든 효력 보장’이라는 샵메일에 가입해서 ‘확인사살’을 당할 사람이 또한 몇이나 될까…

이러한 단순한 문제조차 생각하지 못하고 ‘샵메일 확산(활성화)’을 추진하는 정부를 보면, 세금으로 과연 저렇게 해도 되나…라는 생각이 든다. 정부가 세금으로 영업하고 자기가 지정한 사업자들이 땅짚고 헤임치기로 팔도록 밀어주고… 이거 어쩐지 70년대의 기시감이 느껴지는건 왜일까….

이래저래 시간이 흘러 샵메일이 완전히 시장에서 사장될 즈음이면 미래부가 특단의 대책으로 @메일 사용금지를 들고 나올지도 모를 일이다… 무서워.

보도에 따르면…

국방부는 현재 예비군 중 희망자와 매년 전역하는 약 22만 명의 신규 편성 예비군을 대상으로 샵(#)메일 통지 체계를 구축하고, 앞으로 예비군들이 샵(#)메일 체계를 이해하고 이용을 확대할 수 있도록 적극 홍보할 예정이다.

(중략) 이를 도입함에 따라 등기우편보다 시간과 비용이 절감됨은 물론, 일반 e메일보다 강한 보안성과 법적 효력을 갖게 될 전망이다. 기존까지는 예비군훈련 소집통지를 위한 우편 발송료가 매년 약 13억 원가량 소요됐을 뿐만 아니라 인편 통지로 인한 예비군 부대의 행정 부담도 컸다.

금번 예비군 샵메일, 우리는 두가지 문제를 생각해 볼 필요가 있다.

첫째. 정말로 비용을 확! 절감할 수 있나?

매년 22만명 전역하는 예비군과 예비군 훈련이 전역 후 8년까지 지속되는 점을 고려할 때 샵메일 가입 대상자는 22만명 X 8년 = 176만 명, 매년 22만명이 민방위로 가고 매년 신규로 유입되는 구조임을 감안하면 170만명 정도가 상시 유지된다고 볼 수 있으나 국방부가 밝힌 예비군 수는 300만명이므로 대충 200만명으로 잡아 계산해 보자.

200만명이 샵메일을 사용해야 하고, 서비스 업체는 위에 밝혀진 대로 1인당 기본료 연간 1만 원씩을 받는다.

200만명 X 10,000원(年) = 20,000,000,000원(200억 원)

국방부는 매년 우편 발송료가 13억 원 쓰는데 샵메일로 보내면 이걸 아낄 수 있다고 하지만, 달리 말하면 우체국에 내는 돈 13억 원 아끼려고 샵메일 비용 200억원을 쓰겠다는 거밖에 안 된다. “설마 예비군한테 돈을 받을 리 있겠냐”는 낙관 아래 진흥원은 연간 수익이 1조원 넘게 날 거라고 예상하고 있던데, 200억짜리 사업을 공짜로 해 주고도 연간 1조원을 벌 수 있다면 그 비법을 공유하는 게 창조경제다…

잠시 호흡을 가다듬고, 예비군들이 샵메일로 훈련 통지를 받을 횟수는 어떻게 되는지 알아보자. 자주 받는 거고 꼭 필요한 거면 200억이 아니라 2000억이라도 써야지.

군 전역 후 6년 차까지 국방부가 ‘통보’를 해야 하는 횟수를 보면(병사, 동원 지정 기준)1~4년 차 4회, 5~6년차 6회 등 총 10회다. 올해 전역한 육군 예비역 병장이 동원 지정으로 예비군 6년 동안(여기서 기본료 6만 원 소요) 정상적으로 훈련에 임한다면 총 10회의 훈련 통지를 받게 된다. 6년에 딸랑 메일 10통 받겠다고 샵메일에 가입하는 것도 허무한데, 1회 통지하는 데 소요되는 비용이 6,000원이라면 대체 어디가 효율적이란 말인지 잘 모르겠다.

여기에는 또, 국방부가 내야하는 샵메일 전송료까지 따져보자. 국방부는 통지서 한 통을 발송할 때 마다 100원의 전송료를 샵메일 중계업체에 내야 한다더라. 그럼 국방부가 1년 동안 내야 할 전송료는…

1~4년 차 동원(미동원, 간부) 통보 : 1,999,000통
5~6년 차 소집 통보 : 3,330,000통

총 5,329,000통 X 100원 = 532,900,000원(5.3억 원)

국방부가 우편요금 13억원 아끼려고 예비군 훈련통지서를 샵메일로 보내면 매년 5.3억 원의 전송료가 든다. 그럼 7.7억원 아끼는 거잖아 좀 치사해도 말은 바로 해야지.

둘째. 효용성이 있기는 한가?

예비군 훈련은 대개 향방작계나 동원인데 이거 달가워하는 예비군 없다. 미래부가 경찰청과 손잡고 교통범칙금을 샵메일로 하려다 흐지부지 된 것도 효용성 문제였는데 법칙금은 아니지만 예비군 훈련 통지도 그에 맞먹는 ‘받고 싶지 않은’ 통지중의 하나다.

교통법규 위반 법칙금은 내가 수령하든 못 하든 범칙금을 안내면 차량에 압류가 붙게 되는데, 예비군도 통지를 받든 안 받든 훈련을 안 가면 보충교육에 고발까지 당하게 된다. 법칙금을 내든가 훈련을 가든가 외에는 다른 선택이 없는 이런 상황에서 샵메일이라는 돈을 내고 사용해야 하는 서비스에 가입해서 ‘확인’을 하라고 강요하는 것은 어쩌면 시민의 기본권을 침해하는 것일지도 모른다.

신용카드나 휴대폰 내역서를 이메일이나 우편 중 본인이 원하는 방식을 선택할 수 있듯이 법칙금이든 통지서든 국민이 수령하기 편한 방식을 취사선택할 수 있도록 해야 한다는 것이다.

그리고, 샵메일이 정부 홍보대로 송수신 증명과 내용증명을 보장한다면 법칙금이든 훈련 통지서든 일단 샵메일에 가입한 사람이 보든 말든 경찰이나 국방부는 메일을 보내기만 하면 ‘통지’를 완료한 게 되므로 그 뒷 일은  ‘안 본 사람 책임’으로 전가시킬 수도 있다는 문제도 있다.

나도 예비군 해봤지만 이거 피곤한 일이다…멀쩡한 사람도 군복만 입으면 이상하게 되는데 여기에다 돈내는 메일쓰라고 하면 그닥 환영받지 못할 일이다…

길거리 주차단속 정보도 휴대폰으로 통보하는 ‘서비스’를 일선 구청에서 하는 마당에 이건 너무 일방적이고 행정편의라고 할 수 있지 않을까…