“세계 어느 나라도 보안 프로그램을 강제하지 않는다. 특정 기술을 선정하고 강제하는 것은 오히려 기술발전을 막는다.”
김기창 고려대 법대 교수는 최근 <토마토TV>와의 인터뷰에서 "보안 프로그램 탑재를 규정으로 강제할 필요가 없다”며 “국내에서는 보안업체와 정부기관 등 관련 관계자들의 이해관계 때문에 불필요한 규정들이 생기고 있다”고 지적했다.
김 교수는 “은행, 카드사 등 서비스 제공자와 고객 등이 비용과 효율을 고려해 자율적으로 보안프로그램을 탑재할 것인가 아닌가에 대해 판단하게 해야 한다”며 “특정 기술을 선정하고 강제하는 것은 해당 분야의 기술 발전을 저해할 가능성이 있다”고 말했다.
특히 김 교수는 정부가 강제한 보안 정책의 실패 사례로 공인인증제도를 꼽았다.
김 교수는 “국내 공인인증제도는 기술적 합리성이 없이 공인인증서 솔루션을 파는 보안 업체들, 공인인증기관, 감독감청 등의 이해 관계에 따라 강제하게 됐다”며 “공인인증서는 특정 위치에 저장된다는 점 때문에 결국 보안 위협을 더 키웠다”고 주장했다.
또 김교수는 '외국에서는 금융 사고에 대해 개인이 책임을 지지만, 국내에서는 은행이 책임을 지기 때문에 보안 프로그램을 강제할 필요가 있다' 는 보안업체들의 주장도 사실이 아니라고 반박했다.
그는 “금융 사고에 있어서 해당 개인고객이 고의가 있었거나 중대한 과실이 있었다라는 것을 금융기관이 입증하지 못하면 금융기관이 책임을 진다는 것은 국내나 미국이나 똑같다”며 “은행들은 현재 책임을 면하기 위해서가 아니라 어쩔 수 없는 규정 때문에 보안프로그램을 강제로 깔고 있는 것”이라고 말했다.
김 교수는 보안프로그램을 강제함으로써 PC에서 발생한 문제점들이 스마트폰에서 재현될 것을 우려하며, 특정 기술을 탑재하는 것은 시장의 자율적인 선택에 의해 이루어져야 한다고 강조했다.
고대 법과대학 교수로 재직 중인 김 교수는 그동안 마이크로소프트 운영체계의 국내 독점에 대항하는 오픈웹 운동을 벌여왔다.
다음은 김 교수와의 일문일답.
- 최근 금융결제원에서 스마트폰에서 은행 공동 모바일뱅킹시 특정 업체의 보안 프로그램을 의무 탑재하려는 움직임을 보이고 있다.
▲ 보안프로그램의 경우에 그야 말로 규정으로 강제할 필요가 없다. 사측 주체들, 서비스 제공자, 고객 등이 그게 정말 유용하다면 자발적으로 쓴다. 은행도 보안프로그램을 안 하는 것보다 하는 게 유리하면 설치를 한다. 고객은 해킹 위험이 있어도 감수 할 만하다고 생각하니 안 하는 거다. 그런데 왜 이런 것들을 강제하게 되느냐?
좋은 게 좋은 거니깐 강제라도 하면 좋지 않겠냐고 공무원을 설득하는 건데, 이런 설득을 하는 게 바로 보안업체다. 여기서 첫 번째 문제는 공무원들이 일단 기술 지식이 없다는 것이다. 두 번째로는 강제규정을 도입하면 공무원의 파워가 늘어난다. 그렇기 때문에 우리나라 뱅킹에는 온갖 강제 규정들이 들어간다.
다른 하나는 이로 인해 해당 분야의 기술 발전이 멎어버린다는 것이다. 그 결과로 강제 규정의 특혜를 보는 특혜사업자가 생겨나고, 그 사업자 말고는 시장에 들어갈 수 없는 상황이 된다. 새로운 기술을 못 들어오게 되고, 기존의 강제 규정의 보호를 받는 기득권 자들이 현 체제 유지를 위해 계속 그런 담론을 만들어낸다. 그런 근본적인 문제점이 있다. 세계 어느 나라도 보안프로그램을 강제하는 나라가 없다. 이게 핵심이다.
- 국내에서 보안 프로그램을 강제하게 된 이유는 뭘까.
▲ 보안업체는 이제까지 공포마케팅을 해왔다. 끝없이 보도자료를 뿌리고 무언가 위험하다고 해서 기존의 강제 설치 규정 체제를 계속 유지하려 했다. 공포를 심어줘야 되기 때문이다. 그러나 대부분 보안업체들이 과거 위험하다고 한 것은 실체가 없었다. 아이폰도 해킹 가능하다고 하지만 전세계 아무 나라도 보안 프로그램을 강제하는 나라가 없는 데 왜 한국만 그런 것일까? 이런 것만 봐도 이들 주장이 턱도 없는 것이라는 걸 알 수 있는데 공포 앞에서는 사람들이 이성적인 판단력이 없어진다. 계속 겁을 주는 것이다.
- 정부가 그 과정에서 어떤 역할을 했나.
▲ 어느 프로그램이 좋다 나쁘다를 떠나서 보안 프로그램을 강제하는 게 문제다. 현행 체제를 보면 금융위원회가 궁극적인 행정 권한을 가지고 있다. 대부분의 업무는 금융감독원이 실제 수행한다. 금융위원회가 궁극적인 감독관청이고, 그 바로 밑에 칼을 휘두르고, 칼춤을 추고 있는 데는 금융감독원이다. 그 사람들이 보안과 관련해 과도하게 개입을 하는 것이다. 금융감독 권한과 책무를 가진 주체가 보안에 대해 무신경하고 관심을 안 가져도 좋다는 것은 아니다. 그러나 그 개입의 방법이 기술 중립적이지 못하다는 게 제일 문제다.
- 보안을 강제한 예로 PC 인터넷 뱅킹에서 공인인증서가 있다. 이것이 한국 인터넷 환경을 왜곡했다고 주장해 왔었는데.
▲ 공인인증서가 보안에 필요할 수 있다. 전자 디지털 인증 기술이 형편없는 쓰레기라고는 아무도 주장 안 한다. 나름대로 유용하다. 그러나 이게 강제할만한 기술은 아니다. 업체의 금융 거래 서비스 제공하는 주체인 은행, 카드사 등에서는 어떻든 간에 사고가 안 나게 해야 한다. 그것이 본인들의 이해관계에 부합하는 것이기 때문이다. 이들은 인증서가 됐든 다른 기술이 됐든 간에 시장에서 가능한 보안 기술 중 비용과 성능을 고려해 자기 생각에 가장 훌륭한 것을 택하게 된다.
사고 막는 것이 좋다고 만약 엄청난 비용이 든다면 좋은 게 아니다. 비용과 효능을 비교했을 때 자기에게 유리한 기술을 선택할 것이다. 이런 상황에서 여러 기술을 놔두고 꼭 디지털 인증서를 강제했어야 했을까? 디지털 인증서라는 게 발급자가 중요하다. 나도 발급할 수 있다. 그러나 내가 발급한다면 별 가치가 없는 것이다. 믿을 만한 발급자가 발급하는 디지털 인증서가 중요하다.
그렇다면 공인인증기관이 믿을 만한 것인가. 아니면 세계에서 믿을 만한 인증 기관이 국내에서 정부가 인정한 기관보다 믿을 만한 것인가 아닌가 라는 문제가 있다. 세계적으로 믿어주는 기관이 발급하는 인증서는 왜 안 되는 거냐. 국내 공인 인증기관은 세계에서 믿어주지도 않고 있는데. 보안이라는 게 한국과 외국이 다르지 않다.
디지털인증서 기술이 좋다는 점은 이해한다. 그러나 왜 공인인증서여야 하나? 왜 국내 5개 업체 발행한 디지털 인증서야 하나? 다른 곳은 왜 안되나? 이것은 기술적 합리성이 없는 제제 체제다. 국내 공인 인증 업체의 이해관계, 감독 감청인 행정안정부가 얽혀있다.
내막을 보면 처음에 정통부가 공인인증제도의 감독관청이 되고, 이를 도입했다. 전자서명법이다. 이 전자서명법은 외국 것을 참조해서 만든 것이다. 그러나 전세계 어느 나라도 인증서를 반드시 쓰도록 법 규정을 만든 나라는 없다. 우리나라 전자서명법도 공인인증서 제도를 도입했지만 ‘이걸 써라’라는 법규정은 없다. 그러니깐 정통부는 공인인증제도를 도입했는데 ‘반드시 써라’라는 규정은 넣을 수가 없고, 강제 하지 않으면 아무도 도입하지 않을 상황에 처했다.
이것이 의미하는 것은 그 기술이 해외에서 못 살아남는 기술이라는 것이다. 그렇기 때문에 정통부가 금융감독원에게 애걸한 것이다. 금융감독원 파워를 가지고 ‘공인인증서 사용을 좀 강제하게 해달라’ 해서 된 것이다. 그렇게 돼서 금융감독원이 만든 하위 고시에 공인인증서 사용 강제하는 규정이 들어 간 것이다. 이는 처음부터 보안 기술과는 무관한 내막이 있는 것이다.
인증서 기술이 무엇인지, 공인인증기관이 어떤 곳이고, 세계에서 인정받는 기관이 무엇인지 아무도 모른다. 국내 공인인증기관이 외국에선 인정받지 못하고 있다는 것도 모른다. 이런 상황에서 공인인증서만 쓰면 만병통치약인 것처럼, 다 해결될 것처럼 그렇게 온 국민을 속였다.
결국 누구한테 도움 될까? 관련업체들이다. 공인인증서 솔루션을 파는 보안 업체들, 공인인증기관, 감독관청 등이다. 감독관청에게는 일종의 노후 대책이다. 퇴직하는 관련 국장, 과장이 나중에 공인인증업체의 이사로 가고 그런다. 비열한 내막이 있는 것이다. 우리나라의 비극의 시작은 공인인증을 마구 도입하고, 이것을 확산시켜야만 마치 IT 선진국이 될 것이라고 오해한, 그런 사람들이 금융감독원에게 애걸해 사용을 강제하게 해달라 한 데 있다.
금융감독원은 처음에는 싫어했다. 그러나 마지못해 강제하고 보니 엄청난 파워가 생겼다. 모든 카드사, 은행들이 벌벌 기게 됐다. 강제규정 없이 “당신들이 가장 합리적 기술을 선택해서 써라”고 한다면 모든 카드사 은행들이 전자서명 관련해서 눈치 볼일이 없다. 그렇기 때문에 이제 금융감독원은 이것을 절대 안 놓으려고 하는 것이다.
- 공인인증서를 강제 한 후 생긴 폐단은 무엇인가.
▲ 보안 설치를 강제하는 규정은 나중에 들어왔다. 공인인증서는 99년 7월에 시행되고, 2000년도 중반부터 본격 시행됐다. 그때부터 공인인증서가 강제됐다. 키보드 보안 등을 강제하는 조치는 나중에 들어왔다. 공인인증서 강제하니 발생한 문제점들이 빌미가 됐다. 외국에서는 인증서 강제하는 나라 없다. 자발적으로 채택하는 은행에서 사용하는 인증서는 저장위치가 공격자가 어디 있는 지 알 기 쉽지 않다. 그러나 우리나라 인증서는 특정폴더에 있어 누구든지 알 수 있다. 아주 초보 공격자도 당장에 어느 폴더에 있는 지 알수 있고 복제가 가능하다.
그 안에는 개인키가 들어 있는데 그 개인키는 자기만이 아는 암호로 암호화돼 있다. 인증서 암호다. 이 암호를 공격자가 알아내는 것은 식은 죽 먹기다. 왜냐하면 사람들이 여러 계정에서 쓰는 암호하고 인증서 암호하고 같게 쓰는 것이 대부분이기 때문이다.
암호는 언제든지 쉽게 유출 될 수 있다. 이건 고정 암호다. 딱 한번 정해지면 안 바뀌는 것이다. 고정 암호가 유출되기 쉽다는 것은 모두가 인정하는 것이다. 개인 키를 아무리 암호로 해도 고정암호는 유출되기 쉽고, 파일 유출은 더 쉽고, 그러니 공인인증서에 대한 공격이 엄청나게 생겼다. 감당할 수가 없는 수준이 됐다. 그러자 ‘키보드 보안 설치해라’. ‘개인 방어벽 설치해라’, ‘바이러스 방어 프로그램 설치해라’ 등이 뒤를 이었다.
패닉 상태에서 그런 거라도 설치하면 조금이라도 보안 위협이 막아지지 않겠냐하는 생각 때문이었다. 보안 업체는 사고가 많이 나면 날수록 활황이다. 사고를 줄이기 원하지 않는 주체들이다. 그렇게 해서 강제 규정은 맹위를 떨치고, 보안업체들은 계속 장사를 하고, 공무원들은 자기들 파워를 누렸다. 아무도 진정으로 한국의 거래 안전을 위하지 않았다.
- 보안 업체인 쉬프트웍스의 백신 프로그램의 경우 유명 애플리케이션을 무차별적으로 위험 어플로 구분한 뒤, 개발사가 사정을 해오면 블랙에서 화이트로 다시 분류해준다. 일종의 권력 아닌가.
▲ 안티바이러스 프로그램의 수준이 천차만별이다. 아무리 좋은 품질의 안티바이러스 프로그램도 그런 식의 오진은 있을 수 있다. 오진의 경우 이제까지도 해당 오진으로 낙인 찍힌 프로그램 개발자가 안티바이러스 주체에게 연락 취해서 “우리 프로그램은 위험하지 않다”, “빼달라”고 해왔다. 새로운 문제는 아니다.
쉬프트웍스가 그런 식으로 거의 독점적으로 강제 설치 규정에 힘입어 강제적으로 확산되는 데 이것도 새로운 것은 아니다. PC에서 있던 사태다. PC에서 있었던 사태가 스마트폰에서 그대로 재현되고 있는 것이다. 도덕성으로 저질인 보안 업체들의 영업방법이 계속되는 그게 한국의 인터넷 환경을 전반적으로 골병들게 하는 것이다. 이게 제일 문제다.
- 모바일뱅킹에 백신을 임베디드하면 그 백신 때문에 오히려 모바일뱅킹이 보안위협에 노출된다는 주장도 있다.
▲ 모든 프로그램은 취약점이 생길 가능성 언제든 있다. 그래서 그 문제 강조해서 설득력 얻기는 힘들 것이라고 생각한다. 무슨 프로그램이 됐든, 무슨 기술이 됐든 그걸 콕 집어서 그걸 써서 규정으로 강제하는 후진적인 모습이 없어져야 한다. 시장이 알아서 판단해야 한다. 은행도 카드사도 더 좋은 제품이 있다면 왜 나쁜 기술을 쓰겠는가. 그런데 왜 이를 강제하는 것인가. 사람들이 자발적으로 알만한 것을 규정으로 강제하는 것이다. 결국 규정으로 강제한다는 것은 그것이 질이 낮다는 걸 반증하는 것이다.
보안 업체의 안티바이러스 프로그램이 언제나 가지고 있던 오진의 위험, 이건 보안 프로그램의 근본적인 결함이다. 오진이라는 낙인 찍히는 프로그램의 결함이 아니다.
- 수준 낮은 안티바이러스가 지금 막 성장하기 시작한 모바일 생태계 저해할 수도 있지 않나.
▲ 안티바이러스 프로그램이 수준 이하로 많은 오진을 내면 전반적으로 프로그램 개발에 긍정적이지는 않겠지만 그것은 극단적인 시나리오인 거 같다. 결국은 강제가 문제인 것이다. 시장이 자유롭게 판단하면 된다. 어떤 안티프로그램이 오진을 많이 내면 사람들이 안 쓰게 된다. 개인뿐만 아니라 은행도 마찬가지다. 고객에게 강제 안하고도 충분히 괜찮다는 생각이 들면 안 하면 된다. 은행이 스스로 판단할 수 있도록 해야 한다. 외국의 사례 보면 어느 나라도 안티바이러스 프로그램, 보안 프로그램을 강제하는 나라는 없다.
- 보안 업체들 중 일부는 국내에서 백신을 강제하는 이유가 외국에서는 금융사고가 나면 개인이 책임을 지는 데, 국내에서는 금융기관이 책임을 져야 하기 때문이라고 주장한다.
▲ 보안 업체들이 매번 하는 이야기인데 사실이 잘못됐다. 미국의 관련 법규정을 보면 개인 고객하고 기업고객을 분명히 구분한다. 그래서 개인고객의 경우 사고가 나면 무조건 금융기관이 책임진다. 기업고객은 다르다. 금융기관이 제공하는 거래 솔루션이 상업적으로 합리적 수준의 보안절차를 구비하고 있다고 금융 기관이 입증하면, 그 다음에는 기업 고객이 책임진다. 그게 미국 법이다.
한국의 전자금융거래법도 사실상 같다. 개인고객과 법인 고객이 나뉜다. 개인고객의 경우 대부분의 경우 금융기관이 책임지게 해놨다. 금융기관이 면책하기 위해서는 그 사고에서 해당 개인고객이 고의가 있었거나 중대한 과실이 있었다라는 것을 금융기관이 입증해야 한다. 법인 고객 경우는 공인기관이 사고 방지를 위해 합리적 조치를 취했다고 입증하면 금융기관이 책임지지 않아도 된다. 법인 고객이 책임지게 되는 것이다. 미국과 똑같다.
또 개인 고객의 경우 보안 프로그램을 모두 설치한다고 해서 은행이 책임을 면하는 데 도움이 되나? 보안업체가 항상 주장하는 말은 은행이 책임을 다 뒤 짚어 쓰기 때문에 강제 설치할 필요가 있다는 것이다. 이건 개인 고객 얘기다. 이것이 과연 은행이 책임을 면하는 데 도움이 될까? 왜 전혀 도움 안되나? 은행이 그렇게 모든 보안프로그램을 설치하라고 했고, 그것을 안하면 거래를 못하게 해놔서 설치를 했는데 그 개인이 어떤 중대한 잘못을 저질렀다고 할 수 있을까? 은행이 책임을 면하려면 개인이 중요한 잘못이 있다고 입증해야 하는데 보안 프로그램을 억지로 다 설치하게 해놨는데, 개인 고객이 무슨 잘못이 있겠냐는 말이다.
결국 이러면 은행이 100% 책임지는 것이다. 보안 프로그램을 설치해서 은행의 책임을 더는 데는 도움이 안 된다. 그럼 뭐가 도움 되나? 실질적으로 사고가 안 나게 하는 수밖에 없다. 보안 프로그램을 설치한다고 면책하는 데 도움이 되는 건 아니다. 보안 프로그램이 실제로 사고 막아주면 유리하다. 그러나 이는 은행이 판단하는 거다. 보안 업체의 말은 새빨간 거짓말이다. 은행은 규정 때문에 안 할 수 없어서 하는 것이다. 책임을 면하기 위해서 의도적, 자발적으로 하는 것이 아니다. 규정 때문에 어쩔 수 없이 하는 것인데 보안업체가 그런 주장을 펴고 있는 것이다.
- 곧 모바일뱅킹 때 백신프로그램 사용이 의무화될 예정이다. 어떤 문제가 예상되나.
▲ 정확히 말해 현행 규정은 공인인증서는 반드시 들어가야 한다고 규정하고 있지만, 보안 프로그램이 반드시 들어가야 한다는 규정은 없다. ‘우선 설치하여야 한다’ 이렇게 돼있는데 단서가 ‘개인이 자기 책임을 하기로 동의하면 설치 안 해도 된다’ 이렇게 돼 있다. 규정이 설치를 강력하게 거의 강요하다시피 하는 것은 맞지만, 은행, 카드사 등이 싫다고 하면 안할 수도 있다.
사실상 강제하는 것은 100% 강제하는 것과 틀린 말이다. 실제로 설치 안하고도 거래 하게 하는 은행들이 있다. 국민은행의 경우 키보드 보안 설치 안하고, 개인 방화벽 설치 안하고 그래도 거래 할 수 있다. 쉬프트웍스 같은 경우 금융결제원이 그렇게 하기로 했다고 했다. 그런데 금융결제원은 금융기관이 아니다.
- 은행연합이 공동으로 스마트폰 모바일뱅킹시 특정 보안프로그램을 의무탑재하기로 한 것이다.
▲ 은행 연합이 공동으로 하는 게 공동 뱅킹이다. 이거 성공 하겠냐? 어느 은행이 거기에 열성적으로 참여하겠냐. 이미 한 물 건너간 프로젝트라고 봐야 한다. 공통뱅킹은 여러 은행이 있는데 이 공동뱅킹 서버를 통해서 A고객 은행도 거래하고, B은행 고객도 거래하겠다는 프로젝트다. 이를 금융결제원이 맡아 수행하는 것이다. 여러 은행이 참여하라고 하는데 현재 거의 반 가까이 빠져나갔다. 규정이 이슈라기 보다 그냥 금결원하고 쉬프트웍스가 한 것이다. 규정의 문제가 아니다