금결원과의 협의가 어제(3.20) 오후 3시 법무법인 광장에서 있었습니다. 그 협의 내용은 아래 서신에 나타난 바대로 입니다:
*** 변호사님께,
3.8. 우리가 귀측에 제공한 합의문(초안)에 대하여 오늘(3.20.) 귀측의 입장 및 수정 제안을 잘 설명들었습니다.
귀측 의뢰인이 설명하고 제시한 사항의 핵심은 다음과 같습니다:
- 인터넷 익스플로러6.0 이상, 파이어폭스1.5 이상(리눅스/RedHat Fedora에서 가동하는 경우), 사파리1.3 이상에서 정상작동하는 가입자 설비 개발은 2006.12.에 이미 완료하였다.
- 그러나, 가입자 설비는 은행 등 “이용기관”의 서면 요청이 있는 경우에 한하여 제공하겠다.
- 개발이 완료된 가입자 설비 중, 윈도/익스플로러 외의 이용환경에서 작동하는 가입자 설비에 대하여는 위 2에서 언급한 “이용기관”의 서면 요청이 있은 후에 비로소 정보통신부 장관의 승인 신청절차를 밟기 시작하겠다.
- “이용기관”의 서면 요청이 있는 경우, 해당 이용기관과 금결원 간에 가입자 설비 제공 조건에 관한 서면 계약이 체결되어야만 가입자 설비를 제공하고, 그 경우 금결원은 가입자 설비 제공에 대한 과금을 부과할 예정이나, 그 액수는 지금 결정할 수 없다. 단, 윈도/익스플로러에서 작동하는 가입자 설비는 서면계약도 필요없으며, 무료로 제공하겠다.
- “이용기관”이 금융기관인 경우에는 금융감독원이 요구하는 각종 보안프로그램(키보드 해킹방지, 바이러스 치료) 등이 ActiveX로 자동설치되는 등의 모든 요건이 구비되는 경우에만 가입자 설비를 제공하겠다.
- 위 2내지 5에서 언급된 여러 조건과 제약이 필요한 이유는, 만일 그러한 장치가 없으면, 여러 이용기관들이 가입자 설비와 관련된 기술지원, 문의 등을 하는 경우, 금결원이 일일이 답변하기 어렵기 때문이다.
- 금결원은 그가 제공하는 가입자 설비에 관한 일체의 문의나 지원요청에 응답하지 아니한다.
- 이상 제안 내용은 “구두”로만 제공하는 것이고, 서면으로는 제공할 수 없다.
========
귀측의 이러한 수정제안은 누가 보더라도 납득하기 어려울 것입니다.첫째, “가입자 설비”는 귀측이 말하는 “이용기관” 즉, 은행 등 웹서버가 사용하는 것이 아닙니다. 가입자 설비는 웹서버에 접속하는 클라이언트(고객)에게 필요한 소프트웨어이고, 클라이언트의 컴퓨터에 설치되며, 클라이언트가 작동, 이용하는 설비입니다. 귀측이 그 설비를 “이용기관(웹서버)”에게 제공할 이유도, 제공할 수도 없습니다. 웹서버는 그 설비를 이용할 수도 없습니다. 가입자 설비는 웹서버가 아니라 클라이언트에게 제공되어야 하는 것입니다.
웹서버가 “가입자 설비”에 대한 제공요청을 할 이유도, 권한도 없습니다.
둘째, “이용기관”이 공인인증기관에게 사전 서면 요청을 하고, 계약을 체결하여야만 가입자 설비를 제공하겠다는 귀측의 주장을 뒷받침하는 어떠한 근거 규정도 없습니다. 관련 법령은 공인인증기관은 공인인증 역무 이용자에게 가입자 설비를 제공하여야 한다고만 되어 있습니다. 귀측은 법령에 있지도 않은 온갖 제약을 가하고자 하는데, 귀측에게는 법률을 마음대로 개정하거나 수정할 권한이 없습니다.
세째, 윈도/익스플로러 이용자의 경우에는 가입자 소프트웨어를 무료로 제공하고, 나머지 이용환경의 경우에만 과금을 부과할 법령상 근거가 무엇인지, 어떤 합리적 이유가 있는지 궁금할 따름입니다. 귀측의 주장과 같이 윈도/익스플로러 외의 이용자 수가 적다면, 고객지원의 필요도 적어질 것입니다. 그리고, 고객지원은 어차피 웹서버가 하는 것입니다. 귀측은 웹서버가 아니며, 이용기관도 아닙니다. 그리고 귀측 제안 제7항은 어떠한 고객지원 요청에도 응하지 않겠다는 내용입니다.
네째, 귀측 의뢰인은 금융기관 등의 보안 프로그램에 대한 규제 권한이 없습니다. 그 권한은 금융감독원에게 있는 것이지, 귀측 의뢰인이 그 규제권한을 대신 행사할 근거는 없습니다.
다섯째, 개발이 이미 완료된 가입자 설비의 제공과 관련하여 온갖 제약을 가하여 그 공급을 조절, 제약하는 유일한 이유로 귀측이 들고 있는 것이 바로 고객지원 요청에 대하여 대응하기 번거롭다는 것입니다. 그래놓고, 결국에는 고객지원에 응하지 않겠다는 조항도 삽입하자는 것은 무슨 연유인지 알기 어렵습니다.
귀측의 수정 제안은 전자서명법령에 명백히 위반된 내용을 담고 있습니다. 그런 내용의 합의안에 설사 신청인들이 동의한다 하더라도 그 합의는 법적 효력이 없습니다. “법에 어긋나거나, 선량한 풍속에 반하는 내용의 합의는 효력이 없다(Neque contra leges, neque contra bonos mores pacisci possumus. Paul, Sent. 1.4)”는 것은 동서 고금의 모든 법제에서 일관되게 유지되어온 것입니다.
국내 정상급 로펌의 전문변호사 여러명의 상세한 법적 자문을 받은 귀측 의뢰인이 이러한 명백히 부당하고 위법한 내용의 수정 제안을 한다는 것은, 고의적으로 조정합의를 지연하려는 의도가 없다면 도저히 달리 설명하기 어려운 것입니다.
오늘 드러난 사실들을 감안하여 우리측 합의문(초안)을 수정하여 신속히 귀측에게 제공하겠습니다. 앞으로는 성실히 합의에 임하여 주실 것을 정중히 부탁 드리겠습니다.
김기창 드림
–
이 서신은 법원에 제출되거나 법정절차에서 원용될 수 있습니다.
[추가] 3.20. 회의에서 금결원은 다음 내용을 확인하고 인정하였습니다:
- 자신은 은행들이 구성원이 되어 설립된 단체이다.
- 금결원의 운영에 필요한 모든 자금은 은행이 전액 제공한다. 국가의 지원을 받거나, 은행으로부터 독립적으로 설립, 운영되는 단체가 아니다.
- 금결원의 모든 의사 결정은 은행의 임원들으로 구성된 이사진이 한다.
금결원이 수정제안에서 말한 “이용기관”의 요청이란, 은행의 요청을 염두에 둔 것 같습니다. 즉, 은행(=금결원 자신)이 요청하지 않으면, 가입자 설비를 제공하지 않아도 되도록 하려는 것으로 보입니다. 금결원의 이러한 시도를 뒷받침할 법규정은 당연히 없습니다.
이미 개발된 가입자 설비를
당장 무료로 사용자에게 제공해야합니다.
IE는 무료고
다른것은 유료라는게
허참…
저 수정 제안을 보니 결국 “윈도우/IE 외의 환경에서도 작동하는 가입자 설비”를 제공할 적극적인 의향이 없는 듯 한데, 그렇다면 첫번째 항목, 즉 그러한 설비를 이미 개발 완료했다는 것조차 의심이 가는군요.
허허허… 웃음 밖에 안나오는군요.
그동안 진행되었던 과정이나 전에 교수님께서 포스팅해주신 금결원 측의 답변서를 보고 의심스러워 했었던 내용을 그대로 합의 제안이랍시고 던지는 걸 보면 정말 생각하는 수준이 의심스러울 정돕니다.
일단 2006년 12월에 개발이 완료되었다고 주장하고 있는 리눅스 및 맥용 가입자 설비라는 걸 한번 보고 싶네요. 리눅스가 Redhat/Fedora라고 명시되어 있고 맥이 Safari라고 명시되어 있는 걸로 볼 때 아마도 농협의 클라이언트와 신한은행의 클라이언트를 지칭하는 것으로 추측되는데 말입니다.
이걸 금결원에서 외주로 개발했다면 금결원 명의의 계약서 사본이 있겠지요? 자체적으로 개발(했을 리가 만무하지만)한 거라면 프로젝트 문서 내지는 프로젝트에 참여한 프로그래머 명단 정도는 있을 거구요. 그게 둘다 없다면 그 “가입자 설비”라는 건 하늘에서 뚝 떨어진 걸테니까요.
거짓 사실에 의한 합의 시도는 사기죄가 아닌가 합니다.(개인적으로는 그런 것이 존재한다고 상상하기도 힘들군요. 허허.. IT 바닥이 얼마나 좁은데..)
나머지는 입이 아파 말도 안 나옵니다. 젠장.
어제 드러난 사실과, 협의 내용을 감안하여 수정된 합의문(초안)을 준비하였습니다. http://openweb.or.kr/settlement1.pdf 에 게시하였습니다.
금결원 대단합니다. 그동안 노력을 많이 했군요. 벌써 작년 12월에 리눅스 파이어폭스용, 매킨토시 사파리용 가입자 설비를 개발완료하였다니 찬사를 보냅니다. 개발에 천문학적 비용이 든다면서 못하겠다던 말은 그냥 해 본 소리였군요.
덕분에 나머지 매킨토시 파이어폭스나 기타 오페라 등의 브라우저용 개발에는 훨씬 시간이 단축되겠군요. 오픈웹의 수정 합의문(초안)에서 밝히듯이 3개월이면 충분하겠군요. 금결원 능력을 믿습니다.
저정도 까지 했다는것은 승인만 있으면 바로 적용이 가능하다는 이야기군요, 합의문의 기한을 줄여야 할것입니다. 첫 2개월간은 산입하지 아니한다는 조건이니, 완료 기한은 2개월로 하는것이 좋을것이라고 생각합니다. 그리고 다음 4월중에 Firefox 1.5에 대한 보안 패치 지원이 중단됩니다. (http://www.mozilla.com/en-US/firefox/releases/1.5.0.8.html 참조) 따라서 Firefox에 대한 플러그인 지원은 1.5를 대상으로 하지 말고 2.0이상을 기준으로 하였으면 합니다.
끝까지 사용자를 생각하려는 생각은 없는듯 합니다.
큰 변화라는게 단시일 내에는 어려운 결단이긴 합니다만, 정부/금융기관에선 조금 멀리 내다보았으면 좋겠습니다.
최근 컴퓨터를 잘 모르는 친지들이 AX가 많이 깔려서 컴이 느려짐, 여러 에러증상을 호소해오는데.. 사소한 것에도 AX를 깔라고 하는걸 보면 안타깝기 그지 없습니다.
어이가 쥐구멍으로 숨어버리는군요. 꼴통이 괜히 꼴통이 아닌것 같습니다. 저 금결원측 수정제안은 누가보더라도 “배째라” “이걸로 일단 시간이나 벌어보자” “질질끌다보면 지쳐나가떨어지겠지” 입니다.
2.3. -> 리눅스를 지원하는 은해은 모듈이 있음에도 서면요청을 하여 사용하지 않는다???
4.-> 결국 문제는 윈도우는 무료이기에 각 은행들은 윈도우만 지원??
5.-> 각종 보안프로그램(키보드 해킹방지, 바이러스 치료) 등이 ActiveX로 자동설치되는환경에만 지원?? 결국은 ActiveX가 돌아가는 윈도우만 제공하겠다??
6.->결국은 자신들이 지원하는 환경(윈도우)이 아니면 답변해줄사람이 없다??
7.->응답 않한다면서 6번은 뭔말인가?
8.->결국은 말도않되는 것들도 책임질 수 없으니 약속할 수 없다 아닌가?
정말 단 하나도 질실된 것이 없네요.
꼭 이기시길 바랍니다. 화이팅~~
“이대로 놔두자”라고 여섯글자만 말하면 될걸 좀 길게 얘기했군요.
제 느낌을 한 마디로 요약하자면 아래와 같습니다.
“정말~~ 어이 없음.” (_ _ )
지난 답변서에도 그렇고, 이번 수정제안도 그렇고, 도대체 몰라서 저런 문건을 만드나요, 아니면 우리를 우롱하는 것입니까?
금결원이라는 데가 뭐라고 대꾸할 가치조차 느끼지 못하게 만드는 탁월한 능력을 갖춘 곳이군요.
한편으로는 대단하다는 생각이 듭니다.
나름 일관성이 있지 않습니까?
그런대로 소신을 가지고 진행하시는것 같습니다.
오오.. 배째라 신공 6갑자.
다들 너무 어이가 없어서 그러신지.. 오픈웹 답변서에 대한 의견은 안 올라오는 것 같습니다. 어쨌든 법원에서 결정이 나오도록 해야 하는 거니까, 간단히 제 의견을 올려봅니다.(약간의 감정이 섞인다는 건 인간인 이상 어쩔 수가 없군요. ^^;)
1. MS/IE 환경이 아닌 다른 환경에서의 “가입자 설비”를 제공해야 하는 날짜를 대폭적으로 줄였으면 합니다. “이미 개발완료”되었다고 하니 내일이라도 정통부 승인을 신청할 수 있을테니까요.
적어도 금결원에서 개발완료했다고 주장하는 “파이어폭스1.5 이상(리눅스/RedHat Fedora에서 가동하는 경우), 사파리1.3 이상”의 경우는 법원의 명령 즉시 정통부의 승인을 신청해야 할 것이며, (개발능력이 있다고 주장하고 있고, 이미 개발된 산출물의 경험치도 있으니) 다른 환경에서의 가입자 설비도 1-2개월 내에 완료할 수 있으리라고 생각됩니다.
2. 오픈웹 답변서 초안에도 나와있지만, 공인인증서 가입자 설비는 “이용기관”과 아무런 관계없이 사용자들에게 제공되어야 합니다. 또한 키보드보안이니 뭐니 하는 것도 금결원에서 어쩌구저쩌구 할 문제가 아닙니다. 게다가 사용자 지원을 하지 않겠다는 헛소리까지 나오는 걸 보니..
가입자 설비가 실제 이용에 불편함이 없이 제대로 제공되지 않을 경우에 대한 페널티가 대폭적으로 강화되어야 할 것 같습니다. (그래야 거짓말도 하기 어렵겠지요.) 가령 늦어지거나 거짓인 경우 엄청난 벌금(성질같아서는 엄청난 곤장같은 게 더 좋을 것 같긴 합니다.. ^^;)같은 걸 먹여버릴 방법이 없을까 생각해봅니다.
3. 금결원과의 모든 대화 내용은 녹음이라도 해야 하셔야 할까 봅니다. 올려주신 금결원의 제안 8을 보면 잔머리에서 빛이 날 정도로 굴려대는군요. -_-
“국내 정상급 로펌의 전문변호사 여러명의 상세한 법적 자문을 받는”, 그리고 많고많은 보안전문가들이 포진해있는… 금결원이니만큼 위의 요구사항을 들어주는 것 정도는 우습지 않을까요..?
^^;
저도 Yi Jong님 말씀처럼, 가입자설비의 정상적인 기능을 보장할 장치가 필요하다고 생각합니다. [일체의 문의나 지원요청에 응하지 않는다]는 그들의 주장이 무엇을 의미하는지 모르겠군요.
그리고, 이지경이 되도록 방치한 정부 당국에 대한 직접적인 대응도 같이 병행해야 하지 않을지요? 금결원의 안하무인격인 태도는 정부의 방임에 근거한다고 생각됩니다. 정부의 어떠한 지원도 안받고 있으니 우리는 어떠한 결정도 독자적으로 할 수 있다는 발상이 가득한 건 아닌지 모르겠습니다.
여러분께서 주신 의견을 반영하여 일부 수정하였습니다. 계속 추가 의견을 주시면 고맙겠습니다.
돌아가는 상황을 보니 전자서명 기능은 뭐 이래저래 해서 보완이 될 수도 있겠군요. 그러나 된다하더라도 인터넷뱅킹이 될것같지는 않은데요.
윈도우 환경에서 써보시면 아시겠지만 암호화/전자서명용 ActiveX 컨트롤 말고도 키보드보안, 해킹방지용 프로그램이 추가로 깔리고 있습니다. 과거에 해당 프로그램 없이도 가능했었는데 근래에는 대부분의 은행이 해당 프로그램이 활성화되지 않으면 뱅킹을 사용할 수 없도록 하고 있습니다.
위 금결원 제안의 5번을 보니 금감원에서 요구하고 있다고 써있는데 이건에 대해서는 진행되는건 없는지요?
순서대로 진행하고 있습니다. 키보드 해킹, 바이러스 치료 운운하는 프로그램은 인증기관인 금결원과는 전혀 상관 없는 문제입니다.
일단 공인인증 문제를 해결한 다음, 금감원을 상대로 이들 “보안프로그램”의 설치 강요가 위법하다는 주장을 제기할 예정입니다.
이 문제에 대하여는 당분간 김국현님의 글에제가 추가한 댓글(3월13일)을 참조하시기 바랍니다.
한가지 궁금한 점이 있습니다.
위의 금결원 제안 3에 보면, ‘윈도/IE이외의 “이용기관”의 서면 요청이 있은 후에 비로소 정보통신부 장관의 승인 신청절차를 밟기 시작하겠다’고 했는데, 농협과 신한은행에서 사용중인 설비는 승인없이 사용하고 있는 것인가요? 금결원이 개발했다고 주장하는 설비와 다른 것이라면, 농협과 신한은행은 어디를 통해서 승인을 받았을까요?
그리고, 알려진 내용이지만, 무엇을 강조할 것인가도 중요할 듯합니다. 개발 가능성 여부는 이제 소별된 얘기가 되었습니다. 그들이 벌써 개발 완료했으므로, 문제는 왜 이 개발된 설비의 사용을 꺼리느냐가 핵심이겠지요. “이용기관”의 “서면요청’이나, IE용 무료에 대해 “설비 제공에 대한 과금”, “액티브엑스 자동설치” 운운은 아예 노골적으로 의지를 표명하는 것이라 생각됩니다. 시장에 대한 신규참여 규제로 작용되지 않아야 할 것입니다. 이에 대한 문제 제기가 더욱 힘을 실었으면 합니다.
이 문제가 해결되면 그들은 개발 능력이 있으므로 자연스럽게 매킨토시용 파이어폭스나 오페라용 설비 개발도 요구할 수 있지 않을까요?
금결원의 서면답변.. 어이상실이군요 허허..
말은 애초와 바뀌었으나 추구하는 목표는 “윈도우/IE 외의 환경에서도 작동하는 가입자 설비를 제공할 의향이 없다.”에서 한치의 흔들림이 없군요.
장혜식님 글 중에 아주 좋은 글 소개합니다.
http://openlook.org/blog/1083
http://openlook.org/blog/1084
제가 일전에 하고 싶었던 말을 훨씬 더 정확하게 정립해서 적어 주셨네요.
(그냥 OpenSSL에 작업하시는 분이 있다고만 알고 있었는데 대단하시군요…)
사실 금결원에서 지금처럼 나오는 것도 1083 글에 나오는 것처럼 무수히 많은 마이너들에, 그것도 무수히 많을 버전 변경에 대응할 재간이 없기 때문이겠지요.
결국 당장 솔루션을 내놔라가 우선이 아니라 1084와 같이 대안 체계를 고안해내는 것이 필요하다고 생각합니다.
그 책임을 금결원이 맡아야 할지(맡을 수 있을지)…
어찌보면 금결원은 법적 궁지에 빠진 존재일뿐이란 생각도 듭니다.
몽몽이님/
그렇지 않습니다. 오픈웹의 주장은 지구상의 모든 웹브라우저, 모든 디바이스에서 작동하는 완벽한 클라이언트를 달라는 것이 아닙니다.
주요 웹브라우저, 주요 OS에서 정상 작동하는 클라이언트를 제공하라는, 충분히 실현 가능한 요구일 뿐 입니다.
이미 개발한 클라이언트도 주지 않으려는 금결원의 처사는 어떤 이유로도 정당화될 수 없습니다. 클라이언트를 제공한다고 해서, 서버측 솔루션의 유지 보수 책임까지 져야할 이유는 전혀 없습니다. 공인인증기관은 서버측 소프트웨어를 제공할 필요도 없고, 유지 보수할 의무도 없습니다.
공인인증기관은 “이용기관”과의 관계에서 철저한 독립성을 유지해야 합니다. 전자서명법 시행령 제4조 참조. 금결원의 근본적 오류는 자신이 공인인증기관이라는 사실을 망각하고, “은행”의 입장만을 되풀이하여 내세우는데 있습니다.
IE에 대해서만 무료로 제공하겠다는 것은 시장의 공정경쟁을 임의로 방해하는 처사로 보입니다.
이 또한 별도의 소송거리가 될수도 있을것 같은데요…
담합에 해당 하는것 아닌가요? 그리고 그 담합의 결과 국민들이 부당한 비용을 쓰고 있으니 저 내용을 근거로 별도의 법적조치도 필요한게 아닌가 합니다.
금결원의 경쟁 제한적 의도가 지난 3.20. 회의에서 명백히 드러난 이상, 금결원의 불공정 행위를 신고하지 않을 수 없게 되었습니다.
이점에 대하여 여러분께서 주신 의견을 반영하여, 오늘 공정거래위원회에 신고서를 송부하였습니다.
신고서는 http://ms-class-action.net/kftc_suit.zip 에 게시하였습니다.
금결원이 2006.12.에 개발을 완료한 가입자 소프트웨어는,
youknowit님,
노고에 늘 감사하고 있습니다.
그리고 공정거래위원회 신고서를 읽었습니다. 속이 후련합니다. 다만 제가 상식이 일천한 관계로 상세하게는 모르겠으나 아주 합당한 판단이라고 생각합니다.
한가지, 2_email.pdf에는 상대측 변호인단의 이름과 이메일주소가 나와 있군요. 이 점은 다시 한번 검토하시는 것도 좋을 것 같습니다.
거듭 노고에 감사드립니다.
첨언: 제가 말씀드린 것은 공정거래위원회에 제출된 서류가 문제가 아니라, 일반인이 2_email.pdf에 접근할 경우 그리 바람직스럽지 않다는 기우입니다.
고맙습니다. 미처 제가 그 부분을 신경쓰지 못했네요. 수정하였습니다.
youknowit님/
한가지 약간은 극단적이지만 작위적이진 않은 생각을 해봅니다.
보안업체들이 개발플랫폼으로 가장 많이 사용하는 OS는 Open Solaris입니다.
과거 리눅스가 충분히 진화되지 못한 당시 K4 인증은 받아야겠고 OS를 자체 제작하거나 구매할 비용은 감당하기 힘든 보안업체들이 쭉 사용해왔습니다.
K4가 아니더라도 비용 때문에 외국도 상당수 저걸 씁니다.
보안장비에서 그럴 일이야 별로 없겠지만… 리눅스가 마이너지만 사용자가 좀 늘었다고 해서 금결원에서 솔루션을 제공해야 한다고 하면 Open Solaris야말로 1순위가 될 수도 있다고 봅니다.
즉 보안장비에서 쓰는 OS에 대한 솔루션을 금결원에서 제공해야 하는 기술적으로 괴이한 책임구조가 될 수도 있습니다.
물론 그렇게 하면 안된다는 것이 아니고, 이 문제에 대한 기술적 솔루션의 책임 소지가 과연 제대로 되어 있었던 것인가를 보이기 위한 일레입니다.
일전에 말씀드린 바와 같이 지금 하시는 이 과업은 그 자체로 의의가 충분하다고 공감합니다.
하지만 [웹사이트를 열어 줘!]라는 취지로 본다면 좀 생각해봐야 할 문제일 것입니다.
사실 일단 Linux를 금결원에서 대응해줘야 한다고 하면 아주 특이한 경우가 아니더라도 시장 점유율로 봐도 저러한 마이너들도 결코 무시할 수 없기 때문입니다.
과연 금결원이 이 문제에 비전을 제시해야 할 책임 주체일런지요…
금결원은 이미 윈도, 맥, 리눅스 용 가입자 소프트웨어 개발을 완료하였습니다. 따라서 더이상 몽몽이님이 제기하는 문제는 별 이슈가 되지 못할 듯합니다.
그리고, 외국의 사례를 보더라도, 윈도, 맥, 리눅스 플랫폼 지원은 당연합니다.
끝으로, 우리 전자서명법이 독특하거나 특별난 것이 아닙니다. 전자서명에 관한 Uncitral Model Law 에 충실한 입법일 뿐이고, 여러 나라들이 이 모델 법에 근거하여 우리와 같은 입법을 하였고, 윈도, 맥, 리눅스 플랫폼과 다양한 웹브라우저에서 전자서명을 지원하고 있습니다.
한국의 공인인증이 유독 괴상하게 꼬인 이유는 금융기관과 일체를 이루는 금결원에게 공인인증 업무를 허락하는 엽기적인 결정을 정통부가 했다는데 있습니다. 금결원이 ActiveX를 고집하는 이유는 결제 서비스 시장을 독식하기 위함일 뿐, 다른 이유는 없습니다.
Uncitral 전자서명 모델법의 입법안내를 보면, (공인)인증기관의 가장 중요한 요건은 “독립성”입니다(para. 61). 전자서명이 부착되어 이루어지는 거래(온라인 뱅킹, 온라인 쇼핑 등)와는 아무런 직, 간접적, 경제적, 법률적 이해관계가 없어야 한다는 뜻입니다.
금결원은 마치 온라인 뱅킹, 쇼핑에서 은행이 손해볼 일을 막는 것만이 자신의 유일한 임무라고 착각하고 있습니다. 그 자신이 바로 은행이기 때문입니다.
그리고, 금결원은 계좌 이체, 온라인 쇼핑 등 거래의 결제 서비스 장사까지 합니다. 그 결제의 수수료를 자신이 챙기기 때문에, 그 결제에 사용되는 공인인증 프로토콜이 어떻게 해서든 공개되지 않도록 하려는 것입니다.
공인인증에 사용되는 프로토콜이 공개되면, 결제 서비스 시장의 자유경쟁과 신규 사업자의 활발한 참여가 가능해지는데, 바로 이것을 저지하고자 3.20. 내놓은 해괴한 제안들을 한 것입니다.
금결원은 결제 서비스 사업자인 동시에 공인인증기관이기도 합니다(이런 사태는 애초에 허용되어서는 안되는 것이지만). 금결원의 전략은 공인인증 소프트웨어의 호환성과 투명성을 극력 저지함으로써, 결제 서비스시장에서의 독점을 계속 유지하려는 것입니다.
youknowit님/
무슨 말씀이신지는 알겠습니다.
하지만 ‘공인인증에 대한 프로토콜’과 금결원의 수입과는 관계가 없다고 생각합니다. 사용자 환경에서의 보안 관련 기능이 아니라, PG Gateway로 넘긴 결제 트랜잭션을 처리할 때 수수료가 부과되는 것이니까요. ‘앞단’은 어떻게 돌아가든 수수료와는 별 상관이 없을 것 같습니다.
제가 보기엔 금결원은 어떤 기술적인 주관으로서 이 문제에 저의를 가지고 있다고는 생각이 안됩니다.
오로지 여러 환경을 지원하게 될 경우 비용과 유지보수 문제 때문에 발뺌하는 것 뿐인듯 합니다.
그런 의미에서 중립적이지 않고 은행의 비용에 연연한다는 점은 올바른 지적이시라고 생각합니다.
금결원 역시 모종의 프로토콜 개정에 의해 환경과 관계없이 결제 서비스를 제공할 수 있게 된다면 옳다구나 할 것으로 생각합니다.
문제는 금결원 스스로가 그런 능력도 없거니와 금결원이 그런 역할을 맡는다면 한마디로 넌센스라는 점입니다.
여하튼, 추진하시는 과업의 건승을 기원합니다.
몽몽이님 댓글 감사합니다.
“‘공인인증에 대한 프로토콜’과 금결원의 수입과는 관계가 없다”고 생각하시지만, 저는 조금 다른 견해를 가지고 있습니다.
금융데이터 네트웍 송수신 specs이 어느정도 정해져 있으므로, 금결원과 경쟁관계에 있는 결제사업자도 단순결제 솔루션은 별 어려움 없이 만들 수 있습니다.
그러나 전자서명이 부착된 결제지시(signed instruction)를 처리하는데 필요한 인증결제 솔루션을 만들려면, 결제관련 프로토콜뿐 아니라, 서명검증(인증) 프로토콜까지 알아야 합니다.
금결원이, 인증용 “가입자 소프트웨어”는 이용기관(은행)이 알아서 제각각 제공하라고 하는 이유가 있습니다. 인증관련 소프트웨어가 이렇게 제각각 제공되면 결국 표준 인증프로토콜이 제정되지도, 공개되지도 않게 됩니다. 금결원은 이미 은행들과 결제 서비스 계약관계를 확보해 두고 있으므로 이 상황은 금결원에게만 유리합니다. 신규 사업자는 단순결제 솔루션은 개발할 수 있어도, 인증결제 솔루션은 개발할 수 없기 때문입니다. 이 문제에 대한 자세한 설명은 공정거래위 신고서 paras. 23-25에 있습니다.
몽몽이님은 또한, “여러 환경을 지원하게 될 경우 비용과 유지보수 문제”가 생겨난다고 언급하셨는데, 이점은 다음과 같은 보충설명이 필요합니다.
여러 이용환경을 지원하는데 약간의 비용과 유지, 보수 문제가 생길 수는 있습니다. 그러나, 이것은 웹서버들에게 생기는 것이지, (공인)인증기관에게 생기는 것이 아닙니다.
금결원은 인증 클라이언트만을 제공하면 됩니다. 클라이언트를 제공한다고 해서, 서버측 인증 솔루션의 유지, 보수, 수정에 관한 의무가 금결원에게 생기는 것이 아닙니다. 지금도 금결원은 서버측 소프트웨어에 대한 일체의 기술지원을 하지 않으며, 이는 당연하고 정당합니다. 인증기관은 웹서버(은행등 이용기관)과 어떠한 계약관계도 없습니다. 오히려 인증기관은 이용기관으로부터의 독립성을 유지하여야 합니다.
인증서 이용이라는 맥락에서 볼때, 금결원은 웹서버가 아닙니다. 은행 등 웹서버와 인증기관 간의 교신은 웹브라우저로 이루어지는 것도 아니고, 웹서버에 접속한 클라이언트의 운영체제가 무엇인지와도 상관이 없습니다. 인증서를 이용하기 위하여 클라이언트가 인증기관과 교신하여야 하는 것도 아닙니다. 합의문(수정초안) 제5조에 대한 설명(p.6)을 보시기 바랍니다.
다양한 클라이언트 이용환경을 웹서버가 지원한다고 해서 “인증기관”에게 추가 업무, 비용 부담이 생기는 것은 결코 아닙니다.
자신이 곧 은행이기 때문에 금결원은 끊임없이 자기가 웹서버라고 착각하고, 근거없는 주장을 내세우는 것입니다. 착각하는 것처럼 가장하고 있을 수도 있고…
youknowit님/
답글 감사합니다.
제가 말씀드린 비용이란 인증 클라이언트들을 구하고 호환성을 유지하는 것을 말씀드린 것입니다.
그리고 제가 잘 몰랐던 부분 같습니다만… 금결원이 법적으로 독점적인 지위로 되어 있는 줄 알았는데 그렇지 않은건가 보군요.
그리고 답글 내용 중에 [신규 사업자는 단순결제 솔루션은 개발할 수 있어도, 인증결제 솔루션은 개발할 수 없기 때문입니다.] 이 부분은 의미를 잘 모르겠습니다. ‘인증결제’란 것이 어떤 부분을 말씀하시는 것인지… 어차피 공인인증서와 관련된 부분이야 표준이 있는 것이고 금결원 PG 호출 프로토콜은 결제 시스템을 구축할 사업체가 요청하면 다 알려주는 것이라(MS Word 파일로 약 2장 정도 됐던 것 같군요…) 금결원만 특별한 정보를 갖고 있는 것은 제 경험으론 없었던 것 같습니다.
제가 결제 솔루션을 만든지가 꽤 오래되다 보니 뭔가 큰것을 잊어버렸나 봅니다 ^^; 바쁘신 중에 죄송합니다만, 한번 더 부연 설명해 주시면 감사하겠습니다.
제가 이해하기로, 몽몽이님께서는 쇼핑몰의 결제 시스템을 구축해주는 보안업체의 입장에서 질문하신 것 같습니다.
이 경우, 금결원 PG(bankpay PG라는 상호로 영업합니다) 호출에 필요한 정보는 금결원이 당연히 쇼핑몰에 제공합니다. 쇼핑몰은 여러 PG사 중에 금결원PG를 선택하였고, 그 쇼핑몰이 금결원PG를 이용하려고 요청하는데, 그 정보를 주지 않으면 금결원이 장사(그 쇼핑몰 매출액의 3%가량을 금결원PG가 먹습니다)를 할 수 없겠지요^^
제가 위의 댓글에서 설명드린 부분은 금결원PG와 경쟁관계에 있는 다른 PG사가 처한 상황에 관한 것입니다. 금결원PG는 전자서명이 부착된 구매결정(signed instruction)을 카드사 등의 서버와 교신하여 처리하는데 필요한 솔루션을 구비하고 있습니다. 그 솔루션으로 장사를 하는 것입니다.
그럼 경쟁 PG사는 어떻게 그 솔루션을 만들 수 있을까요? 카드사 등의 협력을 얻어, 카드사 서버가 고객의 서명된 구매결정을 어떻게 처리하는지를 알아내야 하겠지요.
IE에서만 결제가 가능한 솔루션을 만드려는 경우에는 문제는 비교적 간단할 수 있습니다. 그러나 모든 웹브라우저에서 결제(서명되지 않은 결제지시) 처리가 가능한 솔루션을 개발한 어떤 PG사가 있다고 가정해 봅시다. 만일 그 PG사가, 서명된 결제지시까지 처리할 수 있다면, 매우 강력한 경쟁사업자로 되지 않겠습니까? 하지만, 그 PG사는 다음과 같은 두 관문을 거쳐야 합니다:
위 1의 경우, 그 클라이언트에 대하여 금결원이 KISA의 심사를 받아주지 않으면, “공인인증용” 가입자 설비로 될 수 없습니다. 금결원이 경쟁PG사가 개발해 온 범용성 있는 가입자 설비에 대하여 KISA심사를 받아 주겠습니까?
위2의 경우, 카드사 서버의 협력이 없으면, 경쟁 PG사는 어쩔 도리가 없습니다.
카드사로서는 경쟁PG사의 요청에 선선히 응할 수 있습니다. 어차피 카드 사용액을 많이 올리는 것이 자신의 이익에 부합하기 때문에 많은 PG사와 결제 관계를 체결하면 할수록 카드사에게는 유리하기 때문입니다. 그러나 경쟁PG사가 도저히 넘어설 수 없는 관문은 1입니다. 바로 이 부분이 (공인인증기관으로서의 지위를 누리면서 PG사업도 동시에 하는)금결원이 열쇠를 쥐고 있는 부분이기 때문입니다.
실제로 모든 웹브라우저에서 결제를 수행할 수 있는 솔루션을 개발한 경쟁 PG사가 이미 있습니다. 금결원도 그것을 알고 있습니다. 이미 작년에 개발을 완료한 맥, 리눅스용 가입자 설비를 금결원이 지금껏 제공하지 않고 만지작거리고 있는 이유는 여기에 있습니다.
금결원의 답변서를 보면
금결원이 착각하고 있는듯한 내용이 있습니다.
클라이언트 가입자설비는 서버프로그램과 패키지고 묶여서 은행등 금융기관에게 제공하고
금융기관등이 알아서 가입자에게 제공한다는
전제를 짐작해볼 수 있습니다.
전자서명법은 가입자설비를 공공재로서 일반 사용자에게 제공할것을 요구하지만
금결원은 가입자 설비를 일반 사용자에게 공공재로서 제공한다는 입장은 아닌것 같습니다.
전자서명법 시행령 제2조 제1항 제3호 바.를 보면, “공인인증기관이 공인인증역무와 관련하여 가입자에게 제공하는 설비”라고 되어 있습니다. 가입자 설비는 “가입자에게 제공”하는 것이지, 은행에게 제공할 아무 근거가 없습니다.
금결원은 지금까지 가입자 설비는 자신들이 제공할 의무가 없고, 은행이 알아서 제공하든 말든 자신들의 책임은 없다고 주장해 왔습니다. 은행은 공인인증기관이 아닙니다. 은행이 단독으로 “공인인증용” 가입자 설비를 제공할 수도 없습니다.
이제와서 금결원은 가입자 설비를 “은행에게” 제공하겠지만, 리눅스 맥 용은 서면계약이 있어야 하며, 돈을 받겠다는 것입니다.
한마디로 금결원은 “억지를 부리고” 있습니다.
youknowit님/
설명 감사합니다.
말미에 언급하신 PG업체는 아마도 또다른 보안업체 I사에 법적으로 경영권이 넘어간 I사를 말씀하시는듯 합니다.
엊그저께 제가 개발에 참여했던 모 공공기관 웹사이트에 접속하게 되었는데, 공교롭게도 그곳 PG가 금결원에서 그 I사로 변경된 것을 알게 되었습니다.
현재 그 공공기관에서 개발을 계속하고 있는 지인에게 잠깐 문의해본 바, 금결원은 공공기관의 카드결제 수익성이 낮아 계약을 연장하지 않겠다고 하여 I사 PG로 변경하게 되었다고 합니다.
현재 I사 PG는 예상한 바와 같이 Linux 외에도 Solaris와 HP-UX용 솔루션 등도 제공하고 있었습니다.
확인은 못해봤으나 이미 배포되고 있는 점으로 볼 때 이 솔루션들도 ‘공인인증된’ 가입자 설비일 것으로 추측됩니다.
여하튼 이러한 사례로 볼 때 금결원이 여타 PG의 사업을 제약하기 위하여 기술적인 제한을 하는 것은 아니지 않나 재차 생각해 봅니다.
공공기관 웹사이트의 경우, 건당 결제액이 800원, 1000원 수준입니다. 당연히 공인인증서를 사용하지 않아도 되는 거래입니다.
공인인증이 불필요한 환경에서 모든 웹브라우저에서 결제가 가능한 솔루션을 가진 PG사는 I사 외에도 있습니다.
이런 경쟁 PG사들도, 30만원 이상 거래의 경우에는 어쩔 수 없이 IE 브라우저에서만 결제하는 수밖에 없습니다. 즉, 모든 경쟁 PG사들의 서비스 수준이 금결원이 가지고 있는 기술 수준으로 하향조정되는 것이지요. 제가 문제 삼은 부분은 바로 이 부분입니다.
금결원이 경쟁 제한의도가 없다면, 이미 개발한 리눅스, 맥, 그리고 파이어폭스(!) 용 가입자 설비를 당장 제공하면 됩니다. 그러고 나서 이야기 합시다.
그리고 몽몽이님께서 오해하시는 부분이 있습니다. Linux, Solaris, HP-UX는 “서버” 운영체제 입니다. 대부분의 결제 서비스 제공자들도 이런 정도의 서버운영체제는 당연히 지원합니다.
오픈웹이 문제 삼는 부분은 “서버”운영체제 지원에 관한 것이 아닙니다. 온라인쇼핑, 온라인뱅킹, 온라인 민원 등을 이용할 수 있는 “클라이언트” 환경이 윈도/익스플로러 전용으로만 되어 있는 사태를 문제삼고 있습니다.
말씀하신 I사의 경우, “클라이언트”가 파이어폭스, 사파리 등의 웹브라우저를 이용할 때도 결제서비스를 제공할 수 있는지(공인인증이 필요없는 경우를 전제합니다) 확인해 보시고, 댓글로 알려주시면 감사하겠습니다.
그리고 PG사의 결제 솔루션은 “가입자 설비”가 아닙니다. 가입자(고객)은 PG사의 솔루션이 어떻게 생겼는지, 무슨 작업을 하는지 알수도 없고, 알 필요도 없습니다. 우리같은 클라이언트는 그저 웹브라우저나 실행하고 브라우저 플러그인이 하라는대로 정보를 기입하고 OK버튼이나 누르는 것입니다. 이런일을 하는데 필요한 소프트웨어가 바로 “가입자 설비”입니다.
youknowit님/
거듭 상세한 설명 감사합니다.
그렇군요. 제가 I사 홈페이지에서 Transaction Server 안내에 대한 설명을 본 것인데 Plugin 설명 부분과 화면 구성이 비슷해서 착각했습니다. ^^;
다만 I사에 대해서 한가지 더 말씀드리고자 합니다.
제가 작년말까지 모 가전사에서 방송 수신기(TV, 셋톱)용 Embedded 솔루션 개발에 참여했습니다.
지상파 방송은 아직 인터넷을 이용한 Interactive 구매를 지원하고 있지 않지만 이에 관련된 국제 표준은 있고 국내에 적용하기 위한(SEED등 포함) 구현방안 진행중입니다.
당연히 SSL 암호화 및 공인인증서를 이용한 결제처리용 솔루션이 필요합니다. 그래서 가전3사가 공동으로 이 솔루션 개발을 의뢰해서 받은 곳이 위에 언급한 I사입니다.
방송 수신기의 환경은 물론 Windows도 아니고 IE도 아닙니다. (사실 Web Browser를 지원하지도 않지만 지원한다고 하더라도 그걸 통해서 결제를 하는 것은 아닙니다)
말씀을 들으니 방송 수신기를 통한 결제 처리 솔루션이 ‘공인인증된’ 가입자 설비인지 저도 혼동스럽네요.
가전사 및 방송사들조차 그 문제는 생각하지 않았는데…
그리고 30만원(10만원?) 이상 결제가 가능한지 그것도 한번 알아봐야겠다는 생각이 듭니다.
참고로 지상파만 이럴 뿐 협의회에서 들은 I사 솔루션 설명에 따르면 일부 케이블 방송에서는 이미 동일한 기술적 기반의 결제시스템이 이미 사용되고 있다고 합니다.
참고해 주시고, 저도 좀 더 알아보도록 하겠습니다.
몽몽이님/ 고맙습니다. 말씀하신 부분은 오픈웹이 고민하는 문제의 핵심에 있는 내용 중 하나입니다. 작년 5.25. 게시된 내용을 참조하시기 바랍니다.
우리의 노력이 자생적 임베디드 사업의 운명과도 밀접한 관련이 있다는 점을 널리 알려주시면 고맙겠습니다.
다들 너무 수고하고 계시는 것 같습니다. 소송에 참여하면서 인터넷 환경과 여러가지 사회적 상황에 대해서 많이 생각하게 되는 것 같습니다.
근데 금결원 답변은 상식을 가진 일반 사람들이 보기에도 너무 말이 안되는군요.. 저런 문서를 작성해서 답변이라고 보내는걸 보니 답답합니다. 결국 위에서 어떤 분이 말씀하신 것처럼 윈도우환경외에는 지원할 생각이 전혀 없는 거라고 밖에 안 보이는군요..