4월 한달 간 오픈웹에 대한 논란이 뜨거웠습니다. 그 배경과 저의 단상을 적어 봅니다.
배경
오픈웹이 MS IE 외의 웹브라우저나 윈도우 외의 운영체제에서도 온라인 뱅킹 등을 할 수 있게 해달라는 요구를 제기하는 것이라고 여겨오셨던 분들은, 2월18일부터 오픈웹에 등장하기 시작한 문제제기(안전한 온라인 뱅킹을 위하여)가 보안업체의 “영업/경영 판단”에 집중하자, 큰 혼란을 겪은 듯 합니다.
그동안 파이어폭스 용 “금융보안 플러그인”을 열심히 개발하여 출시 준비를 마치고, 오픈웹 소송이 승소하기를 기대하고 계셨던 보안업체 경영/영업 인력분들께서 누구보다도 실망이 크셨을 것으로 저는 생각하며, 오픈웹이 ‘좌충우돌’하고 있으며, 보안업계를 적으로 만들었다는 비난이 표면화하였습니다. “지지자들이 등을 돌리게 만들었다”는 것이지요.
그러나, “인터넷”이 “플러그인”에 의하여 지배당하는 국내 상황을 더욱 강화/심화/악화하는 결과를 초래하는데 일조하게 된다면, 그야말로 오픈웹으로서는 결코 해서는 안될 일이라는 생각은 진작에 하고 있었습니다. 물론, 2년여전에 소송/민사조정을 제기할 당시에는 저는 그저 소비자의 선택권, 소프트웨어의 자유로운 경쟁, 평등, 자유 등 매우 소박하고 추상적인 수준의 생각을 하고 있었습니다. 그러나, 그동안 좀 더 많은 것을 배우고 생각해 볼 기회가 있었습니다.
특히, 다양한 디바이스의 등장이 이미 도래한 기술환경의 변화를 접하면서, “오픈웹”은 플러그인을 많이 배포하는 방법으로 달성되는 것도, 달성될 수도 없다는 생각이 들었습니다. 따라서 소송에 승소하는 것보다 더 중요한 일은 우리의 기술 경향 자체에 대한 논의가 이루어질 수 있는 계기를 마련하여, “장기적 관점에서” 어떤 목표를 설정하고 추구하는 것이 바람직한지에 대한 견해를 수렴할 필요가 있다고 생각하게 되었던 것입니다.
제가 논의의 ‘출발점’으로서 제시한 방향은 “Plugin에서 HTML로“라는 글에 요약되어 있습니다. 물론, 이것이 옳다는 것이 아니라, 적어도 논의가 이루어지려면, 누군가 발제를 하고 무슨 내용을 제시해야 가능하므로 그 수준의 의미를 가질 뿐입니다. 따라서 “activex가 안전하냐, ssl 이 안전하냐”는 등의 갑론을박은 미시적, 지엽적 사안에 불과하며 실제로도 별 의미는 없다고 저는 생각합니다. 좀 더 큰 그림을 그리고, 앞으로 어떤 설계 철학에 비중을 두어 인터넷 기반의 소프트웨어/솔루션 산업의 기틀을 마련할 것인지에 대하여 많은 분들의 참여로 담론이 형성되기를 바랍니다.
단상
이 일을 실제로 추진하는 과정에서 저는 일종의 “충격요법”을 섣불리 채택하는 미숙함을 드러내 보였습니다. (물론 그것이 저의 한계이고, 제 수준이지요…) 그래서 한동안은 매우 소모적인 감정 대결 양상을 보였습니다. 그 과정에서 제가 느낀 단상들이 몇개 있습니다. 저는 youknowit 이라는 닉네임으로만 알려지기를 바랐으나, 어느 사이엔가 저의 직업이나 ‘신분’이 어쩔 수 없이 드러났습니다. 이런 상황은 그리 좋은 것은 아니라고 생각합니다. 인터넷은 자신의 ‘가방끈’을 과시하고, 그것이 주는 일종의 ‘권위’로 상대방을 제압하려는 오프라인 상의 포럼 형성 메카니즘과는 완전히 다른 포멧에서 논의가 가능한 공간이며, 저는 이 측면이 인터넷의 큰 장점이라고 생각합니다. 어쨋건, 논의가 격렬하게 되자, 몇몇 분들은 저의 “배경”을 문제삼기 시작했습니다. 보안 전문가도 아닌 자가 왜 보안 전문가들 영역에 끼어들어 이런 저런 주장을 제기하느냐는 식의 “자격증 논쟁”으로 이야기가 새 나가는 것은 매우 안타까왔습니다. 주장을 제기하는 자의 ‘자격’이나, ‘경력’이나, ‘배경’이 중요한 것이 아니라, 그 주장의 “내용”이 중요하다고 저는 생각합니다만, “보안 전문가도 아닌자가 보안을 알아?”라는 식의 공격으로 일관하는 분들은 (오픈웹에 지난 3년간 축적된 글을 읽어 보시지도 않고), 오픈웹의 주장이 이렇다, 저렇다고 일방적으로 단정하고 소모적인 논쟁에 대부분의 시간을 허비하였던 것이 아닐런지요.
지금와서 보면, 보안 기술 측면에서는 그리 큰 이견이 있는 것도 아니라고 저는 생각합니다. ActiveX는 플러그인의 일종에 불과하고, 플러그인은 대체로 공통적인 장단점이 있고, 보안은 프로그램만으로 달성될 수 있는 것이 아니라 이용자의 이용행태까지도 면밀히 감안해야 비교적 만족스러운 해법이 가능하다는 정도의 내용은 대체로 모두가 공감하는 내용입니다. 오픈웹이 “자바애플렛(signed java applet)만을” 절대선으로 내세우고 있다, 또는 “SSL/TLS 접속에만 의존하고 있다”는 주장은 사실과도 다르고, 아예 실체가 없는 허상에 불과합니다. 그러나 몇몇 분들이 이렇게 단정하고, 그것을 교정하려 또다시 과격한 “보안밥 논쟁”이 거듭되곤 했습니다.
고객 PC가 허술하여 개인키가 유출되면, 인증서는 부인방지 기능을 가질 수 없고, 키보드 보안 플러그인을 아무리 자동/강제 실행되도록 은행이 조치를 취해도, 다른 웹사이트에 같은 비밀번호를 키보드로 입력하는 이용자의 이용행태를 어쩔 수는 없고, 은행사이트에 접속해 있는 동안에만 작동하는 안티바이러스 플러그인이 고객 PC의 보안을 지켜 줄 수는 없다는 정도의 내용은 “전공”이나 “배경”에 상관 없이, 누구나 생각해 볼 수 있는 내용이라고 저는 생각합니다.
며칠 전에 제시한 Safe Bank Demo 사이트는 오프웹의 입장에 대한 그동안의 불필요한 오해를 걷어내고, 우리가 제안하는 방향을 독자들이 쉽게 이해하는데 도움이 되겠다는 생각에서 마련해 본 것입니다.
오프라인에서 저의 직업이 무엇이고, 전공이 무엇이건 상관 없이, 저는 그저 youknowit 에 불과합니다. 보안 전문지식? 저는 틈틈이 이것 저것 살펴보고, 열심히 배울 뿐입니다. 전자서명? 소송 준비 때문에 조금 더 공부할 기회가 있었을 뿐입니다.
아무리 국민들이 아우성쳐도 실세를 잡고있는 권력층이 승인하지 않는한 변화는 없지요. mac어드래스 무단추출, 백도어논란은 소비자 입장에서는 단점이지만, 정책만드는 분들의 입자에서는 매우 유용한 수단일수도 있지요. 캠페인을 매일해도 그들은 콧방구도 안뀝니다. 촛불시위를 보십시요. 결국 바뀐것이 있나요? 가장 확실히 오픈웹을 추진하는 방법은 오픈웹을 지지하는 정치인을 국회에 심는것이라고 생각합니다. 미국의 담배회사가 거금을 들여 워싱턴에 로비하는것 처럼요. 아무리 대중이 반대해도 성공적으로 로비가 들어가면 거인은 움직이겠지요.ㅋㅋㅋㅋ
오픈웹과 김교수님 모두 어려운 시기에 애매한 문제로 삐그덕거리고 있는 것이 사실입니다. 물론 매우 안타깝게 생각하고 있습니다. 하지만 오픈웹이 언제나 추구해왔던 대전제는 몇몇 이득이 걸린사람들을 제외하고는 거의 동감하고 있습니다. 사실 따지고 보면 논란이 되었던것들은 사소한 문제들이 필요이상으로 커졌었다고 생각합니다.
다시한번 오픈웹의 방향성을 명확히 할 필요가 있는 시점인것 같군요.
열심히 지지하겠습니다. 오픈웹지지자분들, 그리고 교수님도 다시한번 힘내세요.
우리는 할 수 있습니다.
오픈웹에서 주장하신 내용은 어떻게 보면 보안업계의 이익과 상충하는 면이 있기 때문에 피할 수 없는 논쟁이었다고 생각합니다. 보안 플러그인이 중요 수익인 업체들에게 플러그인의 무용성(플러그인으로 보안을 확보할 수는 없다)을 주장한다면 그 주장을 펴는 말이 좀 부드럽다 하더라도 업계 입장에서는 시장을 파괴하는 과격한 주장으로 보일 수 밖에 없지 않았을까 생각합니다. 더구나 보안업계 입장에서는 왜곡된 시스템을 만드는 과정에서 갑이 아닌 을의 입장이었다고 생각할 수 밖에 없었기 때문에 그 논란이 과격해 진 것이 아니었을까요…
그럼에도 불구하고 개인적으로는 오픈웹에서 주장하신 내용에 공감합니다. 브라우져 별로 사이트에서 제공하는 플러그인이라는 구조는 인터넷의 근본적인 구조와 맞지 않는 보안 체계라고 생각합니다. 이미 주장하신 바와 같이 어짜피 플러그인이 모든 사용자에게 완벽한 보안을 제공할 수는 없는 것이 사실입니다. 브라우져는 인터넷을 이용하기 위한 도구에 불과하니까 그러한 도구들이 지켜야 할 보안 표준을 제시하고 그 표준을 지키는 브라우져에서 제공하는 보안 수단을 이용한는 것이 인터넷이라는 명칭에 걸맞는 방법이겠죠. 윈도우즈와 인터넷 익스플로러를 강요하는 것인 ‘인터넷 뱅킹’이 아니라 ‘전용 네트워크 뱅킹’ 정도 밖에 안 된다고 생각합니다. 그리고 그러한 ‘전용 네트워크 뱅킹’은 소비자들에 대한 차별로 인식될 수 있는 부분이 되겠지요.
도움을 드리지는 못하지만 저 역시 열심히 지지합니다. 언제가는 이러한 노력의 결실을 맺는 날이 꼭 올 겁니다.
우선 충격요법은 기본적으로 충격받는 사람에게 좋은 것은 아니지요. 계속해서 구설수에 오를테고, 이미 사과한 것으로 마무리 지었다고 하기는 어려울 것입니다. 계속해서 잘못했음을 인정해야겠지요.
자신의 정체성 문제는 사람마다 다르게 받아들일 겁니다. 가상공간에서도 실명을 쓰는 사람이 있고, 실명으로 상대하지 않으면 불안한 사람도 있지요. 또한 오픈웹은 가상공간을 넘어 실세계에서 영향력을 발휘하길 원하니까요. 가상공간과 실세계를 넘나들 때 그 둘을 분리해서 대해달라는 것은 말이 안되니까요.
부탁드리고 싶은 것은 너무 많은 것을 욕심내지는 않으셨으면 합니다. 하나하나 성과를 이뤄가는 것도 의미있는 일이고, 쉬운 일이 아니니까요.
몇년 전에 openweb이 처음 시작될 때도 말이 많았지요.
당시에 모 기관 주최로 몇몇 대형 SI 업체와 웹표준화에 대해 얘기를 할 기회가 있었는데, 이번 일 못지 않은 엄청난 반향(대체로 부정적인..)이 있었습니다. 방법론적으로는 어떨지 모르겠지만 언젠가 한번은 논의가 되어야 할 문제였다고 생각합니다.
이번 일에 대해 좀 아쉬운 것은 논의의 초점이 자꾸 어긋났다는 점인데, 이것 때문에 불필요하게 소모적인 논쟁이 되어버린 것 같습니다.
안전은행 한번 들어가 봤는데요..정말 혁명적입니다. 단순한 구조이지만 해킹이 힘든 새로운 방법을 제시해 주셨네요. 특히 자신이 정한 그림이 나오게 하는 부분은 놀라움 그 자체입니다. 다른 나라에서 이미 시행되고 있는 기술인가요??
어쨌든 active-x를 사용하지 않아도 훌륭하게 보안을 보장할 수 있는 기술은 얼마든지 창조될 수 있다고 봅니다.
옙. http://www.bizeul.org/apt.htm 을 방문해 보시면, 매우 다양한 보안 대비책 들이 소개되고 있습니다(소스코드 까지 제공되는 것도 있고).
고객이 정한 특정 이미지가 웹페이지에 나타나게 하는 방법은 피싱을 막는데 매우 효과적인 방법입니다. 공격자는 무수한 고객들이 각자 무슨 이미지를 선택했는지 도저히 알 수 없기 때문입니다. 이 솔루션(image recognition identification)을 구현하는 소스는 http://www.bizeul.org/apt-iri.htm 에 있습니다. 고객에게만 인증을 요구하는 것이 아니라, 서버도 진짜 은행 서버가 맞다는 점을 고객에게 인증해야 한다는 원리입니다.
오픈웹이 리오픈한지 모르고 그간 계속 (북마크해두었던) unifix만 클릭하는 멍청한 짓을 해 왔습니다.
맥의 파이어폭스로 현재 읽고 있습니다만, 본문의 글이 모두 왼쪽으로 여백없이 꽉 차 있어서 불편/불안한 느낌을 줍니다. 왼쪽 여백을 좀 두는 게 읽기에 편안하지 않을까 싶습니다.
어쨋건 다시 찾을 수 있어서 기쁩니다.
윗글의 일부내용을 취소합니다. 제 맥의 파이어폭스 폭이 좁아서 왼쪽 여백없이 보인 것입니다.