세계최초의 이메일 삽질, 그리고 IT “콘트롤 타워?”

2012.09.27 글쓴이 youknowit

“공인”인증서의 악몽이 “공인”전자주소(샵메일)로 고스란히 재현되는 중입니다. 황당한 발상이 어떤 방식으로 제도화되고, 어떻게 우리 나라의 IT 환경을 옭죄게 되는지를 분명히 보여주는 사례가 바로 샵메일입니다. 그 경위를 대략 살펴보겠습니다.

공인인증 사업을 하고 있는 한국정보인증은 “공인인증을 기반으로 한 사업의 다각화를 모색”하는 차원에서 “전자문서 유통중개 서비스 사업도 시작할 계획”이라고 올해 8월에 그 포부를 밝힙니다. 업체의 주장을 보면, 전자문서 유통중개 서비스는 “이메일상의 등기우편”이라면서 이것을 ‘샵 메일’이라고 부르고 있습니다. (한국정보인증 고성학 대표의 올해 8월12일자 인터뷰 기사. “공인인증서비스 기반으로 사업다각화 모색“)

이런 업체들이 공무원들에게 접근하여 사업구상을 설명하면, 공무원은 이것을 덥썩 받습니다. 공무원이 이런 사업 아이템을 좋아하는 이유는 뻔합니다. IT산업 진흥, 육성, 신성장 동력 어쩌구 하면서 자신이 마치 사업가나 된듯 설치거나, 자신의 업적으로 한국의 IT가 국제무대에서 인정받을 수 있게 될 것이라는 순진, 소박한 공명심에 사로잡혀 있기 때문입니다. 하지만 뭣보다도 이런 사업 아이템을 자기 부서의 인허가, 감독 사항으로 확보해 두면 인허가를 따내기 위해 업자들이 굽신거리고 담당자는 감독권한(공무원의 밥그릇)을 챙길 수 있다는 비열한 사리사욕도 적나라하게 작동합니다.

어쨌건, 올해초 지식경제부는 전자거래기본법을 “전자문서 및 전자거래 기본법”으로 개정하고, 문제의 “공인전자주소”라는 제도를 만듭니다(개정 법률, 제2조 제8호, 제18조의4 등 참조). 온세상이 그동안 멀쩡히 잘 사용해 오던 이메일 주소를 특정 부처가 자신의 인허가 사업항목으로 만들기 위하여 “공인”을 앞에 붙인 다음 괴상한 고립의 길로 가는 모습은 인증서의 경우와 완전히 동일합니다. 인증서기술도 전세계적으로 멀쩡히 잘 작동해오던 것인데, “공인”자를 붙이고 특정 부처가 자신의 인허가 사업항목으로 변질시킨 다음에는 한국에서만 통하는 괴상한 방식으로 둔갑하고 … 그 뒤에 벌어진 일은 모두들 잘 아실 것입니다.

“공인”인증 사업은 처음에는 정통부가 감독권을 챙겼고, 현재는 행정안전부가 이권을 넘겨받아 금융위원회/금융감독원과 함께 제각각 밥그릇 수호에 몰두하고 있는 것입니다. 지경부는 이런 이권들이 몹시도 부러웠나 봅니다. 그래서 이제는 이메일주소에 “공인”자를 붙여서 자신들도 밥그릇 하나 챙겨보려는 것입니다.

지경부의 이런 시도는 8월29일에 발표된 “샵메일”이라는 형태로 구체화 됩니다. 지경부 최진혁 소프트웨어융합과장(전화 02-2110-5151)과 임성민 사무관(5156)은 “공인전자주소(#메일)은 @메일과 달리 본인 및 송수신 확인이 보장되는 새로운 전자주소로서 온라인 ‘등기’와 같은 역할을 한다”고 보도자료를 돌리면서, 공인전자주소(#메일) 제도를 “세계 최초”로 도입한다고 자랑하고 있습니다(휴… 바로 이 대목에서 한숨이 나오는 군요):

지경부의 이메일 샵질 – 세계 최초

지경부 최진혁 과장이나 임성민 사무관이 배포한 보도자료는 한국정보인증 고성학 대표의 인터뷰 내용(괄호 안에 인용)과 거의 같습니다: (1) 본인 및 송수신 확인이 보장된다(이메일을 보낸 사람이 지정한 사람에게 정확히 전달되는 메일이다) (2) 온라인 등기와 같은 역할(이메일 상의 등기우편) (3) 샵메일 서비스, 솔루션, 장비 등 연간 700억원의 新시장 창출 효과(이러한 사업다각화를 통해 매출 1,000억 달성 목표: 현재 300억 가량… ㅋㅋ) (4) 샵메일을 전세계로 수출(해외시장 진출에 노력)

보도자료를 누가 써줬는지 짐작이 가는 대목입니다. 9월19일자 보도에 따르면 “현재 #메일사업자 선정을 위한 심사가 일부 진행되고 있는 상황”이며, 10월 쯤이면 샵메일 사업자가 지정될 것이며, “정부는 향후에도 #메일 사업허가를 남발하지는 않을 방침”이라는 군요, ㅎㅎㅎ

그런데, 궁금한 점이 좀 있습니다. 기존의 이메일은 크게보아 세가지 기술적 요소로 이루어져 있습니다.

  • MUA(Mail User Agent)는 사용자가 접하는 인터페이스를 제공하는 것인데, 응용프로그램 형태로 구현되거나(예를들어, 아웃룩, 썬더버드, …), 웹 인터페이스로 제공될 수 있습니다(gmail, hanmail 등).
  • 유저가 MUA를 이용하여 발송을 지시하는 메세지 내용은 발송자와 연결된 메일 서버의 MTA(Mail Transport Agent)가 처리하게 됩니다. EXIM, Postfix 등의 메일 서버 소프트웨어가 SMTP라는 프로토콜을 이용하여 메일을 수신자의 메일서버로 보내는 것입니다.
  • 수신자의 메일 서버에 도착한 메일은 MDA(Mail Delivery Agent)에 의하여 처리되며, POP나 IMAP등의 프로토콜을 사용하여 유저가 메일을 받아볼 수 있도록 해줍니다.
  • 최종적으로 유저는 역시 MUA(Mail User Agent)를 이용하여 도착한 메일을 열어보고, 삭제, 보관 등의 작업을 하게 됩니다.

메일 전달의 신뢰성을 확보하기 위하여 MTA는 여러 조치를 취합니다. 수신자의 메일 서버가 다운되거나 하면 여러차례 배달을 시도하고, 만일 최종적으로 배달이 불가능하다고 판단하면 그 사실을 발송자에게 알립니다. 이러한 여러 작업들의 내역은 일일이 메일 서버에 기록(logging)이 됩니다. 대충 보내보고, 중간에 증발해도 그만… 이런 허접한 방식으로 이메일 시스템이 설계되어 있지는 않습니다.

보냈는데, 못받았다고 할 경우, 보낸 사람은 자신의 메일 서버의 메일 로그를 통하여 그 메일이 과연 수신인의 메일서버에 까지 전달되었는지 확인할 수 있습니다. 현재도 이미 상황이 이렇기 때문에 이메일 못받았다고 “오리발” 내미는 것이 말처럼 쉽지도 않습니다.

제일 궁금한 점은 이른바 샵메일이라는 것이, 과연 완전히 새로운 MTA 소프트웨어, 새로운 메일 프로토콜에 기반하여 서비스가 제공되는 것인지 아니면, 기존의 MTA와 메일 프로토콜을 대부분 그대로 사용하고, 최종 유저단의 MUA만 슬쩍 포장하여 서비스가 이루어지는지 하는 것입니다. 만일에… 최종 유저 인터페이스에 해당하는 프로그램(또는 플러그인)을 배포하고, 이 프로그램이 #주소를 @주소로 변환(유저는 모르게)해서 기존의 메일서버 체계를 대부분 차용해서 메일 처리가 이루어 진다면, 이른바 “공인전자메일”서비스는 대국민 사기극에 가까울 것입니다.

그렇지 않고, MTA와 메일전달 프로토콜 자체가 완전히 새롭게 설계된다면, 기존의 메일 시스템에 비하여 어느부분이 어째서 더 안전한지가 투명하게 설명되어야 할것이고… 그러한 장점들은 시장의 선택에 의하여 검증되어야 할것입니다. 기존의 어떤 프로그램도 #주소를 처리할 수는 없기 때문에 이런 메일을 사용하려면 보내는 사람과 받는 사람이 모두 별도의 프로그램(플러그인)을 설치해야 하는데, 세계 각국의 유저들이 과연 이런 번거로움을 거쳐갈 것인지, 이 새로운 샵메일 프로그램(플러그인)의 신뢰성과 안전성은 과연 누가 어떻게 검증할 것인지는 “시장에 의하여 결판”나야 하는 것이지 한국의 어느 관료가 강제할 성질의 것이 아닙니다.

저는 샵메일이 진정으로 새로운 메일처리 기술이기를 희망합니다. 그러나 정말 그런 “혁명적”기술이라면, X도 모르는 지경부 사무관을 상대로 썰을 풀고 설득/영업 하려하기 보다는 전세계의 고객들을 상대로 영업을 시작하는 것이 정직한 태도일 것입니다.

신기술을 개발했노라면서, 기술을 모르는 공무원 앞에 쪼르르 달려가서 썰을 풀고, 공무원은 “법제도”를 건드려서 “강제 규정”으로 이런 기술을 지원해 주겠다는 식의 움직임은 지금껏 지겹게 반복된 패턴입니다. 공인인증서도 그랬고, WIPI도 그랬고, 이제 샵메일도 똑 같은 구조를 가지고 있습니다. 기술인력이 공무원을 상대로 쎄일즈를 하고 제도적 지원에 의존하려는 발상을 계속하는 한, 한국 IT산업은 암담합니다.

대통령 선거에 즈음하여, IT산업의 “콘트롤 타워”가 필요하다는 소리가 흘러나옵니다. 위에서 설명드린 것처럼 업계가 공무원/정부에게 달려가서 지원을 호소하고, 공무원의 통제(CONTROL)를 스스로 받겠다는 한심하고 비열한 노예근성을 “콘트롤 타워” 어쩌구 하는 번지르한 말로 포장하는 분들이 아직도 “전문가”행세를 하고 다니는 작금의 실상이 개탄 스럽습니다.

정부가 IT기술에 조급하게 개입하여 “기술을 법제도로 둔갑”시키고, 그 제도에 기대어 기득권과 사업권을 빨아먹어 보려는 진드기같은 관변 사업자들이 생겨나며, 그 과정에서 공무원은 인가권/규제권/감독권… 결국에는 “이권”을 주무르게 되는 구조가 샵메일 추진과정에 그대로 나타나고 있습니다.

삽메일 도입 과정에서 드러난 지경부 최진혁 과장이나 임성민 사무관, 그리고 한국정보인증 고성학 대표 같은 분들과 “전자문서 및 전자거래 기본법” 개정 과정에서 검토보고서를 작성한 국회 지식경제위원회 수석전문위원 김호성, 그리고 개정 법률안을 발의한 지식경제부장관 홍석우의 각성과 반성을 촉구합니다.

p.s. 그런데… 썬더버드, 이볼류션 등의 메일 클라이언트들은 발신자가 자신의 개인키로 메일 내용을 완전히 암호화하고, 메일을 전자서명하여 주고받을 수 있는 기능을 이미 구비하고 있다는 사실은 알고나 계시는지…

Categories: 공인인증서, 정책제안, 표준화 | 17 comments  오픈웹 구독 메일로 받기

One Pingback/Trackback

  • http://joostory.net/ Joo

    https도 못믿는 분들인데 pgp 같은건 알아도 무시하시지 않을까요? ^^;

    • http://openweb.or.kr youknowit

      https 는 못믿겠다 하면서, 검증안한 플러그인은 덥썩 믿어버리는 것은 … 뭐랄까… 남 눈의 티끌은 잘 보면서, 제 눈에 들보는 못보는…

  • http://wagnerianwk.blogspot.com 김원철

    헐… 

  • http://twitter.com/cognobot cognobot

    액티브X 보안 이메일도 짜증나 죽겠는데,,, 아이고.. 샵메일이라니 ㅠㅠ

  • 안병욱

    제가 관련일을 하기 때문에..
    코멘트를 달아 보겠습니다..
    샵메일이라 불리는 메일은 기존의 SMTP 프로토콜을 사용하지 않습니다. SOAP, ebXML, ebMS 등의 프로토콜을 사용해서 기존이메일과 전혀 호환 되지 않습니다. 그로인해 별도의 클라이언트가 제공되거나 각 서버의 웹서비스를 이용하게 됩니다.
    안전성에 대해선 지경부에서 지정해준 서버에서 서버로 #메일이 전송되고, #메일 전체의 주소도 지정된 기관(nipa)에서 관리 합니다.

    메일의 전송여부를 각 종단에서 증명하는것이 아니라 3자(#메일서버)에서 증명을 해주도록 하는 시스템입니다. (3자를 통한 부인방지)
    또한 각 메시지는 송신서버, 수신서버, 수신자의 공개키로 암호화해서 전달 됩니다.(기밀성)
    각각의 메시지는 당연히 전자서명 되어서 전달 됩니다.(무결성)
    별도의 클라이언트 제공과 더불어 웹서비스를 통해 사용이 가능합니다.(가용성?)

    물론, 이 기술이 처음 시행되는 상황이고 폐쇠적이라는 점등 많은 단점이 있지만, 법 테두리에서 전자문서를 전달 함에 따라 문제가 생기면 보호를 받을 수 있다는 장점도 있습니다.

    너무 비판적으로 보시는것 같아서 한마디 적어 봅니다.

    • http://wagnerianwk.blogspot.com 김원철

      그게 좋은 거면 강제로 쓰게 할 게 아니라 기술표준만 제시하고 알아서 쓰라고 하시면 어떨까요? 정말 좋으면 쓰지 말라고 해도 쓸 듯합니다.

      • 안병욱

        아직 강제성은 없는것 같습니다.
        기술 특성상 3자에 의한 부인방지가 주 목적이기 때문에 공인 인증기관이 필요합니다. 그리고 그를 컨트롤해주는 기관도 필요하죠.. 그로 인해 알아서 쓰라는건 불가능한 상황입니다..

    • http://openweb.or.kr youknowit

      다 좋아요. 그런데 왜 정부가 나서요? 정부에 기대서 영업하려는 발상에서 제발 좀 벗어나주시면 감사. 떳떳하고 당당하게 시장에서 경쟁하세요. 비겁하게 강제규정 동원하려 하지말고요. 공인인증이 꼭 그 꼬라지예요.

      • 안병욱

        제가 이렇게 열정적인 놈이 아닌데.. ㅋㅋ
        너무 한쪽으로 치우쳐 있으시고, 기술에대해 알아보실생각없이 신문기사만 보고 판단하시는것 같아서 덧글 날린거였습니다.
        밑에 글에 덧글을 단바와 같이 법적으로 기술만 정의되었을뿐 강제성은 없습니다. 물론, 정부기관에서는 필히 사용하게 될것이고, 그에 따라 관련기관들에 압박으로 인해 반강제가 될것 같다는 생각이 들긴합니다.
        아직 시작단계라 그런걸 수도 있지만, 아직 강제성을 띄고 있지는 않습니다. 샵(#)메일은 공인인증서와 같은 맥락으로 볼상황이 아니라 공인전자문서센터(http://www.ceda.or.kr)와 같은 맥락으로 보셔야 할것 같습니다. 법시행된지 7년이 지났지만 사실 큰 효과를 못보고 있습니다. 강제성이 없기 때문이죠. 기술적 표준을 제시하고, 기술을 위해 필요한 3자(인증기관)을 안정적으로 관리하기위한 법적 테두리를 만든것으로 생각됩니다.
        물론.. 영업적인 측면이 없지는 않겠지만, 그부분까지 판단할 위치는 아닌지라. 깊은 내용은 포함하지 않도록 하겠습니다.

    • http://openweb.or.kr youknowit

      ebXML (e business 용 문서교환에 사용되는 XML표준)의 경우, 실제로 그 문서를 전달하는 작업은 SMTP로 할 수도 있고, HTTP로 할 수도 있을 것입니다. 그런데, ebXML Messaging Service 표준을 사용하신다니, 문서의 transport 는 HTTP로 하되, ebXML MS스펙에 맞추어 구현하시는 것으로 짐작합니다.

      그런데,… SMTP로 transport를 처리했을때 무슨 뚜렷한, 치명적인 문제가 있었나요? 당사자가 “부인”하는데 실제로 어느 정도 성공했나요? (대부분의 재판에서 이메일이 그대로 증거로 사용됩니다).

      기존 이메일에서도 전자서명 메일을 주고받을 수 있습니다. 그런 메일의 신뢰성이 과연 “정부가 개입해서, 세금을 써서 선전해대고 있는 #메일” 보다 못한가요?

      무엇보다도, 새로 도입된다는 #메일을 쓰면 “부인방지”가 되나요? 공인인증서로 전자서명 받으면 “부인방지”된다고 믿고 있는 분이 아직도 있긴하지만, 실제로는 전자서명 아무리 되어 있어도 사고거래라고 주장하고, 실제로도 사고거래로 인정되면 고객이 책임을 안집니다(즉, 부인할 수 있습니다). 공인인증서가 이렇게 많이 이미 유출되어있는데, “공인인증서로 전자서명하기만 하면 이메일 부인방지할 수 있다?” 저는 또 하나의 불행한 허구/환상을 더하기만 한다는 생각입니다.

      아직 별로 인기가 없다. 그럴 수록 업계가 아직 필요로 하지도 않는 제품이고 솔루션이라는 생각입니다. 더더욱 세금으로 강제할 필요가 없고, 강제하기 시작하면 기득권 사업자가 포진하여 “알박기”할 것이고, 새로운 기술의 등장을 가로막을 것입니다.

      • 안병욱

        물론 맞는 말입니다..
        기술을 통제하면 새로운 기술이 나오기 힘들겠죠..
        먼저 샵메일에 대해서 다시 한번 말씀드리자면
        샵메일의 기본은 Trusted Third Party 입니다.
        이를 국가에서 제어를 하는 형태인거죠..
        신뢰할 수 있는 3자를 통해 메일주소를 관리, 확인하고, 이를 토대로
        신뢰할 수 있는 3자를 통해 전자문서가 암호화 되고,

        신뢰할 수 있는 3자를 통해 전자문서를 전달하고,

        신뢰할 수 있는 3자를 통해 전자문서가 전달되었다는것을 확인 받고(메일내용, 첨부파일에 대한 hash, 발신, 수신시간 및 열람시간, 송신자, 수신자 등)
        3자에 의해 안전성을 확보 받겠다는거죠..

        이와 별도로.. 정부에서 주도하는 사업을 비판적으로 볼 수 만은 없다는 것 입니다.
        한국이 인터넷 강국이라 불리는 이면에는 인터넷을 활성화 하기 위해서.
        초등학교 숙제에 인터넷으로 알아오기가 있었다는 점도 있습니다. 당시 고등학생이였던 저에겐 컴퓨터도 없었는데 인터넷이라뇨.. 따지고 보면.. 아직 요구가 없는 사업일 수도 있었다는 거죠.. 필요없는 사업일 지도 모르는 인터넷 활성화덕에.. 저희는 이렇게 얼굴도 보지 못한체 논쟁을 할 수 있게 된것 이구요..

        앞서 말씀드렸던 공인전자문서센터의 경우 국제 표준으로 제정하기 위해 노력중인것으로 알고 있습니다.

        또한, 전자문서센터가 활성화 못되는 가장 큰이유 또한 법에 있습니다. 가장 중요한 클라이언트로 생각되는 보험청약서, 계약서, 등을 보관하기 위해 보험사, 은행, 등은 몇층짜리 건물을 임대해서 창고로 쓴다더군요.. 하지만 법에서 청약서 계약서 등을 종이문서로 요구하기때문에 아직 활성화가 못되고 있는것 입니다.
        요구는 충분히 있습니다. 법적근거를 기다리는거죠..

        단지 편파적인 생각을 조금이나마 정리할려는 목적이였는데. 더 편파적으로 만든건 아닌지 걱정이네요..

        긴글 읽어주셔서 감사합니다.

    • Guest

      설마 브라우저에서 보낼때의 플러그인도 현재 은행권 처럼 ActiveX 3종 세트를 설치해야 하는지요? 아마 국내 “공인인증서” 기반이라고 설명되어있어서 그럴거 같은데 이제 메일 보낼때도 국내 보안프로그램으로 PC가 도배가 되나요?

  • 이정민

    공인인증 어쩌고 하면서 #메일 나올 때부터 공인인증서 재탕인 줄 알았다니까요. 정부 주도 #메일 추진 중인 관계자 여러분~ 할일 없으면 발 닦고 주무셨으면 좋겠습니다.

  • Pingback: “샵 메일” 유감… | Open Web

  • http://nadrii.blogspot.com baksimgorkii

    샵인지 삽인지 그 비스무리한 삽질은 설마 아니겠죠?

  • http://www.facebook.com/jseo.dankrevew JSeo Dankrevew

    이걸 진짜 한다면
    외국에는 어떻게 메일을 보낼까요
    외국에선 잘 안쓸텐데

  • Hello.Diver

    공인전자주소? 나참. 그냥 “전자 등기 시스템” 아닐까요!!

    흔히들 #메일은 @메일에서 @대신에 #이 들어간 것으로 오판을 합니다.

    결과를 먼저 말한다면, 기존 @메일과는 완전 다른 변종입니다.

    이름에 “메일”이라는 단어를 붙히는 것이 무색할 정도까지 합니다.

    좀 쉽게 “#메일”을 표현하면, HTTPS+SOAP+ebXML+XMLDISG+공인인증서(PKI)+사용자식별ID를 짬뽕해 놓은 것이라 말할 수 있습니다.

    기존 메일 시스템이 SMTP라는 Standard Spec에 의해서 전세계 공통으로 사용되고 있는것이라면,

    #메일은 애초에 사용자 식별을 위해서 공인인증서라는 놈이 끼어들어감으로써,

    전세계 Standard하게 사용할 기술이 절대 못된다는 구조적인 한계가 있습니다.

    (참고로, 전세계에서 사용자 식별을 위해서 공인인증서를 사용하는 나라는 우리나라 뿐입니다.)

    게다가, 송수신이 Socket 통신이 아닌, Web기반의 HTTP Protocol위에 SOAP+ebXML 등을 짬뽕해

    놓고 그기다, 전자서명, Xmldisg 등을 마구 mix해 놓은 한마디로 개나 줘버려라는 말이 절로 나올 정도로 꼬아 놓은 Spec을

    규격이라고 만들어 놓았습니다.

    상상해 보십시오, 수십 메가바이트 짜리의 파일을 웹기반으로 보내는 경우와 소켓통신으로 보내는 경우 어떤것이 더 효율적인지..

    제발 #메일에 “메일”이라는 단어를 사용하지 말것을 바랍니다.

    그냥, “전자 등기 시스템”이 더 어울릴것입니다.

    (우리가 우체국에서 등기를 보내고 집에서 등기를 받을때, 공인인증서가 필요한 것인가?

    등기를 대신 누군가가 보내줄 수도 있고, 집에 있는 누군가가 대신 받아 줄 수도 있습니다.

    그런데, 지금 만들어 놓은 이 시스템은 대체 뭡니까?

    제 3자가 송수신 증빙을 한다고 하는데 그게 왜 필요한가요?

    송신 및 수신에 대한 증빙은 현재로도 얼마든지 가능합니다. )

    통상적으로 사용하는 Email과 비슷한 구석이라고는 한개도 없는,

    그저, HTTS와 공인인증서의 Private Key, Public Key로 장난질 해놓은 시스템일 뿐입니다.

    이 말도 안되는 시스템이 정착되면 아래와 같은 기관 및 기업들이 더욱 배를 불리게 됩니다.

    1. 공인 인증서 발급 기관

    2. HTTPS, SSL 인증서 발급 기관

    3. NIPA (정보통신산업진흥원)

    결국, 갈라파고스화 된 이러한 기술은 언젠가는 자연도태 될 수밖에 없을 것이고,

    이로인해, 결국 더 많은 시스템적 후퇴를 가져올 날이 분명 올것입니다.

    만약, #메일을 주관하는 “지경부”에 정신머리가 있는 사람이 한명이라도 있다면,

    지금이라도,

    Standard SMTP Spec에 Enhanced Function을 추가하는 수준에서 정리하여,

    Global Spec으로도 키울수 있는 탈 갈라파고스화를 생각해 봐야 할것입니다.

    아니면, 여러 사람들 혼란스럽게 “공인 전자주소”, “#메일” 등의 용어는 사용하지 말고,

    그냥 “전자 등기 시스템”이라고 부르는게 혼란을 막을 최선일 것입니다.

    왜 이 시스템이 “#메일”, “공인전자주소”로 불리워야 되는지 정말 의문 입니다.

«

»