제안/건의

2009.04.08 글쓴이 youknowit

소프트웨어 산업 진흥을 위한 제언

“IT 강국”이라는 허상에 가려온 소프트웨어 산업의 낙후된 실상을 정부가 이제 인식하기 시작했다는 점은 다행스러운 일입니다. 그동안 국내 소프트웨어 산업에 치명타를 가해 온 원인이 무엇이었는지를 생각해 보면, 해법도 자연스럽게 발견될 것입니다. 가장 중요한 화두는 “소프트웨어 생태계” 입니다. 지금까지 국내 소프트웨어 생태계를 파괴한 주범이 누구인지를 살펴 볼 필요가 있습니다.

금융감독원

얼핏들으면 잘 납득이 가지 않을지 모르지만, 가장 큰 책임은 금융감독원에 있습니다. 전자금융거래는 인터넷 기반의 모든 거래의 핵심에 있습니다. 콘텐츠가 되었건, 서비스가 되었건 결국에는 지급(payment)이 이루어지지 않으면 산업도, 사업도 불가능합니다. 금감원은 (전임자 시절에) 두가지 정책 오류를 범했습니다.

  • 전자서명법에도 없고, 전자금융거래법에도 없는 ‘공인인증서 사용을 강제하는 규정’을 금융감독원이 만들었습니다(전자금융감독규정 제7조) .
  • 세계 어느 규제 당국도 채택하지 않는 ‘보안프로그램(플러그인) 설치를 강제하는 규정’을 금융감독원이 만들었습니다(감독규정 시행세칙 제29조).

이 두가지 정책 오류는 전문지식이 없는 공무원이 업계 관계자들의 금전적 이해관계가 무엇인지도 깨닫지 못한채, 이른바 ‘보안 마케팅’에 넘어간 대표적 사례입니다(그 내막을 알면서도 이런 규정을 일부러 도입했다고 볼 수는 차마 없겠지요).

중립적 기술 전문가들은 현행 공인인증서가 실은 보안에 별 도움이 되지도 않으며, 보안프로그램이라는 것들은 별 쓸모도 없는 것이라는 점을 오래 전부터 지적해왔습니다. 최근 영국 옥스포드 대학교 컴퓨터 랩에서 발표된 학술논문에서도 이점은 분명히 설명되어 있습니다.

상식적으로도, 공인인증서가 그렇게 신통한 것이었다면 보안카드를 부랴부랴 추가로 도입할 이유도 없었겠지요. 현행(한국식) 공인인증서가 실제로는 공격을 막아내지 못하기 때문에 보안카드를 추가로 도입한 것입니다. 이 사실을 금감원은 아직도 이해하지 못하고 있습니다(알면서도 업계와 결탁하여 이러고 있다고 보기는 어렵겠지요).

행정안전부

공인인증제도를 감독하는 행정안전부(과거에는 정보통신부)의 책임도 큽니다. 세계 어디에서도 채택하지 않는 괴상한 방법으로 공인인증서를 저장하도록 해둔 기술규격을 KISA가 만들어두고 있는 사태를 방치해 왔습니다. 물론, 인증서 저장위치를 이렇게 해 두면 어떤 결과가 생기는지를 공무원이 전혀 이해하지 못하기 때문에 이런 일이 벌어진 것입니다.

개인인증서를 이렇게 괴상한 위치에 저장하도록 기술규격을 정해두면, 그것을 이용하려면 반드시 별도의 플러그인이 필요하게 됩니다. 플러그인(클라이언트는 물론 서버 플러그인) 장사를 하려는 업체의 이해관계 때문에 이런 위험하고 기술적으로 납득하기 어려운 ‘규격’이 만들어졌다는 사실을 이해할 필요가 있습니다.

물론 금융감독원이 공인인증서 사용을 강제하는 규정을 만들지 않았다면, 공인인증 기술규격이 괴상하게 되어있어도 파괴력은 그리 크지 않았을 것입니다. 그러나, KISA를 통하여 기술규격을 왜곡해 둔 업체들은 금감원을 통하여 공인인증서 사용을 ‘강제’하는 규정까지 도입함으로써, 자신들의 사업기반을 확보하고 지난 10년간 한국의 인터넷/소프트웨어 환경을 지배한 것입니다.

침체와 정체의 구조

규제 당국의 이 두가지 오류(인증서 기술규격 왜곡 + 인증서 사용 강제)는 한국의 소프트웨어 생태계를 완전히 파괴하였습니다. MS IE일색으로 형성된 환경에서 플러그인 일색으로 서비스를 설계하는 기술 관행이 뿌리를 내리게 되는데, 이것은 다음과 같은 결과를 낳았습니다.

  • 국내 시장이 세계로부터 철저히 고립됩니다. 세계의 기술 트렌드를 알 필요도 없고, 알지도 못합니다. 혼자서 담을 치고 “세계 최초”, “IT 강국” 잠꼬대만을 계속하게 됩니다.
  • 경쟁이 저하됩니다. 외국 업체가 한국에 진입하지 못하는 것은 물론이고, 국내 업체들도 보다 선진적인 다양한 거래 기술을 아예 구사할 수도 없게 만들기 때문입니다. 공인인증서를 반드시 써라, 보안프로그램을 반드시 설치하라는 “규제”의 틀 때문에 그 외의 기술은 아예 시장에 등장할 수도 없습니다.
  • 표준적이고 국제경쟁력이 있는 기술을 가진 업체는 아예 국내에 발을 붙이지도 못하고, 10년도 넘은 플러그인 기술로 기존 시장을 장악한 일부 업체들의 카르텔이 규제 체제를 등에 업고 발호하게 됩니다. 이들 업체는 언론을 동원하여 끝없는 ‘보안 마케팅’을 벌이면서, 아무데도 떳떳히 내놓을 수 없는 수준의 기술로 국내에서만 영업하고 있습니다.

소프트웨어 산업 진흥은 정부가 무턱대고 예산을 쏟아붙는다고 되는 일이 아닙니다. 경쟁을 억압하고 특정 업체들의 카르텔을 공공연히 ‘강제’하는 터무니 없는 규제부터 철폐해야 합니다.

전자금융사고가 발생하면 가장 먼저 손해를 보는 곳은 금융기관 자신입니다. 안전한 해법을 찾으려는 incentive를 가장 강하게 가지고 있는 곳은 보안업체가 아니라 금융기관 자신인데, 어째서 보안업체를 위한 강제 규정을 고집하십니까? 보안업체는 바이러스가 창궐할수록 주가가 높아지는 곳입니다. 더 나은 보안 해법을 선택하는 길을 이렇게 막무가내로 막으려는 이유가 무엇입니까? 공인인증서+보안플러그인이 지구상에서 가장 좋은 해법이라면 강제하지 않아도 자발적으로 채택합니다.

강제 규정이 없으면 아무도 사가지 않을 수준의 저열한 솔루션을 계속 팔아보려는 업체들이 가장 원하는 것이 강제 규정입니다.

해법과 개선책

모든 전자거래의 전제를 이루는 전자금융거래에서 물꼬가 터지지 않으면, 한국 소프트웨어 산업은 장래가 없습니다. 특정 기술이나 특정 제품 구입을 강제하는 현행 규정이 폐지되면, 업체간의 공정한 경쟁이 가능하게 되고 소비자들의 소프트웨어 선택이 자유롭게 됩니다. 이를 통하여 국내의 소프트웨어 생태계가 회복 될 수 있습니다.

참신하고 창의적이며, 세계 시장에 어필할 수 있는 소프트웨어는 한국처럼 모든 사람이 MS IE 를 사용하면서 보안경고창에 계속 “예”를 눌러대는 환경에서는 결코 나올 수 없습니다. 개발자는 슈퍼맨이 아닙니다. 자신이 사용하고, 자기 주위의 여러사람이 사용하는 “이용환경”에 기초해서 아이디어가 나오는 것입니다. 그 이용환경 자체가 엉망진창으로 왜곡되어 있는 나라에서 무슨 참신한 아이디어가 나올 수 있겠습니까?

소프트웨어 진흥의 비결은

  • 특정 기술을 “강제”하는 규정을 철폐하고
  • 소프트웨어 쇄국 주의를 중단하고, 개방, 경쟁, 표준(호환성) 준수를 독려하고
  • 고질적 하도급 체계를 조장하는 대형 업체(SI업체) 중심의 입찰 응모 자격 제도를 개선하고
  • 다양한 이용환경에서 다양한 주체들에 의하여 다양한 시도가 경쟁적으로 이루어질 수 있도록 보장하는 것입니다.

소프트웨어 진흥을 “강제”로 할 수는 없습니다.

지난 10년간 강제해 왔던 공인인증서 인프라를 무너뜨리라는 것이 아닙니다. “강제”하지 말라는 것입니다. 그것이 좋다고 생각하는 사업자는 채택을 하고, 그것이 필요 없다고 판단하는 사업자는 보다 나은 다른 해법을 선택할 수 있는 “자유”를 허락하라는 것입니다.

“자유”가 없이 기발한 소프트웨어가 개발될 수는 없습니다.

*******
[참고]

One Pingback/Trackback