정책 제안

2007.02.12 글쓴이 youknowit

2006.7.3. http://korea.gnu.org/openweb/1/Policy.html 에 게시됨

1. 공인 인증서

(1) 특정 운영체제(OS)와 특정 웹브라우저를 사용하는 자에게만 공인인증 역무를 제공하는 현 상황은 관련 법규정에 정면으로 어긋나는 위법 상황이므로, 즉각적인 시정이 필요하다. 이를 위하여 다음 조치를 제안한다.

  • 전자서명법 제11조는, 공인인증기관이 “인증역무의 제공을 거부하거나 가입자 또는 인증역무 이용자를 부당하게 차별한 경우”에 정통부 장관은 “기간을 정하여 시정조치를 명할 수 있다”고 되어 있고; 제12조는 인증기관이 이러한 “시정명령을 정당한 사유없이 이행하지 아니한 경우”, 정통부 장관은 “인증업무의 전부 또는 일부의 정지를 명하거나 지정을 취소할 수 있다”고 규정되어 있다.
  • 정통부 장관은 관련 법규가 부여하는 이러한 정당한 감독권한을 행사할 권한과 책무가 있으므로, 위 조항들에 규정된 시정조치 명령권을 즉각 발동하여 6개 공인인증기관이 각 6개월 내에 인증역무제공에 부당한 차별이 없도록 하는데 필요한 조치를 완료할 것을 명하여야 한다.

국내의 주요 보안 업체들은 OS와 브라우저에 구애 받지 않고 X.509 포맷에 따른 인증서를 전자서명법 관련 법규에 맞게 처리하는데 필요한 솔루션을 각자 이미 개발 완료해 둔 상황이므로, 6개월의 유예기간은 결코 비현실적이지 않다. 기존 인증업체 중, 이 기한을 못지키는 업체는 인증지정을 취소한다. 적법한 솔루션을 구비한 새로운 인증업체가 인증시장에 진입할 유인(incentive)과 가능성은 충분하다.

(2) 그러나, 각 인증업체가 그나름의 솔루션을 사용하는 이러한 해법이 장기적으로 바람직한지에 대하여는 정책적 논의가 필요한 바, 정통부는 2006.12.31.까지 적절한 장기적 시책을 확정하여 공표하여야 한다. 이를 위하여는 아래 나열된 각종 기술적 대안들을 검토하고 관련 전문가의 독립적 자문을 구한다.

  • 브라우저 플러그인
  • 서명된 자바 애플렛 (Java signed applet)
  • 주요 브라우저에 이미 탑재된 https 프로토콜을 인증서처리 과정 중 일부에 이용하는 방식[1]
  • 인증서처리 응용프로그램을 위한 표준 API나 인증서처리 표준 프로토콜을 확정하고 나머지는 각 개발자에게 맡기는 방식[2]
  • 인증서 처리 응용프로그램의 경량화 방안(모바일 디바이스 등 새로운 환경을 고려하여, 처리 과정의 상당부분을 서버로 이전)[3]
  • PKI 에 대한 장기적, 전략적 고려로써, Trusted Key Server 가 인증서 처리의 상당부분을 수행하도록 하거나, 이용자와 Trusted Third Party가 공동으로 인증프로세스를 수행하도록 하는 방법[4]
  • PKI와는 다른 대안들(alternatives)에 대한 연구

[1] 단, http://security.polito.it/doc/pub/EuroPKI2004.pdf, pp. 7-8 참조.
[2] http://www.ebics-zka.de/english/ (은행 간 혹은 법인 클라이언트를 위한(B2B) 표준); http://openhbci.sourceforge.net/; http://www.aquamaniac.de/aqbanking/ (HBCI를 구현한 라이브러리 및 응용프로그램 리소스); http://openlook.org/blog/1084 등 참조.
[3]Carlisle Adams and Mike Just, ‘PKI: Ten Years Later’, http://thefdp.org/FDP_Jan05_eRA.pdf, p. 30.
[4]John Linn and Mark Branchaud, ‘An Examination of Asserted PKI Issues and Proposed Alternatives’, http://thefdp.org/FDP_Jan05_eRA.pdf, pp. 40-43.

2. 공공 웹사이트 위법성 시정

공공 웹사이트와 사설 웹사이트는 구별하여 대처할 필요가 있다. 그리고 웹사이트를 통하여 이루어지는 위법 부당한 차별을 시정하는 문제와 웹사이트 표준화를 일반적으로 권장하는 문제도 각각 별도의 접근이 필요하다. 이 항목은 공공 웹사이트를 통하여 이루어지는 위법한 차별을 즉시 시정하는데 필요한 제안을 담고 있다. 사설 웹사이트에 관한 정책 제안은 아래 제3항, 웹사이트 표준화 일반에 관한 정책 제안은 아래 제4항 참조.

온라인으로 이루어지는 민원신청, 등기부 등 초본 신청, 세무 처리, 조달 관련 경매 및 입찰 참여 등 공공 서비스와 공공 정보 제공이 특정 OS와 특정 브라우저를 사용하는 자에게만 부여되도록 해두는 것은 정보화 촉진 기본법, 정보격차 해소에 관한 법률, 전자서명법, 독점규제 및 공정거래에 관한 법률에 위반 됨은 물론, 헌법상 기본권을 부당하게 침해하고, 한국 정부가 국제 조약상 부담하는 의무에 반한다. 이러한 위법 상황을 즉시 교정하기 위하여 다음과 같이 제안 한다.

  • 각 공공 기관들로 하여금 그가 관리, 운영하는 웹사이트의 개편 일정과 개편 계획을 제출하도록 하여, 그 내용의 적절성을 심사하고 필요한 수정을 거쳐 정통부가 이를 확정한다.
  • 각 기관들이 자신의 웹사이트 개편을 위한 사업제안 요청서(RFP)를 준비함에 있어 참고할 수 있도록 적절한 수와 유형의 Model RFP를 한국정보문화진흥원과 협의하여 한국소프트웨어진흥원이 마련하여 제공한다.
  • 웹사이트 개편을 위한 각 기관과 업체 간의 계약 체결은 기존의 정부 조달 계약에 관한 절차에 따라 이루어지도록 하되(공개경쟁 입찰 또는 수의계약), 그 계약서의 사본을 정통부에 제출하도록 하여 사후적 모니터링과 장래 정책마련에 필요한 자료로 삼는다.
  • 개편 완료된 웹사이트의 점검 및 검수가 전문성과 독립성을 가지고 이루어질 수 있도록 한국소프트웨어진흥원, 한국전산원 또는 그가 인증하는 검증업체가 이를 수행 한다.

위에 제안된 절차는 공공 기관이 장차 웹페이지를 신규로 마련할 경우에도 그대로 적용되어야 한다(단, 위 언급된 첫째 항목은 제외). 보다 자세한 설명은 http://korea.gnu.org/openweb/1/RFP.htmlhttp://openweb.or.kr/?page_id=90 참조.

3. 사설(私設) 웹사이트 문제

사설 웹사이트는 원칙적으로 각 개별 주체의 자율적 판단과 선택에 맡겨져야 한다. 그러나, 그 웹사이트가 정보나 서비스를 제공함에 있어 이용자에게 공인인증서 제시를 요구하는 경우에는 다른 고려가 필요하다. 이 경우, 사적 주체가 공공 서비스(공인인증역무)를 자신의 서비스에 일체화시켜 제공하는 것이므로, 그 웹사이트가 특정 OS나 특정 브라우저 이용자를 부당하게 차별하는 것은 위법하다. 따라서 정보나 서비스를 제공함에 있어 공인인증서를 요구하고자 하는 사설 웹사이트는 공공 웹사이트에 버금가는 기준을 준수하여야 한다. 필요한 웹사이트 개편을 구체적으로 어떻게 실행할지는 개별 주체가 판단할 문제이지만, 위 제2항에 설명된 절차 중 “점검 및 검수에 관한 사항”은 의무화 되어야 한다. 이러한 웹사이트 개편을 원하지 않는 사적 주체는 이용자에게 공인인증서를 어느 단계에서도 요구하지 않으면 된다.

점검과 검수 과정에서는 RFP와 계약서에 규정된 규격들이 준수되었는지에 대한 확인과 함께, 개인 정보 보호에 각별한 주의를 기울일 필요가 있다. 특히, 공인인증서를 요구하고서도 또다시 주민등록번호, 주소 등의 신상정보를 수집하는 사설 또는 공공 웹사이트가 근절되어야 한다. (단, 물품 배송용도의 주소 수집은 예외)

4. 인터넷 문서 ‘기술 표준’ 제정

원칙적으로, 중앙정부나 지방정부가 기술 표준(Technical Standard)을 채택하여야 할 적극적 의무(positive duty)는 없다. 그러나 웹페이지 제작과 관련된 국내의 특수한 사정은 마치 특정한 기술 표준이 채택되어 강력히 권장되는 것과 그 결과에 있어서는 다를 바 없다. 그 기술의 내용이 특정 제품의 판매에만 유리하고, 경쟁 제품의 판매 및 시장진입을 합리적 이유 없이 부당하게 방해하고 있으므로, 이런 예외적인 경우에 한하여 정부는 독점 규제와 경쟁 촉진이라는 정당한 정책 목표를 달성하기 위하여 “국제표준에 기초한 기술표준”을 채택할 적극적 의무가 있다고 본다. 경쟁과 무역을 현저히 저해하는 기술환경을 의도적으로 방치하는 것은 국내법 및 국제 조약상 우리 정부가 부담하는 의무에 비추어 볼 때 정당화되기 어렵다.

백보를 양보하여, 기술 표준을 채택할 “의무는 없다”할지라도, 국제표준에 기초한 기술표준을 자진 채택하여 경쟁과 무역의 장애를 제거하는 것이 WTO 나 무역에 대한 기술장벽에 관한 협정(TBT Agreement) 등 국제조약과, 경쟁촉진에 관한 국내법에 비추어 보더라도 타당하고 정당한 것이라는 점은 의문이 없다. 기술 표준을 채택할 “의무가 없다”는 것과 “채택해서는 안된다”는 것은 분명히 다르다. 이 분야에 대한 기술 표준을 채택함에 있어서 우리 정부가 WTO 체제 하에서 누리는 운신의 폭(margin of appreciation)은 매우 넉넉하다. 따라서 다음과 같이 제안한다.

  • 국내에 통용될 인터넷 문서 기술표준(Korean Web Standard)을 제정, 운용할 주체를 정부 기관으로 할지 비정부 기관으로 할지를 검토하여 적절한 선택을 한다.
  • 비정부 기관(예를 들어 W3C 한국 사무국)이 기술표준의 제정 및 실시를 담당하는 경우, 정부는 TBT Agreement 의 관련 규정에 따라 국제적인 표준화 기구(W3C)가 마련해 둔 표준들을 기초로 하여 국내에 통용되는 기술표준이 제정되도록 하는데 필요한 적절한 지원을 한다 (국제 표준의 번역 작업, 한국화 작업 및 국제 표준 기구의 활동에 한국 사무국이 적극 참여하고 기여하는데 필요한 지원;TBT Agreement, Art. 4.1; Annex 3. F, G 참조)
  • 기술표준 인증제도(Conformity Assessment Procedures)를 마련한다.

5. 국내 기술환경 개선

마이크로소프트(MS)사는 그동안 많은 비용과 노력을 체계적으로 투자하여 국내 웹페이지 제작 기술인력 양성에 크게 공헌하였다. 비록 그 기술교육의 내용이 자사 제품의 판매 확산을 위하여 주도면밀하게 계산 된 것이기는 하나, 이러한 노력은 비난(condemnation)의 대상이 아니라 모방(emulation)의 전범(典範)이 되어야 한다. 전산산업 육성 및 정보화 촉진에 관한 여러 법규가 마련한 재원과 인력은 진작에 MS사의 선도적 교육 노력을 본 받아 체계적인 기술인력 양성과 교육에 과감하게 투입되었어야 했다. 때늦은 감이 없지 않으나 이제부터라도 정부는 이 분야에 역점을 두고 사업을 추진해야 한다.

기술 교육에 대한 정부의 투자와 지원은 어떠한 편파성 시비나, 무역장벽에 관한 시비거리로 될 이유가 없다. 정부가 특정 업체에게 유리하거나 불리한 내용의 기술교육을 지원한다면 문제가 되겠으나, 국제 표준에 철저히 입각한 웹페이지 제작 기술교육은 어느 특정 회사에 유리하거나 불리한 것이 아니다. 오히려 공평한 경쟁과 자유로운 무역을 촉진하는 매우 정당하고 바람직한 교육 사업일 뿐이다. 따라서 다음과 같이 제안한다.

  • 웹페이지 제작 기술 교육의 진흥을 위한 구체적이고 실효성 있는 계획을 정통부가 수립 한다.
  • 국제 표준을 소개하고 설명하는 해외 각종 도서 번역출판 사업과 국내 전문가의 저술 활동을 지원한다.
  • 기존의 기술 인력에 대한 재 교육 프로그램을 마련하여 실시한다.
  • 국제 표준을 준수한 웹페이지 제작 방법에 관한 정보자료실(Online Knowledge Base)을 구축한다.

6. 한글 글꼴 개발

인터넷 콘텐츠의 기술적 편파성이 교정되면, 일반 이용자는 자유로운 판단으로 웹브라우저와 운영체제를 선택할 수 있게 된다. 그러나 상용 운영체제와 공개소스 운영체제가 공평하게 경쟁하기 위해서는 한글 글꼴(font) 문제가 해결되어야 한다.

일반 소비자(99.99%의 이용자)가 제품을 선택할 때, 거의 유일한 판단기준은 화면이 어느 정도 아름답게, 문서가 어느 정도 또렷하게, 글자체가 어느 정도 선명하게 화면에 그려지느냐이다. 그 속에 어떤 프로그램이 어떻게 돌아가는지는 알 수도, 알 필요도 없다. 리눅스 PC의 국내 보급에 치명적인 약점은 만족스러운 글자체가 없다는 것이다.

각종 공개소스 프로그램은 전세계의 개발자가 끊임없이 개발, 개선하고 있다. 그러나, 한글 “글꼴”을 한국의 개발자가 자원봉사, 공개소스의 형태로 개발하기에는 비용과 노력이 너무 든다. 외국 개발자가 한글 글꼴을 개발할 이유는 당연히 없다. 이 부분이 바로 정부가 투자하고 지원해야 하는 부분이다.

우리말 글꼴은 우리의 문화유산이기도 하다. 업체들의 다양한 개발도 중요하지만, 그보다 훨씬 미려한 글꼴, 후세에 자랑할 만한 탁월한 수준의 “기본 글꼴 몇 가지”를 우리 국민, 그리고 한글을 사용하는 온 세상 모든 사람을 위해서 제공하는 것은 대한민국 정부의 책임이기도 하다. 정부가 지원하여 개발한 글꼴들은 LGPL의 조건으로 제공되어야 한다. 공개소스 프로그램이든, 상용 프로그램이든, 누구든지 이 글꼴들을 무료로 사용할 수 있게 되므로, 상용 OS와 공개소스 OS 간에 진정으로 공정한 경쟁이 가능하게 된다.

글자체 문제는 결코 사소한 것이 아니다. OS 마케팅의 알파요 오메가이다.

7. 독립적 점검 및 모니터링

이상 여러 과제들이 과연 적절하고 효율적으로 추진되고 실현되는지를 감시할 독립적인 모니터링 메카니즘이 적어도 향후 5년의 한시적 기간 동안은 필요하다. 모니터링은 정부와 관련 업계로부터의 독립성을 확보할 수 있는 주체가 수행한다. 모니터링 주체의 구성 및 활동 방법에 대하여 정부는 개입하지 아니한다. 모니터링은 제도적 강제수단이 아니라 대상 기관의 자발적 협조와 공공기관의 정보공개에 관한 법률에 따라 국민이면 누구나 가지는 정보 접근권을 이용하여 이루어지므로, 자생적 민간 운동(civic movement)의 형태를 띠게 된다. 어떠한 명목의 정부 산하 “위원회”도 구성될 필요가 없고, 어떠한 새로운 법률 제정도 필요 없다.

자신의 소중한 시간과 노력을 자발적으로 투입해서 이일에 나설 정도의 관심과 열의가 없는 자에게 무슨 감투를 씌워 등을 떠민다고 해서 제대로 된 점검이 이루어질리 없다. 이른바 “계선 조직”의 약점을 보완한다는 명목으로 무슨 “위원회”를 설립해 본들 우리의 문화적 습성상 진정한 “독립성”이 확보될 여지도 없음을 솔직히 인정해야 한다. 이른바 국가정보화 정책에 관한 최고심의기구라는 정보화추진위원회 홈페이지에 안내되어 있는 “위원회 소개”를 보면, 우리나라의 전산 정보 체계가 이지경이 된 것이 무슨 “위원회”가 모자라서 그런 것은 아니라는 것을 금방 알 수 있을 것이다.

그러나, 어느 누구도 임명권을 가지지 아니하는 완벽한 수평적 구조로 과연 일이 진행되거나 이루어질 수 있을까? 어느 단계에서, 누군가는 결정권이나, 임명권, 감독권을 가져야 하지 않을까? 하지만 인터넷은 이러한 종래 우리 상상력의 paradigm 자체를 바꾸는 것을 가능하게 한다. 투명성, 공개성, 그리고 정보의 거의 무한한 전파 가능성(접근성)을 제공해주는 매체적 기반위에서는 권위나 직위가 아니라 내용(merit)으로, 그리고 상식과 논리로 승부하는 것이 가능하게 된다. (감독권이 있는 구조로 일을 추진한다고 해서 제대로 된 결과가 나온다는 보장이 없다는 것은 현재의 전산환경 자체가 웅변적으로 보여주고 있다. 정통부 장관에게 감독권한이 없거나 부족했던 것이 아님을 기억할 필요가 있다.) 모니터링 과정이 어떤 절차로 진행되는 것이 합리적일지에 대한 상세한 제안은 별도로 제시할 예정이다.

모니터링을 수행한 자는 위에 언급된 각 부문 별로 4 ~ 6개월 간격으로 보고서를 작성하여 공표한다. 모니터링 보고서는 다음과 같은 내용을 담는다:

  • 모니터링을 담당한 자의 상세한 이력서, 자기 소개서 및 독립성 소명서
  • 모니터링 분야, 방법, 기간 및 대상 기관
  • 모니터링 대상 기관들이 모니터링에 협조하거나 필요한 정보를 제공한 정도
  • 대상 기관이 수립한 업무 추진 계획의 타당성, 실효성 및 실천 정도.
  • 개선 및 시정이 요망되는 사항에 대한 자세한 설명

모니터링을 수행한 자는 정부로부터 어떠한 보상이나 어떤 명목의 금전도 지급 받지 않는다. 정부는 모니터링 보고서를 중앙 일간지 5 곳에 [사이즈] 이상 크기의 공익광고 형태로 게재하는데 필요한 비용을 정보화 촉진 기금으로부터 마련하여 제공한다.