프레시안: 결국엔 공인인증 제도 역시 한국이 온라인에서 갈라파고스가 된 원인을 제공했다고 보인다. 현재는 이에 대한 문제 제기가 어느 정도 받아들여지고 있는 듯하다. 한편으로 이러한 비판에 대한 반론도 나온다. 보안 업체 입장에서는 자신들이 정부 정책에 따라 움직일 수밖에 없어서, 비판받는 게 부당하다고 생각할 수 있다.
김기창: 그렇다면 한국에서 보안 전문가는 누가 되어야 하는가. 그러한 주장에 따르면 보안 업체 자신도 보안 전문가가 아니라는 말이 된다. 그것이 사실 현실이기도 하다. 자신을 보안 전문가 집단으로 규정하지 않고 규제 당국이 지시하는 대로 따르는, 금융 기관이 요구하는 대로만 프로그램을 공급하는 납품 업체라고 항변한다면 보안 업체라는 간판을 떼야 한다.
프레시안: 공인인증 제도로 일원화되고 이를 강제했기 때문에 전자상거래가 빠르게 성장할 수 있다는 주장도 있다.
김기창: 반대로 공인인증서가 없었다면 얼마나 더 편리하게 전자거래를 이용하고, 얼마나 많은 가능성이 열렸겠나. 그런 주장은 말이 안 되는 궤변이다. 안전한 기술이었으면 왜 강제를 했겠나. 안전한 기술이 있는데 일부러 허술한 기술을 썼겠나. 은행이 바보인가. 안전하니까 강제한다는 궤변이 13년 동안 이어져 왔다. 안전하다면 전 세계로 공인인증 기술이 팔려나갔을 것이다. OTP 기술이 왜 한국에 들어왔나, OTP를 개발한 미국도 이를 강제하지 않는다. 한국도 OTP 기술을 강제하지 않는다. 그렇지만 들어와서 사용되고 있다. 안전한 기술은 전 세계로 퍼져 나간다.
우리의 공인인증 기술을 카메룬 등이 산다고 한다. 한국이 한국국제협력단(KOICA)을 통해 현지 정부를 지원하면, 다시 국내 기업이 현지에서 (공인인증 사업을) 수주해 시스템을 구축한다는 것이다. 이 기술이 그렇게 안전하다면 프랑스, 영국, 미국 시장에 진출하는 모습도 보고 싶다. 이제는 솔직해졌으면 한다. 전 세계에 공인인증서 없이 벌어지는 전자상거래의 규모를 생각해보라. 우리가 IT 강국이라고 자찬하는 것은 손바닥으로 하늘을 가리는 주장이다. 전 세계 전자상거래 규모에 비하면 우리 시장은 새 발의 피다. 해외에서 공인인증서 없이 거래해도 크게 문제 되는 곳이 있었나.
프레시안: 13년 동안 이미 익숙해진 기술이기 때문에 적응하기 쉽지 않다는 주장도 있다.
김기창: 국가 차원에서 구축한 인프라라서 바꾸기엔 비용이 많이 든다고 한다. 하지만 개선하는 방법은 너무나 간단하다. 공인인증을 강제하지만 않으면 된다. 특정 보안 기술을 쓰라고 강요하지만 않으면 어떤 금융 기관은 공인인증서를 쓰지 않고 OPT로만 거래할 수도 있다. 국내에 알려지지 않은 다른 보안 기술을 동원해 거래하는 금융 기관도 나올 것이다. 대체 보안 기술을 도입하고 싶어 하는 금융 기관도 이미 있다.
그 은행과 거래하는 고객이 불편과 혼란을 겪을까. 어느 은행을 선택해 거래를 하는데, 공인인증서를 쓰지 않아도 된다고 하는 게 불편을 초래하나. 반대로 공인인증서를 유지하는 은행으로 거래한다면, 지금까지 쓰던 대로 사용하면 되는 것 아닌가.
프레시안: 그렇게 된다면 금융사나 쇼핑몰에서는 결제 방식, 보안 방식을 하나의 마케팅으로 활용할 수도 있겠다.
김기창: 당연하다. 그 가능성을 정부가 지금까지 막은 것이다. 은행·카드사들도 이 체제를 고통스럽게 생각하지 않는다. 치고 나가는 업체가 없는 구조를 만들었기 때문이다. 그 나물이 그 밥인 셈이다. 하던 대로만 하면 된다. 그런 시장을 만드는 게 정부가 할 일인가.
현재 은행·카드사들이 안이하게 영업하고, 그렇게 하는 다른 중요한 이유는 정부가 공인인증 기술을 안전하다고 계속 선전하기 때문이다. 정부가 안전하다고 선전하니 (개인정보 유출 관련 사건을 다루는) 판사도 헛갈린다. 정부가 안전하다는 공인인증 제도를 기업이 쓰다가 사고가 났는데, 아무래도 고객의 부주의로 인한 잘못일 가능성이 높다고 판단하는 것이다. 정부 정책 때문에 소비자에게 피해가 가는 것이다. 또한 우리의 보안 수준이 계속 낮아지게 만든다. 기업에 보안 사고에 따른 책임이 사라지면 보안에 투자할 이유가 없어진다. 그러다 보니 한국에는 온갖 괴상망측한 방향으로 법이 바뀌려고 한다. 기업이 보안 부문에 최소 얼마 이상을 쓰게 규정으로 강제하려는 움직임도 있다. 투자를 안 하는 것만 생각하지 투자를 왜 안 하게 되는지는 생각하지 않고, 그래서 법을 동원해서 강제한다는 논리는 전 세계에 유례없는 발상이다. 어떤 나라의 법도 회사 총 예산의 몇 퍼센트를 어느 부문에 투자하라고 강제하지 않는다.
ⓒ프레시안(최형락)
공인인증서 강요 없는 세상을 상상하자
프레시안: 국내 전자상거래에만 익숙했던 소비자들이 새로운 경험을 한 것은 스마트폰이 보급되면서부터가 아닌가 싶다. 애플이나 구글의 애플리케이션(앱)을 구매하려면 카드 정보를 입력해야 하는데, 별도의 공인인증을 요구하지 않는다. 애플이나 구글처럼 전 세계의 소비자를 상대로 결제 서비스를 하는데 공인인증서를 요구하지 않는 것은, 공인인증 이외의 기술이 안전하다는 게 입증됐기 때문 아닐까?
김기창: 그래서 정부가 이제 특정 보안 기술을 선전하지 말았으면 좋겠다는 것이다. 쉽게 생각할 문제가 아니다. 피해자들의 보상 문제가 걸려 있는 첨예한 시기에 정부가 한쪽 편을 드는 것은 부도덕하다. 또 하나는 금융 기관들이 좀 더 활발하게 더 안전한 기술을 사용할 수 있게 됐다고 해보자. 국내 IT 인프라를 바탕으로 다양한 서비스를 선보이면서 전 세계를 상대로 대박을 꿈꾸는 국내 스타트업(신규벤처 업체)들이 진정으로 장사를 할 수 있게 된다. 한국 IT의 활력은 여기서 생긴다. 아이디어도 많은데 왜 한국 안에 갇혀 살아야 하나?
이와 관련돼 코미디 같은 이야기가 있다. 외국에서도 한국의 공인인증서를 발급받을 수 있다고 정부에서 열심히 홍보한다. 그 나라 한국 대사관에 가면 받을 수 있다고 한다. 아르헨티나국적의 아르헨티나 사람이 한국 공인인증서를 받을 수 있게 했다는 것이다. 장하다. 아르헨티나에서 한국 인터넷 쇼핑몰에서 제품을 사고 싶으면 한국 대사관에 가서 공인인증서를 받아서, 자기 사는 곳에 가서 액티브엑스를 내려받으라는 것이다. 그런 이야기를 하고 있는 공무원들의 발상이 문제다.
그런 코미디 집어치우고, 글로벌 스탠드에 맞게 보안도 따라가야 한다. 글로벌 트렌드를 잘 이해하고 잘 배워야지, 13년 묵은 보안 기술을 붙들고 우물 안 개구리처럼 굴고 있다. 현재 보안 산업을 둘러싼 기득권 구조가 혁파됐을 때 IT 산업이 만들어낼 경제의 규모를 생각해보자. 현재 보안 기술 산업 규모 정도는 껌값이다. 그러니까 정부가 마치 보안 전문가인 것처럼 굴지 말고 특정 기술의 영업사원 노릇을 하는 것을 그만뒀으면 한다.
프레시안: 가시적인 개선이 이뤄지지 않은 이유가 뭘까?
김기창: 윤리 의식이 없기 때문이다. 공익이 무엇인가. 우리 공동체가 다 같이 좀 더 나은 쪽으로 가는 것 아닌가. 그런 목적을 생각하지 않고 당장의 밥그릇, 당장의 감독 권한을 놓지 않으려는 것이다. 지금까지 7년 동안 이 문제를 놓고 규제 당국과 싸우면서 부인할 수 없이 드는 생각이다. 관련 규정을 만드는 권한을 갖고 실무를 책임지는 이들이 자신을 돌아봤으면 한다. 액티브엑스, 공인인증서라는 게 무엇인지. 이들이 직접 인터넷 뱅킹을 하고서 공인인증 제도가 필요하다고 주장하는 것인지도 의문이다. 정치권에서도 현재 문제를 제대로 인식하고 있는 국회의원이 드물다.
공인인증서 문제는 과거 WIPI(한국형 무선 인터넷플랫폼 표준 규격) 사례와 비슷하다. IT 강국이라는 한국은 또 동시에 휴대전화 강국이라고 했다. 외국 회사에 로열티를 주지 말고 자체 개발하자고 해서 또 ETRI가 WIPI를 만들었다. 피처폰(스마트폰 이전의 휴대전화를 통틀어 일컫는 말)에 설치되는 소프트웨어는 운영체제를 막론하고 호환되는 기준을 만든 것이다. 그러고 나서 WIPI가 좋은 기술이니 강제해야 한다고 했다. 이 정도면 '강제병'에 걸렸다고 볼 수밖에 없다.
기술은 강제해서는 안 된다. 당장의 돈벌이가 될 것 같아서 국가가 밀어주는 것은 기술 자체에는 쥐약이다. 좋은 기술은 시장에서 경쟁해 살아남아야 한다. WIPI를 4년 동안 강제하는 사이 전 세계는 이미 피처폰에서 스마트폰으로 넘어가 버렸다. 한국 안에서만 피처폰을 붙들고 있었다. 정부가 결국 백기를 들기까지 4년이 걸렸다. 공인인증 제도도 마찬가지다. 도입 당시까지만 검토하고 이후 상황은 이해하려 하지 않는다. 그 뒤에는 기술로 경쟁하지 않고 정부의 힘을 빌리려는 기술 전문가 진영의 책임도 있다.
프레시안: 활동하고 있는 오픈넷에서는 공인인증 제도 강제화를 반대하고 액티브엑스를 퇴출하자는 캠페인에도 참여하고 있다.
김기창: 기술과 규제는 서로 잘 어울려야 한다. 규제가 기술 분야에서 IT 산업이 됐건 첨단산업이 됐건 정부가 공권력을 동원해 강제하고 개입하는 것은 모든 국민에게 불행한 결과를 만든다. 인터넷과 뗄 수 없는 상황이 됐고, 그런 현실에서 정부의 인터넷이나 디지털 세상에 대한 규제를 좀 더 합리적으로 개선하는 게 오픈넷의 지향점이다.