taeho's life logger

샵메일, 공인인증서와 액티브X의 재림인가? 본문

정보보호

샵메일, 공인인증서와 액티브X의 재림인가?

taeho Tae-Ho 2013.09.16 11:48

인터넷이 대중화되면서 넷스케이프, 파이어폭스, 인터넷익스플로어, 크롬 등 다양한  웹서핑 도구(웹브라우저)가 사용되고 있다. 2013년 현재 전세계적으로는 구글의 크롬이 40%를 넘는 점유율을 보이고 있고 인터넷익스플로어(IE)는 약 25% 정도의 점유율을 보이고 있다. 하지만 여러가지 웹브라우저 중에서 유독 우리나라에선 마이크로소프트의 인터넷 익스플로어가 많이 사용된다. 최근(2013년)엔 그 점유율이 많이 떨어졌지만 아직도 아직도 70% 이상의 점유율을 보이고 있는 것이 현실이다.


그 이유는 아무래도 ActiveX 때문이다. ActiveX는 제한된 HTML 기능을 보완해 다이나믹한 웹페이지 웹페이지를 만들 수 있도록 하기 위해 마이크로소프트에서 만든 기술이다. 하지만 마이크로소프트가 항상 그러하듯 처음 개발할 땐 대~~충~~만든다. 그리고 사용자가 늘어나면 조금씩 조금씩 보완해 나간다. 그러다보니 프로그램은 땜빵 투성이고 버그의 천국이 되고 만다. 인터넷익스플로어가 그렇고 액티브X가 그러하다.


액티브엑스의 폐해와 불만을 보여주는 사용자들의 패러디(?)는 인터넷에 넘쳐난다. 재미삼아 몇개만 소개해보면...


ActiveX

( 출처 : http://www.noactivex.net )


아마도 이 글을 보는 대부분의 분들은 웃으며 공감을 표시할 거라 생각된다. 


액티브X가 문제가 되는 것은 두가지 이유다. 불안정성(버그)와 보안취약성이다. 때문에 해외에서는 거의 사용되지 않는 기술이다. 그런데 우리나라에선 왜 액티브X를 아직도 많이 사용하는 걸까?  우리나라에서 액티브X가 끈질긴 생명력을 자랑하게 된 데는 "공인인증서(PKI)"가 주된 원인이다. 


많은 사람들이 "공인인증서"가 왜?? 라고 반문할 것이다. 공인인증서는 우리나라 사람들의 금융자산을 지켜주는 아주 훌륭한 기술이 아닌가? 라고 생각할 것이다. 맞다. 비록 우리나라의 "공인인증서"가 세계표준과는 거리가 먼 우리나라에서 밖에 사용할 수 없는 "IT의 갈라파고스"라는 비난을 받고 있고 보안상 일부 취약한 부분이 있긴 하지만 실생활에서 보안 마인드가 부족한 일반인의 금융보안에 중요한 역할을 하고 있는 것은 인정해야한다.


다만 공인인증서 시스템에 큰 문제점이 있다는 것도 인정해야 한다. 우리나라에서 사용하는 공인인증서는 국제표준과는 동떨어져 있기 때문에 브라우저에서 별도의 프로그램을 실행해야만 한다(ActiveX). 바로 이 별도의 보안 프로그램이 바로 ActiveX 콘트롤이다. 이렇게 보안에 무척 취약한 액티브X기술에 의존하고 있다는 것과 국제표준이 아니라는 점, 그리고 공인인증서 시스템이 시장에 진입할 때 일부 사기업에게 너무 큰 혜택을 주었다는 점에 있다. 특히 인증서 관리 기관에 대한 자격제한이 너무 까다로워 금융결제원, 코스콤 등 몇몇 사기업이 그 시장을 독점하고 있다는 문제가 있다.


그나마 일부 금융기관이 액티브X가 아니어도 인터넷뱅킹을 이용할 수 있도록 "자비"를 들여서 오픈뱅킹 시스템을 도입하고는 있지만 그 오픈뱅킹 시스템 조차도 웹 브라우저에서 기본적으로 지원할 수 있는 "국제 표준" PKI가 아닌 "국내 표준 PKI 공인인증서"이기 때문에 액티브X 처럼 무언가 "다른 보조적인 보안 프로그램"을 설치해야만 사용할 수 있는 "반쪽짜리 오픈뱅킹"이 되어 버리는 문제점을 그대로 내포할 수 밖에 없다.


샵메일 - "국내표준" 공인인증서의 재림인가?


공인인증서에 이어 시작도 하기전부터 많은 문제제기를 받고 있는 보안 표준이 있으니 바로 "샵메일"이다.



샵메일은 인터넷을 통해 송/수신되는 전자문서의 위/변조를 막고 송신과 수신의 주체를 인증하는 역할을 하는 새로운  전자문서 유통 체계다. 나라에서 기업과 기업, 기업과 개인, 공공기관과 기업간의 전자문서 전달과 보안을 책임져주겠다는 아주 고마운 제도이자 보안 시스템이다. 


하지만 샵메일의 첫번째 문제는 역시나 국제표준으로 통용되는 이메일기술과 표준인증기술(PKI)를 적용하지는 않는다는 점이다. 메일이라는 이름을 갖고 있으면서도 이메일이 아닌 것이다. 결국 샵메일을 보내려면 액티브X처럼 별도의 프로그램을 PC에 모두 설치해야할 것이고 또한 샵메일을 관리하는 샵메일 서버도 국제 표준으로 통용되는 여러 이메일서버를 사용할 수 없게 된다. "메일"이라는 단어가 들어가지만 절대 이메일과는 무관한 기술인 것이다. 또한 국제 표준기술을 채택하고 있다고 하지만 국내표준인 공인인증이 필요하고 국제표준을 가져다 약간~변경하여 국내표준으로 만들어버린 기술이기에 외국에서 이 기술을 쓸 이유도 없다. 결국 국제표준이 아닌 것이다.


또 하나의 문제는 기술과는 관계없는 문제다. 바로 "돈"과 관계있는 문제다. 샵메일 서비스 또한 아무나 할 수 없는 사업이다. 또한 국제 표준 기술을 따르는 기술을 활용하는 시스템이 아니기에 사실상 해당 기술을 선점할 수 있는 일부 업체에게 너무나 유리한 사업이다. 


샵메일로 인해 파생되는 모든 문제점들은 공인인증서가 시작될 때 처럼 국제표준기술을 채택하지 않기 때문에 생겨난다고 생각된다. IT 갈라파고스를 자처하는 이런 독창(?)적인 시스템은 인터넷으로 수많은 시스템과 네트워크가 유기적으로 연결되어야 한다는 특성으로 인해 많은 문제점을 유발할 수 밖에 없다.


단적으로 샵메일은 국내 기업과 외국 기업의 문서전달에는 전혀 도움이 되지 않는 오히려 방해물만 될 수 밖에 없다는 점을 들 수 있다. (샵메일을 쓰기 위해서는 국내표준인 "공인인증서"를 사용해야 함) 우리나라는 수출위주의 경제구조를 갖고 있다. 국내에서 밖에 사용될 수 없는 시스템을 구축하고 유지비를 내야한더는 것은 우리나라가 그렇게도 목매고 있는 국제경쟁력을 약화시키는 요소가 될 뿐이다.


실질적인 보안의 강화를 위해 아이디어를 내고 출발한 것은 좋았으나 구체적으로 진행되면서 결국 샵메일은 "공인인증서의 재림"이 되는 모습으로 구체화되고 있다. 이러한 문제를 어떻게 개선하느냐가 샵메일의 숙제가 아닐까?

신고
0 Comments
댓글쓰기 폼