"MS 편향·규제 과잉이 보안 취약의 원인"

전 세계 해커들의 놀이터가 된 대한민국의 현실은 우리나라 웹의 취약성때문이라는 지적이 제기됐다.

마이크로소프트(MS)사의 윈도우와 인터넷 익스플로러(IE), 엑티브엑스(Active X)로 획일화된 국내 인터넷 기술과 인터넷 뱅킹때 공인인증서 의무화같은 규제 과잉이 대한민국 인터넷을 취약하게 만들었다는 비판이다.

이같은 주장은 90년대 말 128비트(bit) 암호알고리즘 자체 개발로 자축분위기였던 국내 보안 업계와 정책 당국에 반성의 계기가 되고 있다.

또한 지난 7월 7일 발생한 신종 분산서비스거부(DDoS) 공격이후, 웹 표준화같은 근원적인 처방을 마련해야 한다는 데도 설득력을 주고 있다.

고려대학교 법학전문대학원 김기창 교수는 4일 오전 국회 입법조사처가 주최한 '인터넷 보안정책 현안 간담회'에서 대한민국 인터넷은 획일화와 폐쇄성때문에 전문가 부족 현상이 심해졌고, 여기에 금융감독원 등 규제 당국의 기술적 무지가 겹쳐 최악의 상황이 됐다고 진단했다.

◆획일화된 웹...보안 취약성의 원인

김기창 교수는 우리나라의 웹은 운영체제(윈도우)와 인터넷 브라우저(IE), 응용 프로그램을 다운받는 데 이용되는 플러그인 기술(ActiveX)까지 MS에 의존하고 있다면서, 보안기술의 후진성을 낳고 있다고 설명했다. 해커 입장에선 공격이 수월할 뿐 아니라 웹 응용도 하나로 하다보니 창의적인 보안 소프트웨어 개발이 쉽지 않다는 얘기다.

또한 모바일 웹 보안프로그램의 경우 각 이동통신 회사에 의존적이어서 솔루션 업체가 허약해지고 있다고 진단했다.

특히 그는 이처럼 국내 웹이 획일화된 데는 규제 당국의 역할이 컸다고 평했다. 하나은행에서 인터넷뱅킹을 할 때 암호화 프로그램·키보드 해킹 방지 프로그램·인쇄 프로그램 등에서 엑티브엑스를 수차례 다운로드해야 한다는 점을 설명하면서, 이는 무식한 금융 당국때문이라고 설명했다.

김 교수는 "은행 사이트에 가면 엑티브엑스로 키보드 암호화 프로그램을 설치하게 돼 있는데 고객들은 금융사이트외에도 다른 사이트에 접속하면서 같은 비밀번호를 쓰는 만큼 소용없다"면서 "은행사이트에서만 작동하는 안철수연구소 백신도 불편만 초래할 뿐 사실 필요가 없는 것"이라고 말했다.

이어 "전세계에서 공인인증을 써야 인터넷뱅킹이 가능한 나라는 한국밖에 없다"면서 "다른 나라들은 공인인증(PKI) 기술이 지닌 키보드 해킹 등에서의 한계를 인정하나 우리나라는 그렇지 않은 덕분에 (보안 기술자들로선) 다음 기술이 뭔지 배울 필요가 없어졌다"고 비판했다.

◆기술중립성 확보, 경쟁촉진이 보안 강화의 지름길

김기창 교수는 금융 당국의 공인인증서 사용 의무화는 법에서 위임받지 않은 완전한 월권이라고 강조했다. 전자금융거래법(제21조 제3항)에는 금융위가 인증방법 등에 필요한 '기준'을 정할 수 있도록 돼 있는데, 시행령도 세칙도 아닌 전자금융감독규정(제7조)에선 공인인증서 사용의무화로 돌변했다는 얘기다.

금융감독원은 인터넷뱅킹때 공인인증서를 쓰도록 강제하고 있고, 금융결제원은 MS IE용으로만 발급해 주고 있다. 모질라재단의 파이어폭스나 구글의 크롬 같은 다른 웹 브라우저를 쓴다면 인터넷뱅킹을 할 수 없는 것이다.

그는 "법적으로 선택사항인 '기술기준(표준)'과 의무규정인 '기술규정'은 분명히 다른 데, 금융 당국은 둘을 헷갈려 적용하고 있다"면서 "IT나 기술분야의 경우 입법자의 속도는 한계적일 수 밖에 없으니 규제과잉을 가장 크게 경계해야 한다"고 강조했다.

웹같은 IT 세상에서 입법자가 요구받는 것은 기술중립성이라는 얘기다. 공공서비스에 있어 특정 소프트웨어를 구입하도록 강제해서는 안된다는 말이다.

이와함께 김 교수는 "업계에서도 세계 보안기술의 트렌드를 배워야 한다"며 "규제에 기대서 옛날 기술로 먹고 사는 일은 그만둬야 할 때"라고 일침을 놓았다.

그러나, 이같은 그의 생각은 아직 법원에서 받아들여지지 않았다. 지난 해 7월 공인인증기관인 금결원이 마이크로소프트 IE에서만 작동하는 공인인증서를 발급한 것은 차별이라면서 김기창 교수가 제기한 민사소송에서 법원은 1심과 2심 모두 원고 패소 판결을 내렸기 때문이다.

그는 "1심에서는 규제당국이 동의했다는 이유로, 2심에서는 사업자인 금결원의 선택사항이라는 이유로 패소했는데, 설득력이 없다"면서 "관련법에는 공인인증서비스 제공자는 '정당한 사유'없이 서비스 제공을 거부할 수 없게 돼 있는데, 인터넷브라우저를 마이크로소프트 경쟁사 제품을 쓴다는 게 정당한 사유인가"라고 의문을 제기했다. 김기창 교수는 이에따라 대법원에 상고했다.

김현아 기자의 다른 기사 보기