임금님 귀는 당나귀 귀…

금융위/금감원/금결원은 누가 봐도 황당한 솔루션을 “온라인결제 보안강화 종합대책“이라며 내놓았다가, 하루만에 “개선책”을 다시 내놓겠다고 하고 있습니다.
이 사태를 조금 큰 시각에서 볼 필요가 있습니다.
금융위/금감원의 “보안강화 대책”이 안고 있는 ‘기술적’ 문제점을 지적하는 일을 어째서 오픈넷에서 해야 하나요? ‘보안전문가’들은 어째서 입 꽉다물고 잠잠히 숨을 죽이고 있나요? 대학에서 보안, 정보보호학을 강의하시는 교수님들, 이 분들은 어째서 자신의 이름을 걸고 이런 문제점을 공개적으로 이야기하지 않나요?
보안 전문가들이 마음에 있는 이야기를 당당하게 못하고 슬금 슬금 눈치를 보고 입을 다물어야 하는 상황, 이것이야 말로 한국 보안이 지난 13년간 안고 있는 문제의 핵심입니다.
솔직히 이야기 합시다. 공인인증서, 그거 마구 복제되는 파일쪼가리 사용하는 기술아닙니까? 그러니 “인증서 암호” 말고는 남는게 뭔가요? 유저컴퓨터에 대한 공격이 요즘같이 극심한 시절에 “고정 암호”에 의존해야 하는 기술로 무슨 보안을 어떻게 제공한다는 말인가요? 그것 하나 지켜보겠다고 13년 동안 이루 말로 다하기 어려운 가지가지 해왔지 않습니까?
정부가 “공인인증서는 안전하다”면서 정부정책으로 강제하는 상황에서는, 업계로부터 자유롭지 않은 분들(불행하게도, 이 분야의 교수님들도 결코 자유롭지 않습니다)이 당당하게 자신의 견해를 공개적으로 피력하기 어렵습니다. 이제는 언론도 “공인인증서, 알고보니 별 것 아니더라”는 보도를 조금씩 하기 시작합니다만, 얼마 전까지만 해도 감히 이런 이야기 대놓고 하지는 못했습니다. 모두들 말을 빌빌 돌려가며 “기술 자체는 괜찮지만…”, “유저가 부주의해서…”, “실제 구현과정에서 일부 문제점이…” 등의 조심스런 말돌리기로 일관해 왔습니다.
금융위/금감원이 실제로 그렇게 한다고 저는 생각하지 않습니다만, 보안 업계에 종사하시는 분들이나 교수님들은 (물론 스스로는 아니라고 믿으시겠지만) 정부 정책과 어긋나는 이야기, 정부 정책이 틀렸다는 이야기를 노골적으로 하면 불이익을 받을 것으로 두려워하고 있습니다. 마치 조직원 입단속하는 듯한 불행한 분위기가 팽배해 있습니다. 부인하시겠습니까? 그렇다면 지금이라도 나서서 발언하시고, 언론 인터뷰도 ‘실명으로’ 응해 주시면 좋겠습니다.
“임금님 귀는 당나귀 귀”라고 이제 말씀하셔야 할 때 아닌가요?
어느 나라도 “정부”가 어느 특정 보안기술에 대하여 “그것이 안전하다”는 입장을 공식적으로 채택하지 않습니다. 정부가 그러면 어느 나라건 한국과 마찬가지 일이 벌어지기 때문입니다. 한국 사람만 비겁한 것도 아니고, 한국 사람만 용감한 것도 아닙니다. 국적을 불문하고 모두 다 자기 이해관계를 고려해서 몸조심 말조심하는 것이 일반적입니다.
금융위/금감원/미래부/방통위… 더 이상 보안 기술에 대해서 “뭐가 좋다”, “뭐가 안전하다” 이런 헛소리 그만해 주시면 좋겠습니다.
어떤 기술이 좋은지 안전한지는 뭣도 모르는 당신들이 이러쿵 저러쿵 하지만 않으면, 진정한 전문가들이 “부담없이” 공개적으로 논의하고, 비판하고, 검증할 수 있습니다. 전문가들이 자유롭게 공개적으로 논의하지 못하고 정부 눈치를 봐야 한다면, “안전한 기술”은 없습니다.
정부의 ‘권위’에 의존한 보안은 ‘보안쑈’일 뿐, 보안이 아닙니다.