인증서 기반 정보보호의 아이러니

우리나라에서는 인터넷에서의 카드 결재나 뱅킹에 공인 인증서를 사용하도록 하고 있다. 이걸 사용하는 것이 단순한 권장사항인지, 법적 의무사항인지 아니면 관련 솔루션 판매사에서 마케팅을 잘 해서인지는 모르겠지만, 모든 은행과 대부분의 쇼핑 사이트가 이를 채택하고 있으므로 최소한 de facto standard인 것만은 분명하다. 그냥 브라우저에서 HTTPS로 접속, 카드 번호와 만료일만 입력하면 결재할 수 있도록 되어 있는 외국 사이트에 비해 기술적으로 보다 정교하고 더 안전할 것 같아 보인다. 하지만 문제는 없는 것일까? 가장 큰 문제는 이런 솔루션들이 모두 ActiveX를 사용하고 있기 때문에 Windows외의 OS나 IE외의 브라우저를 사용할 수 없다는 것이다. Windows와 IE가 국가표준의 OS와 브라우저가 아닌 이상, 여기서만 사용할 수 있는 기술을 표준으로 강요한다면 문제가 아닐 수 없다. 대부분의 사용자가 Windows/IE를 사용하기 때문에 현실적으로 문제되지 않는다고 생각할 수도 있겠지만, 소수 사용자의 권리를 제도적으로 제한하거나 OS/브라우저의 경쟁을 제한하는 표준은 불법 아닌가? 다양성이 없는 환경은 예기치 않은 결함에 치명적일 수 밖에 없다. 얼마 전부터 키보드 해킹을 막는다는 플러그인까지 함께 설치되고 있으나, 이런 프로그램 자체가 트로이 목마이거나 해킹될 가능성은 얼마든지 있다. 전 국민이 같은 방식의 보안에 의존할수록 이 보안을 뚫을 동기가 더 커지는 것은 당연한 일이다. ActiveX의 무절제한 사용은 소비자들의 선택의 자유를 제한한다는 외에도 오히려 보안 위험을 증대시킬 가능성이 있다. 쇼핑몰과 은행, 카드사마다 ActiveX를 사용하는 것은 보다 보안성이 우수한 OS나 브라우저의 보급/사용을 억제하고, IE에서도 보안 등급을 높게 설정하지 못하도록 하며, 일반 소비자로 하여금 경고를 자세히 읽지도 않고 무조건 “예” 버튼을 누르도록 조건학습을 시키고 있는 것이다. 이로 인해 ActiveX를 사용하는 페이지 하나만 놓고 보면 기술적/원리적으로 단순한 HTTPS에 비해 보안성이 더 높을지 모르지만 PC 전체 환경과 소비자의 습성은 더 보안 문제에 취약해지게 된다. 외국 사람들이 쓴 글을 읽다보면, 나이든 부모님들이 인터넷을 안전하게 사용할 수 있도록 Firefox를 설치해드리거나 Mac을 사드렸다는 얘길 흔히 볼 수 있지만 우리나라에선 그게 불가능하다. 우리나라에서 이런 표준과 제도를 정의하는 곳이 어디인지는 모르겠지만, 제발 기본적인 원칙과 인터넷 표준에 대한 고려, 그리고 긴 시각을 갖고 신중하게 일을 해줬으면 좋겠다.