news.mt.co.kr/mtview.php?no=2015080410411002385
위의 기사 및 링크들은 최근 마이크로소프트사의 윈도OS 업그레이드에 따른 일련의 혼란들을 설명한 기사와 그와 관련된 기술사항 링크들입니다.
gov.seoul.go.kr/files/2014/01/52c52df022ecc8.73594936.pdf
위는, 안전행정부의 전자정부서비스 호환성 준수 지침입니다.
시작은 이러합니다.
1. 전자정부 및 전자금융이 최초로 보급될 당시에는 오고가는 데이터를 안전하게 암호화 하는 기술이 공개되지 않았었고, 따라서 한국에선 고육지책으로 그때당시 많이 보급되었던 윈도98이라는 마이크로소프트사의 OS의 종속 기술중 하나인 ActiveX를 이용해 독자적인 암호화체계를 만들었습니다.
2. 그 이후로 세상은 너무나도 많이 변했고, 특정OS에 종속되지 않는 비 플러그인 방식의 안전한 암호화기술도 공개되었습니다, 오히려 그때 당시에 채택해 지금까지 강제적으로 사용되는 ActiveX는 바이러스 양산, 좀비PC만들기, 나아가 최근 이슈가 되는 리모트 프로그램의 백도어 설치등 수많은 보안의 위협에 가장 취약한 기술입니다.
3. 국내 김기창 교수를 비롯해(openweb.or.kr) 여러 전문가 집단이 낡은 ActiveX기술을 버리고, 전세계 표준으로 호환가능한 방법으로 전자정부 및 금융시스템을 혁신하라고 목소리를 높였지만 수년째 아무런 반응이 없었습니다.
4. 그러다가, 마이크로소프트사가 자사의 OS와 브라우져를 업그레이드 하면서 ActiveX라는 기술을 권고하지 않고, 오히려 사용하지 말것을 권장하는 사태가 2009년경 일어납니다. (digitalog.com/238) 민간업체가 자사의 OS정책을 보다 안전한 보안을 위해 바꿨을 뿐인데, 대한민국의 전자정부와 금융시스템은 패닉에 빠집니다.
5. 안전행정부는 위의 링크에 있는 호환성 준수지침을 마지못해 발표합니다. 마지못해라고 말한것은, 당시 금융감독원과 금융결제원이 보안시스템 결정에 대한 전권을 쥐고 있었고, 몇몇업체가 특혜를 받아 독점적으로 보안 플러그인을 개발하고 있었습니다. 이를 전세계에서 권고하는 표준으로 바꾸면 이들이 따낸 독점사업권은 유명무실해진것이 되겠죠. 결국 최초 발표일인 2009년후 벌써 6년이 지났지만 정작 달라진것은 미미합니다. 그로인해 또다시 4번에 기술한 해프닝이 또 일어나려고 하고 있습니다. 위 링크에 있는 윈도10 업그레이드로 인한 해프닝도 이 준수지침 - 없으나 마나한 - 을 지키지 않아 일어난 일입니다.
6. 실제로 지금도 전자정부 및 금융기관들의 서비스는 심각한 보안의 위협에 노출되어있습니다. 이러한 전 근대적인 시스템이 계속 유지되는한 실제로 백도어 해킹등의 시도도 계속될것입니다.
7. 더군다나 이런 낡은 방식을 고수하는것은 전 국민의 보안인식을 심각하게 떨어뜨립니다. 실제로 대다수의 금융기관들은 앞서 말한 전근대적인 ActiveX를 비롯한 추가 플러그인 설치를 위해 - 최신의 운영체제에선 설치를 적극 비 권장하고 있고 보안 경고창이 뜹니다 - 오에스 차원에서의 경고를 "무시" 하라 라고 사용자들에게 강제하고 있는 실정입니다. 은행 한번 들어가려면, 끊임없이 나타나는 경고창에 무조건 "예"를 누르라는 전근대적이고 비상식적인 행태가 지금도 이루어지고 있으며, 이는 기술적인 결함보다도 더 위험한 요소입니다.
8. 최고의 보안은 최고의 기술도 맞지만, 그보다 앞선건 사용자의 인식임에도 불고하고, 전자정부 및 금융권은 위험천만한 낡은 기술을 사용하다 못해, 사용자들의 보안에 대한 인식마저 심각하게 해치고 있습니다.
마무리.
해결방법은 있습니다. 지금이라도 전자정부와 금융권의 사이트들을 최신 비 플러그인 방식의 암호화된 보안을 사용하게끔 강제하는것입니다. 이는 단순히 몇몇 기관에게 주어진 특혜를 없애는일이 아니라, 국가적인 보안을 업그레이드하는데에 필수적입니다.
지금이라도 당장 시행하지 않으면, 우리나라는 마이크로소프트라는 외국 민간업체의 정책이 바뀔때마다 또다시 우왕좌왕 할 수 밖에 없습니다.
정의당에서라도 위의 사안을 잘 살펴보시고 적극 개선에 앞장서길 바라는 마음입니다.
감사합니다.
