출처 : http://bangjunyoung.blogspot.com/2009/04/blog-post_10.html
이제 대단원의 막을 내릴 때가 되었다.
오픈웹 소동을 통해 우리가 알아야할 사실은 현행 ActiveX 기반 인터넷 뱅킹 문제에 대한 배아 줄기세포같은 근본적인 해결책은 애시당초 없었고, 지금도 물론 없다는 점이다. 단지 없는 줄기세포를 있다고 우기며 많은 사람들을 몇 년 동안 감쪽같이 속여온 두 명의 ActiveX 반대교 교주만이 있을 뿐이다. 학계와 업계에서 명성을 인정받고 있는 두 분이 설마 남을 속이는 짓을 해왔을 리가 없다고? 믿어지지 않는다면 아래 글을 찬찬히 읽어보시기 바란다.
ActiveX 기반 인터넷 뱅킹 문제가 몇 년 동안 해결되지 않은 이유는 복잡하지 않다. 데이터 암호화에 사용되는 SEED 기술이 웹브라우저에 내장되어 있지 않고, 클라이언트 공인인증서 구현에 관한 표준이 존재하지 않기 때문이다. 이에 대한 현실적이고도 유일한 해결책은 웹브라우저별로 전용 플러그인(부가 기능 또는 추가 구성요소)을 개발하는 길 뿐이다. 물론 이 사실을 두 교주는 진작부터 알고 있었다.
한국에서 가장 많이 쓰이는 인터넷 익스플로러(IE) 웹브라우저는 ActiveX 기술에 기반한 플러그인을 지원한다. 그래서 국내 보안업체들이 ActiveX로 솔루션을 개발하게 된 것 뿐이다. ActiveX는 윈도 애플리케이션을 개발하기 위해 마이크로소프트가 오래전에 개발한 기술이고, 특히 기존 애플리케이션에 기능을 새로 추가할 때(이를 컴포넌트 또는 구성요소라고 함) 유용하게 쓰이는 보편적 기술이다. ActiveX에 관한 오픈웹의 주장이 얼마나 새빨간 거짓말인지는 “ActiveX와 인터넷 뱅킹” 편에서 이미 언급한 바 있다. 또 여기를 읽어 보시면 ActiveX가 무엇인지에 관해 조금 더 쉽게 이해하실 수 있다(그렇지만 ActiveX 자체는 인터넷 페이지 몇 개 읽어본다고 이해할 수 있는 수준의 기술이 절대 아니다). 실제로 ActiveX 기반 제품을 개발해온 개발자의 이야기가 맞는지, ActiveX의 A는커녕 프로그래밍 자체를 해본 적도 없는 것 같은 비개발자 김교주의 이야기가 맞는지는 여러분이 지혜롭게 판단하시기 바란다(김교주가 어떤 성격의 인물인지는 여기 참조). 물론 윤교주 역시 엉뚱한 얘기만 골라서 하고 있는 걸 보면 ActiveX에 대한 이해도가 일반인이나 다름없는 수준이다. 개발자가 아닌 윤교주가 개발자라도 되는 것처럼 행세하고 다닌 내막은 “가친소” 편에서 자세히 언급한 바 있다.
얘기가 약간 길었다만 요점은 이렇다: 여러분이 ActiveX 기술이 구체적으로 어떤 것인지 누군가에게 설명할 수 없다면 여러분은 ActiveX에 관해 제대로 알고 있는 것이 아니다. ActveX가 궁금하다면 다른 개발자한테서 또는 책으로 직접 배워야지, 법대 교수나 비전문가한테 배우는 것은 아주 위험한 일이다.
1단계: 보안업체 못살게 굴기
따라서 파이어폭스 웹브라우저에서 인터넷 뱅킹이 되게 하려면 파이어폭스 전용 플러그인을 개발하는 것 말고는 다른 방법이 없다. 그런데 문제는 이 파이어폭스라는 게 예전에는 국내에서 쓰는 사람이 거의 없는(지금은 좀 늘었지만) 이른바 ‘듣도보도 못한 잡...’브라우저였다는 것이다. 예를 들어 여러분이 소프트웨어 개발 회사의 대표인데 어느날 다음과 같은 메일을 받았다고 하자.
나무늘보소프트 대표님께
안녕하세요. 저는 NetBSD를 서버로 애용 중인 소녀시대 열성팬 정탱구라고 합니다. 최근 제 서버가 불순세력들의 DDoS 공격을 받는 일이 잦아 골머리를 앓고 있습니다. 이에 귀사의 DDoS 방어 소프트웨어 Undolparizer 2007을 빠른 시일내에 NetBSD로 이식해주실 것을 요청드리는 바입니다.
Undolparizer 2007을 NetBSD에 이식해 주신다면 이는 사회 정의와 도덕성 회복을 위해 매우 바람직한 선례가 될 것입니다. 그러나 반대로 이 요청을 거부하신다면 귀사가 사회 정의와 도덕성 회복에 아무런 관심이 없는 것으로 간주되며, 앞으로 귀사의 부도덕성을 각종 블로그와 인터넷 커뮤니티 게시판을 통해 대중들에게 알려 나갈 생각입니다. 부디 현명한 선택을 해주시기 바랍니다.
귀사의 번창을 기원하며,
정탱구 올림
이런 메일을 받으면 누구나 자연스럽게 느끼는 반응은 ‘뭐지 이 또ㄹ...의 정체는?’이 첫번째일 것이고, 두번째는 ‘그런데 NetBSD가 뭐지?’일 것이다. 여기저기 알아 보니 국내에서는 사용자가 거의 없는 듣보잡 OS의 이름이라고 한다. 소프트웨어 개발이 애들 장난도 아니고, 저런 식으로 생떼성 메일을 보낸다고 요구가 관철될 리 없다. 오픈웹 교주들이 지금까지 해온 일이 주로 저런 짓이다.
그렇지만 보안업체들을 상대로 끈질기게 요구를 하고 언론 플레이를 계속하다 보면 기업들은 사회적 이미지 관리상 이들의 요구를 들어줄 수 있을지도 모른다. 그러나 더 큰 문제는 보안업체들에게 개발 비용을 대는 주체는 은행같은 금융기관이라는 것이다. 들은 적도 본 적도 없는 브라우저를 위해 플러그인 개발/유지보수 비용을 더 부담해야 한다는 것은 받아들이기 힘든 주장이다. 더군다나 그 와중에 리눅스 뱅킹 솔루션이 국정원 보안심사에서 탈락하고 김교주가 건 소송도 재판에서 연거푸 지고 하는데 누가 이 요구를 받아들이겠나.
크로스 플랫폼 해결책의 현실적 모순
브라우저별 전용 플러그인 방식 말고 자바 애플릿이나 Flex/Air같은 크로스 플랫폼 방식으로 시스템을 개발하면 되지 않냐고 의문이 생길 수도 있다. 그런데 이런 크로스 플랫폼 방식도 여전히 지원하는 플랫폼이 극히 한정적이다. 애시당초 금융기관과 보안업체들이 ActiveX만 지원하는 이유 중 하나가 비윈도 플랫폼의 사용자수가 너무 적기 때문인데, 자바 애플릿이나 Flex/Air로 시스템을 개발하게 된다면 비윈도 플랫폼 중에서도 몇%에 불과한 NetBSD 사용자는 여전히 뱅킹을 하지 못하게 된다. 그러면 두 교주는 이렇게 변명할지 모르겠다: “NetBSD는 사용자수가 적기 때문에 지원하기 힘듭니다.”
따라서 김교주와 윤교주는 이런 모순을 해결하고자 플러그인을 전혀 쓰지 않는 100% 비현실적인 방식을 추구하게 된다(밑에서 다시 언급함).
외국선 ActiveX 없이도 인터넷 뱅킹 잘하고 있다고?
아무튼 위의 방법으로는 도저히 자신들의 목표를 성취할 수 없다는 걸 알게 된 두 교주들은 기존 체제를 무너뜨리기 위해 ActiveX에 관해 온갖 헛소문과 괴담을 퍼뜨리기로 결심한다. 저들이 주장해온 “외국에서는 ActiveX 없이도 다들 잘만 뱅킹하고 있다”, “ActiveX는 보안을 강화시키기는커녕 오히려 위험만 가중시키는 기술이다” 등등은 하도 오랫동안 떠들어온 얘기라 여러분도 익숙할 것이다. 그 와중에 블로그나 댓글 등에서 “전 미국 사는데 여긴 ActiveX 안쓰고도 뱅킹 잘되는데”, “전 영국 사는데 여기도 뱅킹할 때 ActiveX 필요없는데” 등 같은 생생한 체험 사례를 접하다 보면 현실이 진짜로 그런 줄 속아넘어가는 것도 무리가 아니다. 이제 실제 결과를 보자.
Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3 Billion Lost to These Attacks
"According to the survey, of those consumers who lost money to phishing attacks, 47 percent said a debit or check card had been the payment method used when they lost money or had unauthorized charges made on their accounts. This was followed by 32 percent of respondents who listed a credit card as the payment method, and 24 percent who listed a bank account as the method (multiple responses were allowed)."
성인 온라인 인구를 대표하는 4500명 이상을 대상으로 한 가트너의 조사에 따르면 2007년 미국에서 피싱 공격의 피해자가 360만명(2006년은 230만명)이었고, 피해액수는 무려 32억 달러(1000원/달러 환산시 한화로 3조2천억원)로 추산된다고 한다. 피해 중 47퍼센트는 직불 카드 또는 체크 카드에 의한 것이었고, 32퍼센트는 신용 카드, 24퍼센트는 은행 계좌에 의한 것이었다(복수 응답). 카드 번호 또는 계좌 번호, 아이디, 패스워드 등만 빼돌리면 온라인 뱅킹을 통해 돈을 훔치기가 누워서 떡먹기(?)처럼 쉬운 것이 미국의 실정이다.
"APACS 조사결과에 따르면 작년 온라인뱅킹 사기에 의한 피해액은 한화로 약 1050억원이었다. 이는 전년도의 452억원에 비해 약 132% 증가한 수치다."
"피해 증가의 원인은 피싱 그리고 ID도용 멀웨어의 증가와 상관이 있는 것으로 분석됐다. 조사기간 중 피싱공격은 약 71% 늘었고, 금융정보를 도용하는 멀웨어 공격 역시도 크게 늘어난 걸로 지급결제서비스연합회는 파악했다."
“Online banking fraud losses totalled £52.5m in 2008 – a 132 per cent increase from 2007 losses. Although phishing incidents continue to increase, online banking customers are increasingly being targeted by malware³ attacks, which is why the industry continues to remind customers to ensure that they have their computer’s firewall switched on and anti-virus software installed and kept up-to-date.”
영국의 경우 온라인 뱅킹 사기 피해액수가 2007년 452억원이었고 2008년에는 1050억원이었다고 한다. 이번에는 한국의 실정을 보자.
“업계 관계자는 최근 피싱이나 파밍 등 신종 금융사기가 크게 늘면서 지급결제대행을 통한 불법 결제가 증가하고 있는 것으로 보고 있다. 금융기관의 위장 사이트나 메일을 위장하거나 인터넷뱅킹 주소가 자동으로 위장사이트로 접속하도록 해 계좌번호나 비밀번호 등을 불법으로 빼내 대금을 결제하는 사례가 늘고 있다는 것.”
한국 인터넷 뱅킹의 피해건수와 피해액수가 얼마쯤 될 것 같은가? 놀라지 마시라. 2006년 2건 1500만원, 2007년 1분기 12건 1억2710만원이라고 한다. 이것이 진실이다. 다시 한번 비교해 보자.
피해자 230만명 대 2건
피해자 360만명 대 12건(같은해 1분기)
피해액 3조2천억원 대 1억2710만원(같은해 1분기)
피해액 452억원 대 1억2710만원(같은해 1분기)
피해액 1050억원 대 ?
이것이 바로 두 교주들이 지난 몇 년 동안 여러분들에게 알리고 싶지 않았던 불편한 진실의 실체다. 알고 보니 미국이나 영국의 온라인 뱅킹에 비해 한국이 수백에서 수천배 이상 안전했던 것이다. 교주님들에 따르면 분명히 외국은 ActiveX를 쓰지 않고도 사고 없이 잘만 뱅킹하고 있어야 하는데, 분명히 한국은 보안상 위험한 ActiveX 기술 때문에 막대한 온라인 뱅킹 사고로 신음해야 하는데...이게 대체 뭔가요.
이 정도면 오히려 어려운 여건 가운데서도 국민의 재산을 보호하기 위해 불철주야 힘써온 국내 보안업계와 관계자들에게 표창장이라도 수여해야 하지 않겠는가. 그러지는 못할 망정 두 교주는 그간 온갖 원색적인 비난으로 국내 보안업체들을 헐뜯고 업적을 깎아내리기에 바빴다.
거짓 연막 피우기
ActiveX에 관한 온갖 괴담을 퍼뜨리는 동시에 윤교주가 했던 일은 공인인증서의 핵심 기술인 디지털 서명을 웹표준에 추가하려는 시도였다. 이 노력의 자초지종이 어땠는지는 “가친소”와 “진실과 마주보기” 편에서 설명한 바 있다(결과만 요약하면 3년 내내 아무 성과가 없었다). 그런데 어제 윤교주는 그간 자신의 행각을 변명하는 과정에서 놀랄 만한 사실을 실토하게 된다:
그리고 말씀하신 대로 WHATWG/W3C 모두 저의 제안에 대해 필요성을 못느끼고 있습니다. 이 제안은 저에 앞서 다른 분도 하셨구요. 그 이유는 이것이 이미 Deprecation된 웹 브라우저 기능을 다시 살리려는 것이기 때문입니다.
그러니까 윤교주는 애시당초 받아들여지지 않을 것이 분명하다는 점을 알고 있었음에도 불구하고 이미 퇴출된 기술을 표준화 워킹 그룹에 제안하는 둥 마는 둥하며 3년 내내 거짓의 연막을 피워왔던 것이다. 이유는 간단하다. 국내 사용자들에게 자신이 뭔가 중요한 일을 하고 있고, 인터넷 뱅킹 문제의 해결이 표준화를 통해서 가능하다고 속이고 싶었기 때문이다. 다시 말씀드리지만 그런 일은 현시점에서 전세계 어떤 개발자와 전문가도 불가능하다.
그러면서 동시에 한다는 소리가
저는 웹 브라우저 네이티브 기능 탑재 만이 유일한 대안이라고 생각하지 않습니다. 늘 말씀하시는 플러그인 방식도 대안이 될 수 있습니다.
이 역시 새빨간 거짓말인 이유는 윤교주가 ActiveX 기술을 결사 반대한 이유와 정확히 일치한다. 파이어폭스 플러그인은 기본적으로 IE 플러그인과 동등한 종류의 기술이라 ActiveX가 잠재적으로 안고 있다고 주장하는 보안 결함의 위험성이 똑같이 내재되어 있는 것이다. 그런데 ActiveX 플러그인은 위험해서 안되고 파이어폭스 플러그인은 대안이 된다고? 입에 침도 안바르고 거짓말을 하고 있다.
최종 목표: 공인인증서 시스템의 무력화
이상에서 본 것처럼 두 교주는 기술적 배경지식이 거의 없는 상태에서 폭주를 거듭하다 보니 그만 자가당착에 빠지고 말았다. 따라서 이 모든 모순으로부터 빠져나갈 수 있는 유일한 해결책은 모든 종류의 플러그인을 전부 폐기하고 순전히 SSL 보안 접속으로만 인터넷 뱅킹을 하자는 주장이었던 것이다. 이것이 얼마나 위험천만한 발상인지는 위에서 미국과 영국의 온라인 뱅킹 사고 사례를 소개한 바 그대로다. 두 교주의 주장대로 법이 바뀌고 체계가 바뀌는 순간 한국의 인터넷 뱅킹은 온갖 사기로 골머리를 앓게 될 것이다. 우리 대다수가 원하는 사회가 그런 사회라고는 생각하기 어렵다.
맺음말: 상식이 존중받는 사회를 향하여
내가 며칠간 매우 강한 어조로 이들을 비난해야 했던 이유는 그렇게 하지 않으면 이들의 거짓 행각을 막을 길이 도저히 없을 것 같아서였다. 이들은 지난 몇 년간 어떤 종류의 합리적이고 이성적이고 온건한 설득에도 전혀 귀를 기울이지 않았다(이 자리를 빌어서 말씀드리자면 설득하려고 한 분들이 정말 성인군자다). 오히려 온갖 거짓말과 괴담으로 선량한 사용자들을 속이고 진실을 숨김으로써 자신들의 정치적 영향력을 확대하는 데에만 골몰하고 있었다. 그리고 그 노력이 어느 정도 결실을 거두어 꽤 많은 사람들이 거짓 선동에 놀아나고 있는 중이다. 따라서 이들과 대항하려면 이들이 지난 몇 년간 국내 보안업체들을 헐뜯고 선량한 사람들을 현혹하는 데 사용한 것과 같은 목소리 톤을 내지 않을 수 없었던 것이다.
이제 다들 진실을 바로 보아야할 시간이다. 여기까지 읽었는데도 여전히 김교주와 윤교주의 주장이 맞다고 믿는다면—나로서는 헛수고를 한 셈이지만—어쩔 수 없는 일이다. 여전히 ‘내가 아는 그 분이 절대 그럴 리가 없어’라고 생각하신다면, 줄기세포교 황교주님도 사건이 터지기 전까지는 학계에서 크게 신망을 얻어왔던 분이라는 사실을 상기해 보시기 바란다.
에필로그: L10n 공헌자 비하?
저번 “가친소” 편에서 “여러 가지 중에서도 번역이 가장 낮은 급의 작업”이라고 했었는데, 몇몇 분들이 그걸 보고 기분이 언짢으신 모양이다. 그런데 회사로 치면 평사원이 사원 중에서 가장 낮은 급인데 그렇게 얘기하는 게 왜 평사원에 대한 비하가 되는지 나로서는 이해가 잘 되지 않는다(나 역시 오픈 소스에 참여할 때 번역부터 시작했었는데). 어떤 회사든 임원과 간부만 있고 평사원이 없다면 돌아갈 수 없기 때문에 평사원이 필요한 것은 당연하다. 그렇지만 평사원은 회사의 정책에 대해 책임지고 발언할 수 있는 위치에 있는 것은 아니며, 대단한 일을 하는 것도 아니다. 평사원은 대개 다른 사람으로 쉽게 대체될 수 있기 때문이다.
자신이 오픈 소스 번역 작업에 기여를 했다면 그 자체로는 스스로 충분히 자랑스러울 수 있는 일이다. 오픈 소스 참여 동기 중 일부가 그런 기분을 느끼기 위한 것이니까. 그렇지만 다른 사람들한테 자신이 한국어 버전을 담당하고 있다느니 하면서 허세를 부릴 필요는 없는 것이다(다행스럽게도 국내엔 윤교주 빼고는 그런 분이 없는듯). 버전 관리와 릴리스는 릴리스 엔지니어링 팀에서 담당하는 것이지 번역자가 하는 게 아니다. 그 둘 간의 차이점을 생각해 보시기 바란다.
우분투 9.04 기본적인 삽질
