안전하지 않은 불편, 계속해서 터지는 개인정보 유출, 취약한 인터넷 보안의 시작은 액티브엑스 기반의 공인인증서입니다. 선진국 중 어느 나라도 하나의 인증방식만 사용하도록 하는 강제적 규제는 없으며, 더구나 보안성이취약한 액티브엑스를 사용한 보안기술은 우리나라를 인터넷 갈라파고스, 인터넷 무역역조국으로 만들었습니다. 공인인증서 이외의 다양한 인증방법에 대한 금융권 및 이용자 선택권이 보장되어야 합니다.
이와 관련된 이민화 KIST교수(한국벤처협회 명예회장, 창조경제연구회 이사장) 의 기고문 전문입니다.
99데이 멘토링 파티에서 강연중인 이민화 한국벤처협회 명예회장
- 공인인증서를 다시 생각한다.
2010년 2월 기업 호민관으로서 다가오는 인터넷 시대 한국의 최대 위협인 ‘공인인증서 강제’로 인한 ‘인터넷 갈라파고스 현상’ 타파를 위한 긴박한 투쟁을 전개한 바 있다. 당시 한국은 ‘액티브 X’를 공인인증서 설치를 포함한 모든 보안 프로그램의 다운로드에 필수적으로 사용토록 하는 등 전 세계가 경악할 제도를 시행하고 있었다(개발사인 마이크로소프트조차도 보안 목적으로는 사용 금지를 권고하고 있었다). 이러한 한국만의 ‘갈라파고스적 규제’를 휴대폰까지 확산하려는 정부 당국의 정책 발표는 모든 네티즌의 분노를 폭발시켰다. 국가의 불조리한 규제 해소를 목적으로 한 호민관실이 이 문제 해결에 앞장서게 된 이유다. 금융위원회, 행정안전부 등 정부 부처와 두 달여간에 걸친 치열한 공방전의 결과 휴대폰에서는 공인인증서를 강제하지 않는다는 것으로 결론짓고, 공인인증서 외에 추가적 인증을 위한 위원회를 구성토록 한 것이다. 이후 필자가 호민관에서 물러난 후 위원회의 추가적 인증이 없었다는 것이 다시금 불거지는 공인인증서 문제의 핵심이다. 그리고 이제는 휴대폰이 아니라 인터넷 전반의 개방으로 재확산돼야 할 때다.
문제의 시작은 벤처 붐으로 인한 한국의 앞선 인터넷 기술이었다. 벤처 혁명으로 인해 1997년부터 폭발적으로 증가한 한국의 인터넷 기술과 보급률은 2000년 세계 최고 수준으로 올라서면서 보안의 필요성이 급증, 세계 최초로 128비트 보안 모듈을 개발한 것은 세계적 성과였다. 당시로서는 웹 브라우저에서 제공하지 못하는 보안 기능 구축을 위해 편법인 액티브X를 동원, 앞선 대한민국의 인터넷 보안 체계를 구축한 것까지는 앞서가는 성공담이었다.
이후 웹 브라우저들은 128비트 보안체계를 액티브X 없이 활용 가능한 동시에 안전한 인증서 보관은 물론, 서버까지 인증하는 새로운 인증체계를 선보였으나, 한국은 이를 무시하고 있다. 액티브X는 사용자의 인터넷 보안을 일시적으로 활짝 열어주는 편법이므로 그 사용은 당연히 매우 제한적으로 이뤄져야 한다. 그러나 한국의 ‘공인인증서 제도’는 한국 국민들에게 액티브X를 너무나도 친숙하게 만들어 줘 한국민들의 인터넷 보안 의식을 떨어뜨리고 말았던 것이다. 결과적으로 한국은 액티브X 사용의 압도적 세계 1위로서 웹 표준 비준수 1위 국가인 동시에 온라인 거래가 가장 어려운 국가가 됐다. 제도 경쟁력의 한계가 노출된 것이다.
서버 검증이 없는 한국의 공인인증제도는 ‘국민은행’과 ‘국만은행’을 구분하지 못한다. 당연히 사기 서버들의 피싱 천국이 됐다. 영국 케임브리지대 앤더슨 교수팀의 논문에서 한국 공인인증서 문제를 명확히 지적하고 있다. 편법 기능인 액티브X의 개발사로서 한국 제도의 최대 수혜자인 마이크로소프트조차 더 이상 이를 반기지 않는다(한국의 윈도와 익스플로어 점유율이 세계 최고다). 새로운 운영체계인 윈도우8은 액티브X를 원칙적으로 지원하지 않는다. 한국은 국가 주도로 이를 편법으로 사용하는 유일한 국가로 남을 것인가?
그렇다면 한국의 온라인 거래는 편리하기라도 한 것일까? 아마존의 ‘원 클릭’구매의 편리성을 경험해 본 해외 직접 구매 이용자들은 ‘도대체 한국의 극도로 불편한 거래에도 사기 피해를 막지 못하는 이유는 무엇인가’라는 본질적 질문을 던지고 있다. 연말정산 한 번 하고 나면 한국인들의 PC는 무수한 금융 모듈을 다운받느라 소위 ‘걸레’가 된다. 한국은 가장 불편하고도 가장 안전하지 못하고 비싼 인터넷 보안 체계를 고집하고 있는 ‘온라인 갈라파고스’인 것이다.
창조경제에서 온라인 거래는 대세다. 수출과 IT 강국이라는 한국의 온라인 무역은 적자일 수밖에 없다. 외국에서 한국 사이트 접속과 거래는 너무도 어렵다. 공인인증서, 인터넷 실명제 등 글로벌 스탠더드와 분리된 쇄국 IT정책의 당연한 결과다. 인터넷 개방성은 국민적 인내의 한계를 넘어섰다. 전 세계가 사용하는 ‘SSL+OTP’ 인증방식과 페이팔, 알리페이 등으로 입증된 페이게이트의 구축이 대안이다. 초연결된 세계 경제에서 갈라파고스적 진화 함정으로부터 벗어날 때다.
2. 금융보안, 원칙을 재정립하자.
온 나라가 금융 보안 문제로 뒤숭숭하다. IT선진국이라는 자부심은 이미 접었다. 인터넷 보안의 후진국이라는 사실이 부각되고 있다. 관련 기관들은 대책 마련에 부산하다. 이러한 과정은 현대 캐피탈 등의 4개의 거대 금융 사고가 터진 2011년 이후 매번 반복되어 왔으나, 문제는 개선되지 않고 오히려 악화되고 있다. 즉 지금까지의 대증요법적인 문제 해결 방법이 아닌 본질적 접근이 필요하다는 것을 의미하고 있는 것이다.
주목할 현상은 전세계 해커들이 한국을 주요 경유지로 활용하고 있다는 것이다. 한국인터넷진흥원(KISA)에 의하면 전세계 악성코드의 70%가 한국을 경유하고 있다고 한다. 그렇다면 왜 한국이 악성코드 국가라는 불명예를 얻게 되었는가 진지하게 반문해 보아야 한다. 한국의 인터넷 보급율이 높고 전자금융 이용율이 높은 것이 이유가 아니라, 한국의 1)인터넷 보안 불감증이 높다는 것과 2) 보안 레벨이 낮은 OS와 브라우저의 사용이 높다는 것이 문제의 본질이다.
그런데 이 두 가지 문제는 한 가지 원인에서 비롯된다. 바로 보안에 너무나 취약한 플러그인(Plug-in)방식의 한국의 공인인증제도 때문이다. 공인인증서에 기반한 한국의 전자금융 제도는 ‘묻지마 플러그인 ’을 국민들에게 인지시켰다. ‘설치하시겠습니까?’라는 질문이 나오면 우리는 무조건 ‘yes’하도록 길들여 졌다. 각종 보안 모듈들을 심기 위하여 다른 나라에서는 상상하기 어려운 전 직원 관리자 모드 사용이 일반화되었다. 보안 레벨이 높아진 상위 OS나 브라우저에서 제한된 액티브X 사용을 풀기 위하여 일부러 보안 레벨을 낮추고 브라우저도 다운그레이드해야 한다.
결과적으로 한국의 인터넷 환경은 악성 코드를 심는데 최적의 조건을 제공하게 된 것이다. 당연히 전세계 해커들은 악성코드를 심어야 가능한 각종 피싱과 파밍의 시험무대로 한국을 활용하게 된 것이다. 작년에만도 인터넷 사기는 재작년의 두 배 가까운 8만5천 건을 넘어서고 있다. 이제는 분명히 인정해야 한다. 한국이 전세계에 가장 악성코드 설치가 쉬운 나라가 되었고 그 이유는 너무나 광범위한 액티브 X와 같은 플러그인 방식의 설치에 있고 한국의 공인인증서가 그 바이러스의 숙주라는 것을.
스티브 잡스가 애플의 차기 제품에서 자바 애플릿를 포함한 모든 플러그인 설치를 없애려 한 이유와 마이크로소프트가 액티브X를 보안 목적에 쓰지 않도록 경고하고 윈도8에서는 원칙적으로 지원하지 않는 이유를 당국에서는 이해해야 할 것이다. 자바 애플릿 혹은 액티브X를 이용한 플러그인을 악용한 악성코드 유입이 문제의 근원인 것이다.
다음은 서버 인증을 제대로 하지 않는 전자금융 제도에 있다. 가짜 사이트로 유도하는 피싱과파밍은 서버 인증을 하지 않는 제도의 허점을 해커들이 악용하기에 가능해 진다. SSL이라는 통신 암호화가 일반화되지 않은 공인인증 기반의 전자금융제도가 피싱과 파밍 피해를 초래한 것이다.
통신과 저장 단계에서 암호화는 너무나도 상식적인 보안의 기본이다. 그런데 우리는 통신 암호화는 물론 저장 단계에서도 암호화하지 않아 작금의 초대형 개인정보 유출 사고가 터진 것이다. 보안은 몇 명 이상의 보안 기술자 등 형식적 규제가 아니라 확실한 책임과 권한의 명확성으로 유지되는 것이다. 보안과 해킹은 창과 방패와 같이 경쟁적 진화를 한다. 규제로 특정 기술을 강요하면 해커들에게는 오히려 기회를 주게 된다.
문제의 본질이 파악되면 임시방편적 대안이 아니라 근원적인 처방이 가능해 진다. 단계적으로 공인인증서를 포함한 플러그인 방식의 보안 규제를 개혁해야 한다. 이미 2010년 호민관실과 합의하여 설립된 인증방법평가위원회가 4년간 실질적인 개점 휴업한 것은 분명히 심각한 문제다.
전자 금융에 대한 국제 협약인 바젤협약은 분명한 원칙을 제시한다. ‘기술의 진보에 대응하기 위하여 당국이 하나의 제도를 강요해서는 안되고, 생체인증과 OTP(일회성 비밀번호)와 보안토큰 등 각종 기술을 반드시(must) 금융기관이 결정하도록 해야 한다’는 것이다. 다양한 보안기술들이 금융기관의 책임하에 활용되어야 한다. 그리고 금융 기관들이 징벌적 배상을 포함하여 모든 책임을 분명히 지게 하는 것이 원초적 대안이다.
3. 공인인증서 문제해결 어렵지 않다.
기업호민관실이 2010년 1월 시작한 ‘1차 공인인증서 규제 해소 운동’은 엄청난 격론 끝에 같은 해 5월 31일 행안부, 금융위, 금감원, 방통위와 중기청 공동의 ‘금융기관에 인증방법 선택권 부여’라는 희망찬 보도자료를 총리실 명의로 발표하며 마무리됐다. 공인인증서 외에도 다른 거래 방법을 다양하게 허용하겠다는 발표에 대해 수많은 네티즌들이 환영의 글을 올리고 기대에 부풀었다. 그리고 4년이 지났다. 그런데 막상 바뀐 것은 없다. 국민들의 공인인증서 규제에 대한 불만은 폭발 직전이다. 어찌된 일일까?
당시 호민관실이 도출한 가이드라인은 이용자 인증, 서버 인증, 암호화, 무결정, 부인방지 등 5가지 요건을 충족하면, 인증방법평가위원회의 평가를 받아 금융거래를 할 수 있게 했다. 문제는 평가위원회를 금융감독규정시행세칙에 규정하고 공인인증서 금융 규제의 주무기관인 금감원에 설치한 것에서 시작된다. 호민관실의 우려에도 총리실에서 공정한 운영을 보장하겠다는 약속을 믿은 것이 불씨가 된 것이다.
평가위원회는 2년간 개점휴업을 하다가, 30만원 이하의 거래에 한해 두 개의 공인인증서 비사용 거래방법을 인증했다. 그런데 30만원 이하는 원래 공인인증서 예외 대상이었다는 점에서 규제는 줄어든 것이 아니라 늘어난 셈이 됐다. 더 이상한 문제는 평가위원회가 인증하고 국제 기준에 부합하는 두 개의 대안도 지금까지 금융기관들이 보안 규정을 이유로 사용을 거부하고 있다는 점이다. 더욱 이상한 점은 애플스토어(한국), 구글플레이(한국)와 어도비(한국)는 공인인증서를 사용하지 않고도 100만원 넘는 결제를 간편하게 하고 있다는 것. 또 영어 페이지로 된 대한항공, 아시아나도 공인인증서 없이 거래가 가능하다. 이들 거래 방법은 평가위에 신청한 적도 없다. 당시 격론을 이끈 전 기업호민관으로 무슨 기준일까 궁금하기 짝이 없다.
그렇다면 당시 문제 삼았던 한국 공인인증서의 약점들은 해소됐을까. 다시 확인해 봤다. 서버 인증이 없어 수많은 피싱 피해를 야기하는 문제는 여전했다. K은행, C은행 등과 대다수의 보험사들은 여전히 보안이 안 되는 상태에서 인증작업을 하고 있다. 암호화만 제대로 됐어도 작금의 개인정보 유출의 문제는 극소화됐을 것이다. 한국의 공인인증 거래는 아직도 당시 제시된 기준에 미흡한 것이 사실이다.
문제는 ‘소나기가 오면 피하고 보자’는 식의 일부 국가기관의 편법 대응이다. 공인인증서 강제 규제는 없앤다고 보도자료를 낸 후, 문제 제기자가 물러나기를 기다린 뒤 평가위원회를 방패로 실질적 규제 개선은 미뤄 버린다. 대표적 사례가 바로 현재 공인인증 기반의 금융거래 규제다.
‘글로벌 표준에 맞는 다양한 공인인증 서비스 허용’은 박근혜 대통령의 공약집에 엄연히 수록돼 있는 구절이다. 대선 당시 안철수 후보는 더 나아가 아예 공인인증서 기반인 ‘액티브X’의 폐지를 공약한 바 있다. 다보스포럼에서 대통령이 천명한 규제 개선을 통한 창조경제 구현에 전자금융거래의 갈라파고스 규제 타파는 절대적이다. 그런데 다양한 서비스를 막는 근거는 법률도 아니고 시행령도 아니고 시행세칙도 아니다. 금감원 내부의 금융감독규정 하부의 금융감독규정시행세칙에 근거한 전 세계에 유례없는 혹독한 실질적 규제다. 한국을 뒤덮는 공인인증서 대란의 해법은 의외로 간단하다. 국회의 법률 개정도 국무회의 시행령 개정도 필요없다. 금감원 내부 규정의 하부 세칙만 손보면 된다.
지난 4년간의 경험에서 규제 해소는 규제 기관에 맡기면 안 된다는 것이 확인됐다. 현 정부가 공약한 다양한 인증방법의 평가위원회는 금감원의 관리를 벗어나야 한다. 분명 2010년 당시 민간 평가기관의 의견을 수용하겠다는 약속을 하고 이행하지 않는 규제 기관에 계속 관리를 맡길 수는 없지 않겠는가.
전자금융에 대한 국제기준인 ‘바젤 협약’은 ‘국가는 특정 기술을 강요하지 않아야 하고 금융기관이 반드시 선택해야 한다’는 선언을 담고 있다. 그 이유가 무엇인지 규제 당국은 곰곰이 생각해 봐야 할 것이다.
4. 안전하고 편리한 금융거래
금융거래는 안전성과 편리성이 갈등구조 속에 있다. 동네 슈퍼에서 생필품 살 때마다 주민등록증과 인간증명을 요구한다면 어떻게 되겠는가? 그렇다고 비밀번호 하나만으로 수십억의 돈을 빼내갈 수 있다면 어떻게 될 것인가? 안전성과 편리성이 양 극단이다.
안전성을 강조하게 될수록 보안의 단계는 강화된다. 단순한 비밀번호에서 일회성 비밀번호로, 생체인증과 강화된 보안토큰 등으로 레벨 업 되면서 단일인증이 아닌 복합인증을 요구하게 된다. 한국도 이미 공인인증서와 더불어 보안카드 혹은 SMS 문자를 통한 일회성 비밀번호를 사용하고 있는 것이다. 공인인증서 또한 한국에서는 비밀번호를 요구하여 보안단계를 높인다.
그런데 전 세계 금융기관들은 금융거래의 측정에 맞추어 보안레벨을 다르게 적용한다. 간단한 거래에는 심지어는 카드 서명도 받지 않는다. 문제가 생기면 업주가 책임진다는 것이다. “그런데 한국의 전자금융은 편리한 것인가?” 라는 질문에 대해서 답은 분명히 아니라는 것이다. 해외교포가 한국에 와서 온라인 물품구매를 하려고 두 시간 동안 각종 인증서와 보안모듈을 다운받고 다시 컴퓨터의 OS를 다운 그레이드하고 익스플로어 레벨을, 브라우저의 레벨을 낮추고, 심지어는 64비트에서 32비트로 체계 변경한 다음에 포기하는 사례들이 숱하게 보고된다. 한국의 금융거래는 복잡하기 짝이 없다. 그런데 과연 안전하기는 한 것일까?
보안 이론의 측면에서 보면 전 세계의 대부분의 국가가 통상적으로 사용하는 SSL+OTP 방식에 대해서 전혀 안전하지 않다. 오히려 피싱과 파밍과 같은 서버인증 부재에 의한 위험도에 무방비하게 노출되어 있을 뿐이다. 그렇다면 엄청 편리한 아마존의 원클릭(one click)은 안전하지 않은 것인가? 전세계 23개 통화에 사용하는 페이팔은 어떻게 운영되는가? 바로 편리하고 안전하기 위하여 수많은 기술적 뒷받침을 하고 있기 때문이다. 그리고 책임은 이들이 진다.
전 세계의 카드사들의 새로운 보안체계는 FDS 라고 하는 행태분석 보안이다. 이것이 사용자에게는 편리성을 제공하고 안전성을 보장하는 지능형 금융보안기법인 것이다. 평소의 행태와 다른 거래가 이루어지면 통보가 온다. 최근에 있었던 자동이체 대규모 인출사건에서도 핵심이 된 것은 문자알림 서비스였다. 이런 평소와 다른 행태의 지출이 확인되면 이를 통보하고 경우에 따라 보류하는 것이 첨단기법들인 것이다. 문제는 이러한 안전하고 편리한 금융 방어기법일수록 이를 개발하는 사람들에게는 지인의 금융거래 형태들이 낱낱이 분석되게 된다. 지인의 정보가 금융기관에 빅 데이터로 쌓이면 쌓일수록 안전하고 편리한 금융거래는 가능해지게 된다. 그러나 이 보안자료들이, 개인정보들이 빠져나가게 되면 편리한 칼은 흉기가 되어 돌아온다.
지능형 보안과 철저한 내부 서버 보안 제도가 새로운 보안기술의 방향이다. 이 기술에서는 어떤 거래형태만 이상 형태로 지목하게 될 경우 상대에게 나의 패를 노출시키게 된다. 마치도 각종 검색 사이트들이 자신의 최종적인 검색 알고리즘을 밝히지 않는 이유와도 같다. 자율과 경쟁이 문제를 해결할 때 통제와 보호의 사고는 문제를 악화시켜갈 뿐이다. 한국 금융기관들에게 자율을 주고 책임을 묻자. 정부당국이 통제하고 보호하는 시대는 이미 끝났다. 정부가 통제한다면 금융 사고의 책임은 정부가 져야 한다는 것이 법리적인 귀결이다. 다시 한번 바젤 협약을 상기하자. 정부가 획일적 규제를 강요하지 말라. 금융기관이 결정하고 스스로 책임지게 하라.
5. 해커와 금융보안
해커와 금융보안의 관계는 창과 방패의 관계다. 자연 생태계와 같이 끝없는 생존경쟁의 진화가 치열하게 일어나고 있는 분야다. 해커들의 해킹기술은 날이 다르게 진화하고 있다. 이에 대응하는 금융기관의 방패 역시 진화적 경쟁에 적합한 구조가 되어야 한다. 특정한 기술과 특정한 제도를 감지하는 획일적인 규제가 해커와 금융기관의 싸움을 해커들에게 유리하게 만들게 된다. 이미 공인인증서들은 유출되고 전 세계의 최대 규모의 악성코드가 뿌려져 있는데, 보안 모듈 하나 추가한다고 대세는 바뀌지 않는다. 정부가 하나의 규제를 강제하면 공격자인 해커들은 전략이 단순해진다. 그것만 뚫으면 되기 때문이다. 사후약방문 식의 기술적 규제는 더욱 문제를 악화시켜갈 뿐이다.
2011년 현대캐피탈 등의 금융대란으로 소위 557 규정을 만들어졌다. 금융당국은 5%의 기술료, 5%의 예산 7% 인력 등의 세부규정을 가뜩이나 복잡했던 규정에 추가하였다. 결과적으로 금융 사태는 줄어들었는가? 그 반대로 빠른 속도로 늘어나고 있다. 획일적 규제는 마치 포커에서 상대방에게 패를 다 보여주고 게임하는 것과 비슷하다. 여기서 전자금융에 관한 국제협약인 바젤협약을 들여다보자. 기술의 진보에 대응하기 위해서는 위원회는 정부가 특정기술을 획일적으로(one fit) 강요하지 않아야 된다고 본다. 비밀번호, 일회성 비밀번호, 생체신호, 보안토큰 등 다양한 보안기술들을 금융기관들이 자율적으로 반드시 결정해야(must determine) 한다. BIS로 유명해진 국제금융협약인 바젤협약에서 이와 같이 너무나도 강력한 어조로 반드시 하나의 등의 최상급 용어를 쓰는 이유는 무엇인가? 바로 수많은 정부기관들, 이와 같은 유혹에 획일적 규제의 유혹에 빠져들 것을 걱정했기 때문이다. 다행히도 모든 국가들이 이와 같은 획일적 규제를 실시하지 않았다. 단 하나의 국가를 제외하고는… 그것이 바로 한국이다.
이제 한국에 금융보안의 문제는 2010년 한국을 방문했던 브루셔 슈나이어 박사의 충고를 들어야 한다. 보안은 특정기술이 아니다. 국가와 조직의 제도와 문화다. 기술은 날로 발전한다. 이제 해킹기술은 전통적인 피싱, 파밍을 넘어 정밀 타격을 하는 스피어 타겟팅(Spear Targeting)으로 발전했다. 통신선로에서 정보를 낚아채던 MIB 단계에서 PC 안에 들어가는 MIPC 단계를 거쳐, 이제는 브라우져 안으로 파고드는 MITB 단계로 진화하고 있다. 우리가 ACTIVE X 라는 보안에 취약한 플러그인 기술을 이용하면서 수없이 내려 받았던 보안모듈들이 유효하지 않게 된다는 것이다. 이에 대비해서 보안기술은 새롭게 발전하고 있다. 가장 주목되는 분야는 사용자의 사용행태에 따른 분석이다. 흔히 FDS라고 얘기하는 이 프로파일 분석기술은 기술적 보안단계에서 인간 행태적 보안단계로 넘어서고 있다. 이 단계에서는 특정기술의 강요는 있을 수 없고 있어서도 안 된다. 더구나 가장 중요한 것은 전체 보안사고의 압도적 다수가 기술적인 문제가 아니라, 사람에 의한 보안 정보유출이라는 것이다. 이번 카드대란 사태와 같다. 바로 제도와 문화적인 문제로 귀결되어 가는 것이다. 카드 대란은 서버 보안의 대표적인 문제다. 특정인이 전체 정보를 파악하지 못하게 하는 제도가 필요한 것이다.
이제라도 늦지 않았다. 금융거래 형태에 맞추어 다양한 금융인증방법을 금융기관에 넘겨주면, 그리고 그 책임은 징벌적 배상제를 포함하여 금융기관에 부담하게 하라. 징벌적 과징금이 아니라 징벌적 배상제가 되어야 한다. 자율을 주고 결과에 대해서 엄격한 책임을 묻게 되면 선진금융과 같이 쉽고도 보안이 유지되는 구조로 발전하게 될 것이다.
6. 기술평가에 대한 오해
정부에서 기술 평가에 대해 오해하고 있는 게 하나 있는 듯하다. 바로 ‘TCB(Technology Credit Breau)’라는 공공 기술 평가기관을 설립해 금융권에 반영을 의무화하고 이를 준수하지 않을 경우 벌칙을 부과하겠다는 것이다. 이는 기술 금융의 본질에 대한 오해에서 비롯된 것으로 보인다. 과연 기술에 대한 객관적 단일 평가가 가능하다는 생각은 어디에서 비롯된 것일까? 한국의 금융 경쟁력이 여전히 WEF와 OECD 경쟁력 하위권에 머무르는 이유가 다시 입증되는 사례가 아닌가 한다.
무리한 정책 추진에 대한 저간의 사정은 이해가 된다. 창조경제 구현을 위해 기술 금융이 활성화돼야 하는데, 기술가치만 제대로 평가되면 시장이 형성될 것이라는 오해는 고양이 목에 방울을 달겠다는 생각과 흡사하다. 기술가치를 객관적으로 단일 수치화할 수 있다는 생각은 기술 시장에 대한 이해 부족을 입증할 뿐이다.
아직도 많은 발명가들이 무한 동력장치를 만들었다며 특허를 출원하고 있다. 그러나 이는 물리 법칙에 위배되므로 불가능하다는 것을 학자들은 알고 있다. 아직도 많은 분석가들이 과거 주식 자료를 분석하면 미래 가치를 알 수 있다는 환상에 빠져 있다. 그러나 역시 복잡계에 대한 이해 부족의 결과다. 전 세계 벤처 캐피털 업계에 벤처기업의 가치를 객관적으로 평가해 투자하자는 주장을 펴면 우스갯소리로 들을 것이다.
기술 사업화의 주체인 벤처기업의 가치를 공공기관이 단일 평가하는 나라는 세계 어디에도 없다. 초기 기업은 복잡계의 영역이기 때문이다. 아무리 분석해도 객관적 가치 산정은 불가능하다는 것이다. 불확실한 기술이 불확실한 기업 환경과의 상호작용으로 사업화되는 과정은 객관화가 불가능하므로 벤처 캐피털은 항상 단일 기업이 아니고 포트폴리오로 투자하는 것이다. 바로 복잡계에 대한 대처 방안이다.
특허와 기술은 벤처기업보다 더 불확실한 영역이다. 과거 모방경제 시대 산업의 추격 기술은 시장의 불확실성이 적으므로 기술가치의 수치화가 가능할 수도 있었다. 그러나 창조경제 시대의 산업 선도 기술을 단일 수치로 객관화가 가능하다고 주장하는 사람은 없다. 단지 주관적 가치 판단에 따라 수많은 벤처 캐피털이 평가하고 투자하고 있을 뿐이다. 복잡계의 대안은 바로 다수의 주관이 모여 판단하는 크라우드 평가다. 단일 평가기관이 아니라 다수의 평가기관들의 주관적 판단들이 모여 시장을 형성한다는 것이다.
여기에서 반론이 제기될 수 있다. 금융기관들이 기술에 대한 투자를 하지 못하는 이유가 기술의 객관적 가치 부족 때문이 아니냐는 주장이다. 그러나 이는 복잡계의 이해 부족에서 기인한 선후(先後) 관계에 대한 오해일 뿐이다. 기술의 가치가 평가돼야 시장이 만들어지는 것이 아니라, 시장이 형성되면서 기술 가치가 접근한다는 것이 행동경제학의 결론이다.
단언컨대 공공기관에 의한 기술의 가치 단일평가는 불가능하다. 정부는 객관적 가치를 제공하려는 관료적 발상에서 기술 시장을 형성하려는 시장적 발상으로 패러다임을 전환해야 한다. 단일 평가 모델은 고비용 저효율의 작동이 불가능한 구조다. 지금까지 기술 금융이 발달하지 못한 이유는 평가기관의 문제가 아니라 평가 시장의 미형성에 있다는 시각에서 출발해야 한다.
기술 평가기관은 기술보증기금, 중소기업진흥공단, 산업은행 등 이미 10여 군데가 있다. NTB(국가기술은행) 등 활용 가능한 DB들이 있다. 이들을 활용해 시장을 만들어 가면 된다. 시장은 개방과 공유에서 출발한다. 정부3.0 패러다임에 걸맞게 국가의 기술 DB를 쉽게 활용할 수 있도록 개방하자. 다수의 민간 벤처 캐피털과 엔젤 투자자들도 참여 가능하다. 이제 만들어질 크라우드 펀딩 사이트에서 크라우드 소싱도 가능할 것이다.
이미 세상은 개방과 융합의 시대로 들어서고 있다. 정부 혹은 공공기관의 역할은 플랫폼 제공으로 바뀌어야 한다는 것이 정부3.0의 기본 철학이 아닌가. 너무 친절한 정부가 되지 말자. 사전 통제에서 사후 평가로 가자. 세계 금융제도 후진국에서 선진국으로 가는 패러다임 변화의 핵심이 아닌가.
7. 금융보안, 원칙을 재정립하자
온 나라가 금융 보안 문제로 뒤숭숭하다. 인터넷 기술은 선진국이나, 인터넷 보안제도는 후진국이라는 것이 바로 불편한 진실이다. 관련 기관들은 대책 마련에 부산하다. 이러한 과정은 현대캐피탈 등 4개의 거대 금융 사고가 터진 2011년 이후 매번 반복돼 왔으나 문제는 개선되지 않고 오히려 악화되고 있다. 즉 지금까지의 대증요법적인 문제해결 방법이 아닌 원칙의 재정립이 필요하다는 것을 의미한다.
주목할 현상은 전 세계 해커들이 한국을 주요 경유지로 활용하고 있다는 것이다. 한국인터넷진흥원(KISA)에 따르면 전 세계 악성코드의 70%가 한국을 경유하고 있다. 그렇다면 왜 한국이 악성코드 국가라는 불명예를 얻게 되었는가 진지하게 반문해 보아야 한다. 인터넷 보급률과 전자금융 이용률이 높은 것은 이유가 아니다. 문제의 본질은 인터넷 보안 불감증이 높다는 것과 보안 레벨이 낮은 운영체제(OS)와 브라우저 사용이 많다는 것이다.
그런데 이 두 가지 문제는 한 가지 원인에서 비롯된다. 바로 보안에 너무나 취약한 액티브X 기반의 전자금융 제도이다. 공인인증서에 기반한 한국의 전자금융 제도는 ‘묻지마 다운로드’를 국민들에게 인지시켰다. ‘설치하시겠습니까?’라는 질문이 나오면 우리는 무조건 ‘yes’ 하도록 길들여졌다. 각종 보안 모듈들을 심기 위하여 다른 나라에서는 상상하기 어려운 전 직원 관리자 모드 사용이 일반화됐다. 보안 레벨이 높아진 상위 OS나 브라우저에서 제한된 액티브X 사용을 풀기 위해 일부러 보안 레벨을 낮추고 브라우저도 다운그레이드하는 웃지 못할 일이 벌어진다.
결과적으로 한국의 인터넷 환경은 악성코드를 심는 데 최적의 조건을 제공하게 된 것이다. 당연히 전 세계 해커들은 악성코드를 심어야 가능한 각종 피싱과 파밍의 시험무대로 한국을 활용하게 됐다. 작년에만도 인터넷 사기는 재작년의 두 배 가까운 8만 5000건을 넘어서고 있다. 이제는 분명히 인정해야 한다. 한국이 전 세계에서 가장 악성코드를 설치하기 쉬운 나라가 되었고, 너무나 광범위하게 남용된 액티브 X 기반의 공인인증서가 그 바이러스의 숙주라는 것을.
스티브 잡스가 애플의 차기 제품에서 자바 애플릿을 포함한 모든 플러그인 설치를 없애려 한 이유와 마이크로소프트가 액티브X를 보안 목적에 쓰지 않도록 경고하고 윈도8과 IE11에서는 원칙적으로 이를 지원하지 않는 이유를 당국은 이해해야 할 것이다. 액티브X를 악용한 악성코드 유입이 만병의 근원인 것이다.
다음은 서버 인증을 제대로 하지 않는 전자금융 제도에 있다. 가짜 사이트로 유도하는 피싱과 파밍의 확산은 서버 인증을 하지 않는 한국 제도의 허점을 해커들이 최대한 악용한 것이다. 전 세계는 표준적으로 금융기관의 서버를 우선 인증하는 것을 보안의 시작으로 한다. 그런데 우리는 가입자 인증에만 목을 맨다. 피싱과 파밍 피해를 초래한 책임을 면하기 어렵다.
데이터 통신과 저장 단계에서 암호화는 너무나 상식적인 보안의 기본이다. 그런데 우리는 통신 암호화는 물론 저장 단계에서도 암호화 하지 않아 초대형 개인정보 유출 사고가 터진 것이다. 보안은 형식적 규제가 아니라 확실한 책임과 권한의 명확성으로 유지되는 것이다. 이번 카드 사태와 같이 한 명이 전체 자료에 접근하는 것은 서버 관리의 기본을 위배한 것이다.
문제의 본질이 파악되면 임시방편적 대안이 아니라 근원적 처방이 가능해진다. 단계적으로 공인인증서 기반의 획일적인 전자금융 제도를 다양화해야 한다. 이미 2010년 기업호민관실과 합의해 설립한 인증방법평가위원회가 4년간 실질적으로 개점 휴업한 것은 분명히 당국이 책임져야 한다.
전자금융에 대한 국제 협약인 바젤협약은 분명한 원칙을 제시한다. ‘기술의 진보에 대응하기 위하여 당국이 하나의 제도를 강요해서는 안 되고, 생체인증과 OTP(일회성 비밀번호), 보안토큰 등 각종 기술을 반드시 금융기관이 결정하도록 해야 한다’는 것이다. 다양한 보안기술들이 금융기관의 책임하에 활용돼야 한다는 것이다.
정부의 잘못된 규제를 원칙으로 되돌리자. 비정상의 정상화를 이제라도 시작해야 한다.
글 : 이민화 KIST교수 – 한국벤처협회 명예회장 – 창조경제연구회 이사장
[divide]
공인인증서 10만 청원 운동 참여하기: http://bit.ly/1covTJV
관련 기사
