미래부 '네이버 툴바' 판촉 사건

점입가경이라고나 할까.
오늘(5월6일), 미래부는 “홈페이지에 숨겨진 악성코드 꼼짝마!“라는 선정적 제목의 보도자료를 배포하면서(“헉”, “충격”, “경악”이란 단어는 그래도 자제한 점을 높이 평가한다), KISA가 2009년부터 배포하려고 열심히 노력해 봤으나 지지부진했던 WebCheck 툴바(프로그램) 및 악성사이트 리스트(데이터베이스)를 네이버에 ‘전수’해 주었고 “우선적으로 NHN이 관련기능을 담아 5월 7일부터 서비스하기로” 했다고 발표했다. 미래부의 이런 조치는 “국민들의 안전한 인터넷 이용환경 조성에 기여할 수 있을 것”이라는 것이 보도자료의 골자이다.
이런 보도자료를 그대로 베껴 적은 대다수의 언론은 “성은이 망극하오이다” 수준의 기사를 마구 쏟아냈다(필자가 확인한 바로는 미디어IT와 블로터닷넷 만이 예외)

우선 궁금한 점은, 보도자료를 준비한 미래부 정보보호정책과 오승곤 과장(02-2110-2920)과 김주봉 사무관(02-2110-2924)이 이 사안을 정확히 파악하고 이런 보도자료를 준비한 것인지 하는 점이다. 보도자료를 자세히 보면, 좀 이상하다. 해당 귀절은 다음과 같다:

국민들이 인터넷 홈페이지 악성코드 감염 여부를 쉽게 알아볼 수 있도록 한국인터넷진흥원(KISA, 원장 이기주)에서 악성 홈페이지 체크 프로그램(일명 웹체크)의 기능을 인터넷 포털의 툴바에 장착키로 하였다
※ 툴바(tool-bar) : 자주 사용하는 기능을 시각적인 버튼으로 이용할 수 있도록 모아놓은 것

“자주 사용하는 기능을 시각적인 버튼으로 이용할 수 있도록 모아놓은 것”이 툴바? 그 툴바가 이 툴바인가? 네이버 사전의 ‘툴바’ 설명을 베껴온 이 분들은 자신들이 보도자료를 뿌리며 이야기하는 툴바라는 것이 별도로 설치해야 하는 프로그램이라는 사실은 아시는지? “KISA가 웹체크 기능을 인터넷 포털의 툴바에 장착”한다는 것은 또 무슨 뜻인지?
원래 KISA가 웹체크라는 툴바 소프트웨어를 배포하고 있었고, 네이버도 오래전부터 네이버 툴바 소프트웨어를 배포하고 있었다. 웹체크 툴바는 인기가 없었는데, 네이버가 최근에 웹체크 툴바의 기능을 네이버 툴바(이것도 그리 인기가 있어보이지는 않는다; 네이버에서 ‘툴바’까지만 검색하면, ‘툴바 삭제’가 자동검색어로 뜰 지경)에 편입하여, 네이버 툴바 기능을 보다 확충하여 5월7일부터 배포하기로 했으므로, 별 관심을 못끌던 웹체크 툴바가 이제 좀 빛을 보게되었다는 뜻이다.
물론, 네이버 툴바를 좋아해서 자신의 컴퓨터에 설치하는 이용자들은 이제 KISA가 파악해 둔 악성사이트에 접속하려 할때 유용한 경고를 받을 수 있으므로 나쁠 것은 없다(IE또는 파이어폭스에서만 작동).
하지만, 이번 사건은 여러가지 잘못된 점이 있다.
첫째, 정부(미래부)가 이런 내용을 대대적으로 선전하면서 네이버 툴바가 마치 국민을 악성코드 감염위험으로부터 구해줄 구세주인 것처럼 띄워주는 보도자료를 뿌리는 것은 잘못된 것이다. 이런 선전은 네이버가 스스로의 비용으로 하는 것이 옳다(허위 과장 광고로 처벌될지 여부는 별도로 검토해야 겠지만). 네이버 툴바 판촉을 왜 미래부가 국민세금으로 하는가?
둘째, 정부가 무슨 대단한 보안 기술이나 보안 솔루션을 국민에게 무료로 제공하는 것처럼 분위기를 띄우면서 이런 일을 정부의 업적처럼 선전하는 행위는 옳지않다. 어떤 정부도 보안 기술이나 솔루션을 제공할 수도 없고 해서도 안된다. 네이버 툴바만이 이런 기능을 가지고 있는 것도 아니다. 다른 경쟁사의 솔루션도 있고, 더 나을 수도 있다. 정부가 보안 기술/솔루션에 개입하면 특혜, 기득권 사업자만 생길 뿐, 더 나은 보안기술이 시장에 들어오지 못하게 되어, 결국 국민들은 낡고 열악한 보안 솔루션을 사용하도록 강요당하게 된다(“그래도 도입 당시에는 나름 이유가 있었다”는 초라한 변명을 10년이나 들어가며). 공인인증서, 샾메일, 금융앱스토어… 다 그런 경우이다.
다행히 네이버 툴바를 ‘강제’하겠다는 말은 없지만, 미래부가 이런식으로 강력히 밀어준다는 인상을 심어주는 것은 부도덕하다. 실제로 네이버 툴바가 더 나을지, 구글크롬 웹브라우저에 내장된 악성사이트 차단/경고 기능이 더 나을지는 미래부 과장이나 사무관이 이러쿵 저러쿵 할 문제가 아니다.
셋째, 네이버는 이 사건에 대하여 그 경위를 분명히 밝히고, 만일 미래부 공무원과 협의하여 네이버 툴바의 판촉에 미래부의 협조를 구한 바 있다면, 공식적으로 사과하는 것이 옳다. 업체가 자신의 제품을 개선하거나 신기술을 개발하였으면, 소비자를 상대로 자력으로 판촉과 선전을 하며 소비자의 사랑과 선택을 받을 수 있도록 노력하는 것이 정당/정직한 기업의 자세이다.
자신의 제품이 좋다는 점을 공무원 앞에 가서 선전한 다음, 무식한 공무원이 국민의 세금으로 “이 제품은 안전하다”라며 “권위있게” 선전해 주도록 꼬드기는 것은 파렴치한 일이다. 보안이 ‘권위’에서 나오는 줄 착각하는 후진국에서나 벌어지는 것이다.
넷째, 이 글에서 이미 자세히 설명되어 있기도 하지만, 국내 이용자들도 이미 IE의 Smart Screen이라는 악성코드 감시 기능이나, Firefox, Chrome, Safari가 제공하는 StopBadware(구글)의 데이터에 기반한 차단 기능, 그리고 무슨 웹브라우저를 사용하건 구글 검색 페이지를 이용할 경우, 악성사이트에 대한 경고성 안내를 이미 받고 있는 중이다(심지어 구글은 트래픽 패턴에 기반하여 – 즉 어떠한 소프트웨어도 유저 컴퓨터에 설치하지 않고서도 – 유저 컴퓨터의 감염여부에 대한 진단도 제공한다). KISA는 네이버에게만 악성사이트 데이터베이스를 무슨 비법처럼 ‘전수’할 것이 아니라, 이미 전 세계적으로 사용되는 악성사이트 데이터베이스에도 그 정보를 공유하면 안되는가?
진작부터 KISA는 자신이 수집, 확인, 업데이트하는 악성사이트 데이터베이스를 원하는 사업자는 누구나 자유롭게 이용할 수 있도록 API를 투명하게 공개하였어야 한다. 국민의 세금으로 구축한 데이터베이스, 애초부터 모든 사업자들이 자유롭게 사용할 수 있도록 투명하게, 그리고 호환성있게 ‘로(raw)데이터 형태로’ 공유되었어야 할 정보를 혼자서 욕심을 부리고 4년이나 붙잡고 있다가 이제 와서 네이버에게 ‘전수’해 주었다는게 과연 자랑거리인가?
공공데이터 개방의 개념 조차 없는 KISA나 미래부나, 그런 미개한 공무원을 앞세워 자기 제품 판촉에 여념이 없는 네이버나, 그런 내막도 모르고 “성은이 망극하오이다” 식의 기사를 뱉어내는 미디어나…
KISA는 www.flneapps.co.kr 사이트를 또다시 악성사이트로 분류하는 ‘실수’를 범하지나 말았으면 한다.
그리고 미래부 http://www.msip.go.kr/ 웹사이트는 마우스 오른클릭 못하게 해두는 괴상한 짓은 그만하길 바란다. 이것이 ‘보안’에 도움이 된다고 생각한다면, 그 자체가 보안지식의 철저한 결핍을 보여주는 것이다. http://jeyjoo.com/blog/how-to-view-the-code-behind-a-website