溫故而知新(온고지신)이라 했습니다. 옛 경험을 되살려 새로 다가오는 앞일에 대처할 줄 아는 ‘미래부’가 되면 좋겠다는 심정에서 몇가지 건의 드립니다.
첫째, 진흥책, 육성책, 유망사업지원, 시범사업… 이런 것 하지 마시면 좋겠습니다. WIPI(2005-2009)도 모바일 산업 “진흥책”으로 탄생한 것이었습니다. 공인인증서(1999-2013)도 암호화기술, 전자상거래 “육성책”으로 탄생한 것이었습니다. 작년에는 ‘클라우드’, 올해는 ‘빅데이터’ 어쩌구 하는 것이 “유망산업” 처럼 보이실 수도 있겠지만, 정부가 섣불리 육성, 진흥, 지원책을 빼들고 나선다면, 그 결과는 참담할 것입니다. 리눅스 확산 ‘시범사업” 어떻게 되었던가요? 부요리눅스 혹시 기억나시나요…
“이번에는 다를꺼야, 다르게 할꺼야”라고 아무리 노력하셔도, 소용 없다고 생각합니다.
둘째, 미래부는 HTML5 규약과 CSS3 규약의 “한국어 번역” 사업에 예산을 배정하고 지원할 계획을 수립한 것으로 알고 있습니다. 매우 바람직한 방향이라고 생각합니다. 민간 업체나 현업에 있는 개발자 개인들은 이런 작업을 할 여건도 못되고, 대학도 이런 일을 안하고 있습니다. 그야말로 ‘아무도’ 안하지만, 정말로 필요한 일, 바로 이런 작업이 ‘정부’가 국민의 세금으로 해야할 일이라고 생각합니다.
‘첨단 기술’ 개발은 기업이 스스로 하도록 그냥두시면 좋겠습니다. ‘돈이 되는’ 분야는 돈벌이가 본업인 기업이 자력으로 하고, ‘공정하게 경쟁’할 수 있도록 시장환경을 감독하면 됩니다. ‘돈이 안되지만 필요한 일’에 정부가 예산을 쓰면 됩니다. 미래 ‘유망산업’을 찾아서 ‘선정’하려하지 마시기 바랍니다(그것은 시장이 저절로 선택합니다). 미래 유망산업을 골라서 연구, 투자하는 것은 “기업의 R&D”이고, 가장 기본적인 지식 기반(knowledge base)을 구축하는 일, 이것이 바로 “정부의 R&D”라고 생각합니다.
말 나온 김에, HTML5, CSS3뿐 아니라, SVG, MathML, Geolocation, XmlHttpRequest, Context 2D, Web Fonts (WOFF) 에 관한 기술 문서들의 “한글 번역” 작업도 지원해 주시면 좋겠습니다. 문서 번역 뿐 아니라, 실제로 예제들을 어떻게 활용하는지에 대한 ‘튜토리얼’ 사이트들도 만들어 주시면 좋겠습니다. 이렇게 기초지식들이 쉽게 접근할 수 있게 한글화 되어 있으면, 그런 지식을 익힌 무수히 많은 인력들이 기발한 생각으로 ‘유망산업’을 창조해 나갈 것입니다.
대학이 진작에 했어야 할 일인데, 이렇게 부탁드리자니 부끄럽긴 합니다.
셋째, 공인인증제도, 고민되시지요? 여기서도 ‘기본 지식’을 구축하는데 관심을 기울여 주시면 좋겠습니다. 다음 자료들을 한글로 번역하는 일을 지원해 주시기 바랍니다:
- WebTrust Program for Certification Authorities
- Principles and Criteria for Certification Authorities 2.0 (인증기관의 업무수행 원칙 및 기준)
- Principles and Criteria for Certification Authorities – Extended Validation Audit Criteria 1.4 (EV인증서 발급 인증기관에 대한 감사 기준)
- SSL Baseline Requirements Audit Criteria V1.1 (서버인증서 발급 인증기관에 대한 감사 기준)
- Electronic Signatures and Infrastructures (ESI)(전자서명 및 기반구조)
- Policy requirements for certification authorities issuing qualified certificates (유럽연합 법정규격에 맞는 인증서를 발급하는 인증기관의 업무수행기준) ETSI TS 101 456 V1.4.3 (2007-05)
- Policy requirements for certification authorities issuing public key certificates (EV인증서를 발급하는 인증기관의 업무수행기준) – ETSI TS 102 042 V2.3.1 (2012-11)
- ISO 21188:2006 Public key infrastructure for financial services — Practices and policy framework (금융거래용 인증서비스 업무수행 기준 및 정책기조에 관한 ISO표준)
인증기관들이 과연 믿을만하게 업무를 수행하는지를 점검하는데 사용되는, 세계적으로 통용되는 기준들입니다. 세계 무대에서 영업하는 인증기관들은 이런 기준을 준수하는지를 독립적이고 전문성이 있는 보안점검 서비스 제공자(인증기관과는 별도의 민간 회사들입니다)에 의하여 매년 감사(실사) 받고 있습니다. 국내의 보안업계 종사자들은 이런 기준이 있는지조차 모르는 분들이 대부분입니다.
국제적으로 통용되고 인정받는 업무수행기준이 ‘무엇인지’를 한국의 인력들도 이해를 해야, 이런 기준에 따라서 인증업체를 점검해주는 보안감사(security audit)서비스 산업이 국내에도 생겨날 수 있습니다. 보안감사 업체들이 ‘인증기관만’ 점검하는 것은 아닙니다. 은행, 공공기관, 기업 등의 보안이 과연 제대로 되는지를 이러한 보안감사 업체들이 ‘유료로’ 점검해 줄 수 있게 됩니다. 정부, 금감원 등이 보안을 ‘무료로’ 점검해 준답시고 나서면, 진정한 전문업체가 존립할 기반이 사라지고, 대형 보안참사가 반복되고 “부칸 소행”이라는 웃기는 소리가 자꾸 나오게 됩니다.
“NPKI폴더 만들어서 인증서/개인키 저장해 두고, 플러그인 뿌려서 암호화하면 돼”, “공인인증서는 부인방지 효과가 있어”라는 따위의 끔찍하게 미개한 발상을 국민들에게 더 이상 강요하지 마시면 좋겠습니다.
인증기관의 업무가 과연 안전하게 수행되는지를 점검할 ‘전문적 역량’이 정부/공무원에게는 없다는 엄연한 사실을 이제는 직시하고, 인정하시면 좋겠습니다(어느 나라 정부도 이런 역량은 없고, 공무원이 이런 일을 할 이유도 없습니다). 인증기관을 ‘정부’가 점검하거나, ‘정부’가 국민들에게 ‘이 업체를 믿으세여’라면서 함부로 ‘공인’이라는 이름을 붙여 국민(법관 포함)을 오도하는 일은 이제 그만둘 때가 되었습니다. 1990년대 말 미개했던 시절, 그렇게 하는 것이 “육성책”이라고 오해했던 불행한 과거를 이제 말끔히 청산하고, 새출발을 하면 좋겠습니다.
“네이버 툴바 설치하세요”라거나, “HTML5로 공인인증서를 계속 사용하세요”라는 등의 절망적 이야기는 철회해 주시면 고맙겠습니다.