청와대 규제개혁신문고에 오픈넷이 드리는 건의

청와대가 규제개혁위원회와 함께 개설한 “규제개혁신문고” 사이트 주소는 http://www.better.go.kr/fz.sinmungo.RegulPrpslIsF.laf 입니다.

우선, 이렇게 인터넷을 통하여 직접 소통하면서 국민(이용자)의 고충이나 제도개선 제안을 보다 널리 청취하고자 하는 변화는 매우 바람직합니다. 저는 여기서 한걸음 더 나아가서 “제안 접수” 뿐 아니라, 접수된 제안을 검토하고 결정이 이루어지는 “전 과정”을 인터넷으로 개방하고 참여를 유도하는, 보다 진전된 형태의 정부(진정한 정부3.0) 업무 처리 모델을 제안드린 바도 있습니다. 대통령직속, Chief Information Officer 를 제안합니다.

하지만, 청와대가 오픈한 규제개혁신문고 웹사이트는 몇가지 문제를 안고 있습니다. 국내 평균적 사이트보다 더 좋거나 더 나쁜 것이 아니라, 국내 평균적 웹사이트가 거의 언제나 안고 있는 다음과 같은 “고질적” 문제점들을 이 사이트도 고스란히 가지고 있습니다.

첫째, 접속 하자마자 다짜고짜 추가프로그램 설치를 강권합니다. 그것도, 서버 신원이 전혀 확인될 수 없는 http접속 상태에서 정체불명의 프로그램을 나눠주면서, “이거 좋은 것이니, 반드시 설치하시라”고 다그치고 있습니다. 한국이 전세계 해커의 “놀이터”로 전락한 이유는 이런 (무개념) 웹사이트들의 무식한 행위로 인하여 지난 십수년 간 국내 유저들은 아무 생각없이 사이트가 하라는대로 “OK”를 누르는데 익숙해졌고, 이것이 “보안을 위한 것”이라고 오해하기까지 하고 있기 때문입니다(그림을 클릭하면 크게 보실 수 있습니다).

asking-to-install

둘째, 이 사이트는 교신정보 암호화를 굳이 추가 프로그램(XecureWeb)으로 하는 미개한 행위를 하고 있습니다. 소프트포럼, 이니텍 등 국내 보안업체들이 90년대말의 미숙한 인식수준에서 ‘개발’한(ETRI에서 구입한) 부끄러운 기술을 아직도 사용하고 있는 것입니다. 물론 특정 운영체제, 특정 웹브라우저에서만 교신 암호화를 할 수 있는 낙후된 기술이지요(뭐, “기술”이라 하기도 좀 우습지만). 제 화면에는 이런 ‘안내’가 뜹니다.
XecureWeb

서버인증서를 제대로 채택해두기만 하면, 어떤 추가프로그램도 필요없이 모든 웹브라우저, 모든 디바이스, 모든 운영체제에서 교신암호화 뿐 아니라, 서버신원확인까지도 제대로 할 수 있습니다. 예를 들어, 오픈웹 https://openweb.or.kr/html5 에서 입력하는 정보는 모두 암호화되어 전달될 뿐 아니라, 유저가 “진짜로” openweb.or.kr 서버에 접속해 있다는 사실을 확인할 수 있습니다. 오픈웹 서버인증서는 스타필드라는 인증기관에서 발급받았습니다(비용은 1년에 5만원가량).

셋째, “실명인증”이라는 걸 합니다.
name_authentication
주민등록번호나 아이핀이 없으면 규제 개선 “건의”조차 못하게 하겠다는 것입니다. 한국 사람들만의 “인트라넷”을 전제로 한 쇄국주의적 발상인거죠. 인터넷이 뭔지를 이해하지 못한채, “남한”을 우주(universe)라고 생각하는 촌놈의 찌질함이 절절히 배어나는 “실명인증”. 언제까지 이렇게 “쇄국주의 인터넷” 발상에 머물건지요?

게다가 “주민등록번호 인증”은 리눅스OS/크롬웹브라우저에서는 아예 작동도 안합니다.

한편, “공공 I-PIN 실명인증”이란 것을 클릭하면, 이런 경고가 뜹니다.
g-pin-warning
“보안경고 무시하고 그냥 진행하라”는 황당한 안내를 한국 이용자는 워낙 많이 들어왔던지라, 이런 정도의 경고는 별문제 안된다고 생각하는 사람들이 많을 것입니다. 이게 한국의 보안수준입니다.

인증서(digital certificate)기술은 원래 글로벌한 기술이고, 글로벌한 “제3자 검증 체제”에 근거한 것이라는 초보적 사실을 이해 못한 나머지, “정부 단위”의 국내 독점(국외에서는 듣보잡) 인증, 즉, “국가 공인” 인증체계라는 것을 만들어 두었기 때문에 이렇게 되는 것입니다. 철두철미 쇄국발상이고, 철두철미 촌놈발상(parochialism)인거죠. 글로벌한 제3자 검증이 뭔지도 모르고, ‘신뢰’가 어디에 기초해서 생겨나는지도 모르는 분들… 이젠 더 상대하고 싶지도 않습니다.

어쨌거나, 저는 이 모든 난관을 헤쳐나가서 다음과 같은 건의를 드리려고 했으나… 결말은 비극적 코메디였습니다(아래 인용글 끝부분 참조). 정부가 보안 기술에 개입해서 “이 기술이 안전하니 이 기술을 쓰라”고 강요하는 보안독재, 관치보안을 10년 넘게 계속하면, 그런 나라의 보안인력, 기술인력의 수준은 이런 지경으로 떨어지게 마련입니다.

opennet-keechang-kim150x123
++++++++++

규제개혁신문고 개설을 축하드립니다. 다음과 같은 건의 사항을 드립니다.

1. 페이지 접속 하자마자 키보드보안프로그램 설치하라면서 설치프로그램(*.exe)을 내려주는 행위는, 악성코드로 유저 컴퓨터를 감염시키려는 악성사이트들이 하는 행위입니다. 청와대 규제개혁신문고 페이지가 그런 행위를 하는 것은 적절하지 않다고 생각합니다.

2. 주민등록번호 실명인증은 저의 이용환경(리눅스에서 크롬웹브라우저 사용)에서는 작동이 안되었습니다.

3. 공공 I-PIN은 “믿을 수 없는 사이트”라는 보안 경고가 뜹니다. (현재 gpin은 GPKI서버인증서를 사용하고 있어서 이런 문제 발생. 모든 웹브라우저가 믿어주는 서버인증서를 사용해 주세요)

4. 규제개선 “건의”를 어째서 내국인에 한해서 할 수 있도록 하고 있는지 선뜻 납득이 가지 않습니다. 해외 동포, 한국어를 이해하는 외국인은 아예 “건의” 조차 해서는 안된다는 의미 인지요? “인터넷”을 통하여 정책 피드백을 받고, 건의를 받는 중요한 이유/장점 중 하나는 “온세상”과 소통할 수 있고, “온세상”의 아이디어를 모아볼 수 있다는 것 아닐까요?

물론, 대한민국 정부가 “영어”로 페이지를 제공하라거나, 여러 언어로 페이지를 만들라는 이야기가 아니며, 한국어만으로 페이지를 제공하는 것 자체를 문제삼을 이유는 없습니다.

이미 “한국어”로만 페이지를 제공하고 계시니, 벌써 그것만으로도 대상자들의 범위는 상당히 제한되어 있는 셈입니다(전세계의 한국어 이해가능자). 거기에 더해서 굳이 주민번호라거나, I-Pin 이라는 “국내용 인증체제”라는 추가적 제약/이용자 범위 제한을 가할 필요가 있나요?

“실명인증”을 사용하지 말고, “이메일 인증”을 사용하신다면, 진정한 “인터넷”의 취지와 부합할 것으로 생각합니다.

끝으로, 이상 의견을 모두 적은 다음 “확인” 버튼을 눌렀으나, 아무 반응이 없어, 이 건의는 드릴 수 없었습니다.

안녕히 계세요.

cannot-post

Print Friendly, PDF & Email