자신의 컴퓨터가 악의적 공격자에게 이미 장악된 이용자가 그런 사실을 모른 채 어떤 웹사이트에 로그인하고자 아이디와 비밀번호 등을 키보드로 입력하면, 그 입력값은 공격자에게 노출될 수 있다.

키보드 해킹 방지 프로그램은 이용자가 키보드로 입력한 값을 자신이 먼저 가로채서 이것을 암호화한 다음 이 값이 최종적으로 네트워크로 내보내지기 직전 복호화해 내보냄으로써 이용자의 컴퓨터 내에서 이 값이 처리되는 동안에는 악의적 공격자가 설사 그 값을 가로채더라도 내용을 알기 어렵게 하는 기능을 수행한다.

이 프로그램은 평소 자신의 컴퓨터를 제대로 관리하고, 웹서핑 중 정체불명의 프로그램을 컴퓨터에 설치하지 않은 이용자에게는 아무 필요도, 소용도 없다. 자신의 컴퓨터를 제대로 관리한 자라면, 공격자가 그 컴퓨터를 애초에 장악하지 못한다. 따라서 키보드 입력값을 가로챔 당할 이유가 없다. 해킹 위험에 대비하고, 보안 의식을 높이는 것은 좋으나, 그 위험을 과장하는 것도 피해야 한다. 보안 프로그램은 무조건 많이 설치하면 좋은 것이 아니다. 소프트웨어를 제대로 관리한 멀쩡한 컴퓨터에까지 ‘보안 프로그램’ 설치를 강요하는 순간, 엄청난 보안 위험을 제도적으로 초래하게 된다.

물론 윈도 운영체제를 이용하는 많은 국내 이용자들은 운영체제 소프트웨어를 제때 업데이트하지 않아 공격자의 침입에 무방비 상태로 있을 뿐 아니라(특히 불법 복제된 윈도는 ‘중요’ 보안 업데이트를 전혀 받을 수 없어 전세계 공격자에게 자신의 컴퓨터를 상시 제공하고 있는 셈이다), 이미 무수한 액티브X 설치 경고창에 대해 “반드시 ‘예’를 누르라”고 안내받고, 사실상 무조건 ‘예’를 눌러왔다. 따라서 국내 이용자들의 컴퓨터는 이미 거덜날 대로 거덜난 것으로 전제하고, 금융감독원은 키보드 해킹 방지 프로그램 설치를 강제 적용하고 있는 것이다.

파이어폭스 웹브라우저로 금융감독원 홈페이지(http://www.fss.or.kr/)에 접속하면, 불문곡직하고 키보드 해킹 방지 프로그램 설치부터 강요하는 것을 확인할 수 있다. 그동안 무수한 액티브X 플러그인 설치를 앞장서서 강요해 온 ‘원죄’를 누구보다도 잘 아는 금감원이 이렇게 ‘도둑이 제발 저리듯’ 키보드 해킹 방지 프로그램 설치를 홈페이지 ‘열람’ 단계부터 강요하는 행태에 측은한 심정마저 든다.

금감원 홈페이지에는 이용자가 로그인하지 않고 그저 읽어보기만 할 내용이 대부분이다. 이용자가 아무런 정보도 입력하지 않고 그저 웹페이지에 제공된 내용을 ‘둘러보는’ 단계에서는 키보드 해킹이 있을래야 있을 수 없다. 그럼에도 금감원의 홈페이지는 시작부터 키보드 해킹 방지 프로그램을 설치하도록 강요하고 있으므로, 그 프로그램을 설치하지 않은 이용자는 내용을 아예 열람할 수조차 없도록 만들어 버렸다.

자신의 컴퓨터가 악의적 공격자에 의해 이미 장악된 이용자라 할지라도, 웹서버가 일회용 비밀번호(one time password)를 이용하는 경우에는 키보드 해킹을 해 본들 별 소용이 없다.

일회용 비밀번호는 다양한 방법으로 구현 가능하다. 로그인할 때마다 비밀번호 전부를 입력하도록 요구하는 대신, 비밀번호 중 매번 무작위로 선택된 일부를 요구하는 방법(예를 들어 처음 로그인 때는 두번째, 네번째, 다섯번째 값을 요구하고, 그 다음 로그인에서는 첫번째, 네번째, 여섯번째 값을 요구하는 등 무작위로 요구값을 바꿔 제시하는 방법)이 있고, 시중 은행이 이미 사용하는 보안카드 방식도 있으며, 일회용 비밀 번호 생성기(OTP)를 사용해도 된다. 자바스크립트에 기반한 화상 키보드(on-screen keyboard) 방식으로 비밀번호 입력을 받을 경우에도 기존 키보드 해킹으로는 별다른 타격을 가하기 어렵게 된다.

일회용 비밀번호 생성기를 인터넷 뱅킹에 도입하는 문제와 관련해 금감원의 김인석 부국장은 “OTP의 사용을 인터넷 뱅킹에 의무 사용하도록 규정을 바꿀 계획은 없다”며 “만일 OTP의 사용을 의무화하면 인터넷 뱅킹 고객에게 부담으로 작용할 수 있다”고 말했다. 그는 이어 “업체들로부터 금감원이 특정 솔루션을 밀어준다는 오해를 받을 수 있다”고 덧붙였다. 

‘의무화 규정을 도입하지 않겠다’는 태도는 지극히 바람직하다. 인터넷 뱅킹 보안과 관련해 행정관청이 법 규정을 동원해 특정 기술의 사용을 ‘의무화’하는 태도는 취하지 말아야 한다. 인터넷 보안 기술은 매우 빠르게 진화하고, 새로운 문제점과 해법이 끊임없이 등장하는 분야기 때문이다.

특정 기술의 사용을 ‘의무화’하는 순간, 그보다 우월한 신기술이 등장하고, 확산될 토양이 원천적으로 말살되는 심각한 문제에 직면한다. 그러나 지금껏 키보드 해킹 방지 프로그램 설치를 ‘의무화’하고 억지로 강요하는 데 누구보다 열을 올려온 금감원이 OTP 사용과 관련해서는 갑자기 “의무화하면 곤란하다”는 주장을 펴는 것은 좀 이상하다.

“고객에게 부담으로 작용할 수 있으므로 의무화해서는 안된다”는 태도는 원론적으로 지극히 타당하다. 그렇다면 키보드 해킹 방지 프로그램 설치를 강요하는 것은 고객에게 ‘부담’이 되지 않는다는 것일까? 인터넷은 마이크로소프트(MS)의 인터넷익스플로러(IE)로만 하는 줄 착각하는 이용자라면, 그깟 프로그램 하나 설치하는 것이 무슨 ‘부담’이 될까 의아하게 생각할 지 모르겠으나, MS IE 외의 웹브라우저 이용자에게 있어 지금까지 금감원이 강요해 왔던 키보드 해킹 방지 프로그램 설치 의무는 엄청난 부담으로 작용해 온 게 사실이다.

더 심각하고 치명적인 이유는 키보드 해킹 방지 프로그램을 설치하려면 관리자(Administrator) 권한으로 컴퓨터를 사용하도록 강요당한다는 점이다. 자신이 여태껏 관리자 권한으로 컴퓨터를 사용해 왔는지조차 이해하지 못하는 이용자라면 관리자 권한으로 컴퓨터를 사용하는 것이 무슨 ‘부담’이 되는 지 이해하지 못할 수 있다. 하지만 컴퓨터 보안과 다중 사용 환경이 수반하는 문제에 대한 기초지식이 있는 자라면 관리자 권한으로 인터넷 뱅킹을 하도록 강요당하는 것이 상식적으로 도저히 납득할 수 없는 치명적 부담이라는 것은 당장 이해할 수 있다.

금감원이 “특정 솔루션을 밀어준다”는 오해를 받아서는 물론 안된다. 그러나 금감원이 지금까지 특정 솔루션을 지지했다는 것은 오해가 아니라 사실이다. 파이어폭스 이용자를 위한 키보드 해킹 방지 프로그램이 최근에 와서야 비로소 배포되기 시작했을 뿐, 지난 수년간 키보드 해킹 방지 프로그램은 액티브X로만 설치하도록 금감원이 강제해 왔다.

액티브X 사용을 강제하면 MS IE만을 밀어주게 된다는 것은 상식에 속한다. MS IE는 ‘솔루션’이 아니라, 웹브라우저 ‘애플리케이션’이므로 금감원이 총력을 다해 밀어주고, 다른 웹브라우저는 한국에 아예 발을 붙이지 못하도록 틀어막아도 괜찮다는 것인지 납득하기 힘들다. 아니면 MS IE는 ‘특정’ 업체의 프로그램이 아니라, ‘보편적’ 프로그램으로 받아들여야 한다는 것인 지 혼란스럽다.

그리고 하드웨어에 불과한 일회용 비밀번호 생성기가 ‘솔루션’이라는 말은 처음 들어 본다. 현재 OTP를 생산하는 업체는 여럿 있고, 이들은 자유롭게 경쟁하고 있다.

“특정 솔루션을 밀어주는” 문제가 나왔으니 한 마디 더하지 않을 수 없다. 키보드 해킹 방지 프로그램은 이제라도 파이어폭스 등에서도 구동이 가능한 프로그램들이 배포되기 시작했지만, 전자서명 기능을 수행하는 플러그인은 여전히 액티브X로만 배포되고 있다. 시중 은행이 배포하는 전자서명용 플러그인은 공인인증기관이 배포하는 것이 아니며, 감독 관청의 심사를 받은 적도 없을 뿐 아니라, 공인인증기관인 금융결제원은 오히려 이 프로그램이 자신과는 완전히 무관하게 시중 은행이 독자적으로 배포, 사용하는 것이라고 법원에서 진술한 바 있다.

따라서 금감원은 시중 은행들이 자체적으로 배포, 사용하는 전자서명 플러그인에 대한 감독 책임을 공인인증기관에게 떠 넘길 수는 없다. 공인인증기관이 이미 그것에 대한 발뺌을 하고, 책임을 부인해 버렸기 때문이다. 공인인증기관과는 무관하게 시중 은행이 순전히 독자적으로 배포, 이용하는 전자서명 플러그인이 액티브X로만 돼 있음에도, 금감원이 이 플러그인의 사용을 강제하는 현 사태는 ‘특정 솔루션을 밀어주는’ 것이 아니란 말인가?

파이어폭스 등에서도 전자서명이 가능한 범용성있는 플러그인을 은행들이 제공하는 것이 ‘고객의 부담’으로 작용할 수 있다는 말은 설마 아닐 것으로 생각한다. 그렇지 않다면, 금감원이 애지중지 떠받드는 ‘고객’은 알고 보면 소비자가 아니라 은행이란 얘기로 받아들일 수밖에 없다.

기존 법규정에 따르면 보안 프로그램은 이용자가 원하지 않으면 그 사용을 강제할 수 없도록 돼 있다. 전자금융감독규정 시행세칙 제29조 제2항 제3호는 다음과 같다 : 이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자PC에 개인용 침입차단시스템, 키보드 해킹 방지 프로그램 등의 보안프로그램을 설치할 것.(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능)

고객이 원하지 않는데, ‘억지로’ 키보드 해킹 방지 프로그램의 설치, 사용을 강요하는 금감원의 처사는 현행 규정에 정면으로 어긋난다. 도대체 규정집을 읽어보기라도 했는지 의문이 들지 않을 수 없다.

금감원은 키보드 해킹 방지 프로그램 설치를 강요하는 처사를 지금 당장 중단해야 한다. 일회용 비밀번호 생성기를 사용하는 자에게는 키보드 해킹 방지 프로그램 설치를 아예 요구해서도 안되며, 웹서버가 스스로 제공할 수 있는(위에 설명한 여타의) 일회용 비밀 번호 구현 방식이나, 자바스크립트 기반의 화상 키보드 사용을 권장(‘의무화’가 아니라)해야 한다.

설사 키보드 해킹 방지 프로그램 설치를 하는 경우에도 이 프로그램을 액티브X형태로 배포할 이유는 전혀 없다. 해당 프로그램 설치 파일의 다운로드 링크를 제공하고, 고객이 자발적으로 판단해 내려받아 설치하도록 하면, 웹서핑 중 웹서버가 난데 없이 내려 주는 프로그램을 이용자가 영문도 모른채 “OK”를 눌러야 하는 위험천만한 구조(構造)를 피할 수 있다. 인터넷 뱅킹에서 액티브X는 원천적으로 기피되거나, 최소화돼야 할 기술이다.

컴퓨터 보안이 마치 무슨 프로그램만 많이 설치하면 ‘자동으로’ 구현될 수 있을 것이라고 착각하는 것부터가 근본적인 오류이다. 기를 쓰고 액티브X를 고집하려는 딱한 발상은 바로 이렇게 보안이 ‘자동으로’ 구현되는 상태가 가능하리라는 망상에 근거해 있다.

모든 이용자를 바보 취급한 다음, 이른바 보안 프로그램이라는 것을 액티브X로 ‘자동’ 설치하도록 ‘강제’함으로써 보안을 구현하겠다는 대한민국 공무원의 딱한 발상은 전세계 보안 전문가의 웃음거리가 될 뿐이다. 왜냐하면 이 정책은 다른 한편으로는 모든 이용자가 ‘악성 액티브X’ 와 ‘보안 액티브X’를 게시자 이름만 보고도 기가 막히게 알아채고, ‘예’와 ‘아니오’를 매번 100% 정확하게 선택해야만 그 정책 목표를 달성할 수 있기 때문이다.

액티브X 형태의 ‘보안 프로그램’ 설치를 강제하려면 위에서 보았듯 웹서버가 이용자에게 “보안경고창이 보일 경우 반드시 ‘예’를 누르라”는 황당하기 그지없는 ‘보안 자살골’ 행각을 거듭할 수밖에 없게 된다. 지금이라도 이용자의 선택을 말살하려 들 것이 아니라, 액티브X 플러그인 방식으로 프로그램을 자동 배포하는 정책을 즉시 폐기해야 한다.

그 대신 프로그램 내려받기 링크를 제공하고, 이용자들에게 정확한 안내와 유용한 정보를 알려줌으로써 이용자가 주체적 선택과 판단을 할 수 있도록 해야 한다. 그래야만 이 암울하고 비참한 보안 위협 터널에서 빠져나올 수 있다.
아이뉴스24 조이뉴스24 아이뉴스24칼럼더보기
Posted by 김기창

전자금융 거래와 관련된 보안 대책은 근본적 반성이 필요하다. 소관 부처인 금융감독원은 이용자 개인에게 이른바 ‘보안 프로그램’을 추가로 설치하라고 강요하는 것에만 목을 매고 있다고 해도 과언은 아니다. 일부 금융 당국 관계자는 보안접속 프로그램, 키보드 해킹 방지 프로그램, 개인 방화벽 프로그램, 안티 바이러스 프로그램 등의 보안 프로그램을 설치하면 전자금융거래가 안전해 질 것이라고 막연히 믿고 있는 것 같다.

3부로 나눠 연재될 이 글에서는 전자금융 거래 보안에 대한 금융감독원의 정책이 안고 있는 문제점을 진단하고, 해법을 제시하고자 한다. 제1부는 보안접속 프로그램에 관한 것이고, 제2부는 키보드 해킹방지 프로그램, 제3부는 개인 방화벽 및 안티 바이러스 프로그램에 관한 것이다.

보안접속(secure connection)을 위한 프로그램은 고객과 웹서버 간의 교신 내용이 네트워크 상에 오갈 때 악의적 공격자가 그 내용을 가로채 읽어보지 못하게 하는 기능을 수행한다. 예를 들어 로그인 아이디와 비밀번호가 고객과 웹서버 간에 오갈 때 제3자가 그 내용을 엿보지 못하게 할 필요가 있음은 당연하다. 대부분의 시중 은행들은 별도의 암호화 플러그인을 사용해 보안접속 기능을 구현하고 있다. 구체적인 방법은 교신채널 자체를 암호화 하거나, 전송되는 메시지 내용을 암호화하는 두가지로 나눌 수 있다. 그러나 컴퓨터 보안에 대한 기초지식이 있는 자라면 보안접속을 굳이 이렇게 별도의 플러그인으로 구현하는 것에 대해 의아하게 생각할 것이다.

웹브라우저에는 이미 보안접속 기능이 내장돼 있다. 그러나 2000년까지 미국 정부가 미국 내 마이크로소프트(MS) 인터넷익스플로러(IE) 웹브라우저는 128비트 수준의 보안접속을 허용했으나, 미국 외로 수출되는 MS IE 웹브라우저는 40비트 이상의 보안접속을 하지 못하도록 금지해 왔다. 40비트 수준의 암호화는 1997년경 연산능력으로도 이미 3.5시간 만에 깨지는 무용지물이었다. 바로 그렇기 때문에 국내의 보안업체는 128비트 보안접속을 위한 별도 프로그램을 개발하는 데 열을 올렸으며, 그렇게 개발된 보안접속 프로그램이 웹브라우저 플러그인(부가 프로그램)으로 배포돼 국내 온라인 뱅킹에 사용되기 시작한 것이다.

지금은 2009년이다. 한국 내 사용되는 MS IE 조차도 이제는 128비트 보안접속 기능을 기본으로 장착하고 있다. 파이어폭스, 사파리, 오페라 등의 웹브라우저는 256비트 보안접속을 기본으로 적용하고 있다. 웹브라우저로 https://www.fortify.net/sslcheck.html 에 접속하면, 자신이 사용하는 웹브라우저가 현재 어느 수준까지의 보안접속을 수행할 능력이 있는 지를 당장 확인할 수 있다. MS IE나 구글 크롬 웹브라우저가 수행하는 보안접속(RC4 cipher를 이용한 128비트 암호화)과 파이어폭스•오페라 등의 웹브라우저가 수행하는 보안접속(AES cipher를 이용한 256비트 암호화)이 국내 보안접속 프로그램들이 제공하는 보안접속보다 허술하다거나, 해킹 위험에 더 노출돼 있다는 주장은 터무니 없다.

128비트 보안접속을 위해 별도 보안프로그램을 설치해야 된다는 주장은 90년대 후반에 개발한 구식 소프트웨어를 아무 기술지식도 없는 고객(웹사이트 발주자)이나 공무원들에게 2009년에 와서까지 마케팅 해보겠다는 상술일 뿐 아니라, 보안 프로그램이라는 미명 하에 엄청난 보안 위험을 국가적으로 초래하는 사기극에 가깝다.

국내의 보안 업체들은 128비트 보안접속 프로그램을 액티브엑스(ActiveX) 플러그인 형태로 배포하고 있다. 2000년 전까지는 외국의 보안 업체들도 미국 외의 고객을 위해 보안접속 프로그램 개발에 열중했고, 이들도 128비트 보안접속을 가능하게 하는 프로그램을 개발했지만, 액티브엑스 형태로 배포하기 보다는 이용자가 자발적•주체적으로 내려받아 설치하면 아예 웹브라우저 자체가 128비트 보안접속을 수행하도록 하는 방식이 오히려 일반적이었다.

따라서 웹서핑 중에 이용자가 요청하지도 않았는데 웹서버가 난데 없이 제시하는 정체불명의 프로그램을 이용자 컴퓨터에 설치해야 하는 상황에 직면하지 않게 된다. 그러나 국내 보안업체는 온 국민이 무조건 해당 보안업체를 믿고, 보안 경고창이 나타나면, ‘반드시 OK’ 하도록 세뇌하는 납득할 수 없는 전략을 선택했다.

이 프로그램을 믿어도 좋을 지를 이용자들이 어떻게 판단할 것인가? MS가 친절하게 설명하는 ‘위험성’에 대한 안내 링크를 실제로 클릭해 그 내용을 꼼꼼히 읽고 액티브엑스의 위험성을 정확히 이해하는 이용자가 과연 얼마나 될까? 위험한지 여부를 판단하는 유일한 근거는 MS 스스로가 고백하듯, 오직 게시자(이 프로그램을 코드 사인해 배포하는 자)를 신뢰할 수 있는지 여부(게시자의 명칭) 외에는 없다. 보안 경고창이 떴을 때, ‘설치’를 클릭하기 전에 ‘Initech, Inc.’ 등으로 표시되는 게시자가 도대체 누구인지, 믿을만 한지를 확인하는 이용자가 과연 몇명이나 될까.

“뭘 그리 꼬치꼬치 따지나? 그냥 믿고 설치하면 되지”라고 말하는 자는 보안을 논할 자격이 없다. 현재 국내 전자금융거래의 안전을 저해하는 가장 심각한 위험 요인은 웹서버가 내려 주는 액티브엑스를 이용자들이 그냥 믿고 OK를 누르는 행태로부터 초래되기 때문이다. 아무려면 믿을 만한 웹서버에 접속했는데, 그 웹서버가 설마 나쁜 프로그램을 이용자에게 배포하겠냐고 물을 수 있다.

그러나 문제는 이용자들이 웹서버를 믿고 민감한 정보를 내보내야 할 때 처음부터 ssl접속이 아니라 비보안접속(http 접속)을 하도록 강요당한다는 데 있다. 악의적 공격 사이트가 ‘믿을 만한 사이트’인 것처럼 위장하는 일은 고객이 http로 접속할 경우 비교할 수 없으리 만큼 훨씬 쉬워진다.

따라서 어떤 사이트에 http로(비보안) 접속한 다음, 그 사이트가 내려 주는 액티브엑스 플러그인을 무조건 믿고 설치함으로써 비로소 구현되는 국내 업체의 ‘보안접속’은 구조적•원천적으로 위험하다. 이 모든 위험을 도대체 무엇 때문에 전 국민이 감수하라는 것인지 도저히 상식으로는 납득할 수 없다. 보안 서버(ssl 접속 서버)를 채용하기만 하면 구현될(그것도 지금 보다 훨씬 강력한 수준의) 보안접속을 마다하고, 기술적으로 위험 천만한 별도 보안접속 액티브엑스 프로그램 방식이 2009년에까지 국내에서 판을 치는 이 상황을 금감원 및 금융당국이 방치한다는 것은 직무유기임에 틀림없다.

더 이상 아무 소용도 없는 보안접속 프로그램을 계속 팔아보겠다는 국내 보안 업체들의 파렴치함도 이제는 공식적으로 문제삼을 때가 됐다고 생각한다. 미국 외로 수출되는 MS IE 웹브라우저의 암호화 수준을 인위적으로 허술하게 유지하려던 미국 정부의 정책이 폐기된 2000년 이후에는 128비트 보안 접속 프로그램을 팔아보겠다는 외국 업체는 없다.

이쯤 되면 컴퓨터에 대한 지식이 조금 있는 사람은 SEED 암호화 알고리즘이 어떻다느니, 국가정보원이 SEED 알고리즘 사용을 사실상 강제한다느니 하는 어려운 말을 꺼내면서, 국내에서는 별도의 보안접속 프로그램 사용이 제도적으로 강제되므로 개발자로서는 어쩔 수 없다는 말을 한다. 하지만 다시는 이런 근거 없는 주장이 반복되지 않았으면 한다. SEED 암호화 알고리즘은 1999년(미국이 수출용 MS IE의 보안접속 기능 제약을 해제하기 직전)에 한국 정보보호진흥원 기술진들이 개발한 128비트 블록 사이퍼 알고리즘이다. 그러나 SEED 알고리즘의 사용을 강제하는 어떤 규정도 없다. SEED 알고리즘이 ‘언급’된 곳은 전자서명법 하위 규정 중 하나인 ‘전자서명인증체계 기술규격2.3’이다.

그러나 이 규정은 보안접속과는 아무런 관련도 없다. 인증서는 그에 상응하는 개인키가 있게 마련인데, 이 개인키 파일은 반드시 암호화해서 보관해야 한다. 그래야 다른 사람이 그 개인키 파일을 무단 입수하더라도 비밀번호를 모르면 함부로 전자서명을 할 수 없게 되므로 덜 위험해지는 것이다. 전자서명관련 규정에서 말하는 ‘암호 알고리즘’은 개인키 파일 보호를 위한 것일 뿐(기술 규격2.3은 SEED 또는 TDES를 사용해서 개인키 암호화를 하도록 규정하고 있다), 보안접속과는 전혀 상관이 없다는 점은 한국정보보호진흥원의 기술 책임자가 직접 밝힌 부분이다.

국정원이 SEED 사용을 강제할 이유도 없을 뿐 아니라, 국정원은 공공기관이 사용하는 보안 프로그램의 모듈에 대한 심의권한 만을 갖고 있을 뿐이다. 법규정은 전혀 모르고, 보안 기술 마저 모르는 ‘얼치기 전문가’들이 퍼뜨리고 다닌 ‘SEED-국정원’ 유언비어는 이제 그만 들었으면 한다. 이제 보안접속은 해괴 망측한 별도 프로그램 방식이 아니라, 보안 서버(ssl 서버)를 채용함으로써 안전하게 구현돼야 한다. 그동안 보안을 빙자해 막대한 보안 위험을 초래해 온 이른바 ‘보안접속용 별도 프로그램’은 당장 걷어내야 한다.
아이뉴스24 조이뉴스24 아이뉴스24칼럼더보기
Posted by 김기창

지난 1월 15일 유럽연합 집행위원회는 마이크로소프트(MS)가 자사 운영체제(OS) 윈도에 웹브라우저인 인터넷 익스플로러(IE)를 포함시켜 판매하는 사업 방법이 웹브라우저들간 자유경쟁을 방해한다고 MS사에 공식 통보했다. 이같은 사업방식이 기술혁신을 저해하며, 소비자의 선택권을 제한하는 불공정 행위라는 잠정 판단을 내린 것.

MS사는 유럽연합의 잠정 판단에 대해 8주내로 답변서를 제출해야 하며, 서면 제출과 구두 절차를 희망할 경우 출석해 진술할 권리가 주어진다. 이 절차를 거쳐 만일 집행위원회의 잠정 판단이 확정될 경우 유럽연합은 MS사에 과징금을 부과하고, 시정조치를 명하게 된다.

유럽연합 행정부에 해당하는 집행위원회가 내린 이번 결정은 지난 2007년 9월 유럽연합 제1심 법원이 선고한 판결에서 확립된 법리와 선례에 근거하고 있다. 그  당시 유럽연합 제1심 법원은 MS가 윈도OS에 윈도 미디어 플레이어를 결합해 판매하는 것은 PC운영체제 시장에서 MS가 누리는 시장지배적 지위를 남용하는 행위라는 판결을 내렸다. MS는 이 판결에 대한 불복을 포기했다.

거의 유사한 내용의 사건이 당시 한국에서도 진행됐고, 공정거래위원회는 유럽연합의 공정거래당국과 마찬가지로 MS에 대해 과징금을 부과하고 시정조치를 명했다. MS는 이 결정에 불복, 서울고등법원에 행정소송을 제기했다가, 유럽연합 법원에서 패소하자 한국 법원의 판결 선고 직전에 소를 취하했다.

동영상 재생 프로그램 끼워팔기(결합판매)에 대해 MS가 그 당시 비중을 두고 제기했던 방어 논리는 윈도 미디어 플레이어가 윈도 운영체제와 기술적으로 긴밀하게 연결돼 뗄 수 없는 관계에 있으며, 윈도 미디어 플레이어를 분리하면 윈도 운영체제 자체가 불안정해진다는 것이었다. 이와 유사한 주장은 원래 IE 끼워팔기가 미국에서 처음 문제됐을 때 MS가 방어논리로 제기해 상당한 성공을 거두기도 했다. MS 주장은 미국 법원에 제기됐고, IE 결합 판매에 대한 미국내 송사가 흐지부지 되는데 결정적인 역할을 했다.

윈도 미디어 플레이어의 결합판매가 유럽과 한국에서 문제가 되자 MS는 같은 방어 전략을 구사했다. 하지만 유럽연합 법원은 윈도 미디어 플레이어가 윈도 운영체제와 별개의 제품인지 여부는 소비자의 수요, 이용 패턴 등을 고려해 판단해야 한다고 결정했다. 법원은 MS가 윈도 뿐만 아니라 매킨토시용 윈도 미디어 플레이어(WMP)를 자체 개발, 배포했으며, 미디어 플레이어만을 개발해 배포하는 경쟁사들이 많다는 점을 인정했다. 또 윈도 미디어 플레이어만을 별도로 내려받아 설치할 수 있다는 점 등을 고려해 윈도 운영체제와 윈도 미디어 플레이어는 ‘별도의 제품’이라고 결론지었다.

이런 내막을 미뤄 짐작해보면, IE가 윈도 운영체제와 기술적으로 일체화돼 있어 분리가 불가능하다는 주장이 유럽 법원에서 성공을 거둘 가능성은 희박하다. IE가 무료로 제공 되거나, 윈도에 포함은 되지만 이용자가 반드시 그것을 사용하지 않아도 된다는 주장 또한 별 의미가 없을 것으로 예상한다. 윈도 미디어 플레이어의 경우에도 동일한 주장이 제기됐으나, 이런 사정은 ‘별개 제품인지 여부를 판단하는 것과는 무관'하다고 이미 유럽연합 법원이 판결했기 때문이다.

IE를 윈도에 결합해 배포함으로써, 윈도가 설치된 PC에는 IE가 무조건 설치되도록 하는 행위가 부당한 이유는 웹브라우저들 간에 기술력과 품질로 정정당당히 경쟁하는 대신 ‘쪽수로 밀어붙이려는’ 강자의 비겁함이 도사리고 있기 때문이다. 이번 유럽연합의 결정이 더욱 큰 의미를 갖는 것은 MS IE를 윈도에 결합해 배포하는 행위가 인터넷 콘텐츠 제공 방법에 끼치는 부정적 측면을 간파하고 있다는 점이다. 이번 결정은 MS의 결합판매 행위로 IE가 널리 퍼져있다는 점이 콘텐츠 제공자들과 소프트웨어 개발자로 하여금 IE 위주의 웹사이트와 소프트웨어를 설계하도록 인위적으로 유도하게 된다는 점을 명시적으로 문제삼고 있다.

MS IE 전용으로 설계된 국내 인터넷 뱅킹, 온라인 쇼핑, 공인인증 시스템 등은 바로 이런 위험이 극단적으로 현실화된 사례다. 윈도 미디어 플레이어 사건은 결국에는 그다지 실효성 없는 시정조치를 명하고 마는 절반의 성공을 거두는데 그쳤다. MS는 PC제작사들이 원하는 바에 따라 미디어 플레이어가 제거된 윈도를 판매할 수도 있고, 미디어 플레이어가 포함된 윈도를 판매할 수도 있는데, PC제작사가 굳이 미디어 플레이어가 제거된 윈도를 구매하는 경우란 사실상 전무하다. 그러나 윈도 미디어 플레이어 사건을 처리하는 과정에서 유럽연합은 적지 않은 경험을 축적했다. 따라서 IE와 관련해서는 보다 진전된 해법이 나올 것으로 예상한다.

유럽의 경우 MS IE 점유율은 현재 약60-70% 수준이다. 만일 IE가 윈도에서 분리되거나 주요 웹브라우저들이 모두 윈도에 탑재돼 공급되는 경우, IE 점유율은 50% 이하로 조정될 가능성도 배제할 수 없다. IE 점유율에 관한 한 한국 시장은 전세계에서 단연 1위다. 2위 이하의 자리를 두고 소말리아, 레소토, 마샬 군도, 아프가니스탄 등이 각축하고 있다. 세계1등이라고 해서 언제나 자랑스러운 것은 아닐 것이다.

아이뉴스24조이뉴스24아이뉴스24칼럼더보기
Posted by 김기창