여전히 많은 사람들이 말합니다. 한국이 IT 강국이라고 말이죠. 들어보자면 "인터넷이 빠르고 IT 쪽으로 되게 많이 발전했다"라고 합니다. 하지만 아직 한국이 IT 강국이 되려면 여전히 많이 해결해야 할 과업이 남아있습니다. 왜냐하면 끝내지 않았기 때문입니다. 진짜 강국은 결과만 봐서는 안 됩니다. 과정도 보아야 합니다. 그래야 어떻게 문제를 해결하고 진짜 강국이라는 자리에 오를 수 있었는지 검증이 되고 그 다음에도 그렇게 할 것이라는 믿음이 생기기 때문입니다.

한국이 IT 강국이라고 불리기에는 아직 많이 부족한가요?

개인적으로 '문제가 되지 않으면'이라는 문장을 '공개적으로 문제가 되지 않으면'으로 정확하게 수정했습니다.

네, 저는 그렇게 생각합니다. 여전히 숙제가 많습니다. 그 중에서 제일 많이 회자되는 것은 '공인인증서'와 '보안 프로그램'일 것입니다. 하지만 그 외에도 'IT 인력의 노동권' 또한 최근에서야 문제로 드러나기 시작했고 억지스러운 한국의 IT 생태계 또한 상당히 안타까운 실태입니다. 공개적으로 문제가 되지 않으면 비교적 사람들의 입에 덜 회자됩니다. 칭찬보다는 악의를 가진 비난 등이 더욱 소문이 빨리 퍼지니깐요.

하나하나 말해보세요!

넵, 그럴겁니다. 시작하기 전에 이 글이 2021년에 쓰였다는 사실을 알아주시기 바랍니다. 몇 년 뒤에도 누군가가 이 글을 볼 수는 있겠습니다만 저는 이 글을 2021년에 작성했기 때문에 나중에 차이가 생기는 것은 확실할 것이니 양해를 바랍니다.


항상 다른 이름으로 살아나는 지긋지긋한 공인인증서

현재 글에서는 '공동인증서'를 구 이름인 '공인인증서'로 통칭하고 있습니다.

공인인증서는 한국의 매우 대표적인 보안 체계 중 하나입니다. 특히 은행이나 금융 업무 혹은 정부 기관과 관련된 업무를 보아야 할 때면 이 공인인증서는 항상 필요해집니다. 최소한 그 과정이 번거롭지 않아지려면요. 하지만 이 공인인증서는 언제부터 이렇게 상용화가 된 것일까요? 한국어 위키피디아의 공동인증서(공인인증서의 새 이름) 문서에 따르면 1999년 전자 서명법을 제정하고 공인인증서 체계를 만들었다고 쓰여져 있습니다.

공인인증서는 국제 표준을 준수하는 안전한 인증 방법임에 틀림이 없습니다. 이 공인인증서의 탄생이 잘못은 아니였습니다. 하지만 인터넷 그리고 IT 업계는 정말로 빠른 속도로 성장을 해왔고 이러한 체계를 곧이 곧대로 유지하는 것이 상당한 문제를 일으켜 왔습니다. 이에 따라 현 정부는 공인인증서 제도를 폐지하고 공동인증서라는 이름으로 체계를 개편했습니다.

그럼에도 불구하고 저는 여기에서 몇 가지의 잘못된 점을 찾을 수 있었습니다.

  • 첫 번째, 여전히 매우 불편한 인증 수단이라는 것.
  • 두 번째, 공인인증서를 사용하는 '습관'을 들여 전체적인 발전 속도를 늦추었다는 것.
  • 세 번째, 여전히 그 체계를 크게 개편하지 못해 핵심적인 원인 제거에 실패했다는 점.

첫 번째, 여전히 매우 불편한 인증 수단이라는 것

공인인증서는 불편합니다. 우리는 항상 비밀번호를 입력해야 합니다. 네, 여기까지는 괜찮습니다. 왜냐하면 공인인증서는 2가지의 종류가 있는데 우리는 저희만 아는 비밀번호로 암호화된 파일을 풀어내어 서버의 인증서와 저희가 소유하고 있는 인증서를 대조해야 하기 때문입니다. 하지만 이 공인인증서의 비밀번호를 입력하는 과정은 정말로 불편합니다. 보안 때문에 불편해도 된다는 것은 일리가 있는 말입니다.

하지만 그 방식이 전혀 보안에 도움이 되는 방식이라고 생각하지 않습니다. 보안 프로그램들은 우리의 정보를 보호한다는 명목 아래에 저희가 입력하고 보는 정보를 감시합니다. 보호해야 하니깐요. 하지만 우리의 컴퓨터에게 보안 프로그램들이 하는 짓은 보호라는 명목 아래에 전체적인 모니터링을 수행합니다. 그럴 수 있습니다.

그런데 왜 보안 프로그램은 잘 지워지지 않는 것일까요? 최소한 저희가 사용하는 도구이고 컴퓨터에서 높은 수준의 권한을 가진 프로그램인데도 불구하고 원할 때 지울 수가 없습니다. 이는 해커가 강제로 프로그램을 지우도록 명령하는 것과는 다른 문제라고 생각합니다. 왜냐하면 백신 프로그램들도 사용자 입장에서는 쉽게 제거할 수 있기 때문입니다.

구라제거기[키보드 보안 프로그램 삭제] 5.04 업데이트
PC 뱅킹의 주적은 PC 뱅킹 프로그램이다. PC 뱅킹을 하고 나면 컴퓨터가 미친 듯이 느려지기 때문이다. 키보드 보안 프로그램을 필두로 컴퓨터를 느려지게 만드는 악의 무리들이 너무나 많다. 전통의 명가(?) nP..

BLUEnLIVE님이 개발하신 구라제거기라는 프로그램은 흔히 '보안 프로그램'이라고 칭해지는 것들을 쉽게 제거할 수 있도록 도와줍니다. 이러한 도구가 존재하는 까닭은 사람들이 무엇이 흔히 '보안 프로그램'이라고 칭해지는 프로그램이고 무엇이 아닌지 알 수가 없기 때문입니다. 확실히 해커가 지우기 때문에 지우기 어렵게 만드는 백신 프로그램들과는 다른 의미로 지우기 어려운 프로그램들입니다. 저는 왜 이러한 도구가 생겨나도록 상황이 방치되었는지 여전히 이해할 수가 없습니다.

이러한 방식으로 지우기 어려운 프로그램은 멀웨어나 홍보를 과도하게 하는 프로그램에만 한정해서 발생하기 때문입니다. 심지어 쌍방으로 닮은 것은 설치 또한 사용자의 동의없이 이루어진다는 것입니다. '파일을 다운로드받아 열었다'는 것이 언제나 '이 프로그램을 설치하고 싶다'라는 것을 뜻하지는 않습니다.

그리고 이 프로그램들('보안 프로그램'이라고 칭해지는 것들)은 설치된 컴퓨터의 속도를 느리게 합니다. 어떻게 작동하는지 자체에서 이미 그 답이 나와 있습니다. 백신도 마찬가지로 대부분의 '감시 활동을 하는 프로그램'의 경우에는 컴퓨터가 무언가를 하기 전에 그 행동을 하나하나 '검사'하게 됩니다. 그렇기 때문에 컴퓨터의 입장에서는 아무리 급한 일이라도 확인을 받아야 하니 전체적으로 속도가 느려질 수 밖에 없게 되는 것입니다.

from SlashGear's post

그 외에도 공인인증서를 대체할 방법은 많이 있습니다. 현재 금융 업계에서 흔히 사용되는 OTP는 특정 시간에 특정 번호를 생성하는 알고리즘을 적용한 예시로 이는 수많은 기업들에 의해 채택되고 있는 '추가 인증 방법' 중 하나입니다.

두 번째, 공인인증서를 사용하는 습관을 들여 전체적인 발전 속도를 늦추었다는 것.

모든 프로그램에는 '동작 환경'이라는 것이 있습니다. 이것은 IT에만 한정되는 이야기가 아닙니다. 그 어떤 제품에도 적절한 환경이라는 것이 있습니다. 예를 들어서 휴대폰은 보통 영하 -20가 아니라 상온에서 제일 잘 작동한다던지 냉장고나 TV 등 대부분의 전자기기가 적정 온도를 가지고 있습니다. 그 온도에서 제일 잘 작동하고 필요하기 때문입니다. 한 가지 예를 더 들어보자면 사람은 지구에서 살아야 한다는 말입니다. 지구같은 환경이 편하고 제일 살기 좋으니깐요.

공동인증서로 개편 이후 새로운 보안프로그램들은 더 이상 Internet Explorer를 사용하지는 않으나 글의 흐름 상 다루고 있습니다.

이러한 보안 프로그램들은 현재 Windows 7에서 제일 잘 작동합니다. 물론 Windows 10에서 작동합니다. 더 정확히 말하자면 Internet Explorer가 있어야 작동한다는 것입니다. Internet Explorer는 흔히 우리가 이전에 '인터넷'이라고 부르던 것으로 현재 주로 사용되는 Chrome이나 Firefox, Brave와는 다른 UI를 가지고 있습니다. 부디 나중에 이 UI를 모르는 사람이 있도록 사진을 첨부합니다.

이 Internet Explorer가 무엇을 잘못했나요? 아무것도 하지 않았습니다. 하지만 이것을 사용하지 말라고 하는 수많은 개발자들의 경고를 들었음에도 불구하고 타 웹 브라우저로 넘어가지 않은 것은 문제가 될 수 있습니다. 여러분의 컴퓨터에요.

Internet Explorer는 위험하고 오래된 웹 브라우저입니다. 2022년 7월 15일에 공식적으로 서비스가 종료되는 프로그램입니다. 하지만 이미 개발은 2013년에 중단되었습니다. 무려 8년 이상 방치된 셈입니다. 제대로 작동한다는 것은 보장되었지만 보안과 기능은 보장이 되지 않았기 때문에 이는 현 세대 웹 개발자들 그리고 보안 전문가들에게도 골칫거리일 것입니다. 8년 동안 정말로 많은 취약점이 발견되었고 이 취약점들은 여러분의 컴퓨터를 위험하게 만들기에 충분합니다. 아래 웹 사이트는 Internet Explorer에서 발견되고 '검증된' 수많은 취약점들을 보여주는 웹 사이트입니다. 물론 더 있습니다. '검증되지 않고 공개되지 않은' 취약점들 말입니다.

Microsoft Internet Explorer : CVE security vulnerabilities, versions and detailed reports
Microsoft Internet Explorer security vulnerabilities, exploits, metasploit modules, vulnerability statistics and list of versions

그런데 Internet Explorer를 사용하는 여러분은 왜 아직도 습관적으로 웹 서핑을 위해서 Internet Explorer를 채택하고 계십니까? 저는 여기에 보안 프로그램이 일조했다고 봅니다. 정부 업무를 주로 사용하는 사람들이 습관적으로 Internet Explorer를 일상에서도 사용하는 경우가 종종 발견됩니다. 그리고 습관적으로 Internet Explorer를 쓰게 된 이유 중 하나를 보안 프로그램으로 뽑을 수 있다고 말하고 싶습니다. 그리고 덕분에 그대로 보안 위협에 노출된 셈입니다.

사용자의 입장에서 이 웹 브라우저가 상당히 위험한 것을 알았으니 이제는 개발자의 차례입니다. 개발자 입장에서도 Internet Explorer는 골칫거리입니다. 개발 중단 이후에 상당히 많은 기능이 지원되지 않아 강제로 이전에 사용되는 도구로 프로그램을 개발하거나 이 프로그램이 Internet Explorer에서도 강제로 동작하게끔 소스코드를 한 번 더 프로그램이 자동으로 검토하고 수정하게 합니다. 이러한 과정에서 많은 기능들이 제대로 동작하지 않을 수도 있으며 더더욱 '예측할 수 없는' 보안 취약점을 많이 만들어냅니다. 그리고 10년 전 어느 것을 현대의 것들과 함께 대하는 것도 엄청난 고통일 것입니다.

Internet Explorer에서 더더욱 쉽게 벗어날 수만 있었어도 지금보다 더더욱 안전한 세상이 되었을 것입니다. 그리고 Chrome은 멀웨어가 아닙니다. 비록 광고 회사가 만들었기 때문에 몇 가지 여러분이 우려할 만한 사항이 있지만요. 걱정되면 Firefox를 사용하세요.

세 번재, 여전히 그 체계를 크게 개편하지 못해 핵심적인 원인 제거에 실패했다는 점

이제 공인인증서라는 단어 대신에 공동인증서라는 단어를 사용해야 합니다. 여기에서는 현 세대의 문제점을 보여주고 싶습니다. 무엇이 바뀌었고 그리고 왜 한편으로는 아무것도 바뀌지 않았다고 할 수 있는지 말입니다.

공동인증서 체계로 개편이 이루어지고 난 후에 우리는 이제 이 공인인증서라는 것을 Chrome과 Firefox 등 모던 웹 브라우저에서도 사용할 수 있게 되었습니다. 그러나 이전에 보안 프로그램이라는 것과 하는 것은 매우 동일합니다. 하지만 조금 방법을 달리 하게 되었는데 이것 또한 정말로 치밀하기 때문에 제가 선호하는 방법은 아니였습니다. 공동인증서가 필요로하는 보안 프로그램을 설치하면 여러분의 컴퓨터에 설치되는 것은 '서버 소프트웨어'입니다.

정확히 말하면 웹 브라우저가 보안 상 막아놓은 것을 공인인증서 시절에는 Active X라는 것을 사용하여 강제로 사용하도록 했지만 공동인증서의 차례가 오면서 여러분의 컴퓨터에 웹 브라우저와 편리하게 소통할 수 있음과 동시에 웹 브라우저가 못하는 짓을 하는 소프트웨어를 심어두는 것입니다. 하지만 최근 몇 년 사이에 정보 보안 또한 해커가 쉽게 여러분의 컴퓨터의 정보를 탈취하지 못하도록 웹 사이트가 하지 못하는 여러가지 규칙을 설정해놓았습니다. 그래서 이 공동인증서를 목표로 하는 보안프로그램들은 상당히 많은 불편한 편법들을 사용하게 됩니다.

실제 보안 프로그램을 배포 중인 웹 사이트에서 가져온 이미지

위 화면을 종종 보셨을 겁니다. 네, 지금 마지막 줄에 '웹 브라우저를 종료하시고 다시 접속하시기 바랍니다'라는 문구가 현재 상황의 모든 것을 설명하고 있습니다. 왜 웹 브라우저를 종료해야 할까요? 여러분의 컴퓨터에 설치되는 것은 웹 브라우저와 의사소통을 하긴 하지만 단독 행동을 하는 프로그램입니다. 정확히 하자면 저런 문구가 붙은 까닭은 '보안 상' 보안 프로그램이 행동을 취하는 것을 막기 때문입니다.

기본적으로 우리가 HTTPS 연결 등에 사용하는 PKI 기반 인증서들은 공개키와 비공개키, 총 2가지 종류가 있습니다. 그 외에도 중간 단계 등에 몇 가지 인증서가 더 있습니다. 현재 방문하시고 계시는 Typed.sh도 표준에 따라 같은 방식을 사용합니다. 이러한 키들은 저희가 컴퓨터에 운영체제를 설치할 때 운영체제 개발사들이 협의하여 기본적으로 어떤 회사에서 발급한 인증서를 신뢰할지 결정하여 운영체제에 탑재합니다.

위에서 보시는 루트 인증 기관 인증서라는 것이 운영체제에 미리 탑재되어 있는 인증서입니다. 그리고 그 하위 인증서들을 저희와 같은 웹 사이트나 프로그램들에 일정한 '보험금'(혹은 동일하거나 비슷한 지위를 가진 것)을 받고 운영체제에 추가된 기본 루트 인증서들 하위에 각각의 제품용 인증서를 발급해줍니다. 이렇게 되면 '추가 절차'없이 기본 인증서에 의해 저희 웹 사이트나 대부분의 웹 사이트와 같이 보안 연결이 수립되었다고 표시되는 것입니다.

기본적으로 아무나 시켜주지 않는 '루트 인증 기관'에서 발급한 인증서이기 때문에 안전합니다. 하지만 보안 프로그램은 이 '루트 인증 기관'에 자사의 인증서를 강제로 추가하여 여러분의 컴퓨터에 설치되는 '웹 서버'와 웹 브라우저 간의 보안 연결을 강제로 수립하려고 하는 것입니다. 실제로 그렇습니다. 왜냐하면 웹 브라우저가 보안 연결이 아니면 되도록 연결 자체를 꺼려하는 시대가 왔기 때문입니다.

하지만 이 '루트 인증 기관'에 타사 인증서를 승인한다는 것은 해당 인증서를 가진 모든 웹 사이트나 제품을 신뢰한다는 뜻입니다. 당장 악용하지 않는다면 다행입니다. 하지만 동시에 언제나 악용당할 수 있고 보안에 미치는 피해는 상당할 것입니다. 왜냐하면 단순한 개별 인증서도 아닌 '루트 기관 인증서'이기 때문입니다.

물론 이러한 방식에서 완전히 탈피하려면 인증서를 사용하는 체계를 버려야 합니다. 이미 오랫동안 굳힌 체계 속에서 많이 힘들 것으로 생각됩니다. 하지만 여전히 너무도 많은 트레이드 오프 그리고 사이드 이펙트를 경험하여서 스스로는 이 방식에 동의하고 있지 않습니다. 추가 절차 자체가 나쁜 것은 아니지만 부작용이 너무 많습니다.


IT 업계라고 실상 다르지 않은 노동 환경

평소 자료를 많이 찾아본 분야가 아니라 사전 지식이 적어 위 공인인증서보다 중요한 문제임에도 불구하고 자료와 의견이 적은 점을 양해부탁드립니다. 죄송합니다.

최근에 다들 N사 그리고 K사 모두 사내에서 과로와 폭언 등 부적절한 노동 환경을 제공했다는 기사를 보셨을 겁니다. 아래와 같은 자료가 현재 공개되어 있습니다.

네이버 지도 직원 자살 사건 정리 “이건 자살이 아닌 살인이다” (블라인드, 카카오톡 캡쳐)
2021년 5월 28일 블라인드가 현재 네이버 직원 자살로 인해 시끌시끌하다 대체 무슨일일까?? 네이버 직원은 진짜 자살을 한것일까?? 현재 네이버 자살 관련들은 올라왔다 삭제되고 그러고 있는 상황 그렇게 계속..
[단독] 초과 근무는 일상이었네…카카오, 근로기준법 ‘무더기 위반’
근로기준법, 최저임금법 등 위반 6개 사항 적발연초 성과평가 논란 이후 직원들이 고용부에 신고카카오 “지적 사항 시정하고 사내 소통 강화”

사실 이러한 일들은 꼭 뉴스에 나오지 않아도 언제나 우리 주위에서 조용히 일어나는 일들입니다. 실제로 한국에서 산업재해로 안타깝게 생을 마감하신 분들 그리고 그 통계적인 수치를 보고 그 상황을 여러가지로 보고 들을 때마다 많은 생각이 듭니다. 그리고 여전히 한국은 ITUC(국제 노동 조합 연합)-CSI에서 발표한 통계 자료에 따르면 노동권이 지켜질 보장이 없는 정도인 5단계에 지속적으로 선정되고 있습니다. 아래 자료는 여기에서 더욱 자세히 보실 수 있습니다.

N사 사례에서 한국일보는 조금 더 자세한 통계 자료의 출처를 제시하였습니다.

‘꿈의 직장’ IT 대기업이 갑질 온상으로…”끼리끼리 문화 탓”
[비극 부른 IT 대기업 사내 갑질]
1일 민주노총 화학섬유식품노조 IT위원회가 지난해 10월 12일부터 한 달간 진행한 경기 성남 판교지역 IT·게임 노동자 대상 설문조사에 따르면, 응답자 809명의 절반에 가까운 47.4%(383명)가 '직장 내 괴롭힘을 경험 또는 목격한 적 있다'고 답했다. 하지만 이들 가운데 '적극 대응했다'고 응답한 이는 67명(17.5%)에 그쳤고, 이보다 5배가량 많은 316명(82.5%)이 '대응하기 어려웠다'고 답했다. 민주적·수평적 노동문화로 상징되는 IT 업계에서도 적지 않은 이들이 직장 내 괴롭힘을 겪고도 침묵하고 있다는 얘기다.

저는 이 기사에서 IT 업계는 새로운 업계라서 진보적인 업계로 인식되는 한편 기존 산업계의 문제는 그대로 안고 자정할 능력은 없다는 사실을 알게 되었습니다. 비교적 진보적인 IT 업계지만 현재 우리의 삶 구석구석 들어오면서 여러가지 이해 관계의 개입이 필연적인 것 그리고 운영 방식 자체가 바뀌지 않은 상태로 있다는 것은 상당히 충격적이었습니다.

그럼에도 불구하고 이러한 문제가 크게 알려지지 않은 까닭 중 하나에는 우리나라의 인식에 있습니다. 2012년 자료라 조금 많이 오래된 자료이기는 하나 문태은 연구원의 '국내 IT 비IT산업체 근로조건 실태 및 근로자 인식 연구' 논문에 따르면 IT 산업체의 '현산업체에서 진급이나 미래가 보장되지 않는다.'라는 이직 희망 사유가 유독 눈에 띄게 비교적 적다는 사실을 알 수 있습니다. 이를 통해 비교적 업계 자체에 대해서는 미래 성장 가능성을 크게 보고 있다는 사실을 유추할 수 있었습니다.

그런데 여전히 전체적으로 비IT업계와 IT업계 그래프에 큰 차이가 보이지 않는 것은 기존 비IT직군에서 일어났던 문제가 현 IT업계에 그대로 일어나고 있었다는 상황이라는 것이 됩니다. 그러나 비교적 미래가 화창하다는 이유로 현재까지 자정 작업없이 이어져오는 숨겨진 문제점들일 확률이 높다 생각합니다. 그리고 N사에서 일어난 대규모 폭로로 인해 현재 슬그머니 고개를 드는 것이죠.

업계 인사 과정의 공평성

여전히 여성이 IT업계에 종사하는 비율 또한 빠르게 성장세를 찾아가고는 있지만 '공대가 남자가 하는 직업'이라는 선입견 또한 사라져야 한다고 생각합니다. 인사 과정에서 잘 성장할 사람을 찾는 것 뿐만 아니라 여기에서 개인적인 불공평한 이유로 특정 개인이나 집단을 차별하는 일은 없어야 한다는 인식 또한 필요합니다. 위에서 보았듯이 현 IT업계는 비IT업계가 가진 문제점을 그대로 추종하고 있습니다. 아래 기사에서도 볼 수 있듯이 임금 차이 또한 큰 문제로 뽑히고 있습니다.

양대 포털 남녀 차이 보니…네이버 남직원 2배 많고, 카카오 여직원 임금 2배 적어
작년 말 기준 네이버의 기간제 근로자를 포함한 남자 직원과 여자 직원 수는 각각 2621명, 1455명이었다. 작년 카카오의 1인 평균 급여액은 남자 직원이 1억3200만원, 여자 직원이 7200만원이었다. 1인 평균 급여액은 남자 직원 1억800만원, 여자 직원 9100만원이다.

분명히 신체적인 차이는 존재합니다. 그럼에도 불구하고 사회적 약자라는 자리에 위치할 수 밖에 없다고 그 앞길을 가로막는 것은 정말로 후회되는 짓일겁니다. "퀴어라서, 성소수자라서, 여성이라서, 남성이라서"로 한 사람의 성장 가능성을 가려서는 안 됩니다.

성장가능성이 좋은 사람을 외면하는 것만큼 회사 인사 과정에서 쌍방으로 안타까운 사례는 없다고 생각합니다. 언제나 법이 따라오는 속도는 느리다고 합니다만 많이 느립니다. 저는 한국이 IT 강국이 아닌 2번째 이유로 노동권과 선입견을 뽑겠습니다.


조금 더 나은 대한민국 IT업계를 위해서.

이 글을 쓰면서 상당히 화가 난 사건들도 많이 알게 되었습니다. 그리고 저 또한 IT의 미래라는 홍보 문구 아래에 실제 문제점을 보지 못한 점도 있었습니다. 마지막으로는 이러한 문제점을 알리려는 글을 쓰면서 직접적으로 해결책을 제시하지 못했다는 점이 계속 마음에 걸렸습니다.

저는 아직 영향력이 크지 않습니다. 하지만 만약에 이 글을 여기까지 보시게 되신다면 정말로 감사합니다. 그리고 몇 가지 부탁을 드리고 싶습니다.

이 글에서 다루지 않았더라도 해결해야 할 사례가 정말 많을 것입니다. 그래도 글을 읽는데에 시간 투자해주셔서 정말 감사합니다.