본문 바로가기

I Think

전자정부 인터넷증명서발급 과연 제대로된 해법인가?

                                                     - 인터넷증명서발급부터 증명서의 미래, 나아가 주민등록번호 문제까지 -

페이퍼리스 사무환경을 이룩해보려고 예전부터 나름 노력해왔던 터라 한동안 프린터 없이 살았는데, 아이폰 개발자 등록을 하려고보니, 믿었던 애플 마저 팩스로 사업자등록증을 보내라고 하질 않나(이메일로 보내라고 할 것으로 개대했었다), 어머니도 성당 모임 출석부를 뽑아 달라고 하시는 등 이젠 버틸수가 없어서 프린터를 사기로했다.

그런데 이마트에서 싸게 파는 프린터는 국세청 사이트의 증명서 발급가능 프린터로 등록이 안되어 있는 것이다. 그래서 근처 하이마트로 갔더니 거기도 내가 찾는 저렴한 국세청 증명서 발급가능 모델은 없었다. 그래서 국세청에 전화해서 아직 등록은 안되어 있어도 신청하면 별 문제 없이 등록되는것 맞냐고 물어보니, 거의 그럴것이라는 답변이다. 그러면서 가능프린터 목록에는 없어도 최신 지원화일을 받아서 깔면 될 수도 있다고 한다. 목록이 제대로 업데이트가 안되고 있다는 말로 들렸다. 그래서 과감하게 지원목록에 없는 프린터를 사서 증명서를 발급해 봤는데 아무런 문제 없이 잘되는것이다. 목록이 제대로 업데이트가 안되고 있는것이 확실했다.

이틀간 프린터를 사려고 온오프라인으로 여기저기 돌아다니다보니, 대체 왜 이고생을 해야하나 싶은 생각이 들었다. 왜 은행거래도 우리나라만 이상한 방식을 써서 사람들을 개고생을 시키고, 증명서 발급시스템마저  이렇게 번거롭게 만들어 놔서 프린터 살때 마다 신경쓰게 만들고, 공유 프린터에서는 출력되지도 않아서 증명서는 프린터가 붙은 컴퓨터에서만 뽑도록 해놨을까?

인터넷으로 증명서를 발급받을 수 있도록 한 것은 직접 관공서에 가는 것보다는 정말 편리한 것이다. 그러나 증명서에 워터 마킹을 하는 것이 의미가 있는지는 생각해 볼 문제이다. 인터넷으로 출력한 증명서에  도장이미지까지 그려놓은것을 보면 어이가 없다. 전자문서를 도입하려면 전자문서에 맞는 인증 방안을 도입해야지 도장을 그대로 이미지로 박는건 넌센스다. 법이 그래서 어쩔수 없다고 항변할지 모르겠지만, 법이 시대에 뒤떨어지면 법을 고치는게 당연한 것 아닌가?

이미 인터넷발급 증명서에는 온라인에서 발급번호로 증명서의 내용 확인이 가능하다고 써 있다.  증명서는 그러한 검증 방식이 현재가능한 확실한 방법이고 의미 있는 확인 방법이다. 워터 마킹은 증명서를 보는 사람이 바코드리더가 있어야 가능한 것인데, 그런 바코드 리더가 어디에 몇 개나 있는지, 있으면 과연 쓰이기나 하는지 의심스럽다.  

전용 바코드리더기로 읽어서 확인하는 일은 드물것이고, 사람들은 그냥 엇비슷해보이는 바코드만 새겨져 있으면 인터넷에서 발급한 증명서로 알것이니 위조는 더욱 쉬워지는 것이다. 공유프린터에서 발급되는걸 막으면 위조를 못하나? 발급된것 스캔해서 글자고치고 다시 뽑으면 위조는 금방이다. 

워터마킹을 해주는 시스템은 마크애니라는 회사에서 만든것인데, 증명서 계의 엔프로텍트라고 해야할 듯하다. 얼핏 도움되는 프로그램인것 처럼 보이나 정작 쓸모는 없다. 문서 내용을 워터 마크로 만들어주는 기술은 뛰어 나겠지만, 확인하는 사람들이 워터마킹을 바크드리더로 일일이 읽어볼 수가 없는 상황에서 워터마크는 실제로는 위조를 방조하는 역할밖에는 못하는 것이다. 키보드해킹을 실제로 막지도 못하는 엔프로텍트보다 단편적인 기술력은 나을지는 모르겠으나 실질적 존재의미는 없는 기술이다. 어서 다른 먹거리를 찾아보는게 나을 것이다. 국민의 불편으로 먹고 사는 기업들은 더 이상 고집 피우지 말고 다른 먹거리를 찾길 바란다. 제발!  

이 온라인 증명서 발급 시스템을 보면 우리나라 대부분의 아파트 울타리에 덧씌워진 가시 철조망이 떠오른다. 큰 입구가 두어개나 훵하니 뚫려있는 아파트에서 그 울타리에 친 철조망에 도대체 어떻게 도둑을 막을 수 있다는 것인지? 뻔히 뚫린 길 두고 왜 울타리를 넘겠는가? 괜히 길가는 사람 걸려서 다치기나 할 뿐이다.  이성적으로 생각해보면 전혀 쓸데 없는 짓을 해 놓고 나름 없는 것 보다는 낫다고 안심을 하고 있는 것이다.  그 안심은 단지 기분만 그럴 뿐인 것이다. 사람이 감성의 동물 이라는 것을 반증하는 사례라고 밖에는 달리 해석할 길이 없다. 인터넷 증명서 발급 시스템도 똑같은 꼴이다. 워터마크라는 그럴듯한 그림과 도장 이미지를 떠억 박아 놓으면 왠지 증명서 스럽다. 그러나 그건 기분뿐일뿐. 실제로는 위조의 성공 가능성만 높여주는 내부의 적인 것이다. 

차라리 그런 근거 없는 안심만 주는 워터 마킹을 빼버림으로써 발급번호를 통한 온라인 대조를 유발하는 것이 위조의 성공 가능성을 낮춰게 되고 위조 시도자체를 줄이게 될 것이다. 그런 심리적인 안도감만을 주는 보안시스템이 또 하나 있다. 바로 우리나라 은행 온라인 거래 시스템이 되겠다. 보안카드만 가지면 인증서를 온라인으로 다운 받을 수 있음에도 보안카드와 인증서 두가지를 모두 요구 하는 시스템말이다. 곧 인증서는 보안카드와 별개의 하나의 방벽이 되는게 아니라 단지 다른 방벽인 것처럼 이름만 두개인 것 뿐이다. 그런 인증서를 위해서 인프라를 구축하고 피씨마다 프로그램을 깔고, 그 프로그램을 윈도우 익스플로러에서만 돌아가는 것으로 지정하고, 게다가 엑티브 엑스를 이용하도록 강제까지 해놔서 결국 디도스 공격에 악용당하는 꼴을 당하도록 만든 것이다. 약간의 안도감을 위해서 너무 많은 희생을 하고 있지 않은가?  그런 무용지물에 집착하지 말아야 한다. 허상일뿐이다. 인증서가 보안카드와 별개의 방어막으로 의미가 있으려면 보안카드로 발급받을 수 없어야 한다. 그렇다고 설마 인증서를 창구에서만 발급 받도록 바꾸지는 말자. 그건 아니다. 다른 선진국들 하는 것 처럼 보안카드나 OTP로 해결하도록 하자. 제발.

 그러면 증명서발급이란 짓은 과연 이 시대나 미래에도 계속 의미 있는 짓으로 남을 것인가? 내가 이번에 개발자등록을 하면서 발급하게된 사업자등록증은 온라인에서도 충분히 확인 가능한 것이다. 사업자등록증은 식당에서는 벽에 붙여 놓기도 하는 것으로써 온라인 쇼핑몰은 첫페이지에 사업자등록번호를 게시하도록 되어있기도 하다. 대중게 숨겨야 하는 사적인 자료가 아니라는 뜻이다.  공개되어도 되는 자료들은 온라인에서 사업자등록번호로 쉽게 조회할 수 있도록 해 놓으면 증명서의 발급자체를 없애 버릴 수 있다.

부동산 등기 같은 사적인 내용이라면 증명서 제출자에게 증명서발급 번호같은것을 발행하여 그 번호를 전달받아 그것을 입력한자에 한해서만 내용을 보여주는 방법이 있을 것이다. 문서자체를 공개키방식으로 암호화 하는 방법도 있겠지만 현재까지 상용화된 툴들이 아직 여러 헛점들을 내보이고 있고 여러 플랫폼에서의 운용이 보장되어 있지도 못하여 아직은 실용화하기에 무리가 많고, 미래에는 그런 방식으로 가리라고 기대된다. 그때엔 종이문서는 사라지고 전자문서들만으로 대출신청 같은 것이 이루어지리라고 본다. 

그 전까지는 현재의 증명서 발급이라는 단계는 가져가되 온라인을 이용해서 확인하도록하는 문화와 시스템을 갖추어 가는 것이 전환의 시대를 살아가는 방법이 아닐까 한다.

또한 증명서 관련 시스템의 밀접하게연계되어 있기도한 뜨거운 감자로 주민등록번호가 있다. 주민등록번호에 관한 논란을 보고 있으면 그 문제 역시 핵심에서 벗어난 해결책들이 난무하고 있음을 볼 수 있다. 시민단체들은 무작정 주민등록번호 폐지를 외치고 있고 정부는 아이핀이라는 한꺼풀 씌우는 러시아 인형식 해결책을 시도하고 있으나, 그 쌩뚱맞음으로 인하여 어디에서도 호응을 얻지 못하고 있다. 아마도 시민단체들은 인간에게 등록이라는 단어를 쓰는 것 자체에 반감을 가지고 있는 게 아닌가 싶다. 미국처럼 사회보장번호라고 이름지어져 있다면 없애자는 말은 안나오지 않았을까 싶다. 이름이야 어떻게 불리우던 간에 국민 개개인을 식별할수 있는 식별자는 필요하다. 국가가 행정을 포기 하지 않는 한 필요하다. 건강보험이나 국민연금 사회보장,, 재산권 주장 민형사 고소고발 등 모든 문제에 있어서 내가 나라는 것을 알리고, 나를  타인과 구별하는 식별자의 의미로써 내 이름이 유일하지 않기 때문에, 내 이름의 보조로서 식별자가 필요하다. 그것을 숫자로 쓰던 아이디를 쓰던간에, 주민등록번호라 부르던 사회보장 번호라 부르던 간에 말이다.

문제는 개인 식별자인 주민등록번호가 마치 비밀번호처럼 쓰이고 있다는 것이다. 개인식별수단인 주민등록번호가 개인인증수단으로 오인되어 사용되기 때문에 문제가 생기고 있는 것이다. 일반 대중들이 그렇게 쓰는게 문제가 아니라 국가 기관이나 사회기관들에서 그렇게 쓰고 있다는 것이 더 큰 문제이고 문제를 더 크게 만든 장본인이다. 예를 들어 포털사이트에서 성인인증을 할때 이름과 주민등록번호만 넣으면 성인여부를 판단해버린다. 그것은 마치 아이디만 쳤는데 로그인이 되는 것과 마찬가지의 황당한 상황인데도 버젓이 온나라가 그런 시스템을 쓰고 있고, 더 문제는 아무도 그걸 문제 삼지 않는 다는 것이다. 

성인인증을 제대로 하려면 식별자인 이름과 주민등록번호를 치고 나서 그 식별자의 주인이 나라는것은 인증하는 과정이 필요하다. (우리나라에는 주민등록번호가 같은 사람이 수십만명이 된다고 한다. 주민등록증 발급이 전산화 되기 이전에 발급된 번호중에 중복이 많은것으로 보인다. 그래서 온전히 주민등록번호 만으로는 식별자도 되지 못하는 것이 우리나라의 현실이다. 이름도 병기하면 중복되지 않는 온전한 식별자로 가능하지 않을까 싶다 ) 은행창구에서 본인 인증을 받고 발급받은 보안카드나 그것을 통해 받은 인증서 같은 것이 인증수단이 될 수 있는 것이다. 

아이핀 사이트는 인증서나 보안카드를 통해서 손쉽게 사용할 수 있는 개인별 인증수단인 비빌번호 발급을 해주는 역할로 사용된다면 아주 유용할 것으로 보인다. 그러니까 아이핀이라는 주민등록번호 대체 아이디를 만들어 줄 필요는 없고 주민등록번호와 이름에 매칭되는 비빌번호만 발급해주고 확인해주는 역할을 하면 될 것이다. 

주민등록번호가 중복발급되어 버린 우리나라에서 아이핀처럼 아예 주민등록번호와 이름을 대체할 아이디를 만드는 것이 나을지도 모르겠으나 그 사이트들의 운용이 openID같은 표준화된 방식이 아닌 이상 그리 호응을 얻지는 못할것으로 보인다. 

그보다, 현재 주민등록번호를 개인인증수단으로 사용하는 모든 사이트는 그 방식을 빨리 바꾸는 것이 시급하다. 각종 사이트들의 성인인증이나 보안 이메일암호로 주민등록번호 뒷자리를 쓴다거나 하는 것들은 하루빨리 바뀌어야 한다. 내용상 그 자체의 보안은 별로 문제 될 것 없지만, 그런 사이트들이 주민등록번호에 대한 국민들의 개념을 흐려 놓고 있기 때문이다.

어서 이성을 찾고 개념을 찾는 것이 중요하다 나라이름이 안드로메다가 되지 않으려면 말이다.