전자정부 인터넷증명서발급 과연 제대로된 해법인가?

I Think 2010.01.07 23:38
                                                     - 인터넷증명서발급부터 증명서의 미래, 나아가 주민등록번호 문제까지 -

페이퍼리스 사무환경을 이룩해보려고 예전부터 나름 노력해왔던 터라 한동안 프린터 없이 살았는데, 아이폰 개발자 등록을 하려고보니, 믿었던 애플 마저 팩스로 사업자등록증을 보내라고 하질 않나(이메일로 보내라고 할 것으로 개대했었다), 어머니도 성당 모임 출석부를 뽑아 달라고 하시는 등 이젠 버틸수가 없어서 프린터를 사기로했다.

그런데 이마트에서 싸게 파는 프린터는 국세청 사이트의 증명서 발급가능 프린터로 등록이 안되어 있는 것이다. 그래서 근처 하이마트로 갔더니 거기도 내가 찾는 저렴한 국세청 증명서 발급가능 모델은 없었다. 그래서 국세청에 전화해서 아직 등록은 안되어 있어도 신청하면 별 문제 없이 등록되는것 맞냐고 물어보니, 거의 그럴것이라는 답변이다. 그러면서 가능프린터 목록에는 없어도 최신 지원화일을 받아서 깔면 될 수도 있다고 한다. 목록이 제대로 업데이트가 안되고 있다는 말로 들렸다. 그래서 과감하게 지원목록에 없는 프린터를 사서 증명서를 발급해 봤는데 아무런 문제 없이 잘되는것이다. 목록이 제대로 업데이트가 안되고 있는것이 확실했다.

이틀간 프린터를 사려고 온오프라인으로 여기저기 돌아다니다보니, 대체 왜 이고생을 해야하나 싶은 생각이 들었다. 왜 은행거래도 우리나라만 이상한 방식을 써서 사람들을 개고생을 시키고, 증명서 발급시스템마저  이렇게 번거롭게 만들어 놔서 프린터 살때 마다 신경쓰게 만들고, 공유 프린터에서는 출력되지도 않아서 증명서는 프린터가 붙은 컴퓨터에서만 뽑도록 해놨을까?

인터넷으로 증명서를 발급받을 수 있도록 한 것은 직접 관공서에 가는 것보다는 정말 편리한 것이다. 그러나 증명서에 워터 마킹을 하는 것이 의미가 있는지는 생각해 볼 문제이다. 인터넷으로 출력한 증명서에  도장이미지까지 그려놓은것을 보면 어이가 없다. 전자문서를 도입하려면 전자문서에 맞는 인증 방안을 도입해야지 도장을 그대로 이미지로 박는건 넌센스다. 법이 그래서 어쩔수 없다고 항변할지 모르겠지만, 법이 시대에 뒤떨어지면 법을 고치는게 당연한 것 아닌가?

이미 인터넷발급 증명서에는 온라인에서 발급번호로 증명서의 내용 확인이 가능하다고 써 있다.  증명서는 그러한 검증 방식이 현재가능한 확실한 방법이고 의미 있는 확인 방법이다. 워터 마킹은 증명서를 보는 사람이 바코드리더가 있어야 가능한 것인데, 그런 바코드 리더가 어디에 몇 개나 있는지, 있으면 과연 쓰이기나 하는지 의심스럽다.  

전용 바코드리더기로 읽어서 확인하는 일은 드물것이고, 사람들은 그냥 엇비슷해보이는 바코드만 새겨져 있으면 인터넷에서 발급한 증명서로 알것이니 위조는 더욱 쉬워지는 것이다. 공유프린터에서 발급되는걸 막으면 위조를 못하나? 발급된것 스캔해서 글자고치고 다시 뽑으면 위조는 금방이다. 

워터마킹을 해주는 시스템은 마크애니라는 회사에서 만든것인데, 증명서 계의 엔프로텍트라고 해야할 듯하다. 얼핏 도움되는 프로그램인것 처럼 보이나 정작 쓸모는 없다. 문서 내용을 워터 마크로 만들어주는 기술은 뛰어 나겠지만, 확인하는 사람들이 워터마킹을 바크드리더로 일일이 읽어볼 수가 없는 상황에서 워터마크는 실제로는 위조를 방조하는 역할밖에는 못하는 것이다. 키보드해킹을 실제로 막지도 못하는 엔프로텍트보다 단편적인 기술력은 나을지는 모르겠으나 실질적 존재의미는 없는 기술이다. 어서 다른 먹거리를 찾아보는게 나을 것이다. 국민의 불편으로 먹고 사는 기업들은 더 이상 고집 피우지 말고 다른 먹거리를 찾길 바란다. 제발!  

이 온라인 증명서 발급 시스템을 보면 우리나라 대부분의 아파트 울타리에 덧씌워진 가시 철조망이 떠오른다. 큰 입구가 두어개나 훵하니 뚫려있는 아파트에서 그 울타리에 친 철조망에 도대체 어떻게 도둑을 막을 수 있다는 것인지? 뻔히 뚫린 길 두고 왜 울타리를 넘겠는가? 괜히 길가는 사람 걸려서 다치기나 할 뿐이다.  이성적으로 생각해보면 전혀 쓸데 없는 짓을 해 놓고 나름 없는 것 보다는 낫다고 안심을 하고 있는 것이다.  그 안심은 단지 기분만 그럴 뿐인 것이다. 사람이 감성의 동물 이라는 것을 반증하는 사례라고 밖에는 달리 해석할 길이 없다. 인터넷 증명서 발급 시스템도 똑같은 꼴이다. 워터마크라는 그럴듯한 그림과 도장 이미지를 떠억 박아 놓으면 왠지 증명서 스럽다. 그러나 그건 기분뿐일뿐. 실제로는 위조의 성공 가능성만 높여주는 내부의 적인 것이다. 

차라리 그런 근거 없는 안심만 주는 워터 마킹을 빼버림으로써 발급번호를 통한 온라인 대조를 유발하는 것이 위조의 성공 가능성을 낮춰게 되고 위조 시도자체를 줄이게 될 것이다. 그런 심리적인 안도감만을 주는 보안시스템이 또 하나 있다. 바로 우리나라 은행 온라인 거래 시스템이 되겠다. 보안카드만 가지면 인증서를 온라인으로 다운 받을 수 있음에도 보안카드와 인증서 두가지를 모두 요구 하는 시스템말이다. 곧 인증서는 보안카드와 별개의 하나의 방벽이 되는게 아니라 단지 다른 방벽인 것처럼 이름만 두개인 것 뿐이다. 그런 인증서를 위해서 인프라를 구축하고 피씨마다 프로그램을 깔고, 그 프로그램을 윈도우 익스플로러에서만 돌아가는 것으로 지정하고, 게다가 엑티브 엑스를 이용하도록 강제까지 해놔서 결국 디도스 공격에 악용당하는 꼴을 당하도록 만든 것이다. 약간의 안도감을 위해서 너무 많은 희생을 하고 있지 않은가?  그런 무용지물에 집착하지 말아야 한다. 허상일뿐이다. 인증서가 보안카드와 별개의 방어막으로 의미가 있으려면 보안카드로 발급받을 수 없어야 한다. 그렇다고 설마 인증서를 창구에서만 발급 받도록 바꾸지는 말자. 그건 아니다. 다른 선진국들 하는 것 처럼 보안카드나 OTP로 해결하도록 하자. 제발.

 그러면 증명서발급이란 짓은 과연 이 시대나 미래에도 계속 의미 있는 짓으로 남을 것인가? 내가 이번에 개발자등록을 하면서 발급하게된 사업자등록증은 온라인에서도 충분히 확인 가능한 것이다. 사업자등록증은 식당에서는 벽에 붙여 놓기도 하는 것으로써 온라인 쇼핑몰은 첫페이지에 사업자등록번호를 게시하도록 되어있기도 하다. 대중게 숨겨야 하는 사적인 자료가 아니라는 뜻이다.  공개되어도 되는 자료들은 온라인에서 사업자등록번호로 쉽게 조회할 수 있도록 해 놓으면 증명서의 발급자체를 없애 버릴 수 있다.

부동산 등기 같은 사적인 내용이라면 증명서 제출자에게 증명서발급 번호같은것을 발행하여 그 번호를 전달받아 그것을 입력한자에 한해서만 내용을 보여주는 방법이 있을 것이다. 문서자체를 공개키방식으로 암호화 하는 방법도 있겠지만 현재까지 상용화된 툴들이 아직 여러 헛점들을 내보이고 있고 여러 플랫폼에서의 운용이 보장되어 있지도 못하여 아직은 실용화하기에 무리가 많고, 미래에는 그런 방식으로 가리라고 기대된다. 그때엔 종이문서는 사라지고 전자문서들만으로 대출신청 같은 것이 이루어지리라고 본다. 

그 전까지는 현재의 증명서 발급이라는 단계는 가져가되 온라인을 이용해서 확인하도록하는 문화와 시스템을 갖추어 가는 것이 전환의 시대를 살아가는 방법이 아닐까 한다.

또한 증명서 관련 시스템의 밀접하게연계되어 있기도한 뜨거운 감자로 주민등록번호가 있다. 주민등록번호에 관한 논란을 보고 있으면 그 문제 역시 핵심에서 벗어난 해결책들이 난무하고 있음을 볼 수 있다. 시민단체들은 무작정 주민등록번호 폐지를 외치고 있고 정부는 아이핀이라는 한꺼풀 씌우는 러시아 인형식 해결책을 시도하고 있으나, 그 쌩뚱맞음으로 인하여 어디에서도 호응을 얻지 못하고 있다. 아마도 시민단체들은 인간에게 등록이라는 단어를 쓰는 것 자체에 반감을 가지고 있는 게 아닌가 싶다. 미국처럼 사회보장번호라고 이름지어져 있다면 없애자는 말은 안나오지 않았을까 싶다. 이름이야 어떻게 불리우던 간에 국민 개개인을 식별할수 있는 식별자는 필요하다. 국가가 행정을 포기 하지 않는 한 필요하다. 건강보험이나 국민연금 사회보장,, 재산권 주장 민형사 고소고발 등 모든 문제에 있어서 내가 나라는 것을 알리고, 나를  타인과 구별하는 식별자의 의미로써 내 이름이 유일하지 않기 때문에, 내 이름의 보조로서 식별자가 필요하다. 그것을 숫자로 쓰던 아이디를 쓰던간에, 주민등록번호라 부르던 사회보장 번호라 부르던 간에 말이다.

문제는 개인 식별자인 주민등록번호가 마치 비밀번호처럼 쓰이고 있다는 것이다. 개인식별수단인 주민등록번호가 개인인증수단으로 오인되어 사용되기 때문에 문제가 생기고 있는 것이다. 일반 대중들이 그렇게 쓰는게 문제가 아니라 국가 기관이나 사회기관들에서 그렇게 쓰고 있다는 것이 더 큰 문제이고 문제를 더 크게 만든 장본인이다. 예를 들어 포털사이트에서 성인인증을 할때 이름과 주민등록번호만 넣으면 성인여부를 판단해버린다. 그것은 마치 아이디만 쳤는데 로그인이 되는 것과 마찬가지의 황당한 상황인데도 버젓이 온나라가 그런 시스템을 쓰고 있고, 더 문제는 아무도 그걸 문제 삼지 않는 다는 것이다. 

성인인증을 제대로 하려면 식별자인 이름과 주민등록번호를 치고 나서 그 식별자의 주인이 나라는것은 인증하는 과정이 필요하다. (우리나라에는 주민등록번호가 같은 사람이 수십만명이 된다고 한다. 주민등록증 발급이 전산화 되기 이전에 발급된 번호중에 중복이 많은것으로 보인다. 그래서 온전히 주민등록번호 만으로는 식별자도 되지 못하는 것이 우리나라의 현실이다. 이름도 병기하면 중복되지 않는 온전한 식별자로 가능하지 않을까 싶다 ) 은행창구에서 본인 인증을 받고 발급받은 보안카드나 그것을 통해 받은 인증서 같은 것이 인증수단이 될 수 있는 것이다. 

아이핀 사이트는 인증서나 보안카드를 통해서 손쉽게 사용할 수 있는 개인별 인증수단인 비빌번호 발급을 해주는 역할로 사용된다면 아주 유용할 것으로 보인다. 그러니까 아이핀이라는 주민등록번호 대체 아이디를 만들어 줄 필요는 없고 주민등록번호와 이름에 매칭되는 비빌번호만 발급해주고 확인해주는 역할을 하면 될 것이다. 

주민등록번호가 중복발급되어 버린 우리나라에서 아이핀처럼 아예 주민등록번호와 이름을 대체할 아이디를 만드는 것이 나을지도 모르겠으나 그 사이트들의 운용이 openID같은 표준화된 방식이 아닌 이상 그리 호응을 얻지는 못할것으로 보인다. 

그보다, 현재 주민등록번호를 개인인증수단으로 사용하는 모든 사이트는 그 방식을 빨리 바꾸는 것이 시급하다. 각종 사이트들의 성인인증이나 보안 이메일암호로 주민등록번호 뒷자리를 쓴다거나 하는 것들은 하루빨리 바뀌어야 한다. 내용상 그 자체의 보안은 별로 문제 될 것 없지만, 그런 사이트들이 주민등록번호에 대한 국민들의 개념을 흐려 놓고 있기 때문이다.

어서 이성을 찾고 개념을 찾는 것이 중요하다 나라이름이 안드로메다가 되지 않으려면 말이다.



저작자 표시 동일 조건 변경 허락
신고
Trackback 1 : Comments 8
  1. Jack 2010.04.05 16:57 신고 Modify/Delete Reply

    국세청 증명서는 일반 평판 스캐너 만으로 검증이 가능하답니다. 온라인 조회도 좋지만 장기간 계속 데이터를 보관할 수 는 없으니까요. 증명서 발급은 분명히 과도기적 모델이지만, TV가 나왔다고 해서 라디오가 없어지지 않듯, 우리 주변에서 종이를 100% 없앨 수는 없을 것이란 생각입니다. 다른 선진국보다 국내의 현실은 훨씬 자세하고 깊은 수준의 보안성을 요구하고 있습니다. 그것이 설령 사용자를 제한하거나 불편하게 한다 하더라도, 보안이 우선인... 상대적으로 '덜 신뢰된 사회'를 살고 있는 셈입니다. 벤더의 표준 준수가 해답이 아닙니다. 사회적 공감이 우선이지요.

    • Favicon of http://blog.whattomake.co.kr BlogIcon MrKiss 2010.04.05 17:48 신고 Modify/Delete

      스캐너가 판단을 해주진 못하지 않습니까 프로그램이 있어야지. 프로그램은 인터넷 어딘가에 가면 구할 수 있다구요? 훌륭하네요
      보안성은 실제로 높이지 못하면서 불편하기만한 현실을 지적한 것이지 편리를 위해 보안을 대충하자는 이야기가 아님을 알아주셨으면 합니다.

    • Jack 2010.04.07 16:49 신고 Modify/Delete

      번호를 위조하면 어떻게 위조범을 찾을까요. 국세청에서 나온게 맞다고 어떻게 전자적으로 입증할 수 있을까요. 국세청에서 사업자번호를 공개함에 따른 프라이버시 문제는 누가 책임을 져야 할까요. 불편한 기술은 개선 대상이지만, 눈에 보이는거 외에 우리 사회의 신뢰성 문제는 MrKiss님의 생각보다 많이 복잡합니다. 특히 책임소재에 민감하지요. 정확히 알지 못하면서 말하고 싶은 방향으로만 떠드는 미디어도 큰 문제중 하나입니다. 발급번호만으로 충분하다 말하지만 그걸 당장 우리사회의 어떤 힘있는 집단이/대중이 이해할까요. 사회적 공감이란건 이렇습니다. 그러기에 당장의 불편함을 주었단 이유로 이름까지 거론해가며 몇몇 벤더만을 욕하는 행동은 보는 이의 눈살을 찌푸리게 합니다. 모르는 당신이 죄인이다라는 식으로는 공감을 이룰 수 없기 때문입니다. 동혁이형은 결국 "개그" 프로그램 속의 인물인 것입니다.

    • Favicon of http://blog.whattomake.co.kr BlogIcon MrKiss 2010.04.08 02:23 신고 Modify/Delete

      먼저 이 썰렁한 블로그를 뜨거운 토론으로 달궈주셔서 감사드립니다 ^^
      증명서발급번호는 위조라는게 성립하지 않습니다. 일단 발급번호를 잘못치면 종이로 가져간 문서와 발급번호로 표시된 화면상의 서류가 다를테니 정당한 문서가 아닌란것이 밝혀지는거죠.

      사업자 등록번호는 비밀이 유지되어야 하는 대상이 아닙니다. 식당에 가면 액자에 넣어서 걸어놨듯이요. 거래할때 부가가치세를 서로 정산하기 위한 사업자의 아이디일뿐이거죠. 주민등록번호가 비밀번호로 오인되어 그걸로 개인인증까지 벌이고 있는 작금의 현실을 다시금 깨닫게 해주시는 군요.

      지금 당장 전 사회구성원이 제 말을 믿어주지 않는다고 할지라도 사실은 사실대로 밝히는 것이 옳은것은 당연한것이지요. 그로인해 망가질 몇몇 회사를 걱정하느라고 이 사회가 거꾸로 가는걸 보고만 있으라는 말씀은 아니시겠죠?

      문서보안프린팅솔루션회사는 이 문제가 더 불거지기 전에 다른 밥벌이를 찾아나서는 것이 현명한 길일 것입니다. 요즘 마지막발악 중인 온라인 뱅킹용인증서솔루션회사들도 미리 준비해야겠죠.

      제 말이 공감을 이룰지 못이룰지는 jack님이 걱정해주시지 않아도 됩니다. 사람도 별로 안오는 이 블로그에 이런글 올려서 큰 주목을 받을 기대도 안하거든요 ^^

      그러나 주목을 끌어서 뭔가 달라지길 바라고는 있습니다.적어도 제 의지는 그렇습니다. 그리고 확실히 정당한 의지라고 판단합니다.

      니가 그런다고 뭐가 달라지느냐는 식의 패배주의에 젖은 충고는 받아들이지 않겠습니다.

  2. Jack 2010.04.12 01:19 신고 Modify/Delete Reply

    다시 한번 이 사회의 여러가지 매커니즘은 "위조만 아니면 문제없다"는 식으로 쉽게 해결되지 않는 다는 것을 알아주셨으면 합니다. 그리고 사업자번호의 비밀성을 이야기 한것이 아닙니다. 프라이버시 문제를 이야기 한 것입니다. 주민번호는 사업자 번호와 무슨 관련이 있는지... MrKiss 님의 아이디어 하나에 무너질 회사 없습니다. 요사이 우리나라 공공기관이 사업을 할때는 관련 근거와 법률에 대한 정비를 거치고 합니다. 밥통만 있는것 아닙니다. 공감의 문제는 걱정꺼리의 수준이 아닙니다. 문제의 원인을 호도하는 것에 대한 우려입니다. 우리나라 미디어가 왜 문제인지 이야기 하지 않았습니까. 업체 실명을 거론한 것, 스스로 인기 낮은 블로그라 문제 소지가 없으리라 생각하시는 건지요?

    • Favicon of http://blog.whattomake.co.kr BlogIcon MrKiss 2010.04.12 12:43 신고 Modify/Delete

      사업자등록번호는 비밀번호가 아니고 타인에게 알려도 되는 이름과 같은 것이니까 프라이버시 문제가 없다는 말씀이구요. 그런점에서 주민등록번호와 같은 오해를 받고 있다는 이야깁니다. 주민등록번호에 대한 이야기는 위 글에서도 충분히 썼습니다.
      제 아이디어 하나에 무너질 회사없다고 하시면서 인기 낮은 블로그 일지라도 문제라고 생각하시는 건, 앞뒤가 맞지 않는것 아닌가요.
      그리고 저는 인기없는 블로그라서 회사 실명 거론 하는게 문제 없다고 생각하지는 않습니다. 블로그의 인기와 무관하게 실명 거론 얼마든지 할 수 있는 문제입니다.
      실질적으로 의미 없는 보안대책만 세우고 사용자의 불편만 가중시킨 것에 대해 대안을 제시했는데 문제의 원인을 호도했다니요 ^^ 문제를 바로잡으려는 시도일뿐입니다.
      그래서 이사회가 바뀌겠냐는 말씀을 하시는 거라면, 저는 그래도 할말은 해야겠다고 말씀드리겠습니다.
      당장 바뀌지는 않겠지만 저와 같은 의지가 늘어난다면 언젠가는 바뀔 것입니다.

  3. preee 2010.05.29 21:02 신고 Modify/Delete Reply

    기술을 잘못이해하고 있습니다. 제가 알기론 전자정부 인쇄 기술은 워터마킹이 아닌 단순 복사방지 기술입니다. 그래서 프린터 특성을 거하게 타긴하지만, 말씀하신 유출문제는 없을겁니다.

    • Favicon of http://blog.whattomake.co.kr BlogIcon MrKiss 2010.05.29 22:58 신고 Modify/Delete

      전자정부사이트의 인쇄는 문서내용을 암호화한것입니다. 복사는 다 됩니다. 변조를 막겠다는 의도죠. 문서의 내용이 바뀌면 2차원바코드의 내용과 틀려질테니 위조를 가려낼 수 있다는 거죠.
      하지만 2차원바코드 판독기로 문서를 읽어서 위조를 판별해보지를 않고 바코드만 있으면 진짜 문서인것처럼 인식하게 되기 때문에 문제가 된다는게 제 주장이구요.
      그것은마치 엑티브엑스 자체가 문제라기 보다 엑티브엑스로 보안프로그램을 설치하도록 해놔서 악성프로그램이 깔리는것을 사람들이 거부하지 않도록 해놔서 문제가 되는 상황과도 유사한 것입니다.
      기술적인 문제라기 보다 사회적인 문제라는겁니다. 이해 가십니까?

Write a comment

티스토리 툴바