이메일, '@' 놔두고 '#'은 왜 만들었나

 공인인증서나 주민번호인증 같은 별에별 인증 방법을 표준으로 사용하면서 웹 갈라파고스를 이끈 나라가 바로 우리나라죠. 보안와 안전을 위해서라지만, 국제 표준의 보안 수준과 흡사하면서도 불편함을 초래했다는 평가를 받기도 합니다. 이젠 좀 국제 표준을 따라 웹생태계를 바꾸고, 그 표준을 이끌어 갈 수 있는 경쟁력을 확보하자는 얘기가 봇물 쏟아지듯 나오는 마당에 지식경제부는 또 새로운 '짓'을 구상했습니다.

---

이메일, '@' 놔두고 '#'은 왜 만들었나

 흡사 모기향처럼 생긴, 흔히 골뱅이라고 부르는 '@'는 'at'을 뜻합니다. 이름과 이메일 도메인을 구분하기 위해 도입되었으며, 몇십년째 전세계 공통으로 '@'가 들어가면 '이메일!'이라고 인식할 수 있을정도로 현대인들에게 있어서는 매우 친숙한 기호입니다. '@'가 표준으로 사용되면서 이것을 대체하기 위한 국제적 움직임이 있었던 적은 없었으며, 혼란만 가중하기 때문에 변경해야 할 이유라던가 새로운 기호를 추가해야 할 필요성은 없었습니다.

 그런데 새로운 기호를 추가한다면 어떻게 될까요?

---

#

 지식경제부는 28일, '#메일 제도'를 시행한다고 밝혔습니다. #메일은 공인전자주소로써 공인전자문서를 주고받을 때 사용할 수 있는 메일 서비스입니다. 28일 국무회의에서 `전자거래 기본법 시행령 개정안`이 의결 됨에 따라 이 제도가 사용되게 되었습니다.

 #메일은 10월부터 공인전자주소 웹사이트에서 접속 후 공인인증서를 통해 인증을 받은 뒤에 발급받아 사용할 수 있습니다. 메일 발급 시 개인은 무료이며, 사업자는 유료로 요금이 부과됩니다. #메일은 50원의 메일 발신료가 발생하며, 수신은 무료입니다.

 이 #메일이 왜 생겨난 것일까요? 이유는 굉장히 간단합니다. '기존에는 이메일 주소가 진짜 그 사람의 것인지 알지 못했다'가 가장 큰 이유로 발신자를 확인하는데 공인인증서를 사용했기 때문에 의심의 여지 없이 알 수 있다는 것, 부가적인 이유로는 '수신확인을 할 수 있다'로써 온라인 등기 같은 역할을 한다는 것이 지식경제부의 주장입니다.

 이게 무슨 말일까요? 기존에 수신확인 할 수 있는 기능은 메일서비스마다 달랐지만 구현되어 있는 기능입니다. 더군다나 발신자의 신원을 확인하는 것에 대해 좀 의아합니다.

---

#메일의 이유

 신용카드 분실을 통한 결제를 막기 위해 공인인증서를 사용해 신원을 파악하여 결제가 진행되듯 이메일도 '#'이 들어갔다면 공인인증서로 인증되었기 때문에 확실한 신원 파악이 된다는 것입니다. 또 이 #메일은 정보통신산업진흥원에 저장되게 되는데 법적인 문제가 발생했을 경우 #메일을 통한 증명서를 발급받을 수 있어 분쟁해결에도 도움이 된다는게 지식경제부의 설명입니다.

 그런데 왜 이메일을 공인인증서로 인증받아야 하는 것일까요? 지식경제부는 #메일이 공인전자문서를 보낼 때 사용할 수 있는 것이라고 합니다. 예를 들면 각종 계약서나 청구서, 중요한 공문서 등을 보낼 때 사용할 수 있는데 수신자가 #메일이라는 것을 파악하면 인증 된 메일로써 안심하고 문서를 읽을 수 있으며, 법적문제에 대해서도 원활하게 해결할 수 있는 힘을 가진 이메일이 바로 #메일이라는 것입니다. 아무렇게나 난무하는 @스펨메일이 아니라 개인 인증 절차와 그에 따른 특별한 힘을 부여하겠다는게 #메일의 취지입니다.

 복잡해보이지만 취지자체는 뭔가 납득이 갈만합니다. 그런데 #메일이 필요성에 대해서는 여전히 의아할 수 밖에 없습니다. 이메일이라는 것 자체가 이미 본인의 신분을 나타내지 않냐하는겁니다. 만약에 온라인으로 보험을 가입했다고 칩시다. 지식경제부의 설명대로라면 보험계약서가 #메일을 통해 왔기 때문에 공인전자문서로써 효력을 나타내고 보험회사에서 보냈구나라는 것을 알 수 있으며, 이에 안심할 수 있습니다. 그런데 이미 보험을 가입할 때 가입자는 자신의 메일주소를 기입했을 것이고, 그 메일로 보험계약서가 오면 바로 보험회사가 보냈다는 것을 확인 할 수 있습니다. 누군가 악용의 소지로 특정 사람이 보험 가입할 때 다른 계약서 메일을 보내서 멀웨어를 심어야지라고 생각하지 않는 이상 악용 될 소지가 없으며, 더군다나 그냥 @메일로 멀웨어를 심어보내도 별반다르지 않은데 굳이 해커가 귀찮게 보험 가입할 것을 기다려야 할까요?

 반대로 해커가 #메일의 인증성을 이용하여 해킹툴을 심은 문서를 보내 다운로드를 유도한다면 어떨까요? 멀웨어가 포함 된 사실이 파악된다면 인증대상은 체포되겠지만, 수신자가 멀웨어를 파악하지 못하면 공인메일을 가장한 범죄에 악용 될 가능성도 있습니다.

 자신의 이메일 주소를 밝히는 것 자체가 이미 신분을 밝히는 것이고, 그렇기 때문에 메일을 주로 이용하는 사람들은 여러개의 메일 주소를 사용하여 신분을 보호하고 있는 것입니다. 쇼핑몰 뉴스레터는 A메일주소, 공문서는 B메일주소로 나뉘어 관리가 가능하고, 하나의 이메일만 쓰더라도 신분을 보장한다는데에 문제가 생기지 않습니다.

 세계적인 결제서비스인 페이팔은 이메일로만 결제하고, 이메일을 통해 화폐를 송금할 수도 있도록 되어있습니다. 이는 국제적으로 이메일이 디지털에서 개인의 신분을 보장하는 수단이며, 널리 통용되고 있다는 사실을 입증합니다. 페이팔은 저런 우리나라에서는 생소한 결제시스템만으로 가장 신뢰성이 높은 기업이 되었고, 단 한번도 이메일을 통한 범죄에 사용된 적 없는 철통보안을 자랑합니다. 우리나라는 그것을 굳이 공인인증서를 사용하여, 그것도 인증받기 위해 액티브엑스를 설치해야하며, 이것조차 유료로 해야하는 번거로움을 자처하려 합니다. 이메일 계정을 스스로 관리하는 이상은 개인의 신분을 보장하는데 아무런 지장이 없는데도 말입니다.

---

앞서가지 마라

 번거로움을 자처하더라도 그래도 @보다는 더 효력이 있지 않겠느냐라고 한다면 맞는 말입니다. 그런데 국제적으로 유례도 없는 #을 메일 기호로 사용한다는 것은 WWW에서 메일의 근간을 해칠 수 있는 문제입니다. 이미 표준, 기본적으로 @를 사용하자는게 약속입니다. 이 약속을 내버려두고 새로운 것을 만든다는것이 나쁘다는건 아닙니다. 그런데 굳이 만들 필요도 없는 #메일을 만들어 @를 메일 기호로 한다는 기본 정의에 뭔가를 추가해 혼동을 줄 필요가 있을까요? 과연 국민들이 이 #메일과 @메일이 무엇인지 파악하고 지식경제부의 심오한 생각에 따라서 행동할 수 있을까요? #메일이 국제적으로 메일로써 인정을 받을 수 있을까요?

 거기다 왜 공인인증서를 사용하기 위해 엑티브엑스를 사용해야하는 것일까요? 결제 모듈도 오픈화를 통한 다양한 플랫폼에서의 결제를 지향하고 있고, 안그래도 늦은 엑티브엑스의 퇴출이 진행되고 있는 마당에 왜 쓸데없이 또 공인인증서라는 번거로움을 자처하려하는 것인지 이해를 할 수 없습니다.

 필자의 생각은 이렇습니다. 이미 메일이 널리 통용되는 나라들의 경우 여러 메일 계정들을 따로 관리하여 쇼핑몰 뉴스레터는 이 계정, 페이스북은 이 계정, 중요한 공문서는 이 계정, 페이팔은 이 계정 등 개인이 메일의 용도를 나뉘어 보안을 관리하고 사용한다는 생각자체가 꽤 잘 자리잡고 있습니다. 때문에 윈도우의 아웃룩이나 맥의 메일서비스가 꼭 필요한 이유이기도 하고, 이렇게 많은 메일 주소와 비밀번호를 관리하기 위해 월5천원 수준으로 보관, 관리해주는 서비스도 있을 정도입니다. 국내의 경우 메일을 자주 사용하는 비즈니스맨이나 사업가들이 아닌 이상 자신의 메일 주소를 까먹고 다니거나 한가지 메일 주소로 여러가지에 사용해 보안상태가 낮춰져있으며, 애초에 주민번호를 통해 가입하기 때문에 이런 메일을 보안 관리 체계에 대한 인식이 매우 부족하고 주로 사용하던 한가지 메일서비스만 공격당해도 끝장나도록 되어있습니다.

 오히려 국내 메일서비스의 관행이 개인의 보안 인식 수준을 굉장히 낮추고 있다고 봅니다. 그래서 자신의 중요 개인정보인 메일을 아무렇게나 사용하고, 그것이 범죄에 노출될 수 있는데, 정작 정부는 자신들이 직접 나서서 보안 체계를 강화해주겠다고 하니 이런 개인의 보안 의식자체가 강화 될 여지가 생기지 않는다는 것입니다. 그 덕분에 페이팔 같은 결제서비스가 생기는 것은 꿈도 꿀 수 없으며, 공인인증서를 사용하지 않으면 안되는 나라가 되버렸다는 얘기입니다. 보안 시장도 자연스레 더 악화되죠.

 메일 주소는 사용자가 직접 상대방에게 알려주지 않는 이상 알아낼 방법이 없습니다. 쇼핑몰 뉴스레터를 A메일로 받아보도록 해두었다면 쇼핑몰 레터만 이 메일로 받아보면 되는 것이고, 중요 문서의 경우 B메일로만 받아보도록 지정하여 수시로 비밀번호를 바꾸며 보안을 유지 할 수 있는 기본 보안 의식이 심어져야 합니다.

 쓸데없이 앞서가지 말았으면 합니다. 만약 메일을 통한 개인 신분 인증의 보안체계에 문제가 발생했다면 그 문제를 해결할 수 있다는 보안 업체가 생길 것이고, 이런 보안업체가 생기면 보안 시장도 활성화 될 수 있습니다. 그리고 보안 시장이 활성화되면 보안 인력과 수준이 높아지며, 현재 악화되어 있는 한국의 보안 체계도 바로 잡힐 수 있습니다. 그러나 정부에서 굳이 아날로그 같은 공인인증방식을 내놓으면서 보안체계가 발전하긴 커녕 오히려 낮아지고 있으며, 개인의 보안 인식 수준도 밑바닥을 달리고 있습니다.

 #메일이 필요한 이유는 그 어디에도 없습니다. 이것이 국제적 표준이 될 가능성도 없습니다. 우리 정부가 해야할 일은 이런 쓸데없는 것을 표준으로 만들기 위해 멍청한 짓을 할게 아니라 국내 웹환경이 국제 표준에 맞춰질 수 있도록 하는 것이며, 국제표준에 맞춰졌을때 그때 국제적 표준으로 나아갈 수 있는 기술을 선보여 웹을 선도할 수 있도록 하는 것이 옳습니다. 정부가 하고 있는 짓은 우리나라의 웹 갈라파고스를 부치기는 것이며, 표준과 멀어지는 웹 환경은 글로벌 경쟁에서 악조건이 되는 것을 자행하는 짓입니다.

 웹환경이 무너지고 글로벌 시장과 멀어지면 IT시장 자체가 발전할 수 없습니다. IT시장이 발전할 수 있도록 하고 싶다면 가만히 있길 바랍니다. 당신들이 나서지 않아도 알아서 합니다. 그걸 방해만 하지 말아주길 바랍니다.