웹은 오픈되어야 더 안전하다

 정답이 존재하지 않는 부분에 대해 강구한다는 것은 매우 좋은 현상입니다. 그저 방관하고 내버려두는 것은 가장 좋지 못한 방법이죠. 우리나라의 웹에 대한 이해도는 딱 방관의 수준입니다. 인터넷 인프라가 잘 발달되어 있고, 언제 어디서든 웹과 접근할 수 있지만 웹을 강구하는 것에는 매우 약합니다. 그렇기 때문에 가장 폐쇄적인 웹을 사용하는 곳 중 하나입니다.

---

웹은 오픈되어야 더 안전하다

 '오픈되어야 더 안전하다'는 것은 펼쳐놓자는 얘기가 아닙니다. 웹의 보안이라는 것이 이미 열려있는 것이고, 열려있다는 인식이 떨어질 경우 오히려 안전성을 떨어뜨린다는 것입니다. 애초 웹의 보안은 '100%', '완벽히'라는 단어를 붙일 수 없는 곳입니다. '그나마 안전한 방법'을 강구하는 것이 최선이며, 이 방법은 항상 변화하고 발전하고 있습니다. 보안은 웹에 있어 최고의 고민거리이며, 최선의 과제입니다.

 하지만 우리나라의 현실은 어떠할까요?

---

공인인증서

 폐쇄적인 웹의 가장 대표적인 예가 공인인증서입니다. 아마 이번 연말정산 떄 곤혹을 치르신 분들도 많으시리라 생각되는데, 왜 공인인증서를 사용하는 것일까요?

 공인인증서의 보안 체계는 간단합니다. 일단 이동식 저장소를 통해 인증서를 보관하는 1차 방어선과 인증서 비밀번호를 사용하는 2차 방어선입니다. 이동식 저장소를 사용하면 항상 PC와 연결되어 있는 상태는 아니기 때문에 안전하다는 것이며, 인증서 비밀번호는 키보드보안 프로그램이 작동하기 때문에 안전하다는 얘기입니다. 그럴듯 합니다. 그런데 생각해봅시다. 결과적으로 이동식 저장소가 PC와 연결되면 빼갈 수 있다는 얘기며, 이미 비밀번호를 알고 있다면 키보드보안은 쓸모가 없다는 것입니다. '그것이 가능할까?'

 만약 PC에 이동식 저장소가 연결되면 저장 된 정보를 빼내는 악성코드를 심어뒀다고 합시다. 혹은 특정 PC를 해킹한다고 합시다. 불특정다수를 공격하는 악성코드의 경우 그 대상자를 산정할 수는 없지만, 빼내는 것은 가능합니다. 특정 PC를 직접 해킹하는 것은 굉장히 쉬운 일입니다. 특히 일반인이라면 더더욱 말이죠. 그럼 1차 방어선은 무너지는 것입니다. 비밀번호는 어떨까요? 만약 특정 대상의 계좌에서 돈을 뺴내기 위해 작당했다고 합시다. 그럼 그 특정 대상이 사용하는 웹서비스들을 다 들춰내고 그 중 몇가지를 입력하는 것으로 뚫는 방법도 있습니다. 물론 비밀번호에 입력에 횟수 제한이 있어  범죄자들이 허탕치는 경우도 있겠지만, 대개의 사람들이 똑같은 비밀번호를 사용한다는 점에서 걸려드는 사람도 분명히 존재할 것이라는 겁니다.

 그럼 답이 나왔습니다. 1차 방어선인 이동식 저장소의 인증서도 무용지물, 2차 방어선인 키보드 보안도 무용지물, 가장 중요한 것은 '사용자가 비밀번호를 각기 다르게 쓰는 것'이라는 답말입니다. 실상 공인인증서라는게 다 필요가 없다는 얘기입니다. 차라리 비밀번호가 잘못 입력되었을 시 계정에 설정 된 전화번호로 경고 SMS를 보내는 것이 오히려 더 안전할겁니다.

 폐쇄적인 웹의 문제는 오픈 된 웹에 폐쇄성을 끼워맞추려고 한다는 것에 있습니다. 사실상 웹 보안은 어떤 프로그램을 설치하거나 누군가 인증해준다고 해서 완벽해지진 않습니다. 아니, 어떤 경우도 완벽할 수 없습니다. 하지만 공인인증서는 마치 이것을 사용하면 안전하다는 식의 뉘앙스를 흩뿌리며 범용인증서 비용 4,400원을 강제 결제하도록 하고, 마이크로소프트에 종속해 익스플로러와 액티브X를 강요합니다. 실상 사용자가 비밀번호만 자주 변경하고 비밀번호를 빼갈 수 없도록 악성코드 검사와 치료만 수시로 해줘도 될 문제인데도, 쓸데없는 공인인증서를 강매당하고 있는 것입니다. 그럴 수 밖에 없는 것이 '1차 방어선'과 '2차 방어선'이라는 것이 존재하기 때문에 보안에 대한 이해도가 떨어지는 사용자 입장에서는 '안전하다'는 믿음을 심어주기에 충분하니까요.

---

폐쇄적인 웹

 웹은 일종의 '도로'와 같습니다. 만약 도로가 한길로만 나있다면 어떨까요? 예를 들어 서울에서 부산까지만 도로가 있다면 말입니다. 그 이유를 '범죄자가 차로 이동할 시 쉽게 붙잡기 위해서'라며 통과하는 차량을 전부 검사하면서 이동하도록 한다면 어떨까요? '그렇게 한다고 범죄자가 잡히냐'라는 말이 가장 먼저 튀어나올 것입니다.

 웹이 그렇습니다. 웹은 수많은 도로들이 연결되어 있고, 한쪽길이 안된다면 다른 길로 돌아갈 수도 있습니다. 그런데 거기에다가 '한쪽길로만 가야 해'라고 정책을 만들어 낸다? 현실적으로 불가능한 것입니다. 운영체제나 소프트웨어 제품의 경우에는 폐쇄적인 것이 더 안전합니다. 일단 제공자가 폐쇄적인 환경을 통해 사용자를 보호하기 때문이죠. 비유를 하자면 집 사방에 담을 세워두고 정문 밖에 존재하지 않습니다. 그럼 정문만 경비를 하면 됩니다. 물론 가끔 담을 뛰어넘는 범죄자도 있겠지만, 이 담을 뛰어넘게 만드는 것을 보안 취약점이라고 한다면 담 주위에 감시카메라를 설치하거나 적외선 센서를 설치하여 담을 넘는걸 방지할 수 있겠죠. 이건 폐쇄적인 환경의 얘기입니다. 하지만 웹은 애초부터 허허벌판에 도로를 깔아놓은 형태입니다. 통제를 한다는 발상자체가 잘못되었다는 것입니다. 도로 전체에 담을 세울 생각이 아니라면 말입니다.

 도로를 범죄자들이 이용한다는 이유로 폐쇄적으로 만드는 국가는 없습니다. 그리고 여러 갈래로 갈라져 있는 도로는 위험한 구간도 있고, 또 안전한 구간도 있습니다. 혹은 눈때문에 미끄러워 사고가 발생할 수 있는 구간도 있습니다. 운전 초보자라면 안전한 구간을 달려야 할 것이며, 눈에 의한 사고를 방지하기 위해선 체인을 장착해야 합니다. 또 달리는 중 사고가 발생하지 않도록 하기 위해 자동차 점검은 필수적으로 받아야 합니다.

 웹도 똑같습니다. 웹은 그냥 오픈되어 있는 환경이고, 안전한 사이트가 있는가하면 신뢰할 수 없는 불확실한 사이트도 존재합니다. 웹 보안에 대한 이해도가 부족하다면 안전한 사이트만을 접속해야 할 것이며, 불확실한 사이트를 접속을 방지 하기 위해선 보안 소프트웨어나 보안이 강화 된 웹브라우저를 이용해 방지할 수 있어야 합니다. 그리고 악성코드나 비밀번호에 의한 해킹 피해를 막기 위해서 PC와 자신이 가입한 사이트를 점검할 수 있어야 합니다.

 폐쇄적으로 만드려는 행위 자체가 불필요한 것이며, 오히려 그것이 사용자로 하여금 '안전하다'는 말도 안되는 믿음을 심어줘 경각심을 덜어버리기 때문에 더 안전하지 못한 상태로 만드는 것입니다.

---

웹 보안

 웹에서의 일방통행은 매우 좋지 않은 것입니다. 특히 익스플로러 종속국인 한국의 경우 익스플로러의 보안 취약점을 파고든 범죄는 갈수록 더 많이 발생하고 있습니다. 무엇보다 그런 피해를 받았음에도 여전히 예전 버전의 익스플로러를 사용한다는 것입니다. 아니, 악성코드가 PC에 설치되었다는 것이 피해라는 사실 자체도 인식하지 못하는 수준의 보안 후진국입니다. 만약 다양한 웹브라우저가 사용되는 환경이었다면 어땠을까요? 해킹 범죄자들은 이 브라우저들을 모두 헤아리기 위해 골치를 썩을 것이며, 나아가 다양한 운영체제를 사용하고, 백신 소프트웨어를 당연히 소비해야 한다는 문화가 발달하게 되면 자연스레 악성코드 유포지 1위, 감염률 1위라는 불명예도 씻어 낼 수 있을 것입니다.

 현재의 한국은 웹 보안에 대해 공탁론만 벌이고 있습니다. 이미 다른 국가들은 공탁론은 불필요하다는 것을 2000년 초에 깨달았는데, 여전히 한국만이 웹 보안에 대한 공탁론을 벌이고 있습니다. 그냥 내버려 두면 됩니다. 황폐해진 벌판에 여러 개의 도로를 놓을 수 있도록 가만히 놔두면 됩니다. 차라리 무엇인가 하고 싶다면 보안에 대한 캠페인을 하는 것이 더 효율적일 것입니다. 도로에 주의하라는 표지판만 달아달라는 겁니다.

 그저 사용자들이 열려있기 때문에 스스로 보호해야 한다는 생각이 들도록 만드는 편이 더 안전합니다. 필요도 없는 키보드 보안 프로그램을 믿고 설치하게 하는 것보다 보안의 중요성을 깨닫고 신뢰할 수 있는 보안/백신 프로그램을 소비할 수 있도록 하는 편이 더 안전합니다. 비밀번호를 관리하지 않아 피해를 당하도록 내버려두고 관리하지 않으면 안된다는 경각심을 심어주는 것이 더 안전합니다.

 우리는 웹 보안이라는 것이 '전문가가 하는 것'이라고 착각하고 있습니다. 전문가들이 보안을 해주고 사용자는 그에 따라 사용하기만 하면 된다고 생각합니다. 하지만 웹 보안은 스스로 행하지 않으면 안됩니다. 아무리 전문가들이 폐쇄적인 환경을 만들어 내려고 발버둥을 쳐봐야 불가능합니다. 그럼 사용자가 알아야 합니다. 운전하는 법을 모르는데 차를 탈 생각을 해선 안된다는 겁니다. 그렇다고 '웹 사용 자격증'을 만들 수도 없는 노릇 아닌가요.

 그냥 웹 보안은 오픈 된 쪽이 더 안전합니다.