<div class="xe_content"><h1>2심 법원도 청와대 앞 1인 시위 제지는 표현의 자유 침해, 국가배상 책임 인정</h1> <h2>참여연대, 청와대 앞 1인 시위 제지 손해배상소송 항소심도 승소</h2> <p> </p> <p>서울중앙지방법원 재판부(제10민사부재판장 박병태)는 지난 1월 24일, 참여연대 활동가 7인이 2016년 국가를 상대로 제기한 청와대 앞 1인 시위 제지 손해배상 소송 항소심에서 양측의 항소를 기각하고, 원고들에게 각 50만원에서 150만원에 해당하는 손해배상을 하도록 한 1심 판결을 그대로 유지했다. 1심에 이어 2심 재판부도 피켓의 문구를 문제 삼아 청와대 앞 1인 시위를 제지한 것은 표현의 자유를 침해한 것으로 국가배상 책임을 인정한 것이다. 참여연대 공익법센터는 이번 판결로 자의적인 기준으로 시민의 표현의 자유를 가로 막는 경찰의 위법한 공권력 행사에 제동이 걸리길 기대한다.</p> <p> </p> <p>참여연대 활동가들은 2016년 11월 국정농단 사태와 관련해 청와대 앞에서 당시 박근혜 대통령의 하야를 촉구하는 1인 시위를 진행하려다가 청와대 담장 200미터 정도 거리(청운효자동주민센터 맞은 편)에서 경찰에 의해 통행을 제지당했다. 경찰은 피켓의 하야 문구를 문제 삼아 경호구역의 질서유지에 위해를 가할 수 있다면서, 대통령 하야 1인 시위만을 선별적으로 금지한 것이다. 이에 참여연대 활동가 7인은 경찰의 1인 시위 제지 행위는 표현의 자유 등 헌법상 기본권을 침해한 위법행위로 판단해 2016년 11월 29일 국가를 상대로 한 손해배상소송을 제기했다.</p> <p> </p> <p>1심 재판부는 “각 피켓과 표현물의 내용만으로는 원고들이 위 경찰관들의 경호대상에 대한 위해를 초래할 가능성이 있었다거나 범죄행위를 할 가능성이 있었다고 보기 어렵다”고 밝히고 “1인 시위는 다수가 아닌 한 명이 국가기관인 대통령에 대한 특정한 의사를 공개적으로 표시하고 이를 전파하려는 것으로서 헌법상 보장된 표현의 자유를 실현하는 방법이므로 충분히 보장될 필요가 있다”고 판시했다. 1심에 이어 2심 재판부도 국가배상 책임을 인정한 만큼 이번 판결을 계기로 경찰의 위법한 공권력 행사가 반복되지 않길 바란다. </p> <p> </p> <p><a href="https://docs.google.com/document/d/1_Vo0OikDf3tiIq0whpJwzwyJh7LV_LMDbkr…; <div> </div></div>

 [오픈넷 포럼] 

공인인증서 사용 강제 폐지를 위한 전자금융거래법 개정 1주년 기념

 이용자에게 묻습니다. “한국 인터넷 이용 환경 좀 나아지셨습니까?”

 

참가신청하기

 

지난 2014년 9월 30일 오픈넷이 오랫동안 염원하던 전자금융거래법 개정안이 국회 본회의를 통과하였고 올해 10월 15일 시행을 앞두고 있습니다. 물론 함께 제안되었던 전자서명법 개정안이 통과되지 않아 반쪽 개정에 불과하였지만 많은 분들이 전자금융거래법 개정이 핀테크 열풍과 더불어 공인인증서와 액티브 엑스(Active X) 등으로 답답했던 한국 인터넷 이용 환경 변화의 전환점이 될 것이라 예상하였습니다.

그로부터 1년이 지난 지금, 9월 정기 오픈넷 포럼을 통해 공인인증서와 액티브 엑스 문제를 중심으로 한국 인터넷 이용 환경이 어떻게 개선되었는지 살펴보고 진정한 문제 해결을 위해 기술중립성과 공정거래 및 소비자보호 측면에서 노력해야 할 근본적인 지향점을 모색해 보고자 합니다.

관심 있는 분들의 많은 참여 부탁 드립니다.

 

* 참가비는 무료이며 링크를 통해 참가신청을 해주시면 행사준비에 많은 도움이 됩니다.

* 주차는 스타트업 얼라이언스 건물(현대타워) 주차장 이용 가능하며, 주차 영수증을 지참하시면 무료 주차권 발급이 가능합니다.

* 참석하신 분들께는 샌드위치가 제공됩니다.

 

 <행사 안내>

공인인증서 사용 강제 폐지를 위한 전자금융거래법 개정 1주년 기념 오픈넷 포럼

“이용자에게 묻습니다. 한국 인터넷 이용 환경 좀 나아지셨습니까?”

 

일시: 2015년 9월 23일(수) 오후 7시 30분 – 9시 30분

장소: 스타트업얼라이언스 앤스페이스 (서울특별시 강남구 테헤란로 423, 현대타워 7층/선릉역 10번 출구에서 직진, 3분거리)

- 지도: http://startupall.kr/location/

 

사회: 강정수 | 오픈넷 이사/연세대 커뮤니케이션연구소장

발제: 김기창 | 고려대 법학전문대학원 교수

패널:

• 윤석찬 | 한국 웹표준프로젝트 리더
• 김성동 | 알라딘 웹기획/마케팅팀장
• 정혜경 | 코인플러그 서비스기획이사

 

문의: 오픈넷 사무국 02-581-1643, [email protected]

 

참가신청하기

 

미디어 컨버전스와 내용규제 모델에 대한 국제회의 참관기 – 공인인증서 문제와 기술중립성 원칙

지난 2015년 7월 24일 태국의 Foundation for Community Educational Media (FCEM) National Broadcasting and Telecommunication Commission (NBTC) 공동주최로 “New Thinking for New Media”이라는 제목의 국제회의가 태국 방콕에서 개최되었고 필자는 패널로 본 회의에 참석하였다.

본 회의는 방송과 통신이 융합되는 환경에서 규제의 지향점을 모색해보고자 여러 국가들의 규제상황을 비교 분석하는 자리로 마련되었다. 한국에서는 필자를 포함하여 미디액트의 김명준 대표, 한국인터넷자율정기구(KISO)의 유정석 실장이 함께 초청되었다.

 

필자는 오전 세션인 “Infrastructure for the Future: How convergent media governance could facilitate innovative economy and democratic society?”에 패널로 참석하여 한국의 공인인증서와 액티브 엑스 문제 및 기술 중립성이라는 인터넷 규제 원칙에 대해 간략히 발표했다. (발표내용은 첨부파일 참조)

우선 최근 한국에서 윈도우 10 업데이트시 기본 브라우저에서 더 이상 액티브 엑스(Active X)가 지원되지 않아 발생한 문제를 언급하고, 문제의 원인은 한국의 전자서명법과 전자금융거래법이 기술중립성 원칙을 준수하지 않았기 때문이라고 지적했다. 지난 10년간 전자금융거래법령에서 공인인증서 사용을 정부가 사실상 강제하면서 공인인증서라는 특정 기술만 전자금융거래에 사용되었고, 공인인증서가 액티브 엑스 (Active X)라는 기술에 의해 구현되면서 한국의 인터넷 이용환경은 지난 10년간 마이크로소프트사의 인터넷 익스플로러에 종속될 수밖에 없었다는 점을 강조하였다.

이는 유럽 등에서 인터넷 규제의 원칙으로 자리잡은 “기술중립성”을 위반한 것인데, 기술중립성은 인터넷 관련 규제(정책)는 특정 기술이 드러나거나 특정 기술에게 유리한 방향으로 정의되어서는 안된다는 원칙이다. 인터넷 규제가 특정 기술만 사용되거나 특정 기술에 유리하게 디자인되면 특정 기술 외의 다른 기술들이 시장에 선보이지 못하여 경쟁이 제한되고, 이에 따른 차별이 발생하여 결국 시장에서의 기술 혁신이 좌절되는 악순환이 이루어지기 때문이다.

이러한 이유로 오픈넷은 특정 기술의 사용을 강제하지 못하는 취지의 전자금융거래법 개정안을 국회에 제안했고 지난 해 9월 30일 국회 본회의를 통과하여 올해 10월 시행을 앞두고 있다는 점도 함께 소개하였다. 주지하다시피 금융당국은 법 개정의 취지에 맞게 전자금융거래에 공인인증서 사용의무와 관련한 규제를 이미 철폐한 바 있다.

 

플로어에서는 기술중립성 원칙에 비추어 특정 기술에 대한 지원도 제한되는지 여부에 대한 질문이 제기되었다. 특히 저개발국에서 기술 보급을 위한 정부 지원이 다분히 필수적인데 기술중립성과의 조화로운 해석이 가능한지에 대한 의문이었다.

이에 필자는 기술중립성은 인터넷 규제 디자인과 관련하여 가장 중요한 원칙이거나 유일무이한 원칙이 아니며 다른 원칙들과 조화롭게 해석되어야 한다는 전제 하에, 특정 기술에 대한 정부 지원은 지원금에 관한 규제에 의해 조화롭게 규제될 수 있다고 답변하였다. 그리고 지원금 선정 기준으로는 특정 기술을 직접 규정하는 방식보다는 최소 충족 기준(performance standard)을 설정하여 그 기준을 충족하는 기술에 대하여 지원하는 방식을 택하는 것이 기술중립성 원칙과 조화로운 해석이 될 수 있다는 점도 덧붙였다.

본 회의에서 기술중립성 사례 외에도 한국의 인터넷 관련 규제와 진흥 정책은 많은 관심을 받았다. 특히 미디어 융합 환경에서 마을 방송 등 지역의 대안적 미디어에 대한 서울시의 정책에 태국 청중들의 질문이 집중되었고, 오후 세션에서 내용규제와 관련한 자율규제기구의 운영 방식에 대해서도 청중들은 많은 관심을 보였다. 그러나 시간 관계상 한국의 정보매개자에게 부과되는 규제에 대해서는 구체적인 논의가 이루어지지 못했다.

 

한국은 인터넷 강국이라는 수사가 항상 뒤따른다. 그러나 이는 세계 최고 수준의 인터넷 속도라는 다분히 인프라 적인 측면에서의 평가라는 점에 주목할 필요가 있다. 필자가 발표한 공인인증서와 액티브 엑스 문제에서 단적으로 드러나듯, 한국의 인터넷 이용환경은 세심하게 고려되지 않은 규제들로 인하여 폐쇄적이며 특유의 활력을 잃어가고 있다.

오픈넷은 전자금융거래 규제가 기술중립성 원칙에 따르도록 법 개정 운동을 성공적으로 이끈 것처럼 한국 인터넷 환경을 보다 자유롭고 활력 넘치는 공간으로 만들기 위해 앞으로도 다양한 분야에서 구체적인 정책 대안을 제시할 예정이다.

윈도우10 업데이트 대란과 인터넷 새마을운동

액티브엑스(Active X) 갈라파고스를 초래한 정부의 공인인증서 정책

 

글 | 박지환(오픈넷 변호사)

 

2015년에 업데이트된 마이크로소프트사의 최신 운영체제인 윈도우 10이 기본 웹브라우저를 액티브엑스(Active X)가 지원되지 않은 엣지(Edge)로 변경하면서 한국의 웹사이트들은 비상이 걸렸다. 정부와 은행의 웹사이트는 가급적 윈도우 10 업데이트를 하지 말라고 안내하였고, 모처럼 찾아온 윈도우 무료 업데이트 기회에 많은 국내 이용자들은 고민에 빠질 수밖에 없었다. 구글의 크롬(Chrome) 역시 지난 9월부터 NPAPI 플러그인 설치가 불가능해지면서 원도우 10 대란에 이어 이른바 9월 크롬대란이 예고되기도 하였다.

 

특명 : 액티브엑스를 잡아라?

박근혜 대통령은 2015년 각종 대란이 발생하기 훨씬 이전인 2014년 3월에 이미 이른바 ‘천송이 코트 사건’에서 외국인이 국내 웹사이트에서 결제를 손쉽게 할 수 없다는 점을 지적했다.

“한국 드라마를 본 수많은 중국 시청자가 의상, 패션잡화 등을 사기 위해 한국 쇼핑몰에 접속했지만, 결제하기 위해 요구하는 공인인증서 때문에 결국 구매에 실패했다고 한다. 우리나라에서만 요구하는 공인인증서가 국내 쇼핑몰의 해외 진출에 걸림돌이 되고 있다.”

이후 정부는 모든 문제의 주범이 마치 액티브엑스인 양 호들갑을 떨었다. 액티브엑스를 없애는 것만이 지상의 목표가 되었던 것이다. 액티브엑스만 사라지면 모든 문제가 해결될 것처럼 보였고, 그 결과 exe 방식의 프로그램 설치라는 땜질 처방으로 이어졌다. 하지만 이 모든 노력이 대란을 막기엔 역부족이었다.

 

대란의 씨앗 : 정부의 공인인증서 보급 및 사용강제 정책

그렇다면 무엇이 각종 플러그인 대란을 초래한 것인가?

10여년 전 당시 주무 부처인 정보통신부는 전자금융거래의 본인확인을 위해 PKI(공개키기반구조)기술을 사용하도록 하면 인터넷 뱅킹 분야에서 국제적으로 앞서나갈 수 있다고 판단하였다. 참신하고 획기적인 아이디어였다. 이에 당국은 기술중립성이나 웹브라우저 이용환경 등은 고려하지 않은 채로 공인인증서 전국민 보급운동을 펼쳤고, 전자금융거래 법령을 통해 사실상 모든 전자금융거래에 공인인증서 사용이 강제되기에 이르렀다. 대란의 씨앗이었다.

액티브엑스가 아니라 기술중립성 위반이 문제다.

그러나 정부의 이 같은 공인인증서 정책은 기술중립성을 위반한 것이었고, 액티브엑스 대란의 진짜 원인은 여기에서 찾아야 한다.

기술중립성(technology neutrality)이란 기술과 관련된 정책에서 특정 기술을 유리하게 취급하거나 특정 기술 사용의무를 부과하지 말아야 한다는 원칙이다. 달리 말하면 기술중립성 원칙은 시장 참여자에게 가장 적합한 기술의 선택권을 부여해야 한다는 것이다.

대표적으로 EU framework directive 2002/21에 아래와 같이 정의되어 있다
“… making regulation technologically neutral, that is to say that it neither imposes nor discriminates in favor of the use of a particular type of technology … “

만약 정부가 특정 기술을 사용하도록 강제하면 기술의 발전 속도에 맞추어 계속 근거 법령을 수정해야 한다. 그러나법령이 빠르게 변하는 기술의 발전 속도를 따라가지 못하면 낙후된 기술이 계속 사용될 수밖에 없다. 또한특정 기술 이외에는 어떠한 혁신적인 기술도 시장 진입이 불가능해지기 때문에시장 경쟁을 통한 기술 혁신은 원칙적으로 불가능해진다.

10여년 전 웹브라우저는 자체 기능이 매우 미약했고, 하드디스크에 암호화키를 저장하는 방식으로 공인인증서를 구현하기 위해서는 별도의 플러그인이 필요했다. 그 역할을 수행했던 것이 불행하게도 마이크로소프트사의 액티브엑스(Active X)였다.

그러나 막대한 기회비용을 이유로 액티브엑스 방식의 공인인증서는 많은 문제점에도 불구하고 다른 방식으로 대체되기 어려웠다. 정부 정책의 경로의존성(path dependency) 때문에 공인인증서 사용 의무 규정 역시 유연하게 바뀌기 어려웠다. 공인인증서 외에 다른 인증기술은 오랫동안 시장에 선보이지도 못하였음은 물론이다. ‘공인’이라는 단어가 주는 믿음직함에 다른 인증기술을 고려할 필요가 있었을지도 의문이다.

 

2014년 전자금융거래법 개정으로 숨통

요컨대 정부가 공인인증서 보급 및 사용강제 정책을 통해 기술중립성을 위반한 것이 대란의 진짜 원인이다. 정부가 특정 기술을 사용하도록 홍보 및 강제하고 그 기술이 액티브엑스 등 플러그인으로 구현되면서 한국의 인터넷 이용환경은 급속도로 플러그인에 종속되어 버렸다. 앞서가려는 정부의 과욕이 세상에 어디에도 없는 인터넷 갈라파고스를 만들어낸 것이다.

다행히도 사단법인 오픈넷은 근본적인 문제점을 해결하기 위해 기술중립성 원칙에 기초한 전자금융거래법과 전자서명법 개정안을 국회에 제안하였고, 그 중 전자금융거래법이 지난 2014년 9월 30일 극적으로 개정되어 올해부터 시행되고 있다. 이에 금융당국은 기술중립성 원칙에 맞게 공인인증서 사용 의무조항을 단계적으로 철폐하였고, 인증기술에 대한 사후 감독원칙을 천명하기에 이르렀다. 지긋지긋한 액티브엑스 문제의 근본적 원인이 드디어 해결된 것이다.

개정 전자금융거래법 제21조 제3항
금융위원회는 제2항의 기준을 정함에 있어서 특정 기술 또는 서비스의 사용을 강제하여서는 아니되며, 보안기술과 인증기술의 공정한 경쟁이 촉진되도록 노력하여야 한다.

다만 전자금융거래 이외의 많은 영역은 여전히 전자서명법 상 공인인증서가 규율하고 있고, 공인인증서가 이용되는 본인확인 규제들이 수없이 상존해 있다. 정부 웹사이트 역시 공인인증서에 과도하게 의존하고 있다. 따라서 오픈넷이 제안한대로 전자서명법이 전면 개정되거나 공인인증서 기술이 모두 웹 표준 방식으로 개편되지 않는 이상 당분간 답답한 인터넷 이용환경은 계속될 것이다.

 

인터넷 새마을운동? 정부는 기술 시장에 인위적으로 개입하지 말아야

정부가 기술 시장에 직접 개입하는 것은 과거 새마을 운동을 인터넷 분야에서 구현하는 것과 다름 아니다. 거창하게 기술중립성 원칙을 들먹이지 않더라도, 민간의 기술 발전 속도가 정부의 기술 이해 속도에 비해 월등히 빠른 부문에서는 더 이상 새마을 운동 방식은 유효하지 않다. 정부 주도로 호기롭게 도입되었던 샵메일의 처참한 이용 실적이 이를 방증한다.

인터넷을 통해 혁신적 기술이 꽃피게 하고 인터넷 갈라파고스에서 벗어나기 위해서는 기술중립성 원칙에 따라 정부가 기술 시장에 인위적으로 관여하는 관행에서 벗어나야 한다. 앞서 언급했던 금융위원회의 전향적인 태도 변화는 주목할 만하다. 2015년 액티브엑스 대란은 결국 정부의 과욕에서 비롯되었음을 잊어서는 안 된다.

 

* 위 글은 씨넷코리아에 기고했습니다. (2015.10.21.)

스마트보안관이여 잘 가시오! 

이제는 청소년 스마트폰 감시법의 폐지를 논의할 때!

 

11월 1일 시티즌랩이 스마트보안관에 대한 2차 보고서를 공개한 같은 날, 방송통신위원회(이하 ‘방통위’)는 스마트보안관의 서비스를 중단하기로 했다고 발표했다. 오픈넷이 올해 2월부터 추진해 온 ‘청소년 스마트폰 감시법’ 반대 운동이 성공적인 결실을 맺은 것이다. 지난 6월 말 진행된 2015 시티즌랩 여름 연구소(Citizen Lab Summer Institute)에 참여한 오픈넷의 제안으로 시티즌랩, Cure 53, 그리고 독립적인 연구원들이 참여한 스마트보안관 연구 프로젝트가 시작되었다.

스마트보안관은 방통위의 지원으로 한국무선인터넷산업연합회(MOIBA)가 개발해서 보급하고 있는 안드로이드용 청소년 유해매체물 차단 앱이다. 정부가 홍보할 뿐만 아니라 무료로 배포되고 있어 청소년 스마트폰 감시법(전기통신사업법 제32조의7 제1항 및 동 법 시행령 제37조의8 제2항)이 시행된 4월 16일 이후 가장 시장점유율이 높은 프로그램이다.

9월 20일 시티즌랩이 발표한 1차 보고서에서 밝힌 스마트보안관에 대한 두 건의 보안 감사 결과에 의하면, 청소년 및 부모 이용자들의 프라이버시와 보안을 위협하는 취약점이 26건이나 존재했다. 보고서에서 시티즌랩은 스마트보안관에 대해 “독립적이고 철저한 보안 감사가 이루어지기 전까지는 해당 앱의 추후 사용과 홍보를 중단’해야 한다고 주장했다. 보고서 발표 직후 방통위는 보도자료를 통해 취약점을 수정하기 위한 조치가 취해졌으며 “앞으로도 필요시 보안취약점을 지속적으로 개선”해 나가겠다고 대응한 바 있다.

그러나 2차 보고서에 담긴 후속 보안 감사 내용을 살펴보면, 스마트보안관의 취약점은 제대로 수정되지 않았거나 그대로 남아 있어 청소년들을 여전히 위험에 노출시키고 있는 것으로 드러났다. 이에 시티즌랩은 “스마트보안관을 지체 없이 오픈마켓에서 내리고, 현재 사용자들은 이용을 즉시 중단할 것”을 권고했다. 그런데 마침 당일, 스마트보안관의 서비스 중단이 알려졌고, 구글 플레이에서도 내려진 것이 확인되었다. 다만, “사이버안심존”이라는 이름으로 하에 스마트보안관이 여전히 남아 있는 것으로 보여 방통위 담당자에게 확인한 결과, 11월 1일 부로 스마트보안관은 더 이상 신규가입자를 받지 않으며 기존 가입자들은 이통사들이 제공하는 무료 앱으로 전환하도록 안내를 할 계획이며, 사이버안심존은 스마트보안관과 다른 기능의 앱이라는 답변을 받았다.

11월 2일 오픈넷 사무실에서 진행된 시티즌랩의 기자회견에서 시티즌랩 소장이자 토론토대학교 교수인 론 디버트(Ron Deibert) 소장은, 스마트보안관은 정부가 보안에 취약한 프로그램을 제대로 된 보안 감사나 검증 없이 사용을 강제함으로써 국민의 신뢰를 저버린 사례로, 국가가 특정 집단을 보호하겠다는 선한 의도로 추진한 정책이 오히려 해당 집단을 위험에 빠뜨릴 수 있다는 교훈적인 연구 사례가 될 것이라고 말했다.

이와 같이 정부가 특정 프로그램 내지 기술을 강제할 때 어떤 결과가 초래되는지에 대해 우리는 공인인증서 사태로 충분히 겪은 바 있다. 스마트보안관은 음란물을 차단한다는 목적으로 정부가 개발한 특정 프로그램을 강제한 결과, 오히려 아이들과 부모들을 보안 위협에 노출시키고 시장을 교란시키는 안타까운 결과를 낳았다. 또한 그 과정에서 청소년의 프라이버시와 부모의 교육권이 침해되었으며, 국민들의 세금이 낭비되었다.

이제라도 스마트보안관을 내린 것은 다행이지만, 기존 이용자들은 여전히 위험에 노출되어 있으며, 이통사 및 다른 사기업이 제공하는 무료 앱의 보안성이 더 뛰어나다는 보장도 없다. 더욱 근본적인 문제는 스마트폰 감시법이 존재하는 이상 차단수단 설치가 계속 강제된다는 것이다. 스마트폰 감시법은 극단적인 국가후견주의의 발현으로, 청소년의 프라이버시를 침해할 뿐만 아니라 부모의 교육권을 박탈하며, 정책의 시행을 민간에게 떠넘김으로써 사기업들에게 부담을 안겨 영업수행의 자유도 침해하는 악법이다. 이러한 법은 UN아동권리협약과 UN 시민적 및 정치적 권리에 관한 국제규약 등 국제 인권 기준에도 어긋난다. 방통위는 한시라도 빨리 동 법의 폐지 방안을 강구해야 할 것이다.

오픈넷은 진보네트워크센터와 함께 동 법에 대한 헌법소원을 준비 중에 있으며, 헌법소원에 청구인으로 참여하고자 하는 청소년과 부모를 찾고 있다. 청구인의 자격은 차단수단이 설치된 스마트폰을 사용하는 청소년과 청소년의 법정대리인이면 충분하며, 오픈넷 사무국으로 전화 또는 이메일로 문의하면 된다. (오픈넷 사무국 02-581-1643, [email protected])

 

2015년 11월 3일

 

사단법인 오픈넷, 진보네트워크센터

 

 [오픈넷 포럼] 

문화와 지식의 공동 생산: P2P 기술과 Digital Democracy

 

개방형 지식과 공유를 기반으로 한 사회를 꿈꾸며 실천하는 사람들이 있습니다.

이들은 지식과 정보에 대한 독점적 권리에 기초한 현행 제도에 반기를 드는 것처럼 보이지만, 자발적인 개인들의 협력적 참여를 통한 역동적 생산 모델은 우리 주변에서 쉽게 볼 수 있습니다. 자유 소프트웨어와 오픈소스 운동, 교육과 과학 분야의 오픈 액세스 운동, 인터넷 백과사전 위키피디아, 오픈 데이터, 개방형 정부와 자유 문화, 3D 프린팅을 통한 마이크로 제조업 등을 꼽을 수 있겠습니다. 이 운동들은 새로운 종류의 민주적, 경제적 참여를 통해 문화 혁신을 꾀하며, 좀 더 민주적이고 지속가능한 미래의 씨앗을 뿌리는 것을 목표로 합니다. 개인과 개인간의 소통을 뜻하는 P2P (Peer-to-Peer)를 기치로 내건 “P2P 재단”이 전 세계적으로 어떤 활동을 하고 있는지 오픈넷 포럼에서 들어보려고 합니다. P2P 문화를 인간활동의 모든 분야로 확대하려는 이들의 기획이 한국 사회에서 어떻게 실천할 수 있을지 고민하고 토론하는 의미있는 자리가 될 것으로 기대합니다.

P2P는 개인들을 흩어진 모래알 같은 존재가 아니라 네트워크로 연결된 협력적이면서 역동적 개인으로 재구조화하는 생태계를 만들어 낼 수 있습니다. 이를 가능하게 하는 P2P 기술은 직접 민주주의를 구현하는 데에도 활용될 수 있습니다. 인간 개인 각자의 이해와 요구를 정확하게 반영하고 다원적 인간이 관계를 통해 소통하고 숙의하며 경제적으로 동일한 공동체가 가능하다면, 우리의 대표를 더 이상 우리를 대표하지 못하는 의회 민주주의, 대의 민주주의를 대체하는 새로운 모델을 실험해 볼 수 있습니다.

P2P 생태계의 핵심 기술로 주목받는 블록체인(Block Chain) 기술과 이것이 펼쳐보일 미래를 경험할 자리에 여러분을 초대합니다.

 

참가신청하기

 

* 참가비는 무료이며 링크를 통해 참가신청을 해주시면 행사준비에 많은 도움이 됩니다.

* 주차는 스타트업 얼라이언스 건물(현대타워) 주차장 이용 가능하며, 주차 영수증을 지참하시면 무료 주차권 발급이 가능합니다.

* 참석하신 분들께는 샌드위치가 제공됩니다.

 

 <행사 안내>

[오픈넷 포럼] 문화와 지식의 공동 생산: P2P 기술과 Digital Democracy

일시: 2015년 11월 11일(수) 오후 7시 – 9시

장소: 스타트업얼라이언스 앤스페이스 (서울특별시 강남구 테헤란로 423, 현대타워 7층/선릉역 10번 출구에서 직진, 3분거리)

- 지도: http://startupall.kr/location/

 

사회: 남희섭 | 오픈넷 이사/변리사

발제:

최예준 | 노동자협동조합 엑투스 이사장

최용관 | P2P재단코리아준비위원회

 

<참고자료>

• P2P Foundation

• P2P재단코리아준비위원회

• P2P 재단과 피어생산

• Yochai Benkler, The Penguin and the Leviathan: How Cooperation Triumphs over Self-Interest

• 제레미 리프킨, “한계비용 제로 사회: 사물인터넷과 공유경제의 부상”

• 데이비드 볼리어, “공유인으로 사고하라”

• P2P 재단 위키의 피어 생산 관련 카테고리

• World Economic Forum, Deep Shift: Technology Tipping Points and Societal Impact

 

참가신청하기

오픈넷, “문화와 지식의 공동 생산: P2P 기술과 Digital Democracy” 주제로 포럼 개최

 

개방형 지식과 공유를 기반으로 한 사회를 꿈꾸며 실천하는 사람들이 있습니다.

이들은 지식과 정보에 대한 독점적 권리에 기초한 현행 제도에 반기를 드는 것처럼 보이지만, 자발적인 개인들의 협력적 참여를 통한 역동적 생산 모델은 우리 주변에서 쉽게 볼 수 있습니다. 자유 소프트웨어와 오픈소스 운동, 교육과 과학 분야의 오픈 액세스 운동, 인터넷 백과사전 위키피디아, 오픈 데이터, 개방형 정부와 자유 문화, 3D 프린팅을 통한 마이크로 제조업 등을 꼽을 수 있겠습니다. 이 운동들은 새로운 종류의 민주적, 경제적 참여를 통해 문화 혁신을 꾀하며, 좀 더 민주적이고 지속가능한 미래의 씨앗을 뿌리는 것을 목표로 합니다.개인과 개인간의 소통을 뜻하는 P2P (Peer-to-Peer)를 기치로 내건 “P2P 재단”이 전 세계적으로 어떤 활동을 하고 있는지 오픈넷 포럼에서 들어보려고 합니다. P2P 문화를 인간활동의 모든 분야로 확대하려는 이들의 기획이 한국 사회에서 어떻게 실천할 수 있을지 고민하고 토론하는 의미 있는 자리가 될 것으로 기대합니다.

P2P는 개인들을 흩어진 모래알 같은 존재가 아니라 네트워크로 연결된 협력적이면서 역동적 개인으로 재구조화하는 생태계를 만들어 낼 수 있습니다. 이를 가능하게 하는 P2P 기술은 직접 민주주의를 구현하는 데에도 활용될 수 있습니다. 인간 개인 각자의 이해와 요구를 정확하게 반영하고 다원적 인간이 관계를 통해 소통하고 숙의하며 경제적으로 동일한 공동체가 가능하다면, 우리의 대표를 더 이상 우리를 대표하지 못하는 의회 민주주의, 대의 민주주의를 대체하는 새로운 모델을 실험해 볼 수 있습니다.

P2P 생태계의 핵심 기술로 주목 받는 블록체인(Block Chain) 기술과 이것이 펼쳐보일 미래를 경험할 자리에 여러분을 초대하오니, 많은 분들의 관심과 참여를 바랍니다. 참가비는 무료이며, 아래 링크를 통해 참가신청을 하실 수 있습니다.

- 안내 및 참가신청 링크: http://opennet.or.kr/10436

 

<행사 안내>

[오픈넷 포럼] 문화와 지식의 공동 생산: P2P 기술과 Digital Democracy

* 일시: 2015년 11월 11일(수) 오후 7시 – 9시

* 장소: 스타트업얼라이언스 앤스페이스 (서울시 강남구 테헤란로 423, 현대타워 7층/선릉역 10번 출구에서 직진, 3분거리)

- 지도: http://startupall.kr/location

* 사회

남희섭 | 오픈넷 이사/변리사

* 발제

최예준 | 노동자협동조합 엑투스 이사장

최용관 | P2P재단코리아준비위원회
<참고 자료 링크>

• P2P Foundation

• P2P재단코리아준비위원회

• P2P 재단과 피어생산

• Yochai Benkler, The Penguin and the Leviathan: How Cooperation Triumphs over Self-Interest

• 제레미 리프킨, “한계비용 제로 사회: 사물인터넷과 공유경제의 부상”

• 데이비드 볼리어, “공유인으로 사고하라”

• P2P 재단 위키의 피어 생산 관련 카테고리

• World Economic Forum, Deep Shift: Technology Tipping Points and Societal Impact

스마트보안관은 사라졌지만 감시는 계속된다

 

글 | 오픈넷

 

방통위가 청소년들을 유해정보에서 구해내겠다며 청소년들의 스마트폰에 배포한 스마트보안관이라는 모바일 앱이 있다. 방통위는 2013년부터 무려 이 앱을 위해 약 30억 원의 예산을 들였고 이통3사와 한국무선인터넷산업연합회(이하 MOIBA)가 함께 개발을 했다.

스마트보안관을 실행시키면 이 앱이 계속 스마트폰에 상주해있으면서 이용자, 즉 청소년이 스마트폰을 통해 하는 모든 행동이 모두 모니터링 되는 방식으로 작동한다. 주요 기능은 아래와 같다.

• 청소년에게 유해하다고 판단된 정보에 접근하는 것을 원천적으로 차단한다.
• 부모에게 청소년 자녀의 스마트폰 일평균 이용시간, 주 이용시간대, 주 이용정보 카테고리 등의 정보를 제공한다.
• 부모가 청소년 자녀의 스마트폰 이용을 통제한다. (시간별, 앱별 등)
• 스마트폰에 설치된 스마트보안관을 청소년이 임의로 삭제할 수 없게 한다.

주요 기능만 봐도 애정이 과한 부모 세대가 청소년 세대를 스토킹하고 일거수 일투족을 감시하는 등 적극적으로 사생활 침해를 하는 느낌이 든다. 놀랍게도 방통위가 2015년 4월 16일부터 시행한 “전기통신사업법 시행령” 일부 개정령에 의하면 청소년에 판매하는 스마트폰에는 유해매체물을 차단할 수 있는 앱을 반드시 설치해야 했다. 이 법률상 의무를 충족할 수 있는 여러 앱이 있지만 방통위는 자신들이 개발한 스마트보안관 설치를 은근히 장려했고 이에 따라 아래와 같이 수십만명의 청소년의 스마트폰에 깔리게 되었다.

 

심각한 보안 문제, 7개월 만에 서비스 중단

결론부터 말하면 2015년 11월 1일 방통위는 스마트보안관 앱·서비스를 중단한다고 발표했다. 실제로 스마트보안관 앱은 구글 플레이 스토어에서 삭제됐다. 방통위가 스마트보안관 서비스를 중단한 건 의무 사용을 강요한 이 서비스에 심각한 보안 문제를 끝내 해결하지 못했기 때문이라는 의견이 있다.

스마트보안관의 심각한 보안 결함을 발견한 것은 토론토 대학교 뭉크스쿨 글로벌상황연구소 산하 시티즌랩이다. 시티즌랩은 2015년 9월 20일 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱”이라는 보고서를 공개했다. (참고: 관련 오픈넷 보도자료)

이 보고서에는 스마트보안관의 프라이버시 보호 정도 및 보안성에 대한 독립적인 두 건의 감사 결과가 담겨있다. 감사는 보안감사 전문 회사인 큐어53(Cure53)과 함께 진행이 됐는데, 연구진은 스마트보안관_[1]을 이용하는 청소년과 부모의 프라이버시와 보안을 위헙하는 26건의 취약점이 있다고 밝혔다. 이 보안 취약점들을 이용하면 스마트보안관 계정을 무력화시키는 것은 물론이고 데이터 변조, 개인정보 절도 등 다양한 공격에 당할 수 있다는 것이다.

보고서에서 밝힌 문제점들을 요약하면 다음과 같다.

• 인증 문제: 정상적인 확인절차나 암호 없이도 계정의 등록과 관리가 가능한 문제점 존재
• 인프라 문제: 서버는 구식 프로그램을 이용하고 있고, 보안조치와 암호화가 업계 표준으로 구현되지 않음. 무작위 대입 공격에 대한 대책 없음
• 법적·정책적 함의: 스마트보안관의 설계 수준이 취약해서 MOIBA의 스마트보안관 약관과 개인정보정책에 맞지 않음. 또한 스마트보안관의 기능은 전기통신사업법령의 내용을 넘어서 프라이버시를 침해함

시티즌랩은 9월 20일 보고서를 공개하기 전 MOIBA에 이 내용을 공유하고 문제를 수정하도록 45일을 기다렸고 일부 취약점을 보완했다고 답변을 했으나 전체 취약점을 해결했는지 답변이 없어 보고서를 공개했다고 한다.

시티즌랩은 그후 MOIBA가 관련 개선을 하였는지 확인하기 위해 2015년 11월 1일 2차 감사를 한 결과를 발표했다. (참고: 관련 오픈넷 보도자료) 2차 감사는 1차 감사 때보다 보완이 됐다고 주장하는 최신 버전을 대상으로 했는데_[2] 일부 수정·보완이 이루어졌지만, 여전히 아래와 같은 심각한 문제점들이 남아있다고 했다.

• 공격자가 청소년의 휴대폰 번호를 알고 있다면 청소년의 생년월일, 휴대폰에 설치된 모든 앱의 목록, 모든 차단 규칙을 취득할 수 있다.
• 공격자는 여전히 청소년의 휴대폰의 차단 규칙이나 설정을 마음대로 변경할 수 있기 때문에 청소년이 휴대폰을 사용하지 못하도록 잠글 수 있다.
• 공격자는 여전히 스마트보안관 부모용의 비밀번호와 청소년의 계정과 연계된 부모의 휴대폰 번호를 찾아낼 수 있다.

이에 시티즌랩은 스마트보안관을 앱스토어에서 즉시 내리고, 이용자들은 사용을 즉시 중단할 것을 권고했다. 즉, 방통위는 시티즌랩이 중단 권고를 한 당일 바로 서비스를 중단한 것이다.

조선닷컴 기사에 따르면 방통위는 스마트보안관 중단 조치에 관해 “지난달 모든 이통사가 음란물 차단 앱을 무료로 보급하기 시작했기 때문에 플레이스토어에서 삭제했을 뿐”이라며 “문제와 관계없이 예정된 일정에 따른 조치”라고 밝혔다.

여기서 말한 이통사의 차단 앱이란 SK텔레콤의 “T청소년유해차단”, KT의 “올레 자녀폰 안심”, LG유플러스의 “U+ 자녀폰지킴이” 등을 말하는데, 이것들은 여전히 플레이 스토어에서 다운로드를 받아 실행할 수 있다.

 

계속되는 프라이버시 무시·자녀 감시들

따라서 문제는 여전히 남아있다. 정부가 아니더라도 이통사를 비롯한 여러 회사들이 유사한 기능의 앱을 계속해서 배포하고 서비스하고 있다. 이런 위험한 앱들이 시중에 나와 있는 가장 근본적인 이유는 일명 “청소년 스마트폰 감시법”이 이런 앱들의 설치를 강제하고 있기 때문이다.

개정된 전기통신사업법에는 이통사가 청소년과 계약을 할 경우 청소년 유해매체물과 음란정보를 차단할 수 있는 수단을 제공해야 한다고 되어 있고, 세부 방법·절차는 시행령에서 정하도록 되어 있다.

법에 이렇게 명시되어 있는 경우 정부가 아니더라도 누군가 반드시 청소년에게 유해정보를 차단하기 위한 서비스를 만들어야 한다. 기본적으로 이를 위해서는 많은 정보에 접근을 하고 모든 정보를 들여다봐야 하는데, 그 과정에서 청소년은 부모와 협상할 기회도 없이 부모의 상시감시 아래 놓이게 되는 프라이버시 침해가 발생하는 것은 자명하다.

또 법은 차단서비스만 제공하라고 했지만 차단서비스가 상시 작동하고 있는지 확인하기 위해서는 스마트폰 기기 전체에 대한 상시감시가 필요하고 이를 구현하기 위해서는 스마트보안관처럼 수십 억의 돈을 들여도 이용자들을 오히려 각종 보안 위협에 노출될 가능성도 여전하다.

또한 이 시행령은 이통사가 유해정보 차단 앱이 설치되었는지 확인할 수 있는 방법에 대해 명시하지 않고 있다. 그리고, 이통사를 통해 구입하지 않고, 스마트폰을 직접 구매하는 이용자나 외국산 스마트폰을 이용하는 이용자의 경우는 확인조차 할 수 없는 한계점도 명확하다.

심지어 성인인 부모조차 이러한 발상과 서비스를 거부할 방법이 없다는 것도 문제다. 앱의 품질이 나빠 이용을 거부하거나 자녀의 프라이버시를 지켜주기 위해 설치를 하지 않을 수도 있는데, 시행령은 부모가 당연히 동의할 것이라고 전제하고 있다. 이 앱은 부모가 원치 않아도 자녀의 폰에 설치되어 부모와 자녀를 감시자와 피감시자의 관계로 몰아넣어 스마트폰 이용에 관해 교육적인 대화를 할 수 있는 기회를 박탈한다.

 

감시와 통제로 교육? 발상 자체가 문제

정부는 프라이버시를 포함한 기본권을 침범할 소지가 높더라도 청소년의 모든 스마트폰 이용 내역을 감시하는 법안을 마련하고, 수십억 원의 예산을 들여 보안성이 매우 떨어지는 앱을 직접 개발해 배포했다. 불행 중 다행으로 지금은 직접 앱을 배포하는 것은 포기했지만, “청소년 스마트폰 감시법” 때문에 여전히 이런 강제 모니터링 앱을 설치해야 하는 수많은 청소년들이 존재한다.

정부는 여전히 청소년의 문자메시지, 채팅 메시지, 검색어 등을 감시하는 서비스를 운영 중이다.

 

정부는 통제와 감시로 문제가 해결된다는 생각을 버려야 한다. 시민들은 학교와 가정에서 교육해야 할 영역을 국가가 법으로 학교·부모의 감시를 강제하거나 이를 위해 개인용 통신기기에 특정 소프트웨어의 장착을 요구하는 것의 위험성에 대해 다시 한번 심각하게 생각해 봐야 할 때다.

————————————————–

[1] 안드로이드용 스마트보안관 최신버전(1.7.5 이하)

[2] 안드로이드용 스마트보안관 1.7.7

 

* 위 글은 슬로우뉴스에도 동시 게재하고 있습니다. (2015. 11. 16.)

 

[오픈넷 포럼] 이석우 전 다음카카오 대표 기소와 정보매개자 책임

- 아청법상 온라인 서비스 제공자 아동음란물 필터링 의무의 타당성

 

참가신청하기

 

지난 11월 4일, 이석우 전 다음카카오 대표가 아동·청소년의 성보호에 관한 법률(아청법) 위반 혐의로 기소되었습니다. 검찰은 기소 사유로 이 전 대표가 카카오 대표로 재직 당시 온라인 서비스 제공자로서 아동음란물을 발견하기 위한 기술적 조치를 취하지 않아 지난해 6월부터 8월까지 ‘카카오그룹’에서 약 7,115명에게 아동음란물이 배포됐다고 밝혔습니다.

아청법 제17조는 온라인 서비스 제공자가 아동·청소년이용음란물을 발견하거나 삭제하기 위한 기술적 조치를 취하지 아니한 경우 3년 이하의 징역 또는 2천만원 이하의 벌금에 처한다고 하고 있습니다. 해당 법 위반 혐의로 인터넷 사업자가 기소된 것은 아청법이 제정된 이래 처음이자, 아동음란물의 제작자 또는 유포자가 아닌 단순한 정보매개자의 직접적인 형사책임을 인정한 전 세계적으로도 유래를 찾아보기 어려운 사건입니다.

아동음란물은 절대적으로 금지되어야 하며, 아동음란물의 제작자나 유포자는 당연히 처벌받아야 할 것입니다. 하지만 아동음란물이 유통되는 플랫폼을 제공한 온라인 서비스 제공자에게 필터링 의무를 지우고 의무 위반시 형사처벌을 하는 법의 타당성에 대해서는 논란이 있습니다.

이번 오픈넷 포럼에서는 정보매개자의 필터링 의무와 관련된 국내외의 논의에 대해 알아보고, 필터링 의무 위반으로 처벌을 하는 것은 형사정책상 어떠한 의미가 있는지, 필터링 의무가 실제로 어떻게 이행되고 있는지, 이러한 의무의 존재가 온라인 서비스 제공자, 나아가 인터넷에 어떤 영향을 미치고 있는지에 대해 논의해보고자 합니다. 많은 분들의 관심과 참여를 바랍니다.

* 참가비는 무료이며 링크를 통해 참가신청을 해주시면 행사준비에 많은 도움이 됩니다.

* 주차는 스타트업 얼라이언스 건물(현대타워) 주차장 이용 가능하며, 주차 영수증을 지참하시면 무료 주차권 발급이 가능합니다.

* 참석하신 분들께는 샌드위치가 제공됩니다.

 

<행사 안내>

[오픈넷 포럼] 이석우 전 다음카카오 대표 기소와 정보매개자 책임

- 아청법상 온라인 서비스 제공자 아동음란물 필터링 의무의 타당성

 

주최: 국회의원 이종걸, 국회의원 송호창, 사단법인 오픈넷

일시: 2015년 12월 14일 (월) 저녁 7시 30분 - 9시 30분

장소: 스타트업 얼라이언스 앤스페이스 (서울시 강남구 테헤란로 423, 현대타워 7층/선릉역 10번 출구에서 직진, 3분거리)

- 지도: http://startupall.kr/location/

 

발제 1: 김가연 변호사(오픈넷) – “아청법상 필터링 의무와 정보매개자 책임”

발제 2: 남희섭 이사(오픈넷) – “필터링 의무 해외 사례”

토론:

전현욱 박사(형사정책연구원)

류한욱 팀장(주식회사 이지원인터넷서비스)

김태하 팀장(주식회사 뮤레카)

여성가족부/방송통신심의위원회(협의중)

 

참가신청하기

 

문의: 오픈넷 사무국 02-581-1643, [email protected]

오픈넷, <이석우 전 다음카카오 대표 기소와 정보매개자 책임> 포럼 개최

일시: 2015년 12월 14일 (월) 저녁 7시 30분 - 9시 30분

장소: 스타트업 얼라이언스 앤스페이스

 

오픈넷이 국회 이종걸, 송호창 의원실과 함께 오는 12월 14일(월), <이석우 전 다음카카오 대표 기소와 정보매개자 책임>을 주제로 포럼을 개최합니다.

지난 11월 4일, 이석우 전 다음카카오 대표가 아동·청소년의 성보호에 관한 법률(아청법) 위반 혐의로 기소되었습니다. 검찰은 기소 사유로 이 전 대표가 카카오 대표로 재직 당시 온라인 서비스 제공자로서 아동음란물을 발견하기 위한 기술적 조치를 취하지 않아 지난해 6월부터 8월까지 ‘카카오그룹’에서 약 7,115명에게 아동음란물이 배포됐다고 밝혔습니다.

아청법 제17조는 온라인 서비스 제공자가 아동·청소년이용음란물을 발견하거나 삭제하기 위한 기술적 조치를 취하지 아니한 경우 3년 이하의 징역 또는 2천만원 이하의 벌금에 처한다고 하고 있습니다. 해당 법 위반 혐의로 인터넷 사업자가 기소된 것은 아청법이 제정된 이래 처음이자, 아동음란물의 제작자 또는 유포자가 아닌 단순한 정보매개자의 직접적인 형사책임을 인정한 전 세계적으로도 유래를 찾아보기 어려운 사건입니다.

아동음란물은 절대적으로 금지되어야 하며, 아동음란물의 제작자나 유포자는 당연히 처벌받아야 할 것입니다. 하지만 아동음란물이 유통되는 플랫폼을 제공한 온라인 서비스 제공자에게 필터링 의무를 지우고 의무 위반시 형사처벌을 하는 법의 타당성에 대해서는 논란이 있습니다.

이번 오픈넷 포럼에서는 정보매개자의 필터링 의무와 관련된 국내외의 논의에 대해 알아보고, 필터링 의무 위반으로 처벌을 하는 것은 형사정책상 어떠한 의미가 있는지, 필터링 의무가 실제로 어떻게 이행되고 있는지, 이러한 의무의 존재가 온라인 서비스 제공자, 나아가 인터넷에 어떤 영향을 미치고 있는지에 대해 논의해보고자 합니다.

본 토론회는 무료로 참가하실 수 있으며, 참가신청은 아래 링크를 통해 하실 수 있습니다. 많은 분들의 관심과 참여를 바랍니다.

- 참가신청: http://opennet.or.kr/10613

 

<행사 안내>

[오픈넷 포럼] 이석우 전 다음카카오 대표 기소와 정보매개자 책임
- 아청법상 온라인 서비스 제공자 아동음란물 필터링 의무의 타당성

주최: 국회의원 이종걸, 국회의원 송호창, 사단법인 오픈넷
일시: 2015년 12월 14일 (월) 저녁 7시 30분 - 9시 30분
장소: 스타트업 얼라이언스 앤스페이스 (서울시 강남구 테헤란로 423, 현대타워 7층/선릉역 10번 출구에서 직진, 3분거리)
- 지도: http://startupall.kr/location/

발제 1: 김가연 변호사(오픈넷) – “아청법상 필터링 의무와 정보매개자 책임”
발제 2: 남희섭 이사(오픈넷) – “필터링 의무 해외 사례”

토론:
전현욱 박사(형사정책연구원)
류한욱 팀장(주식회사 이지원인터넷서비스)
김태하 팀장(주식회사 뮤레카)
여성가족부/방송통신심의위원회(협의중)

 

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

지난 19대에 발의되었던 전자서명법 개정안 주요내용입니다.

공인인증서 문제의 완전한 해결을 위해 20대 국회에 재발의 요청할 예정입니다.

 

http://pokr.kr/bill/1905145

제안이유

현행법은 ‘전자서명’과 ‘공인전자서명’을 차별적으로 규정하면서, 공인전자서명의 경우에는 당사자간에 그것을 사용할지 여부에 관한 합의가 없더라도 육필 서명 등과 같은 법적 효력을 부여하고 있으나 전자거래는 당사자 간의 자유로운 의사에 기반하는 것이므로 계약 등 거래 당사자들이 전자서명을 사용할지 말지를 자유롭게 결정하는 것이 바람직함. 일방은 전자서명을 사용하기를 원하지 않는데, 타방이 일방적으로 전자서명을 강요하는 상황은 계약 자유의 대원칙에 어긋나고, 거래당사자들이 그 거래를 위하여 적절한 인증 방법을 상호 결정하는 것을 보장하는 한미 FTA (대한민국과 미합중국 간의 자유무역협정) 제15.4조와도 조화되기 어려움.
또한 공개키 기반구조(Public Key Infrastructure)에 기반한 공인인증 제도는 전세계적으로 형성된 신뢰 체계와 분리되어 국가 단위로 운용될 경우 인터넷상에서 작동할 수 없을 뿐 아니라, 그러한 국지적 인증제도는 한국의 인터넷 환경 전체를 고립시키고, 국내 IT 산업의 세계 시장 진출 및 국제경쟁력 확보에 부담으로 작용할 위험을 안고 있음.
따라서 당사자가 그들의 거래에 전자서명을 사용하기로 자발적으로 합의할 경우 그 합의를 존중하면 충분하며 공인전자서명을 전자서명과 구별하여 별도로 규정할 필요는 없음. 아울러 국내 인증기관들의 국제 시장 진출 및 국제 경쟁력 확보를 위해서는 그 업무 수행의 기술적·관리적 측면을 국내뿐 아니라 국외에서도 인정받을 수 있는 방식으로 ‘공인인증제도’를 개선·보완할 필요가 있음.

주요내용

가. 전자서명은 당사자 간의 합의에 기하여 사용될 수 있음을 규정하고 ‘전자서명’과 ‘공인전자서명’을 구별하지 않음(안 제3조).
나. 정부가 국내에서만 인정받는 ‘공인인증기관’을 지정하는 현행 제도를 개선하여 국내의 인증기관들이 국제시장으로 진출하고 국제적으로 그 신뢰성을 인정받을 수 있도록 하는 기반을 마련함(안 제4조).
다. 미래창조과학부장관이 정하는 인증업무수행기준을 충족하는 인증기관은 차별 없이 인증서비스 시장에서 경쟁할 수 있도록 보장함(안 제4조제3항).

“공인” 인증 강박의 추억 떠올리는 정보보호관리체계(ISMS) 인증

- ‘NH농협’, ‘아시아나 항공’ 등 개인정보유출기업 다수가 ISMS 인증 받아 실효성도 의문

 

2015년 12월 개정되어 올해 6월 2일부터 시행중인 “개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)”은 ISMS 인증 의무 대상을 의료기관, 학교 등 비영리기관으로 확대하고 과태료 규정을 강화했다. 하지만 ISMS 인증은 전자금융거래법 개정으로 폐지된 공인인증서 강제 사례처럼 정부가 인증한다는 “공인”이라는 꼬리표를 달고 있어 이른바 관치 보안의 폐해를 반복할 우려가 크다. 공인인증서 사용 강제의 폐해를 반면교사로 삼아 정부가 주도하여 인증 자체에 직접 관여하는 정책을 전면 수정해야 한다.

2001년 도입되어 2013년 의무화된 정보보호 관리체계(ISMS, Information Security Management System) 인증 제도는 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 체계의 적합성에 대해 인증을 부여하는 제도로서 한국인터넷진흥원(KISA)이 관리하고 있다. 그동안은 정보통신망서비스 제공사업자(ISP), 집적정보통신시설 사업자(IDC), 그리고 정보통신서비스 제공자 등 주로ICT 기업 중에서 일정 규모(전년도 매출액 100억원 이상 또는 3개월간 일일평균 이용자 수 100만명 이상) 이상의 기업이 의무 대상이었는데, 작년 12월 정보통신망법 개정으로 세입이 1,500억 이상인 의료법상 상급종합병원 및 고등교육법상 재학생수 1만명 이상인 학교로 ISMS 인증 의무 대상이 확대된 것이다. 또한 의무 대상자 중 미인증 사업자에 대한 과태료도 현행 1000만원에서 3000만원으로 상향되었다.

관치 보안의 문제는 이미 오픈넷이 오랫동안 비판해 온 공인인증서 사례에서 여실히 드러났다. 즉, 정부가 “공인”한다는 정부 주도 인증 문제의 핵심은 민간 전문가들이 주도하는 기술이나 인증 제도의 발전을 저해한다는 점이고, 이는 실제 인증되는 내용이나 실질과 무관하게 국가가 인증한다는 취지의 “공인”이라는 어휘 자체에서 그대로 드러난다.

우선 정부가 고도의 전문성이 요구되는 ISMS 인증 제도를 제대로 운영할 수 있는지부터 의문이다. 실제로 2014년 국정감사에서 ISMS 인증을 받은 254개의 기업 중 정보유출 사고가 무려 30개 기업에서 발생하였다는 점이 드러난 바 있고, 여기에는 사회적 파장이 큰 NH농협이나 KT 등 개인정보나 개인신용정보가 다수 집적된 기업이 포함되어 있다. 불과 며칠 전에는 ISMS 인증을 받은 아시아나 항공의 웹사이트에서 이용자들의 개인정보가 무방비로 노출될 수 있는 시스템 오류가 발견되기도 했다. 날로 발전하는 정보통신 환경에서 정보보호체계 내지 보안시스템의 구축은 그 어느 때보다도 중요하지만, ISMS 인증처럼 정부가 최종 인증 권한 자체를 보유하고 운용하는 제도는 부작용이 훨씬 크다. 급변하는 보안 시장과 하루가 다르게 발전하는 기술을 정부와 보수적인 규제가 따라가거나 앞서가기를 바랄 수 없기 때문이다.

한편 금융사가 이용자에게 공인인증서 등의 사용을 강제한 경우 금융사고 발생시 금융사 면책을 용이하게 하는 문제가 있었다. 이와 같이 ISMS 인증을 받았음에도 보안 사고가 발생한 경우, 반대로 정부의 “공인”된 인증을 받았다는 사실만으로 쉽게 면책을 받게 된다면 그 피해가 고스란히 이용자에게 전가될 우려가 있다. 또한 공인인증서 커넥션 처럼 ISMS인증이 ”공인” 인증 체제를 유지하는 이상 담당 부처와 심사기관을 중심으로 하는 카르텔이 형성되어 제도를 더욱 공고히 할 우려도 지우기 어렵다.

이처럼 정부가 최종 인증 권한을 보유하고 내용 심사를 주도하는 이른바 “공인” 인증의 강제는 우리나라에만 존재하는 갈라파고스 규제로, 스타트업이나 중소기업에게는 진입장벽이 될 뿐만 아니라 국내 기업에게만 이중, 삼중의 부담을 안겨 역차별을 초래한다. 미국, 캐나다 등 IT 선진국 중에 국가가 주도하여 보안 인증을 강제하는 나라는 찾기 어려우며, 이들 국가에서는 민간 전문가들이 참여하여 국제적으로 공신력을 획득한 ISO 27001, PCI-DSS 등의 인증을 이용한다. 물론 현 정보통신망법에서 ‘국제표준 정보보호 인증’, 즉 ISO 27001을 받은 경우에는 인증 심사의 “일부”를 생략할 수 있다고 하여 부담을 덜어준 것 같아 보이나, ISMS 인증의 대체를 인정한 게 아니기 때문에 결과적으론 달라진 게 없다. 정부가 주도하는 ISMS 인증이 ISO 27001 보다 특별히 더 우수하다는 점도 밝혀진 바 없으며, 오히려 인증의 품질에 대해 지적하는 목소리도 있다.

더욱이 ISMS 인증은 통상 준비부터 인증까지 약 6개월 이상이 소요되고, 인증 신청을 위해서도 최소 2개월 이상의 운영 기간이 필요하다. 게다가 ISMS 인증 비용만으로도 최소 수천만원에서 수억원이 들어간다. 그런데 해외진출을 꿈꾸는 ICT 기업들은 국내에서만 인정되는 ISMS 인증 보다는 국제적인 보안 인증을 선호할 수밖에 없고, 결국 중복적으로 인증을 받아야 하는 것이 현실이다.

정부 주도의 “공인” 인증 강박의 추억은 공인인증서 사례에서 이미 충분히 경험하지 않았는가? 정부는 인증 권한을 민간 전문가에게 양보하고 사후적 관리자의 역할만 수행하는 민간 주도의 보안 인증 제도로의 개선을 촉구한다.

 

2016년 7월 19일

 

사단법인 오픈넷

 * 관련 논평: 개정 전자금융거래법 국회 본회의 통과를 환영하며 금융당국의 기술중립, 사후규제 원칙 구현을 촉구한다.

 

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr