희망제작소가 시민 여러분과 함께 하는 4월 오픈 세미나를 엽니다.

그동안 희망제작소는 연구원의 연구 역량을 키우기 위해 내부적으로 크고 작은 세미나를 진행해왔는데요. 올해부터 공개하여 시민분들과 함께하기로 했습니다. 매월 강의 위주로 진행되는 오픈 세미나로 시민과 함께 배우며, 사회혁신 아이디어를 성숙시키려 합니다. 4월 오픈 세미나는 지역의 지속가능발전을 위한 정책대안을 만드는 뿌리센터가 주관합니다. ‘시민과 함께 하는 정책 설계 – 디자인 씽킹’에 대한 강연을 듣고 서로의 의견을 나눌 예정입니다. 시민분들의 많은 참여 부탁드립니다.

◆ 뿌리센터가 준비했습니다

“문재인 정부 출범 후 지방분권이 현실화되고 있습니다. 대통령이 발의한 개정헌법(안)에는 지방분권이 명문화되기도 했는데요. 각각의 지역이 중심이 되고, 그곳에서 살아가는 시민의 참여와 경험이 존중·반영되는 정책설계가 당연해질 것입니다. 뿌리센터는 시민 중심의 정책설계 방법론으로 디자인씽킹에 주목하며, 지역을 중심으로 시민과 함께 정책을 설계하는 방법을 배우려 합니다. 궁금하신 분들과 함께하고 싶습니다.”


◆ 강사소개

– 유병철 (주)유앤드림스 대표
: 보이지 않는 것으로부터 문제를 정의하고, 새롭고 창의적인 해결 방법을 찾아가는 ‘디자인씽커’이자 ‘서비스디자인 전문가’이다. 미국 브리험영 대학(Brigham Young University)에서 MBA를 마쳤다. SK 텔레콤과 SK 플래닛에서 HCI(Human Centered Innovation) 팀장과 인텔리전스(Intelligence) 그룹장으로서 신규 사업을 발굴하는 등 100여 건의 사내 컨설팅 업무를 수행했다. 세계적인 디자인 이노베이션 전문기업인 IDEO, Jump Associates, Doblin, Whatif, Frog 등과 수년에 걸쳐 협업했다. 현재 디자인씽킹과 서비스디자인 전문기업인 ㈜유앤드림스의 대표이다. SK, 코엑스, 현대중공업 등 많은 기업들과 문제 해결을 위한 창의워크샵을 진행하고 있으며, 중앙공무원교육원 및 각 지방자치 공무원교육원에서 서비스디자인을 강의하고 있다. 한국디자인진흥원 주관으로 현직 디자이너들이 참여하는 사회문제해결 서비스디자인 워크숍에서 4년 넘게 책임강사로 활동하고 있다. 제47회 및 제50회 대한민국 디자인전람회 서비스디자인분과 심사위원과, 지식경제부 R&D 전략기획단 서비스 R&D 전문위원직도 역임했다. 또한 새롭고 혁신적인 사업 아이템을 찾고 있는 다수의 초기 스타트업들을 발굴·멘토링하고 있다. (출처 : 인터파크 북DB)

* 행사 참가를 원하시는 분은 아래 버튼을 눌러주세요! *

좌장을 맡은 김제선 희망제작소 소장의 인사말로 오픈 세미나가 시작되었습니다. 먼저 김의영 서울대 정치외교학부 교수의 ‘촛불혁명 이후 시민의식의 성장과 시민참여의 주요 흐름과 동향’ 주제발표가 있었습니다. 김 교수는, 과거 촛불집회를 ‘제도권 정치를 우회해 이뤄지는 거리의 정치’로 정의하던 전통적 정당정치 시각을 소개하며, 이제 이런 시각에서 탈피해야 한다고 말했습니다. 덧붙여 집회가 새로운 국정운영 거버넌스에 참여하는 길이 될 수 있다고 인식해야 함을 역설했습니다.
또한 시민정치로 정의할 수 있는 새로운 거버넌스는, 경제적, 교육적 수준 등 ‘사회경제적 인프라’ 위에 ‘대의제 정치’, ‘협치와 자치’, ‘사회적 경제’, ‘사회적 자본’이 결합하여 ‘문제해결형 민주주의’라는 목표로 나가야 한다고 말했습니다. 마지막으로 시민정치의 성공 요인을 “시민 주의주의(主意主義)”에서 찾으며, 여러 사례를 살펴보면 시민 공동체가 잘 형성되어 있어야 동력이 될 수 있다는 것을 확인할 수 있다고 이야기했습니다.

두 번째 주제발표는 김병권 서울시 협치자문관의 ‘시민연구 플랫폼으로서 민간싱크탱크의 역할’이라는 주제로 진행됐습니다. 김 자문관은, 한국사회에서 ‘형식적 권위’를 인정받지 못하면 지식 생태계 네트워크에서 활동할 여지가 매우 좁은 현실을 강하게 비판했습니다. 나아가 우리 사회의 가장 절실한 의제인 ‘소득주도 성장’, ‘보건복지 정책’, ‘사회혁신’을 끌어낸 것은 싱크탱크라는 사실을 환기하며, 사회의 주요 쟁점과 정책 결정에 싱크탱크가 여전히 많은 영향력을 행사하고 있다고 말했습니다. 하지만 최근 한 국책연구기관장이 중도 퇴임하며 “국책연구기관이 마우스탱크가 되어가고 있다”고 이야기한 사례를 전하며, 정치·경제권력에 의한 편향을 최종적으로 막기 어려운 국책연구원, 리더의 변화에 따라 역할이 축소된 기업출연연구소 등 오늘날 싱크탱크가 처한 현실을 꼬집었습니다. 또한 이런 현실을 타개할 수 있는 것이 시민사회의 독립연구라고 말했습니다. 작더라도 자유롭게 의견을 낼 수 있고, 시민의 목소리에 민감하게 반응하는 싱크탱크가 우리 사회 곳곳에 생겨야 한다고도 덧붙였습니다.

이어 지정토론이 진행됐습니다. 첫 토론자로 전성환 아산혁신포럼 대표가 나섰습니다. 전 대표는 영국 람베스구 사례를 통해 공공가치를 추구하며 양질의 서비스를 제공할 수 있는 대안을 모색했던 시민학습 지원과 시민연구를 소개했습니다. 특히 다양한 전문가가 모인 ‘Civic Systems Lab’과 람베스 의회가 구성했던 ‘The Open Works’팀에 초점을 맞췄습니다. 환경, 건강, 평등, 금융 등의 분야에서 지역의 회복력을 높이는 것을 목적으로 한 The Open Works는 빈 곳을 활용한 지역 재건(스페인 사라고사), Men‘s shed(호주 등) 활동 등으로, 지역 주민 누구나 참여할 수 있고 이익이 모두에게 돌아가며 서로에 기여하는 모델을 구축했다고 합니다.

두 번째 토론자로 나선 한영섭 내지갑연구소 소장은 청년연구자 시각에서 희망제작소 등 싱크탱크의 역할을 돌아봤습니다. 한 소장은 다양한 사례가 소개되고 있지만 ’사람‘이 보이지 않는다고 지적했습니다. 특히 한국사회가 청년 연구자, 좋은 연구자가 나올 수 있는 사회인가를 반문하며, ’성차별‘, ’학위·학벌주의‘, ’나이주의‘ 등이 이를 가로막는 대표적인 걸림돌이라고 주장했습니다. 나아가 좋은 연구자를 육성하기 위해서는, 희망제작소 등 싱크탱크들이 신진연구자 처우 개선을 위해 노력하고, 시민의 일반 욕구와 육성된 연구자들의 연결을 위한 아카데미 개설, 도발적 연구 지원 등이 필요하다고 말했습니다.

마지막 토론자로 나선 김소연 들고파다 대표는 ’모든 시민이 연구자인 시대‘에 대해 더욱 심층적인 접근을 시도했습니다. 기존 학문체계와 틀에서 벗어나 전적으로 새로운 방식의 연구 활동과 행위자들이 주도하는 연구는, 실천성과 혁신성을 토대로 ’문제해결‘, ’실천‘, ’행동의 변화‘를 목적으로 한다고 이야기했습니다. 이를 위해 ▲시민사회 자율성 확대에 기여, ▲생활문제를 해결하고 대안성과 구체성을 담을 수 있는 지식, ▲성찰적, 실천적, 개방적, 혁신적 연구방법론, ▲생산된 지식의 공공성 확보 등을 위한 노력이 필요하다고 주장했습니다.

마지막으로, 발제를 맡았던 김의영 교수는 시민연구와 제도권 연구를 극단적으로 분리하는 것에 대해 우려를 표했습니다. 이어 지역의 목소리를 담을 수 있는 희망제작소 등의 민간 싱크탱크와 지역 대학의 협업을 주문했습니다. 김병권 자문관 역시 유사한 맥락에서 다양성에 대한 심도 있는 고민과 이를 위한 생태계 조성이 필요하다고 말하면서, 인접한 영역과의 융합을 위한 개방에도 노력해야 한다고 제안했습니다. (세미나 자료집 다운받기(클릭))

– 글 : 박지호 | 경영기획실 연구원 · [email protected]
– 글 : 바라봄사진관

인터넷의 문명사적 의의와 정보매개자책임제도

글 | 박경신(오픈넷 이사, 고려대 법학전문대학원 교수)

인터넷의 생명은 극단적으로 분산되고 개인화된 소통방식을 통해 모든 개인을 공적 소통에 참여시킨다는 것이다. 여기서 공적 소통이란 일반대중에게 한꺼번에 소통하는 것을 말하는데, 인터넷은 모든 사람이 타인의 허락 없이 원하는 글을 볼 수 있는 공적 소통의 장이며, 또 모든 사람이 이 공적 소통의 장에 타인의 허락 없이 글을 올릴 수 있다. 다른 공적 소통의 방법인 방송과 신문에서는 기자와 데스크의 선택을 받지 못한 개인들은 공적 소통에서 배제될 수밖에 없지만, 인터넷은 다르다. 물론 인터넷에는 이메일, 채팅, 클라우드 등의 다른 기능도 있지만, 세계 각국이 인터넷을 특별히 보호하기 위해 노력하는 이유는 인터넷이 엄청나게 다양한 개인들을 공적 소통에 포용하여 그 특유한 방식으로 정치, 사회, 경제를 발전시키기 때문이다.

우리나라 헌법재판소도 “경제력이나 권력에 의한 위계 구조를 극복하여 계층․지위․나이․성 등으로부터 자유로운 여론을 형성함으로써…국민 의사를 평등하게 반영하여 민주주의가 더욱 발전되게 한다”고 판시한 바 있고 “저렴한 비용으로 누구나 손쉽게 접근이 가능하고 가장 참여적인 매체로서…경제력 차이에 따른 선거의 공정성 훼손이라는 폐해가 나타날 가능성이 현저히 낮[다]“고 판시하기도 하였다.

그런데 개인들에게 타인의 허락 없이 소통할 자유를 허락하는 한 인터넷에는 명예훼손, 저작권침해, 음란물 등의 불법행위가 일어날 수밖에 없다. 이에 대해 어떻게 대응할 것인가?

인터넷의 생명을 지킨다는 것은 여기서 두 가지 결단을 필요로 한다. 첫째, 사전차단이 아니라 사후규제여야 한다. 불법정보를 사전에 차단하려면 모든 정보를 누군가가 미리 검열하고 이를 통과한 정보만 인터넷에 오르게 해야 하는데 이와 같은 ‘일반적 모니터링’은 인터넷의 생명인 타인의 허락 없이 공적 소통을 할 자유가 파괴됨을 의미한다. 인터넷에 오른 정보는 타인의 승인 안에 오른 것이기 되기 때문이다. 둘째, 정보를 매개한 사업자(“정보매개자”)에게 불법정보에 대해 책임을 지울 때는 그 정보와 불법성을 인지한 경우에만 책임을 지도록 해야 한다. 정보매개자가 인지하지 못한 정보에도 책임을 지운다면, 사업자들은 자신의 서버에 오르는 정보를 모두 사전검열을 하려 할 것이며 역시 ‘타인의 허락 없이 공적 소통을 할 자유’는 파괴될 것이다.

외국의 법들은 바로 이 결단들을 법제화하고 있다. 미국 CDA 제230조와 DMCA 제512조, EU전자상거래지침 제14조, 일본 프로바이더책임법 제3조는 법원이 정보매개자들에게 책임을 지울 때 자신이 모르는 정보에 대해서는 책임을 지우지 못하게 하는 조항들을 두고 있고 어떤 나라도 불법정보의 유통을 방지할 의무를 부과하지 않는다. EU전자상거래지침 제15조는 EU회원국이 일반적 모니터링 의무를 정보매개자에게 부과하지 못하도록 명시하고 있다.

우리나라는 어떠한가? 정보통신망법 제44조의2와 저작권법 제102조가 외국의 책임제한 조항을 도입한 것처럼 보이지만, 해당 망법 조항과 저작권법 제103조가 합법적인 정보마저도 누군가 불법이라고 주장만 하면 차단해야 할 의무를 부과하여 (이런 의무는 세계에서 유일무이하다) 그 취지를 퇴색시켰을 뿐 아니라, 망법조항은 책임제한여부 자체가 불분명하다. 저작권법 제104조와 전기통신사업법 제22조의3은 웹하드들에게 각각 특정 불법정보들(음란물 및 특정 원본의 저작권을 침해하는 게시물)의 유통을 “차단” 또는 “방지”할 의무를 부과하고 있고 아청법 제17조는 모든 정보매개자에게 아동포르노의 유통을 “중단” 또는 “방지”할 의무를 부과하고 있는데, 이는 각각 다른 나라에서는 금기시되거나 금지된 일반적 모니터링의무에 해당한다. 아무리 모니터링의 목표물이 범위가 좁거나 해악이 큰 것이라고 하더라도 정보매개자 입장에서는 모든 정보를 일일이 확인해야만 해당 목표물을 찾아내어 사전차단을 할 수 있기 때문이다.

많은 사람들은 개인이 허락 없이 세상을 향해 외칠 수 있는 자유 자체를 두려워한다. 걱정하지 마시라. 인터넷이라는 정보의 바다에서 어떤 정보를 길어 올릴지의 판단은 각 개인에게 주어진다. 내가 인터넷에 글을 올린다고 해서 모두가 볼 수 있는 것이 아니다. 보고 싶어 하는 사람만 볼 뿐이다. 검색을 통한 미리 보기는 그 선택권을 강화해준다. 방송과 신문의 시대에는 자신이 원하는 것을 골라볼 자유가 채널 수준으로 한정되어 있었지만 인터넷의 시대에는 그 자유가 기사 수준으로 확장되어 있고 그 자유의 양과 폭도 훨씬 넓다. 성인을 전제로 한다면, 유해한 정보의 파편들에 상처받은 개인을 상정할 것이 아니라 원하는 정보를 습득한 개인을 상정해야 한다.

또 다른 많은 사람들은 강건한 정보매개자들을 상정한다. 소송당할 때 소송당하더라도 합법적인 정보들은 지켜내고 게시물 검열을 거부하는 정보매개자들을 상정한다. 현실은 그렇지 않다. 수많은 정보매개자가 법적 책임의 위험 때문에 합법적인 글들을 삭제차단하고, 서비스들을 축소하거나 닫고 있으며, 새로운 기술개발에 투여되어야 할 자원을 게시물 모니터링에 소진하고 있다. 더 중요한 것은 이런 모니터링 비용이 진입장벽으로 기능하면서 새로운 경쟁력 있는 정보매개자의 탄생이 지연되고 있다는 것이며, 살아남은 정보매개자들은 살아남았다는 이유로 ‘사회적 책임’의 압박을 받고 있는데 그 사회적 책임의 내용 역시 이용자들의 소통 자유를 제약하는 것들이다.

인터넷은 문명사적으로 매우 특별한 도구이다. 인류가 처한 상당수의 문제에 대한 해결책은 이미 존재한다. 매년 수백만 명이 기아로 죽고 있지만, 인류는 이미 인구가 필요한 식량의 3배를 매년 생산해내고 있고, 더욱 중요한 것은 아사를 피할 수 있는 최소량에 해당하는 식량을 매년 버리고 있다. 엄청나게 많은 사람들이 치료법이 없는 병 때문에 죽는 것이 아니라 치료법의 유통이 제대로 되지 않아 죽는다. 중요한 것은 해결책을 실행에 옮기기 위한 의지의 조직이며, 인터넷은 의지들이 축적되기 위한 첫 단계로서의 상호소통을 가속화하고 나아가 그런 의지를 조직해내는 다양한 정치적 기술적 산업적 혁신들을 가능하게 한다. 우리나라는 최소한 정보매개자책임제도라도 국제적인 기준에 맞게 개선하여 그런 상상의 나래라도 펼 수 있도록 해주자.

* 위 글은 허핑턴포스트코리아에도 기고하였습니다.

미디어 컨버전스와 내용규제 모델에 대한 국제회의 참관기 – 공인인증서 문제와 기술중립성 원칙

지난 2015년 7월 24일 태국의 Foundation for Community Educational Media (FCEM) National Broadcasting and Telecommunication Commission (NBTC) 공동주최로 “New Thinking for New Media”이라는 제목의 국제회의가 태국 방콕에서 개최되었고 필자는 패널로 본 회의에 참석하였다.

본 회의는 방송과 통신이 융합되는 환경에서 규제의 지향점을 모색해보고자 여러 국가들의 규제상황을 비교 분석하는 자리로 마련되었다. 한국에서는 필자를 포함하여 미디액트의 김명준 대표, 한국인터넷자율정기구(KISO)의 유정석 실장이 함께 초청되었다.

필자는 오전 세션인 “Infrastructure for the Future: How convergent media governance could facilitate innovative economy and democratic society?”에 패널로 참석하여 한국의 공인인증서와 액티브 엑스 문제 및 기술 중립성이라는 인터넷 규제 원칙에 대해 간략히 발표했다. (발표내용은 첨부파일 참조)

우선 최근 한국에서 윈도우 10 업데이트시 기본 브라우저에서 더 이상 액티브 엑스(Active X)가 지원되지 않아 발생한 문제를 언급하고, 문제의 원인은 한국의 전자서명법과 전자금융거래법이 기술중립성 원칙을 준수하지 않았기 때문이라고 지적했다. 지난 10년간 전자금융거래법령에서 공인인증서 사용을 정부가 사실상 강제하면서 공인인증서라는 특정 기술만 전자금융거래에 사용되었고, 공인인증서가 액티브 엑스 (Active X)라는 기술에 의해 구현되면서 한국의 인터넷 이용환경은 지난 10년간 마이크로소프트사의 인터넷 익스플로러에 종속될 수밖에 없었다는 점을 강조하였다.

이는 유럽 등에서 인터넷 규제의 원칙으로 자리잡은 “기술중립성”을 위반한 것인데, 기술중립성은 인터넷 관련 규제(정책)는 특정 기술이 드러나거나 특정 기술에게 유리한 방향으로 정의되어서는 안된다는 원칙이다. 인터넷 규제가 특정 기술만 사용되거나 특정 기술에 유리하게 디자인되면 특정 기술 외의 다른 기술들이 시장에 선보이지 못하여 경쟁이 제한되고, 이에 따른 차별이 발생하여 결국 시장에서의 기술 혁신이 좌절되는 악순환이 이루어지기 때문이다.

이러한 이유로 오픈넷은 특정 기술의 사용을 강제하지 못하는 취지의 전자금융거래법 개정안을 국회에 제안했고 지난 해 9월 30일 국회 본회의를 통과하여 올해 10월 시행을 앞두고 있다는 점도 함께 소개하였다. 주지하다시피 금융당국은 법 개정의 취지에 맞게 전자금융거래에 공인인증서 사용의무와 관련한 규제를 이미 철폐한 바 있다.

플로어에서는 기술중립성 원칙에 비추어 특정 기술에 대한 지원도 제한되는지 여부에 대한 질문이 제기되었다. 특히 저개발국에서 기술 보급을 위한 정부 지원이 다분히 필수적인데 기술중립성과의 조화로운 해석이 가능한지에 대한 의문이었다.

이에 필자는 기술중립성은 인터넷 규제 디자인과 관련하여 가장 중요한 원칙이거나 유일무이한 원칙이 아니며 다른 원칙들과 조화롭게 해석되어야 한다는 전제 하에, 특정 기술에 대한 정부 지원은 지원금에 관한 규제에 의해 조화롭게 규제될 수 있다고 답변하였다. 그리고 지원금 선정 기준으로는 특정 기술을 직접 규정하는 방식보다는 최소 충족 기준(performance standard)을 설정하여 그 기준을 충족하는 기술에 대하여 지원하는 방식을 택하는 것이 기술중립성 원칙과 조화로운 해석이 될 수 있다는 점도 덧붙였다.

본 회의에서 기술중립성 사례 외에도 한국의 인터넷 관련 규제와 진흥 정책은 많은 관심을 받았다. 특히 미디어 융합 환경에서 마을 방송 등 지역의 대안적 미디어에 대한 서울시의 정책에 태국 청중들의 질문이 집중되었고, 오후 세션에서 내용규제와 관련한 자율규제기구의 운영 방식에 대해서도 청중들은 많은 관심을 보였다. 그러나 시간 관계상 한국의 정보매개자에게 부과되는 규제에 대해서는 구체적인 논의가 이루어지지 못했다.

한국은 인터넷 강국이라는 수사가 항상 뒤따른다. 그러나 이는 세계 최고 수준의 인터넷 속도라는 다분히 인프라 적인 측면에서의 평가라는 점에 주목할 필요가 있다. 필자가 발표한 공인인증서와 액티브 엑스 문제에서 단적으로 드러나듯, 한국의 인터넷 이용환경은 세심하게 고려되지 않은 규제들로 인하여 폐쇄적이며 특유의 활력을 잃어가고 있다.

오픈넷은 전자금융거래 규제가 기술중립성 원칙에 따르도록 법 개정 운동을 성공적으로 이끈 것처럼 한국 인터넷 환경을 보다 자유롭고 활력 넘치는 공간으로 만들기 위해 앞으로도 다양한 분야에서 구체적인 정책 대안을 제시할 예정이다.

윈도우10 업데이트 대란과 인터넷 새마을운동

액티브엑스(Active X) 갈라파고스를 초래한 정부의 공인인증서 정책

글 | 박지환(오픈넷 변호사)

2015년에 업데이트된 마이크로소프트사의 최신 운영체제인 윈도우 10이 기본 웹브라우저를 액티브엑스(Active X)가 지원되지 않은 엣지(Edge)로 변경하면서 한국의 웹사이트들은 비상이 걸렸다. 정부와 은행의 웹사이트는 가급적 윈도우 10 업데이트를 하지 말라고 안내하였고, 모처럼 찾아온 윈도우 무료 업데이트 기회에 많은 국내 이용자들은 고민에 빠질 수밖에 없었다. 구글의 크롬(Chrome) 역시 지난 9월부터 NPAPI 플러그인 설치가 불가능해지면서 원도우 10 대란에 이어 이른바 9월 크롬대란이 예고되기도 하였다.

특명 : 액티브엑스를 잡아라?

박근혜 대통령은 2015년 각종 대란이 발생하기 훨씬 이전인 2014년 3월에 이미 이른바 ‘천송이 코트 사건’에서 외국인이 국내 웹사이트에서 결제를 손쉽게 할 수 없다는 점을 지적했다.

“한국 드라마를 본 수많은 중국 시청자가 의상, 패션잡화 등을 사기 위해 한국 쇼핑몰에 접속했지만, 결제하기 위해 요구하는 공인인증서 때문에 결국 구매에 실패했다고 한다. 우리나라에서만 요구하는 공인인증서가 국내 쇼핑몰의 해외 진출에 걸림돌이 되고 있다.”

이후 정부는 모든 문제의 주범이 마치 액티브엑스인 양 호들갑을 떨었다. 액티브엑스를 없애는 것만이 지상의 목표가 되었던 것이다. 액티브엑스만 사라지면 모든 문제가 해결될 것처럼 보였고, 그 결과 exe 방식의 프로그램 설치라는 땜질 처방으로 이어졌다. 하지만 이 모든 노력이 대란을 막기엔 역부족이었다.

대란의 씨앗 : 정부의 공인인증서 보급 및 사용강제 정책

그렇다면 무엇이 각종 플러그인 대란을 초래한 것인가?

10여년 전 당시 주무 부처인 정보통신부는 전자금융거래의 본인확인을 위해 PKI(공개키기반구조)기술을 사용하도록 하면 인터넷 뱅킹 분야에서 국제적으로 앞서나갈 수 있다고 판단하였다. 참신하고 획기적인 아이디어였다. 이에 당국은 기술중립성이나 웹브라우저 이용환경 등은 고려하지 않은 채로 공인인증서 전국민 보급운동을 펼쳤고, 전자금융거래 법령을 통해 사실상 모든 전자금융거래에 공인인증서 사용이 강제되기에 이르렀다. 대란의 씨앗이었다.

액티브엑스가 아니라 기술중립성 위반이 문제다.

그러나 정부의 이 같은 공인인증서 정책은 기술중립성을 위반한 것이었고, 액티브엑스 대란의 진짜 원인은 여기에서 찾아야 한다.

기술중립성(technology neutrality)이란 기술과 관련된 정책에서 특정 기술을 유리하게 취급하거나 특정 기술 사용의무를 부과하지 말아야 한다는 원칙이다. 달리 말하면 기술중립성 원칙은 시장 참여자에게 가장 적합한 기술의 선택권을 부여해야 한다는 것이다.

대표적으로 EU framework directive 2002/21에 아래와 같이 정의되어 있다
“… making regulation technologically neutral, that is to say that it neither imposes nor discriminates in favor of the use of a particular type of technology … “

만약 정부가 특정 기술을 사용하도록 강제하면 기술의 발전 속도에 맞추어 계속 근거 법령을 수정해야 한다. 그러나법령이 빠르게 변하는 기술의 발전 속도를 따라가지 못하면 낙후된 기술이 계속 사용될 수밖에 없다. 또한특정 기술 이외에는 어떠한 혁신적인 기술도 시장 진입이 불가능해지기 때문에시장 경쟁을 통한 기술 혁신은 원칙적으로 불가능해진다.

10여년 전 웹브라우저는 자체 기능이 매우 미약했고, 하드디스크에 암호화키를 저장하는 방식으로 공인인증서를 구현하기 위해서는 별도의 플러그인이 필요했다. 그 역할을 수행했던 것이 불행하게도 마이크로소프트사의 액티브엑스(Active X)였다.

그러나 막대한 기회비용을 이유로 액티브엑스 방식의 공인인증서는 많은 문제점에도 불구하고 다른 방식으로 대체되기 어려웠다. 정부 정책의 경로의존성(path dependency) 때문에 공인인증서 사용 의무 규정 역시 유연하게 바뀌기 어려웠다. 공인인증서 외에 다른 인증기술은 오랫동안 시장에 선보이지도 못하였음은 물론이다. ‘공인’이라는 단어가 주는 믿음직함에 다른 인증기술을 고려할 필요가 있었을지도 의문이다.

2014년 전자금융거래법 개정으로 숨통

요컨대 정부가 공인인증서 보급 및 사용강제 정책을 통해 기술중립성을 위반한 것이 대란의 진짜 원인이다. 정부가 특정 기술을 사용하도록 홍보 및 강제하고 그 기술이 액티브엑스 등 플러그인으로 구현되면서 한국의 인터넷 이용환경은 급속도로 플러그인에 종속되어 버렸다. 앞서가려는 정부의 과욕이 세상에 어디에도 없는 인터넷 갈라파고스를 만들어낸 것이다.

다행히도 사단법인 오픈넷은 근본적인 문제점을 해결하기 위해 기술중립성 원칙에 기초한 전자금융거래법과 전자서명법 개정안을 국회에 제안하였고, 그 중 전자금융거래법이 지난 2014년 9월 30일 극적으로 개정되어 올해부터 시행되고 있다. 이에 금융당국은 기술중립성 원칙에 맞게 공인인증서 사용 의무조항을 단계적으로 철폐하였고, 인증기술에 대한 사후 감독원칙을 천명하기에 이르렀다. 지긋지긋한 액티브엑스 문제의 근본적 원인이 드디어 해결된 것이다.

개정 전자금융거래법 제21조 제3항
금융위원회는 제2항의 기준을 정함에 있어서 특정 기술 또는 서비스의 사용을 강제하여서는 아니되며, 보안기술과 인증기술의 공정한 경쟁이 촉진되도록 노력하여야 한다.

다만 전자금융거래 이외의 많은 영역은 여전히 전자서명법 상 공인인증서가 규율하고 있고, 공인인증서가 이용되는 본인확인 규제들이 수없이 상존해 있다. 정부 웹사이트 역시 공인인증서에 과도하게 의존하고 있다. 따라서 오픈넷이 제안한대로 전자서명법이 전면 개정되거나 공인인증서 기술이 모두 웹 표준 방식으로 개편되지 않는 이상 당분간 답답한 인터넷 이용환경은 계속될 것이다.

인터넷 새마을운동? 정부는 기술 시장에 인위적으로 개입하지 말아야

정부가 기술 시장에 직접 개입하는 것은 과거 새마을 운동을 인터넷 분야에서 구현하는 것과 다름 아니다. 거창하게 기술중립성 원칙을 들먹이지 않더라도, 민간의 기술 발전 속도가 정부의 기술 이해 속도에 비해 월등히 빠른 부문에서는 더 이상 새마을 운동 방식은 유효하지 않다. 정부 주도로 호기롭게 도입되었던 샵메일의 처참한 이용 실적이 이를 방증한다.

인터넷을 통해 혁신적 기술이 꽃피게 하고 인터넷 갈라파고스에서 벗어나기 위해서는 기술중립성 원칙에 따라 정부가 기술 시장에 인위적으로 관여하는 관행에서 벗어나야 한다. 앞서 언급했던 금융위원회의 전향적인 태도 변화는 주목할 만하다. 2015년 액티브엑스 대란은 결국 정부의 과욕에서 비롯되었음을 잊어서는 안 된다.

* 위 글은 씨넷코리아에 기고했습니다. (2015.10.21.)

스마트보안관이여 잘 가시오! 

이제는 청소년 스마트폰 감시법의 폐지를 논의할 때!

11월 1일 시티즌랩이 스마트보안관에 대한 2차 보고서를 공개한 같은 날, 방송통신위원회(이하 ‘방통위’)는 스마트보안관의 서비스를 중단하기로 했다고 발표했다. 오픈넷이 올해 2월부터 추진해 온 ‘청소년 스마트폰 감시법’ 반대 운동이 성공적인 결실을 맺은 것이다. 지난 6월 말 진행된 2015 시티즌랩 여름 연구소(Citizen Lab Summer Institute)에 참여한 오픈넷의 제안으로 시티즌랩, Cure 53, 그리고 독립적인 연구원들이 참여한 스마트보안관 연구 프로젝트가 시작되었다.

스마트보안관은 방통위의 지원으로 한국무선인터넷산업연합회(MOIBA)가 개발해서 보급하고 있는 안드로이드용 청소년 유해매체물 차단 앱이다. 정부가 홍보할 뿐만 아니라 무료로 배포되고 있어 청소년 스마트폰 감시법(전기통신사업법 제32조의7 제1항 및 동 법 시행령 제37조의8 제2항)이 시행된 4월 16일 이후 가장 시장점유율이 높은 프로그램이다.

9월 20일 시티즌랩이 발표한 1차 보고서에서 밝힌 스마트보안관에 대한 두 건의 보안 감사 결과에 의하면, 청소년 및 부모 이용자들의 프라이버시와 보안을 위협하는 취약점이 26건이나 존재했다. 보고서에서 시티즌랩은 스마트보안관에 대해 “독립적이고 철저한 보안 감사가 이루어지기 전까지는 해당 앱의 추후 사용과 홍보를 중단’해야 한다고 주장했다. 보고서 발표 직후 방통위는 보도자료를 통해 취약점을 수정하기 위한 조치가 취해졌으며 “앞으로도 필요시 보안취약점을 지속적으로 개선”해 나가겠다고 대응한 바 있다.

그러나 2차 보고서에 담긴 후속 보안 감사 내용을 살펴보면, 스마트보안관의 취약점은 제대로 수정되지 않았거나 그대로 남아 있어 청소년들을 여전히 위험에 노출시키고 있는 것으로 드러났다. 이에 시티즌랩은 “스마트보안관을 지체 없이 오픈마켓에서 내리고, 현재 사용자들은 이용을 즉시 중단할 것”을 권고했다. 그런데 마침 당일, 스마트보안관의 서비스 중단이 알려졌고, 구글 플레이에서도 내려진 것이 확인되었다. 다만, “사이버안심존”이라는 이름으로 하에 스마트보안관이 여전히 남아 있는 것으로 보여 방통위 담당자에게 확인한 결과, 11월 1일 부로 스마트보안관은 더 이상 신규가입자를 받지 않으며 기존 가입자들은 이통사들이 제공하는 무료 앱으로 전환하도록 안내를 할 계획이며, 사이버안심존은 스마트보안관과 다른 기능의 앱이라는 답변을 받았다.

11월 2일 오픈넷 사무실에서 진행된 시티즌랩의 기자회견에서 시티즌랩 소장이자 토론토대학교 교수인 론 디버트(Ron Deibert) 소장은, 스마트보안관은 정부가 보안에 취약한 프로그램을 제대로 된 보안 감사나 검증 없이 사용을 강제함으로써 국민의 신뢰를 저버린 사례로, 국가가 특정 집단을 보호하겠다는 선한 의도로 추진한 정책이 오히려 해당 집단을 위험에 빠뜨릴 수 있다는 교훈적인 연구 사례가 될 것이라고 말했다.

이와 같이 정부가 특정 프로그램 내지 기술을 강제할 때 어떤 결과가 초래되는지에 대해 우리는 공인인증서 사태로 충분히 겪은 바 있다. 스마트보안관은 음란물을 차단한다는 목적으로 정부가 개발한 특정 프로그램을 강제한 결과, 오히려 아이들과 부모들을 보안 위협에 노출시키고 시장을 교란시키는 안타까운 결과를 낳았다. 또한 그 과정에서 청소년의 프라이버시와 부모의 교육권이 침해되었으며, 국민들의 세금이 낭비되었다.

이제라도 스마트보안관을 내린 것은 다행이지만, 기존 이용자들은 여전히 위험에 노출되어 있으며, 이통사 및 다른 사기업이 제공하는 무료 앱의 보안성이 더 뛰어나다는 보장도 없다. 더욱 근본적인 문제는 스마트폰 감시법이 존재하는 이상 차단수단 설치가 계속 강제된다는 것이다. 스마트폰 감시법은 극단적인 국가후견주의의 발현으로, 청소년의 프라이버시를 침해할 뿐만 아니라 부모의 교육권을 박탈하며, 정책의 시행을 민간에게 떠넘김으로써 사기업들에게 부담을 안겨 영업수행의 자유도 침해하는 악법이다. 이러한 법은 UN아동권리협약과 UN 시민적 및 정치적 권리에 관한 국제규약 등 국제 인권 기준에도 어긋난다. 방통위는 한시라도 빨리 동 법의 폐지 방안을 강구해야 할 것이다.

오픈넷은 진보네트워크센터와 함께 동 법에 대한 헌법소원을 준비 중에 있으며, 헌법소원에 청구인으로 참여하고자 하는 청소년과 부모를 찾고 있다. 청구인의 자격은 차단수단이 설치된 스마트폰을 사용하는 청소년과 청소년의 법정대리인이면 충분하며, 오픈넷 사무국으로 전화 또는 이메일로 문의하면 된다. (오픈넷 사무국 02-581-1643, [email protected])

2015년 11월 3일

사단법인 오픈넷, 진보네트워크센터

스마트보안관은 사라졌지만 감시는 계속된다

글 | 오픈넷

방통위가 청소년들을 유해정보에서 구해내겠다며 청소년들의 스마트폰에 배포한 스마트보안관이라는 모바일 앱이 있다. 방통위는 2013년부터 무려 이 앱을 위해 약 30억 원의 예산을 들였고 이통3사와 한국무선인터넷산업연합회(이하 MOIBA)가 함께 개발을 했다.

스마트보안관을 실행시키면 이 앱이 계속 스마트폰에 상주해있으면서 이용자, 즉 청소년이 스마트폰을 통해 하는 모든 행동이 모두 모니터링 되는 방식으로 작동한다. 주요 기능은 아래와 같다.

• 청소년에게 유해하다고 판단된 정보에 접근하는 것을 원천적으로 차단한다.
• 부모에게 청소년 자녀의 스마트폰 일평균 이용시간, 주 이용시간대, 주 이용정보 카테고리 등의 정보를 제공한다.
• 부모가 청소년 자녀의 스마트폰 이용을 통제한다. (시간별, 앱별 등)
• 스마트폰에 설치된 스마트보안관을 청소년이 임의로 삭제할 수 없게 한다.

주요 기능만 봐도 애정이 과한 부모 세대가 청소년 세대를 스토킹하고 일거수 일투족을 감시하는 등 적극적으로 사생활 침해를 하는 느낌이 든다. 놀랍게도 방통위가 2015년 4월 16일부터 시행한 “전기통신사업법 시행령” 일부 개정령에 의하면 청소년에 판매하는 스마트폰에는 유해매체물을 차단할 수 있는 앱을 반드시 설치해야 했다. 이 법률상 의무를 충족할 수 있는 여러 앱이 있지만 방통위는 자신들이 개발한 스마트보안관 설치를 은근히 장려했고 이에 따라 아래와 같이 수십만명의 청소년의 스마트폰에 깔리게 되었다.

심각한 보안 문제, 7개월 만에 서비스 중단

결론부터 말하면 2015년 11월 1일 방통위는 스마트보안관 앱·서비스를 중단한다고 발표했다. 실제로 스마트보안관 앱은 구글 플레이 스토어에서 삭제됐다. 방통위가 스마트보안관 서비스를 중단한 건 의무 사용을 강요한 이 서비스에 심각한 보안 문제를 끝내 해결하지 못했기 때문이라는 의견이 있다.

스마트보안관의 심각한 보안 결함을 발견한 것은 토론토 대학교 뭉크스쿨 글로벌상황연구소 산하 시티즌랩이다. 시티즌랩은 2015년 9월 20일 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱”이라는 보고서를 공개했다. (참고: 관련 오픈넷 보도자료)

이 보고서에는 스마트보안관의 프라이버시 보호 정도 및 보안성에 대한 독립적인 두 건의 감사 결과가 담겨있다. 감사는 보안감사 전문 회사인 큐어53(Cure53)과 함께 진행이 됐는데, 연구진은 스마트보안관_[1]을 이용하는 청소년과 부모의 프라이버시와 보안을 위헙하는 26건의 취약점이 있다고 밝혔다. 이 보안 취약점들을 이용하면 스마트보안관 계정을 무력화시키는 것은 물론이고 데이터 변조, 개인정보 절도 등 다양한 공격에 당할 수 있다는 것이다.

보고서에서 밝힌 문제점들을 요약하면 다음과 같다.

• 인증 문제: 정상적인 확인절차나 암호 없이도 계정의 등록과 관리가 가능한 문제점 존재
• 인프라 문제: 서버는 구식 프로그램을 이용하고 있고, 보안조치와 암호화가 업계 표준으로 구현되지 않음. 무작위 대입 공격에 대한 대책 없음
• 법적·정책적 함의: 스마트보안관의 설계 수준이 취약해서 MOIBA의 스마트보안관 약관과 개인정보정책에 맞지 않음. 또한 스마트보안관의 기능은 전기통신사업법령의 내용을 넘어서 프라이버시를 침해함

시티즌랩은 9월 20일 보고서를 공개하기 전 MOIBA에 이 내용을 공유하고 문제를 수정하도록 45일을 기다렸고 일부 취약점을 보완했다고 답변을 했으나 전체 취약점을 해결했는지 답변이 없어 보고서를 공개했다고 한다.

시티즌랩은 그후 MOIBA가 관련 개선을 하였는지 확인하기 위해 2015년 11월 1일 2차 감사를 한 결과를 발표했다. (참고: 관련 오픈넷 보도자료) 2차 감사는 1차 감사 때보다 보완이 됐다고 주장하는 최신 버전을 대상으로 했는데_[2] 일부 수정·보완이 이루어졌지만, 여전히 아래와 같은 심각한 문제점들이 남아있다고 했다.

• 공격자가 청소년의 휴대폰 번호를 알고 있다면 청소년의 생년월일, 휴대폰에 설치된 모든 앱의 목록, 모든 차단 규칙을 취득할 수 있다.
• 공격자는 여전히 청소년의 휴대폰의 차단 규칙이나 설정을 마음대로 변경할 수 있기 때문에 청소년이 휴대폰을 사용하지 못하도록 잠글 수 있다.
• 공격자는 여전히 스마트보안관 부모용의 비밀번호와 청소년의 계정과 연계된 부모의 휴대폰 번호를 찾아낼 수 있다.

이에 시티즌랩은 스마트보안관을 앱스토어에서 즉시 내리고, 이용자들은 사용을 즉시 중단할 것을 권고했다. 즉, 방통위는 시티즌랩이 중단 권고를 한 당일 바로 서비스를 중단한 것이다.

조선닷컴 기사에 따르면 방통위는 스마트보안관 중단 조치에 관해 “지난달 모든 이통사가 음란물 차단 앱을 무료로 보급하기 시작했기 때문에 플레이스토어에서 삭제했을 뿐”이라며 “문제와 관계없이 예정된 일정에 따른 조치”라고 밝혔다.

여기서 말한 이통사의 차단 앱이란 SK텔레콤의 “T청소년유해차단”, KT의 “올레 자녀폰 안심”, LG유플러스의 “U+ 자녀폰지킴이” 등을 말하는데, 이것들은 여전히 플레이 스토어에서 다운로드를 받아 실행할 수 있다.

계속되는 프라이버시 무시·자녀 감시들

따라서 문제는 여전히 남아있다. 정부가 아니더라도 이통사를 비롯한 여러 회사들이 유사한 기능의 앱을 계속해서 배포하고 서비스하고 있다. 이런 위험한 앱들이 시중에 나와 있는 가장 근본적인 이유는 일명 “청소년 스마트폰 감시법”이 이런 앱들의 설치를 강제하고 있기 때문이다.

개정된 전기통신사업법에는 이통사가 청소년과 계약을 할 경우 청소년 유해매체물과 음란정보를 차단할 수 있는 수단을 제공해야 한다고 되어 있고, 세부 방법·절차는 시행령에서 정하도록 되어 있다.

법에 이렇게 명시되어 있는 경우 정부가 아니더라도 누군가 반드시 청소년에게 유해정보를 차단하기 위한 서비스를 만들어야 한다. 기본적으로 이를 위해서는 많은 정보에 접근을 하고 모든 정보를 들여다봐야 하는데, 그 과정에서 청소년은 부모와 협상할 기회도 없이 부모의 상시감시 아래 놓이게 되는 프라이버시 침해가 발생하는 것은 자명하다.

또 법은 차단서비스만 제공하라고 했지만 차단서비스가 상시 작동하고 있는지 확인하기 위해서는 스마트폰 기기 전체에 대한 상시감시가 필요하고 이를 구현하기 위해서는 스마트보안관처럼 수십 억의 돈을 들여도 이용자들을 오히려 각종 보안 위협에 노출될 가능성도 여전하다.

또한 이 시행령은 이통사가 유해정보 차단 앱이 설치되었는지 확인할 수 있는 방법에 대해 명시하지 않고 있다. 그리고, 이통사를 통해 구입하지 않고, 스마트폰을 직접 구매하는 이용자나 외국산 스마트폰을 이용하는 이용자의 경우는 확인조차 할 수 없는 한계점도 명확하다.

심지어 성인인 부모조차 이러한 발상과 서비스를 거부할 방법이 없다는 것도 문제다. 앱의 품질이 나빠 이용을 거부하거나 자녀의 프라이버시를 지켜주기 위해 설치를 하지 않을 수도 있는데, 시행령은 부모가 당연히 동의할 것이라고 전제하고 있다. 이 앱은 부모가 원치 않아도 자녀의 폰에 설치되어 부모와 자녀를 감시자와 피감시자의 관계로 몰아넣어 스마트폰 이용에 관해 교육적인 대화를 할 수 있는 기회를 박탈한다.

감시와 통제로 교육? 발상 자체가 문제

정부는 프라이버시를 포함한 기본권을 침범할 소지가 높더라도 청소년의 모든 스마트폰 이용 내역을 감시하는 법안을 마련하고, 수십억 원의 예산을 들여 보안성이 매우 떨어지는 앱을 직접 개발해 배포했다. 불행 중 다행으로 지금은 직접 앱을 배포하는 것은 포기했지만, “청소년 스마트폰 감시법” 때문에 여전히 이런 강제 모니터링 앱을 설치해야 하는 수많은 청소년들이 존재한다.

정부는 여전히 청소년의 문자메시지, 채팅 메시지, 검색어 등을 감시하는 서비스를 운영 중이다.

정부는 통제와 감시로 문제가 해결된다는 생각을 버려야 한다. 시민들은 학교와 가정에서 교육해야 할 영역을 국가가 법으로 학교·부모의 감시를 강제하거나 이를 위해 개인용 통신기기에 특정 소프트웨어의 장착을 요구하는 것의 위험성에 대해 다시 한번 심각하게 생각해 봐야 할 때다.

————————————————–

[1] 안드로이드용 스마트보안관 최신버전(1.7.5 이하)

[2] 안드로이드용 스마트보안관 1.7.7

* 위 글은 슬로우뉴스에도 동시 게재하고 있습니다. (2015. 11. 16.)

오픈넷, <이석우 전 다음카카오 대표 기소와 정보매개자 책임> 포럼 개최

일시: 2015년 12월 14일 (월) 저녁 7시 30분 - 9시 30분

장소: 스타트업 얼라이언스 앤스페이스

오픈넷이 국회 이종걸, 송호창 의원실과 함께 오는 12월 14일(월), <이석우 전 다음카카오 대표 기소와 정보매개자 책임>을 주제로 포럼을 개최합니다.

지난 11월 4일, 이석우 전 다음카카오 대표가 아동·청소년의 성보호에 관한 법률(아청법) 위반 혐의로 기소되었습니다. 검찰은 기소 사유로 이 전 대표가 카카오 대표로 재직 당시 온라인 서비스 제공자로서 아동음란물을 발견하기 위한 기술적 조치를 취하지 않아 지난해 6월부터 8월까지 ‘카카오그룹’에서 약 7,115명에게 아동음란물이 배포됐다고 밝혔습니다.

아청법 제17조는 온라인 서비스 제공자가 아동·청소년이용음란물을 발견하거나 삭제하기 위한 기술적 조치를 취하지 아니한 경우 3년 이하의 징역 또는 2천만원 이하의 벌금에 처한다고 하고 있습니다. 해당 법 위반 혐의로 인터넷 사업자가 기소된 것은 아청법이 제정된 이래 처음이자, 아동음란물의 제작자 또는 유포자가 아닌 단순한 정보매개자의 직접적인 형사책임을 인정한 전 세계적으로도 유래를 찾아보기 어려운 사건입니다.

아동음란물은 절대적으로 금지되어야 하며, 아동음란물의 제작자나 유포자는 당연히 처벌받아야 할 것입니다. 하지만 아동음란물이 유통되는 플랫폼을 제공한 온라인 서비스 제공자에게 필터링 의무를 지우고 의무 위반시 형사처벌을 하는 법의 타당성에 대해서는 논란이 있습니다.

이번 오픈넷 포럼에서는 정보매개자의 필터링 의무와 관련된 국내외의 논의에 대해 알아보고, 필터링 의무 위반으로 처벌을 하는 것은 형사정책상 어떠한 의미가 있는지, 필터링 의무가 실제로 어떻게 이행되고 있는지, 이러한 의무의 존재가 온라인 서비스 제공자, 나아가 인터넷에 어떤 영향을 미치고 있는지에 대해 논의해보고자 합니다.

본 토론회는 무료로 참가하실 수 있으며, 참가신청은 아래 링크를 통해 하실 수 있습니다. 많은 분들의 관심과 참여를 바랍니다.

- 참가신청: http://opennet.or.kr/10613

<행사 안내>

[오픈넷 포럼] 이석우 전 다음카카오 대표 기소와 정보매개자 책임
- 아청법상 온라인 서비스 제공자 아동음란물 필터링 의무의 타당성

주최: 국회의원 이종걸, 국회의원 송호창, 사단법인 오픈넷
일시: 2015년 12월 14일 (월) 저녁 7시 30분 - 9시 30분
장소: 스타트업 얼라이언스 앤스페이스 (서울시 강남구 테헤란로 423, 현대타워 7층/선릉역 10번 출구에서 직진, 3분거리)
- 지도: http://startupall.kr/location/

발제 1: 김가연 변호사(오픈넷) – “아청법상 필터링 의무와 정보매개자 책임”
발제 2: 남희섭 이사(오픈넷) – “필터링 의무 해외 사례”

토론:
전현욱 박사(형사정책연구원)
류한욱 팀장(주식회사 이지원인터넷서비스)
김태하 팀장(주식회사 뮤레카)
여성가족부/방송통신심의위원회(협의중)

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

- 제목 : 포털 뉴스의 영향력에 관한 국내외 전문가 인식 조사 (여론집중도조사위원회 연구용역)

- 주요내용 : 포털을 통한 뉴스 유통이 일반화된 디지털뉴스 시대에서 포털 뉴스의 기능과 영향력을 고려할 때, 여론집중도지수 측정이나 규제에 있어 포털 뉴스를 기존 언론과 동일한 규준으로 평가할 수 있을 것인지에 대하여, 국내 전문가들에 대한 델파이 조사 및 해외 전문가들에 대한 심층 인터뷰를 수집, 분석하는 연구를 수행하였습니다.

- 연구참여자: 박경신, 손지원 (각각 개인자격)

지난 19대에 발의되었던 전자서명법 개정안 주요내용입니다.

공인인증서 문제의 완전한 해결을 위해 20대 국회에 재발의 요청할 예정입니다.

http://pokr.kr/bill/1905145

제안이유

현행법은 ‘전자서명’과 ‘공인전자서명’을 차별적으로 규정하면서, 공인전자서명의 경우에는 당사자간에 그것을 사용할지 여부에 관한 합의가 없더라도 육필 서명 등과 같은 법적 효력을 부여하고 있으나 전자거래는 당사자 간의 자유로운 의사에 기반하는 것이므로 계약 등 거래 당사자들이 전자서명을 사용할지 말지를 자유롭게 결정하는 것이 바람직함. 일방은 전자서명을 사용하기를 원하지 않는데, 타방이 일방적으로 전자서명을 강요하는 상황은 계약 자유의 대원칙에 어긋나고, 거래당사자들이 그 거래를 위하여 적절한 인증 방법을 상호 결정하는 것을 보장하는 한미 FTA (대한민국과 미합중국 간의 자유무역협정) 제15.4조와도 조화되기 어려움.
또한 공개키 기반구조(Public Key Infrastructure)에 기반한 공인인증 제도는 전세계적으로 형성된 신뢰 체계와 분리되어 국가 단위로 운용될 경우 인터넷상에서 작동할 수 없을 뿐 아니라, 그러한 국지적 인증제도는 한국의 인터넷 환경 전체를 고립시키고, 국내 IT 산업의 세계 시장 진출 및 국제경쟁력 확보에 부담으로 작용할 위험을 안고 있음.
따라서 당사자가 그들의 거래에 전자서명을 사용하기로 자발적으로 합의할 경우 그 합의를 존중하면 충분하며 공인전자서명을 전자서명과 구별하여 별도로 규정할 필요는 없음. 아울러 국내 인증기관들의 국제 시장 진출 및 국제 경쟁력 확보를 위해서는 그 업무 수행의 기술적·관리적 측면을 국내뿐 아니라 국외에서도 인정받을 수 있는 방식으로 ‘공인인증제도’를 개선·보완할 필요가 있음.

주요내용

가. 전자서명은 당사자 간의 합의에 기하여 사용될 수 있음을 규정하고 ‘전자서명’과 ‘공인전자서명’을 구별하지 않음(안 제3조).
나. 정부가 국내에서만 인정받는 ‘공인인증기관’을 지정하는 현행 제도를 개선하여 국내의 인증기관들이 국제시장으로 진출하고 국제적으로 그 신뢰성을 인정받을 수 있도록 하는 기반을 마련함(안 제4조).
다. 미래창조과학부장관이 정하는 인증업무수행기준을 충족하는 인증기관은 차별 없이 인증서비스 시장에서 경쟁할 수 있도록 보장함(안 제4조제3항).

“공인” 인증 강박의 추억 떠올리는 정보보호관리체계(ISMS) 인증

- ‘NH농협’, ‘아시아나 항공’ 등 개인정보유출기업 다수가 ISMS 인증 받아 실효성도 의문

2015년 12월 개정되어 올해 6월 2일부터 시행중인 “개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)”은 ISMS 인증 의무 대상을 의료기관, 학교 등 비영리기관으로 확대하고 과태료 규정을 강화했다. 하지만 ISMS 인증은 전자금융거래법 개정으로 폐지된 공인인증서 강제 사례처럼 정부가 인증한다는 “공인”이라는 꼬리표를 달고 있어 이른바 관치 보안의 폐해를 반복할 우려가 크다. 공인인증서 사용 강제의 폐해를 반면교사로 삼아 정부가 주도하여 인증 자체에 직접 관여하는 정책을 전면 수정해야 한다.

2001년 도입되어 2013년 의무화된 정보보호 관리체계(ISMS, Information Security Management System) 인증 제도는 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 체계의 적합성에 대해 인증을 부여하는 제도로서 한국인터넷진흥원(KISA)이 관리하고 있다. 그동안은 정보통신망서비스 제공사업자(ISP), 집적정보통신시설 사업자(IDC), 그리고 정보통신서비스 제공자 등 주로ICT 기업 중에서 일정 규모(전년도 매출액 100억원 이상 또는 3개월간 일일평균 이용자 수 100만명 이상) 이상의 기업이 의무 대상이었는데, 작년 12월 정보통신망법 개정으로 세입이 1,500억 이상인 의료법상 상급종합병원 및 고등교육법상 재학생수 1만명 이상인 학교로 ISMS 인증 의무 대상이 확대된 것이다. 또한 의무 대상자 중 미인증 사업자에 대한 과태료도 현행 1000만원에서 3000만원으로 상향되었다.

관치 보안의 문제는 이미 오픈넷이 오랫동안 비판해 온 공인인증서 사례에서 여실히 드러났다. 즉, 정부가 “공인”한다는 정부 주도 인증 문제의 핵심은 민간 전문가들이 주도하는 기술이나 인증 제도의 발전을 저해한다는 점이고, 이는 실제 인증되는 내용이나 실질과 무관하게 국가가 인증한다는 취지의 “공인”이라는 어휘 자체에서 그대로 드러난다.

우선 정부가 고도의 전문성이 요구되는 ISMS 인증 제도를 제대로 운영할 수 있는지부터 의문이다. 실제로 2014년 국정감사에서 ISMS 인증을 받은 254개의 기업 중 정보유출 사고가 무려 30개 기업에서 발생하였다는 점이 드러난 바 있고, 여기에는 사회적 파장이 큰 NH농협이나 KT 등 개인정보나 개인신용정보가 다수 집적된 기업이 포함되어 있다. 불과 며칠 전에는 ISMS 인증을 받은 아시아나 항공의 웹사이트에서 이용자들의 개인정보가 무방비로 노출될 수 있는 시스템 오류가 발견되기도 했다. 날로 발전하는 정보통신 환경에서 정보보호체계 내지 보안시스템의 구축은 그 어느 때보다도 중요하지만, ISMS 인증처럼 정부가 최종 인증 권한 자체를 보유하고 운용하는 제도는 부작용이 훨씬 크다. 급변하는 보안 시장과 하루가 다르게 발전하는 기술을 정부와 보수적인 규제가 따라가거나 앞서가기를 바랄 수 없기 때문이다.

한편 금융사가 이용자에게 공인인증서 등의 사용을 강제한 경우 금융사고 발생시 금융사 면책을 용이하게 하는 문제가 있었다. 이와 같이 ISMS 인증을 받았음에도 보안 사고가 발생한 경우, 반대로 정부의 “공인”된 인증을 받았다는 사실만으로 쉽게 면책을 받게 된다면 그 피해가 고스란히 이용자에게 전가될 우려가 있다. 또한 공인인증서 커넥션 처럼 ISMS인증이 ”공인” 인증 체제를 유지하는 이상 담당 부처와 심사기관을 중심으로 하는 카르텔이 형성되어 제도를 더욱 공고히 할 우려도 지우기 어렵다.

이처럼 정부가 최종 인증 권한을 보유하고 내용 심사를 주도하는 이른바 “공인” 인증의 강제는 우리나라에만 존재하는 갈라파고스 규제로, 스타트업이나 중소기업에게는 진입장벽이 될 뿐만 아니라 국내 기업에게만 이중, 삼중의 부담을 안겨 역차별을 초래한다. 미국, 캐나다 등 IT 선진국 중에 국가가 주도하여 보안 인증을 강제하는 나라는 찾기 어려우며, 이들 국가에서는 민간 전문가들이 참여하여 국제적으로 공신력을 획득한 ISO 27001, PCI-DSS 등의 인증을 이용한다. 물론 현 정보통신망법에서 ‘국제표준 정보보호 인증’, 즉 ISO 27001을 받은 경우에는 인증 심사의 “일부”를 생략할 수 있다고 하여 부담을 덜어준 것 같아 보이나, ISMS 인증의 대체를 인정한 게 아니기 때문에 결과적으론 달라진 게 없다. 정부가 주도하는 ISMS 인증이 ISO 27001 보다 특별히 더 우수하다는 점도 밝혀진 바 없으며, 오히려 인증의 품질에 대해 지적하는 목소리도 있다.

더욱이 ISMS 인증은 통상 준비부터 인증까지 약 6개월 이상이 소요되고, 인증 신청을 위해서도 최소 2개월 이상의 운영 기간이 필요하다. 게다가 ISMS 인증 비용만으로도 최소 수천만원에서 수억원이 들어간다. 그런데 해외진출을 꿈꾸는 ICT 기업들은 국내에서만 인정되는 ISMS 인증 보다는 국제적인 보안 인증을 선호할 수밖에 없고, 결국 중복적으로 인증을 받아야 하는 것이 현실이다.

정부 주도의 “공인” 인증 강박의 추억은 공인인증서 사례에서 이미 충분히 경험하지 않았는가? 정부는 인증 권한을 민간 전문가에게 양보하고 사후적 관리자의 역할만 수행하는 민간 주도의 보안 인증 제도로의 개선을 촉구한다.

2016년 7월 19일

사단법인 오픈넷

 * 관련 논평: 개정 전자금융거래법 국회 본회의 통과를 환영하며 금융당국의 기술중립, 사후규제 원칙 구현을 촉구한다.

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr