브라우저 접근성 및 공인인증서에 관한 민원 제기

권순선의 이미지

일전에 이곳에 글을 올리신 적도 있고, 현재 http://www.openweb.or.kr 에서 공공기관의 브라우저 접근성 관련하여 실질적인 활동을 벌이고 있는 김기창 교수께서 정보통신부에 공인인증서 등에 관한 민원을 제기하였습니다. 그동안 FOSS 커뮤니티에서도 이러한 내용에 대해 많은 불만을 나타내어 왔으나 찻잔속의 태풍(?)에 그친 바, 실제로 activity로 이어진 적은 없었는데 부디 좋은 결과 있으면 합니다.

아래는 브라우저 접근성 관련한 민원 내용입니다.

Quote:

수신: 정보통신부 장관
발신: 서울 성북구 안암동 5가 134-20 김기창
날짜: 2006.6.17.

민원사무처리에 관한 법률 제8조, 같은 법 시행령 제2조 제2항 제3호, 제4호에 기하여
아래와 같이 민원을 제출하오니, 선처하여 주시기 바랍니다.

[민원신청 배경]

2003.9.26. 정보통신부가 배포한 보도자료에 의하면, "2007년까지 국내 데스크탑 20%,
서버 30%를 공개 SW 기반으로 교체할" 계획을 수립하였고, 이를 통하여 "연간 약 3천
7백억원의 예산이 절감될 것으로 예상되며, Open Standard 지향의 공개 S/W의 특성을
살려 국가 주요정보시스템의 안전·호환성 확보 및 플랫폼 차원의 기술개발로 기술혁신
은 물론 인력양성을 통한 국내 S/W산업의 경쟁력이 강화"될 것으로 예고하였습니다.

이러한 사실은 그 즈음 국내 주요언론에 일제히 보도되었을 뿐 아니라(서울 경제
2003.9.26; inews24 2003.9.28; 매경 이코노미 2003.12.5 등 참조), ZDNet Korea의 보
도가 전세계 언론에 전재됨으로써 국제적으로도 한국의 모범적 정책사례가 널리 알려
지게 되었습니다.(2003.10.1 silicon.com 보도;
http://www.silicon.com/software/os/0,39024651,10006225,00.htm).

따라서 다음과 같은 사실의 확인 및 위와 관련된 귀 부서 행정업무의 설명을 요구하고
자 합니다.

[민원신청 사항]

1. 늦어도 2003.9.경에 이미 귀 부서는 특정한 외국 상용 SW에 과도하게 의존하는 전
산환경이 (1)국부(國富)의 해외유출; (2)국가 주요 정보시스템의 안전성에 대한 위험;
(3)호환성 결여로 인한 경쟁방해 (4) 기술혁신에 대한 장애; 그리고 (5) 국내 SW 산업
의 경쟁력 약화를 초래한다는 사실을 분명히 인식한 것으로 보입니다. 이점 확인해 주
시기 바랍니다.

2. 2003.9.26.에 발표된 내용 중, 데스크톱 SW 관련 정책 목표를 실행에 옮길 구체적
인 계획이 수립된 바 있다면, 그 내용을 공개하여 주시기 바랍니다.

3. 그동안 위 제2항에 언급된 정책 목표를 달성하기 위하여 실제로 취한 조치는 무엇
이며, 그 성과는 무엇인지를 설명하여 주시기 바랍니다.

4. 만일 그 사이, 위 제2항에 언급된 정책이 변경, 폐기 되었다면, 그 이유는 무엇이
고, 누구의 지시나 권유로 그러한 결정이 이루어졌는지를 공개하여 주시기 바랍니다.

5. 위 제2항에 언급된 정책이 폐기된 바 없으면, 앞으로 남은 기간 동안 위 정책 목표
를 달성하기 위하여 어떠한 구체적 실천계획들이 준비, 추진되고 있는지를 설명하여
주시기 바랍니다.

끝.

[첨부 자료]

귀 부서 작성 보도자료 전문("공공기관에 공개 S/W 본격 도입" 2003.9.26)

정보통신부는 오는 10월부터 공공기관의 데스크탑, 서버 S/W를 공개 S/W로 전환하는
시범사업을 시작으로 2007년까지 총 215억원을 투입하여 공공기관에 공개 SW 전환을
본격적으로 추진한다.

지금까지 정부산하기관, 지자체, 대학 등이 사용하고 있는 MS 윈도우, 오피스MS 윈도
우, 오피스, 오라클, 익스플로러 등을 각각 리눅스, Open Office(워드, 엑셀 등),
MySQL(DBMS)모질라(웹브라우저)등으로 전환한다.

우선 올 11월부터 2004년 11월까지 30억원을 투입하여 시범기관의 웹, 업무용 서버의
상용SW를 공개SW로 전환하고, 데스크탑의 OS, 브라우저, 기타 응용 SW를 공개SW로 전
환한다.

시범기관은 소프트웨어진흥원과 리눅스협의회 사무국이 있는 정보통신산업협회와 추가
로 지방자치단체 1개와 대학 1개를 공모를 통해 선정하며, 신청을 희망하는 지자체 및
대학은 10월10일까지 소프트웨어진흥원 공개 SW 지원센터에 신청하면 된다.

공개 S/W는 OS, DBMS, 웹서버, 브라우져, 개발도구, 게임에 이르는 모든 S/W를 포괄하
고 있어 외국산 S/W의 독점에 따라 수익창출이 어려운 국내 기업들에게 도움이 되며
사용자 누구나 무료로 인터넷상에서 구할 수 있는 장점이 있다.

이번 사업을 통해 2007년까지 국내 데스크탑 20%, 서버 30%를 공개 SW 기반으로 교체
할 경우 연간 약 3천 7백억원의 예산이 절감될 것으로 예상되며, Open Standard 지향
의 공개 S/W의 특성을 살려 국가 주요정보시스템의 안전·호환성 확보 및 플랫폼 차원
의 기술개발로 기술혁신은 물론 인력양성을 통한 국내 S/W산업의 경쟁력이 강화된다.

아울러 현재 은행 및 공공기관의 웹사이트가 MS 익스플로러에 최적화돼 공개 소프트웨
어인 모질라를 사용할 경우 인터넷뱅킹, 전자정부 로그인이 안되는 문제도 금융감독
위, 행정자치부 등과 협의를 거쳐 전면 개선키로 했다.

정통부는 그동안 공개S/W 활성화 전담기관으로 S/W진흥원내에 `공개 S/W 지원센터`를
설립하고 리눅스 임베디드 S/W를 IT신성장동력으로 선정하여 가전사와 공동으로 디지
털 홈에 적용중이며, 한·중·일간 공개 S/W 활성화 협력 약정을 체결하고 구체적 협력
과제를 발굴하는 등 진 장관 취임이후 공개 SW활성화 정책에 대한 강한 의지를 보여왔다.

앞으로 정통부는 기획예산처, 재경부, 행자부, 조달청 등이 참여하는 `범정부 공개
S/W 활성화 협의체` 를 구성하여 공개 S/W 정책을 적극 추진할 방침이다.

아래는 전자상거래 기본법 관련 민원 이란 제목으로 제기될 민원의 내용입니다.

Quote:

수신: 정보통신부 장관
발신: 서울 성북구 안암동 5가 134-20, 김기창
날짜: 2006.6.18.

민원사무처리에 관한 법률 제8조, 같은 법 시행령 제2조 제2항 제3호, 제4호, 제6호에
기하여 아래와 같이 민원을 제출하오니, 선처하여 주시기 바랍니다.

[민원신청 배경]

전자거래 기본법("법") 제24조에 의하면, "정부는 전자거래의 효율적 운용과 관련기술
의 호환성 확보"를 위하여 "전자거래와 관련된 표준"을 제정, 보급하여야 할 법적 의
무가 있습니다.

전자거래는 "재화나 용역을 거래함에 있어서 그 전부 또는 일부가 전자문서에 의하여
처리되는 거래"를 말하며(법 제2조 제5호), 공적 주체에 의한 것인지 사적 주체에 의
한 것인지를 가리지 않고 "모든 전자거래"에 이 법이 적용됩니다.(법 제3조, 제27조)

이 법은 2002.7.1. 부터 시행되었습니다.

그동안 대부분의 인터넷 뱅킹, 전자상거래 웹사이트들은 호환성이 없고, 국제표준을
무시한 방법으로 전자거래를 계속해 왔습니다. 이러한 사태를 교정하여 호환성을 확보
함으로써 공정한 경쟁이 가능하게 하고, 거래당사자를 차별하지 않도록 하며, 표준제
정을 통하여 전자거래의 효율적 운용과 기술발전을 이루고자 하는 것이 바로 이 법조
항들의 존재 이유라고 생각합니다.

비표준, 비호환적인 전자거래를 방치하는 것은 국민 모두에게 피해를 가져오고, 관련
기술의 발전을 저해하고, 특정 상용 SW 업체의 독점을 조장하는, 매우 부당한 것일 뿐
아니라, 이 법이 명시적으로 부과한 "전자거래 표준제정 의무"를 이행하지 아니한 행
정 부작위로 평가받을 여지가 있어 보입니다.

따라서 다음과 같은 사실의 확인 및 귀 부서의 공식적 해명을 요구하고자 합니다.

[민원 신청 사항]

1. 지난 4년간 전자거래 표준 제정을 위하여 귀 부서가 실행한 조치는 무엇이고, 그
성과는 무엇인지 확인하여 주시기 바랍니다.

2. 전자거래 표준 제정을 위하여 현재 귀 부서가 추진 중인 조치는 무엇인지 공개하여
주시기 바랍니다.

3. 지난 4년간 전자거래 표준이 제정되지 않은 이유는 무엇인지 해명하여 주시기 바랍
니다.

4. 특정 상용 SW가 있어야만 전자거래가 가능하도록 되어 있는 현 사태를 지난 4년간,
그리고 앞으로도 계속 방치하였을 때 가장 큰 이익을 보는 주체는 누구이며, 피해를
입는 주체는 누구인지, 그리고 그러한 이익을 부여하고, 피해를 입히는 것이 이 법 규
정에 비추어 보았을 때 허용될 수 있는지에 대한 귀 부서의 공식적 입장을 확인해 주
시기 바랍니다.

youknowit의 이미지

KLDP 여러분께 인사드립니다. 많이 도와주셔서 고맙습니다. 앞으로도 쭉~ 부탁해요.

정통부 보도자료는 사실 정통부 홈페이지 보도자료 section에 수록되어 있습니다. 그러나, 무슨 이유인지 링크를 걸지 못하게 해두었습니다(컴퓨터를 잘 아시는 분은 무슨 방법이 있는지는 모르겠습니만...)

한편, 국가정보화추진위원회 사이트에서 그 내용을 그대로 공지하고 있습니다. (2003.9월-12월의 거의 모든 언론이 "흥분"했었습니다.)
http://ipc.go.kr/ipckor/news/news_view.jsp?num=4364&topic=&part=&group=&gubun=kor1&fn=&req=&pgno=226

가독성을 높이기 위하여, 보도자료 전문을 위에 인용하시기 보다는 이 링크를 걸어 두시는 것이 어떨지...

KLDP 블로그에서도 epoche 님이 이 엄청난 "희소식"을 기쁜 마음으로 알린적이 있습니다. 2003.9.26.
http://kldp.org/node/65301%23comment-55785 그때 댓글을 비관적으로 다신 분들의 선견지명이라...

익명사용자의 이미지

저희 학교 홈페이지부터 좀 어떻게 안 될까요? 교수님.....

지나가다눈에거슬려의 이미지

당신네 학교 홈페이지 문제는 당신에 학교 홈페이지 담당자한테 문의하시죠.

kernuts의 이미지

이건 아니잖아.. 이건 아니잖아

The knowledge belongs to the World like Shakespear's and Asprin.

hyeonseok의 이미지

정통부게시판이 링크가 안되는 것은
1. 정통부 & 국정원에서 강요하는 보안과 전혀 상관없는 엉터리 보안가이드와
2. url이 뭔지도 모르는 개발자들의 "무조건 javascript로 post" 개발
의 합작품입니다. 이 문제들도 급한불 끄면 개선해야 하는 사항들입니다. 해당 게시물의 링크는 아래와 같습니다.

http://www.mic.go.kr/user.tdf?a=user.board.BoardApp&board_id=P_02_02_01&c=2002&mc=P_02_02_01&seq=3226&npp=10&cp=1&pg=1

youknowit의 이미지

위에 현석님이 언급하신 바와 같이 "국정원 보안가이드라인"이 마구 남용되는 정황이 분명히 있습니다. 이 문제는 앞으로 우리일을 추진함에 있어 매우 중요하기에, 조금 더 설명드리겠습니다.

지금까지 정통부는 국정원 보안심사를 마치 전가의 보도인양 떡하니 걸어두고, 이용자의 요구를 잠재워 왔습니다. 리눅스, 매킨토시 이용자를 배려하고는 싶은데, 국정원심사때문에 어쩌구 저쩌구...

그럴듯 한 것 같기도 하고, 특히 법률지식이 비교적 적은 기술인력분들에게 막강한 효력을 발휘하는 주장이었습니다. 그리고 전자거래 표준화, 리눅스 데스크탑 보급확산은 모두 궁극적으로는 공인인증서 문제에 걸려있고, 공인인증서는 암호화 기술이 그 핵심에 있으며, 암호화는 국가안보가 걸려있는 문제라는 것은 맞습니다. 따라서 "국정원심사"를 18번곡으로 써먹을 실익이 분명히 있었습니다.

그러나 이것은 야만적이고 폭력적인 "중정"의 발호 때문에 우리 국민이 가지는 아픈(traumatic) 기억을 효과적으로 써먹음으로써, 논점을 잠시 가려보려는 시도에 불과합니다.

제 판단으로는, 국정원심사 때문에 우리의 요구가 좌절될 이유는 없어 보입니다.

첫째, 국정원 심사는 "암호화 모듈"에 국한된 것입니다. (2004.12.31. 고시된 암호모듈시험및검증지침 http://www.nsri.re.kr/crypto_cert/cont_a_04.htm 참조). 우리가 정통부를 "공격"하는 이유는 인증기관 지정이 잘못되었다는 것인데, 그 논거는 유저인터페이스(UI)에 관한 요건이 미달된 인증서처리 솔루션을 인가해 주었다는 것입니다. 국정원이 UI심사를 할 권한은 없습니다. 그리고, 국정원은 인증기관지정을 반대(veto)할 권한만 있지, 인증기관을 "지정"할 권한은 없습니다. 우리 주장은 인증기관 "(갱신)지정"이 잘못되었다는 것이지, veto가 잘못되었다는 것이 아닙니다. 현재 6곳의 공인인증기관 지정에 관하여 국정원은 veto하지 않았습니다. 따라서 우리의 "공격"과 관련하여 국정원이 거론될 여지는 아예 없습니다.

둘째, 우리의 "요구"(공격이 아니라)와 관련하여서 국정원심사가 문제될 수도 있다는 생각도 저는 동의하지 않습니다. 윈도용 암호화 모듈을 국정원에 제출하여 심사를 성공적으로 받은 국내 보안 업체가 리눅스나 매킨토시용 암호화 모듈을 국정원이 요구하는 수준으로 구현할 능력이 없다는 것이 제 상식으로는 우선 납득이 가지 않는 부분입니다. 그러나, 만일 그것이 사실이라면, 공인인증서 제도는 당분간 전면 포기해야 합니다. 암호화 모듈에 대한 국정원심사를 통과했다고 해서 인증기관으로 지정되어야 하는 것은 아닙니다. UI에 대한 요건도 충족되어야 비로소 적법하게 인증기관으로 지정받을 수 있습니다. 따라서 정부는 아예 공인인증서 제도를 전면 유예하든지(I see no problem with that!), 리눅스, 매킨토시, 윈도 이용자 모두가 사용할 수 있는 공인인증서 제도를 시행하든지, 둘 중 하나만을 선택할 수 있습니다. 지금처럼 윈도만을 위한 제도를 시행하고, 리눅스나 맥은 "국정원심사 때문에 못한다"는 것은 어불성설입니다. 윈도 전용 인증서 제도는 국정원심사를 통과하였는지는 몰라도, UI 요건 미달이므로 적법하지 않습니다.

전자서명법도 법입니다. 법은 지키라고 있는 것입니다. "국정원"을 거들먹 거린다고 해서 있는 법이 사라지는 것은 아닙니다(옛날에는 그랬는지 몰라도).

전자정부 사업이 중요하긴 하지만, 시급한 것은 아닙니다. 또한 아무리 중요하다 한들, 명백히 법을 어기면서 추진하는 것이 용납될 수는 없습니다. 법을 어기고 밀어붙인 결과, 어떻게 되었습니다. MS 점유율 사실상 100% 달성? 세계 최고라서 자랑스러운 가요? 2003.1.25.의 사태를 다시 반복하고 싶은 가요? 다른 나라는 멀쩡한데, 한국 인터넷만 마비되는 사태가 그렇게 자랑스럽던가요? 지금 사태를 교정하는 것은 전자정부를 추진하는 일보다 훨씬 중요할 뿐 아니라, 시급하기도 합니다. 진정으로 국가안보가 걸린 문제입니다.

우리가 요구한 정보공개청구(http://korea.gnu.org/openweb/1/Info.html)에 대하여도 어쩌면 정통부는 택도 없는 "국가안보" 어쩌구 저쩌구 하면서 공개를 거부할지도 모르겠습니다만, 만일 그럴 경우를 대비한 적절한 대응 수단도 준비 중이라는 점을 알려드립니다.

익명사용자의 이미지

윈도우에 익스폴로러 아니면 아예 로그인 조차 안되니... ㅠ.ㅠ

skysign의 이미지

논점을 흐리는 답글은 삼가했으면 하내요... - -;;;

kernuts의 이미지

정말 K대학교 다니시는 분 맞습니까?

The knowledge belongs to the World like Shakespear's and Asprin.

정태영의 이미지

실제 K대 홈페이지의 경우 activeX 가 없으면 로그인 조차 되지 않습니다. (전 K대 학생은 아닙니다)

activeX 보안 모듈 라이센스 할 돈으로 verisign 에 ssl 인증서 사인만 부탁해서 https 로 돌리면 괜히 javascript 로 암호화/복호화 를 할 필요도 없이 코드도 간단해지고 비용도 훨씬 저렴할 듯 한데...

왜 저렇게 activeX 를 좋아하는지는 참 의문입니다.

----
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

dgkim의 이미지

인증서 OpenSSL의 인증서로는 불가능한가요?

(OpenSSL로 인증서 만들어서 ThunderBird에서 써보려고 하루에 한타씩 두드려 보는중..)

(IE에서 인증서를 제출할 수 있을 것 같기도 하고, 안 될 것 같기도 하고..)

김덕곤
mailto:dgkim@e-firstnet.net
jabber:dgkim@home1.e-firstnet.net
jabber:dgkim@jabber.org
http://www.e-firstnet.net
http://home1.e-firstnet.net
No Spams!

lovian의 이미지

어디서 정한것인지는 기억이 나지는 않으나,
한국표준 SSL, 인증서(한국표준이란 말이 좀 어색하네요..) 등에서 SEED, KCDSA 등의 국내에서 개발한 알고리즘을 사용해야합니다.
고로 한국표준을 지키지않는 OpenSSL은 어렵죠.
-----------------
한글을 사랑합니다.

-----------------
한글을 사랑합니다.

youknowit의 이미지

"공인인증기관의 시설 및 장비 등에 관한 규정"에 첨부된 "기술규격" 2.3을 보면, 암호화 알고리즘은 SEED를 사용해도 되고, 3-DES를 사용해도 되도록 해두었습니다. http://korea.gnu.org/openweb/1/Laws/TechSpecs.html

3-DES는 오픈소스로도 널리 구현되어 있는 알고리즘입니다.

그리고 토종 SEED 알고리즘도 RSA Security 사의 BSAFE 상용 라이브러리와 리눅스 기반에서 공개소스로 개발된 Botan (C++) 라이브러리가 지원하고 있습니다. 물론, 장혜식 님이 OpenSEED 라이브러리로 구현하기도 하였고요.
http://unix.freshmeat.net/projects/botan/?branch_id=31851&release_id=211195
http://www.rsasecurity.com/node.asp?id=2944
http://sourceforge.net/projects/openseed

다만, 그런 알고리즘을 이용하여 만든 "암호화 모듈"은 국정원 심사를 받아야 합니다. 따라서 모듈 공개(국정원에게만 "비밀리에 공개")를 원하지 않는 업체는 이 사업에 참여할 수 없도록 되어 있긴 합니다. 하지만, 오픈소스로 개발하려는 자는 당연히 아무 문제가 없지요.

더 자세한 내용은 http://korea.gnu.org/openweb/1/certificate.html 을 참조하시기 바랍니다.
김기창

jachin의 이미지

이걸 찾고 있었어요. +_+
====
( - -)a 이제는 학생으로 가장한 백수가 아닌 진짜 백수가 되어야겠다.

정태영의 이미지

http://openlook.org/blog/1028
openssl 에서 SEED 를 사용할 수 있도록 하는 패치도 있습니다 :)

----
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

IsExist의 이미지

새로운 oid를 OpenSSL에 추가할때는 소스에 바로 추가하는것이 아니라.
perl 스크립트의 입력파일을 수정해야 합니다.(crypto/objects/objects.txt)

README 파일을 읽어 보면(파일의 끝부분에 위치) diff 을 뜨기 전에
아래의 명령을 차례로 실행하라고 나옵니다.

Quote:

# cd openssl-work
# [your changes]
# ./Configure dist; make clean
# cd ..
# diff -ur openssl-orig openssl-work > mydiffs.patch

---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

lovian의 이미지

어디서 정한것인지는 기억이 나지는 않으나,
한국표준 SSL, 인증서(한국표준이란 말이 좀 어색하네요..) 등에서 SEED, KCDSA 등의 국내에서 개발한 알고리즘을 사용해야합니다.
고로 한국표준을 지키지않는 OpenSSL은 어렵죠.
-----------------
한글을 사랑합니다.

-----------------
한글을 사랑합니다.

bh의 이미지

계속 수고해주십시오!
이렇게나마 멀리서 응원을 보냅니다.

--
이 아이디는 이제 쓰이지 않습니다.

나는오리의 이미지

이런 생각을 해 보았습니다.
한국의 IT 그것도 웹과 관련된 산업에 있어서 지난시기 엄청나도록 비약적인 발전이 있었습니다.
그말은 그 산업이 점진적으로 시간을 가지고서 커 나간것이 아니라 갑자기 화산이 폭발하듯 산업이 발전하고 덩치도 커지는 경우라 하겠습니다.
그 시기에 국가에서는 인증과 관련한 규정이 필요하고 보안프로그램이 필요하게되었지요.
인터넷뱅킹에 한해서 말하자면 인터넷으로 거래를 해야만 하는데 아무런 기준도 기술도 없으니 쉽게 빨리 개발해내고 적용할 수 있는 기술을
선택했을거라 봅니다.
물론 앞뒤물불안가리고 골랐겠지요.

또 한가지 중요한점은 '국가'어쩌고 하는 단체는 매우 보수적이라는 겁니다.
한국에서 '국가'가 들어가는 단체만큼 보수적인 단체는 없을겁니다.
이 보수적인 단체가 '지금 잘(?) 돌아가는거 왜 바꾸려 하느냐?'란 생각만 한다는거죠.
자신들이 했던 일에 관하여 자신들이 조금이라도 잘못한 점이 있고 그걸 국민이 수정하기를 요구하면
'우린 잘못한거 없다. 괜히 모르면서 아는척 껴들지 마라'는 식으로 일관하는게 '국가'어쩌고 단체들이죠.

현재 이 일을 성공적으로 개혁(?)하기 위해서는 이러한 단체들의 보수성을 깨고 그네들을 설득시키는게 우선이라 봅니다.
법을 이용한 강공만이 최선책은 아니라고 봅니다.(하지만 저도 딱히 다른 방법이 떠오르지 않네요.)
그리고 법으로 나가더라도
우선 생각할 수 있는만큼 해보고 그러면서 최대한 많은 정보를 수집해서 한방에 카운터 펀치를 날려서
쓰러뜨려야 할 것입니다.
어설프게 덤벼들다가 실패라도 한게되는 전례가 생긴다면 앞으로 더 힘들게 될것이기 때문이죠.

그리고 현 정부가 바뀌기 전에 현 정부를 너무나도 싫어하고 미워하는 몇몇 언론사들을 이용해보는것도 좋은 방법일것 같습니다.
현 정부가 바뀌고 제가 예상하는 새 정부가 들어서면 언론들이 절대 도와줄 일은 없을것 같네요.

제 생각에 이렇게 카운터 펀치를 날릴 제일 좋은 시기는 대통령선거 1년 전쯤이라 생각합니다.
대통령 선거에 너무 가까워지면 결국 전략적으로 반짝이 인생이거든요.

---
관심과 간섭, 애정과 집착은 동전의 양면과 같다. - 세계정복을 꿈꾸는 오리

정태영의 이미지

관련해서 예전에 미국에서 있었던 '128bit 암호화 방식 수출 규제' 가 있는 걸로 알고 있습니다. 64bit 를 쓰기엔 보안상 좀 취약했고 128bit 로 쓰자니 수출 규제 때문에 사용할 수 없어서 SEED 라는 새로운 암호화 방식을 개발해낸 것이죠...

뭐 다들 너무 앞서나가서 이런 문제가 생겼다라고들 얘기하던데 -_- 하튼 이번 일을 계기로 좀 나아지는 모습이 보였으면 좋겠습니다.

----
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

jshin의 이미지

너무 앞서 나가서 그런 문제가 생긴 측면이 있기는 합니다. 대부분의 나라보다 '개인 인증서' 제도를 광범위하게 빨리 도입했으니까요. 다만, 그 과정에서 플랫폼 중립적인 해법에 대한 고민이 부족했고 (우리보다 인증서 보급 및 사용면에서 뒤처진 다른 곳에서는 플랫폼 중립적인 방법에 대한 많은 고민을 했고, 하고 있는데 반해서), 플랫폼/브라우저 중립성에서 가장 좋지 않지만, 손쉬운 방법인 ActiveX를 썼다는데 문제가 있지요. (물론, netscape plugin도 같이 개발하기는 했지만, 곧 '잊혀졌고요'). 처음 시작은 그렇게 했더라도 플랫폼/브라우저 중립적인 방법을 곧 도입했어야 했는데, 말 같지도 않은 '개인 방화벽, 안티-바이러스, 키보드 해킹 방지 솔루션이 없다'는 이유로 이미 적어도 1-2년 전에 개발된 그런 방법들(예를 들어, Java applet을 쓰는 방법)의 도입이 '보류'되고 있다니, 울화가 치밀지요.

한편, 웹 브라우저를 통한 전자 서명과 이를 뒷받침할 인증서 발급/관리(예를 들어, 키 쌍 생성, CA에게 전송할 인증서 서명 요구 작성, CA가 발급해 준 인증서를 브라우저의 DB에 저장 등)를 위한 통일된 API의 부재 (netscape/gecko 계열과 MS IE에 있기는 하지만, 둘은 판이하게 다릅니다)와 그에 따른 상호 운용성 문제는 한국 내에서 뿐 아니라 전 세계적으로도 하루 속히 해결해야겠지요. 아래 슬라이드 파일의 14쪽을 보십시오. 발표자인 Anders Rundgren는 'Web Signing' 표준 확립을 위해 이곳 저곳에서 노력을 하는 것 같은데, 아직까지 별 '반향'이 없는 듯 합니다.

http://middleware.internet2.edu/pki06/proceedings/rundgren-websigning.ppt

권순선의 이미지

더큰 문제는... 일반 사용자들이 현재의 방식에 익숙해져 있다는 것이 아닐까요...

인터넷 뱅킹을 할 때 원체 '개인 방화벽, 안티-바이러스, 키보드 해킹 방지 솔루션'을 매번 보아 왔던지라 이게 없으면 왠지 허전한 듯한 느낌이 들 것 같거든요. 돈이 왔다갔다 하는 것인데 이런 것들이 떠 주면 아... 이런 프로그램들이 있어서 안전하게 보호해 주겠구나... 하는 막연한 정서적 안정감을 기술적인 장점이 극복한다는 것은 불가능할 테니까요.

일반 사용자들에게 그러한 프로그램들이 없이 표준 암호화 방식으로도 거래하는데 보안상 문제가 없다는 인식을 심어주는 것도 커다란 숙제일듯 합니다. 어떤 면에선 가장 어려운 숙제가 아닐까요.

jshin의 이미지

그 정서적 안정감이 실질적으로 'false sense of security' (류창우님 번역은 '가짜 보안'; '보안 의제')를 주는데도 불구하고요? 그 벽을 깨야겠지요. 물론, 보안 효과가 전혀 없다고 (negative일 가능성도 배제하지 않습니다) 하지는 않겠습니다. 그렇지만, 현재 배포 방식은 잘못 되었습니다. Softforum에서 만든 것을 쓰는 우리 은행은 접속할 때마다 '키보드 보안 프로그램 설치를 위해서는 Admin 계정으로 로그인해서 사용하세요'라고 귀찮게 합니다. 대부분의 Windows 2k/XP 사용자가 Win 2k/XP를 Windows 9x/ME처럼 사용하는 현실에서 이것은 별 문제가 안 된다고 할지도 모릅니다. 하지만, 그런 식으로 사용하지 말도록 '교육'시킬 생각은 하지 않고, 오히려 그것을 조장하는 현재의 '이른바 보안 ...' 배포 방식은 시급히 고쳐져야 합니다. 그런 것은 옆에 링크를 따로 두어서 - 평소에 욕을 많이 하지만, 필요하다면 귀찮게 팝업 창이라도 띄워서 - '다음과 같은 소프트웨어를 다운로드해서 Admin 계정으로 설치하십시오. 설치 후에는 꼭 일반 사용자 계정으로 사용하십시오'라는 안내문과 함께 - 설치하도록 하면 되지, 왜 그것을 '한 묶음'으로 설치를 해야 하는지 저는 잘 모르겠습니다.

또, 그런 정서적 안정감을 선택하느냐 자신이 원하는 브라우저/OS를 선택하느냐는 최종 사용자의 몫이지 국정원/금결원/금감원 등에서 강제할 일이 아닙니다. 더욱이 그런 것이 개발되어 있지 "않다"(??)는 이유로 Java applet 혹은 xpcom으로 이미 개발되어 있는 방법이 있음에도 불구하고 그 배포를 가로막는 (정부와 오픈 소스 공동체 사이에 '끼인' 누군가의 표현을 빌자면 '발목을 잡는') 건 말도 안 됩니다.

게다가 현재 신한 은행에서 쓰는 맥용 java stand-alone client는 왜 또 허용해 주었을까요? 제가 아는 한 '이른바 보안 ...'가 같이 오지 않음에도 불구하고요.

끝으로 하나 덧붙이자면, 진정으로 그런 정서적 안정감이 대다수 사용자(주로 '브라우저 = MS IE'인 사용자)에게 필요하다면, 그런 '안정감'을 계속 줄 수도 있습니다. MS IE에서는 계속 ActiveX를 쓰고 다른 플랫폼/브라우저에서는 다른 방법을 쓰면 됩니다.

하나 더: 개인 방화벽이니 바이러스 방지 ... 어쩌고를 모든 금융 기관에서 강제로 설치하기 시작한 것이 그렇게 오래 되었나요?

또하나 더: '표준 암호화 방식'이 공인 인증서로 개별 거래에 대해 서명을 하지 않고 ('부인 방지' 기능 없이) 그냥 현재 대부분 브라우저에서 지원하는 SSL/TLS를 쓰는 것을 가리키나요? 그것은 좀 후퇴인 것 같은데요. 물론, HSBC에서 얼마 전까지 쓴 그 방법도 얼마 전 밝혀진 바와 같이 '전자 금융 거래' 관련 법규에서 허용하는 방식이기는 합니다만 ...(사용자의 지식 - 암호 -에 의존한 인증 방법)