본문 바로가기

Technical/Softwares

한국인은 MS 익스플로러(Explorer)에 집착하는 것이 아니다, 단지 노예가 된 것일 뿐

 

 

 

한국인과 MS 익스프로러(Explorer). 지난 2013년 11월 초, 워싱턴포스트(washingtonpost.com), 지디넷(zdnet.com) 에 비슷한 기사들이 올라왔었다. "한국에서는 법적으로 인터넷 익스플로러(Internet Explorer, MS의 웹브라우저, 이하 '익스플로러')를 사용하게 되어 있다" 라는 의미의 기사들이다.

 

댓글들을 보면 이를 조롱하거나 이상하게 생각하는 글들이 상당수 달려 있다.

 

 

YTN, KBS 등의 국내 언론들도 관련 기사들을 게재했었는데, 거의 번역 수준의 요약 기사 수준이다. 그나마 <아시아경제>의 기사가 볼 만하다(아시아경제 링크 ☞참조).

 

결국 초고속인터넷 소비 시장을 주도하는 디지털 강국이라고 하는 한국이 사실은, 정작 중요한 보안기술의 표준화에 있어서는 시대에 뒤쳐진 것이라는 얘기이다. 또 부끄럽게도 우리가 가진 문제를 해외의 언론들이 들추어 내 준 꼴이다. 비단 이런 문제에만 국한된 것이 아닐지도 모르지만...

 

도대체 왜, 우리는 익스플로러의 '빠' 가 되었는가?

 

제대로 된 공청회나 공정한 기술 경쟁을 통해서 아니다. 단순하게 '대다수의 국민이 쓰니까, 특정 업체를 기준으로 일단 개발하자' 고 정부에서 밀어 붙인 결과다. 향후의 확장성이나 해외에서도 통용이 가능한 국제표준 방식이 아닌, 오직 국내용으로만 개발하고는, 의무사용을 강제한 결과인 것이라는데 문제가 있는 것이다.

 

이 부분이 얼마나 전자서명법(1999년 2월 제정, 2010년 2월 마지막 개정, 링크 ☞참조)의 야심찬 제정 원칙을 거스르고 있는지는 좀 더 깊이 들여다 볼 필요가 있다(korea.gnu.org 링크 ☞참조). 또 한국의 소프트웨어 산업에 얼마나 해악이 되고 있는지 역시도 말이다. 개발과 구현 당시의 여러 전문가들의 우려가 이미 현실로 드러나고 있다.

 

과거를 되돌아 보고, 현재를 보자

 

세계의 인터넷 기술을 주도하다시피 한 미국은 90년대부터 보안제품 수출 정책을 까다롭게 시행해 왔다. 당시 미국에서 해외로 수출(또는 배포)되는 웹 브라우저의 보안(안호화) 수준을 40비트로 제한[각주:1]하고 있었다(2000년까지). 2001전자정부관련법의 시행에 맞추어, 1999년에 한국정보보호진흥원(한국인터넷진흥원의 전신)은 국가정보원 주도하에 40비트의 제한(쉽게, 비트 수가 작을 수록 쉽게 뚫린다[각주:2]) 문제를 해결하기 위해 128비트 암호화 엔진을 독자 개발한다. 이 프로젝트의 알고리즘 이름이 바로 SEED.

 

 

문제는 이 과정에서 이상한 의사결정이 내려진다는 것. MS의 기본 웹브라우저인 IE에서 동작하는 ActiveX 기술만을 대상으로 SEED 알고리즘을 개발하고 이를 사용하도록 독려하는데서 부터 지금의 문제점이 생겨났다. 시장점유율이 절대적으로 높다는 아주 단순한 이유브라우저/OS에 의존하지 않게 하려면 비용과 관리가 어렵다는 졸렬한 이유로.

 

사실은, 위의 표면상의 결과적인 이유보다도 설계와 개발 그리고 표준화에 관한 넓은 성찰이 없는 접근법이 더 문제였다. 개발 당시에 웹 브라우저는 고려하지도 않은 단독 프로그램 형태로 개발된 것이어서 이를 가져다 쓰려면 ActiveX와 같은 불러쓰기 방식의 모듈배포를 할 수 밖에 없다는 것과 이미 공개적으로 널리 사용되던 TLS/SSL 같은 표준 라이브러리와도 전혀 무관한, 근시안적인 접근이 문제[각주:3]라는 것.

 

결국, 내부 구조를 잘 보여 주지 않는 특징을 지닌 Windows 운영체제와 익스플로러 사이에 공존하면서, 잘 동작하는 암호관련 프로그램이 아주 시급하게 필요하게 된, 시대 상황의 결과물이었다[각주:4]고 생각된다(이후에 KISA ,즉 정보보호진흥원에서는 'ARIA'라는 자체 암호 알고리즘을 개발하여 공식적인 국가표준 암호알고리즘으로 널리 사용되고 있다. 대한민국 개발자 파이팅!).


설상가상으로, MS는 소위 '끼워팔기'라는 반독점 논란에도 불구하고, 오히려 Windows OS의 탐색기와 웹 브라우저를 OS차원에서 통합(이건 시장 독점을 위한 탐욕적 의도와 특정인의 아집)하는 강수를 둔다. 자기 발목을 스스로 잡는 줄도 모른 체[각주:5] 말이다.

 

그로부터 현재까지 10여 년, 결국 대표적인 사이트들의 <온라인결제시스템 = MS 익스플로러 + ActiveX> 라는 기형적인 방식이 일반화되고, 그 이름도 유명한 '공인인증서'의 의무 사용으로 정부 주도하에 고착화가 유도된다. 당연히 대다수 온라인 쇼핑몰, 관공서, 교육기관이 이를 사용할 수 밖에 없게 된 것이다.

 

불편하고 불안해서 죽을 맛인데...


2013년 현재 MS의 익스플로러를 쓸 경우 IE 9, 10을 설치한 기본적 상태에서, Youtube등의 몇 사이트를 제외한 KBS, 연합뉴스, iMBC, 뉴스타파 등의 온라인 뉴스사이트에서는 동영상을 볼 수 없는 상황이고, Mac이나 리눅스(Linux)를 사용하는 사람도 가상머신이나 Wine 같은 방식으로 IE를 써서 전자상거래나 정부기관 사이트를 들어가야 한다.


위의 환경에서 동영상을 보려면, 특별히 보안설정을 꼼꼼히 찾아서 바꾸는 수고를 해야 하는데, 일반인들이 이를 직접 해결하기는 대단히 어려움(플래시 플레이어 호환성과 보안 설정 때문)이 있다.

 

 

비트코인 관련 사이트의 첫 페이지 문구 일부.

앞으로 온라인 사이트들에서 이런 박스를 더 자주 보게 될 것이다.

 

 

결국, 전자상거래, 관공서나 공익, 교육기관 사이트는 MS 익스플로러로, 그외의 일반 사이트는 크롬이나 파이어폭스, 스윙과 같은 개방형 브라우저 또는 대안형 하이브리드 웹브라우저를 사용해야 하는 실정이다.

 

ActiveX는 이미 버린 자식

 

웹브라우저의 중요성을 인식한 MS는 익스플로러 4.0부터 ActiveX 기술을 포함시켰다. 이 기술이 안고 있던 문제점은, 브라우저에 끼워서 Plug-In 방식이 아니라, 외부 프로그램(EXE, OCX)을 호출하는 통로를 제공하는 방식이었기 때문이다.

 

이러한 ActiveX가 가지는 보안상 심각한 허점과 여러가지 문제점은 이미 MS가 인식하고 있었다고 보이며, 2008년경부터는 버린 자식 취급[각주:6](Windows 8이 발표되는 시점에 결국 확인됨)하고 있었다는 사실.

 

악의적 ActiveX로 뚫린 컴퓨터는, 마치 길가에 내어 놓은 공용컴퓨터라고 봐도 될 정도로 취약한 상태가 되는 것이다. 사용자가 아무리 조심해 봐야, ActiveX 설치가 뭔지 모르는 상태에서 부주의하게 OK만 몇 번 누르면 쉽게 침투당하고 컴퓨터에 저장된 모든 정보를 남에게 퍼다주는 경우를 생각해 보면 된다.

 

 

해커의 천국, 중국의 경우도 익스플로러의 시장점유율이 상당히 높다. 중국의 어느 짱께 해커가 한국을 노리고 악성 코드나 바이러스를 국내에 유포하고 있다고 한번 상상(?)해 보자. 이미 당신의 컴퓨터에 침투해 있을지도 모른다.

 

정부에서 꼬인 실타래를 풀고 연구체와 민간업체도 협력해야...

 

전자서명 구현의 초기에, 근시안적 시각으로 짧은 기간내에 구현하기 위해서 한 플랫폼만 바라본 시대적 상황에서의 선택은 인정(하지만 당시 Netscape와 java만으로도 충분히 훌륭한 보안 플랫폼을 만들 수 있었다)한다고 치자.


세월은 흐르고 흘러, 누구 탓인지 따지고 들자면 부질 없는 짓이 되어 버린 상황이다. 중요한 것은 그러한 아둔한 정책의 시행 때문에 지금에 와서는, 본인의 선택에 의해 IE에 불만이 많아 사용하지 않으려는 인구가 점차로 늘어 있는 상황이다.

 

 

결자해지라고 했다. 이제는, 불편한 진실 앞에서 문제를 해결할 새로운 보안프로젝트를 정부 주도하에서 내어 놓아야 한다. 마침 2011년경 부터 올해까지 활발히 이슈가 제기되고, 여러 공청회(8월의 '공인인증서 끝장토론회')등이 열리고 있고, 정부에서도 전자서명법 개정에 관해 고민하고 있다고 한다. 하지만 어떤 합리적이고 적절한 해결책이 나올지는 아직 지켜보아야 한다.

 

국내의 수 많은, 공인인증서 방식의 노예가  되어 버린 사용자와 사이트들을 해방시켜, 글로벌 네트워크 시대에 경쟁력을 갖추도록 반드시 정부 주도하에 문제를 해결하는 노력이 지속되어야 한다. 민간에서도 각 소프트웨어 개발연구소와 기업들이 컨소시엄을 구성해서, 범국가적으로 제대로 된, 확장성과 국제표준을 동시에 고려한 표준 작업에 주도적으로 나서야 하지 않을까 생각해 본다.

 

- Barracuda -

 

  1. 많이 쓰이는 인터넷 익스플로러, 넷스케이프와 같은 웹브라우저가 주 대상이었으며, 자국에서의 보안 수준은 강화하고, 상대적으로 해외의 보안수준은 약하게 하려는 기술 제국주의에 의한 것이라고 생각됨. [본문으로]
  2. 이미 1997년의 컴퓨터 연산 능력 만으로도 3시간 정도면 깨지는 암호 수준. [본문으로]
  3. 설계/구현상의 문제로 당시의 제한적인 상황에서는 ActiveX를 쓸 수 밖에 없었으나, 현재는 FireFox나 Explorer에 SEED 라이브러리가 포함되어 있다. 또 OpenSSL에서도 128비트 SEED를 지원할 정도로 국제 표준으로 등재되어 있을 뿐 아니라, OpenSEED라는 오픈소스 프로젝트로도 존재한다. [본문으로]
  4. 당시에는 MS에서 제공했던 CryptoAPI라는, 소스가 오픈되지 않은 암호 구현 라이브러리만 존재했었다. 구현 초기의 이 라이브러리는, 구조적/기능적으로 제한도 따랐을 것이고 충분한 구현 Sample도 없었으므로, 짧은 시간 안에 운영체제 내에 자연스럽게 녹아드는 시스템 모듈을 개발하기 어려웠다는 제한이 있었으리라고 본다. [본문으로]
  5. 플래시 등 부가 프로그램등과 OS, 익스플로러 간의 호환성문제, 보안 취약성, 성능 저하 문제 등 셀 수 없는 부조화와 골치거리들... [본문으로]
  6. MS가 버린 기술의 가장 대표격은 ActiveX와 SilverLight이다. 앞으로도 더 나오겠지만. [본문으로]