'SEED'와 'ARIA'하면 무엇이 생각납니까? 그 말도 많고 탈도 많은 '돈벌이용 실패작 건담'과 Round Table의 노래만 좋은 백합 성향 학원 애니메이션이 생각난다구요? 뭐 그것을 떠올리는 것도 무리는 아닙니다만, 여기서는 그 SEED와 ARIA를 찾는 것은 아닙니다. 우리나라의 인터넷 보안을 책임지는 한국정보보호센터(KISA)와 국가정보원이 손을 잡고 국내 곳곳에 퍼트리고자 하는 네트워크 보안 규격 이야기입니다. 우연인지 필연인지 모르겠지만 그 이름 한 번 오묘하기 그지 없습니다.^^

그런데 이렇게 이름이 참으로 끝내주는 두 기술이 뭐가 문제냐구요?  '끝내리시드' 소리까지 들어가며 반다이 배를 불려준 동인녀용 건담과 백합 성향(?) 학원물 이름과 같다고 시비를 거는 것은 아닙니다. 다름아닌 두 곳이 손을 잡고 SEED와 ARIA를 우리나라 곳곳에 퍼트리기로 합의를 했다는 데 있습니다. 그 자체야 나쁠 것이 없습니다만, SEED와 ARIA가 갖고 있는 '어떤' 문제 때문에 잘못하면 우리나라의 인터넷 세상이 통째로 누군가의 손아귀에 떨어지는 상황이 벌어질 수도 있습니다.

 KISA와 국가정보원의 합의를 조금 왜곡해서 이야기하면 이렇게 됩니다. 
 

도대체 무슨 소리냐구요? SEED와 ARIA는 만든 곳과 그 규격은 조금씩 다르지만 웹 브라우저와 서버가 주고 받는 데이터를 암호화하는 규격입니다. SEED가 민간 규격이자 국제 규격이며, ARIA는 정부 주도의 KS 규격이라는 점만 다를 뿐입니다. 그런데 이것과 ActiveX가 무슨 상관이 있냐구요? 상관이 있으니까 이야기를 꺼내겠죠.
 

빌형기업이 만든 IE의 정보를 보면 '암호화 수준'이 나옵니다. 이 암호화가 무엇인고 하니... 은행 계좌번호나 비밀번호 같은 중요한 정보는 그냥 보내면 해커나 크래커가 패킷을 가로채 쉽게 이 정보를 알아낼 수 있습니다. 그런 문제를 막기 위해 이런 정보는 가로채더라도 쉽게 알 수 없도록 변형을 시키고, 특정 암호를 넣어야만 풀 수 있도록 하여 주고 받습니다. 그 암호의 길이와 복잡함에 따라서 40비트, 128비트, 256비트 규격같은 것이 있습니다. 128비트라면 16진수로는 32자, 일반 알파벳이나 숫자로는 16글자입니다. 이 정도면 단순 무식한 대입 방법(Brute Force)로는 엄청난 시간이 걸립니다.

암호화 수준이 커지면 그만큼 기본적인 보안 능력은 좋아집니다. 하지만 이러한 보안 기술은 국가 안보와도 관련이 있기에 컴퓨터와 인터넷 암호화를 시작한 미국에서 그 기술을 미국 이외의 나라에서 쓰지 못하도록 했습니다. 지금은 그런 것이 없지만, 미국에서는 128비트 암호화를 쓸 때 우리나라는 40비트같은 낡은 암호화 웹 기술만을 써야 했습니다.

하지만 약한 암호화는 해킹 위험성이 크기에 우리나라에서 인터넷 뱅킹을 만드는 시점에서 나름대로 고민을 할 수 밖에 없었습니다. 그래서 내린 결론은 '외국의 간섭이 없는 우리나라만의 128비트 암호화 규격을 만들자'였으며, 그 결과 1998년에 SEED가 태어났습니다.(ARIA는 그 이후 나온 규격입니다.)

문제는 SEED 암호화 규격은 웹 브라우저에 들어간 기본 기능이 아니라는 데 있습니다. 기본 기능이 아닌 것을 쓰게 하려면 따로 프로그램이 필요한 것은 당연한 법. SEED 지원은 별도 프로그램이나 IE의 플러그인인 ActiveX 컨트롤 형태로 들어가게 되었습니다. 안 되는 것을 되게 하려고 노력한 KISA나 업계의 노력인 SEED는 적어도 이 시점에서는 그렇게 잘못된 것은 아니었으며, SEED 자체가 태어나지 말았어야 한다는 주장은 어디까지나 결과론에 불과한 이야기입니다. 18禁.net 주인장 역시 역시 SEED가 태어나지 말았어야 한다는 막나가는 주장은 하지 않습니다. 당시에는 필요했던 기술이고 어쩔 수 없이 ActiveX를 선택한 것도 이해합니다. 당시에는 그럴 수 밖에 없었습니다.

문제는 세상이 바뀌면 SEED 자체도 달라져야 했음에도 전혀 그런 변화를 주지 못했다는 점입니다. 일부러 주지 않았다라는 말이 더 맞을지도 모르겠습니다. 미국이 128비트 암호화 규격을 수출 금지 품목에서 빼면서 이제 우리나라에서도 검증된 128비트 암호화를 쓸 수 있게 되었습니다. SEED 자체가 미국의 128비트 암호화 금수 조치에 따른 반동 성격이 강했기에 이 시점에서 KISA나 정부, 업계는 SEED의 미래에 대해 진지하게 생각할 필요가 있었습니다. 정상적인 상황이었다면 SEED는 그 역할을 다하고 역사의 뒤안길로 사라지거나, 아니면 정부가 빌형기업이나 다른 웹 브라우저 개발사에 SEED 기본 내장이 이뤄질 수 있도록 노력을 다 해야 했을 것입니다. 하지만 결과는'그냥 방치'에 불과했습니다. SEED는 업계 표준이라는 메리트와 정부의 보호 아래 더 널리 퍼져 우리나라 인터넷 금융의 기본이 되었습니다만 SEED는 여전히 웹 브라우저 세상에서는 주변인에 머물렀습니다. 나중에 OpenSSL이나 FireFox에 SEED가 들어가기는 했습니다만, 여전히 IE에서 SEED는 ActiveX같은 외부 플러그인 형태로나 쓸 수 있는 이방인일 뿐입니다. 아직 나오지도 않은 IE8 역시 SEED나 ARIA는 들어가지 않습니다.

이 문제는 꽤 심각한데, SEED나 ARIA를 쓰려면 누군가가 관련 플러그인이나 프로그램을 만들어주기를 기다려야만 합니다. 이런 플러그인과 프로그램이 없는 운영체제 및 웹 브라우저/네트워크 어플리케이션은 SEED/ARIA를 전혀 쓸 수 없습니다. 현재로서는 SEED/ARIA 지원이 철저히 ActiveX 중심으로 이뤄져 있기에 ActiveX를 쓸 수 없는 FireFox나 다른 대부분의 웹 브라우저를 쓰면서 인터넷 뱅킹/기타 보안 작업을 하는 것은 사실상 불가능합니다.

물론 '돈이 된다면' 특정 업체가 서드 파티 웹 브라우저나 Linux 등 다른 운영체제용으로 SEED/ARIA 플러그인을 만들어 줄지도 모릅니다. 하지만 국내 기업들은 '돈이 안 된다'는 이유로서 이런 작업에 소홀하며, 정부기관 역시 이 부분에 손을 놓고 있습니다. '이론적으로 다른 웹 브라우저 및 운영체제에서도 작동하니 문제가 없다'는 말만 되새김질할 뿐입니다. 이론적으로 안 될 것이야 없겠죠. 하지만 '업계 자율'이라는 핑계로 사실상 '안 되도록' 방치하고 있다는 책임에서는 자유롭지 못할 것입니다. 정부는 업계가 하지 않는 것을 해줘야 하는 공공재 공급자로서의 사명이 있음에도 그것을 의도적으로 무시하고 있는 셈입니다.

그 때문에 KISA와 국정원이 SEED와 ARIA 보급에 적극적으로 나서겠다는 뜻은 '사실상 Windows 및 IE 독점화에 기여하겠음'을 의미합니다. 직접 타 운영체제와 웹 브라우저용 SEED/ARIA 플러그인을 만들어 줄 생각도 없고 업체들에게 개발을 장려할 것도 아니면서 말만은 우리나라의 보안을 확실히 책임져 주는 것인 양 있는 폼을 다 잡습니다. 인터넷 통제와 국가보안법을 아무렇게나 적용하려는 마음에 모든 영양분과 노력을 빼앗기다보니 이런 폼 안 나는 일은 하지 않는 모양입니다. 국가정보원의 전신인 안기부 시절에도 '음지에서 일하고'라는 모토가 있었는데 이제 양지로 나온 국가정보원은 음지에서 해야 할 궃은 일은 하기 싫은가 봅니다.

물론 SEED나 ARIA만 어떻게 한다고 우리나라의 인터넷 뱅킹이 편해지는 것은 아닙니다. SEED/ARIA는 보안의 기본인 암호화만 담당하지, 인터넷 뱅킹의 전부는 아닙니다. 국가정보원이 정한 인터넷뱅킹 보안 규격에는 '오픈 소스가 아닌' 키보드 해킹 방지 툴과 방화벽, 그리고 바이러스 백신이 필요합니다. 이런 것은 빌형기업 Windows에서나 필요한 것이지 바이러스 걱정이 거의 없는 Linux나 OS/2, MacOS에서 생각할 것이 아님에도 강제화한 결과 'Windows 아니면 꺼져' 상황을 만들어 버렸습니다. 더군다나 공인 인증서 역시 Windows 전용이며, 법원마저도 이것이 불공정거래가 아니라고 해버린 만큼 국가정보원이나 방송통신위원회의 생각이 바뀌지 않는 한 우리나라는 '빌형기업이 ActiveX의 목을 쥐고 흔드는 것에 벌벌 떠는' 상황이 이어질 것입니다.

이런 상황 개선의 의지를 전혀 담지 않고 있는KISA와 국정원의 SEED와 ARIA 보급 합의를 보며 별 능력도 없으면서 온 세상에 자기 하나만 잘났다고 주장하는 '찌질이' 신 아스카가 떠오르는 이유는 뭘까요? 겉보기에는 폼은 다 재고 자랑은 다 하면서 점차 수렁으로 밀어 넣는 무능한 존재... IE 의존이라는 구덩이로 우리나라 인터넷 환경을 더 밀어 넣으려고 하는 두 조직의 합의를 이렇게 보는 것이 너무 SEED같은 발상인가요? 차라리 그 문제의 건담 말기처럼 '끝내리 SEED' 운동이라도 펼쳐야 하는 것일까요? 이런 사태가 벌어지지 않도록 다른 부분에도 조금 신경을 써줬으면 하는 바램입니다.

추신: SEED와 ARIA의 이름으로 말장난을 조금 쳤습니다만, 이들은 실제로 무개념 건담, 그리고 백합 학교와 관련이 없습니다.^^

SEED: KISA가 개발한 TTA(정보통신 단체 표준) 128비트 암호 규격. 국제 표준 규격이기도 함.
ARIA: 기술표준원이 만든 KS(국가 표준) 128비트 암호 규격. 64비트 프로세서에 최적화된 암호화 규격.