!@#… 사실상의 방명록인 애스크픔에 얼마전에 이런 문답을 나눈 바 있다.
Q. 해외에서는 pc보안을 위해 “뭔가를 깔지마라”고 하고 한국에서는 pc보안을 위해 (특히 은행과 관공서에서) “뭔가를 깔아라”라고 합니다. 왜 이런 차이가 생길까요?
A. 보안책임의 제도적 적용 방식 차이인데, 저는 인감문화와 서명문화의 차이로 설명하곤 합니다. 인증물의 소유를 확인하는게 초점인가, 거래의 과정을 확인하는게 초점인가.
이왕 이렇게 말을 살짝 꺼낸 김에, 이 비유에 관하여 약간만 더 자세히.
!@#… 새로운 기술로 기존 기능을 채워나가는 것에는, 레토릭이 필요하다. UI 디자인에서는 스큐모피즘이 그런 대표적인 사례로, ‘책상’의 비유를 이어간 화면 속 ‘데스크탑’ 등이 쉽게 떠오르는 것들이다. 하지만 레토릭은, 기능의 적용 자체에서도 적용된다. 그것이 바로 온라인 거래의 모습들을 이해하는 중요한 키가 아닐까 한다.
단적으로, 모든 거래증명에서 중요한 것은 결국 하나다. 기록된 거래 조건을, 당사자 본인이 체결했음을 확실히 하는 것 말이다. 기록에 본인 증거를 남기는 방식으로, 크게 두 가지 기법이 갈라지는 것이 바로 인감과 서명이다.
우선, 인감문화가 있다. 이것은 옥새든 막도장이든 인감이라는 증명물의 진품 검증이 가장 중요한 신뢰이며, 인감증명서라는 양식을 수반한다. 그리고 다들 알고 있듯, 한국에서 대단히 주류적인 증명방식이다. 한국에서 일찌감치 시작한 폭넓은 온라인 금융에서는 인감을 적용했는데, 그것이 바로 공인인증서다. 이것은 뭐 대놓고 인감의 레토릭을 온라인에 이식한 것이다(아무래도 초기에는 그런 식의 연속적 계승이 지금보다도 훨씬 그럴싸해 보였을 것이다). 오로지 본인만 소유하는 고유의 금융거래 도장을 본인의 컴퓨터에 간직한다. 그리고 자신이 그것을 소유하고 있음을 잘 인식, 한마디로 ‘잘 간수해야’ 할 의무가 부여된다. 누가 도장을 훔쳐서 그걸로 도둑질하면, 간수 못한 당사자 책임이 크다. 그러니 인감을 간수하기 위한 보호절차 역시 내 담장 안에 설치하는 것이다. 키보드 해킹방지든 뭐든, 다 내 컴에 넣는게 인감 레토릭의 자연스러운 논리다.
반면, 서명문화는 살짝 다르다. 서구권에서라면, 밀랍 인장을 찍던 시대가 지난 뒤로는 이쪽이 대체로 주류적이다. 서명 문화는 필체 대조라는 꽤 난이도 있는 작업을 매번 거친다기보다는(물론 증언이 명백하게 엇갈리며 위조거래가 심각하게 의심되면 결국 하지만), 서명에 이른 과정에 대한 목격과 기록으로 특화되어왔다. 조약 인준식 – 한마디로 서명하는 모습을 목격하게 하는 것 – 이라는 제의식(ritual)이 중시되는 모습을 상기해보라. 본인이 어떤 증명물을 소유하고 있는 것이 아니라 과정을 목격한 시스템이 증명물이며, 기록된 과정의 패턴에서 위화감이 탐지되면 그 때 움직인다.
서명문화의 레토릭을 온라인 거래에 이식하면 어떨까. 우선, 문제의 사후 탐지로 바로잡을 수 없는 식의 거래는 애초에 열어놓지 않기에, 개개인간 타행입금 같은 것은 대상이 아니다. 개인이 자기 컴에 어떤 증명서를 간직할 이유가 없으며(보안쉘을 위한 퍼블릭키 발급 같은 기술적 층위는 논외로 함), 거래가 위조 같은 오류 없이 깨끗하게 이뤄지도록 하는 책임은 거래를 성사시키고자 하는 쪽의 몫이다. 즉 아마존 같은 쇼핑몰, 페이팔 같은 결제대행서비스가 자기들 쪽에서 거래 기록을 안전하고 깔끔하게 정비하여 보안성을 최대화하는 서버-사이드 보안이 자연스러운 논리인 것이다. 이들은 자기측 서버가 해킹당하는 것 방지를 위해 큰 투자를 하며, 동시에 사용자는 최대한 간단한 암호인증만으로 거래에 뛰어들어올 수 있도록 사업성을 극대화한다.
인감 문화에서 발달한 한국식 온라인금융의 장단점은 뭐 다시 열거하기도 피곤하다. 장점은, 도장이 내게 있으니 그 도장을 휘두르는 내 책임하에 뭐든지 다 할 수 있다는 것. 그리고 온라인은 워낙 익명성이 쉽다 보니, 소유와 암호라는 두 가지가 합쳐져 작동하는 공인인증서라는 도장이 보장하는 본인 증명 효과가 꽤 강력하다. 단점은, 도장을 보호하겠다고 내 컴이 온갖 이상한 것 깔려다가 보안수준도 낮추고 보안 프로그램들이 서로 충돌하고 뭐 엉망이 된다는 것. 그리고 도장의 확인 과정을 점점 더 안전하게 하는 발전이란 곧 매번 거치는 거래 절차 자체가 점점 더 복잡해지는 것이라는 점. 덜 귀찮고 싶어하는 미디어 사용자 흐름과 정면으로 배치된다.
물론 서명 문화에서 발달한 미국식 온라인금융은 또 그 나름의 장단점이 있다. 단점은, 개인간 타행입금처럼 제도적으로 안전장치가 미리 마련된 것이 아닌 거래방식은 아예 시작도 못하고, 해서도 안된다는 것. 그리고 서버는 해킹하기 어려우니 그 대신 당신 컴을 해킹하거나 소셜 계정들을 돌려돌려 뒤지며 암호를 알아내든, 당신이 식당에서 신용카드를 내밀 때 일련번호를 배껴놓든, 어떻게든 정상적인 거래를 하는 것처럼 보이도록 과정을 위조할 수 있다. 그러면 사후 조치가 될 때까지는 우선 엿먹고 있어야 한다는 것. 하지만 장점은, 사용자가 더 편한 쪽으로 기술과 제도를 발전시킨다는 것이다.
!@#…원래는 두 문화에서 발달한 장점들을 융화시키는 것의 중요성, 특히 한국 현실에서 인감이라는 사용 문화를 무시하지 못함에 대한 직시 등을 말하려고 꺼낸 이야기였는데… 마지막으로 언급한 서명 레토릭 쪽의 장점이 너무 종결자급으로 강력하다. 역시 뜯어고치자.
(2014.2.8.추가)
PS. 트위터 등지에서 얻은 반응 몇가지 기반, 약간 보론:
– 어디까지나 이런 방식이 납득을 얻고 정착한 패턴 차이를 이해하기 위한 비유지, 문화결정론이 아님(인감문화가 있으나 온라인 결제 시작점 당시의 기술과 제도 같은 여러 다른 요소들로 인해 다른 길을 간 일본, 중국 등을 생각하면). 반드시 전략적으로 설계하는 것도 물론 아니고(TV가 초기에 ‘보는 라디오’였던 것도 딱히 전략이라기보다 그게 당대 서유럽, 미국 등지에서 가장 당연하다고 받아들여졌기 때문이듯).
– Copyleft 2014 by capcold. 이동/수정/영리 자유 –
[이 공간은 매우 마이너한 관계로, 여러분이 추천을 뿌리지 않으시면 딱 여러분만 읽게됩니다]
정말 공감가는 내용이네요.
대한민국의 인감문화가 뿌리뽑아서 태어난 게 공인인증서가 맞습니다.
하지만 그게 액티브엑스가 아닌 다른 기술로 대체할 수 있다 해도.
그것을 절대로 도입하지 않을 겁니다. 최소한 이 기술로 돈을 버는 그들은 말이죠.
액티브엑스는 석탄같은 존재입니다. 대기 질이 나빠져도 캐기 쉽고 쓰기도 쉬우니까요.
그리고 액티브엑스는 클라이언트 PC에 설치하는 만큼 책임 전가가 고객들에게 떠넘기기 쉽습니다. 털리면 개인 책임이고 서버는 책임질 필요가 없죠.
개인정보가 아무리 털려도 털린 피해자들이 일체 피해보상 한번 받지도 못하는 이유입니다.