名無し

한국마이크로소프트 김국현 부장의 공인인증체제, 우리에게 임박한 미래로부터의 리스크라는 글을 풀어서 써봤다. 내용이나 취지에는 십분 공감하는데, 다시 읽어보니 이거 앞뒤 문장의 뜻을 잇는 것도 벅차다. 대강 읽고 대강대강 납득해버린 내 머리에 이럴때만 경의를 표하고 싶다 -_-;;

아 물론 남의 글을 멋대로 손대면 안된다는 것은 잘 알고 있지만.. 원 글이 좀 해도해도 너무하더라고. 이런 글은 한명이라도 더 많이 읽혀야 하지 않겠어?

김국현(IT평론가)

웹에서의 금융결제 및 공인인증체제의 잠재적인 문제점, 또는 당면한 문제점과 그 개혁안에 대해서는 이미 많은 경로와 기회를 통해 이야기해 왔다. 그렇지만 2008년 여름 현재 아무 것도 바뀌지 않았다.

아마 어떠한 변화가 닥쳐 와도 현재 상태의 유지를 위한 범국가적인 기술 조정(tweaking)이 시도될 것이다. 체제의 관성이란 그런 것이다.

지금까지 금융권과 공공 분야 IT 인사들이 하나 같이 귀띔해준 것은, "보안에 관해서는 이야기를 꺼내지 말고 있는 그대로 받아 들이는 것이 상책"이라는 것이었다. 그도 그럴 것이 한 두사람이, 그리고 한 두개의 프로젝트가 바꿀 수 있는 규모란 뻔하기 때문이다. 괜히 나서서 입바른 소리했다가 통째로 책임지느니 그냥 묻어 가는 편이 속 편하다고 느끼기 마련이다.

게다가 상대는 법과 제도다. 기술 독과점 체제에서는 대형 사고가 터지지 않는다면 복지부동이 답이다. 합리적인 사정이다. 그러나 늘 그렇듯이 사회적 비용이란 뚜렷이 문제가 되지 않는 것처럼 보이던 것들이 하나씩 쌓이면서 발생한다.

현 체제의 근본적인 문제는 원칙도 없고 질서도 없으며 제멋대로인 체제가 국제적인 비준도 얻지 못한 채, 인터넷과 웹이라는 전세계적인 공간에 함부로 구조적 확장을 감행하여 스스로 필수 요소가 되려고 하는 것이다.

단기적인 해결책으로 금융이나 공공기관 사이트의 "불필요한" 추가요소들을 Java나 Silverlight 등의 비교적 플랫폼 독립적인 기술로 재개발하여 빼내면 되겠다고 생각할 수도 있지만, 이는 해법이 아닌 또 다른 미봉책일 뿐이다. 다른 나라는 굳이 하지 않는 일을 우리가 특별히 해야만 하는 이유가 있지 않다면 말이다. 정말 공인인증서란 것이 필요했었는지 스스로 회의를 품어보는 것이 더 본질적인 해법이다.

금융기관과 공공기관 웹 사이트를 실제로 통제하고 있는 국내의 공인 인증 체제는 기술적으로 반드시 필요해서 만들어진 것은 아니다. 다만 최근 몇 년동안 복잡하게 얽힌 상황이 우연히 정책으로 굳어진 것일 뿐이다. 그런데 왜 어째서 모두 이를 받아들이고 존속시키고 있는 것일까?

현재의 공인인증체제가 수행하고 있다고 보이는 일은 크게 두가지다.

1) '독자적인' 통신 암호화를 위한 인증서(비밀키) 기능

2) 거래 증빙 및 위조 방지, 부인 방지를 위한 전자서명 기능

수 차례 강조했듯이 첫 번째는 브라우저의 기본 기능으로 갈음할 수 있다. 오히려 현 체제보다 훨씬 많은 사람들이 훨씬 많은 시간을 들여 개발하였고 전세계적으로 검증되고 있는 제품이 바로 브라우저의 보안기능이다.

두 번째 사항은 금융거래 또는 공공기관 민원 제출시 해당 기관에 인증서를 제출하는 기능이다. 이는 현존하는 브라우저만으로는 불가능한데, 이것이 브라우저 내장 기능에 들어가 있지 않은 이유는 이렇게 사용자에게 불리한 일을 강요하는 국가가 대한민국 이외에는 없기 때문이다.

쉽게 말해서 문제가 생겼을 때 "내가 틀림 없이 이 거래를 했음"을 내가 해당 기관에 자진 신고하는 일인데, 이 얼개는 결코 '나'를 위한 것이 아니라 '시스템에는 책임이 없음'을 확실히 하기 위한 것일 뿐이다. 온라인 거래마다 '나'의 존재를 저당 잡히게 하는 의아한 제도인데, 덕분에 30만원짜리 쇼핑을 할 때마다 인감도장을 찍어야 한다는 넌센스가 그대로 남아있는 셈이다.

또한 이 제도가 반드시 존재해야 하는가에 대한 의문뿐만 아니라, 적용 효과에 있어서도 의문이 끊이지 않는다. 우리가 흔히 생각하고 있는 것과 달리 이 공인인증서는 그 자체로 실질 경제 주체인 '오프라인에서의 나'와 '온라인의 나' 사이를 직접 이어주지는 않아서, 비록 초기 발급 시에는 대면 검사를 필요로 한다고 하더라도, 발급 후에는 어떠한 현실 주체의 개입도 없이 사용되고 있다. 심지어 인증서 분실시의 재발급 절차는 굳이 본인이 아니더라도 계좌번호와 주민번호와 보안카드와 은행사이트에 등록된 ID만 있으면 온라인으로도 바로 신청이 가능하다.

그렇다면 그냥 이러한 정보들의 조합으로 인증해 주면 되는 것을 공인인증서라는 파일을 별도 생성하고 이를 마치 대단한 정보인양 우리에게 맡겨 놓는다. 사실 우리는 이미 같은 목적으로 '주민등록번호'라는 것을 지문날인까지 하며 부여 받은 바 있다.

점입가경인 것은 이렇게 쉽게 재발행된 인증서로 관공서 사이트에 갔더니 비밀번호는 커녕 주민번호만 넣으면 로그인과 계정 연결이 가능했다는 것이다. 일반인에게는 귀찮고 복잡한 미로를 만들고 그 곳이 안전하다고 착각하게끔 한다. 우리는 공인인증이라는 복잡 다단한 퍼즐 게임을 해왔음에 불과하다.

공인인증서가 무의미하고 또 사용자에게 불리함은 이렇듯 간단한 체험만으로 증명이 가능하다. 한국의 공인인증서는 이미 그 자체로도 충분한 브라우저와 운영체제(OS)의 보안 체계를 대체하려는 무모한 시도일 뿐이다. 이것은 보안을 강화하지도 않을 뿐만 아니라, 위와 같은 허점 때문에 현실의 나를 공히 대변하지도 못한다.

여기에 사용자의 온라인에서 행하는 모든 행위마다 그 사람이 "실제로" 한 거래라고 자동으로 추정하는 일은 기관의 편의를 위한 것이지 사용자는 아무런 혜택도 받지 못한다. 사용자가 이 체제로부터 얻는 것은 귀찮음이고 잃는 것은 시민으로서의 자유의지다. ‘공인’된 인감 도장을 모든 거래에 한 번씩 찍게 하는 기록형 통제 사회. 이 체제에 의미가 있다면 이러한 상징뿐이다.
(주: 법률용어로 '추정'은 확실하지 않은 사실을 그 반대 증거가 제시될 때까지 진실한 것으로 인정하여 법적 효과를 발생시키는 일)

우리에게 인증서와 같은 별도 서류를 소지하게 하는 이유는 이중요소인증(two factor authentication)에 대한 기대일 것이다.

이중요소인증의 기본은 '나만이 알고 있는 것', '나만이 갖고 있는 것' '나 자신' 중에서 둘 이상의 조합으로 인증을 강화하는 일이건만, 공인인증체제는 '나만이 알고 있는 것' 으로 '나만이 갖고 있는 것'을 온라인으로 만들어 낼 수 있게 하고, 그대로 인증을 통과하게 하는 모순을 지니고 있는 셈이다.
(주: 즉 A와 B의 조합이 아니라 A로 A'를 만들어서는 그것을 B로 삼는다는 말이다)

공인인증체제에 모순이 있다면 그 대안은 무엇일까? 원점으로 돌아가 이 체제가 해결하려 했던, 그럼에도 불구하고 해결하지 못한 맹점은 무엇이고, 그에 대한 대안이란 무엇인지 돌아볼 필요가 있다.

1) 통신 암호화를 위한 인증서(비밀키) 기능

현재 3대 브라우저(주: IE, Firefox, Opera 또는 Safari)의 자체 기능만으로 충분하다. 특히 이 기능을 '체험의 확장'을 위해 마련된 기술인 ActiveX로 구현하는 것은 무모한 일이다. ActiveX 기술 자체는 Win32라는 윈도우 프로그래밍 모델에 해당하므로 성숙된 기술이지만, 현재 그 주 용도와 사용처를 보면 플래시, 자바 애플릿, 실버라이트와 같은 '체험형' 런타임이 주가 된다.
(주: 더 아름답고 쓰기 편한 사용자 체험 (UX) 또는 사용자 인터페이스(UI)를 만들기 위해 쓰인다는 것)

물론 이것은 여전히 요긴한 기능이므로 Siebel처럼 기업 업무용으로도 유용하게 쓰일 것이다. 문제는 현재 ActiveX 컨트롤이 쓰이는 것을 보면

• 크로스 플랫폼 런타임도 아니고,
• 사용자 체험을 위한 공통 모듈도 아니면서,
• 단발적이고 즉흥적인데다가
• 원래 의도했던 목적이 아닌 보안과 같은 '구조적' 기능 확장에 이 기술이 남용되고,
• 그것도 사실상 바이러스나 악성 프로그램과 크게 다를 바 없는 방식으로 오용되고 있었다는 점

이 문제다.
(주: 크로스 플랫폼이란, 한번 만들어 놓으면 윈도우에서도 맥에서도 리눅스에서도 돌아간다는 것임. '런타임'은 다른 프로그램이 돌아가도록 보조한다는 것. 즉 크로스 플랫폼 런타임을 아주 쉽게 설명하라면 '플래시' ㄳ)

그리고 대부분의 기능은 그 하부 구조에 더 잘 구현되어 있는 것의 재탕(reinventing the wheel)일 뿐이다. 인증 체제 및 결제 모듈은 물론 키보드 보안 모듈이나 은행에서 추가로 설치되는 파이어월 등 주변부 솔루션들도 다 이 부류에 해당된다. 해외의 예를 보더라도 이러한 방식으로 추가 설치를 강제하는 일은 매우 이례적이고 사용자에게 실례가 되는 일이기에 시행되지 않고 있다.
(주: 수레바퀴를 다시 발명하는 것처럼 쓸모없는 짓)

2) 거래 증빙 및 위조 방지, 부인 방지를 위한 전자 서명 인감으로서의 기능

집문서 계약도 아닌 일상의 금융거래에 인감을 반드시 요구하는 정책이 만들어진 계기는 본인 확인이 모호할 수 밖에 없는 온라인의 한계를 일시적으로 넘어서기 위함이었을 것이다. 다른 의도가 있었다고는 믿기 싫다.

그렇다면 지금 거래를 시도하는 사용자가, 자신이 주장하는 바로 그 인물임을 높은 확률로 증명해 주는 시스템을 만드는 일에만 철저히 해야 할 일이다. 지금같이 사용자에게 불리한 기능 대신, 지금 온라인에서 이 거래를 하고 있는 당사자가 오프라인의 나와 동일함을 서비스 사업자와 사용자 쌍방이 안심하고 확인하게끔 하면 그만인 것이다. 인증 자체가 뚫린 후라면, 전자 서명은 이미 아무런 효력이 없다.

그런데 모니터 앞에서 접속 중인 사용자가 정말 시스템 상의 그 사람이 맞는지 알 수 있을까? '인증'이라는 이 오랜 테마에 대한 기술적 시도는 끊임없이 이루어지고 있고, 그러한 노력의 결과물도 다양하게 상용화되고 있다. 공상과학의 단골 테마 중 하나였던 생체인식도 외국의 은행들에서는 이미 시도되고 있다.

Siemens와 스위스의 Axsionics사의 지문 인식 카드는 지문이 맞으면 암호를 알려주는 약간 두꺼운 신용카드인데, 이미 유럽과 남아프리카의 은행들이 테스트하고 있다. 이러한 첨단 기술이 비용 등의 이유로 당장 추진되기 힘들다면 이미 국내 시장이 형성되기 시작한 OTP나 HSM, 이조차 번잡하다면 핸드폰으로 보내주는 U-OTP만 있어도 이중요소인증은 일단 커버된다.
(주: OTP는 일회용 비밀번호 생성기(카드식, 토큰식 등), HSM은 하드웨어 보안 모듈. 즉 스마트카드 리더 등의 장치, U-OTP는 핸드폰을 통해서 날아오는 일회용 비밀번호라고 생각하면 편함)

어떠한 '실물'(주: OTP/HSM) 또는 이것으로 발송하는 (U-OTP) 개인 식별 번호와 내가 기억하는 개인정보의 조합은 현 시스템이 제공하지 않는 제대로 된 이중요소인증이다. 여기에 한창 탄력을 받고 있는 음성 인식 기반의 생체 인식이나, 다소 원시적이지만 전화 승인 서비스도 보조적인 역할을 할 수 있다. 우리 주위에는 현 체제를 벗어날 대안이 잔뜩 있다.

이렇게 인증이 '확실하게' 된 후라면 온라인에서 전자 서명이 필요한 순간은 오프라인에서 인감이 필요한 순간으로 한정해야 할 것이다.

또한 이 때에도 본인 인증이 충분했다는 전제로, 외국처럼 인증서가 아닌 키보드 타이핑으로 갈음하는 것도 괜찮다. 만약 정 불안하거나 꺼림칙하다면 웹이 아닌 전용프로그램이나, 음성 서명(voice signature), 영업점 내방을 유도하는 것이 올바를 것이다.

길도 있고, 대안도 있다. 우리의 선택에 의해 구조 개혁이 달성된다면 지금과 같이 은행마다 관공서마다 쇼핑몰마다 서로 다른 '구조의 확장'을 사용자 시스템에 강행하는 부조리는 대부분 해소될 것이고, ActiveX는 그 본연의 기능에 충실할 수 있도록 해방시켜 줄 수 있을 것이다.
(주: 쓰잘데기 없는 말 빼면 보안이라든지, 인증이라든지 하는 식으로 원래 의도되지 않은 목적으로 사용되지 않을 것이라는 이야기. 한국이 비스타, IE7, IE8 나올때마다 벌벌 떠는 이유는 '원래 그렇게 쓰라고 만든게 아닌 것을' 억지로 만들어 써서 생기는 문제임)

우리는 가끔 백지 위에서 더 광활한 망상을 하며 더 큰 비전을 가질 필요가 있다. 2008년, 지금은 정말 그 시점이다. 지금 이렇게 표준에 기반한 웹을 꿈꾸는 것은, 단지 다른 OS, 다른 브라우저 등을 쓸 수 있게 되어 선택지를 늘릴 수 있기 때문만이 아니라, 우리가 미처 상상하지도 못했던 다양한 방법으로 웹을 액세스하고 서비스하는 그날에 대비하기 위함이다.

온갖 모바일, 유비쿼터스 시나리오에 임베디드, 그리고 매시업에 클라우드 컴퓨팅까지. 우리는 소프트웨어와 웹이 뒤섞여 발전해갈 미래에 따라갈 수 있을까?

정말 걱정해야 할 리스크란 이런 것이다.

관심이 가는 기사가 있군요. 동의없이 설치되는 '액티브X'는 스파이웨어
스파이웨어 분류기준을 개정한다고 합니다.

물론 각종 악성 프로그램들은 '사용자의 동의'를 얻었다고들 하지만.. 규제가 항상 한발짝 늦었던 것이 사실이라서요.

기사의 재미있는 부분만 발췌해보기로 하죠.

다만 액티브X 설치 방식을 모두 스파이웨어 프로그램으로 분류할 경우 금융기관 또는 전자정부 사이트의 액티브X와 같이 안전한 서비스 이용을 위해 설치해야 하는 프로그램까지 포함되는 문제를 막기 위해 '이용자가 방문한 사이트에서만 실행되고 그 사이트를 벗어나면 실행되지 않은 프로그램'은 예외로 허용키로 했다.

→ 이 부분은 별 문제가 안될 것 같습니다. 안그래도 그전엔 K모 은행 홈페이지에서 방화벽 띄워놓고 다른 사이트에서 웹서핑을 하곤 했지만 요샌 그 사이트 벗어나면 그대로 종료되죠.

잠깐 그런데 우리의 악성 프로그램 nProtect가 새끼를 치려는 시도는 어찌되나? 예를 들어 nProtect Toolbar 같은 프로그램은?

아울러 정상 프로그램의 운영을 방해·중지·삭제하는 행위와 정상 프로그램의 설치를 방해하는 행위 뿐만 아니라, 호스트 파일 변경 등 시스템의 설정 변경 또는 운영 방해·중지·삭제도 악성행위에 포함하는 것으로 규정했다.

어이쿠 이런. 걸리는 데가 너무 많군요.
지멋대로 서비스 깔아대고 시스템 맛가게 하는 우리의 악성 프로그램!

또한 현행 기준은 컴퓨터 키보드 입력 내용 또는 화면 표시 내용을 수집·전송하는 행위만 규정하고 있으나, 스파이웨어가 파일·레지스트리 등 시스템 정보를 수집해 전송하는 경우도 이를 기준에 포함시켰다.

이제 뭔 데이터든 맘대로 수집해서 보내면 안됩니다. 당연한 변화..

솔직히 지금 '보안'이랍시고 설치는 프로그램들이 보안을 제일 위협하는 놈들 같지만..
일단은 제일 나쁜 x인 nProtect부터 좀 된서리를 맞았으면 싶습니다.

기사는 굉장히 정상적으로 국내에 정식 발매도 되지 않은 게임을 돌려보게 해주시는(?) R4의 부작용에 대해 논하고 있는데 제목이 낚시로 바뀌었네. 경향 너네도 이러기야?

낯뜨거운 휴대용 일제 게임기…‘신체접촉·추행’ 어린이들 노출

어느 플랫폼이든지 벤더의 영향력을 벗어나는 앗흥한 게임은 나오기 마련이고, 그것이 유통과정에서 자연스럽게 차단되기 마련인데, 이것이 dark force의 관할로 들어가면 그때부터는 단속이고 뭐고 불가능해진다. 그 이전에 대체 언제까지 '음란물'이 뒤에서는 신나게 돌아다니면서 앞에서는 경끼를 일으키는 '척' 하는 상황이 반복되어야 하는지도 사실 궁금하고.

또한 지하철에서 당당하게 마녀신판을 하고 있는 x끼는 대체 상식이라는 것이 있는 건가...
'너를 위해서라면 죽을 수 있어' & '아기는 어디에서 오나요' 시리즈도 들고다니면서 못한 나는 대체?..
('너를 위해서라면 죽을 수 있어'는 무려 NDS 최초 발매시의 동시 런칭 타이틀이었기도 하고)

※ 저 기사로 인하여 일단 웹하드들 정리부터 좀 들어가면 그것처럼 반가운 일도 없겠다.

2기 지하철 (5~8호선) 은 나중에 개통된 만큼 꽤 많은 역에 에스컬레이터가 설치되어 있고, 그렇지 않던 역도 추후에 에스컬레이터 설치 공사를 다시 한 경우가 많다.

물론 기존 1기 지하철도 그 이후 환승 인구가 많다 싶은 역에는 에스컬레이터 설치 공사가 많이 이뤄졌다. 공사 기간 중에는 기존에 있던 출구도 이용하지 못하고 빙 돌아가야 하지만, 공사 후에는 좀 더 편해지겠거니 하는 기대를 하면서 투덜투덜하지만 참고 견디곤 한다.

오늘도 집에 오는 길에 8호선을 탔다. 사정상 원래 내려야 하는 역보다 한 정거장 미리 내려서 개찰구를 빠져나왔다. 그러나 역시나 기대를 저버리지 않듯 멈춰 있는 에스컬레이터. '에너지 절약'이라는 흔해빠진 핑계의 패널도 앞에 있지 않아서 다른 에스컬레이터처럼 사람이 지나가면 자동으로 동작하겠거니 하고 기대를 했다. 웬걸. 여전히 동작하지 않는다.

그러고보면 학교 가는 길의 환승역도 마찬가지. 나름 사람이 아주 적을 것 같지는 않은 역인 7호선 태릉입구라든지, 6호선 석계역도 특정 시간대 - 대부분 07:00 ~ 10:00, 18:00 ~ 20:00 - 를 제외하고는 동작하지 않았다. 즉 출퇴근 인파가 몰리는 러시아워가 아니면 수평이든 수직이든 에스컬레이터를 꺼버린다. 수직 에스컬레이터는 계단으로 바뀌고, 수평 에스컬레이터는 보도로 바뀐다. 그나마도 팻말을 앞에 붙여놔 버리면 오히려 통행 방해물이 되어 길목만 좁혀버리는 효과를 발휘한다.

도시철도공사는 '에너지 절약'을 내세우고 있다. 고유가를 맞이하여 절약에 동참 운운이지, 사실은 경비절감이 목적일 것이다. 가뜩이나 무임 승차에 대한 비용과 건설부채 이자로 인하여 매년 적자를 내고 있는 것은 뻔히 알고 있다.

대부분 요새 만들어진 에스컬레이터는 계단 입구에 감지기가 있다. 사람이 없을 때는 동작하지 않는다는 말이 되겠다. 그런데 이 감지기가 있음에도 가끔씩 사람이 한두명 이용하면 에스컬레이터가 동작해서 아까운 전기료를 낭비하니까 그냥 꺼버린다는 말이다.

과연 그렇게 절약한 돈이 일년에 얼마가 될지 궁금해서 무려 98년에 쓴 것으로 나오는 다른 글을 참고해보자.

에스컬레이터를 운행하는 데 드는 비용은 생각보다 많지 않다.

에스컬레이터 1대당 소비전력은 편차가 있으나 보통 10kw/h에서 최대 50kw/h 정도이고, 전기요금 역시 편차가 있으나 96년말 기준, 산업용의 경우 1kw당 40원에서 50원 정도이며, 기본요금은 약 4000원 정도라고 한다.

이를 근거로 새벽 6시부터 자정까지 하루 18시간 동안 에스컬레이터 1대를 가동하는데 드는 비용을 계산해보면 13000원에서 5만원 정도임을 알 수 있다.

저 당시에 비해 전기요금이 좀 오른 것 같으니 그것도 감안해보면 하루에 약 15,000원에서 65,000원 정도로 계산이 된다. 1대당이니까 역 하나당 3~4대를 감안하면 최대 26만원. 1시간 더 돌리면 추가 비용은 대당 평균 2600원 정도 더 나오는 것으로 계산된다. (산업용 을 고압 A 선택 I로 대략 계산해보니 53원 / kWh쯤 되는 것 같다)

지금은 대략 07:00 ~ 10:00, 18:00 ~ 20:00 (좀 유동인구가 많으면 22:00까지) 니까 저 비용의 1/4 ~ 1/3쯤 되는 것 같군.

역 하나에 에스컬레이터 4대 기준으로 한달에 몇백만원 아끼는 것이 잘못되었다고 하기는 힘들 것이다. 게다가 2기 지하철역 중에서는 주변에 이용할 사람도 없는데 노선 설계를 잘못하여 역사에 파리만 날리는 역도 분명히 있는 것도 알고 있다. 하지만 사람이 몰리는 환승역에서까지, 그것도 센서감지식 절전장치가 갖춰진 에스컬레이터마저 러시아워 이외에는 돌리지 않는 것은 절약으로 인해서 생기는 몇백만원보다 승객의 불편이 훨씬 더 심한게 아닌지?

그전부터 도시철도공사 노동조합이 차내에 붙이던 '1인 승무 반대' 스티커를 기억하는 사람들이 있을 것이다. 뭐랄까, 마찬가지인 것 같다. 비용 절감을 위해 앞장서는 것은 좋은데, 효율성과 저비용을 강조하다보면 안전은 뒷전이 되고, 에너지 절감을 강조하다보면 환승객의 편의도 뒷전이 된다.

가뜩이나 환승 한번 하려면 몇층을 오르락 내리락 해야 하는데 그 피로를 좀 덜어주는 에스컬레이터마저 특정 시간대 이외에는 동작을 하지 않는다면 환승객의 짜증은 제곱이 되기 마련이다. 게다가 동작하지 않는 에스컬레이터는 원래 길이었던 것을 막아놓는 것과 같으므로 더더욱.

물론 절약~ 절약~ 노래만 불러대는 생각 짧은 사람들이 없는 것은 아니지만, 이런 사람들이라도 이렇게 이렇게 해서 승객 편의를 더 제고하였습니다 라고 왜 설득하지 못하겠는가. (재미있는 것은 이 아저씨도 대구 지하철의 휴일 에스컬레이터 운영에 대해서는 또 다른 말을 했다는 것이다)

글을 쓰기 위해 검색을 하다가 나 말고도 같은 생각을 한 사람들이 10년쯤 전에도 -_-; 있었다는 사실에 감탄을 금할 수 없다. 그런데도 흐지부지 되었다니 진짜 'IMF', '에너지 절약'의 망령은 한국인들 뼈에 각인이라도 된게 아닌가 싶다.

(참고)
아래는 '정석의 도시설계 글마당' 에서.

대전도시철도공사 고객의 소리 글.

서울도시철도공사 의견을 듣습니다 - 검색어 '에스컬레이터'

가끔 일본쪽 이동통신 시장에 대해 올라오는 기사를 보면, 가격경쟁에 드디어 불이 붙었다고 생각할 수 있다. 보다폰을 꿀꺽한 손정의씨의 소프트뱅크가 화이트 플랜 (이거저거 다 떼고 기본료 월 980엔) 등을 내세우며 시작하더니 2위인 au (KDDI)도, 그리고 꿈쩍할 것 같지 않던 1위 NTT 도코모도 가격 경쟁을 시작한 꼴이다.

이해하기 쉽게 생각해보면 LGT를 엄청 돈많은 회사가 덥썩해서 브랜드를 바꾸고 '싸우자' 하고 선언했더니 KTF에 이어 SKT까지 '어 그래 해보자' 하는 꼴이랄까. KTF가 쇼 가지고 3G 올인하면서 공격적으로 달리니 SKT가 따라가는 것도 쵸큼은 비슷해보인다. 게다가 우리나라의 번호이동에 해당하는 MNP (Mobile Number Portability) 제도가 작년에 드디어 도입이 되어서, 가입자 뺏어오기 싸움에도 불이 붙었다.

NTT 도코모가 '가족 할인 MAX 50 (ファミリー割MAX50)' 하고 '혼자라도 할인 50 (ひとりでも割 50)' 을 내놓았고, 여기에 KDDI가 '누구라도 할인 (誰でも50)' 요금제로 맞섰다. 요는 2년 유지를 조건으로 기본료를 반으로 깎아주겠다는 것인데 - 일본은 기본료가 한국보다도 세다 - 도코모의 경우는 장기 가입자 할인을 기준으로, 가족 중 가장 할인률이 높은 사람에게 맞춰주겠다는 것인데 반해서 2년 의무약정을 걸지만 기본료 50%를 깎아준다는 것은 상당히 센 조건이다.

그런데.. 이렇게 되면 장기가입 할인이고 뭐고 의미가 별로 없어지게 된다. 가입해서 '오래오래' 쓰면 10년차에 할인률 50%가 되는데, 신규 가입 (또는 이동) 해서 핸드폰 싸게 사고, 2년 사용 약정 걸고 바로 50% 할인을 받아 버리면 기존 가입자들은 뭐가 될까.

 게다가 기사 (아래) 시작에 보면 이런 말도 있다.

「우리는 도코모에 비해 장기 가입자가 적으니까요. 그래서 ('누구라도 할인'을) 내놓을 수 있었지요. 도코모에 비하면 출혈은 적습니다.」

도코모와 KDDI의 가격 경쟁에 대해 묻자 KDDI의 컨슈머 사업 총괄부장인 다카하시 마코토씨는 이렇게 말하면서 미소지었다.

..자사의 장기 가입자(= 충성 고객)가 적다는 말을 태연하게 하는 시장 2위 캐리어 사업자의 높으신 분이라니.

이 말을 어떻게 해석해야 할까. 장기 가입자가 어차피 적으니 가입 연수가 적은 사람 위주로 시장을 끌고 가겠다는 것일까? 장기 가입자들에 대한 대우는 한마디도 없는데, 이건 또 어떻게 봐야 하는 걸까. (좀 심하게 말해서) 장기 가입자는 가만 냅둬도 돈 나오는 구멍이라는 것?

일본의 이동통신 시장과 한국의 이동통신 시장은 묘하게 닮아있다. 앞서거니 뒷서거니 하면서 서로 비슷하게 닮는다. 번호 이동이 시작되자 그걸로 싸움붙는 것도, 의무 약정을 걸고 보조금 퍼붓는 것도, 제조 회사가 아닌 캐리어 사업자가 전략적으로 시장에 폰을 출시하는 것도. 그리고 장기 가입자를 봉으로 보는 것도.

옆 나라 기사인데 SKT를 7년째 쓰는 내가 속이 쓰린 이유는 무엇일까.

가격경쟁을 부추겨 '최대의 방어벽'을 스스로 부순 도코모 (Business Media) - 일본어

KT가 자사주 205만 8천주를 장내에서 매입 후 소각했다고 한다. 금액은 무려 914억원.

1982년 1월에 체신부로부터 분리된 한국전기통신공사에서 한국통신으로, 다시 민간기업 KT로 바뀌어가는 과정이 IMF 사건 터지고 한국 사회에 신자유주의 혁명(!)이 몰아친 다음부터 급격하게 이루어져서 그런지, 아직도 KT를 공사로 생각하는 사람들도 있다. 분명한 것은 지금의 KT는 외국인 지분이 46.79%에 달하는 완전한 민간 통신회사라는 것.

SK Telecom도 원래는 84년에 한통의 자회사로써 설립된 한국이동통신이 그 모태이니 KT도 그렇고, SK Telecom도 그렇고, 모두 국가의 정책적인 필요성에 의해 설립된 공기업이 민영화된 셈이다. 물론 통신 시장이 민영화되어 기업간 자율 경쟁을 하는 것이 나쁘다는 것이 아니다. 다만 통신업은 그 특징상 초반에 망 구축을 위해 엄청난 비용을 쏟아부어야 하여 진입 장벽이 굉장히 높고, 사업자들이 흡수 합병 또는 철수 등으로 줄어들어서 현재는 과점상태라는 것이 문제일 뿐. 그리고 특히 KT의 경우 이러니 저러니 해도 처음부터 세금으로 깔린 엄청난 망을 가지고 있는 유리한 상태에서 타 회사와 경쟁하는 입장이라는 것이 문제일 뿐. (그래서 그런지 초고속인터넷 가입자 점유율도 50%를 넘는다고 한다. 사실 50% 가까이 뺏어온 타 사업자들이 용할 따름이지)

보통 기업들이 시장에서 박터지게 경쟁을 하면 제품의 가격은 내려가게 마련인데, 이렇게 과점 상태가 되면 그다지 가격을 내릴 필요도 없어진다. 자연스레 담합 비슷한 상태가 되는데, 이렇게 생긴 이윤은 보통 재투자될 것이라고 생각하지만 이번 KT의 소식을 보니 별로 그렇지 않은 모양이다. (사실 꼭 그래야할 이유도 없고)

물론 자사주 소각을 통하여 얻는 이득이 있으니까 9백억이나 쓰고 했겠지만, 글쎄. 시장이 정체되어 자신들이 구축하지 않은 서브네트워크에도 비용을 부과하려고 드는 모습과 겹쳐지면서 흐뭇하지는 않다.

애국심이 어쩌고 한국인이 어쩌고 하며 한방향으로 우루루 몰려가서 띄워주고

거기에 조금이라도 의문을 제기하면 그대로 악플이 쏴 하고 달리는 멋진 나라 대한민국.

나도 디워는 700억짜리 떡볶이라고 한번 낚아볼까? :)

ps. 첫술에 배불러야 하는 것이 당연하잖아. 영화는 그 자체로도 상품이라고. 팔아먹으려면 살 가치가 있어야지.

커널 함수의 직접 후킹은 일체 허가하지 않는다. 어떤 경우에라도. 같은 원칙이 있으면 좀 좋아.

'윈도비스타 SP1' 키보드 보안 안될수도 라는 기사에서 비스타 SP1의 커널 보호 모드 때문에 키보드 보안 솔루션이 동작하지 않을지도.. 라는 매우, 매우, 매우, 매우 희망적인 기사가 있는데 그 밑의 보안담당 이사라는 사람의 말이 초를 친다.

조원영 한국마이크로소프트 보안담당 이사도 “SP1에서 커널보호모드가 작동되더라도 기존 키보드 보안 솔루션을 사용할 수 있는 응용프로그램인터페이스(API)를 제공할 예정”이라며 “솔루션 업체와 SP1 출시 전에 대응을 마치도록 적극 협력할 것”이라고 설명했다

가장 바람직한 케이스는 비정상적인 방법만 골라 써서 만들어진 키보드 보안 (이랍시고 시스템 뻗게 만드는) 솔루션이나 해킹 차단 (이랍시고 루트킷과 별 차이 없는 짓만 골라하는) 솔루션이 멸종하는 것이지만, 소비자의 컴퓨터까지 걱정하면서 보안 업체들 수입도 걱정해주는 좋은 나라 대한민국에서 그렇게 되기는 힘들 것 같고, 그냥 커널 후킹 같은 짓이나 "루트킷이고, 보안이랍시고 설치는 프로그램이고" 차별없이 못하게 되었으면 좋겠다. 적어도 구멍이 없으면 뚫리지도 않는 법이니까.

제목이 말도 안된다고 생각하시죠? 저도 그렇게 생각했습니다. 정말이에요.

울나라 PC방은 어떤지 모르겠는데, 일본에 놀러갔을 때 まんが喫茶나 ネットカフェ (그냥 둘다 피씨방이라고 생각하세요) 등에서 Administrator 권한인 곳이 몇 군데 없었습니다. 보통 시작 메뉴를 봐도 권한이 많이 제한되어 있고요. 사용자 계정도 관리자 계정이 아니라 제한된 권한의 유저 계정입니다. 그래도 할거 다 하거든요. 다들 귀찮아서 그렇게 쓰지 않을 뿐이지 생각보다 윈도우 그렇게까지 허술하지 않습니다.

리눅스나 유닉스 해킹에서 꽤 많이 시도하는 것중 하나가, buffer exploit 써서 프로그램 코드를 위험한 코드로 덮어쓰기하고 계정을 따내는 것으로 알고 있습니다. 거기다가 따려는 프로그램이 setuid 등을 써서 루트 계정을 가지고 있다면 말할 것도 없죠. 그 시스템 먹히는 겁니다. 윈도우도 마찬가지에요. 다들 어드민 권한으로 놓고 쓰잖아요? 윈도우 다시 깔게 될 정도의 타격을 입히려면 좀 힘이 센 권한이 필요합니다.

그래서 윈도우 비스타에서 도입된 것이 UAC, 즉 '이 프로그램은 관리자 권한을 요구합니다. 아무래도 수상한데 정말 실행하겠습니까' 라고 팝업창이 떠서 한번 더 묻는 것입니다. 또한 UAC는 사용자가 명시적으로 쓰지 않겠다고 설정하지 않는 이상, 일개 프로그램이 맘대로 그 팝업창 안뜨게 할 수는 없습니다. 제 생각에는 정말로 잘한 거라고 생각해요. 정말로. 물론 요새 벌써 귀찮은 UAC를 끄는 것이 팁이랍시고 돌아다니고 있는 것 같지만. 그래놓고서 보안이 어쩌고 하면 정말 입을 꿰매야지.. 아무튼 리눅스 데스크탑 쓰는 사람들도 자주 봤을 걸요? 저도 페도라 코어 쓰면서 봤는데 이쪽은 root 패스워드를 요구하더군요.

잡설이 '많이' 길었습니다. 그럼 뭐가 문제일까요?


제한된 권한을 가진 사용자 계정에서는요?


그런데 요새 게임들 어떻죠? 시대가 하 수상하니까 보안 프로그램을 덕지덕지 붙여서 내보냅니다. 그런데요?


그럼 피씨방에서 게임 하나 실행하는데 손님이 관리자 패스워드를 치게 하고 싶을까요?


결국 팝업을 띄워도 사용자가 버튼 하나만 누르면 끝나게 하도록 관리자 권한을 쓰게 됩니다 -_-; XP는 그럼 어땠냐는 분들께. XP는 권한 상승이 비스타보다는 엄격하지 않았던 것 같습니다. 제한된 권한의 사용자 계정으로도 어떻게든 쓸 수 있게 되어있었나 봅니다.

오호 통제라 -_-;; 보안 프로그램을 이제와서 안 쓸수도 없고 말이죠. 당장 작업장과 불순한 유저들이 존재하여 선의의 피해자가 잔뜩 생긴다는데 안 쓸수도 없지 않겠습니까. 그런데 운영체제에서 보안을 강화하여 보안 프로그램의 동작이 제한되니, 보안 프로그램을 돌릴 수 있도록 운영체제의 보안을 살짝 풀어줘야 하는 이 어이없는 짓거리라니. 농담치고는 너무 슬픈 현실입니다.

솔직히 이번 글에서는 누구를 까고 싶은 생각이 없습니다. 악의를 가진 사용자는 엄연히 존재하고, 그런 사용자가 착한 다른 사용자들처럼 정상적인 방법을 잘 따라줄 리가 없으니까요. 걔네를 막으려고 있는 프로그램인걸요.

그냥 데스크탑 OS의 사용자 편의성을 너무나도 중시한 나머지 자승자박의 꼴이 되어버린 마이크로소프트 윈도우 팀 분들을 탓해볼까요? ;ㅁ;

스티브 잡스가 과연 DRM이 음악산업 발전에 도움이 되는가를 묻는 것에, 정말 순수하게 DRM을 없애자고 하기 위해 발벗고 나선 것이라고 생각하는 사람은 많지 않을 거라고 생각했습니다....만,

한국의 잡스빠 맥빠들은 과연 다른 것 같습니다 :-> 어찌 그리들 알흠답게 보아주시는지.

iTunes Store를 사용하고 있고, 지금도 FairPlay DRM은 다른 것도 아닌 iTunes 자체를 이용해서 깨는 방법이 알려져 있기 때문에 구입하는 족족 깨서 저장하고 있어서 풀든 말든 하며 기사를 읽었습니다. 아무리봐도 유럽연합의 압력에 맞선 뻥카, 아니면 '풀어도 우리는 iTunes Store에서 조금이나마 이익을 볼 수 있다'는 자신감과 사업가적 판단에 의한 것 같은데 이걸 마치 잡스가 사회악 DRM에 맞서 결연히 일어선 투사로 보아주려고 애를 쓰고 있으니.. 안쓰럽죠.

물론 실제로는 이렇게까지 이야기가 머리속에서 전개되더라도 '아니야 우리 잡스횽이 그럴리 없어' 라고 생각했다면 ㄷㅄㄱ와 ㅅㅍㅈㄴㅇ를 보는 박순희들을 보는 것 같아서 이것도 안구에 습기.

그러고보니 조직을 구성하면서 영향 받은 인물에 스티브 잡스, 조직에 구글을 적어넣은 곳도 있으니.. 거의 무의식적으로 흠칫하고 뒷걸음질을 치게 되던데. 전 돌아다니다가 Stay Foolish, Stay Hungry만 보면 브라우저 종료하고 나올 정도라서. 그 말이 싫은게 아니라 잡스빠가 싫은거죠.

아무튼 영향력있는 인물이 카드를 꺼내들었습니다. 앞으로 어찌될까요? :)