Ben DH Kim – Notes from Building Cyber Security Startup

이 글을 적은 뒤, 이런 글을 레딧에서 발견했다. I’ve accumulated too much stress from this screen 단순하게 외국인의 입장에서 PASS 본인인증을 하기 힘들다라는 이야기인데 흥미로운 댓글도 많고해서 한 20분정도 영어공부한다 생각하고 읽어봤다.

여러가지 댓글 중 가장 재밌게 읽은건 인증 단계는 매우 쉽다. 1-9단계(은행카드, 입금내역 확인을 포함한)를 거친 뒤 한국의 보안소프트웨어를 다운받았는지 확인하고 다시 재부팅 한 뒤 처음으로 돌아가서 하라는건데… 참 슬픈 이야기로 난 느껴졌다. 331개의 Upvote를 보고 한국에 거주중인(또는 관심이 큰) 외국인들의 입장에서 엄청난 고통이라고 느낀다.

소프트웨어를 만들고, 소프트웨어를 사랑하는 사람으로써 아래 영상도 참 웃으면서도 슬프게 봤었던 기억이 스친다.
https://www.youtube.com/watch?v=aFdkKdS7cq4

과거 ActiveX 이야기부터 다양하게 나와있는데 과거보다는 당연히 편해졌다. 윈도우 OS에서 IE로만 사용하라는 행태도 많이 없어진 것 같고, 개인 뱅킹으로는 PC로 은행사이트를 이용하지 않은지 한참 되었다. 다만 기업뱅킹을 사용하다보면 이게 무슨 고객을 괴롭히는 짓인가 싶을 때가 한두번이 아니다. (카드사도 마찬가지고)

아직도 구라제거기와 같은 프로그램이 매우 사랑받고있는데 이는 금융권에서 너무 ‘사용자에게 책임을 전가하는 장치’가 크다고 생각한다. 금융서비스를 제공하는 ‘제공자’는 ‘사용자’의 PC에 백신을 설치해줬고, 통신암호화 프로그램을 설치해줬고, 키보드로깅 방지 소프트웨어를 설치해줬는데 ‘사용자의 잘못’으로 해킹당한거다. 라는 면피책이 되고있다는게 참 슬프다. (본 주제하고는 관계 없이, 그런 소프트웨어들이 더 위험하다. (글 참조: https://palant.info/2023/01/02/south-koreas-online-security-dead-end/)

무튼, 갈라파고스라는 주제로 돌아와서.. 외국인의 입장으로 한국의 쇼핑몰을 이용한다고 생각해보자, 왜 쇼핑몰을 가입하는데 있어서 ‘나’라는걸 ‘한국의 휴대폰 번호로’ 증명해야되는 것 부터 혼란스러울거라 장담한다. 우리가 쇼핑몰에 오프라인으로 가서 물건을 구매할 때 필요한건 현금 또는 신용카드이다. 왜 온라인에서는 ‘본인인증’을 해야하는가? (물론 한국의 전자상거래법 때문이란걸 잘 알고 있다.)

본인인증의 이유에는 크게 두가지가 있다. ‘가입을 하고있는 사람의 본인 증명’과 ‘진성정보의 수집’을 위한 목적이다. 본인 증명은 금융서비스를 이용하거나 ‘정말 나 임을 인증 받아야하는’ 서비스에 가입할 때 당연스럽게 필요한경우(대포통장이나 등..)이고, 진성정보의 수집은 일반적으로 마케팅 타겟화를 위함이기 때문이다.

내가 보기엔, 마케팅 목적을 제외하면 별 의미 없이 수집한다에 가까운데, 정보통신망법에서는 일정규모 이상의 서비스를 운영하면 필수라고 하고있는데, 왜 필수인지 필자는 잘 모르겠다. 우리가 살아가면서 ‘나 라는 존재’를 인증받아야 되는 순간이 그렇게 많지않은데 한국에서는 매일같이 휴대폰번호로 이뤄지게 하는 장치라고 본다. 애초에 본인인증이라는 구조 자체가 과도한 정보제공이 아닌가? 악법이라고 생각한다. (내가 이 물건을 샀다란 정보, 내가 기차표를 어디서 어디로 가는걸 예매했다란 정보를 애초에 운영측에서는 서비스 제공을 위한 필수적 정보말고는 몰라도 되어야하지 않나?)

예로, 기차표를 구매한다고 생각해보자 신분증을 역사에서 요구하는가? 그런데 왜 코레일 앱에서는 요구하고 있는가? (해외에서 트램이건, 버스건 예매하면서 내 신원을 인증한건 치안이 좋지않은 국가에서 ‘실물’로 했던 경험밖에 없다.) 가끔, 해외에서 오는 친구들이 있는데 코레일앱을 설치해서 경주를 가보란말을 쉽사리 하지 못한다. 카카오택시 앱이 한국의 우버라고 말할 수 없다. 한국은 여행오기 좋은 나라인가?

생활서비스에 가입하는 ‘모든 곳’에 본인인증이 있는데, 정말 본인인증이 필요한 서비스인가를 고민해보아야 한다고 본다. 난 국내 서비스를 제외하고 해외 서비스를 이용할 때(지금 생각하고 보니, 회사에서 비용을 지불하는 모든 서비스는 해외서비스다.) 휴대폰인증을 한 기억이 손에 꼽을정도로 적다.

본인인증 자체에도 문제가 있다고 생각하는데, 휴대폰번호를 통한 인증이 가장 보편화되어있다. 그럼 휴대폰을 탈취당한다고 가정했을 때 ‘그 본인’은 ‘그 사람’임을 보장해야하는데 기술적으로 불가능하다. 강도가 내 휴대폰을 탈취해서, 내 휴대폰으로 인증한다면 그게 ‘강도에게 피해를 입은 피해자’라고 입증을 해야하는 순간이 올 것이다. 과도한 예 같은가? 강도의 예를 공격기법으로 변경하면 심스와핑인데, 심스와핑으로 인한 신원도용사례가 이미 많이 늘어나고 있다. 정말 휴대폰을 통한 인증은 안전한가?

사이버세상에서 철학적으로 ‘나’임을 증명하는건 쉬운일이 아니고 휴대폰 번호 인증만한 수단이 없다는걸 잘 알고 있다. 다만 이렇게 무분별한 본인인증이 남발되고, 필수적인 생활서비스에서까지 녹아 있다라는건 참으로 모르겠고, 한국이 한국 내에서만 동작하는 서비스를 만드는데 큰 부정적인 효과를 주고 있다고 생각한다. (이메일을 만드는데 왜 본인인증이 필요한거지?, 중고나라를 이용하는데 정말 왜 필요한거지?)