[칼럼]웹자유주의, 액티브X와 공인인증 논쟁 접근법

최근 다시 시끄러워진 이 문제. 이미 웹구조개혁론 등 이 건에 대한 시각은 여러 차례 표출해왔지만, 다시 한번, 사태 전반에 대한 논점을 짚어가 보자.

■ 액티브X(ActiveX)에 대한 비난과 개발자를 매도하는 일의 무의미함에 대해

ActiveX는 ‘플러그인 기술’을 부르는 말이다. 따라서 일각의 주장과는 달리 플래시, 실버라이트, 자바 등이 있는 한 사라질 수 없다. 브라우저에 구멍을 뚫고 다른 기술을 불러 들이는 ‘플러그인 기술’은 브라우저마다 제 각각 마련되어 있고, 브라우저가 미처 생각하지 못한 새로운 기능을 추가하기 위해 늘 열려 있다.

가끔 기술에 익숙하지 않은 이들이 플래시 등 ActiveX에 의한 산출물과 ActiveX를 직접 비교하는데, 결과와 수단을 혼동한 소치다. ActiveX는 타 브라우저의 NPAPI에 비교되어야 한다. NPAPI도 사실상 ActiveX처럼 플랫폼 의존적일 수 있어, 정도 차이는 있으나 DLL이나 SO(Shared Object)와 같은 OS 전용 모듈이 로딩될 수 있어, 특정 플랫폼에만 돌아 가게 할 수 있다.

ActiveX가 플랫폼 의존성의 원흉이라는 모독은 별 의미가 없어진다. 이 배경을 무시한 채 ActiveX로 개발한 이를 질타해 봐도 아무것도 해결되지 않는다.

웹사이트가 ActiveX나 NPAPI 플러그인 기술들을 직접 다루는 일이 과거와 같이 성행할 이유가 사라져가고 있다고 볼 수도 있지만 그 판단은 시장의 몫이다. 포털 들의 대용량 파일첨부와 같은 기능은 꽤나 요긴하다.

지금 문제가 되고 있는 사안은 플랫폼 의존적 코드만이 해결할 수 있는 구조적 확장 요구에 대한 것이다. 플랫폼 의존적으로 플러그인 기술을 써서 컨트롤을 만드는 일이란 결코 쉬운 일이 아니건만, 도대체 어떠한 요구를 수용하기 위해 그러한 길을 걷게 되었는지 파고들 필요가 있다.

그 요구가 애초에 과연 타당하고 필요한 일이었는지 살펴야 한다. 요구 그 자체의 경위와 합리성은 묻지 않은 채 다른 플러그인 기술로의 확장 적용을 요구하는 것은 문제의 원인은 그대로 둔 채 복잡성을 배가시킬 뿐이다.

또 플러그인 기술도 아닌 플래시, 실버라이트, 자바 등 UX플랫폼으로 이 구조적 확장에 대한‘어떠한 요구’를 해소하려는 시도는 기술적으로도 어불성설이다. 만약 공격해야 할 대상이 있다면 바로 이 '어떠한 요구'다.

■ 시민에게 불리한 공인인증체제

그 어떠한 요구는 바로 공인인증체제다. '공인'이라는 공안(公安)적 중앙화를 국가기관이 주도하고 있는 나라를 찾기 힘들기 때문에, 적절한 영역(英譯)조차 없는 국지적 관례에 불과하다. 이 배경에 낯선 이들이 한국의 공인인증서를 PKI의 public certificate으로 오해하고 있는데, 이 용도로 활용은 될 수 있을지 모르나 취지와 범주는 꽤나 다르다. 인증서는 필요하지만 사설로 충분하다.

공인인증서는 결국 인감이다. 조선 총독부령에 의해 만들어진 현실속 인감 제도조차 그 부조리 때문에 여전히 폐지 움직임이 그치지 않음을 생각하면 이를 디지털로 확장한 용기는 넌센스다. 우리는 우리의 존재를 국가의 인허에 의해 증명하는 일에 너무나 익숙해져 있다.

우리가 여기서 부당하다 여겨야 하는 것은 온라인의 거래 행적마다 여러분의 인감을 남발하는 일이 지금 '의무화'되고 있다는 점이다. 자금 이체는 물론 30만원 이상 물건을 살 때마다 인감 도장을 찍어 여러분의 공인된 실체를 제출해야 하는 나라는 찾기 힘들다. 사인(私人)간의 거래와 민간의 자율로 해결될 수 있는 곳에 굳이 국가가 개입되어 공인된 무엇을 의무화하는 것, 분명 전체주의적이다.

■ 국가가 온라인을 통제하려는 웹전체주의

"모름지기 국민들은 정의사회구현을 위해 반드시 ~를 해야 한다."를 일종의 정언명령으로 만들고 싶은 사회. 그 것이 전체주의의 사회였다. 우리는 지금도 크게 다르지 않은 사회를 살고 있다. 웹이라는 맥락에서 정의를 "안전하고 편리한 웹에서의 생활"이라 결정해 버린 채 이 정의를 위한 법을 따르라 하고 있다.

그러나 정의란 데리다가 말했듯이 결정 불가능하고 계산 불가능한 것이다. 이 깔끔하지 않은 느낌은, 계산하여 결정할 수 없는 정의를 정합성이 있는 법으로 치장함으로써 해소할 수 있다. 이 상황에서 정의를 결정하는 것은 국가라는 폭력장치다.

"정의(안전한 웹)를 위해 이 것을 반드시 하시오"라고 지금 법이 사실상 말하고 있다. 법이 하라면 하는 것, 이미 법은 정의가 아닌 정치인 것이다. 공인인증체제의 문제도 바로 이러한 폭력장치의 문제다.

금융권 사이트의 경우 금감원의 3종 세트(키보드 보안, 암호화, 방화벽) 의무화가 시행되고 있는데, 세가지 중 암호화는 사실 그 PKI의 키로 공인인증서를 쓰게 되므로 다시 공인인증체제를 함께 데리고 들어 오고 있다. 하나의 법 체제는 또 다른 체제를 밀결합(tightly-coupled) 호출하는 거대한 스파게티 법률이 되어 가고 있고, 그 결과 법률적으로 일국의 '온라인 경제 '는 국가 통제를 벗어날 수 없게 된다. 우리가 지적해야 하는 것은 바로 이 통제의 폭력장치다.

이 통제가 풀릴 때 어쩌면 사고가 늘어날 지도 모른다. 그러나 자율과 자립이란 그 리스크를 떠안는 선택을 시민이 정치적 결단에 의해 내리는 것, 타인에 대한 책임을 갖는 결단인 것이다. 이 개인으로서의 자립이 국가가 제시한 규범에 의해 폐쇄된 채로 근대 이후를 살아 온 우리. 우리가 지금 깨뜨려야 할 벽은 바로 이 타성이다.

■ 웹은 자유라는 믿음, 유일한 대안

그래서 대안이 무엇인가?

현재의 이 체제를 NPAPI용 등 다른 브라우저 플러그인 기술으로 확산하는 것이 답이라고 볼 수 있을까? 복잡성만 배가시킨다는 면에서 안타깝게도 답이 아닌 퇴행이다. 모바일이나 IPTV와 같은 신단말에서는 또 어떻게 할 것인가? 경우의 수는 무한대다. 행여 이러한 재귀적 미봉책을 국민의 세금으로 만들려 한다면 안타깝기 짝이 없는 일이다.

대안은 단순하다. "의무화 폐지"다.

현재 구조는 그대로 내버려 둔다. 대신 의무화를 거두어 들이면 된다. '공인'을 의무화하지 않으면 된다. 어떤 프로그램을 깔라 말라 말하지 않는다. 그 순간 많은 변화가 일어날 것이다.

금융과 공공 웹사이트에 들어 갔을 때 설치되는 프로그램은 마케팅 개론적 분류에 따르자면 ‘must-have’ 아이템인가? ‘nice-to-have’아이템인가? 안전을 지켜주니 전자라고 말할지 모르겠다. 그러나 이 단어의 주어가 누구인가? 사용자와 소비자이어야 한다. 우리가 스스로 판단해야 할 일이지만 지금은 국가가 대신 판단해 주고 있다.

은행은 민법의 사적 계약 우선의 원리에 입각, 온라인 뱅킹 가입시 대면 계약으로 약관에 사인을 받으면 된다. "은행이 제안하는 여러 장치를 설치하지 않아서 일어나는 사건에 대해서는 민사상 소송을 거칠 수 있습니다. Yes or No?" (물론 현존 법률이 강행규정이라 이 것조차 불가능하다면 정말 문제가 아닐 수 없다.)

여기에 서명한 이들은 모바일이든 리눅스든 어떠한 플랫폼에서도 사설인증서를 통한 암호화를 통해 웹브라우저만으로 사용할 수 있게 된다. 걱정하는 것처럼 사고가 날 수도 있다. 이 경우 개별 소송으로 이행한다. 이 과정에서 소송이라는 스트레스와 번잡함을 해소하기 위해서 어떤 은행은 무언가 방법을 제안할 것이다. 또 어떤 이들은 자구책을 찾아 나설 것이다.

이 과정에서 새로운 관련 산업이 육성되고, 자율적 자립인으로서의 개인은 자신의 판단에 의해 그 새로운 솔루션을 도입하거나, 미덥지 않다면 아예 오프라인을 찾게 될 것이다. 불편하지만 스스로 판단하고 실행하는 자유인의 모습이다. 물론 어쩌면 의무화가 풀려도 현존 구조에 아무런 변화가 일어나지 않을 수도 있다. 그렇다면 그 것이 답이다. 왜냐하면 시장이 그렇게 선택했기 때문이고 좋든 싫든 그 것이 우리의 현실이니까. 그 균형은 받아 들일 수 밖에 없다.

수년째 스스로의 자립과 자율을 포기한 채 판단을 정지하고, 이와 같은 '웹전체주의'를 허락한 오늘날 한국의 인터넷은 온라인 실명제, 사이버 모욕제, 인터넷 감청 등의 더 하드코어하게 업그레이드된 웹전체주의도 묵묵히 받아 들이고 있다.

범죄의 위험이 있더라도 통금이 없고, 날치기의 위협은 있지만 자유롭게 거리를 활보할 수 있는 자유의 도시. 웹에서의 삶도 결국은 마찬가지다. 일견 아무리 안전해 보이더라도 정부와 중앙에게 개인의 자율과 자립을 일임하는 일이 얼마나 위험한 일인지, 우리는 현실속 파시즘의 역사에서 목격한 바 있다.

의무화되어 있는 보안기술을 강철문이라고 생각해 보자. 강철문이 없는 경우에 비해 강철문이란 얼마나 안전한가, 이에는 일말의 이견이 없다. 강철문을 만드는 법에 대한 것은 강철문 기술자가 제일 잘 안다. 강철문의 구조와 얼개와 필요성에 대해 논의하는 것은 무의미하다. 중요한 것은 돈이 있는 모든 집에 콕 집어 강철문을 달아야 한다고 국가가 말할 필요가 있느냐의 문제다.

돈이 너무 많아서 강철문 대신 티타늄문을 달고 싶을 수도 있고, 문 대신 센서와 레이저빔을 달고 싶을 수도 있다. 생체 인식 도어를 달고 싶을 수도 있다. 국가가 해야 할 말은 “보안을 위해 꼭 강철문을 다시오”가 아니라 “보안이 잘못되면 책임을 공정히 묻겠소.”라는 책임과 죄과의 보편적 룰을 만드는 일이다.

그러면 모두 알아서 합리적 기술을 찾아내고, 가장 최고의 아이디어가 적용될 것이다. 룰만 있다면 문이 있을지 없을지 국가가 걱정할 일이 아닌 것이다. 우리가 나아가야 할 길이란 이렇게 ‘룰이 있는 자유로운 사회’, 웹자유주의다.