조금은 옆길로 새는 얘기이지만, 한국이 그렇게 조급히 MS에 올인하게 된 배경은 IMF라는 얘기가 있습니다. 당시 국가 위기적 상황을 뛰어넘기 위해서 자문을 구했는데, 소프트뱅크의 손정의씨가 '첫째도 브로드밴드 둘째도 브로드밴드 셋째도 브로드밴드'라고 전 김대중 대통령에게 조언을 했다는군요. 또한, 빌게이츠에게도 비슷한 자문을 구했을 겁니다.(여러분 기억하시지요. 당시 유난히 유명 인사들이 한국을 찾는 일이 많았었습니다.)
그래서, 정부는 IT를 총체적 경제 위기에 맞서는 조커로 꺼내었고, 당시에는 저렴한(?대부분은 불법복제-일부러 수수방관했지요.) M$의 제품으로 전국의 기업과 정부 기관에 도배를 하는 개기가 되었습니다. 집집마다 인터넷과 웹의 편리함에 국민들은 환호했고 단 시일에 실업자 문제나 경기부양의 효과도 나왔지요. 그러나, 효과가 빠른 약에 부작용이 없다면 좋지만, 심각한 '독과점'이라는 부작용이 비수가 되어 돌아왔습니다. 결국, 한국 기업과 정부가 한 나라의 기업(M$)에게 굽신거리는 지경되고 맙니다.

지금의 사태는 이미 예견되었던 일이라고 개발자들은 생각하고 계셨을 겁니다. 당시 전자정부 사업에 M$ 일변도의 진행은 합리적이고 미래지향적인 사업이 아닌 실적위주의 근시안적인 작태에 기인했다고 봅니다. 그런 배경에는 ActiveX라는 당시로선 획기적인 기술이 있더랬지요.
장터의 약장수 같은 스티븐 발머의 현란한 말솜씨로 ActiveX는 만병통치약이 되버립니다. 사실상(de facto) 표준이라고 한국은 덥썩 물어버립니다. 웹보안 표준인 SSL이 나오기 전 말이지요.
숲이 아름다운 것은 이름모름 새나 나무들이 제각각의 자태를 지니고 있기 때문입니다. 그런 다양성이 우리나라의 IT분야에는 결여되어 영양실조에 걸려 버린 겁니다.
M$의 너무나 원대한 그리고 오지랍 넓은 서비스 정신에 멍드는 것은 개발자만이 아닌 이제는 컴으로 오락이나 채팅하는 사용자들에게까지도 영향이 가고 있지요.

M$가 앞으로 어떻게 행보를 옮길지는 모르겠지만, 우리들이 나서야 할 시점이라고 생각합니다. 피한다고 피할 수 있는 것은 아니지 않나요?!

좀 아픈 얘기지만 정부 관계자 뿐만 아니라 개발자 스스로의 책임도 언급하지 않을 수 없습니다. 상당한 서비스들의 경우 굳이 액티브X를 쓸 이유 자체가 없는 경우에 액티브X를 가지고 도배를 해놓은 경우가 있습니다.

이런 경우들 중 많은 경우에는, 네이티브로 계속 개발하던 개발자가 웹 환경에서 자신의 기술을 그대로 활용해보려는 욕심만으로 웹 기술을 사용하지 않고 네이티브 기술을 그대로 활용할 수 있는 액티브X를 사용한 것입니다. 또 많은 개발자들은 액티브X의 비보안성에 대해 관심조차 없었기도 하고 알고 있으면서도 보안에 대한 인식 자체가 거의 없었기도 합니다. 고객의 보안에 문제가 있을 뿐 서비스하는 측의 보안에는 무관하기 때문에 더욱 그랬을 겁니다.

네이티브 개발자들의 경우는 둘째로 치더라도, 웹 개발의 주무를 맡게 되는 웹 전문 개발자들이 보안에 대해 무심한 경우가 종종 있지요. 이 문제가 더 큽니다.

한 사례를 말해보자면... 저희 회사에서는 기간 업무, 즉 내부 업무 프로그램을 담당하고 있는 저희 팀과 외부로 보이는 홈페이지를 담당하는 팀이 별도로 있습니다. 얼마전에 액티브X 기반으로 광고 등의 솔루션을 만들어서 그걸로 여러 회사 홈페이지에 올려 사업을 하는 회사가 영업을 들어왔습니다.

홈페이지에서 돌아가는 것이므로 저희 팀과는 무관합니다만, 제가 사내 보안 책임자인 관계로 일종의 패널과 같은 위치로 도입할 것인지 논의하는 회의에 저도 참석했습니다. 제 관할 업무가 아니긴 합니다만 여러가지 기술적 배경과 부정적 인식을 들어 반대했습니다. 하지만 홈페이지 담당 팀의 의견은 그리 적극적인 반대가 아니더군요. 사실 그쪽 팀에는 디자이너들 외에는 어정쩡한 웹 개발자 두명 뿐입니다. 그리고 이 웹개발자들이 보안이라는 과제나 액티브X라는 기술의 문제점과 같은 기술적 문제에 대해서는 관심 자체가 없습니다.

예를 들어 작년에 저희 회사에 대형 해킹 사고가 터진 것도, 해킹 가능성을 수차례 통보를 했음에도 불구하고 이쪽 웹개발자들이 보안에 대해 무심해서 대비를 하지 않아 발생했던 겁니다. 웹해킹이라는 건 기본적으로 기초 기술에 대한 이해만 있으면 간단히 막을 수 있는 건데, (네이티브 개발자들도 그런 경우가 없는 건 아니지만) 웹 개발자들은 대체로 기술적 기초가 많이들 부족하고 의지도 적습니다.

또 한가지 말씀을 드리자면, 국내 기업들의 경우 실무 엔지니어 외에 정보 책임자나 보안 책임자, 기술 책임자 등에 대한 인식 자체가 너무나 희박합니다. 이런 위치의 직책이 있는 회사 자체가 대기업 일부를 제외하면 거의 없다시피 하죠. 있다 해도 업무에 필요한 실질적인 권한이 대단히 적습니다.

기업의 직제상에서 대부분 말단에 해당하는 개별 개발자들이 보안상의 문제, 기술상의 비표준 문제 등을 들어서 채택을 반대하는 것이 현실적으로 어려울 때 이런 책임자들이 나서서 주도권을 잡아야 함에도 책임자가 없거나 권한이 너무나 부족해서 검토 자체가 별로 이루어지지 않습니다.

물론 이런 책임자들은 그냥 자리만 차지하고 앉아있는 것이 아니라 기술과 보안에 대해 실무적인 이해를 가지고 업무를 감독할 수 있는 사람이어야 하는 것은 말할 필요도 없고요.

제가 저희 회사의 보안 책임자를 겸임하고 있고 또 실질적으로 정보 책임자 및 기술 책임자의 업무를 담당하고 있습니다만, 저희 회사의 규모로 볼 때 과장급인 제 직책에서 맡아야 할 것이 아니라 최소 부장급에서 담당해야 마땅합니다. 여러번 필요성을 주장했음에도 경영진에서는 아직도 이 문제에 대해 소극적으로 대하고 있지요.

그나마 저희 회사에서는 제 권한이 상당히 강한 편이기도 하고 제가 계속 주장하고 있음에도 이런 정도인데, 그렇지 못한 대부분의 회사의 상황은 생각만 해도 갑갑하기 그지 없습니다. 개발자들이 인식과 필요한 기술을 가지고 주장할 여건도 되지 않고 하더라도 무시될 수밖에 없지 않겠습니까.

우리 나라 업체는 뭐가 중요한지 개념이 없다는 얘기죠~ 웹쪽이나 ActiveX 관련 개발일을 안하고 있는게 참 다행이네요. ㅋㅋ

또 한가지 정부쪽 각 기관들의 입장과, 그 기관들 사이의 영향력 차이도 무시할 수 없을 것 같습니다. 웹 표준이나 보안이 관련된 정부쪽 산하 기관으로는, 소프트웨어진흥원, 정보사회진흥원(구 한국전산원), 정보보호진흥원의 세군데가 있습니다.

그런데 이중에서 정보보호진흥원의 경우 최근 몇년간 눈에 띌 정도로 정부기관인 주제에 친 MS적인 면모를 보여왔고, 소프트웨어진흥원의 경우엔 고현진 전 MS 지사장의 주도로 반 MS에 가까운 행보를 보였습니다. 단적인 예를 들자면, 소프트웨어진흥원의 경우 MS를 공정위에 제소해서 300억이 넘는 대형 선고를 내리는 과정에서 가장 주도적인 역할을 했고, 반대로 정보보호진흥원은 MS와의 끈끈한 애정관계를 과시해오다 최근에도 원장이 MS로부터 감사패를 받았댑니다.

반면 이 두군데보다 훨씬 오랜 역사를 가지고 있는 정보사회진흥원(한국전산원)의 경우 역할 모델이 모호해져 최근 이름까지 바꿔 개편할 정도로 웹 표준 및 보안 문제에 있어 어떤 역할도 하지 못했습니다.

사실 소프트웨어진흥원과 정보보호진흥원 두군데가 MS-정부 관계를 두고 반대의 입장에 서 있었다고는 하지만, 두 기관의 정부내, 그리고 업계에 대한 영향력에서는 차이가 너무나 큽니다. 정보보호진흥원의 경우 정통부 내에서 사실상 보안 및 개인정보 보호에 대해서 업계 및 정부기관에 대해 감독하는 역할을 하고 있어 강력한 파워를 갖고 있지만, 소프트웨어진흥원의 경우 이름의 '진흥'이 격려 정도의 의미만 갖고 있다고 할 정도로 그다지 큰 파워를 가지지 못했습니다.

이런 실질적 파워의 불균형 때문에 전반적인 정부 정책이 MS 편향성이 강해졌을 가능성을 무시할 수 없을 것 같습니다. 이런 상황에서 정보사회진흥원이 지금 이제서야 뒤늦게 웹 표준 문제를 주도하려고 하고 있던데, 좀더 빨리 논의의 중심에 서서 교통정리를 했다면 문제가 이 정도로 커지지는 않았을 거라는 생각을 해봅니다.