2. 문제의 핵심
• 유독 우리나라만 표준웹 환경이 아니다.
• 표준웹 = platform(OS, browser)-free web
• 한국 = Internet(web) Galapagos
• "공인" 인증서가 표준웹 환경을 결정적으로 방해
• 전자서명법을 고쳐야 한다.
3. 한국 후진적 웹 환경
• "(ActiveX app.) 설치하세요"
• "본 웹사이트는 Internet Explorer x.y에 최적화되어
있습니다"
• 한국에서 IE/Windows 아닌 사람 = 2등 국민
4. 먹이 사슬, 꼬인 실타래
• 금융위원회가 공인인증서 강제
• ActiveX 구현 공인인증서가 실질적 강제 표준
• 금융거래때문에 할 수 없이 모두 IE/Windows
• 국내 거의 모든 컴퓨터 환경이 ActiveX 공격에 노출
• 한국: 해커들에게 더 없이 좋은 놀이터, 숙주
• 독약 같은 ActiveX 환경에 기생/공생하는 거대한 이익 집단 존재
• 근본적 상황 개선 없이는 한국은 인터넷 보안 최악 후진국
5. 잘못된 지배구조
• 금융위원회가 특정 기술을 강제하는 것은 월권
• 특정 기술 선택은 각 금융사업자의 몫
• 금융위원회가 국내 전체 보안환경을 실질적 지배
• 이 역할은 금융전문가 그룹이 아니라 인터넷 보안전문가 그룹의 몫
• '공인' 개념의 과대 적용
• '공인'이라는 이름으로 KISA만 국내 유일의 최상위 인증기관으로 인정하는 것은 잘못
• KISA는 주로 공공부문에, 기타는 사업성격에 따라 CA를 자유롭게 선택하도록
6. 개정안의 이해
• 공인인증서를 없애라는 것이 아님
• 금융위원회의 위임권 남용에 의한 특정 기술 강제를 막으려는 것임
• KISA를 없애라는 것이 아님
• 최상위 인증기관에 KISA를 포함한 복수 기관 허용을 요구하는 것임