
나는 직업이 프로그래머다. 그래서 당연히 프로그램이 어떻게 동작하는지 잘 이해하고 그 다음 동작이 어떻게 예측될지를 아는 사람이라는 뜻을 내포하고 있다. 긴 세월 코딩하면서 테스트를 많이 할수록 사용자가 겪는 에러가 줄어든다는 것은 지론이 되었다.
최근 한국 인터넷 환경을 힘들게 하는 3가지 존재가 있다. 하나는 곧 사용자가 폭주할 홈텍스이다. 얼마나 많은 ActiveX를 설치해야하는지 살펴보다가 설치 에러로 몇 번 재설치를 하다가 몇 개의 ActiveX를 설치하는지 세는 것은 포기하고 말았다. 홈텍스 장애를 잡았다고 홍보 기사가 뜨긴 했지만, 직접 접속해본 결과 사용자 경험은 최악이었다.
홈텍스 접속 -> 기존 통합 아이디 전환 -> 로그인 -> 익스플로어 설정 변경.
신뢰할 수 있는 사이트 팝업창의 웹 사이트(W) 란에서 www.hometax.go.kr 및 hometax.go.kr 로 등록된 기존 홈택스 주소가 있으면 반드시 선택하여 “제거(R)” 버튼을 클릭해 삭제.
기존 사용자의 경우 신뢰할 수 있는 사이트로 등록돼 있었을 것이고 홈텍스를 이용하는 국민들은 왜 사이트 에러가 나는지 모르는 상황에 몰렸을 것이다. 사용자들이 느낄 좌절감은 상상 그 이상일 것이지만, 전화 폭주로 인터넷 문의만 받는다는 친절한 안내가 있다.
얼마나 에러가 많았으면 아래와 같은 공지가 나오고 있다. 공지 메시지에서 전자 세금 계산서 자체 발급에 문제가 있음을 보여주고 있다. 기본적으로 어떤 프로그램이나 웹 사이트라도 사전에 충분한 시간을 가지고 테스트 진행을 몇 차례 하면 사용자가 어떤 상황을 겪는지를 예측할 수 있다.
이 보다 더 문제는 TLS 1.0을 허용하도록 만드는 안일한 보안 의식이다. 여러 ActiveX 설치를 하다가 설치가 제대로 되지 않았을 때 수동 설치를 할 때 파일 다운로드가 되지 않는다면 TLS 1.0 ‘사용’이라고 보안 옵션을 내리도록 권장하고 있다.
•(수동설치를 위한 )다운로드 버튼 클릭시 다운로드가 안되는 경우 도구-인터넷옵션-고급탭- 보안 TLS1.0사용을 체크로 설정 하시기바랍니다.
TLS 1.0은 보안 문제로 인해서 사용이 이제 중지된 보안 통신 프로토콜이다. 상대적으로 취약점이 있는 보안 프로토콜을 권장하는 보안 의식을 봤을 때 제대로 사이트가 보안 가이드라인을 가지고 만들었는지를 이해할 수 없다. 홈텍스 하나 때문에 사용자 PC의 보안이 극도로 안 좋아지는 우를 범하고 있다.
참고로 홈텍스는 로그인 실패를 백만번 하더라도 별다른 2차 보안 조치 없이 개발돼 있다. 물론 공인인증서 기반이지만 기본적인 로그인 실패가 다수 발생하면 계정 블럭이나 재인증 등의 절차는 필요하지 않을까싶다.
두 번째는 그 피해가 어느 정도인지 가늠되지 않는 공공 아이핀 사태이다. 이 사태는 결국 모든 공공 아이핀을 5월에 재발급 받게 하고 패스워드를 자주 변경하게 만드는 선에서 종료됐다.
지난 몇 년전부터 아이핀 도용 사례가 심심치 않게 나왔고 아이핀을 사고 파는 블랙 마켓이 존재한다는 것을 인지했다면 사실상 이런 보안 취약점이 있거나 내부자의 공모가 있었다는 것을 상상했어야 한다.
마지막으로는 바로 대한민국의 이름을 달고 영업을 하고 있는 대한항공이다. 홈페이지 접속 에러 문제와 홈페이지에서 예약이 제대로 안되는 문제로 작년 9월부터 지금까지 사이트 안정화를 못하고 있다.
더구나 고객 예약 정보DB를 덮어 썼는지, 이미 사용한 비행기 티켓이 예약으로 나오는 황당한 경우도 발생하고 있다. 디자인은 좋아졌지만 안정성과 사용자 경험이 극도로 떨어지는 대한항공 홈페이지에 많은 고객들은 본인들이 잘못했는지 알고 극도의 스트레스를 받고 있다.
개발자들이 밤을 새며 개발한 프로그램과 사이트의 경우 개발자들이 습관적으로 버그를 피해서 사용 테스트를 하는 경우도 있다. 고의적인 것이 아니라 무의식적인 망각과 부정과 수만 번 단순 테스트로 인해서 생기는 일이다.
하지만 고객은 베타 테스터가 아니다. 사이트 에러로 좌절과 분노를 느끼기에는 우리 국민은 너무 소중한 존재들이다. 대한항공은 사용하지 않고 타사 항공을 이용하면 되지만 아이핀과 국세청 홈텍스는 대체되지 않는 독점적인 서비스를 하고 있다. 보안관련 정부 인사들은 국민이 베타 테스터가 아니라는 사실을 명심해야 한다.
필자 소개: 김호광-프로그래머 / 나이키 Run the city의 보안을 담당했으며, 현재 여러 모바일게임과 게임 포털에서 보안과 레거시 시스템에 대한 클라우드 전환에 대한 기술을 지원하고 있다. 최근 관심사는 사회적 해킹과 머신 러닝, 클라우드 등이다.