MS 패스포트 안정성 논란 「갈수록 커진다」

MS 닷넷 플랫폼 전략 책임자인 애덤 손은 자사의 계획을 직접 듣기 바라는 소비자 옹호 그룹 CDT(Center for Democracy & Technology)의 요청으로 워싱턴을 방문했다고 밝혔다. MS는 이번 방문으로 일반 그룹뿐 아니라 입법자들과도 대화할 수 있다. 하지만 ZDNet은 지난 21일 손에게 방문 일정을 물어봤으나, 손은 대답을 거절했다. 아직 MS가 해결해야 할 문제는 많다. 지난주 15개의 사생활 보호 및 소비자 보호 단체들은 MS의 패스포트와 관련 서비스가 FTC 규정의 섹션 5에 위배되는 부당하고 정직하지 못한 교역 행위라는 내용의 7월 26일의 제소장을 수정했으며, 이 수정안을 FTC에 제출했다. 패스포트는 다양한 웹서비스에 편리하게 접속할 수 있도록 해주는 컴퓨터 인증 시스템이다. 소비자들은 한 개의 확실한 ID와 패스워드로 자주 사용하는 웹사이트와 서비스에 접속할 수 있다. MS의 패스포트 인증은 MSN 메신저, 핫메일 서비스, MS 개발자 네트워크 접속, MS 리더에서의 e-Book 구매 등에서 사용되고 있다. 패스포트는 또한 사용자들이 PC, 핸드폰, 핸드헬드 등의 여러 장비에서 e-메일, 주소록, 일정 관리 등의 기능을 사용하고 쇼핑, 은행, 오락 등의 다양한 웹사이트에 접속할 수 있도록 해주는 헤일스톰의 인증 시스템이기도 하다. 헤일스톰은 MS의 '서비스로서의 소프트웨어'라는 닷넷 전략의 일환이다. 하지만 사생활 보호 그룹들은 MS의 패스포트가 너무 많은 개인 정보를 수집하며, 중요한 정보를 보호하기 위한 기초 보안 기능에 의구심을 제기하고 있다. 하지만 일부 산업 분석가들은 이런 주장의 타당성을 의심해 왔다. 건지 리서치의 분석가인 크리스 리탁은 "나는 패스포트가 다른 웹사이트에서 요구하는 것보다 더 많은 정보를 가져가는 것 같지 않다"고 말했다. EPIC(Electronic Privacy Information Center)와 정크버스터(Junkbusters) 등을 비롯한 일부 단체들은 패스포트 인증 과정 중 특히 e-메일 주소를 요구하는 것에 대해 비난했다. 하지만 리탁은 e-메일 주소를 입력하는 것은 웹에서 '흔히 있는 일'이라고 언급했다. 그러나 CDT는 제 3자가 아닌 MS로부터 직접 정보를 얻길 원한다. 슈워츠는 "보안 전문가들과 사생활 보호 그룹들 사이에서 패스포트, 헤일스톰, 윈도우 XP 등의 미래를 두고 많은 논란을 벌이고 있다"며, "우리는 단지 실질적인 측면에서 MS의 브리핑을 듣길 바라는 것뿐이며, MS에 직접 물어보고 싶은 부분도 몇 가지 있다"고 전했다. 또한 그는 "이것이 우리가 일하는 방식이며, 이런 문제가 발생하면 회사와 대화하고 자세한 세부 사항들을 알아보고 또한 그들이 앞으로 어떤 방향으로 나갈 것인지에 대해 알고자 하는 것"이라고 덧붙였다.CDT에서는 MS와의 만남을 주선하기 위해 다수의 지역 프라이버시 전문가와 보안 전문가들을 소집했다. 슈워츠는 적어도 입법자들이나 FTC 제소장을 제출한 단체들의 대표들은 CDT 브리핑에 참석하지 않을 것이라고 밝혔다. 이 기관의 웹사이트에 따르면 CDT의 임무는 "새로운 디지털 미디어 상에서의 개인의 자유와 민주주의의 가치관들을 보호하고 발전시키기 위해 공공 정책을 개발하고 수행하는 것"이라고 명시돼있다. 손은 패스포트 브리핑을 통해 MS가 의도하는 바는 분명하다며, "지금까지 인터넷을 통해 왜곡된 사실에 대해 해명하는 일이며, 단기적으로 패스포트와 장기적으로는 닷넷이나 헤일스톰과 같은 기술이 존재하게 될 우리의 미래가 보장되길 바라는 것"이라고 전했다. 손은 MS가 "프라이버시 보호에 상당히 신중하게 접근해야 하며, 현재의 입장과 앞으로 다가올 우리의 미래에 대해 논의하기를 바란다"고 강조했다. 최근 MS가 사생활 보호를 강화하기 위해 일부 기능을 개선하기 했지만 패스포트를 둘러싼 논쟁은 그치지 않을 전망이다. 윈도우 XP의 일부 주요 기능을 사용하려면 패스포트 계정이 필요하다. MS는 그동안 이런 문제로 사생활 보호 단체, 경쟁사, 그리고 독점 감시 기관으로부터 비난을 받아왔다. 실제로 IM을 전송하는 통신 콘솔과 화상 회의 등의 기능을 이용하기 위해서는 패스포트 인증을 거쳐야 한다. 이에 대해 프라이버시 보호 단체를 포함한 다른 단체들은 MS가 새로운 패스포트 인증에 윈도우 XP를 사용하려는 계획이라는 우려의 목소리가 높았다. 하지만 MS의 소비자 서비스와 디바이스 그룹 부사장 브라이언 아르보개스트는 "윈도우 XP를 사용하는 데에는 패스포트가 전혀 필요 없다"고 일축했다. 아르보개스트는 "패스포트는 인증 시스템이라는 개념만 가지고 있다. 사용자 자신을 확인할 수 있는 확실한 방법이 필요하다"며, IM과 화상회의 같은 커뮤니케이션 기능에만 패스포트가 필요하다고 설명했다. 분석가들은 패스포트가 가지고 있는 보안상 가장 큰 결함은 단 한 번의 등록 과정을 통해 계정이 이뤄진다는 점이라고 지적했다. 단 한 번만 등록할 수 있기 때문에 처음 정보를 잘못 입력하면 돌이킬 수 없다는 것을 의미한다. 또한 ID가 곧 e-메일 주소를 의미하기 때문에 해당 계정에 침투하려는 사람에게 원하는 정보의 절반이 노출된 셈이다. 리탁은 "패스워드를 해킹하는 소프트웨어는 쉽게 구할 수 있다"고 설명했다. MS는 이같은 문제의 해결 방안으로 은행과 같은 파트너사의 웹사이트에서는 2차 인증 과정을 통해 부가적인 정보나 4자리 비밀 번호를 요구하는 등 추가 보안 장치를 제공하고 있다. @