전자정부 보안 UX, 어떻게 바꿔야할까?

컴퓨팅입력 :2015/06/26 08:14

손경호 기자

정부가 11월 중 차세대 전자정부 중장기 기본계획을 세우며, 사용자경험(UX/UI)을 강화한다는 계획을 세웠다. 현재 시점에서 현업 개발자, 민간 전문가들이 보는 시각은 '이전보다는 나아진 것 같지만 여전히 불편한 점이 많다'는 지적이다.

윈도10과 같은 새로운 운영체제(OS)가 연내 등장하고, 액티브X, NPAPI와 같은 플러그인의 퇴출이 눈 앞으로 다가오면서 그동안 국민들의 세금으로 운영돼 온 공공기관 웹사이트에 대한 개선은 이번에 제대로 해결하지 못하면 앞으로는 더이상 기회가 없다는 얘기도 들린다.

다행스러운 점은 행정자치부가 전자정부 웹사이트를 일제점검해 보안경고 문구를 삭제하고, 'G-SSL'이라는 사용자PC 내 웹브라우저와 공공기관 웹사이트 간 안전하게 암호화 통신을 하기 위해 활용해 온 방법을 국제 표준에 맞춰 웹접근성을 높이겠다는 계획을 밝혔다는 점이다.

그러나 업계 및 민간 전문가들은 일반 사용자들이 더 쉽고 편하게 사용할 수 있는 방법에 대해 확실한 방향성을 잡고, 구체적인 계획을 이행할 수 있어야 한다고 말한다. 총론이 중요하고, 각론은 더 중요하다는 설명이다.

최근 국내 주요 공공웹사이트에 대해 직접 보안성, 호환성 등 여부를 점검했던 김기영 플라이하이 실장은 "웹사이트 이용을 위해서는 여전히 필수가 아니더라도 설치를 해야지만 그 다음 단계로 넘어가는 곳들이 상당수 였다"고 밝혔다.

더구나 정부사이트가 액티브X 기반 플러그인 없이도 사용자PC의 웹브라우저와 각 공공사이트 간 안전한 연결을 보장해주도록 하는 암호화 통신 프로토콜인 'G-SSL'을 도입했음에도 불구하고, 여전히 인터넷익스플로러(IE) 상에서는 '신뢰할 수 있는 사이트'로 강제 등록 해야지만 해당 사이트를 오류 없이 이용할 수 있다는 부분에 대한 개선이 필요하다. 기존에 액티브X 기반 플러그인을 통해 임의로 SSL과 유사한 보안통신채널을 만들어 왔던 부분을 청소하는 작업을 수행해야한다는 지적이다.

민원서류를 인터넷 상에서 발급받기 위해 필요한 공인인증서 사용 방식에도 여전히 문제가 개선되지 않고 있다고 그는 지적했다. 기존에 유출, 도용 등으로 몸살을 앓았던 공인인증서와 개인키를 저장하는 가장 안전한 저장매체는 하드웨어 형태의 보안토큰이었다. 문제는 현재 제공되는 보안토큰이 여러 인증서, 개인키를 집어넣었을 경우 이를 제대로 구분하지 못하는 문제가 생긴다는 점이다. 김 실장은 "보안토큰 내에서 연산처리를 위한 소프트웨어가 제대로 준비가 안 된 경우가 상당수"라고 설명했다.

각 공공기관 사이트마다 비밀번호를 설정하는데 필요한 정책이 다르다는 점도 불편함을 유발한다. 예를들어 A사이트에서 최소 8자리 이상, 영문/숫자/특수문자를 1자리 이상 넣은 비밀번호를 만들라고 요청하나, B사이트에 가면 특수문자가 없는 비밀번호를 넣으라는 식이다. 이들 모두 정부 산하 기관 사이트인데도 비밀번호 생성 규칙 마저도 제각각이라는 것이다.

그는 이어 수많은 보안제품이 설치되는데 실제로는 이들이 모두 제각각 구동되고, 제대로 연동돼 관리되지 않고 있기 때문에 한 보안제품에서 취약점을 통해 공격을 시도하면 해당 사이트가 공격을 당할 수 있을 정도로 구멍이 뚫려있다는 점에 대해서도 지적했다.

김 실장은 "정수기에 비유하면 제각각 기능을 갖고 서로 연동돼 공격을 막아야할 보안제품이 하나의 필터에 모두 들어가 있는 것이나 마찬가지"라고 설명했다.

전자정부 사이트에 대한 개선방안을 보다 넓게 보면 총론은 결국 국민들이 쉽고 편하게 정부서비스를 이용할 수 있게 해야한다는 것이다.

이와 관련 지난해 정부가 기획한 '정부3.0 국민행복 맞춤형 서비스 모니터단'으로 활동했던 최재영씨는 "약 1년에 걸쳐 300명의 모니터단이 1천300여개 사이트에서 2천91건에 달하는 불편함 혹은 문제점을 발견했다"고 밝혔다. 문제를 발견하는 것 못지 않게 중요한 것은 개선안이다.

그는 "근본적으로 모든 정부사이트들을 한 곳에 모아서 쓸 수 있도록 일종의 포털 허브를 만들고, 담당 부처나 기관이 공통된 표준 플랫폼 안에서 콘텐츠 내용만 바꿀 수 있는 형태로 가야한다"고 주장했다.

그는 "그동안 불편함의 핵심원인으로 지적됐던 보안프로그램의 경우 해당 사이트 운영자가 뒷단에서만 모니터링할 수 있도록 해야지 왜 국민들한테 그런 것들을 설치하도록 강요하냐"고 지적했다. "한 곳에 모아 단순하게 만들고, 표준화해 부처, 기관 실무자들도 콘텐츠를 운영, 관리하기 쉽게 만들고, 그동안 저마다 달랐던 필요없는 솔루션을 과감히 없애는 작업이 필요하다"는 설명이다.

국세청의 경우 2월부터 연말정산간소화서비스, 홈택스, 현금영수증 등 9개 국세행정서비스를 홈택스에 통합한 '차세대 국세행정시스템'을 운영해 오고 있으나 전산장애가 잇따라 발생하면서 원성을 산 바 있다.

관련기사

이와 관련 행자부, 미래부, 각 시도청 실무 담당자, 학계 전문가 등은 개선대책을 논의하며 사용자에게 과도한 인증을 요구해왔던 부분들을 줄여나간다는 방침을 밝혔다.

총론에서 쉽고, 편리한 정부사이트 사용이라는 목표를 세웠다면 문제는 어떤 각론을 세우는가에 달렸다. 적어도 사이트 마다 들쭉날쭉한 방식이 되서는 안 된다는 것이 보안, 민간 전문가들의 공통된 지적이다.