대민 웹서비스, 어쩌다 이렇게 불편해졌지?

공공 웹서비스, 이대로 둘 수는 없다②

컴퓨팅입력 :2015/11/02 15:54    수정: 2015/11/02 16:34

특별취재팀 기자

공공웹사이트 이용환경이 여전히 불편한 이유를 놓고 담당공무원, 웹솔루션업체, 사이트구축업체 등의 관계자마다 제각각 해석을 내놓는다. 관점에 따라 크게 제도적, 기술적, 환경적 측면을 나눠 설명할 수 있다.

플러그인 설치를 유도하는 제도적 장치

전자정부사업의 법률적 바탕은 ‘전자정부법’이다. 여기에 공공 웹사이트 구현에 대한 기술적 강제조항은 없다. 다만, 전자정부법과 연계되는 전자서명법과 전자정부법 시행령 등이 기술적 규제를 유도한다. 핵심은 공인인증서를 활용한 본인 확인이다.

전자정부법 제10조(민원인 등의 본인 확인)는 ‘전자서명법 제2조 제3호에 따른 공인전자서명이나 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙 및 대통령령으로 정하는 방법으로 그 신원을 확인할 수 있다’고 명시했다.

또, 전자서명법 제18조의2(공인인증서를 이용한 본인확인)는 ‘다른 법률에서 공인인증서를 이용해 본인임을 확인하는 것을 제한 또는 배제하고 있지 아니한 경우에는 이 법의 규정에 따라 공인인증기관이 발급한 공인인증서에 의하여 본인임을 확인할 수 있다’고 나온다.

‘하여야 한다’ 식의 강제조항은 아니다. 다만 전자정부법이 공인인증서 사용을 제한하지 않으므로, 전자서명법에 따라 공인인증서를 활용하는 게 가장 명확한 행정이 된다. 이런 틀은 현행법의 모태인 2001년 ‘전자정부 구현을 위한 행정 업무 등의 전자화 촉진에 관한 법률’ 시행 이래 크게 바뀌지 않았다.

일부 금융기관 사례를 제외하면 현재 국내 공인인증기관에서 발급한 공인인증서를 웹표준으로 다룰 수 있게 만들어진 서비스는 없다.

행정기관에서 신원확인에 꼭 공인인증서를 써야 할까? 물론 '전자정부법 시행령'을 근거삼아 신용카드 등록정보를 통한 신원확인도 가능하다. 다만 개인정보 변조, 유출, 도용방지 조치를 꼭 마련해야 한다.

문제는 대표적인 개인정보 보호조치인 '키보드보안' 프로그램의 대체수단으로 등장한 기술 역시 웹표준은 아니란 점이다. 결국 공인인증서로 시작되는 비표준 프로그램 설치가 보안 프로그램 설치로 이어진다. 법령에서 요구하는 신원확인 절차와 상응하는 보안조치를 일괄 구현한 결과다.

민원24 접속화면. 키보드 보안 프로그램 설치를 안내하는 팝업창이 뜬다.

플러그인 남용 낳은 기술적 요인

공공웹사이트의 불편을 만드는 기술적 요인은 크게 두가지다. 불필요한 플러그인 기술의 남용과, 사용자 정보보안에 대한 접근방식 등이다. 두 요인은 서로 영향을 미치며 웹사이트의 편의성을 망친다.

국내 웹사이트는 굳이 쓰지 않아도 될 부분까지 플러그인을 남용해왔다. 오래 전 만들어진 웹사이트일수록 비표준 기술 남용에 대한 반성이 부족하다. 웹 상에 바로 구현가능한 게시판이나 표, 그래프 등도 플러그인을 설치하도록 했을 정도다. 예를 들면 국가재난정보센터 민방위 홈페이지에서 1분도 안되는 경보사이렌 소리를 듣는데 윈도미디어플레이어 플러그인을 깔아야 한다.

비표준 기술 남용은 보안이나 사용자 보호라는 명분을 만나 한층 심각해진다. 국내 공공웹서비스는 사용자 PC, 노트북에 보안 프로그램을 설치하도록 강제하는 방식을 취해왔다. 서비스 앞단에서부터 강력한 보안정책을 적용해 공격자의 침입을 막겠다는 의도였다.

웹사이트용플러그인은 보안, 인증, 멀티미디어, 결제, 게임, 전자문서, PC제어, 파일처리, 기타 등으로 분류할 수 있다. 공공부문에선 공인인증, 통신암호화, 사용자 방화벽, 키보드보안 등 프로그램이 주로 쓰인다. 공인인증은 본인확인, 통신암호화는 사용자 기기와 운영 서비스간 송수신 데이터 보호, 사용자 방화벽은 PC에 대한 외부 침입 방어, 키보드보안은 비밀번호 등 키보드로 입력되는 정보의 유출 방지 용도다.

이런 플러그인 중 공인인증과 보안 3종 세트로 불렸던 ‘키보드 보안’, ‘개인 웹방화벽’, ‘PC백신’ 등은 웹표준 방식의 구현이 어렵거나 불가능하다. 공공기관에서 운영하는 웹사이트가 이런 기능 제공을 고집한다면 웹표준으로의 전환은 성립되지 않는다. 특정 브라우저와 운영체제 환경에서만 작동하는 플러그인 기반 서비스의 불편함을 해소할 수 없게 된다.

서비스 공급자 입장의 보안을 달성했지만, 사용자 편의성을 떨어뜨리는 결과를 낳은 셈이다. 덤으로 사용자가 무조건 프로그램 설치에 '예', '확인'을 누르게 하는 일명 '예스맨'을 만들어 오히려 보안성을 떨어뜨리는 습관마저 조장했다. 이제 사용자는 보안 기능에 대해서도 ‘꼭 써야하냐’고 반문하게 된다.

민원24 서비스 이용을 위해 필요한 프로그램.

발주기관 전문성 없고, 예산없이 SI풍토만 굳건

공공기관은 비리예방과 공정성 확보 차원에서 순환보직제를 운영하고 있다. 공공웹사이트 구축 사업을 발주하고 운영관리하는정보화담당관도 예외는 아니다. 순환보직제에 따라 정보화 담당자가 바뀔 때마다 공공웹사이트 사용성 개선 사업은 처음부터 다시 시작된다.

이런 가운데 정보화 담당관 스스로 웹 기술과 사용 편의성에 대한 전문성을 갖출 수 없다. 큰 변화를 시도하기엔 책임부담마저 크다. 별 문제 없이 보직 기간을 마치는 게 최선인 공무원 입장에서 더욱 그렇다.

한웹에이전시 업체 관계자는 “담당자가 너무 자주 바뀌는데 전임자가 진행하던 사업이 제대로 인수인계가 안되는 것 같다”며 “이런 문제는 행자부, 미래부, 방통위 할 것 없이 다 마찬가지다”고 꼬집었다.

한 지방자치단체 정보화 담당자 또한 "정해진 법이나 조례를 지키는 한에서 예산도 많지 않으니까 신기술이나 새로운 시도를 하지 못하는 면이 있다”며 “아마 하던대로 해왔기 때문에 액티브X라는 기술이 퍼진 면이 있다고 본다”고 말했다.

공공기관의 발주행태도 공공웹사이트 개선의 발목을 잡는다. 공공SW사업은 수주업체에 불필요하게 요구하는 서류나 행정절차들이 지나치게 많고 복잡하다. 발주처는 불분명한 요구사항을 내놓고 그걸 수시로 바꾸거나 뒤집는다. 사업자 입장에선 당초 수주 금액도 작지만, 변경되는 과업을 수행하면서 추가 집행 비용을 기대할 수도 없다.

공공웹사이트 구축 사업에서도 같은 일이 벌어진다.

업체 관계자는 “소위 잘 나가는 국내 대표 웹에이전시들 중엔 공공기관 사업을 수주하는 곳이 전무하다”며 “잘 하는 업체들이 사업에 참여하지를 않으니까 항상 싼 가격에라도 수주하는 업체들끼리 남아 결과물의 품질을 기대하기 어려운 것”이라고 말했다.

함량 미달의 결과물을 방지하기 위한 제도적 장치가 있긴 하다. 공공정보화 사업 결과물에 대한 감리다. 발주기관의 요구 사항에 맞추지 못한 결과물은 사업 종료 전에 이 절차를 통해 보완돼야 한다. 문제는 전자정부법 시행령 기준으로 사업비 1억원 미만의 소규모 사업은 감리 대상에서 제외되고, 들더라도 감리 제도가 제 역할을 못 하고 있다는 점이다.

사업자는 공공웹사이트 구축시 전자정부법과 그 시행령에 따라 사이트를 ‘웹표준’ 기반으로 만들고 여러 플랫폼에서 제기능을 발휘하는 ‘호환성’도 충족해야 한다. 민원24나 국세청 홈택스처럼 사이트가 특정 운영체제나 브라우저에서만 열리거나, 비표준 기술을 써야만 특정 기능을 제공하는 서비스를 결과물로 내놓은 건 최소 계약 위반이고 넓게 볼 땐 법을 어긴 것이다.

공공정보화 사업 관련 소식통에 따르면 이런 일이 감리를 통해 문제로 지적되고 바로잡혔어야 하지만 현실은 다르게 돌아간다. 일차적으로 공공웹사이트 검수를 맡는 감리 담당자들에게 비표준 기술 남용 문제를 걸러낼 역량이나 의지가 부족하다. 드물게 이를 파악하고 지적하더라도 발주처와 사업자의 ‘대안이 없어 비표준 기술 사용이 불가피했다’는 변명이 통용된다.

-다음편에 계속-


[연재 순서]

①민간과의 격차 심화...국가 생산성 저하 우려

관련기사

②대민 웹서비스, 어쩌다 이렇게 불편해졌지?

③공공 웹서비스 혁신의 3가지 키워드