“이걸 진짜로 만들다니, 싶었어요.”
2013년 4월22일. 전날 밤을 꼬박 새우고 오후에 일어난 박지수 씨는 스마트폰을 뒤적이다 뉴스를 보고 황당함을 느꼈다. 금융결제원(금결원)이 ‘금융앱스토어'를 내놓았다는 소식이었다. 금융앱스토어는 17개 국내 은행이 제공하는 스마트뱅킹 응용프로그램(앱)을 한곳에 모아둔 서비스다. 당시 금결원은 금융앱스토어에서 뱅킹 앱을 내려받도록 하면 “구글플레이 등 기존 마켓에서 뱅킹 앱을 대상으로 출현하는 피싱 앱을 원천적으로 차단할 수 있을 것”이라고 말했다.
금융앱스토어 문제 지적하려 패러디 웹사이트 만들어
대학에서 컴퓨터를 공부하는 박씨가 보기에 금융앱스토어는 말도 안 되는 얘기였다. 박씨는 모든 은행앱을 웹사이트 한곳에서 내려받도록 한 금융앱스토어는 매우 위험하다고 생각했다. 나쁜 마음을 먹은 해커가 금융앱스토어를 따라 가짜 웹사이트를 만들면 오히려 한 자리에서 많은 피싱 앱을 배포할 수 있기 때문이다. 또 금융앱스토어에서 은행앱을 내려받으려면 안드로이드 운영체제가 공인하지 않은 출처에서 내려받은 앱을 설치하도록 사용자 보안 수준을 낮춰야 하는 문제도 있었다. 이 때문에 출범 당시 많은 보안 전문가와 언론도 금융앱스토어가 스미싱 문제를 해결한다는 명목으로 더 큰 보안 문제를 야기한다고 지적했다.
박지수 씨는 패러디 웹사이트를 만들어 금융앱스토어의 위험성을 알리기로 마음 먹었다. 뉴스를 보던 스마트폰으로 금융앱스토어 주소(fineapps.co.kr)와 한끗차이인 인터넷 주소(flneapps.co.kr)를 샀다. 그러고는 컴퓨터로 금융앱스토어 모바일 웹사이트를 베껴 패러디 웹사이트인 ‘금융얩스토어’를 만들었다.
패러디 웹사이트 '금융얩스토어'에 접속하면 "낚이셨습니다. 이 사이트는 금융위/금감원의 터무니없는 보안 정책에 항의하기 위해 개설되었습니다”라는 문구가 나온다. 사용자의 개인정보를 가로채거나 결제를 유도하지는 않는다.
피싱 웹사이트가 아니라는 점을 확실히 보여주기 위해 패러디 웹사이트에 쓴 소스는 ‘깃허브'에 공개해뒀다. 호스팅도 서버 기능을 임의로 손볼 수 없는 ‘깃허브페이지스’를 썼다. 박씨는 “패러디 웹사이트를 만드는 데 너댓 시간 정도 걸린 것 같다”라고 말했다.
금결원, 패러디 웹사이트가 피싱 사이트라며 차단 요청
금융앱스토어를 내놓은 금결원은 박지수 씨가 만든 패러디 웹사이트가 피싱 웹사이트라며 접속을 차단해달라고 한국인터넷진흥원(KISA)에 요청했다. 2013년 4월24일이었다. 같은날 밤 10시 KISA는 패러디 웹사이트를 ‘특정 사이트를 사칭한 피싱 사이트’로 분류하고, 통신사(ISP)에 긴급 차단을 요청했다.
통신사에 차단을 요청한 뒤 KISA는 패러디 웹사이트 코드 분석을 마쳤다. 역공학(리버스엔지니어링)을 거쳐 코드를 들여다보고 나서야 KISA는 패러디 웹사이트가 악성 피싱 웹사이트가 아니라는 사실을 깨달았다. KISA는 통신사에 차단을 요청한 지 25분 만에 접속차단을 해제해 달라고 요청했다. 이 과정에서 SKT와 LG유플러스는 KISA로부터 접속차단 해제 요청을 못 받았다고 주장했다. 두 통신사는 3일 뒤인 4월26일에야 빗장을 풀었다.
박지수 씨는 평소 조언을 구하던 김기창 고려대법학전문대학원 교수에게 패러디 웹사이트가 차단됐다는 사실을 알렸다. 김 교수는 열린 인터넷을 만드는 시민단체 ‘오픈넷'에서 이사로 활동하던 터였다. 김 교수는 이 사건이 표현의 자유를 함부로 침해한 일이라고 보고 박지수 씨를 도와 오픈넷 차원에서 대응하기로 했다. 오픈넷은 박씨와 손을 모아 관련기관에 소를 제기했다. 악의적인 목적이 없는 패러디 웹사이트가 피싱 웹사이트라며 무작정 차단을 요청한 금결원, 금결원의 차단 요청이 근거가 있는지 제대로 확인하지 않고 통신사에 접속차단을 요청한 KISA, 3일 동안 접속차단을 풀지 않은 SKT·LG유플러스에 책임을 물었다.
서울중앙지법, 원고 일부 승소 판결
1심 재판부는 피싱 위험을 막아야 하는 공익적 가치를 더 크다고 보고 금결원 손을 들어줬다. 박씨는 1심 재판부가 기술적 이해도가 부족했다고 술회했다.
“법원에서 자기들은 전문성이 없다는 식으로 얘기했어요. 소스코드가 다 있고, 코드가 짧고 쉽지만 그걸 까볼 능력이 없다는 거죠. 권한을 요구하지도 않고 개인정보를 입력하는 칸도 없는데 혹시 모르니까 일단 차단하는 게 맞다는 식이었어요."
2심 재판부는 달랐다. 항소심 재판부는 기술적인 이해도가 1심보다 높았다고 말했다. 항소심을 맡은 서울중앙지방법원 민사항소1부(최승록 부장판사)는 지난 9월2일 KISA, SKT, LG유플러스에 책임을 다 하지 않은 과실이 있다고 보고 각각 100만원씩을 박지수 씨에게 지급하라고 판결했다. 법원은 금결원은 의심만 되더라도 신고해야할 의무가 있다고 보고 손해배상책임이 없다고 판단했다.
“발길에 걸린 돌부리 하나 치웠을뿐"
오픈넷은 9월4일 2심 재판 결과를 보도자료로 발표했다. 같은 날 오후 금융앱스토어 패러디 웹사이트를 만든 박지수 씨를 만났다. 연세대학교 컴퓨터공학과 4학년인 박 씨는 이날도 학교에 다녀오던 길이었다. 대학생 신분에 몇번씩 법원을 다녀온 사람치고는 여유로워보였다. 박씨는 “민사소송법 강사님이 판례를 외워야지 만들면 안 된다고 했는데 결국 만들고 말았다”라며 웃었다. 그는 오픈넷이 도와준 덕분에 큰 어려움 없이 재판을 치를 수 있었다고 말했다.
“재판 절차는 공부한 적이 있어 대충 알고 있었어요. 오픈넷에서 많이 도와줘서 재판에는 거의 신경 안 쓰고 살았어요. 필요할 때만 필요한 자료 만들거나 법원에 나가 증언하고 했죠.”
박지수 씨는 패러디 사이트의 안정성을 증명하려고 깃허브를 쓴 점을 공격하는 KISA가 인상 깊었다고 전했다.
“법원에서 각자 기술 발표를 했어요. 이쪽도 하고 금결원과 KISA도 했죠. KISA 발표 중에서 해외 IP의 위험성을 설명한 구절이 있었는데요. 해외로 나가는 금융트래픽 99.9%는 피싱이나 악성 사이트라는 거예요. 그러면서 ‘원고(박지수 씨)에게 진짜 순수한 의도가 있었으면 해외 IP를 사용하지 않았을 것’이라고 얘기하더라고요."
박씨는 2심 판결에 만족한다고 밝혔다. 그렇지만 패러디 웹사이트를 계속 운영할 생각은 없다고 했다. 그는 “그런 사이트를 만들 일이 애초에 없었으면 좋았을 것”이라고 쓴 웃음을 지었다.
패러디할 자유조차 가로막는 현실에 격분해 민사소송까지 냈지만 박씨는 투사가 아니었다. 졸업을 눈앞에 두고 미래를 준비하는 컴퓨터 공학도일뿐이었다. 앞으로 계획을 묻자 박씨는 “학교도 졸업해야 하고 지금 일하는 스타트업도 잘 되면 좋겠다”라고 대답했다.
“글쎄요… 이렇게 얘기하면 피고 쪽에서 싫어하겠지만, 길을 가다 발에 걸린 돌부리를 치웠다는 정도?” 사건을 겪으며 삶이 바뀐 것 같냐는 질문에 박지수 씨는 크게 변한 것은 없다고 답했다. 박씨는 “중요한 판례로 남으면 좋을 것 같기는 해요”라며 자기가 겪은 불편이 다른 사람에게 조금이나마 도움이 되면 좋겠다는 소망을 넌지시 밝혔다.
박지환 오픈넷 변호사는 "이번 판결이 인터넷상 표현의 자유에 중요한 의미를 갖고 있다”라고 평가했다. 접속차단 조치를 내릴 때 규제기관이 엄격한 주의를 기울여야 할 의무가 있다는 사실을 인정한 판결이라는 설명이다. 박 변호사는 이번 판결이 “다소 과격한 패러디 형식으로 정부 정책을 비판하는 행위 역시 헌법이 보장하는 인터넷상 표현의 자유에 속한다고 판단한 것”이라고 풀이했다.
아직 마침표가 찍힌 것은 아니다. KISA가 2심 판결에 불복해 대법원에 상고할 것으로 보이기 때문이다. KISA 관계자는 “적법한 절차를 거쳐 조치를 취했다”라며 “그 과정에서 약간의 문제는 있었지만 중대한 과실은 아니라고 생각한다”라고 상고를 검토하는 이유를 밝혔다.