사고거래에 대한 책임: 은행 or 고객?

March 11th, 2010 by youknowit 출력 출력 9 comments »

인터넷에 근거없이 떠도는 주장 중 하나가 “외국은 사고거래가 나면 고객이 뒤집어 쓰게되어 있으나, 우리 나라는 주로 은행이 뒤집어 쓰게 되어 있다”는 것입니다.

법제가 이러니, 한국에는 은행들이 유달리 보안에 신경을 쓸 수밖에 없다는 주장입니다. 물론 금감원 관계자들이 언제나 내세우는 주장이기도 합니다.

우물안 개구리도 이런 개구리는 보기 어렵습니다. 금감원의 무책임/무식도 이런 수준으로 10년을 버텨 왔으니, 제일 먼저, 저같은 법률가가 책임을 통감해야 하겠지요.

외국 어디에도 사고가 나면 고객이 뒤집어쓰는 제도는 없습니다.(도대체 말이 되는 소리를 해야 대꾸라도 할 가치를 느끼지요).

언제나 들먹이는 미국의 법제도를 간단히 소개합니다. Regulation E 라고 알려져 있는 연방법 규정입니다(Electronic Funds Transfer (EFT) Act). 해당 규정은 여기 있습니다.

핵심 내용은

  • 접근 수단(접근 매체, 즉 보안카드, 인증서 등을 포함하는 개념)을 분실하였음을 안 날로부터 이틀 내에 은행에게 분실 신고를 하면 고객은 50달러 한도 내에서만 책임을 집니다.
  • 이틀이 지나도록 분실 신고를 안 한 경우 500달러 한도에서 고객이 책임을 집니다.
  • 거래 내역이 정기적으로 고객에게 전달될 경우, 사고거래가 표시된 명세서가 발송된 날로부터 60일이 지나도록 고객이 은행에게 아무 신고도 안하면 (좀 복잡한 조건이 충족되면) 전액에 대하여 책임을 져야할 가능성도 생깁니다…

보안카드를 분실했다는 사실을 알고도 은행에게 신고를 안한 고객은 어느 정도 책임을 지는 것은 당연하지요. 한국에서도 그럴 것입니다.

하드디스크에 저장된 인증서 파일을 도난(유출)당했는지 안했는지를 알아낼 수 있는 고객은 없습니다. 따라서 고객은 50달러 이상 책임을 질 경우가 사실상 없다고 보시면 됩니다. (분실을 안 날로부터 이틀 안에 신고하면 고객이 보호되므로, 몰라서 신고 못한 경우에도 당연히 보호됩니다) 외국에서 은행들이 인증서를 별로 좋아하지 않는 이유는 바로 여기 있습니다. 아무리 사고가 나도 고객에게 책임을 묻기가 어렵기 때문입니다. 전자서명을 하도록 하면 무조건 고객에게 책임지울 수 있다? 근거 없는 “썰”입니다.

반면에 분실여부를 고객이 당장 알 수 있는 접근수단(보안카드, OTP 발생기, 휴대폰 OTP 의 경우에는 휴대폰)은 은행에게도 유리하고, 고객에게도 안전합니다.

아무 근거 없이 “외국은 사고가 나면 고객이 다 뒤집어 쓴다더라”는 카더라 통신은 좀 그만했으면 좋겠네요. 아무 근거도 없이 그런 말을 자꾸 옮기고 다니는 사람들을 저는 도저히 이해할 수 없네요.

장하다, 금감원!

March 10th, 2010 by youknowit 출력 출력 8 comments »

최근 어떤 보도에 의하면, 한국 금융감독원은 전세계 아무데도 하지 않는 공인인증서 사용 “강제”를 계속하겠다는 굳건한 의지를 굽히지 않으면서 그 이유로, 한국이 전세계에서 가장 앞서 가기 때문에 외국 사례를 참조할 가치가 없다는 입장이라고 합니다.

외국 사례는 최근 금융보안연구원이 정확하게 조사하여 발표하였습니다. 그 조사보고서 마지막 페이지를 보면 “본 보고서 내용을 인용할 때에는 반드시 금융보안연구원 ‘해외 인터넷뱅킹 보안현황 조사 보고서’ 라고 밝혀 주시기 바랍니다”라고 적혀 있습니다. 아래 내용은 금융보안연구원 ‘해외 인터넷뱅킹 보안현황 조사 보고서’에서 인용합니다.

국가 은행 인증매체 암호화 방식 비고
미국 Bank of America(BOA) - 문답식 로그인 인증
– SMS OTP카드 OPT
EV SSL 평가판 백신 제공(설치여부는 고객이 선택)
City Bank - 이메일을 통한 Secure
Authorization Code
SSL
US Bank - 문답식 로그인 인증 SSL
영국 Barclays
Bank
- 스마트카드 리더기 OTP SSL 무료 백신 제공(설치여부는 고객이 선택)
Royal
Bank of Scotland
- 스마트카드 리더기 OTP SSL 무료 개인방화벽 제공(설치여부는 고객이 선택)
네덜란드 ABN-AMRO Bank - 인터넷뱅킹 전용 단말기 SSL
SNS Bank - 토근 OTP SSL
RABO Bank - 토근 OTP SSL
호주 Bank of Qeensland(BOQ) - 토근 OTP SSL 계좌번호 및 이체금액을
추가 입력
Commonwealth
Bank
- 토근 OTP(기업고객) SSL
ANZ Bank - 토큰 OTP(기업고객) SSL
싱가포르 DBS Bank - 토근 OTP SSL
United
Overseas
Bank (UOB)
- 토큰 OTP
– SMS OTP
EV SSL
OCBC Bank - 마우스입력기
– 토큰 OTP
– SMS OTP
– Mobile OTP
SSL
중국 공상은행 - USB키 인증서
– 보안카드
– SMS 인증
SSL 바이러스백신, 키보드보안프로그램 제공(설치여부는 고객이 선택)
CAPTCHA 제공
건설은행 - USB키인증서
– 보안카드
– SMS OTP
SSL 마우스입력기
(가상키보드)
CAPTCHA 제공
중국은행 - OTP
– 개인인증서
SSL 키보드보안프로그램 제공(설치여부는 고객이 선택)
말레이시아 RHB Bank - 보안카드 + SMS OTP SSL 마우스입력기
(가상키보드) 제공
Maybank - SMS OTP
– ATM OTP
– Telebanking OTP
SSL
AmBank - SMS OTP
– Telebanking OTP
SSL

거래내역 전자서명을 받는 곳은 단 한 곳도 없습니다. 결국 이 모든 나라는 “후진적”이고, 한국만 “선진적”이라는 소리인데… 참 장합니다.

외국 금융기관들이 전자서명을 받지 않는 이유는 단순합니다. 받아봤자 아무 소용이 없기 때문입니다. 인증서 개인키 유출을 막기도 어렵고, 실제로 누가 그 개인키를 이용해서 전자서명했는지를 밝힐 방법도 없고, 사고거래는 어차피 인증서가 유출된 상태에서 일어나므로, 공격자가 한 전자서명이라는 주장이 훨씬 설득력이 있기 때문입니다. 외국의 보안전문가들이 전자서명 “기술”을 몰라서 못쓰는 것은 아니지요.

최근 또 다른 어떤 보도를 보면, 안철수 연구소 관계자라는 분께서 영국은 전자금융사고가 1000억원 규모이지만 한국은 3억원에 그쳤고, 그것은 공인인증서 덕분이라고 말했다고 하네요.

한국의 전자금융 사고거래의 규모를 저도 찾아 보려고 무진장 노력했습니다. 검찰청 컴퓨터범죄 수사부, 첨단범죄수사부에도 문의해 봤고, 경찰청 사이버수사대에도 문의해 보았고, 금융감독원에도 문의해 보았습니다. 아무도 모른다고 대답했습니다. 금감원은 자신들은 사고거래 규모를 집계하지도 않는다고 대답했습니다.

안철수 연구소 관계자께서는 점장이 수준의 예지력으로 금감원도 모르는 국내 전자금융 사고거래 내역을 3억원이라고 알아맞추신 것 같은데, 그 기술로 안티바이러스 프로그램도 만드시나 봅니다.

한가지 정말 궁금한 것이 있습니다. 사고거래 발생비율이 정말로 1000:3 이라는 획기적 차이가 있다면, 이미 세계적으로 주목받았을 것 아니겠습니까? 영국은행들이 한국에 지점이 없는 것도 아니고, 영국 뿐 아니라, 전세계 은행들도 이것이 만일 사실이라면, 진작에 자신들도 한국처럼 액티브액스 떡칠을 하여 전자거래를 했을 것 아니겠습니까?

도무지 말이 되는 소리를 해야 대화가 되지 않겠습니까?

지난 10년간 고집해 온 공인인증서 “강제” 체제를 옹호하는 근거가 고작 (1)한국이 IT 강국이다(금감원) (2) 외국과 한국 간의 사고거래 발생비율이 1000:3 이다(안랩) 라는 터무니 없는 잠꼬대 외에는 아무것도 없다는 것은 끔찍한 악몽이라고 생각합니다.

누가 보더라도 상식을 벗어난 내용을 ‘이유’라고 내세우며 입을 맞출때는 분명히 무슨 다른 이유가 있을 것입니다.

독불장군 금감원…

March 8th, 2010 by youknowit 출력 출력 3 comments »

2009.3.15에 한국은 “은행감독에 관한 바젤 위원회(Basel Committee on Banking Supervision)” 회원국이 되었습니다. 은행 감독의 글로벌 스탠더드를 한국도 준수하겠다는 의지의 표명이라고 생각합니다.

바젤 위원회는 “전자금융 위험관리 원칙(Risk management principles for electronic banking)“을 제정한 바 있습니다. 금감원은 자신들도 이 위험관리 원칙을 준수해야 하고, 공인인증서/전자서명 사용을 강제하는 것도 바젤 위원회가 채택한 전자금융 위험관리 원칙에 근거한 것이라는 주장을 내세우고 있습니다.

우선 신기한 것은 바젤 위원회 회원국 어디에서도 한국처럼 인증서/전자서명 사용을 “강제”하는 곳은 없다는 사실입니다. (한국을 괜히 “IT갈라파고스”라고 하겠습니까?) 그래서 좀 더 찾아보니, 바젤 위원회의 위험관리 원칙에는 다음과 같은 내용이 있습니다 (pp. 13-14).

은행은 PIN, 암호, 스마트카드, 생체정보, 디지털인증서 등을 포함한 다양한 인증 기법을 사용할 수 있다.

어떤 인증 기법을 사용할 것인지는 전자금융 시스템 전반 또는 각 구성 부분이 제기하는 위험에 대한 경영진의 평가에 기초하여 은행이 결정하여야 한다.

은행의 결정권을 박탈하고, 금감원이 특정 인증 기법(디지털인증서는 여러 인증 기법 중 하나에 불과합니다)의 사용을 은행에게 강제하는 것은 바젤 위원회의 위험관리 원칙을 따른 것이 아니라, 그 원칙에 정면으로 반하는 것입니다.

바젤 위원회의 위험관리 원칙에는 더욱 명시적으로 다음과 같이 설명되어 있습니다(pp. 6-7):

본 보고서는 구체적 위험에 대비한 특정 기술 해법을 강제하거나 전자금융 거래의 기술 표준을 정하려는 것이 아니다. 기술적 사안은 금융기관들과 각종 표준화 기구들이 기술 진보에 상응하여 지속적으로 대처할 사안이다… 이런 이유로, 본 위원회는 전자금융 위험관리를 “한가지 획일적 해법으로” 대처하는 것이 적절하다고 믿지는 않는다.

금감원은 인증 기술에 관한 표준화 기구도 아니므로, 여러 인증 기술 중 특정 인증 기술을 “기준”으로 정하여 은행들에게 그 사용을 강요하는 것은 바젤 위원회의 원칙에도 어긋나며, 특정 인증 기술을 “사용하여야 한다”는 내용은 “가이드라인”이라는 명칭의 문건에 포함되기 적절한 것도 아닙니다.

어째서 금감원은 금융 감독에 관한 국제 기구가 채택한 원칙을 왜곡/오역까지 해가며 특정 인증 기술의 사용을 집요하게 강제하고 있는지 참으로 불가사의합니다. 바젤 위원회의 전자금융 위험 관리 원칙을 집필한 자들이 “아무 것도 모르고” 마구 적어댄 것도 아닐것 같고, 적어도 이 분야에서는 국제적으로 전문성을 인정받는 분들이 세심하게 작성한 문서일텐데…

뭔가 우리가 알지 못하는 큰 이해관계가 걸려 있다는 생각이 점점 드는 요즈음 입니다. 그렇지 않고서야 거의 이성을 잃은 것처럼 이렇게 특정 기술 사용을 강제하려들 이유는 상식적으로 없습니다.

공인인증서를 “사용하지 말자”는 것도 아니고, 그것을 사용하고 싶은 은행은 사용하고, 다른 인증 기술을 사용하고 싶은 은행은 다른 선택을 하도록 “허용”하자는 것인데. 허용하기만 하면 아무도 공인인증서는 거들떠 보지도 않을까봐 겁이 나는가 보죠? 공인인증서의 안전성/우월성에 대하여 그렇게 자신이 없나요?

오픈웹이 게시한 바젤 위원회의 위험관리 원칙 파일을 내리라고 하지나 말았으면 좋겠네요.

공인인증 독점체제

March 7th, 2010 by youknowit 출력 출력 3 comments »

전자서명법
공인인증제도는 전자서명법에 근거하고 있습니다. 그런데, 전자서명법에는 ‘공인’인증서를 사용하라는 규정도 없고, ‘인증서’를 사용하라는 규정도 없습니다. 공인인증서를 사용하건, 사설인증서를 사용하건, 인증서를 사용 안하건 전자서명법은 상관하지 않지만, 만일 공인인증서로 전자서명을 하면, 그 서명에는 육필서명/날인과 같은 법적 효과를 부여하겠다는 것이 이 법의 핵심입니다.

사설인증제도도 물론 허용됩니다. 사설인증과 공인인증 간에 무슨 대단한 차이가 있는 것도 아닙니다. 거래의 양당사자가 사설인증서로 한 전자서명에도 육필서명/날인과 같은 효과를 인정하기로 합의하면, 사설인증서도 공인인증서와 동일한 법적 효과가 있습니다(제3조 제3항).

전자금융거래법
전자금융거래법에도 공인인증서를 반드시 사용하라는 규정은 없습니다. 한국의 국회도 차마 그런 내용의 법조문을 통과시킬 만큼 정신나간 조직은 아닙니다. 공인인증서를 반드시 사용하라는 규정은 금융위원회가 만들었습니다. 이 규정은 사설인증기관의 사업 기회를 말살하고, 공인인증기관을 편파적으로 지원하는 규정입니다. 이 규정이 없었다면, 공인인증기관과 사설인증기관이 활발하게 경쟁할 수 있었을 것입니다.

공인인증기관이 NPKI 폴더에 인증서를 저장하고 액티브액스로만 서비스하는 괴상한 짓을 하면, 은행/카드사 등은 그런 괴상한 공인인증서는 외면하고, 합리적 사설인증기관의 인증서를 사용하여 거래할 수도 있었을 것입니다. 은행이 사설인증기관을 못믿겠으면, 스스로 사설인증기관이 되어 은행이 직접 (표준적 규격으로) 인증서를 발급하고, 그 인증서로 거래할 수도 있었을 것입니다.

그랬더라면, 지금과 같은 사태는 생기지도 않았을 것입니다.

한국 IT를 골병들이고, 한국을 IT갈라파고스로 만든 책임은 괴상한 장소에 공인인증서를 저장하도록 규격을 정한 KISA와 그런 공인인증서만을 사용하도록 강제한 금융위원회에 있다고 생각합니다.

공인인증 제도와 전자금융감독 제도는, 공인인증 업체와 인증 플러그인 판매 업체들의 사적 이해관계를 위해서 온 국민이 희생되고, 한국 IT 산업 전체가 고립, 정체, 낙후된 일대 비리 사건으로 기억될 것입니다.

공인인증서: KISA v. MS

March 6th, 2010 by youknowit 출력 출력 1 comment »

공인인증서 문제가 점점 재미있게 전개되고 있네요. KISA는 웹브라우저에 이미 구비된 인증서 저장/이용 기능이 도저히 사용할 수 없을 만큼 위험하고 불편하다는 전제 하에, 별도 위치(NPKI 폴더)에 인증서를 저장하고, 별도 플러그인으로 인증서를 사용하는 것이 더 안전/편리하다는 주장을 내세우고 있습니다.

한마디로, MS(를 포함한 웹브라우저 제작사들)와 정면으로 한판 붙어 보겠다는 것이지요. MS사가 설계한 웹브라우저의 인증서이용/보안접속 기능이 위험하고 불편하게 설계된 “저질”이라는 소리니까요.

그런데, MS사 입장도 재미있습니다. 자기 웹브라우저의 인증서이용/보안접속 기능이 위험하고 불편하다고 말하자니 그건 좀 안습이고… 웹브라우저의 인증서이용/보안접속 기능이 안전하고 편리하다고 말하자니 별도 플러그인(ActiveX)을 사용할 이유가 없다는 소리가 되고….

웹브라우저를 감싸자니, ActiveX를 버려야 하고, 액티브액스를 감싸고 돌자니 자기 웹브라우저가 (위험하고 불편하게 설계된) 저질 제품이라는 소리 밖에 안되고…

실은, MS사는 이 문제에 대하여 “매우 째째한 방법으로” 입장을 이미 밝힌 바 있습니다. 정상 시력으로는 읽어보기 힘든 “깨알같은 글씨”로 난해하게 적어둔 페이지가 있습니다. http://www.microsoft.com/korea/windows/compatibility/activex.mspx 이 페이지는 제가 그동안 계속 관찰했었는데, 올라갔다, 내려갔다 하기를 몇번 거듭했었던 것으로 기억합니다. 또 내려갈지 몰라서 스크린 샷을 몇차례 떠 두었습니다만, 최근 화면은 아래와 같습니다(일부).

ActiveX 관련 사항

해당 부분은 다음과 같습니다:

ActiveX를 보안과 같이 시스템 레벨에서 사용하는 것은 지양되어야 합니다. 128bit SSL을 비롯한 표준화된 인증 체제, 그리고 암호 발생기 등 다양한 보안 솔루션을 국가적 차원에서 열린 자세로 수용하여, 다양한 플랫폼에서 기 구현되고 검증된 인프라를 활용하도록 하는 것이 바람직합니다. 현재 Internet Explorer는 세계 표준적 보안 기능을 내장하고 있고, 세계 각국의 은행들은 브라우저 내장의 보안 기능을 활용하고 있습니다.

쉽게 설명하면, (1)’보안’ 용도로 ActiveX를 사용해야 한다는 주장은 말이 좀 안된다. (2) 웹브라우저는 이미 훌륭한 보안접속/인증서 이용 기능이 있다. 그러니 SSL+OTP 등 다양한 해법을 수용하라. (3)세계 각국 은행들은 웹브라우저의 보안 기능을 사용하지 한국처럼 ActiveX 떡칠을 하지 않는다.

요컨대, 금융보안연구원이 최근에 ‘비공개로’ 발표한 “해외 인터넷뱅킹 보안현황 조사보고서“의 내용과 같습니다(SSL+OTP). 이제 곧 MS와 KISA 간의 진실 게임이 벌어질 듯.

글자 좀 키울 수 없나요? 회사 덩치에 비하면, 글자는 좀 … (자기 웹브라우저 좋다는 소리 스스로 하기가 그렇게 거북한가요?)

참고로, 현재 스코어는 3:1 입니다.

웹브라우저가 더 안전/편리 플러그인이 더 안전/편리
  • 오픈웹
  • MS
  • 금융보안연구원
  • KISA

모질라 재단(파이어폭스), 애플(사파리), 구글(크롬), 오페라의 입장은 굳이 물어볼 필요가 없을 듯.

공인인증서 발급: 오픈웹 v. KISA

March 4th, 2010 by youknowit 출력 출력 No comments »

오픈웹이 제안한 인증서 발급 방법에 대하여 KISA 가 비공개 ‘논평’을 작성한 듯 하네요.. 기술 규격에 관한 논의를 이렇게 자신들끼리 “은밀히”하려는 시도는 이해하기 어렵군요.

불필요한 오해를 해소/방지하기 위하여, 더 간략한 표를 만들어 보았습니다.

오픈웹 방식 KISA 방식
인증서 발급신청 plugin/app 필요 없음 필요
인증서 저장 plugin/app 필요 없음 필요
인증서관리(검증, 백업/내보내기, 유효성 확인 등) plugin/app 필요 없음 필요
인증서로그인 plugin/app 필요 없음 필요(클라이언트는 물론, 서버도 플러그인이 필요함)
문서파일/이메일 전자서명 plugin/app 필요 없음 필요
거래내역 전자서명 plugin/app 필요 필요

KISA가 원하는 것은 플러그인을 위한, 플러그인에 의한, 플러그인만의 공인인증제도인 듯. KISA는 오픈웹 방식에 대한 ‘논평’을 공개해 주시면 좋겠네요.