4월29일(다음 주 목요일) 오전 10시부터 COEX 에서 “한국 인터넷 뱅킹 보안의 문제점”이라는 제목의 국제 컨퍼런스가 열립니다.

발표자는 세계적인 보안 전문가인 부르스 슈나이어( http://www.schneier.com/about.html ), 파이어폭스 웹브라우저를 만드는 모질라 재단의 보안 총책임자(Director of Security Engineering) 인 Lucas Adamski, 그리고 지난 2월 영국 옥스포드 대학교 컴퓨터랩에서 발표된 “한국 인터넷 뱅킹 보안의 문제점” 논문의 공동저자인 김형식, 허준호님 등입니다.

영어로 발표되는 내용에 대하여는 동시통역 서비스가 제공됩니다.

좀 더 자세한 일정은 근일간에 안내해 드리겠습니다.

행사 장소의 수용 가능인원은 100명이므로 일찍 오셔야 앉으실 수 있을 것으로 예상합니당 ^^

슈나이어씨가 한 말들 중에 ‘유명한’ 것들이 좀 있습니다:

• “보안은 기술이 아니라 과정이다”
• “암호학이 안전을 보장하지는 않는다” (암호 알고리즘은 안전할지 몰라도, 실수는 사람이 한다.)
• 보안 업체가 공격자를 감시하고 막아준다지만, 보안업체는 누가 감시하나? (“Who watches the watchers?”)
• 절대적 권력은 절대적으로 부패한다. (“Absolute power corrupts absolutely.”) 물론 이말은 슈나이어씨가 한 말은 아니지만 보안과 관련해서 이것이 얼마나 중요한지는 슈나이어씨가 잘 설명하였지요.

http://book.nate.com/detail.html?sbid=1024454&sBinfo=info&mode=search

http://www.schneier.com/essay-114.html 참조.

인터넷뱅킹 보안프로그램에 ‘악성 바이러스’를 몰래 삽입해 배포/판매한 개 짓이 적발된 사건이 발생했다. 이처럼 현행 인터넷 뱅킹 제도 자체가 바이러스 유포가 자유로운 tool을 이용한 방식으로 이루어지기에 오픈웹에서 문제제기를 하는 거다.

그러나 정책당국은 범죄의 원인을 제공하는 개짓을 고수하며 단속만 강화하면 된다는 식의 등신 짓을 반복하고 있을 뿐이다. 코앞에 조폭두목은 놔둔 체 돌출행동하는 행동대원 몇놈만 잡아 들이면 끝이라는 반응이다. 결국 국민은 언제 어느 때 조폭들의 칼부림이 자신에게 날아들지 알수없는 상태에서 인터넷 뱅킹을 이용할 수 밖에 없는 상태라는 거다. 것도 시도때도없이 개인의 컴퓨터를 걸레로 만들어 버리는 엑티브엑스 강제설치 테러질을 감수하면서 말이다.

위와 같은 이유로 ActiveX같이 클라이언트의 보안을 주무를 소지가 있는 플러그인은 웹브라우저 차원에서 차단하는게 보안의 기본인 것이다. 심지어 엑티브X 제작사이며 액티브X가 배포될수록 자사 제품의 점유율이 높아지는 MS에서 조차 먹티브X의 사용을 자제하라고 호소할 정도가 돼버렸다. 근데 이 권고안은 어디까지나 한국에만 해당되는 사항이다. 전세계를 통틀어 엑티브X를 애용하고 자빠졌는 들떨진 짓을 전사적으로 싸지르는 나라는 한국이 유일하기 때문이다.

범죄는 원인이 있게 마련이다. 몰래하는 범죄는 범죄 자금만 있으면 될 일이지만, 공개적으로 싸지르는 범죄는 목격자들의 묵인이 필요한 거다. 그럼 한국의 인터넷 뱅킹 정책은 몰래하는 범죄 일까? 공개적으로 싸지르는 범죄일까?

당연히 후자이다. 이런 국가적 범죄에 주권자란 새퀴들이 주권행사에 있어서 가장 기본인 되는 거부권 조차 팽겨친 체 당나귀에서 쌔빈 복재된 윈도로 면피하기에 급급한 꼬라지를 하고 있으니,, 공개된 범죄임에도 근절 될리 없을 수 밖에 없는 형국인거다.

하기사 공개된 대국민 범죄자 삼성 조차도 열혈 소비질로 범죄 자금원이 되어주지못해 환장한 정신질환자들이 몇푼 되지도 않는 자기 통장의 돈이 전적으로 보안업체의 양심에 달려있다는 사실 하나만으로 분노심이 일어날리 없지 싶기도 한것이 현실이긴 하다.

우리는 한국의 정치 역사상 가장 깨끗했다 평가받는 노무현 정권때 삼성특검을 통해 완벽히 살해당한 법치의 모습을 목도했었다. 이처럼 국가는 기업의 이권 앞에 결코 국민의 편, 상식의 편에 서주지 않는 다는 사실을 절감하고 실감했다.

이는 기업의 이권이 개입된 범죄를 예방하는 길은 그 범죄를 가능케하는 재력을 제어하는 방법이 유일할 수 밖에 없다는 사실을 증명하고 있는거다. 기업의 재력을 제어하는 건 전적으로 소비자의 몫이다. 민주주의의 권력이 국민에게서 비롯되듯이 자본주의의 권력 역시 소비자에게서 나온다는 거다. 사소해 보이기만했던 개인의 소비생활 하나하나가 범죄를 돕는 짓이 될수도,, 범죄를 저지하는 가장 강력한 주권행사가 될수도 있다는 거다. 그 선택은 전적으로 소비자 스스로의 행동여하에 달린것이다.

현명한 소비생활은 조작의 위험성을 내포한 투표행위 보다 훨씬 더 정직한 결과물을 내 놓는다는 점 또한 주목해야 할 것이다. 투표는 5년을 기다려야 하지만 1년 365일 지속 가능한 소비자 주권의 엄청난 파워를 우리는 반듯이 인식하고 실천해야만 한다.

100여년 전 Henry George라는 사람은 “국민이 부패한 나라는 되살아 날 길이 없다”라고 말했다. 국민 스스로 범죄를 묵인하고 심지어 자금원이 되어서는 안된다는 초딩조차 이해할 만한 사실을 우리는 그동안 철저히 무시하며 스스로가 범죄를 돕는 주체로 살아온 자업자득을 맞고있는 거다.

최근 불거져나온 “세계 최초 아이폰 백신 소동“은 그저 웃어 넘길 일은 아닙니다. 세계의 기술 트렌드로부터 고립되어 특이한 해법과 미봉책으로 일관해 오던 국내 보안/거래 솔루션 업계의 실상과, 정확한 전문 지식 없이 선정적 보도로 일관해온 국내 일부 기술 매체들의 수준을 드러내 주는 “상징적 사건”입니다.

이 사건을 계기로 그동안의 전자금융 감독 체제가 과연 바람직했었는지를 되짚어 볼 필요가 있습니다. 다음과 같은 기본 원칙들을 다시 한번 음미해 보시면 좋을듯 합니다.

1. 금융, 보험 서비스의 공공성

금융, 보험 서비스는 많은 소비자의 이해 관계에 큰 영향을 미치는 것이므로 규제의 필요성이 분명히 있습니다. 사기업에 불과하므로 시장 논리에 방임해 둘 수 밖에 없다는 주장은 천박한 논리일 뿐 아니라, 금융 보험 서비스의 근본 성격에 대한 몰이해를 노출하는 것입니다. 요컨대, 규제의 필요성 자체는 분명하지만 구체적으로 어떻게, 어느 수준에서 규제하는 것이 옳은지에 대한 고민이 필요할 것입니다.

2. 규제와 자율의 조화

사업자의 단기적/개별적 이익과 공동체의 장기적/거시적 이익이 합치하지 않는 영역에서는 강력한 규제가 필요합니다. 예를 들어, 서브 프라임 모기지와 같이 고 위험/고 수익 사업 아이템의 경우, 개별 사업자의 단기적 이익 추구를 방임할 경우, 전체 시스템의 리스크는 감당하기 어려울 만큼 커지게 됩니다. 눈 앞의 이익 추구는 누구나 원하는 것이므로, 이것을 자율에 맏겨둘 수는 없고 규제를 통하여 전체의 손해 발생을 예방하는 것이 바로 금융감독 당국의 임무라고 생각합니다.

그러나, 사업자의 단기적 이익과 공동체의 장기적 이익이 합치하는 영역에서는 과연 규제의 필요성이 있는지를 좀더 면밀히 검토해야 할 것입니다. 개별적 이해관계와 공동체의 거시적 이해관계가 일치하는 분야에서 함부로 규제의 칼날을 들이댈 경우 개별 사업자에게도 해롭고, 공동체의 전체적 이익마저도 저해할 가능성이 있습니다.

전자금융거래 보안이 바로 이런 부문입니다. 허술한 보안 선택을 하는 사업자는 당장에 자기 자신에게 손해가 돌아옵니다. 전자금융거래법은 전자금융거래 사고가 발생하면 고객의 고의나 중대한 과실을 사업자가 입증하지 못하면 사업자가 배상 책임을 지도록 규정하고 있습니다(제9조). 보안을 강화하고 전자거래를 안전하게 설계하는 것은 개별사업자의 목전의 단기적 이익에도 부합하고, 모든 사업자들과 소비자들의 거시적, 장기적 이익에도 부합하는 것입니다.

요컨대, 전자금융 거래 보안은 규제당국이 개입하지 않더라도, 개별 사업자가 스스로의 단기적 이해관계 때문에라도 사고발생을 줄이고 싶어하는 영역입니다.

3. 규제 과잉의 폐해

규제가 필요 없는 영역에 규제 당국이 개입할 경우, 과잉규제의 폐해가 다음과 같이 나타납니다:

(1) 경쟁이 저하됩니다. 국내 금융기관들은 하나같이 ActiveX 플러그인을 사용한 해법을 똑같이 채택하고 있습니다. 모두들 그저 “금감원이 하라는 대로만 하면 된다”는 태도를 견지하고 있습니다. “이용자PC에 보안프로그램을 설치”하라, “공인인증서를 사용하라”는 등의 경직된 규정을 애초에 두지 않았더라면 국내 금융기관들 중, 적어도 일부는 벌써 ActiveX 플러그인을 걷어내고, 더욱 진전된 보안 해법을 채택하여 사업을 펼치고 있었을 것입니다. 국내의 보안 업계도 미국, 유럽, 이스라엘, 호주 등 세계 유수의 보안 솔루션 사업자들과 경쟁하는데 필요한 기술력 확보를 위한 노력을 기울였을 것입니다. 공인인증서와 ActiveX가 최상의 탁월한 해법이라면 강제 규정이 없더라도, 누가 시키지 않아도, 업계가 스스로 채택하고 있을 것입니다.

(2) 혁신이 저하됩니다. 규제는 사업자에게 부담으로 작용하기도 하지만, 다른 한편으로는 경쟁과 혁신의 고통을 덜어주기도 합니다. 국내 은행들은 모두들 규제 당국을 원망하면서 고만고만한 똑같은 해법으로 현상 유지를 하면서 현재의 시장 구도에 안주하고 있습니다. 겉으로는 불평을 늘어 놓지만, 한편으로는 편안함을 누릴 뿐 아니라, 심지어는 혁신적 뱅킹 사업을 추진하고 준비할 인력 조차 마련하지 않고 있는 실정입니다. 실제로 일부 시중 은행들의 e-business 사업단은 파이어폭스가 무엇인지도 모르는 ‘컴맹 e-business 사업단장님’께서 군림하는 한가한 부서일 뿐입니다. 새로운 어떤 경쟁 사업자가 혁신적 뱅킹 솔루션을 선보이면서 기존의 시장 구도를 뒤흔드는 “피곤한” 사태가 생길 가능성이 봉쇄되어 있기 때문입니다. 최근 선보인 하나N뱅크 앱에 대하여, 가장 큰 불평과 볼멘 소리를 쏟아 낸 자들은 바로 국내 은행들입니다. 편안히 장사해 오고 있는데 왜 피곤하게 만드냐는 것이지요.

(3) 서비스의 질이 저하되고 소비자가 피해를 입게 됩니다. 온국민들이 자기 컴퓨터에 ActiveX를 덕지덕지 설치하긴 했지만, 그래도 그럭저럭 잘해왔지 않느냐? 라고 반문하실지 모르겠습니다. 그러나 바이러스에 감염된 좀비 컴퓨터의 비율이 세계에서 가장 높은 축에 속하는 현 사태는 한마디로 전국민이 입은 막대한 피해입니다. 외국은 계좌이체를 하려면 이틀 사흘이 걸리지 않느냐? 라고 반문하실지 모르겠습니다. 유럽, 호주를 가보십시오. 하다 못해 이웃 일본을 살펴 보십시오. 우물안 개구리가 꿔왔던 자화자찬의 긴 꿈에서 빨리 깨어나지 않으면, 앞으로 제2, 제3의 “세계 최초 아이폰 백신 소동”이 계속 벌어질 것입니다.

실제로 사고를 잘 막아 오긴 했습니까? 이점이 바로 모든 금융소비자들이 궁금하게 여기는 점입니다. 아래 설명드리는 규제 당국의 역할과 개입이 시급하고도 절실히 필요한 분야가 바로 여기입니다.

4. 투명성 제고

각 금융기관별 전자금융 사고 발생 빈도, 발생 규모, 사고의 유형에 대한 정확한 자료가 있습니까? 모두들 사고발생을 조용히 덮고 적당히 무마하고 넘어가려 하고 있습니다. 이것이 과연 누구를 위해서 도움이 됩니까? 지금까지 정말 잘 막아 왔다면, 사고발생 내역을 투명하게, 자랑스럽게 공개하지 못할 이유가 없습니다. 실제로 우려할 만한 수준의 사고가 발생하고 있다면, 더더욱 이 사태를 숨겨서는 안될 것입니다.

각 금융기관이 자발적으로 자신과 관련된 사고거래 내역을 규제 당국에 정직하게 신고하기를 기대할 수는 없습니다. 그러나 이 문제를 훌륭하게 해결하는 손쉬운 방법이 있습니다.

사고거래가 발생하면 피해자(라고 주장하는 소비자)는 해당 금융기관에 항의하거나 소비자 단체에 호소하거나, 그래도 잘 해결되지 않으면 언론사 기자를 어렵게 접촉하여 기사화 시키는 등의 “매우 힘겨운 싸움”을 벌여야 합니다. 거대한 은행과 개인이 1대1로 맞서는 상황에서, 서로 기싸움과 힘겨루기가 벌어지는 현재와 같은 사태는 시급히 교정되어야 합니다.

앞으로는, 전자금융 사고 신고 및 피해 보상 요구 절차를 금융감독원이 일괄 관리할 필요가 있습니다. 금감원이 분쟁에 직접 개입하라는 뜻이 아닙니다. 금융기관의 홈페이지 초기화면에는 전자금융 사고신고/분쟁조정 링크를 제시하도록 하고, 소비자가 이 링크를 누르면, 금융감독원이 운영하는 전자금융사고 통합 신고 페이지로 연결되도록 하십시오. 피해자가 여기에서 사고거래의 상세한 내역을 입력하면, 금융감독원은 그 내용을 파악한 다음 해당 은행에 이첩하고, 분쟁 처리 과정을 모니터하면 될 것입니다.

이 작업은 진작에 금융감독원이 당연히 했어야 할 금융 소비자 권익보호조치의 중요한 내용이라고 생각합니다. 이렇게 수집된 정보를 규제 당국은 적절하고 합리적인 수준에서 투명하게 공개해야 합니다. 그래야 소비자들은 어떤 은행의 해법이 저열한지를 합리적으로 판단하고, 적절한 선택을 할 수 있습니다.

사고거래 발생과 관련된 정보가 제대로 관리되고 투명하게 공개되면, 모든 금융기관은 최선을 다해서 안전한 기술선택을 할 것입니다. 사고거래의 유형이 이렇게 잘 정리되고 분석된다면, 예방 대책을 마련하는 일도 더욱 효과적으로 수행될 수 있을 것입니다. 더이상 금융감독원이 보안기술의 상세한 내용에 대하여 이래라 저래라 지시하고, 명령할 필요도 없습니다. 굳이 외국의 사례를 인용하지 않겠습니다. 이와 유사한 수준의 투명한 정보 공개를 통하여 전자금융서비스의 안전을 합리적으로 관리하는 나라는 이미 있습니다. 그런 나라의 금융감독 당국은 보안기술의 상세한 내용에 대하여 경직된 규정을 들이대지 않습니다.

소비자와 사업자의 합리적 판단을 존중하는 것이야 말로 전자금융 보안을 확보하는 가장 올바른 길입니다. 합리적 판단에 필요한 정확한 정보를 제공하는 일은 바로 규제 당국의 몫입니다.

5. 금융감독원에 거는 기대

최근 발표된 스마트폰 전자금융 보안대책은 종래의 PC 전자금융 보안대책에 비하면 획기적으로 진전된 바람직한 내용을 담고 있다고 생각합니다. 종래와 같이 “이용자PC에 보안프로그램을 설치”하라는 식의 특정기술 편향(플러그인 편향)의 표현도 이제는 사라졌고, “공인인증서를 사용”하라는 식의 경직된 표현 대신에 “전자서명 등”을 사용하라는 보다 유연한 정책 기조를 담고 있습니다.

무엇보다도 “취약점 모니터링 체제”를 도입하겠다는 부분은 훌륭한 정책 선택이라고 생각합니다. 취약점 모니터링은 사고거래의 유형을 분석하는 작업을 당연히 전제하는 것이며, 위에서 제안드린 전자금융 사고 통합신고 체제를 이미 구상하고 계시는 것으로 보입니다. 스마트폰 전자금융 보안대책과 같이 (1) 유연하고 중립적인 보안 기준(입력정보 보호대책, 악성코드 예방대책 등)을 제시하고, (2) 취약점 모니터링을 통하여 각 사업자의 performance 를 합리적 수준에서 투명하게 공개하는 정책 방향은 조만간 PC전자금융 부문에도 동일하게 적용되는 것이 바람직하다고 생각합니다.

과거에 채택된 정책에 대하여는 지속적, 상시적 평가가 이루어져야 함은 당연하고, 그 정책의 미비점이 발견되면 신속히 수정하시는 것이야 말로 현명한 규제 당국의 선택일 것입니다.

전자금융거래와 관련하여 그동안 철저히 외면되었던 소비자의 알권리에 대해서도 이제는 관심을 가지실 때 입니다.

보안업체 관계자들이 마치 “신앙”처럼 내세우는 것이 인증서의 “부인방지” 기능입니다. 부인방지의 논리는 다음과 같습니다:

• 너의 인증서(개인키)는 너만 가지고(관리하고) 있고,
• 이 거래에는 전자서명이 되어 있는데,
• 그 전자서명은 너가 관리하는 인증서(개인키) 없이는 만들 수 없으므로,
• 이 거래는 네가 한 것이 맞다

는 것입니다.

대 전제(개인키의 배타적 관리)가 충족되지 않으면, 부인방지 논리는 물론 성립되지 않습니다. 현재와 같이 아무나 손쉽게 복제 가능한 “싸구려” 인증서를 사용하는 경우에는, 개인키를 이용자가 배타적으로 지배, 관리하고 있다는 대 전제가 충족되기 어렵습니다. 설사 거래내역이 전자서명 되어 있다 한들, “내가 서명한 것이 아니라, 공격자가 나의 개인키와 인증서 암호를 입수해서 서명한 것이다”라는 피해자의 주장이 쉽게 수긍이 가기 때문에, 부인방지 효과는 애초에 기대할 수도 없습니다.

인증서의 부인방지 효과는 “네 도장이 찍힌 서류니까 네가 작성한 것이 맞다”는 논리와 동일합니다. 그러나, 이 도장이 수십번, 수백번 쉽게 복제 가능한 “단순” 전자파일로 되어 있어 여러 공격자 수중에 나돌 뿐 아니라, 그 파일로 서명하는데 필요한 암호 또한, 은행이 키보드보안 프로그램을 아무리 설치 해도 이용자가 다른 웹사이트에서 입력하는 비밀번호가 인증서 암호와 동일한 경우가 대부분 이므로, 암호 유출을 막기도 어려운 실정입니다. 따라서 복제 가능한 국내의 공인인증서가 부인방지 기능을 가지기는 어렵습니다. 이용자의 컴퓨터가 뚫린 상태(사고는 이런 상태에서 발생합니다)라면, 인증서와 암호는 이미 유출된 것이기 때문입니다. 실제로도, “전자서명이 되어 있다”는 이유로 은행이 사고거래의 책임을 고객에게 지우는데 성공한 사례도 없습니다.

그 뿐 아니라, 2007.1. 경부터 공인인증서가 대량으로 유출되었습니다. 이른바 파밍(pharming)이라는 이름의 공격 방법인데, 확인된 것만도 수천장의 공인인증서가 유출된 바 있고, 지금도 꾸준히 인증서 입수를 위한 다양한 공격이 이루어지고 있습니다.

이런 상황에서 국내의 보안업체는 “이용자의 컴퓨터가 뚫리지만 않으면, 공인인증서가 부인방지 효과를 가질 수 있다”는 궤변에 가까운 주장을 늘어놓으며(이용자 PC가 뚫리지 않으면, 나머지 여러 보안프로그램도 애초에 설치할 필요도 없지요) 인증서 사용을 고집하는 동시에, “이용자 PC가 다 뚫렸다고 전제해야 된다”면서 키보드보안 등의 프로그램을 강제 설치하고 있습니다. 앞뒤가 안맞는 소리를 하며, 프로그램(인증서 프로그램 + 보안프로그램) 판매에만 골몰하는 형국입니다.

보안 업계의 이해관계에 구애받지 않는 오픈웹이 제안하는 해법은 이렇습니다.

첫째, 인증서 사용을 강제하는 현행 규정은 폐지되어야 합니다. 이용자의 컴퓨터가 “뚫리지 않은 경우에만” 부인방지 기능을 가질 수 있다는 현재의 공인인증서는 하나마나한 것입니다(보안업체 스스로의 주장 – 이용자 컴퓨터가 모두 “뚫린 것으로 전제해야 된다” – 에 따르더라도).

둘째, 공인인증서 저장 규격을 변경해야 합니다. 보안토큰에 설치하거나, 웹브라우저에 내장된 object token 에 설치해야 합니다. 단순 파일 형태로 폴더(C:\Program Files\NPKI)에 저장하는 현행 방식은 보안 상식을 벗어난 것입니다.

셋째, 인증서가 위와 같은 방법으로 안전하게 관리될 것을 전제로, 인증서 로그인은 웹브라우저에 내장된 방법으로 수행해야 합니다. 주요 웹브라우저는 이미 인증서 로그인 기능을 내장하고 있습니다. 아이폰/아이팟터치에서 구동하는 모바일 사파리도 이미 그런 기능을 탑재하고 있습니다. 여기 참조. 웹브라우저에 이미 오래전부터 내장되어 있는 인증서 로그인 기능을 구현한답시고 별도 프로그램을 고객 컴퓨터에 설치하는 관행은 중단되어야 합니다. 별도의 보안프로그램을 설치하는 순간, 온갖 악성프로그램도 그틈을 비집고 들어오게 되어 있습니다(“이 프로그램을 설치하시겠습니까?” “예”). 보안업체 돈벌이를 위해서 전국민의 컴퓨터를 망가뜨릴 이유는 없습니다.

넷째, 거래 내역 서명(form signing)은 “이론상으로는” 그럴듯 하고, 보기에도 폼은 나지만, 웹 기반의 전자거래에 일반적으로 사용하는 것은 무의미 합니다. 인증서의 관리가 제대로 되지 않은 현재 상황에서는 아무리 거래 내역에 서명이 되어 있다한들, 부인방지 효과를 거둘 수는 없습니다. 반면에 인증서 관리가 철저히 되어 있는 상황이라면, 인증서 로그인으로 개시된 세션에서 이루어진 거래를 이용자가 부인하기도 어렵습니다.

요컨대, 마구 복제되는 공인인증서로는 아무리 거래내역 서명을 해도 어차피 부인방지 효과도 없는 반면, 복제가 어렵게 운용되는 인증서로는 인증서 로그인만 하게 해도 (즉, 거래내역 서명은 요구하지 않더라도) 부인방지 효과를 충분히 거둘 수 있습니다.

거래내역 서명은 개인들 간에 이메일 등으로 교환되는 계약서 등의 전자문서에 이메일 클라이언트가 수행하거나, pdf 클라이언트가 수행하면 됩니다(이미 이런 기능이 장착되어 있습니다). 웹 기반의 전자거래에서 거래내역 서명을 굳이 강제할 실익은 없고, 오히려 엄청난 부작용만 생깁니다(내역서명에 필요한 별도 플러그인을 설치해야 하는데, 그렇게 되면 또다시 악성 프로그램이 비집고 들어올 틈을 열어주는 것이 됩니다)

요약하면, (1) 인증서 저장방법을 안전하게 개선하고, (2) 인증서 로그인은 웹브라우저에 이미 탑재된 기능을 사용하여 수행하며, (3) 별도의 보안 프로그램을 이용자 PC나 스마트폰에 설치하지 않아도 되도록 하면, 한국의 전자금융 거래 보안은 지금보다 훨씬 안전하게 되고, 다양한 이용환경 지원도 동시에 이룩할 수 있게 됩니다.

“IT 강국” 한국의 전자금융 보안 기술 및 정책의 실상입니다 — 믿을만 한지는 여러분께서 판단하시기를

1. 공인인증서 “쇼를 하라!”

공인인증서 “암호입력 쇼“는 구수한 유머 감각으로 국내 이용자들에게 타자 연습 기회를 제공합니다. 프로그램을 짜신 분은 분명히 그 내막을 알고 있을 것도 같은데… 정말 왜 그러시는지는 잘 모르겠습니다.

국제 시장에 진출하시면 대박을 터트릴지도…

2. two-factor 인증 “쇼를 하라!”

Two-factor 인증은 식지(識知)수단, 즉 알고 있는 것(자신만이 아는 비밀번호)과 소지(所持)수단, 즉 가지고 있는 것(자신만이 가지고 있는 인증서, OTP생성기, 보안카드 등)을 두가지 모두 사용하여 본인 확인을 하는 것을 말합니다. 두가지 접근 수단 중 어느 하나가 뚫리더라도, 다른 하나가 유출되지 않으면 안전합니다.

인증서를 사용한 인증이 two-factor 인증의 대표적 경우라고 흔히 설명합니다. 인증서 암호는 식지 수단(knowledge-based means of access)이고, 인증서 파일 자체는 소지 수단(possession-based means of access)이라는 것이지요.

그러나 이 설명은 중요한 전제가 충족되어야 합니다. 인증서 파일을 “해당 이용자만이 소지하는 상황”이 합리적 수준에서 보장되어야 합니다. 보안토큰에 설치된 인증서는 공격자가 복제해 갈 수 없으므로 이 요건을 충족합니다.

그러나 국내의 공인인증서는 아무나 마구 복제 가능하기 때문에 소지 수단으로 인정받기 어렵습니다. 따라서 인증서 암호(식지 수단)만이 사실상 거의 유일한 관문입니다. 국내 보안업계가 키보드보안에 올인하는 이유도 여기 있습니다. 키보드보안은 식지수단(암호)의 유출을 막아 보자는 것일 뿐이고, 소지수단(인증서 파일)의 유출은 이미 기정사실화하는 것입니다. 은행 접속 중에만 잠시 작동하고 꺼지는 방화벽 따위의 보안프로그램으로 인증서 파일(소지수단)의 유출을 막을 수 없다는 점은 보안업계 스스로 인정합니다.

키보드보안에 필사적으로 매달린다는 사실 자체가, 국내용 공인인증서를 이용한 인증은 무늬만 two-factor 인증일 뿐, 사실상은 식지수단(암호)에만 의존한 single-factor 인증이라는 점을 반증합니다.

아! 참, 이용자의 컴퓨터가 완벽하게 안전하면, 국내용 공인인증서를 이용한 인증도 two-factor 인증이 됩니다. 이용자 외에는 아무도 그 파일에 접근 못하니까요. 하지만 보안업체가 항상 주장하는 것이 이용자의 컴퓨터는 이미 뚫린 것으로 전제해야 한다는 것이므로, 업체 스스로의 주장에 의하더라도, 국내용 공인인증서는 two-factor 인증을 제공하지 못합니다.

“Two-factor 인증 쇼”일 뿐입니다.

[이용자 컴퓨터가 뚫리지 않은 상태라면 키보드보안 프로그램은 아예 필요 없습니다. 키로거(key-logger)가 이미 몰래 설치되어있는 상태라고 전제하니까 키보드보안이 필요하다고 난리를 치는 것이지요. 키로거가 설치될 지경이면 인증서 파일은 이미 내것이 아닌 상태입니다 - 하드에 저장되어 있건, USB에 저장되어 있건]

3. 키보드보안 “쇼를 하라!”

키보드보안 프로그램을 정면 돌파하려는 공격자는 없고, 그럴 필요도 없습니다. 은행 외의 여러 사이트에서(이때는 키보드보안이 물론 작동하지 않습니다) 이용자가 입력하는 비밀번호는 공인인증서 비밀번호와 일치하는 경우가 대부분입니다.

보안 업계에 근무하는 어떤 분은 “패스워드는 몇가지의 조합을 바꿔 가면서 3~4가지 써야 한다”고 주문하십니다. 즉, 인증서 암호를 다른 여러 계정 암호와 같게 해두면 키보드 보안 프로그램은 무용지물이라는 점을 스스로 인정하십니다. 보안전문가처럼 패스워드를 서너개씩 바꾸어가며 인터넷을 이용하는 분이 몇 %되는지는 모르겠으나, 그렇게 똑똑하지 못한 대부분의 보통 이용자들에게 키보드 보안은 쇼에 불과합니다.

계좌이체 비밀번호 4자리를 보호하는 기능은, 스크린 키패드를 사용하거나, 계좌이체 비밀번호 대신에 금융 PIN 6자리 중 매번 random 하게 세자리를 입력하도록 요구하는 방법(외국의 여러 은행들이 사용하는 방법)을 채택하면 됩니다.

키보드보안 프로그램 설치를 강제하는 외국의 은행은 없습니다. 그 은행들이 모두 바보라서 그렇다고 생각하시나요? 외국은 인터넷 뱅킹이 한국 만큼 활발하지 않아서? 외국은 해킹이 한국만큼 극심하지 않아서? 외국은 IT 강국이 아니라서? 외국은 사고가 터지면 은행이 무조건 오리발 내밀고 고객이 다 뒤집어 쓰기 때문에? ㅎㅎㅎ

키보드보안 프로그램을 기필코 팔기 위한 영업 사원의 왕성하고 집요하고 터무니 없는 상상력은 감탄할만 합니다.

4. 안티바이러스 프로그램 “쇼를 하라!”

은행 접속 중에만 잠시 켜졌다 꺼지고 마는 독특하고 괴상한 “보안” 프로그램을 강제 설치하기 위해서, 이용자가 자기 컴퓨터를 보호하려고 스스로 설치한 본격 안티바이러스 프로그램(상시 작동)의 “실시간 감시 기능을 끄라”고 안내 합니다.

국내 은행은 이용자가 스스로 설치한 본격 안티바이러스 프로그램을 무력화 시키라고 안내합니다.

외국에서 이런 일이 벌어졌다면 소송 당하기 딱이지요. 그저 모르는게 약…

5. 웹페이지 소스 보안 “쇼를 하라!”

국내 은행들 중에는 이른바 “웹페이지 소스 보호”를 한답시고 마우스 오른쪽 클릭이 안되게 해 둔 곳이 꽤 있습니다. 심지어 ‘국가정보원 IT보안인증 사무국’ 홈페이지도 그렇게 해 두고 있습니다.

마우스 오른쪽 클릭을 못하게 해두면 웹페이지 소스를 못열어 볼 것이라고 생각하는 수준의 인력은 컴맹 이용자들과는 대화가 통하는 분이긴 하겠지만, 한마디로 부끄러운 수준의 인력입니다. 이런 페이지를 납품 받아 걸어두고 있는 은행이나 그런 페이지를 설계한 분들이나…

웹페이지 소스를 이용자가 접근할 수 없게 하면서 페이지를 모니터 화면에 나타나게 할 수 있다면 그것은 기술이 아니라 기적입니다.

6. 보안접속 “쇼를 하라!”

1990년대에는 미국 외에서 사용되는 웹브라우저의 보안접속 능력이 현저히 낮았기 때문에(40bit), 별도의 보안접속 프로그램이 필요했습니다. 그래서 그 당시 국내/국외 업체들은 모두 128bit 보안접속 별도 플러그인/프로그램을 개발하였습니다. 그러나 2000년 2월 부터는 전세계에서 사용되는 웹브라우저 자체가 128bit 보안접속 기능을 구비하였으므로 별도의 보안접속 프로그램은 더 이상 필요 없는 상품이 되었습니다. 외국 보안 업계는 그때부터 보안접속 플러그인 사업을 모두 접었습니다.

하지만 국내에서는 아직도 보안접속용 별도 플러그인 장사를 계속하고 있습니다. 보안 기술 지식이 전혀 없는 국내 고객(은행 등 각종 서비스 제공자)들에게 왕창 바가지를 씌우는 것입니다 (“128bit 보안접속 플러그인 해프닝” 참조.) 주요 웹브라우저는 현재 256bit 보안접속을 기본으로 제공합니다.

“IT강국 한국산 보안접속 플러그인” 외국에 좀 파실 수 없나요? 제발 수출해 버렸으면 좋겠습니다.

7. SSL 취약점 발견, “쇼를 하라!”

국내에서는 이른바 “SSL 취약론”이라는 것을 주기적으로 내세우는 분들이 계십니다. 보안 기술 칸퍼런스 같은 행사에 사람들을 불러놓고 https 보안접속의 취약점을 공략하는 방법을 실제로 보여 주신다면서 “시연”하는 형태로 SSL 취약론이 제기되는데, 이런 행사가 있을때 마다, 국내의 “보안 매체”라는 곳에서는 “SSL 취약점 발견”이라면서 대대적으로 보도합니다.

요컨대, 전세계가 사용하는 https 보안접속은 위험하니까 국내 업체가 판매하는 보안접속 플러그인을 구입하라는 것입니다.

부탁이 있습니다. 국제 칸퍼런스에서 제발 좀 발표해 주십시오. 한국도 한번 IT/보안 기술에서 떠봅시다.

영어가 모자라면 구글 코리아 관계자에게라도 설명해 주십시오. 구글이 그렇게 위험한 https 보안접속으로 전세계 이용자들에게 서비스를 하는 사태를 그냥 한국에서만 알고 있기는 좀 그렇잖습니까? 그리고 전세계의 은행들에게도 좀 알려 주시고요.

사족같지만, 국내 업체가 판매하는 보안접속 플러그인도 실은 SSL 프로토콜(옛날 버전)을 사용합니다. 스크린샷1, 스크린샷2 대략 황당…

8. 대칭/비대칭 암호화 “쇼를 하라!”

얼마전까지 한국의 금융 보안 정책의 총 책임을 맡고 계셨던 금융감독원 김인* 부국장님께서 어떤 학회 발표에서 “확신을 가지고” 다음과 같이 말씀하신 것을 제가 직접 들었습니다:

“웹브라우저가 수행하는 https 보안접속은 대칭 암호화 방식이지만, 공인인증서는 비대칭 암호화 방식을 채택하고 있다. 비대칭 암호화 방식이 대칭 암호화 방식보다 더 안전하므로 공인인증서는 반드시 필요하다”

그러나, 웹브라우저건 국내 업체가 판매하는 별도 플러그인이건 간에, 보안 접속은

1. 공유키를 비대칭 암호화 방식(흔히 RSA 방식)으로 암호화해서 상대방에게 전달하고
2. 이렇게 전달된 공유키를 사용해서 교신 내용을 대칭 암호화 방식(AES, RC4, SEED, ARIA 등)으로 암호화해서 전달하고 복호화해서 해독하는

구조를 취합니다.

요컨대, 보안접속은 모두 비대칭암호화(키교환) 단계 + 대칭암호화(메세지 교환) 단계로 구현됩니다. 국내업체들이 판매하는 플러그인도 다르지 않습니다. 국내 기술진이 개발한 SEED 나 ARIA 알고리즘도 대칭 암호화에 사용되는 블록 Cypher 입니다.

도대체 어느 업체의 영업사원이 김인* 전임 부국장님께 저런 헛소리를 해댔는지는 모르겠지만, 지금까지 금융감독원의 보안 정책은 자기도 잘 모르는 보안 기술 용어를 함부로 공개석상에서 “자신있게” 늘어 놓는 수준의 공무원이 결정하고 집행해 왔습니다. 그 후임자께서는 좀 달랐으면 합니다.

참고로, 전자서명법(공인인증서는 이법에 근거한 것입니다)에는 보안접속에 대한 언급은 한마디도 없고, 공인인증제도의 기술적 총책임을 맡고 있는 KISA 에서도 보안접속은 공인인증 제도와는 무관하다는 점을 확인하고 있습니다.

공인인증과 보안접속을 마구 뒤섞고, 대칭/비대칭 암호화 기술이 뭔지 전혀 이해하지도 못한 김인* 전임 부국장님의 발언은, 90년대 후반 (공인인증 제도가 도입되기 전)에 사설인증과 보안접속 기능을 마구 섞은 통합 플러그인을 개발하여 지금까지 팔고 있는 국내 보안업체 영업사원의 황당무계한 sales talk가 그냥 재방송되는 것입니다.

대칭 암호화, 비대칭 암호화, … 아무것도 모르는 청중(고객/공무원) 앞에서 폼 잡고 쇼 하기는 좋은 용어지요…

9. 보안경고창 “쇼를 하라!”

한국 국민들에게 너무나 친숙한 보안경고창!

보안경고창

일본 IT업계에 근무하시는 hirameki 님이 지적하셨듯이, 한국 국민은 이제 파블로프의 개가 되었습니다. 보안경고창이 뜨면 무조건 “예”를 누르도록 훈련받았기 때문입니다. 만일 “아니오”를 누르면 다음과 같은 경고(서비스를 이용할 수 없다)와 권고(예를 누르라)를 받습니다.

행정정보 공동이용 사이트 https://www.share.go.kr/index_ssl_www.html

http://www.hi.co.kr/

우리은행

http://www.signkorea.com/cer_manage/support/check.htm

하나은행: 1288 bit 암호화가 아니라, 128 bit 겠지요

국민카드

한국 국민들은 “보안경고창”이 “보안 프로그램 설치 여부를 묻는 창”이라고 오해하고 있습니다. 보안업체들이 이렇게 전국민을 집요하고 교묘하게 오도한 사례는 세계에 유례가 없습니다.

앞에서 계속

공인인증서 저장/복사

국내의 공인인증서(개인 인증서)는 흔히 하드디스크나 USB저장장치에 그냥 저장됩니다. 그 위치는 C:\Program Files\NPKI 폴더이거나(윈도우 OS의 경우), USB 드라이브 내의 NPKI 폴더 입니다.

하드디스크에 공인인증서를 저장하신 분은 “내 컴퓨터” –> “Program Files” –> “NPKI” –> “yessign” –> “User” 폴더를 가보시면 확인하실 수 있습니다(은행을 통하여 발급받은 경우). 동영상

이런 방식으로 저장된 인증서는 아무나 그냥 복사해 갈 수 있습니다. 물론, 비밀번호를 모르면 사용할 수는 없습니다. 은행이 기를 쓰고 키보드보안 프로그램 설치를 강제하는 이유는 바로 공인인증서가 이렇게 쉽게 “유통”될 수 있기 때문입니다. 하지만, 인증서 비밀번호를 다른 여러 계정의 비밀번호와는 다르게 특별하게 정하여 사용하는 분은 많지 않고, 다른 여러 사이트에서 입력하는 비밀번호는 무방비 상태로 노출될 위험이 큰데, 이 비밀번호와 인증서 비밀번호가 같은 경우가 대부분이므로 공인인증서 비밀번호는 은행이 아무리 키보드보안에 혈안이 되어 있어도 의외로 쉽게 유출됩니다.

제가 이렇게 말씀드리자, 보안업체에 근무하는 어느 분께서는 “패스워드를 그 따위로 쓰는 사람을 허용하라고요? 패스워드는 제가 아는 몇가지의 조합을 바꿔 가면서 3~4가지 씁니다. 잊어 버려도 2~3번 해보면 됩니다. 그리고 가능하면 9자 이상으로 길게 쓰시기 바랍니다”라는 “해법”을 주셨습니다. 하지만 모든 이용자가 보안전문가 처럼 패스워드를 이렇게 세네 가지씩 다르게 써야 비로소 효과가 있는 국내의 보안솔루션은 이용자 수준을 너무 과대 평가하는 것입니다.

국내 보안업계는 한편으로는 컴맹 어르신을 전제해야 하기 때문에 무조건 액티브액스로 “편하게” 해야 한다고 주장하다가, 다른 한편으로는 이렇게 복잡하게 비밀번호를 3-4 가지 쓰라고 주문하는 모순에 빠져있습니다.

더 우스운 것은 “공인인증서 복사” 기능입니다. 하드디스크에 있는 공인인증서를 USB로 복사하거나, USB에 저장된 인증서를 하드디스크에 복사할 때 사용하라는 인증서 관리 기능입니다. 이 기능을 사용하면 인증서 암호를 입력하라는 창이 뜹니다.

인증서 복사를 위해서 인증서 암호를 입력하라는 화면

인증서 암호를 모르면 공인인증서를 복사해 갈 수 없으니 안전하겠구나 하고 생각할 이용자가 많을 것입니다. 그러나 국내의 공인인증서는 암호가 필요 없이 그냥 파일을 긁어서 copy+paste 하면 복사되는 방식으로 발급되어 있기 때문에, 암호를 입력하라는 것은 순전히 “쇼”에 불과합니다.

인증서를 이런식으로 아무데나 마구 저장하는 사례도 세계에 유례가 없을 뿐 아니라, 이용자들에게 사기도 아니고 농담도 아닌 “암호입력 쇼”를 하는 것은 상식을 벗어난 처사입니다. 인증서는 웹브라우저 내부에 소프트웨어적으로 구현되어 있는 인증서 저장장치에 저장하거나(builtin object token 등), 하드웨어적으로 구현된 보안 토큰에 특수한 방법(PKCS#11)으로 저장하는 것입니다.

“인증서 복사”라는 개념은 한국에만 있는 황당한 개념입니다. 실제로는 그냥 copy+paste 하면 복사되도록 인증서를 발급해 준 다음, 이 사실을 모르는 이용자들에게 인증서를 복사하려면 인증서 암호를 입력하라고 요구하는 것은 자기 컴퓨터의 하드디스크 폴더가 무엇인지도 모르는 모르는 컴맹 이용자들을 상대로 공인인증서가 함부로 복사 안되도록 안전하게 설치되어 있는 것처럼 뻥을 치거나 이용자에게 타자 연습을 시켜보겠다는 것 외에 도대체 무슨 “생각”이 있어서 그런 것인지 이해할 수가 없습니다.

해커들이 한국 공인인증서를 우습게 보는 이유는 여기에 있습니다. 한국 전자금융 보안은 공인인증서에 목을 메고 있고, 공인인증서는 한마디로 코메디 수준으로 운용되고 있습니다.

국내 보안업체들은 한편으로는 이용자 PC가 모두 뚫린 것으로 전제해야 한다고 주장하다가, 다른 한편으로는 공인인증서는 이용자 PC가 뚫리지 않으면 함부로 복제되지 않으니 믿을 수 있다고 주장하는 자기 모순으로 일관하고 있습니다.

그리고 금융감독원은 “뭐가 뭔지는 모르지만 어쨋건 강제해두면 안전하지 않을까”라는 입장 인듯. 좀 안습.

국내의 공인인증서가 황당한 이유는 더 있습니다.
[계속됩니다]

[think.pe.kr 운영자분은 이제라도 해당 파일을 내리시기 바랍니다. 많은 공격자들은 이미 조용히 내려받아 갔겠지만...]

여러번 말씀드렸지만 아직 잘 전달이 되지 않은 것 같아서 다시 적어봅니다.

저의 공인인증서 암호가 “my3love” 라고 합시다.

은행 사이트에 접속해 있는 동안에는 키보드보안 프로그램이 강제로 작동되지요. 설사 제 컴퓨터에 키로거(키값 가로채기 프로그램)가 몰래 설치되어 있더라도(이미 제 컴퓨터는 뚫린 상태입니다; 공격자가 키로거를 제 컴퓨터에 몰래 설치할 지경이니 다른 무슨 짓인들 하지 않겠습니까?), 즉 제 컴퓨터가 거덜이 난 상태에서도 은행거래 중에는 공인인증서 암호를 키보드로 입력해도 공격자가 그 값을 쉽게 가로챌 수는 없습니다.

그러나 제가 은행거래만 하는 것은 아니지요.

구글메일, 다음, 네이버, Gmarket, twitter, facebook, skype, msn … 10여개가 넘는 여러 로그인 사이트에 일일이 다른 암호를 정하고 그것을 다 기억할 능력이 저에게는 없습니다. 인증서 암호를 다른 어떤 로그인 암호와도 다르게 별도로 정해서 사용하는 엄청 똑똑한 이용자도 있겠지만(super clever user라고 합시다), 저는 그렇지 못합니다. 저만 그렇게 못하는 것이 아니라 대부분의 일반 이용자들도 그렇게 못합니다. 보안업체가 언제나 들먹이는 “어르신들”이나 컴맹 이용자들은 특히 그렇습니다. 결국 저는 다른 로그인 사이트에서도 my3love 를 입력하게 됩니다.

제 컴퓨터에 키로거를 설치한 공격자는 제가 은행에 접속해 있는 동안만 활동하고, 은행이 설치한 키보드 보안 프로그램이 실행될 때까지 기다렸다가 그것을 뚫어보려고 노력한다고 생각하십니까? 공격자가 무슨 바보입니까? 제가 다른 여러 사이트에 로그인 할때는 키값 가로채기를 점잖케 자제할 신사적인 공격자도 없습니다.

은행이 강제 설치하는 키보드보안 프로그램은 은행에 접속해 있는 동안만 실행되는 반면, 공격자가 내 컴퓨터에 설치한 키로거 프로그램은 상시로 실행됩니다. 누가 이기는지는 뻔하지 않습니까?

키보드보안 프로그램을 설치해야 된다는 이유가 무엇입니까? 일반 고객의 컴퓨터는 믿을 수 없다(이미 뚫렸다)는 것입니다. 키로거가 설치되지 않았다면 키보드보안 프로그램도 필요가 없지요. 하지만 키로거가 설치되었다면 키값만 가로채 가고 말겠습니까? 공인인증서도 당연히 복사해 갑니다. 저장 위치도 정해져 있기 때문에 이용자 컴퓨터 여기 저기를 찾아볼 필요도 없습니다. USB 메모리 스틱에 공인인증서를 저장해 두더라도 은행거래를 위해서 USB를 꽂으면 저의 공인인증서는 공격자도 복사해 가지고 갈 수 있게 됩니다.

공인인증서+키보드보안을 아무리해도 소용이 없는 이유는 여기에 있습니다.

국내 보안업체가 개발/판매하는 키보드보안 프로그램이 저질이라는 것이 아닙니다. 외국의 은행들이 그런 프로그램 설치를 강제하지 않는 이유는 프로그램이 저질이라거나, 외국 보안업체가 키보드보안 프로그램을 만들줄 몰라서가 아닙니다. 아무리 그걸 설치해도 소용이 없기 때문입니다. 인증서 암호를 자신의 다른 여러 암호들과 다르게 정하여 사용하는 super clever user는 극소수에 불과하기 때문입니다.

“인증서 기술”자체가 무용지물이라는 것도 아닙니다. 우리나라와 같이 아무데나 저장/복사 가능한 방법으로 인증서가 운용되는 경우에는 하나마나한 삽질에 불과하다는 것입니다. 인증서를 사용하는 유럽 은행들은 모두 보안토큰에 저장된 인증서(PKCS#11 양식)만을 사용합니다. 보안토큰에 저장된 인증서는 공격자뿐 아니라 어느 누구도 복사해 내올 수가 없습니다. 토큰을 물리적으로 입수하지 않으면 인증서 파일이 유출될 수가 없습니다.

이런 내용을 국내의 보안 전문가들도 다 잘 알고 있습니다. 그분들이 침묵을 지키는 이유는 납득하기 어렵습니다(쉽습니다 ㅠㅠ)

혹자는 이렇게도 말합니다: “금융사고가 터지면 모든 책임을 은행에게 지우기 때문에 은행은 이런 조치라도 취할 수 밖에 없다.” 그러나, 세상 어디에도 금융사고가 터지면 무조건 고객에게 책임을 지우는 나라는 없습니다. 금감원의 지시에 따라 공인인증서+키보드보안을 은행이 아무리 사용하더라도, 사고가 터지면 은행이 책임을 쉽게 면할 방법도 없습니다. 금융감독원이 은행의 배상책임을 면해주지도 않고, 면해줄 수도 없습니다.

공인인증서+키보드보안이 사고를 막을 수는 없습니다. 키보드보안을 정면돌파 하지 않고 “우회”하는 너무 쉬운 방법이 있고, 아무데나 저장가능한 공인인증서를 공격자가 복사해 가는 것을 막을 방법도 없습니다. 그동안 사고를 그럭저럭 막아온 것은 실은 보안카드였다는 점은 금융권 내부에서는 견해가 일치하는 부분입니다.

지난 여러해 동안 그릇된 확신으로 밀어붙여 왔던 공인인증서+키보드보안 “해프닝”은 은행에게도, 고객에게도, 금융감독원에게도 별 도움이 되지 않는 실패작이었음을 인정할 때가 왔습니다.

고립된 한국의 웹 환경에서 그동안 아무 생각 없이 무조건 별도 플러그인/별도 앱(application; 응용프로그램)에 의존하여 서비스를 제공해 왔던 기술 트렌드에 대하여 이제는 근본적 반성이 필요한 시점이 되었습니다.

최근 아이폰 출시에 때 맞추어 하나은행, 기업 은행 등이 또다시 별도 앱 방식의 뱅킹 솔루션을 내놓고 마치 이렇게 하면 스마트 폰 시대에 부응할 수 있을 것이라는 근거 없는 환상을 동원하여 은행 판촉/선전에만 골몰하는 사태는 안타깝습니다.

모바일 뱅킹의 올바른 해법은 별도의 앱(고객이 내려받아 설치해야 하는 응용프로그램)에 있는 것이 아니라, 아무런 별도 프로그램도 고객이 설치할 필요 없이 웹기반으로 서비스를 제공할 수 있는 “web application”에서 찾아야 합니다.

우선 web application 의 개념에 대한 위키피디아의 설명을 간단히 소개하겠습니다. http://en.wikipedia.org/wiki/Web_application

과거의 낡은 해법은 고객(이용자) 컴퓨터에 내려받아 설치되어야 하는 응용프로그램/플러그인에 의존하여 여러 서비스를 제공하는 것이었습니다. 이 방법은

첫째, 이용자들이 웹에서 프로그램/플러그인을 내려받아 설치해야 하므로 심각한 보안 위험에 노출되고(악성 프로그램도 웹을 통하여 유포되므로 선량한 프로그램인지 악성프로그램인지 이용자가 분간하기는 어렵지요)

둘째, 프로그램/플러그인이 업그레이드 될 때마다 이용자들이 일일이 새 버전을 내려받아 설치해야 하므로 번거로울 뿐 아니라 막대한 고객 지원 수요에 시달리므로 서비스 제공자나 고객이나 모두 비효율적이고,

셋째, 다양한 플랫폼 지원이 불가능합니다. 서비스 제공자가 임의로 선택하는 이용환경에서만 앱/플러그인이 배포되고, 그 환경에서만 서비스가 가능해 집니다. 지원되는 플랫폼을 확대하려면 서비스 제공자에게 적지않은 비용 부담이 생깁니다.

반면에, 웹앱(Web application)은 표준적인 html/xhtml 에 기반하고, 고객이 무슨 프로그램을 내려받아 설치할 필요가 없고, 업그레이드 역시 고객의 컴퓨터에 무슨 변화가 필요한 것이 아닙니다. 서버측에서 수정되기만 하면, 고객은 웹브라우저로 접속하기만 하면 언제나 최신의 웹앱을 이용하게 됩니다.

그리고 javascript, ajax 등의 기술을 동원하여 고객(이용자) 컴퓨터에서 수행하는 작업의 비율을 높일 수도 있고, 페이지를 새로고침하지 않고서도 여러 스텝이 진전될 수 있도록 할 수 있게 되어 종래 고객 컴퓨터에 설치되어 작동하는 응용프로그램이 제공하던 “상호작용적” 이용경험도 웹앱을 통하여 제공할 수 있습니다.

무엇보다도, 웹앱은 html/xhtml 에 기초하고 있으므로 모든 웹브라우저/이용환경에서 아무런 별도의 추가 비용이나 프로그램 설치가 필요 없이 당연히 서비스 제공이 가능해지는 저비용/고효율의 서비스 제공방법 입니다.

대표적인 예를 들자면 구글 메일이 웹앱의 일종입니다. 구글메일을 이용하지 못하는 이용환경은 없으며, 구글메일을 이용하기 위해서 무슨 프로그램을 내려받을 필요도 없습니다. 구글챗팅 기능이 추가로 도입된다고 해서 이용자가 그 기능을 추가하기 위하여 무슨 업그레이드 프로그램을 자기 컴퓨터에 내려받아 설치해야 하는 것도 아닙니다.

반면에 아웃룩 익스프레스는 고객 컴퓨터에 설치되어야 비로소 구동가능한 응용프로그램이고, 데스크톱 윈도우 OS에서만 구동하지요. 채팅 기능을 추가하려면 별도로 MSN 메신저나 윈도우 라이브 메신저 프로그램을 설치해야 하지요. 그리고, 그 프로그램이 업그레이드 될 때마다 새로 내려받아 설치해야 하지요. 이 방식은 이제 과거의 것이며 미래가 없습니다.

자, 그러면 인터넷 뱅킹을 “별도 앱/플러그인”으로 구현할 것이냐, “웹앱”으로 구현할 것이냐가 문제의 핵심입니다.

먼저, 사례를 한번 볼까요?
호주의 BOQ 은행입니다. http://www.apple.com/webapps/utilities/boqmobilebanking.html

BOQ mobile banking

계좌조회는 물론, 이체, 공과금납부, 송금 등 모든 은행 거래가 자유자재로 가능합니다. 프로그램의 외관도 하나은행이 별도 앱으로 구현한 것과 다를 것이 없고, 실제로 이용경험도 유사하며 편리성은 더욱 뛰어날 수도 있습니다.

이 방식(웹앱)은 고객이 어떤 프로그램도 내려받아 설치할 필요가 없습니다. 기존의 인터넷 뱅킹 인프라 스트럭쳐를 건드릴 필요도 없이, 그것에 기반하여 모바일 이용환경에 “최적화” 시키는 작업(4인치가 채 안되는 작은 화면에서 편리하게 이용할 수 있도록 layout과 메뉴를 고안하는 작업)과 고객측에서의 일부 작업을 위하여 javascript 나 ajax를 적절히 구사하는 것입니다.

하나 은행 앱은 오직 아이폰 사용자만이 이용가능하고, 별도 앱을 내려받아 설치해야 합니다. 그러나 웹앱으로 구현한 BOQ 은행의 솔루션은 아이폰은 물론이고, 구글 안드로이드 폰, 윈도우 모바일 기반의 스마트폰, 블랙베리, 그리고 삼성 바다폰(이 나온다면), 그리고 LG Oz 폰 등 지구상에 존재하는 모든 스마트 폰에서 아무런 추가 조치도 필요 없이 모두 서비스가 가능합니다.

그뿐 아니라, 웹앱으로 서비스를 구현하면, 시시각각으로 은행 웹사이트에 새로 등장하는 정보, 은행 상품 선전, 공지 사항 등이 그대로 모바일 이용자에게도 전달될 수 있습니다. 별도의 앱은 “정적static”인 UI를 가지고 있으므로, 은행 웹페이지에서 실시간으로 제공되는 정보와는 단절되어 혼자 고독하게 돌아가고 있을 뿐이고, 그런 앱을 이용하는 고객 또한 세상에서 단절되어 프로그래머가 납품할때 짜준 UI 만을 쳐다보고 있을 뿐입니다. 프로그램이 업그레이드되면 고객은 또다시 내려받아 새 프로그램을 설치해야 하고, 안드로이폰이나 윈도우 모바일 폰을 가진 고객은 모바일 뱅킹은 그림의 떡이고, 그런 고객에게 까지 모바일 뱅킹을 제공하려면 은행은 보안업체에게 매번 수억씩 갖다 바치고 프로그램을 구입하여 배포해야 하는 불리한 궁지에 몰리게 되는 것입니다.

제정신을 가진 은행이라면 별도앱/플러그인 방식으로 서비스를 제공할 이유는 없지요.

호주의 BOQ 은행이 예외적이고 특출한 사례인가? 천만의 말씀. 무수한 외국 은행들은 이미 웹앱 방식으로 서비스를 제공하고 있습니다.
E-loan savings 은행 http://www.apple.com/webapps/productivity/eloanmobilebanking.html
ANZ 모바일 뱅킹 http://www.apple.com/webapps/productivity/anzmobilebanking.html
Eastern Bank 모바일 뱅킹 http://www.apple.com/webapps/productivity/easternbankmobilebanking.html
Bank of America 모바일 뱅킹 http://www.apple.com/webapps/productivity/bankofamericamobilebanking.html

수도 없습니다. 이 모든 은행들은 아이폰 뿐 아니라, 모든 스마트폰에서 아무런 별도의 조치 없이 뱅킹 서비스가 가능합니다. 안드로이드 폰에서 BOQ 은행을 접속한 광경은 다음과 같습니다:

안드로이드 폰으로 접속한 BOQ 은행

금융감독원 실무자님들께 부탁말씀이 있습니다. 전자금융감독규정 시행세칙 조항을 내세워 은행들에게 이래라 저래라 호령하시는 것, 이해는 합니다. 파워 있지요.

그러나, 보안 프로그램 설치하라, 공인인증서 사용하라는 “규정”이 과연 진정으로 좋고 필요한 것이라면, “의무 조항”으로 해두지 않아도 은행이, 그것도 국내 은행 뿐 아니라 전세계의 똑똑한 은행들이 모두 앞 다투어 그런 조치를 취하지 않겠습니까? 자기 은행 돈을 보호하는데 진정으로 도움이 된다면 그것을 안할 은행이 세상에 어디 있겠습니까?

정말 좋고 필요한 내용이라면 “의무 조항”으로 억지로 코를 꿰어 당기지 않아도 되지 않겠습니까? 그런 조항을 “의무 조항”으로 하려고 집요하게 설쳐대는 자가 과연 누구인지를 곰곰히 생각해 보시기 바랍니다. 은행은 원하지 않습니다. 외국의 은행들은 아무도 그따위 짓을 하지 않습니다. 외국의 은행들은 돈이 술술 새나가도 괜찮아서 그렇다고 생각하십니까? 금융사고가 터지면 외국의 은행들은 고객책임으로 모두 돌리고 안 갚아줘도 된다고 생각하십니까? 도대체 외국의 법제도를 공부나 해보셨습니까? 외국은 은행도 바보고, 금융소비자도 바보고, 보안기술자도 바보고, 규제당국도 바보라서 한국과 같이 “좋은” 강제 규정을 두지 않고 있다고 생각하십니까?

“공인인증서를 반드시 사용하라!” “보안 프로그램을 반드시 깔아라!”고 파워를 마구 휘두르시기 전에 자신이 과연 “웹앱”이 무엇인지, 왜 이것이 중요한지, 전세계 전자금융거래의 트렌드가 무엇인지 파악이나 하고 계신지, 자신이 진정으로 권한을 마구 휘두를 만큼 관련 기술을 열심히 공부하고 이해하고 계신지를 돌아 보시면 좋겠습니다.

권한이 막강한 만큼, 책임도 막중하지 않겠습니까?

일본에서 근무하시는 hirameki 님께서 댓글 형태로 적으신 내용이 워낙 비중있는 것이라 본글의 형태로 올립니다.

**************

일단 무조건 깔고보는 윈도우 프로그램인(플러그인도 아닌 윈도우 프로그램) 액티브 엑스처럼 다른 운영체제에 있는 별도 프로그램만 눈에 들어오시는 모양인데…. 제가 외국이라 한마디 하자면, 일단 브라우저만으로 대부분이 처리 가능하기 때문에 별도로 개발된 프로그램들은 그냥 덤입니다. 애초에 마구잡이 설치를 안하기 때문에 사람들이 뭔가 설치하는 것에 대한 경계심이 있습니다. 내가 뭘 쓰겠다고 하지도 않았는데 [웹페이지가 무슨 프로그램을] 마구 설치하려고 하면 일단 “아니오”부터 선택하고 본다는 말입니다.

그럼 우리나라 사람들은 왜 그냥 습관적으로 “예” 를 눌러대는 것일까요? 파블로프의 개 실험은 아시는지 모르겠습니다. 파블로프의 개 실험에서는 일방적으로 벨이 울리고 먹이가 나옵니다. 벨이 울리는 소리를 듣지 못하면 먹이가 나오지 않을것이라 생각하여 보통 상태이지만, 벨이 울리면 먹이가 나올거라 생각하여 위액이 분비되는 양이 늘어나는 것이지요.

대강 짐작하셨겠지만, 컴을 잘 모르는 사람들이 무조건 “예” 를 누르게 만든 것은 서비스 제공자 측입니다.
보통 컴퓨터를 처음 만져보시는 분들은 뭔가 설치하려고 하면 설치해도 좋은것인지 망설입니다. 하지만, 님이 예로 드신 분들[우리 나라 인터넷 이용자들]은 이미 훈련이 되어있어 뭔가 설치해야 한다는 창이 나오면 무조건 “예” 를 누르는 사람들이라는 점입니다. 물론 보안에서는 무조건 예를 누르는 경우도 염두에 두어야 합니다만, 윈도우즈 내에서 프로그램들끼리 경쟁해봐야 결국은 먼저 점령한 쪽이 이긴다는 것과 현행 보안 모듈도 돌파가 불가능하지 않다는 사실을 염두에 두셔야 할 것입니다.

그렇기 때문에 뭔가 항상 설치하는 것[을 통하여 보안을 달성하려는 것은 틀린 접근입니다. 기본적으로 아무 부가 프로그램도 설치하지 않아도 되는 이용 환경을 조성함으로써] 뭔가 설치되려고 하는 상황을 사용자가 경계할 수 있도록 해 주어야 한다는 것입니다. 정상적인 프로그램 100개 중에 1개가 나쁜 프로그램이라고 해도 예 를 100번 누르는 상황에서 사용자가 일일히 확인은 힘듭니다만, 한번도 예 를 누를 필요가 없는 상황에서 한번이라도 질문이 나타나면 확인해보는 것은 비교적 쉽기 떄문입니다.

이것은 불편하거나 편하거나를 떠나서 보안적인 장치를 무감각하게 무시하도록 사람들을 훈련하는 행위를 하지 말자는 것입니다.

게다가 윈98이용자가 10%인데 버리지 못한다는 것은 여태까지 파이어폭스등의 브라우저를 지원하지 않는 행동과는 모순된 행동인데다가, 모든 플랫폼에서 지원되는 방법을 추가적으로 지원하기만 하면 기존의 플랫폼에는 아무런 영향도 없다는 사실을 간과하는 것에 지나지 않습니다.

실제로 개인적으로는 국내 보안업체가 만들었다는 프로그램의 신뢰성에 대단한 의문을 지니고 있는 편이기도 하고, 그것은 소스가 납득할만한 설계가 되어있는지 확인이 불가능하다는 점에서 더더욱 그렇습니다. 소스를 공개하라는 소리는 아니지만 운영체제자체의 디자인이 덜 안전한 상황에서 구멍을 많이 막았기 때문에 안전하다 라는 이유로 윈도우즈 플랫폼에서 자신들의 프로그램을 사용한것이 제일 안전한 것인 양 선전하는 모습은 그다지 사용자의 보안을 생각하는 모습으로 보이지 않습니다.

실제로 바이너리 코드를 함부로 다운로드하지 못하고, 설사 다운로드시키는데 성공했다고 해도 유저가 실행을 승낙하기 전까지 실행이 불가능한 OSX에서 아무런 플러그인 없이 인터넷 뱅킹을 하는 것과, 예 버튼 한번으로 원하는 프로그램과 원하지도 않는 프로그램이 패키지로 깔려서 자동으로 실행가능한 환경에서 보안프로그램뿐만이 아닌 예상할 수 없는 수많은 프로그램을 설치한 상태에서 인터넷 뱅킹을 하는 것 중 어느쪽이 더 안전한지 상당히 의문스럽습니다.

오히려 보안보다 자신들이 편의를 생각하는것이 현행 보안업체의 보안모듈이 아닌가 생각이 듭니다. 예 한번으로 여러개의 프로그램을 마구 설치할 수 있는 방법을 쓰면서 사람들을 보안에 더더욱 무감각하게 훈련시켰으니까요. 게다가 그 방법 자체가 운영체제에 구멍부터 뚫고 시작하는 방법이니 말입니다.

또 자바에 거부감이 좀 있으신 것 같은데, 자바는 규격일 뿐이고 어디것을 가져다 써야하는 것도 아닙니다. 즉 자바규격을 만족하는 JVM을 직접 만드셔도 된다는 말입니다. JAVA는 규격만 지키면 됩니다. 모든 플랫폼에서 규격을 제대로 지키는 JVM을 구현만 한다면, 또 라이브러리 구축만 된다면 플랫폼에 관계없이 돌아갈 수 있다는 면에서 통신 프로토콜과 성격이 크게 다르지 않습니다. 그러니까 윈도우하고 맥만 달랑 지원하는 외다리 실버라이트라도 리눅스에서 동일 규격을 문라이트라는 이름하에 개발되고 있습니다. 플래시도 플래시 플레이어가 구현되면 모바일 기기도 돌아갑니다. (물론 자바도)

그러나 자바가 선호되는 것은 특정 회사가 개발한 제품에 의존하는 것도 아니고, 규격만 잘 따르면 잘 돌아가게 되어있기 때문입니다. 플래시나 실버라이트 등은 이런 점에서 해당 회사가 개발하지 않으면 잘 안돌아가는 면이 있습니다. 그리고 자바 어플릿은 브라우저상에서만 가동되고 운영체제에 대한 간섭은 극히 제한되어있습니다.

너무 길어져서 요약하자면

1. 현행 보안 모듈은 보안장치를 무력화하도록 사용자를 훈련한다. (파블로프의 개)
2. 현행 보안 모듈은 운영체제의 기본 보안레벨을 낮추어 보안 구멍부터 뚫고 시작한다.
3. 현행 보안 모듈은 개인 인증 + 통신 암호화를 제공하지만 통신 암호화 면에서는 SSL보다 암호화 레벨이 떨어지고 동등한 레벨의 암호화 기술을 개발할 의지도 없다.
4. 악성 코드가 보안 프로그램보다 먼저 기동할 수 있도록 운영체제를 조작하거나 인증서 자체를 훔치는 것 등에 대한 보안은 현재 보안모듈을 설치하지 않고도 운영체제 기본의 보안설정으로 의심스러운 프로그램의 무작위 설치 없이 사용을 유지할 수 있도록 하는 편이 더 안전하다.(중요)

대안, (여태까지 오픈웹에 여러번 올라왔던 내용들이라 보지만…)

1. 운영체제의 본래의 보안레벨을 올려도 문제없이 돌아가는 시스템으로 전환한다. 현재 하던대로 백신 사용도 권장한다.(외산 백신하고 충돌할수도 있지만….)
2. 키로거 등이 걱정되는 경우에는 버추얼 키보드 등의 대안을 제시한다. (웹 화면의 랜덤하게 위치가 바뀌는 숫자 키패드 또는 그림으로 된 화면 키보드 등)
3. 유출을 100% 막기 힘드므로 OTP등 유출되어도 악용되기 힘든 시스템을 도입한다.
4. 플러그인이 꼭 필요한 경우, 브라우저상에서만 작동하고 운영체제에 악영향을 끼치지 못하는 기술을 사용한다. (자바 애플릿이 언급되는 이유임)

그동안 농담삼아 “다음달 폰”으로 알려져 왔던 애플사의 아이폰이 정말로 다음 달에 출시를 앞두고 있습니다. 아이팟 터치를 사용해 본 제 경험으로는 매우 편리한 인터넷 기반의 다양한 기능(거의 휴대용 컴퓨터 수준이라고나 할까요)과 휴대 전화가 복합된 아이폰은 적지 않은 반향을 일으킬 것으로 예상합니다.

그러나 아이팟터치/아이폰은 배터리 사용시간이 워낙 짧아서(음악만 들을 경우에는 오래 가지만, 웹브라우저를 실행하여 인터넷을 이용하면 매우 빨리 배터리가 소진됩니다) 이점이 소비자의 불편으로 작용할지도 모르겠습니다.

그리고 소프트웨어 환경 또한 상당히 폐쇄적 입니다. 개발자에게는 응용프로그램 개발을 자유롭게 할 수 있도록 열어두었다지만, 저같은 소비자 입장에서는 iTunes 에 구속되는 것, AppStore 에 종속되는 것 등은 매우 큰 거부감이 있습니다. (iTunes 는 리눅스에서 작동하지 않습니다. 따라서 아이폰이나 아이팟을 사용하려면 맥이나 윈도우 운영체제 이용을 강제당하는 형국이 됩니다; 이거야 말로, no thank you!)

그래서 저는 구글 안드로이드 기반의 스마트폰에 더 큰 기대를 걸고 있습니다. 내년 초에는 국내에도 안드로이드 기반의 스마트 폰이 출시된다니(이것도 “내년 폰”이 되지 않기를…), 새로운 휴대폰 장만은 그때까지 미룰까 생각 중입니다. 그대신 안드로이드 휴대폰 운영체제가 어떻게 생겼는지를 가상환경에서 돌려보았습니다.

PC에서 무료로 사용할 수 있는 Virtualbox라는 프로그램으로 가상환경을 만들고, 이 환경에서 안드로이드 휴대폰 운영체제를 실행해 보는 방법은 http://www.greenhughes.com/content/google-android-virtualbox 에 설명되어 있습니다.

안드로이드 휴대폰 운영체제 부팅 광경 입니다.

아이폰/아이팟터치에 결코 뒤지지 않는 근사한 UI입니다. 터치스크린 기능은 기본이겠지요. 다양한 응용 프로그램이 있으며, 무한한 오픈 소스 기반의 app 을 “자유롭게” (AppStore 니 iTunes 니 하는 구속 없이) 내려받아 설치할 수 있겠지요.

웹브라우저를 실행해서 국내 주요 포털에 접속해 보니, 다음 네이버 등은 이미 모바일 이용자를 위한 만반의 준비를 갖추어 두었음을 알 수 있습니다(아이팟터치 등을 사용해 보신 분들은 모바일 웹브라우저 주소창에 예를 들어 daum.net 을 치고 엔터를 누르면, 페이지는 자동으로 m.daum.net 으로 리디렉트 된다는 사실을 이미 잘 알고 계시겠지요; 웹서버가 이용자의 웹브라우저 사양을 자동으로 감지하고 이렇게 리디렉트 합니다. 네이버 역시 “네이버 모바일”로 자동으로 리디렉트 됩니다). (화면을 자세히 보시려면, 비디오 화면 아래 메뉴바에 있는 HQ 옆의 사각형을 클릭하시면 full screen으로 확대됩니다)

외국의 은행 사이트를 몇 군데 접속해 보았습니다. 그 중 모바일 기기 이용 고객을 위한 만반의 준비를 가장 잘 갖춘 곳은 Bank of America 였습니다. PC로 BoA 웹사이트에 접속하면 화면은 다음과 같습니다.

Bank of America: PC로 접속하였을 때의 화면

모바일 기기로 같은 주소에 접속하면 다음과 같이 모바일 기기 화면에 최적화된 페이지가 이용자에게 제시됩니다.

교신 암호화는 물론 웹브라우저에 당연히 내장된 SSL/TLS 프로토콜로 이루어집니다.

미국의 Wells Fargo 은행(https://www.wellsfargo.com/) 역시 모바일 고객에 대한 서비스가 완벽하게 제공됩니다. PC로 접속하면, PC 화면에 적합한 페이지가 뜨고, 모바일 기기로 접속하면 모바일 화면에 최적화된 페이지가 다음과 같이 나타납니다.

WT Direct 라는 은행(https://www.wtdirect.com) 역시 모바일 고객이 아무 불편 없이 이용할 수 있도록 설계 되어 있습니다. 모바일 화면에 나타나는 “Classic Home” 이라는 링크는 PC로 접속하는 고객에게 제시되는 화면입니다. 그 화면에 사용된 플래시는 물론 모바일 기기에서는 제대로 보여지지 않습니다. PC로는 잘 보이지만…

모바일 고객에 대한 만반의 준비를 하고 서비스를 제공하는 외국 은행들의 예를 들자면 끝이 없겠습니다.

자, 그럼 한국의 은행 사이트를 안드로이드 휴대폰으로 접속해 보겠습니다. 안봐도 뻔하지만…

동영상을 자세히 보시면 아시겠지만, 한국 씨티은행 웹서버는 이용자가 사용하는 웹브라우저가 무엇인지를 정확하게 감지해 냅니다. 이 스크린 샷 참조. 외국 은행들과 다음, 네이버 등 국내 포털 사이트는 이렇게 이용자가 무슨 웹브라우저를 사용하는지를 감지하여 그에 맞게 적절한 서비스를 제공하고 있는 반면, 한국씨티은행은 그렇게 감지한 웹브라우저를 지원하지 않는다는 안내를 하는데 써먹고 있습니다. 실은, “PC에서 실행하는 MS IE 말고는 아무것도 지원하지 않습니다”라고만 안내하는 것이 솔직하겠지요.

또 한군데…

사실 국내 은행 중 단 한군데도 풀브라징 기능이 있는 모바일 폰(스마트폰)으로 편리하게 이용할 수 있도록 준비된 곳은 “아직” 없습니다.

누군가 조만간 시작하겠지요. 업계를 선도하는 기업이 살아남지 않겠습니까?

유럽 시장에 최근 출시된 LG 안드로이드폰 소개 동영상입니다. 안드로이드 운영체제의 매력…

미국 시장에 출시된 i7500 Galaxy의 후속타인 삼성 Behold II. 온 세상은 이미 스마트폰 세상으로 변하고 있습니다. 한국 소비자들은 잘 몰랐을지도…

문제의 핵심은 “전자서명”에 있는 것 같습니다.

공무원들과 보안업체 종사자들은 전자서명이 부착된 거래가 더 안전하다는 “확신”을 가지고 있고, 지난 10여년간 한국웹은 바로 이 확신을 지탱해 주기 위하여 모든 이용자들이 ActiveX를 덕지 덕지 설치해 왔습니다.

그러나, 과연 이 “확신”이 기술적, 논리적 근거가 있는 것인지를 꼼꼼히 살펴 볼 필요가 있습니다.

첫째, 외국에는 이런 확신이 없습니다. 외국이 전자서명 기술을 몰라서, 전자서명 기술은 한국의 보안업체들만 구현할 줄 알아서, 외국은 보안이 허술해도 괜찮아서 그렇다고 생각하십니까? 한국이 “IT 강국”이라서 ㅎㅎ? 그것은 아니라고 저는 생각합니다.

둘째, 실제로 전자서명을 추가로 요구하면 과연 더 안전할까요? 엉성하고 막연하게 “그래도 없는 것 보다는 조금이라도 낫지 않겠는가”라는 식으로 얼버무릴 것이 아닙니다. 꼼꼼하게, 논리적으로 그리고 기술지식에 근거하여 따져보아야 합니다.

아래에서 언급할 키보드 보안이 만일 없다고 가정한다면, “전자서명만을 추가한다고 해서” 더 안전해 지는 것은 아닙니다. 왜그런가 하면,

• 쇼핑고객의 컴퓨터가 이미 뚫렸다면, 인증서 개인키 파일과 개인키 암호 또한 이미 유출되어, 공격자가 그것을 확보하여 고객의 전자서명을 마음껏 만들 수 있으므로, 금융기관이 전자서명을 아무리 요구해 본들 헛발질에 불과합니다.
• 쇼핑고객의 컴퓨터가 뚫리지 않았다면, 고객이 입력하는 정보또한 유출되지 않습니다(교신 암호화가 제대로 이루어진다면). 따라서 전자서명을 추가로 요구하는 일은 무의미한 “옥상옥”에 불과 합니다.
• 전자서명이 “보안”에는 별 도움이 되지 않지만, 은행이 “책임”을 면하는데는 그래도 도움이 좀 될 거라고 한발 물러서시는 분들이 이제는 많이 생겼습니다. 전자서명에 대하여 그동안 가져왔던 거의 종교적 확신이 흔들리는 분들이라고나 할까요. 그러나, 은행이 책임을 면하는데 전자서명이 별 도움이 되지 않는다는 점은 지난 포스팅에서 이미 설명드렸습니다. 실제로 은행이 “전자서명이 되어 있다는 이유로” 사고 거래의 책임을 면하는데 성공한 사례도 제가 알기로는 없습니다. 있으면 댓글로 알려주시기 바랍니다.

셋째, 전자서명에 더하여 키보드 보안까지 강제하면 더 안전해 질까요? 여기서도 꼼꼼히 따져볼 필요가 있습니다. E2E 키보드 보안 어쩌구 하면서, 그것이 무슨 만병통치약인 것처럼 떠들고 있지만, 실은 별 근거가 없습니다. 그 이유는,

• 쇼핑고객의 컴퓨터가 이미 뚫렸다면, E2E 보안을 아무리 강제해도, 인증서 개인키 파일 자체의 유출을 막을 방법은 없습니다. 인증서 암호 또한 (비록 금융사이트에 접속해 있는 동안에는 E2E 보안 플러그인이 작동하므로 개인키 암호가 유출되지 않지만) 고객이 다른 웹사이트에 접속해서 이런 저런 카페나 블로그, 이메일 계정 등에 로그인 암호를 입력할 때, 그 입력값은 고스란히 노출됩니다. 대부분의 고객들은 다양한 계정의 로그인 암호와 인증서 암호를 동일하게 지정해 두기 때문에 결국 인증서 암호까지 이 방법으로 유출되는 경우가 많고, 이것은 금융기관이 E2E 보안 아니라, 무슨 별의별 수를 써도 막을 길이 없습니다.
• 쇼핑고객의 컴퓨터가 뚫리지 않았다면 E2E 보안은 처음부터 쓸데 없는 짓입니다. 공격자는 입력값을 가로채 갈 수 없습니다.(교신 암호화만 제대로 하면 됩니다)
• 즉, 고객의 컴퓨터가 뚫린 상태건, 뚫리지 않은 상태건 간에, E2E 키보드 보안은 별 쓸모가 없습니다. E2E 보안 솔루션을 열심히 개발하여 판매하시려는 업체분들께는 매우 죄송합니다. 금융기관들은 여전히 이 제품을 계속 구입하고 있으니, 당분간은 계속 파실 수 있을 것입니다,

넷째, 고객 컴퓨터가 뚫렸는지를 검사하고 그 취약점을 틀어막기 위해서는 “본격적인 정품 안티바이러스 프로그램”을 자발적으로 설치하도록 권장하는 수 밖에 없습니다. 그러나,

• 고객의 자발적 설치를 못믿겠으며, 확인할 수 없다는 이유로 현재 금융권은 강제 설치를 시도합니다.
• 그러나, 강제 배포하는 “슬림화된 안티바이러스 플러그인”은 메모리 해킹 툴을 간략하게 몇초동안 스캔하는 빈약한 기능 정도 밖에 없고, 그것마저 금융 사이트를 벗어나면 꺼집니다. 따라서 이 플러그인도 별로 쓸데는 없습니다 (보안 업체 분들께는 죄송합니다만, 그런 프로그램을 아무리 팔아본들, 고객의 컴퓨터가 안전해 질 가능성은 없습니다. 만일 안전해 졌다면 7.7 DDoS 사태 같은 일은 일어나지 않았겠지요.)
• 금융기관들은 이제라도 이용자들에게 본격, 정품 안티바이러스 프로그램(상시로 작동하는 제대로된 정직한 제품)을 무료로 내려받을 수 있는 곳을 제발 좀 안내해 주시기 바랍니다. 여기에 있습니다. http://www.boho.or.kr/pccheck/pcch_02.jsp?page_id=2 이런 훌륭한 제품들이 있다는 사실을 왜 안내해 주지 않고 잠자코 계십니까? 그렇게 하는 것이 금융기관 영업에 도움이 됩니까?

결국, 외국이 모두 채용하는 방식(국내 보안업체들이 무조건 위험하다고 목청 높여 반복 주장해왔던 방식)은 ActiveX를 덕지덕지 처바르는 “한국형” 결제 방식보다 결코 허술한 것이 아니라고 저는 생각합니다. 즉, 국내 방식이 결코 더 안전한 것이 아닙니다. Amazon.com, 외국의 Ebay 사이트 등이 제공하는 “엄청나게 간단해 보이는” 솔루션이 한국의 “엄청나게 번거로운” 솔루션 보다는 더 안전하다고 저는 생각합니다. 유저들에게는 매우 번거롭고, 해커들은 손쉽게 비집고 들어올 수 있는 방식이 바로 한국의 보안 솔루션 이라고 저는 생각합니다.

해커들에게 제일 부담스러운 것은 본격적인 정품 안티바이러스 제품입니다(실시간 감시 기능이 “상시” 작동하는). 금융사이트에 접속해 있는 동안만 잠시 켜지고, 그 사이트를 벗어나면 자동으로 꺼지는 “강제 설치 안티바이러스 플러그인”은 해커들에게는 웃음거리 밖에 안됩니다.

금융기관 한 곳이라도 이상 설명드린 내용을 본격적으로 검토했으면 좋겠습니다. 현재의 (전자서명+키보드 보안+안티바이러스 플러그인) 방식의 결제가 사고거래 방지에 결국에는 별 도움이 되지 않는 기술적 이유는 분명히 있습니다.

외국의 보안 전문가들이 기술을 몰라서 전자서명을 안하고, E2E 보안 플러그인을 아예 개발조차 하지 않고, ActiveX 를 사용하지 않는 줄 아십니까?

외국의 금융거래는 허술하게 대강하기 때문이라고 진짜로 믿고 계십니까?

지난 10여년간 한국에서만 해 온 괴상한 방식이 기술적으로도 취약했고, 논리적으로도 허술했다는 점을 언젠가, 누군가는 인정하고, 그것을 폐기하고 선진적 방법으로 전환할 것입니다. 과연 누가 그일을 먼저 시작하느냐가 문제일 뿐이라고 저는 생각합니다…

제 책(“한국웹의 불편한 진실”)에 관한 서평과 인터뷰 등이 꽤 긍정적으로 나와서 다행입니다.

http://column.inews24.com/php/news_view.php?g_serial=432327&g_menu=043301

http://www.hani.co.kr/arti/culture/book/368941.html (8월1일자 한겨레 북섹션 full page 로 다룸)

http://bloter.net/archives/15694 (8월5일자 인터뷰)

제 책이 서적 판매 전문 사이트인 Yes24.com 에서 현재 주간 베스트 8 이군요…

http://www.yes24.com/24/Category/BestSeller?CategoryNumber=001001003&SumGb=02

제 자랑을 하려는 것이 아니라, 전반적인 분위기와 담론 형성의 추이를 말씀드리고 싶어서 소개했습니다.

은행 거래의 절반 가량은 이미 온라인으로 이루어지고 있습니다. 앞으로 온라인 영업 부문의 중요성은 더욱 늘어날 것입니다.

은행 등 금융권은 과연 이 트렌드에 대처하는데 필요한 ‘역량’을 갖추고 있는지요? 큰 구도를 이해하고, 장기적 비전과 전략을 수립하는데에는 ‘경영학/인문학 배경’의 기획 인력이 생각해 낼 수 있는 수준의 막연한 플랜 만으로는 역부족일 것입니다. 금융권은 무엇보다도 분리 발주 능력을 스스로 갖추어야 한다고 생각합니다.

분리 발주 역량

금융 거래 웹사이트를 “통짜로” 어느 업체에게 맡기고, 그저 “잘 좀 만들어 달라”는 수준의 발주에 머물러 온 것이 지난 10여년 간의 현실이었습니다. 그 결과는 무엇입니까? 마케팅 면에서도, 보안 설계 면에서도, 다양한 고객 환경 지원 면에서도 모두 ‘어중간’ 한 수준의 온라인 뱅킹 서비스에 머물고, 천편일률적, 그 나물에 그밥 스타일의 웹페이지를 모든 은행들이 떠 안고 있는 것입니다.

은행 등은,

• 자신이 무엇을 필요로 하고, 무엇을 원하는지를 분명하게, 그리고 구체적으로 정리하고 제시할 능력
• 응찰 업체들의 역량을 정확하게 평가하고 선발하는 능력

을 스스로 갖추어야 합니다. 수주 업체가 이일을 대신해 줄 수는 없습니다.

그런 능력을 자체 구비하고 있는 국내 은행이 실제로 있습니까?

온라인 금융 사업을 기획하고 발주하는 데에는 다음 세가지 요소에 대한 어느 정도의 지식과 역량이 필요합니다. 은행이 실제로 이들 요소를 스스로 “구현”할 역량을 갖추라는 것이 아니라, 이들 각 부문에서 은행이 “원하는 것이 무엇인지”를 스스로 정리하고 “발주”하는데 필요한 수준의 역량이 필요하다는 말씀을 드리는 것입니다.

(a) 마케팅/커뮤니케이션 부문

온라인 영업은 “컴퓨터 모니터 스크린”이라는 매체에서 은행과 고객 간의 모든 의사소통이 이루어집니다. 은행이 웹페이지를 통하여 고객에게 전달하고자 하는 마케팅 메세지들이 무엇인지, 어떻게 제시되는 것이 가장 효과적인지, 고객들에게 가장 큰 만족과 편리함을 주며, 은행에게도 가장 유리한 디자인은 무엇이어야 하는지…

실제로 각 스크린 별로 페이지가 어떻게 ‘디자인’되어야 하는지는 ‘웹디자이너’에게 맡길 일이 아니라, 마케팅/광고/커뮤니케이션 전문 에이전시에게 발주를 하는 것이 옳습니다. 은행의 요구 사항을 어떻게 하면 가장 효과적으로 고객에게 전달할 수 있는지를 알 수 있는자는 커뮤니케이션 전문회사이지, 웹디자이너가 아닙니다. 웹페이지 소스코드를 알 필요가 있는 것이 아니라, 고객의 심리와 은행의 요구를 정확히 간파하고 이 둘을 연결하고 구현하는 능력이 필요한 부분입니다.

물론, 은행부터 먼저 자신의 요구 사항이 무엇인지를 정리하고 제시할 능력이 있어야 하겠지요. 웹페이지를 통한 신규 고객 영입 가능성에 주목할 것이냐, 기존 고객에게 더욱 편리하고 다양한 서비스를 제공하는데 치중할 것이냐, 오프라인 점포의 비효율을 온라인 영업을 강화함으로써 대처하는데 주목할 것이냐 등의 경영 전략에 따라서, 웹페이지의 디자인과 메세지 제시의 강조점이 달라질 것입니다. 은행의 영업 전략을 구체화하고, 그것을 반영하여, 은행이 궁극적으로 고객의 모니터 스크린이라는 제약된 공간에서 제시되기를 원하는 메세지가 과연 무엇인지를 응찰자에게 분명하게 제시할 ‘기획 능력’은 은행 스스로가 갖추어야 합니다. 그래야 ‘발주’라도 제대로 할 수 있지 않겠습니까?

(b) 보안 설계 부문

은행이 고객에게 제공하는 서비스는 거래(transaction)와 관련되는 부분과, 정보/마케팅 등 순전히 informational 한 부분으로 나눌 수 있습니다. 보안 설계는 오로지 거래에 관한 것이고, 은행의 거래는 비교적 단순한 구조입니다.

이 부분 설계를 담당하는 분들은 마케팅을 알 필요도 없고, 웹표준을 알아야 할 필요도 없습니다. 스타일에 대한 고려는 전혀 필요가 없습니다. 모든 군더더기를 제거한 채, 오로지 필드(field) 명칭과 필드 입력란 등의 요소만으로 설계 작업이 이루어지면 됩니다. 즉,

등으로만 작업이 이루어지면 되므로, 국내는 물론 전 세계의 보안 업체들을 상대로 발주하기 용이한 분야입니다.

보안 설계를 담당한 업체가 완성된 솔루션을 발주자에게 납품하면, 발주자는 독립된 다른 보안 컨설팅 업체를 선정하여, 이 솔루션에 대한 점검(vetting)을 수행하도록 할 필요가 있습니다. 따라서 설계를 담당한 업체는 독립된 점검에 필요한 한도에서 필요한 정보나 documentation 등을 제공할 준비가 되어 있어야 하겠지요(물론, Non-Disclosure Agreement 를 맺고).

어느 한 업체가 납품한 보안 솔루션을 은행이 무방비 상태로 그냥 믿고 채용하는 것은 위험할 수 있습니다. 자기가 납품한 보안 설계를 독립된 제3자가 검증하는데 필요한 수준의 정보도 제공할 수 없으니, “무조건 자기만 믿으라”는 업체는 애초에 믿을 만한 업체가 아닙니다.

요컨대, 보안 설계는 그것을 구현하는 업체와 검증 하는 업체가 분리되어야 합니다.

(c) 코딩 부문

이 부문은 마케팅 지식도 필요 없고, 보안 지식도 필요 없습니다. 디자인 감각도 필요 없습니다. 코딩을 하시는 분들이 페이지 디자인을 하도록 기대하는 것은 애초에 잘못된 기대입니다.

코딩은 오로지 html, css 등의 웹 표준 기술을 원숙한 수준으로 구사함으로써,

• 모든 기기, 모든 플랫폼에서 서비스 접근과 이용에 지장이 없도록 확보하는 작업
• 마케팅/커뮤니케이션 팀이 확정한 디자인을 가장 효율적인(bandwidth를 가장 적게 사용하는) 방법으로 미려하게 구현하는 작업
• 장애인의 이용에 불편이 없도록 확보함으로써, 장애인 차별 금지법에 저촉될 소지를 없애는 작업

을 전담하는 부문입니다.

보안 업체가 코딩도 하고, 페이지 디자인도 적당히 해치우는 경우, 결국 전체적으로는 이류, 삼류의 결과물 밖에 내 놓을 수 없습니다. 이른바 SI(System Integration) 업체가 “통짜로” 어떤 프로젝트를 수주한 다음, 보안 솔루션을 적당히 구입하여 편입하고, 디자인도 그럭저럭 어디에 하청줘서 해치운 다음, (마케팅이나 커뮤니케이션 측면은 아예 고려조차 안 한 상황에서) 웹사이트 전체를 통짜로 납품하는 사태는 모두에게 불행합니다.

지금까지 이런 관행이 지겹게 반복되어 왔던 이유는, 은행 자체가 “발주”할 역량 조차 제대로 갖추지 못했기 때문입니다. 자기가 무엇을 원하는지도 모르고, 어느 업체를 선별해서, 무슨 일을 시켜야 하는지도 모르는 딱한 지경에서, 이른바 “대기업”에게 맡기면 “알아서 잘 해 주겠지”하는 심리로 돈만 왕창 퍼주는 사태…

부탁해요~

은행들은 스스로에게 물어보시기 바랍니다: 온라인 뱅킹, 온라인 영업과 관련하여, 은행이 지금까지 과연 자신에게 이익이 되는 결정을 해 왔는지요? 어떤 기술적 선택들이 있었는지 은행이 알고나 있었습니까? 그 중 어떤 선택을 누가 포기했는지, 왜 포기 했는지, 그 결과로 은행이 얻은 것은 무엇이고, 잃고 있는 것은 무엇인지에 대하여, “은행의 입장에서” 정확히 판단해 왔는지요? 그럴 능력과 역량이 있었는지요?

지금이라도 은행들은 e-business를 담당하는 부서에 대하여 근본적인 개혁과 획기적 지원을 할 필요가 있습니다. 능력에 맞는 파격적 대우, 그리고 무엇보다도, 은행 조직 내에서 e-business 부문에 대한 장기적 비전과 입지(적절한 인사상 대우)를 확보해 주어야 은행의 이익을 제대로 지켜낼 수 있는 소중한 인재를 은행이 확보하고 양성할 수 있습니다. 다른 어떤 업체가 은행의 이익을 지켜주지는 않습니다.

은행 전산부서는 그저 거쳐가는 곳이고, 지점장 되는 것만이 지상 목표인 그런 조직에서, 어떻게 온라인 뱅킹 영업/기술의 전문적 안목과 역량을 갖춘 인재가 생겨날 수 있겠습니까? 온라인 영업이 은행에게 그렇게 중요하다면, 그에 걸맞는 인사 조직 구조의 개혁도 필요하지 않겠습니까?

4월부터 국민은행의 초기 화면이 바뀌었습니다.

초기화면 한복판에 “대형 플래시”를 틀어대는 국내 은행들의 천편일률적 행태와는 확연히 다릅니다.

국민은행 초기 화면 중앙에 제시되는 세개의 메인 이미지는 고작 6k bytes 남짓되는 매우 작은 사이즈의 jpg 파일입니다. 그러나 시각적으로는 이 세개의 메인 이미지가 “시선집중” 효과를 가집니다. 이 이미지별로 국민은행은 주요 메세지나 마케팅 포인트를 배치합니다.

웹사이트 네비개이션은 크게 두 곳의 메뉴바(menu bar)로 제시됩니다. 상단에 메인 메뉴바가 있고(이것은 플래시를 사용), 페이지 왼쪽에 사이드 바 메뉴가 있습니다. 그 중, 사이드 바 메뉴는 “빠른 서비스”라는 이름에서도 알 수 있듯이, 바로가기 성격의 네비게이션 메뉴입니다. 아마도 고객이 가장 자주 클릭하게 되는 부분이 바로 왼쪽 사이드바 메뉴가 아닐까 생각합니다.

여타의 시중은행들 초기 화면은 대형 플래시에 화면 대부분을 할애한 나머지, 정작 고객에게 필요한 정보는 페이지 아래쪽이나, 한쪽 구석에 옹색하게 다닥다닥 제시되는 형국입니다. 오늘 오픈한 하나은행 초기 화면 역시 그렇습니다.

이런 식의 페이지 디자인은 고객의 이용을 편리하게 하거나, 은행의 영업에 도움이 된다기 보다는, 그저 “내가 만든 플래시가 얼마나 이쁜지 한번 봐 주세요”라는 수준의 소박한 희망의 표출일 뿐입니다.

은행 관계자분들은 “한국 사람들은 그림을 좋아한다”는 견해를 마치 무슨 염불외듯 되풀이하면서, “대형 플래시” 한판 때리기 식의 초기화면을 옹호하십니다. 그러나, 과연 그럴까요? 그런 말씀을 하시는 분도, 실은 “자신은 그렇지 않으나, 대부분의 이용자는 무식하다”는 근거없는 오만함을 자신도 모르게 드러내 보이시는 것이나 아닌지?

“무조건 그림을 한판 때려줘야 한다”는 “믿음”을 철칙처럼 생각하시더라도, 어쨋건 국민은행 사이트 역시 그림을 효과적으로 사용할 뿐 아니라, 거기에 더해서 메뉴 제시까지도 훨씬 일목요연하고 깔끔하게 처리되었다고 저는 생각합니다. 무엇보다도, 이용자가 편리하게 이용할 수 있는 페이지입니다. 저 혼자 폼을 잡고 생 쇼를 하는 페이지가 아니라.

대형 플래시가 돌아가는 국내의 여러 은행들 사이트를 보고 있노라면, 좀 우스운 생각이 들기도 합니다. 내가 도대체 은행 사이트에 은행거래를 하러 온 것인지, 무슨 “쇼”를 보러 온 것인지… 아직도 플래시를 “신기하게” 여기는 이용자가 많을 것이라는 짐작은 좀…

그러나 국민은행 초기페이지를 제가 가장 높이 평가하는 이유는 다른데 있습니다. 이른바 시각장애인 전용페이지가 없기 때문입니다! 그대신, 텍스트 웹브라우저로 접속하면 국민은행 초기 페이지는 완벽하게 아무 불편없이 이용이 가능합니다. 플래시로 구현되었던 메인 네비게이션 메뉴까지도 텍스트 브라우저에서는 ul 아이템으로 완벽하게 제시됩니다. 따라서 시각장애가 있건 없건 모든 이용자가 불편없이 국민은행 첫 페이지를 이용할 수 있습니다. 텍스트 브라우징 지원 여부를 확인해 볼 수 있는 사이트에서 국민은행 초기페이지를 테스트하면 다음과 같습니다. 눈으로 볼 수 있는 사람은 보고, 귀로 들을 수 있는 사람은 같은 내용을 들을 수 있게 됩니다.

국내의 다른 은행들의 경우, 텍스트 브라우저로 접속하면 “어떤 일이 벌어지는가”는 그저 상상에 맡기겠습니다.

국민은행의 선구적 감각과 안목에 아낌없는 찬사를 보냅니다.

4월 한달 간 오픈웹에 대한 논란이 뜨거웠습니다. 그 배경과 저의 단상을 적어 봅니다.

배경

오픈웹이 MS IE 외의 웹브라우저나 윈도우 외의 운영체제에서도 온라인 뱅킹 등을 할 수 있게 해달라는 요구를 제기하는 것이라고 여겨오셨던 분들은, 2월18일부터 오픈웹에 등장하기 시작한 문제제기(안전한 온라인 뱅킹을 위하여)가 보안업체의 “영업/경영 판단”에 집중하자, 큰 혼란을 겪은 듯 합니다.

그동안 파이어폭스 용 “금융보안 플러그인”을 열심히 개발하여 출시 준비를 마치고, 오픈웹 소송이 승소하기를 기대하고 계셨던 보안업체 경영/영업 인력분들께서 누구보다도 실망이 크셨을 것으로 저는 생각하며, 오픈웹이 ‘좌충우돌’하고 있으며, 보안업계를 적으로 만들었다는 비난이 표면화하였습니다. “지지자들이 등을 돌리게 만들었다”는 것이지요.

그러나, “인터넷”이 “플러그인”에 의하여 지배당하는 국내 상황을 더욱 강화/심화/악화하는 결과를 초래하는데 일조하게 된다면, 그야말로 오픈웹으로서는 결코 해서는 안될 일이라는 생각은 진작에 하고 있었습니다. 물론, 2년여전에 소송/민사조정을 제기할 당시에는 저는 그저 소비자의 선택권, 소프트웨어의 자유로운 경쟁, 평등, 자유 등 매우 소박하고 추상적인 수준의 생각을 하고 있었습니다. 그러나, 그동안 좀 더 많은 것을 배우고 생각해 볼 기회가 있었습니다.

특히, 다양한 디바이스의 등장이 이미 도래한 기술환경의 변화를 접하면서, “오픈웹”은 플러그인을 많이 배포하는 방법으로 달성되는 것도, 달성될 수도 없다는 생각이 들었습니다. 따라서 소송에 승소하는 것보다 더 중요한 일은 우리의 기술 경향 자체에 대한 논의가 이루어질 수 있는 계기를 마련하여, “장기적 관점에서” 어떤 목표를 설정하고 추구하는 것이 바람직한지에 대한 견해를 수렴할 필요가 있다고 생각하게 되었던 것입니다.

제가 논의의 ‘출발점’으로서 제시한 방향은 “Plugin에서 HTML로“라는 글에 요약되어 있습니다. 물론, 이것이 옳다는 것이 아니라, 적어도 논의가 이루어지려면, 누군가 발제를 하고 무슨 내용을 제시해야 가능하므로 그 수준의 의미를 가질 뿐입니다. 따라서 “activex가 안전하냐, ssl 이 안전하냐”는 등의 갑론을박은 미시적, 지엽적 사안에 불과하며 실제로도 별 의미는 없다고 저는 생각합니다. 좀 더 큰 그림을 그리고, 앞으로 어떤 설계 철학에 비중을 두어 인터넷 기반의 소프트웨어/솔루션 산업의 기틀을 마련할 것인지에 대하여 많은 분들의 참여로 담론이 형성되기를 바랍니다.

단상

이 일을 실제로 추진하는 과정에서 저는 일종의 “충격요법”을 섣불리 채택하는 미숙함을 드러내 보였습니다. (물론 그것이 저의 한계이고, 제 수준이지요…) 그래서 한동안은 매우 소모적인 감정 대결 양상을 보였습니다. 그 과정에서 제가 느낀 단상들이 몇개 있습니다. 저는 youknowit 이라는 닉네임으로만 알려지기를 바랐으나, 어느 사이엔가 저의 직업이나 ‘신분’이 어쩔 수 없이 드러났습니다. 이런 상황은 그리 좋은 것은 아니라고 생각합니다. 인터넷은 자신의 ‘가방끈’을 과시하고, 그것이 주는 일종의 ‘권위’로 상대방을 제압하려는 오프라인 상의 포럼 형성 메카니즘과는 완전히 다른 포멧에서 논의가 가능한 공간이며, 저는 이 측면이 인터넷의 큰 장점이라고 생각합니다. 어쨋건, 논의가 격렬하게 되자, 몇몇 분들은 저의 “배경”을 문제삼기 시작했습니다. 보안 전문가도 아닌 자가 왜 보안 전문가들 영역에 끼어들어 이런 저런 주장을 제기하느냐는 식의 “자격증 논쟁”으로 이야기가 새 나가는 것은 매우 안타까왔습니다. 주장을 제기하는 자의 ‘자격’이나, ‘경력’이나, ‘배경’이 중요한 것이 아니라, 그 주장의 “내용”이 중요하다고 저는 생각합니다만, “보안 전문가도 아닌자가 보안을 알아?”라는 식의 공격으로 일관하는 분들은 (오픈웹에 지난 3년간 축적된 글을 읽어 보시지도 않고), 오픈웹의 주장이 이렇다, 저렇다고 일방적으로 단정하고 소모적인 논쟁에 대부분의 시간을 허비하였던 것이 아닐런지요.

지금와서 보면, 보안 기술 측면에서는 그리 큰 이견이 있는 것도 아니라고 저는 생각합니다. ActiveX는 플러그인의 일종에 불과하고, 플러그인은 대체로 공통적인 장단점이 있고, 보안은 프로그램만으로 달성될 수 있는 것이 아니라 이용자의 이용행태까지도 면밀히 감안해야 비교적 만족스러운 해법이 가능하다는 정도의 내용은 대체로 모두가 공감하는 내용입니다. 오픈웹이 “자바애플렛(signed java applet)만을” 절대선으로 내세우고 있다, 또는 “SSL/TLS 접속에만 의존하고 있다”는 주장은 사실과도 다르고, 아예 실체가 없는 허상에 불과합니다. 그러나 몇몇 분들이 이렇게 단정하고, 그것을 교정하려 또다시 과격한 “보안밥 논쟁”이 거듭되곤 했습니다.

고객 PC가 허술하여 개인키가 유출되면, 인증서는 부인방지 기능을 가질 수 없고, 키보드 보안 플러그인을 아무리 자동/강제 실행되도록 은행이 조치를 취해도, 다른 웹사이트에 같은 비밀번호를 키보드로 입력하는 이용자의 이용행태를 어쩔 수는 없고, 은행사이트에 접속해 있는 동안에만 작동하는 안티바이러스 플러그인이 고객 PC의 보안을 지켜 줄 수는 없다는 정도의 내용은 “전공”이나 “배경”에 상관 없이, 누구나 생각해 볼 수 있는 내용이라고 저는 생각합니다.

며칠 전에 제시한 Safe Bank Demo 사이트는 오프웹의 입장에 대한 그동안의 불필요한 오해를 걷어내고, 우리가 제안하는 방향을 독자들이 쉽게 이해하는데 도움이 되겠다는 생각에서 마련해 본 것입니다.

오프라인에서 저의 직업이 무엇이고, 전공이 무엇이건 상관 없이, 저는 그저 youknowit 에 불과합니다. 보안 전문지식? 저는 틈틈이 이것 저것 살펴보고, 열심히 배울 뿐입니다. 전자서명? 소송 준비 때문에 조금 더 공부할 기회가 있었을 뿐입니다.

국내 인터넷 뱅킹 보안의 기술적 선택은 다음과 같이 정리할 수 있습니다:

(공인)인증서

• 개인키와 암호가 유출 안되면, 사고가 아예 발생하지를 않고(부인방지 기능이 필요 없고),
• 개인키와 암호가 유출되면(사고발생 가능성이 생기면), 인증서는 부인방지 기능을 발휘하기 어렵습니다.

키보드 보안 프로그램

키보드 보안 프로그램을 설치해도,

• 고객 개인키를 공격자가 복사해 가는 것을 막을 수는 없고,
• 다른 사이트(포털, 블로그, 쇼핑몰 등)에서 고객이 키보드로 입력하는 값을 보호해 줄 수도 없습니다.
• 다수의 이용자들은 다른 사이트에서 자신이 사용하는 암호와 인증서개인키 암호를 동일하게 정하여 사용합니다. 키보드 보안 플러그인을 설치한다고 해서 이용자의 이러한 이용행태(user behaviour)가 바뀌지는 않습니다.
• 고객의 개인키를 복사한 공격자는 그 고객이 은행 외의 사이트들에서 키보드로 입력하는 암호값을 수집하므로, 은행의 키보드 보안 프로그램은 아예 건드릴 필요도 없습니다.

개인 방화벽, 안티바이러스 프로그램

은행이 강제 설치하는 이 프로그램들은

• 은행에 접속해 있는 동안만 작동합니다.
• 그러나 은행이 고객의 컴퓨터를 공격하지는 않습니다.
• 다른 악성 사이트나 이메일 첨부파일 등이 고객을 공격하지만, 이들 프로그램은 이때에는 작동하지 않습니다.

무료로 배포되는 훌륭한 정품 안티바이러스 프로그램들이 있다는 사실을 은행이 고객들에게 소개, 안내하고, 정품 안티바이러스 프로그램의 사용을 적극 권장하면, 적지 않은 고객들이 무료 정품 소프트웨어의 혜택을 누리기 위하여 자발적으로 이 프로그램을 설치할 유력한 가능성은 생깁니다. 이러한 정품 프로그램들은 상시로 작동하므로, 이용자 PC의 보안 상황은 획기적으로 개선될 수 있습니다.

그러나, 은행은 이용자들을 믿을 수 없다는 이유로 “강제” 설치를 선택합니다. 그래서, 은행 사이트에 접속하면 “자동으로/강제로” 실행되는 플러그인 형태의 방화벽/안티바이러스를 고객컴퓨터에 억지로 설치하게 되는데, 문제는 이런 프로그램은 은행 사이트를 벗어나거나, 은행에 접속하지 않으면 아예 실행조차 되지 않는다는 것입니다. 은행은 이 사실(은행에 접속하지 않는 동안에는 아무 보호도 제공하지 않는다는 사실)을 고객에게 안내하지 않을 뿐 아니라, 이런 플러그인을 강제 설치하기 위하여, 고객들에게 오히려 정품 안티바이러스의 실시간 감시기능을 끄라고 안내하는 곳 까지 있습니다.

요컨대,

• 키보드 보안 프로그램 설치가 필요한 상황(고객 컴퓨터가 허술하여 악성 키로거까지 설치된 상황)에서는 복제가능한 인증서는 다수의 공격자 손에 이미 나돌 수 있으므로, 인증서는 부인방지 효과를 가질 수 없고,
• 은행이 아무리 키보드 보안 프로그램을 강제 설치해도, 공격자는 고객이 다른 웹사이트들에서 입력하는 암호를 모두 수집하고, 이런 암호들 중 하나는 고객의 인증서 개인키 암호와 일치하는 경우가 많으므로 결국 키보드 보안 플러그인도 별 유용성이 없습니다.
• 고객이 정작 필요로 하는 때(공격 가능성이 있는 악성 사이트에 접속할 때)에는 작동조차 않는 안티바이러스/방화벽 플러그인을 은행이 고객에게 억지로 설치하는 사태에 대해서는 드릴 말씀이 별로 없습니다.

SAFE BANK

국내 은행들의 이러한 기술 선택은 은행에게도 도움이 안되고, 고객에게도 불편만 가중할 뿐이고, 은행이 제공할 수 있는 서비스 이용환경마저 대폭 제약합니다. 그 뿐 아니라, 플러그인 구입, 배포, 유지에 소요되는 막대한 비용만 은행이 떠안게 됩니다. 이러한 국내 뱅킹시스템의 제약(PC/윈도우/익스플로러에서만, 플러그인에 의존하여 작동) 때문에, 모바일 인터넷 뱅킹을 위하여 은행들은 “별도의 솔루션”을 구입하고 있습니다. 마치 모바일 인터넷은 무슨 “특별한 솔루션”이 필요하고, 이통사에게도 막대한 돈을 주고(각 고객이 매년 만원씩 지불), 솔루션 납품업체에게도 적지않은 비용을 지불하는 것 외에는 대안이 없다고 오해하고 있기 때문입니다. 금융기관 IT 담당 부서의 총책임자분들은 모두 그렇게 “믿고” 있습니다(그렇게 보고받았기 때문입니다).

그러나, 이러한 국내 은행의 모바일 뱅킹 솔루션은 국외에서는 안되고, iphone, blackberry, android 계열의 휴대폰에서도 안됩니다. 특정 이통사가 지원하는 기기에서만 작동하고, 국내에서만 작동하며, 별도의 프로그램을 어렵게 휴대폰에 설치해야 하고, 고객 각자가 이통사에게 매년 만원 가량씩 돈을 줘야 비로소 사용이 가능합니다. 이런 솔루션을 업체로부터 구입해서 고객들에게 열심히 선전하는 은행의 노력과는 달리, 고객의 호응도가 높지는 않습니다…

오픈웹은 이와는 다른 해법을 제안합니다.

여기 제시되는 해법은 안전성 면에서 기존 뱅킹 솔루션과 적어도 같거나 더 안전하며, 데스크 톱은 물론, 풀브라우징 기능이 있는 모든 휴대폰에서 정상 작동하며, 이통사에 종속되지 않으며, 인터넷 연결이 되는 곳이면 세계 어디에서나 정상 작동하는 HTML에 입각한 방법입니다. 고객이 별도의 프로그램을 내려받아 설치할 필요가 아예 없는 해법입니다.

다시한번 간곡히 바라건대, 보안 업체 경영/영업 담당자분들께서도, 없어지는 “플러그인 시장”만을 보고 안타까와하실 것이 아니라, 새롭게 열리는 “시스템 솔루션 시장”에서 전세계를 상대로 성장할 수 있는 가능성을 전향적으로 수용하셨으면 좋겠습니다.

아래 그림을 클릭하시면 새로운 창이 열립니다. 새로운 창으로 새로운 세상을 바라보시기 바랍니다.

클릭하면 새로운 창이 열립니다.

저는 보안 전문지식이 없습니다. 그러나, 약간의 법률 지식은 있고, 분쟁이 어떤 형태로 발생하며, 당사자들이 어떤 식으로 주장을 내세우며, 법원이 어느 부분을 주목하는지에 대해서는 비교적 더 많이 생각해 볼 기회가 있습니다.

제가 이해하기 어려웠던 부분은, 은행의 배상책임을 덜기 위하여 인증서 사용을 “강제”할 수밖에 없다는 주장이었습니다. 이 주장은 기본적으로 “법률적” 이유를 동원하여, 보안 기술적 선택을 설명하는 구조를 가지고 있습니다. 그러나, 법률가의 시각에서는 다음과 같은 점이 납득하기 어려웠습니다.

분쟁 상황에서 인증서가 부인방지 기능을 가지려면, 다음 두가지 조건이 충족되어야 합니다:

1. 개인키를 오직 해당 사용자만이 지배, 관리하고 있었다.
2. 개인키 암호를 오직 해당 사용자만이 알고 있었다.

그러나, 국내 공인인증기관들이 발급한 1300만장이 넘는 인증서의 거의 99%는 복사 가능한 형태로 저장되는 것입니다(PKCS#5/PKCS#8 양식). 따라서, 고객의 컴퓨터가 허술하면 공격자는 손쉽게 개인키 파일 자체를 입수할 수 있습니다. 즉, 위의 두 “필요 조건” 중 하나가 이미 충족되지 않습니다.

인증서가 단순 비밀번호보다 “더 우월한” 보안을 제공한다는 보안전문가의 견해는, 그 인증서를 물리적으로 소지하지 않으면, 비밀번호만으로는 authentication 과정을 통과할 수 없기 때문입니다. 그러나,복제 불가능(unextractable)한 형태로 보안토큰(PKCS#11)에 담겨있는 인증서가 아니라, 그냥 usb나 하드디스크에 마구 복제될 수 있는 형태로 저장된 인증서는 다수의 공격자들 수중에 마구 나돌아다닐 수 있습니다. 이 상황(키보드보안 프로그램 설치가 필요한 상황이 바로 이 상황입니다)에서는 사용자만이 개인키를 지배, 관리한다는 요건(“소지 요건”)이 아예 무의미하게 됩니다. 바로 그렇기 때문에 복제 가능한(extractable) 인증서는 “단순 비밀번호” 이상의 보안을 제공할 수 없다고 저는 생각합니다(법률가적인 시각에서 보자면).

또한, 자신의 이메일 계정 암호, 자신이 가입한 여러 웹사이트, 블로그, 카페 등의 회원 가입 암호 등을 일일이 다르게 지정하고, 인증서 개인키 암호는 이 모든 암호들과 또 다르게 지정하고 이것들을 모두 정확히 기억해내는 이용자는 거의 없습니다. 대부분의 이용자는 개인키 암호와 다른 암호를 같게 정하고 있습니다. 따라서, 은행 사이트에서 아무리 키보드 보안 프로그램을 강제해도, 위 두번째 조건도 충족하기는 어렵습니다. 이것은 기술의 문제가 아니라, 이용자 행태(user behaviour)의 문제입니다. 기술이나, 플러그인으로는 도저히 대처할 방법이 없는 문제입니다. 키로거를 설치한 공격자라면, 고객이 은행거래를 할때 암호를 입수하려 시도하지는 않습니다. 고객이 은행외의 다른 모든 사이트에 암호를 입력할 때 그것을 전부 수집하여 하나씩 try 해보면 대부분은 성공할 것입니다. 안티-키로거가 인증서 복사를 막을 수는 없고, 은행외의 다른 사이트에서 고객이 입력하는 키 값을 보호해 줄 수도 없습니다.

바로 그렇기 때문에, 실제로 금융사고가 터질 경우, 해당 거래에 인증서가 사용되었다는 이유로 은행이 책임을 면할 가능성은 별로 없습니다. (고객이 한 거래가 아니라, 공격자가 수행한 거래라고 전제하고 분쟁이 시작 됩니다)

그동안 국내에서는 복제 가능한 인증서의 보안 효과에 대한 “과신”이 있었고, 그 믿음에 근거하여 인증서 사용에 필요한 플러그인 설치를 강제해 왔습니다. 그 결과 은행은 은행대로 영업에 엄청난 제약이 있었고, 고객은 고객대로 큰 불편과 자기 컴퓨터를 은행에게 매번 열어주는 잠재적 위험을 감수해야 했습니다. 은행의 “법률적” 배상책임을 면하기 위하여 이러한 “기술적” 선택이 불가피 하다는 보안 업체의 주장은, 인증서를 아무리 사용해도, 은행이 법률적으로 배상책임을 면하거나 줄이는 것은 불가능하기 때문에 설득력이 별로 없다고 저는 생각합니다.

그동안 여러 기술인력 분들의 조언과 참여로, 이제 새로운 전자금융거래 모델을 제시합니다. 이 모델은 서비스 제공자(은행, 카드사)와 고객 모두에게 큰 이익이 될 뿐 아니라, 보안 측면에서도 적어도 지금까지의 해법에 결코 뒤지지 않는 수준의 안전을 제공한다고 저희들은 생각합니다. 바라건대, 보안 업체 경영/영업 담당자분들께서도, 없어지는 “플러그인 시장”만을 보고 안타까와하실 것이 아니라, 새롭게 열리는 “시스템 솔루션 시장”에서 전세계를 상대로 성장할 수 있는 가능성을 전향적으로 수용하셨으면 좋겠습니다.

아래 그림을 클릭해 보시기 바랍니다. Demo 용 아이디는 oz, tux, android 등이 있습니다. 그 아이디를 입력하고 어떤 방식으로 온라인 뱅킹이 이루어질 수 있는지를 경험해 보시기 바랍니다.

클릭하시기 바랍니다.

NamX 님께서 수집해 주신 “세계 34개국 은행 사이트 디자인 비교 조사” 중, 지중해 5개국 편에 수록된 이탈리아의 은행들의 “로그인 페이지”를 둘러 보았습니다.

주소는 다음과 같습니다.

https://www.bpmbanking.it
http://www.intesasanpaolo.com
https://hb.mps.it/PaschiHome/LOGIN2.0/RTLOGIN/ASPX/RTLoginOTP01.aspx
https://online.unicreditbanca.it/login.htm
https://www.webank.it
https://ibbweb.tecmarket.it/tmibbwebsecurity/05188/login.aspx?lang=it-IT

공통점은 물론, 프랑스 은행들의 경우와 같습니다.

• https 접속을 합니다(산 빠올로 은행의 경우, 시작 페이지는 http 접속을 하고, 그 페이지에 아이디와 비밀번호를 입력하는 창이 있으나, 확인을 누르는 순간 https 로 접속하게 됩니다).
• 로그인을 위하여 고객이 별도의 프로그램을 자기 컴퓨터에 설치하도록 요구하지 않습니다.
• 파이어폭스, 사파리, 오페라, 크롬에서도 정상 접속됩니다.

스크린 키보드를 사용하는 곳은 위의 은행 들 중에는 없었습니다. 그러나, 산 빠올로 은행 등은 OTP 생성기를 사용합니다. 고객이 최초 거래를 시작할때, OTP 등록을 하는 과정을 담은 스크린 샷이 마지막에 있습니다. https 로 접속한 페이지에서, 고객은 은행이 대면관계에서 부여한 암호를 입력하고 OTP 생성기에 나타난 암호를 입력하면, 등록이 완료됩니다. 키보드 보안 프로그램 설치를 권유/강제하는 곳은 없습니다.

이탈리아 은행들은 대부분 id와 비밀번호를 한 페이지에서 입력하도록 하고 있습니다.

그러나, 시에나 은행은 server-generated OTP 방식을 사용합니다. 즉, 고객은 은행과 거래를 틀때, 자신의 email 주소나 휴대폰 번호를 은행에게 알려주고, 로그인에 필요한 “일회용” 비밀번호는 은행이 그 메일주소나 휴대폰으로 전송해 주는 방식입니다.

별도의 OTP 생성기를 배포해야 하는 부담을 덜기 위한 선택입니다.

그리고, 웹뱅크(http://webank.it)는 1999 년에 “인터넷 전용 은행”으로 출범한 곳으로 보입니다. 젊은 사람들 취향에 맞추어 디자인 되어 있다는 점이 눈에 뜨입니다. 특히 모바일 뱅킹을 강조하는 곳 같습니다.

이탈리아 은행들 홈페이지 “디자인”은 대부분 simple 합니다. 이탈리아 사람들의 디자인 감각이나, 취향이랄까…

하긴, simple하기로 치면, 이것 보다 더 simple 할 순 없겠지요

(공인)인증서는 두가지 기능이 있습니다. 하나는 보안접속을 하는 기능입니다. 다른 한 기능은 거래 내역을 서명하는 기능입니다.

보안접속만 하면 된다면, 아예 플러그인이 필요 없습니다. 보안접속만이 문제된다면 웹브라우저에 당연히 포함된 모듈(프로그램)로 구현하면 됩니다(https 접속: 익명 사용자 SSL/TLS 접속이건, 사용자 인증 SSL/TLS 접속이건 간에). 그러나, 거래 내역을 전자서명하는 기능은 별도의 플러그인이 필요합니다(액티브X가 되었건, 서명된 자바 애플렛이건, 파이어 폭스 확장이건 간에). 따라서, 보안접속에 더하여, 거래의 구체적 내역을 고객이 전자서명하는 행위가 과연 얼마나 안전에 도움이 되는가 하는 점이 문제로 됩니다.

지금까지의 “당연한 전제”는, 거래 내역을 전자서명하면 나중에 고객이 그 거래를 부인(repudiate)할 수 없게 된다는 것입니다. 그러나, 과연 그런지를 꼼꼼히 따져 볼 필요가 있습니다.

고객이 문제의 거래를 “부인(자신이 한 것이 아니라거나, 자신이 한 거래와는 내용이 다르다는 주장)”할 수 있느냐 없느냐는 기술적 측면과 법적 측면을 모두 살펴보아야 합니다:

• “기술적으로는” 고객의 개인키를 가진 자가 아니면, 그 전자서명을 생성하는 것이 (지금의 컴퓨팅 파워로는) 사실상 불가능하기 때문에, 전자서명이 있으면 고객이 거래를 부인하기 어렵게 되는 것이 맞습니다.
• 그러나, 실제로 금융사고가 생기는 이유는 고객의 인증서와 개인키 파일이 이미 유출되어 공격자가 입수하였기 때문입니다. 따라서 “고객의 개인키 없이는 고객의 전자서명을 생성하기 매우 어렵다”는 기술적 주장은 법정에서는 아예 논쟁 거리로도 되지 않습니다. 이미 고객의 개인키가 유출된 상태에서 고객 모르게 거래가 이루어지기 때문에 분쟁이 발생하는 것입니다.

그 뿐 아니라, 현재와 같이 “복사 가능한 형태”로 저장되는 (공인)인증서는 유출될 가능성이 매우 높다는 사실은 모든 보안전문가들이 당연히 전제로 삼는 사실입니다. 키보드 보안 프로그램 설치를 강제 하는 이유도, 인증서 개인키 파일이 이미 유출되었을 가능성이 높기 때문입니다. 개인키가 유출되지 않는다면, 아무리 키로거로 비밀번호를 알아내 본들, 전자서명을 할 수는 없습니다. 그러나, 키로거를 고객의 컴퓨터에 몰래 설치하여 비밀번호 입력값을 빼가는 수준까지 고객의 컴퓨터를 장악한 공격자가 유독 고객의 인증서 개인키만은 건드리지 않고 가만히 두는 “예의”를 지킬 것으로 기대할 수는 없을 것입니다.

요컨대, 고객의 컴퓨터에 키로거가 설치되는 지경에 오면, 비밀번호 뿐 아니라, 인증서 개인키 파일까지도 당연히 공격자가 입수할 수 있게 됩니다. 이 상황에서 전자서명이 이루어지면, 고객은 그 거래를 부인할 것이고, 그 경우에 법원은 “개인키 없이는 전자서명을 만들 수 없다는 기술적 주장”은 아예 고려조차 할 필요가 없습니다. 유일한 쟁점은 개인키 유출에 고객의 과실이 어느정도 있었는지 뿐입니다.

따라서, “기술적으로는” 전자서명이 부인방지 기능이 있다고 하지만, 실제로는 아무리 전자서명이 된 거래라 하더라도, 고객은 자신의 개인키가 유출되어 누가 그것으로 거래했다는 주장을 펴기 때문에, 결국에는 전자서명이 부인방지 기능을 보장해 주는 것은 전혀 아닙니다.

고객의 컴퓨터가 허술하면, 인증서 개인키 파일은 공격자가 당연히 복사해 올 수 있으므로, (공인)인증서만으로는 아무런 보안책도 되지 못합니다. ‘비밀번호’만이 유일한 장벽이고, 바로 그렇기 때문에 국내 금융권은 키보드 보안에 그렇게 집착하는 것입니다. 개인키는 이미 유출되었지만, 개인키 비밀번호라도 제대로 지켜보자는 것이 바로 키보드 보안 프로그램의 “존재 이유”입니다. 키보드 보안에 집착한다는 사실 자체가 곧, 인증서 어쩌구 아무리 해본들, 실제로는 “비밀번호”가 주는 이상의 보안을 고객에게 제공할 수 없다는 점을 보안업체들이 스스로 잘 알고 있기 때문입니다. 결국, 유일한 “관문”은 개인키 “비밀번호”로 집중됩니다.

PKCS#11 형태로 저장되는 (공인)인증서와 비교하면, 이점은 더욱 분명히 드러납니다. 이 양식(cryptographic token)의 인증서는 복사가 불가능(unextractable)하게 지정할 수 있습니다. 여기 참조. 이 경우에는 아무리 개인키 비밀번호가 유출, 노출되어 본들, 물리적으로 그 매체 자체(스마트 카드 등의 형태로 존재합니다)를 입수하지 않는 이상 고객의 개인키를 공격자가 입수할 수 없으므로, 고객의 전자서명을 만들어 낼 수가 없습니다. 이 양식의 인증서를 사용할 경우에는 키보드 보안 프로그램이 필요없게 되는 셈입니다. 그 외의 경우는 인증서 자체가 보안에 도움이 된다기 보다는 개인키 암호가 비밀로 유지되느냐가 거의 모든 것을 결정하는 셈입니다.

따라서, PKCS#11 형태의 인증서가 아니라면, “보안에 관한 한”, 그리고 “부인방지 효과”를 실제로 거둘 수 있느냐는 오직 “비밀번호”에 달려 있습니다. 실제로도, 인증서를 사용하는 유럽 각국, 캐나다 등의 경우, 우리 나라와 같은 저장 방식과 저장위치에 저장되는 인증서를 사용하는 곳은 없습니다.

이상을 표로 요약하면 다음과 같습니다:

지난 10년 가까이 우리 금융권이 채택한 방식은 붉게 표시된 부분으로 설명됩니다. 처음에는 공인인증서가 마치 모든 것을 해결해 줄 것처럼 착각하고 그것만 채택하다가, 점점 사고가 터지니까, 보안카드를 도입하고, 이제는 키보드 보안 프로그램 설치에 거의 “올인”하다 시피 매달리고 있습니다.

(복사 가능한 형태로 저장되는) 인증서는 애초에 단순 비밀번호(그것도 static 비밀번호) 이상의 보안을 실제로는 전혀 제공하지 못하는 것이었다는 것을 뒤늦게 깨달은 셈입니다. 보안에는 실제로 별 도움이 되지 않는 인증서를 사용하기 위하여 모든 뱅킹 고객들이 “몸살”을 앓아 왔고, 서비스의 범용성이 치명적으로 제약되어온 셈입니다. 인증서로 전자서명하는 플러그인을 판매하는 업체들에게는 적지 않은 도움이 되었겠지만…

OTP 생성기 또는 Server-generated OTP가 가지는 “상대적 장점들”을 전향적으로 검토할 때가 되지 않았나 생각합니다. 어차피 비밀번호에 모든 것을 거는 형국이라면, 그 비밀번호라도 안전하게(매번 똑같이 static 하게 입력하지 않도록) 운용하는 것이 필요하지 않을까요?