보안업체가 해명해야 할 한국인터넷 뱅킹의 특이점

2009.04.01 글쓴이 youknowit

많은 분량의 지엽적 논의를 담은 댓글에 묻혀서, 몸통과 줄기가 가린 듯 합니다. 보안업체 관계자들은 다음과 같은 “기본적 의문점”에 대하여 해명하시면 좋겠습니다.

1. 한국 인터넷 뱅킹 보안의 ‘특이점’

외국의 인터넷 뱅킹에 관하여 제가 아는 한에서 말씀드립니다.

  • 먼저, 가장 확실한 차이점은, 한국처럼 “아무 설명도 없이” 플러그인을 내려주고, 보안경고창이 뜨도록 설계된 외국의 은행은 없습니다. 이것은 상식을 벗어난 것입니다.
  • 둘째, 언제나 최신 웹브라우저로 업그레이드 하라는 안내를 합니다. 고객이 “MS IE 6.0 을 계속 사용”해 주기를 바라는 외국은행은 결코 없습니다.
  • 셋째, 어떠한 별도 프로그램도 설치할 필요가 없습니다. https 와 일회용 비밀번호로 보안을 유지합니다. 인증서 로그인을 하는 경우에도 별도 프로그램 없이 웹브라우저에 기본 장착된 클라이언트 인증서 authentication 기능을 사용합니다. 다만, 거래내역 서명까지를 하는 은행의 경우, 별도 플러그인을 “미리 설명하고” 고객이 내려받아 설치하도록 합니다.
  • 넷째, 페이지가 가볍습니다(파일사이즈가 작습니다). 한국에서 영국 은행 거래를 아무 불편없이 할 수 있습니다. 플래시? 거의 없거나, 아주 작은 사이즈입니다. 영국에서 한국 뱅킹? NO, NO, NO.
  • 다섯째, 고객의 명시적 요청이 없은 이상, 은행이 고객에게 이메일을 보내지 않습니다. 이것은 매우, 매우 중요합니다. 피싱 공격은 대부분 “은행을 가장하고 이메일을 보낸 다음, 이메일에 제시된 링크를 이용자가 클릭하면 은행과 똑같은 외관을 가진 웹페이지(웹브라우저 주소창을 자세히 보면 엉뚱한 주소이지만)로 연결되도록 하는 방법을 취하기 때문입니다. 따라서 내가 요청한 바 없는데 은행이 나에게 이메일을 보냈다면, 그냥 지웁니다. 인터넷 뱅킹의 존재이유가 24시간 365일 은행사이트에서 자기가 원하는 거래를 할 수 있고, 계좌 내역을 조회해 볼 수 있다는 데 있습니다. 멀쩡한 인터넷을 두고, 굳이 이메일로 또 무슨 명세서를 받아볼 필요는 없습니다. 이메일이 작동하면 인터넷도 작동합니다. 한국? 말을 맙시다. 시도 때도 없이 이메일을 보내고, “첨부파일”까지 뽀나스로 곁들일 뿐 아니라, 첨부파일을 클릭하면 다짜고짜 ActiveX를 설치하라고 합니다. 해커/국내은행이 일란성 쌍둥이가 아닌가 의심이 들 정도…
  • 여섯째, 은행이 고객에게 안티바이러스, 키보드보안, 방화벽 프로그램을 설치하라고 “강요”하는 곳은 없습니다. 은행사이트를 벗어나는 순간 (고객도 모르게) 슬쩍 꺼져버리는 프로그램을 주는 일은 하지 않습니다. 본격 안티바이러스 프로그램을 고객이 스스로 “하나” 선택하여 사용하는 것이 좋다고 권유하고, 그 장점을 설명하고 (내려받을 수 있는) 리스트를 제시 합니다.
  • 일곱째, 운영체제 업데이트를 제때하는 것이 왜 중요한지를 설명합니다. 관리자 계정의 암호를 설정하고, 일반 이용자 계정을 하나 만들어, 평상시 뱅킹 등 컴퓨터 사용은 일반이용자 계정으로 하는 것이 안전하다고 안내합니다. 한국? 로꾸꺼 입니다.
  • 여덟째, 파이어폭스, 사파리 등의 웹브라우저는 기본으로 지원합니다. 운영체제 또한 윈도우, 맥, 리눅스 가리지 않습니다. 리눅스에서 파이어폭스 계열 웹브라우저로 인터넷 뱅킹이 가능한 외국 은행 리스트 참조. 한국? MS 자매 뱅크?
  • 아홉째, 제가 아는 한 온라인 뱅킹 수수료는 없습니다. 온라인 뱅킹은 인건비를 획기적으로 줄이고, 여타의 코스트를 줄이는 것이라고 고객에게 선전하면서, 고객들이 가급적 온라인 뱅킹을 이용하도록 유도합니다(수수료 없다는 점을 부각). 모든 거래가 24시간 거래가 가능합니다.
  • 열째, 모바일 풀브라우징 기능이 있는 휴대폰에서, 당연히 됩니다. 데스크 톱이나 똑같습니다.

한국 인터넷 뱅킹은 어째서 이렇게까지 “독특”한가요? 이메일 좀 그만 보내주세요. 피싱공격자를 돕지 못해 안달하는 것 같아 보기 딱합니다.

2. 보안접속을 별도 플러그인으로 구현하는 이유는 무엇인가요?

최근 여러 댓글에는 https 보안접속에 관한 기술적 논의가 있었습니다. 대부분은 이미 무수히 반복된 내용이고, 오픈웹 사이트에서도 핵심 포인트에 대한 논의는 이미 있었습니다.

누구도 부인할 수 없는 사실은 https 보안접속이 더 우월한지, 한국 보안업체가 판매하는 별도 플러그인 방식의 보안접속이 더 우월한지는 확실히 알 수는 없다는 것입니다. 그러나, 양자 간에는 중요한 차이점이 있습니다.

  • 첫째, https 접속은 모든 플랫폼을 지원합니다.
  • 둘째, https 접속이 이루어지는 자세한 설계 구조에 대한 완벽한 documentation 이 있으므로, 전세계의 전문가들이 그 안전성을 객관적으로 평가, 검증할 수 있고, 해왔습니다.
  • 셋째, https 접속을 채택하면, 온 국민에게 “보안경고창이 나타나면 반드시 예하라”는 해괴망측한 지시를 할 필요가 없습니다. 오픈웹이 “위험하다”고 단정적으로 말하는 부분은 바로 이”지시”이고, 이런 몰상식한 지시와 “세뇌”로 형성된 이용자의 이용행태가 치명적으로 위험하다는 것입니다.
  • 다섯째, https 접속은, 서비스 제공자 입장에서 메인터넌스, 고객지원 비용이 제로에 가깝습니다. 국내 은행들 IT 지원부 인력의 대부분은 고객 전화받기에 바쁩니다. 그 내용은 전부 “액티브 액스 설치가 않돼요 ㅠㅠ …”
  • 여섯째, https 접속은 컴맹도 아무 어려움 없이 서비스를 이용할 수 있습니다. 컴퓨터를 모르는 어르신을 위해서 액티브 액스 방식을 채용했다는 말은 옛날 옛적 “흘러간 추억의 가요” 수준의 말입니다. 액티브 액스 설치는 이제는 매우 어렵고, 복잡하고, 여러번의 이용자 개입(user intervention)이 필요한 방법으로 되었습니다.
  • 일곱째, https 접속을 채용하면, 솔루션 제공자 입장에서도 별도의 업그레이드/리컴파일 등이 필요없습니다. 액티브액스로 솔루션을 제공하고 나면, 끊임없이 플러그인 업그레이드를 해줘야 합니다.
  • 여덟째, 한국식(프러그인 방식)으로 보안접속을 할 경우, shared key 공유 상태를 서버-클라이언트 간에 유지하기 위하여 웹사이트 전체에 프레임을 사용하지 않을 수 없습니다. 이럴 경우 여러가지 문제점이 한꺼번에 따라옵니다.
  • 아홉째, 한국식(프러그인 방식)으로 보안접속을 하기 위해서는 고객의 컴퓨터에 고객이 알지도 못하는 루트인증서가 몰래 심어져야 합니다.

저는, 액티브 액스 방식이 누구를 위해 편하고, 좋다는 것인지 이해할 수 없네요. 어째서 이런 방식이 “안전”한지를 누가 이해할 수 있게 설명해 주시면 좋겠습니다.

3. 기술적 논의

https 접속에 대한 여러 “공격의 가능성”이 있을 수 있다는 논의는 하등 새로운 것이 아닙니다. 그러나, 이런 공격은 서버, 클라이언트, 프록시 중 어느 하나 또는 그 이상이 이미 공격자에게 완벽하게 장악된 상황을 전제로 가능한 시나리오에 불과합니다. 그 경우에도, 고객과 은행간에 오가는 메시지의 내용을 공격자가 읽어 볼 수 있다는 것은 아니고, 고객이 은행사이트에 접속했다고 착각하고 입력하는 값을 공격자가 받아 볼 수 있다는 것입니다. 고객이 비밀번호 등을 입력하고 “확인”을 누르면, 그 값이 공격자에게 전달되고, 고객의 화면에는 “거래량 폭주로 잠시 장애가 있습니다” 는 따위의 안내 메시지가 뜨도록 조작할 수 있다는 것입니다.

그러나, 이런 것은 그저 시나리오에 불과합니다. 실제로는 https 접속을 우회하기 위하여 ARP Spoofing 이니, MIM 공격이니 일부러 어려운 공격 방법(그리고 발각될 위험이 더 큰 공격방법)을 채택할 필요가 없이, 훨씬 쉽고 간편한 방법으로 마찬가지 효과를 거둘 수 있습니다.

그리고, 한국식의 플러그인 보안접속 방법은 이렇게 어렵게 https 보안접속을 우회하는 방법을 고안할 필요조차도 없습니다. 고객과 은행간의 접속이 그냥 http 로 이루어지기 때문입니다.

https 가 위험할 수 있다고 어쩌구 저쩌구 어려운 말을 계속 해대는 국내 보안업체 관계자는 마치 자기 집 대문은 활짝 열어두고, 이웃집 창문의 방탄 유리창도 100% 안전하지는 않다고 계속 말하는 것과 같습니다.

Categories: 보안, 인터넷 뱅킹 | Tags: , , , , , , , , | 40 comments  오픈웹 구독 메일로 받기

One Pingback/Trackback

  • http://www.gilgil.co.kr 이경문

    처음 오픈웹이라는 얘기를 몇년전에 들었을 때 저뿐만 아니라 많은 보안업계의 현업 종사자들도 그 뜻을 같이 하는 분위기였습니다. 그럴리야 없겠지만 혹시라도 100분 토론에 나가게 되면 같은 편에 앉아서 논의를 하게 될 줄 알았습니다. 최소한 이처럼 오픈웹에서 특정 보안업체 사람들을 매도하기 이전까지는요. 하지만 지금의 상황은 오히려 정 반대의 입장이 되어 버렸군요. 교수님 스스로가 그렇게 만들어 버렸습니다.

    제가 자세히 알지는 못하지만 김휘강님의 블로그에 댓글을 다시는 분들 얘기를 해 보자면, Matt라고 하는 분은 한국에서 정부 정책의 현실이 마음에 들지 않아서 외국으로 간 사람이구요, dubhe님도 잘못된 정책에 비판의 목소리를 낼 수 있는 사람입니다. 김휘강님이 저러한 언조를 낸다는 것은 사실 뜻밖이었구요. “해명”이라니요? 보안 업계 사람들이 왜 해명을 해야 한다는 말인가요? 보안 업계 사람들이 본 사이트의 취지에 부합하지 않는 적이라도 된다는 말인가요? 오픈웹 사이트에서의 이러한 글이 “내가 하는 말에 너는 해명해 보거라”라고 얘기로 들릴 수 밖에 없기 때문에 서로 벽을 쌓을 수 밖에 없는 것입니다.

    또한 본 사이트에서 얘기하는 일부 기술적인 부분에 대해서는 전문가들 사이에서는 웃음거리로 회자될 수가 있습니다. 그러한 부분을 바로 잡기 위해서 제가 글을 올렸던 것이구요. SSL 맹신에서 언조가 바뀌는 부분을 봐도 그렇구요.

    보안업계와 오픈웹 사이에서 제가 철새같은 위치에 있을까 봐 노심초사하고 있는데, 아무리 중용의 입장에 서려고 노력해도, 이러한 논조가 계속 되어 진다면 저도 결국 한편으로 치우칠 수 밖에 없겠군요.

    오픈웹의 취지의 목적을 실현하기 위해서 누구보다도 더 중요한, 열심히 일하고 고민하고 있는 보안업계 사람들을 교수님 스스로가 적으로 만들고 버리고 있습니다.

    결론적으로 말해서 보안업계의 사람들과 뜻을 같이 해야지, 그들을 적으로 만들려고 하는 이러한 논조는 그만 두었으면 합니다.

  • 맥매니아

    내가 한국웹에 바라는 점.

    크로스 브라우징 (웹표준)준수. SSL보안(서버보안)대체. 국내해외 사용자 차별 철폐. active x 사용금지. 포탈 가입절차 간소화. 개인정보 요구 폐지. 실명제폐지. 공인인증서 폐지. 사이트비접근폐지(북한인터넷이나 성인사이트). 빅브라더식 인터넷 감시 폐지(미네르바나 알바의 여론조작)

    한마디로 인터넷 완전 자율화를 원합니다.

  • 맥매니아

    아! 아이핀 그뭐시기도 반대합니다.

  • http://openweb.or.kr youknowit

    이경문/

    “PKCS라는 것이 있었군요. 몰랐었습니다”라는 말씀은 물론 만우절을 맞아서 쓰신 우아한 “농담”이라고 생각합니다.

    그러나, 감독관청, 보안 업체, 금융권 IT 담당자 분들 중에는 실제로 PKCS 가 무엇인지 모르는 분들도 있습니다.

    그리고, “ssl 이 위험하다”는 주장(대부분은 술자리에서 어깨넘어로 들은 말)을 퍼뜨리는 분들은, 국내 업체들이 사용하는 별도 플러그인 중에도 ssl 방식으로 보안접속을 구현하는 제품이 다수 있다는 사실도 알지 못하고 아무렇게나 말씀하시는데 불과합니다.

    물론, 이것이 한국의 현재 수준입니다.

  • 음냐..

    “먼저, 가장 확실한 차이점은, 한국처럼 “아무 설명도 없이” 플러그인을 내려주고, 보안경고창이 뜨도록 설계된 외국의 은행은 없습니다. 이것은 상식을 벗어난 것입니다…”

    여기서 외국은 그냥 아무 외국입니까? 정말 그런지 딱 7분정도 찾아 봤습니다.

    아래 “외국” 은행들도 인터넷 뱅킹 사용시 ActiveX요구 하고 ActiveX설치창 나오면 “무조건 Yes/Allow”하라고 하네요..

    중국
    http://www.bocukltd.co.uk
    http://www.bocukltd.co.uk/views/docs/PIBSfaqs-05112008.pdf
    21번 항목

    루마니아
    http://www.librabank.ro/
    http://www.librabank.ro/ibk/IBK_Step_by_step_guide_en.pdf

    룩셈브룩크
    https://www.swedbank.lu
    https://www.swedbank.lu/help/loginHelp/newsColumnParagraphs/01/document_en/Help_logon_howto_en.pdf

    SSL도 위험한것은 사실인데도.. 기술적인 뒷받침을 하려는 노력들을 비웃음으로 일관하는데에 이제 혀를 내두르겠습니다.

  • T. K.

    왜 웹을 이용한 우리나라 정부 및 공공기관 서비스, 온라인 금융 서비스를 MS 윈도우+IE가 아니면 이용은커녕 제대로 접근조차 할 수 없는가? 다른나라는 잘 되는데…그런데 시장성을 아주 당연하다는 듯이 내세우면서 (공공서비스의 특성을 무시한 채 시장논리만 들이대면 어쩌자는 겁니까?) 개선노력은 지지부진(안하다고는 생각안합니다.) 기다리다 지칩니다. 이런 게 제 눈에 비친 현실입니다. 딴 얘기는 않겠습니다.

  • medjay

    그간 이경문님의 주장은 SSL이 취약하다는 주장이 아닌, SSL이 안전한것만은 아니다라는 것이 주장이었던것으로 보였습니다. 비공개인 보안접속 프로그램 역시 내부적으로 TLS/SSL과 유사하다고 생각 하시면 됩니다. 보안성이 큰 차이가 있진 않다는겁니다.

    현재 ActiveX 를 필수로 요구하는 인터넷뱅킹은 과거에는 한계를 극복하기 위해 시작된 것이고, 이후 수시로 등장하는 사고/이슈들에 대한 땜질식 처방 때문이라고 봅니다. 땜질 위에 또 땜질이 계속되다 보니 보안을 위한 프로그램이 악성 프로그램으로 평가되는 수준까지 된거지요. 기존 땜질을 걷어내지 못하는 건 그로 인해 발생할 수 있는 사고에 대한 책임을 지려는 사람이 없었기 때문이겠죠.

    어차피 보안이 최선의 노력이라는 것은 진실이니, 누구에게 책임이 있다 없다라는 문제가 아니고, 기술적 안전성 우위비교가 당장 필요한 것도 아닙니다. 분명 인터넷뱅킹을 제공/이용할 때 다양한 위협 요인이 있으니 보안성이 확보되어야 합니다. 현재 시점에서 새로운 보안 환경을 만들어 제안하는 것에 초점을 맞추는 것이 중요하다고 봅니다.

  • http://unipro.tistory.com unipro

    누군가 “A방식이 완벽하게 안전하지는 않습니다. 그런 점에서는 B방식도 마찮가지이다.” 말했다고 합시다. 저 같은 사람은 그 두가지 방식이 똑같이 느껴집니다.

    그래서 이런 모호한 말 대신에, 정량화된 수치로 설명한다면 충분히 알 수 있을 것 같습니다. 예를들어, “A 방식은 비용이 10원 들어가고 안전성은 99.9%입니다. B는 각각 100원 99.9%, C는 전혀 문서화 된 것이 없습니다.” 라는 식으로 말이죠. 이경우, A가 가장 좋은 선택임이 자명하게 보입니다.

  • K

    국내 인터넷 뱅킹이 키보드 보안 솔루션, 안티바이러스, 웹 세션체크 등등의 프로그램을 설치하려고 강요하는 이유가 인터넷뱅킹 사고를 사전에 방지하고자 하는것 같습니다. 사고가 일어난다면 사용자PC가 해킹당했다는 것을 떠나 일단 은행책임으로 언론에 퍼뜨릴테니까요.

    최근의 해킹사고, 바이러스 등은 운영체제 깊숙한곳까지 침투하여 아무리 안티바이러스를 설치를 해도 탐지가 안되는 경우가 더러 있습니다. 그래서 은행은 해킹사고를 줄이기 위해 키보드 보안 솔루션 등등 제공하는것이구요.
    일단 지금 현재는 이런것들이 거추장 스럽다 이겁니다. 모든 브라우져에서 사용하고 싶구요

    그래서 아이디어를 생각해보았습니다.

    1. 현재 은행에서 제공하는 모든 프로그램을 서비스 하지 않고 오로지 https 암호화 통신만 적용하면 모든 브라우저에서 쓸수 있고 오픈웹이 바라는것일것 같습니다.

    2. 만약 사용자PC의 해킹사고로 키로거, IRC Bot 등의 해킹사고가 일어나서 금전적 피해를 입게 된다면 무조건 은행책임으로 돌리지 않고, 해당 은행은 혹시 모를 은행의 해킹사고 일수도 있으니 금전적 피해 금액만큼 빌려주는 식으로 사용자에게 지급합니다. (외국에서는 이렇게 한다고 합니다. 제가 직접 경험해보지 못해서 확신 못함. 일단 아이디어라고 생각하시면 되구요)

    3. 사이버 수사대에 의뢰하여 사용자PC의 부주의로 해킹을 당한것이라고 판별이 날 경우 사용자는 은행이 빌려준 금액을 갚으면 되구요.

    4. 사용자는 해킹사고를 당하지 않기 위해 필요하다면 키보드 보안솔루션, 안티바이러스 등의 유료프로그램을 구입해서 사용합니다.

    이런 시나리오로만 간다면 은행도 윈윈, 사용자도 윈윈, 보안업체도 윈윈, 모든 브라우저에서 쓸수 있어서 더욱 윈윈 하지 않을까요?

  • mountie

    제가 아는 어느 업체 이야기입니다.
    보안서버를 구축하는데
    플러그인방식과 SSL방식을 두고 고민하다가
    업체 영업하시는분의 열성에 탄복하여 플러그인방식으로 보안서버를 구축하기로 하였답니다.
    나중에 그 이야기를 듣도 저도 열심히 설득하여 SSL 서버 인증서를 추가로 받게 하였지요.

    나중에 플러그인 방식을 선택한 이유를 문의하니
    더 저렴하고 안전하다는 등의 설명을 해주셨는데 걱정스러웠고

    SSL 서버인증서 대신 플러그인 방식이 보안서버 구축을 위한 하나의 상품으로 판매되는지는 그때 처음알았습니다.

    당장은 돈이 되니 SSL 서버인증서 구매하지 말고 플러그인 방식을 구매하라고 업체에서 설득하지만
    결국에는 그것이 부메랑이 되어 돌아오지 않을까 걱정됩니다.

  • http://www.gilgil.co.kr 이경문

    현재 PC+Windows+IE 가 주를 이루고 있는 환경에서 점차 스마트폰 등 다양한 플랫폼, 다양한 웹브라우저 환경으로 전환이 되고, 점차 일반 사용자들의 요구에 의해 오픈웹이 추구하는 방향으로 웹이 발전할 것임에는 동의를 하고 시간이 얼마나 걸릴지, 어떠한 방법으로 가게 될지는 모르지만 언젠가는 그렇게 되어야 하고, 당연히 수렴됨 것임을 믿고 있습니다.

    하지만, 그 대의(웹이 나가야 할 방향)가 맞다고 해서 잘못된 명제마저도 100% 옳다고 봐서는 안될 것입니다. 단순한 기술적인 부분의 잘못된 부분을 지적하는 것에서부터 시작을 했는데 처음 우려하던 대로 결국 토론/논쟁의 분위기에서 비난/조롱의 단계로 가게 되어 버리고 현재의 상황에서는 그 어떠한 얘기도 서로에게 도움이 될 수 없다는 판단이 섭니다. 저 스스로부터 그렇게 분위기를 만들어 버렸음을 인정하고 반성하겠습니다.

    개인적으로 안좋은 일도 있고 그만 하도록 하겠습니다. 아무쪼록 저로 인해서 보안업계의 입장이 오픈웹에 조금이라도 전달되었으면 하는 바램입니다.

  • cwryu

    플랫폼이 다양해지면서 정말 자연스럽게 접근성이 높아질까요? 지금 금융 기관과 보안 업체들의 대응은 스마트폰용 보안 프로그램, 파이어폭스용 키보드 보안 등 어떻게든 현재 체계를 바꾸지 않으면서 또 다른 플랫폼 의존 환경을 만들어 내려 하고 있습니다.

  • K

    그렇죠.. 이렇게 가다가는 또 다른 의존적인 플랫폼이 만들어질것 같으니..
    제 글에 나와있는 시나리오 데로 법을 개정하고 나아가는 방향으로 하면 좋을것 같습니다 ^^

  • Revi

    그냥 인터넷 뱅킹 사고시 서버 해킹이 아닌 한 은행 책임 없음으로 법 개정하면 간단히 해결될 일들인듯…

  • K

    아.. 심플하고 좋은방법이네요..
    지금 있는 법 때문에 은행들이 이런저런 프로그램들을 제공해서 문제가 되니까 Revi 님처럼 법 개정하면 모든 문제들이 해결되겠네요.. 하하~ 다른분들은 어떻게 생각하시는지…

  • medjay

    법에서의 책임 입증 여부를 떠나, 현재까지의 사태가 만들어진 건 언론의 역할도 있었습니다. 특히 TV의 뉴스, 시사고발 프로그램에서 인터넷뱅킹 보안이 다뤄질때마다 대책이 나와야 한다고 성토했고, 결국 구관(ActiveX)을 보완하는 형태의 땜질 처방이 남발하게 된거죠.(특히나 소설인지 기사인지 모를 일부 기사는 할말이 없습니다.)

    서비스를 제공하는 은행 입장에서는 언론을 통해 인터넷뱅킹이 안전하지 못하다라는 여론이 확산되면, 당연히 고객 감소를 우려하여 결국 또다시 사용자PC의 보안까지 관여하게 되지 않을까요? (물론 지금도 안전하지 못하다라고 생각하시는 분들이 많은걸로 알고 있습니다만..)

    스마트폰 등 인터넷뱅킹 서비스 이용이 가능한 플랫폼이 다양해지고 고객의 관련 요구가 있을것은 명백해보입니다. 은행 입장에서도 개별 플랫폼에 맞춰 서비스를 제공하는 것보다 단일 서비스를 모든 플랫폼에서 이용 가능토록 하는것이 개발/관리 비용 절감 측면에서도 이점이 있을 겁니다.

  • Song

    이경문님 // 뭔가 논점을 흐리고 계십니다. https라는거는 다양한 플렛폼에서 접속 가능한 가장 타당성 있는 보안 체계라는 것입니다. 그런데 지금 보안 업체들의 보안 솔루션은 MS 윈도우 + IE + 엑티브 X 라는 겁니다. 왜 유독 그것만을 고집하며, 가장 안전한 보안 솔루션은 엑티브 X라고 하는지 모르겠다는 겁니다.

  • Song

    이경문님 // “점차 일반 사용자들의 요구에 의해 오픈웹이 추구하는 방향으로 웹이 발전할 것임에는 동의를 하고 시간이 얼마나 걸릴지, 어떠한 방법으로 가게 될지는 모르지만 언젠가는 그렇게 되어야 하고, 당연히 수렴됨 것임을 믿고 있습니다”
    얼마의 시간, 언제가 그렇게 되어야 하는데… 언제 그렇게 될지 모르는 이유가 바로 보안 업체들이 비난을 받는 이유입니다. 전혀 변화를 주지 않고 오로지 엑티브X! 엑티브X! 어떻게 수렴해야 할지 생각은 해봤는지 의문이 드는군요…

  • http://drshawn.egloos.com/ Hwan

    이경문님 홈페이지에 쓰신 글을 보니 보안 업계가 정책이나 의사 결정에는 영향을 끼치지 못하고 정책 입안자나 은행의 의사 결정권자의 결정에 의해 개발을 할 수 밖에 없는 입장으로 이야기를 하시더군요. 사실 보안 업계는 계약에 있어 을의 입장인 것은 확실하지만, 과연 갑의 의사 결정에 을의 영업력이나 기술적인 조언이 전혀 영향을 미치지 않았을까 하는 점에 있어서는 의구심이 들 수 밖에 없습니다. 보안 업계의 독과점 구조 및 그를 가능케 하는 시스템이 구축되어 가는데 과연 보안 업계는 손 놓고 있었는데 이런 방향으로 흘러갔을까요? 눈 앞의 이익을 위해 전문가로서의 소양을 져버리지는 않았을까요?

    자본주의 사회에서는 모든 현상을 이해할 때 자본의 흐름을 파악하는 것이 중요한 법인데, 지금의 인터넷 보안 시장에서 가장 이익을 보고 있는 곳은 어디일까요? 또한 이런 인터넷 보안 시장의 패러다임에 변화가 생긴다면 가장 손해를 보는 곳은 어디일까요? 이런 의문을 갖다 보면 오픈웹에 올라오는 어떻게 보면 강성 일변도의 포스팅도 이해할 수 있는 부분이 있습니다.

  • Pingback: 외국의 인터넷 뱅킹 - 어떻게 하나? | Open Web

  • swlee

    보안 업체에서도 현재 문제점을 알고 있습니다.
    그래서 파폭이나 넷스케이프를 지원하기 위해 ActiveX 대체 기술 연구를 활발히 하고 있습니다.
    VISTA나 IE에서 붉어진 ActiveX 문제 때문에 ActiveX 대체 기술은 현재 업체 입장에서도 선택이 아닌 필수이니까요…

    한가지 드리고 싶은 말은 HTTPS 보안 접속과 플러그인 보안 접속은 별개의 문제입니다. SSL은 네트웍 구간에서 암호화 만을 보장할 뿐 Application Layer에서 보안과는 상관 없습니다. Application Layer 의 위변조를 막기 위해 ETE 같은 플러그인 방식이 있으며 이것이 https에서 지원하는 암호화 보안까지 커버할 수 있습니다.
    보안 업체가 대체기술인 SSL이 있음에도 불구하고 무조건 플러그인 방식을 고집하는 것은 아닙니다.

    오해를 푸는데 다소 도움이 되었으면 하네요..

  • http://openweb.or.kr youknowit

    swlee / 현재의 문제점이 무엇인지, 오픈웹의 주장이 무엇인지를 전혀 이해하지 못하고 계신 듯합니다.

    액티브액스가 되었건, 파이어폭스 확장이 되었건, 플러그인을 마구 뿌려대지 말라는 것입니다.

    파이어폭스 사용자들은 이때까지 “예”할 기회가 없었는데, 우리도 어서 “보안경고창이 나타나면 예할 수 있도록” 플러그인을 마구 뿌려주세요 라는 이야기가 아닙니다.

    그동안 오픈웹이 승소하기만 하면, 파이어폭스용 플러그인도 마구 뿌릴려고, 모든 준비를 마치고 (은행이 돈주머니를 열기만을) 기다리고 있던 보안업체들이, 오픈웹의 최근 주장에 완전히 헷갈려서 우왕좌왕하는 것은 이해합니다.

    그러나, 오픈웹이 결국은 “플러그인 문제”를 정면으로 다룰 것이라는 것을 예상 못하셨다면, 사업가로서의 예측능력에 심각한 문제가 있는 것이지요.

    웹을 가두어 두고 있는 가장 핵심적인 원흉은 ActiveX 라기 보다는 플러그인입니다. activeX는 플러그인의 일종에 불과합니다(물론 가장 악질 플러그인이지만).

  • Hyun

    /swlee
    근본적인 문제는 ActiveX의 대체기술이 해결해줄 수는 없다고 봅니다. 파폭이나 네스케이프의 플러그인을 개발하고 있다면, 그것 또한 ActiveX와 같은 부작용을 가질 것입니다.
    근본 문제는 사용자의 선택성과 플랫폼 독립성 입니다. 전화기에 올라가는 브라우저의 플러그인까지 개발할 순 없는노릇 아닙니까?

    그리고, SSL이 Application Layer의 보안을 보장하지 못한다는 말은, 브라우저의 메모리를 덤프뜨면 통신내용이 보여서 보안성이 떨어진다는 말인가요?

  • mountie

    기존 ActiveX Plugin이 Application layer의 보안을 제공한다는 것에 대해 이견이 있습니다.
    현재 보안통신을 위해서 ActiveX Plugin이 하는 역할을 보면
    Client에서 Server로 데이터를 Post할때는 Form의 Value를 통째로 암호화하고 있고 서버에서 응답하는 내용을 복호화해보면 역시 페이지의 내용이 통째로 복호화되고 있습니다.
    SSL에서 처리되는것과 다를바 없지요.
    Application Layer에서 보안을 제공한다고 이야기하려면 최소한 Form의 value중 중요정보(계좌번호, 비밀번호 등)만 개별 암호화하고 서버 Application에서 그걸 필요시 복호화해서 사용하는 정도로 구현되어야하는데 현실은 그렇지 못하지요.
    서버 Application은 절대 안건드리고 그 앞단에서 하나의 Layer를 형성하고 주고받는 데이터를 통째로 암복호화를 하는데 이건 SSL 보안서버로 하면 훨씬 쉽지요.
    서버에서 보내오는 데이터는 물론 화면구성의 일부분이긴 합니다. 예를 들어 폰트 사이즈등의 잡다한 정보가 다 들어가 있는 테이블이 통째로 암호화되어 클라이언트로 오는식이지요.

  • http://snowall.tistory.com snowall

    인터넷 뱅킹 전용의 별도 프로그램을 배포하고, 그 프로그램의 내려받는 링크만 제공해도 될 것 같습니다.

  • T. K.

    snowall님// 정말 딴지걸려는 의도 없습니다. 그런데 그렇게 되면 MS 윈도우용 하나만 개발해놓고 나머지 OS는…시장성이 없어서 지원 못해주겠다는 식으로 나올까 걱정입니다.

  • K

    snowall //
    어짜피 그 방식도 현재의 은행 사이트와 동일하게 마찬가지일것 같습니다.
    동일하게 모든 브라우져에서 접근이 되야 하고 리눅스 환경에서도 접근이 가능하게 하는것이 목표거든요~ ^^
    제일 좋은방법이 제일 간편하고 보안도 좋은 https 인것 같습니다 ^^

  • zer0

    글을 읽고 좀 황당한건 저뿐인가요?

    일단 저는 뱅킹보안솔루션 업계 일을 한적은 없지만, 보안쪽으로 먹고 살기에 관심있게 지켜보았습니다.
    근데 보안업계 사람이 밥그릇 지키려 든다고 생각하실 것 같아 토론(이라기보단 비난에 대한 반박)에 참여하지 않았습니다.

    경문님 말처럼 교수님께서 “보안업체, 너는 해명해보거라”라고 하신 항목들중
    첫째부터 열번째까지 다 할말이 있지만, 가장 황당한 것만 말하렵니다.

    “다섯째, 은행이 고객에게 이메일을 보내지 않습니다. ”

    은행이 고객에게 메일 보내는걸 왜 보안업체가 해명해야하죠? ;;;;;;

    “여섯째, 은행이 고객에게 안티바이러스, 키보드보안, 방화벽 프로그램을 설치하라고 “강요”하는 곳은 없습니다. ”

    이것도 왜 보안업체가 해명해야 하나요? 스펙에 나와있고, 을은 스펙에 따를 뿐입니다.

    “은행사이트를 벗어나는 순간 (고객도 모르게) 슬쩍 꺼져버리는 프로그램을 주는 일은 하지 않습니다. ”

    헐.. 온라인 뱅킹용 플러그인이면서, 은행 웹사이트를 벗어나서도 꺼지지 않는 프로그램이 있습니다. n모사의 키크립트 제품이죠. 뱅킹 이후에도 꺼지지 않는단 이유로 얼마나 욕을 먹었는지 아시나요? 이건 당연한겁니다. 사용자 입장에선 볼일 다 끝났는데 왜 유저의 리소스를 쳐잡아먹어야 하냔 생각이 들죠. 오히려 이쪽이 스파이웨어의 음모론이 제기돼야 하는거 아닌가요?

    “여덟째, 파이어폭스, 사파리 등의 웹브라우저는 기본으로 지원합니다. ”

    이것도 왜 보안업체가 해명해야 할까요?
    그럼 을인 보안업체가, 은행에게 “이제 파폭도 점유율 꽤 되고 하니 지금까지 쓰던 ActiveX를 갈아치우고 이걸로 하시죠? 아참 개발금은 xx원입니다.” 이렇게 제안해야하나요?
    당연히 갑이 요청해야 을이 개발 해주는거죠. 파폭 사용자가 늘어나면 은행은 당연히 압박을 느끼고 지원을 구상할 수 밖에 없습니다. 국민은행이 그 예시이구요. 정부사이트가 파폭 지원 않는걸 까야지, 은행들이 지원 않는걸 까면 금융권 싫어하는 저로서도 좀 갸우뚱해집니다.
    (게다가 은행을 까는것도 아니고 엉뚱하게 보안업체를 까다니)
    외국은 파폭 접속자가 꽤 되고, 지원하는게 이득이라고 판단하기 때문에 지원하는 겁니다.
    (웹표준얘기는 하지 말죠. ie도 드디어 표준지킨건 얼마 안됐으니..)

    이건 다른 게시물에서 본 건데,
    아무리 을이라도 보안전문가의 입장에서 ‘권고’ 해야 하지 않냐고요?
    뭐랄까… 할말을 잃게 만드는 대목입니다.
    (기막힌단 뜻이 아니라.. 맞는 말인데 그렇게 하기 힘들단 뜻입니다.)
    외국 컴퓨터 영화에서나 보안관리자가 힘이 있지, 여기선 “갑-을” 관계입니다.
    뱅킹 솔루션에 있어서, 은행눈에 보안업체는 “보안전문가”가 아니라 ‘을’인 개발사, 시다바리(일본어죄송) 입니다.

    왜 이 사이트에 오는 보안전문가들마저 반대하는지 제발 생각해주십시오.
    그들이 몰라서, 노력을 안해와서 그러는게 아닙니다.
    차라리 은행측 담당자를 압박하셨으면 모를까, 을을 비판하다니요, 아니 그걸 넘어 돈독이 오른 장삿꾼으로 비방하다니요 ㅡㅡ;;;

    저 위 이경문님은 저같은 문외한도 아는, gilgil이란 닉으로 정말 유명한 네트워크 전문가입니다. 그분이 액티브액스의 폐혜와 https, PKCS, windows에서의 계정권한, 그런 기초적인 것들에 대해 여기 계신 어느 분보다 모르실까요?

    권고야 백번천번 할 수 있습니다. 갑이 됐다고 필요없다고 지금있는데 왜 따로 또 만드냐고 하면 을이 할 수 있는건 없습니다.
    씨알도 안먹힙니다.당장 사고 터지면 담당자 모가지가 날아가는데.

    그리고 온라인뱅킹 보안 솔루션을 안철수연구소가 독점한 형태로 알고 계신가본데, 안철수연구소는 업계 2위인가 3위인가 그렇습니다. 잉카가 1위구요. 킹스정보통신이 2위아니면 3위일겁니다.

    깔 대상을 잘못짚어도 한참 잘못짚으셨어요ㅡㅡ;;

    1위인 잉카라고 은행에 큰소리칠 수 있을까요? 절대없습니다.

    이런 더러운 갑-을 관습은 바꿔야겠지요.. 근데 바꿔야하는 책임이 보안업체에 있나요?

    “아홉째, 제가 아는 한 온라인 뱅킹 수수료는 없습니다.”

    마찬가지로ㅡㅡ; 은행이 수수료 쳐받아 먹는걸 왜 보안업체가 해명하죠? 무슨 상관이 있다고?

    게다가 저는 외환은행 쓰는데 뱅킹하면 자행 내의 수수료는 면제해줍니다. 타행송금할때는 타행이 수수료를 받죠.
    제가 알기로 이건 외국도 당연히 마찬가지입니다.
    아무튼 수수료는 보안업체한테 가는게 아닙니다.

    오래전 이 곳을 보고, 맘에 드는 운동 하시길래 리플 달았던 기억이 납니다. 근데 갑자기 비판의 대상이 바뀌고, 비난 논조가 많아서 개발자로서 화가 납니다. 진짜 맨위 쓴것처럼 밥그릇 챙기는 것처럼 보일까봐 오픈웹엔 웬만하면 리플 안달려고 했는데…
    제 글투가 불쾌하셨다면 사과드립니다.
    이곳에 리플 다는 보안업계 분들은 그나마 사람들의 오해를 풀어보고자 노력하는 것으로 보이는데, 교수님께선 ‘화법’운운하며 비꼬시는 것도 그렇고, 열받아서 컴쟁이 답지않게 글 남깁니다.

    차라리 대안을 제시하기 위해,,,, 기술쪽으로 부족한 점은 보안업계쪽 사람과 함께 토론할 구상을 하실 순 없었나요?
    제가 살다살다 보안업계사람들이 activex를 옹호하고 있는 모습을 보게 될줄은 몰랐는데, 아무튼 현재의 activex를 옹호하는 것처럼 보일정도로 오픈웹의 대안에 대한 기술적 근거가 부족합니다. 차라리 보안업계 사람들과 함께 토론하시고 대안을 함께 만드셨다면 훨씬 나은 대안을 제시하실 수 있으셨을 텐데 하는 안타까운 마음이 듭니다.

    이제 그만 쓰겠습니다. 아마도 제가 “오픈웹의 주장이 무엇인지 전혀 이해하지 못했다”고 하실 듯 한데, 제가 반박하고자 했던건 오픈웹의 주장에 대한게 아니라… 그 과정에 있던 보안전문가에 대한 비난과, 이 글에 나온 것중 황당한 부분이었습니다.

    그럼 이만.

  • zer0

    윗글에서 토론에 대한 이야기는 취소하겠습니다. 사이트 홈에서만 보이는 상단의 제안 및 kldp에서 이뤄지는 토론에 대한 링크를 이제야 봤네요.

  • swlee

    플러그인을 이용하여 암호화 통신을 하는 페이지에서 소스 보기를 보면 HTML 소스가 암호화 된 채로 보여집니다. 따라서 암호화된 소스를 깨지 못하는 이상 클라이언트 레벨에서 동작하는 XSS 공격을 일정부분 방어할 수 있습니다. 또 FORM DATA 가 암호화가 되기 때문에 BHO 방식으로 동작하는 스니퍼에도 일정부분 대응이 됩니다. 이같은 보안을 SSL만으로는 구현할 수 없습니다. 이러한 노력으로 완벽히 100% 해킹을 막을 수는 없지만 해킹 시도를 어렵게 만들 수는 있습니다. 해킹을 조금이라도 더 복잡하고 어렵게 만들어 나가는 것이 보안의 방향입니다. 보안 모듈이 문제가 있고 어차피 한계가 있다면 처음부터 보안은 시작하지도 말았어야죠저는 오픈웹의 주장이 IE에 플러그인을 덕지덕지 깔지 말라고 하는 것이 아니라 파폭이나 넷스케이프에서도 IE처럼 인터넷 뱅킹을 똑같이 지원하여 평등한 인터넷을 사용할 수 있도록 해 달라고 하는 것으로 알고 있습니다. 보안을 하는 사람의 입장에서 기존에 제공하는 IE의 보안수준을 파폭이나 넷스케이프에도 모두 적용하여 인터넷 뱅킹을 제약을 두지 않게 하는것은 정말 동의하며 향후 앞으로 그러한 방향으로 개선이 되어야 한다고 생각합니다. 그렇지만 IE에 제공되는 보안 수준을 제거해서 평등을 만드는 것은 10%의 사용자를 위해 90%의 보안을 포기하는 것입니다. 현재 ActiveX 형태로 제공하는 것이 불필요 하다면 제거를 하고 문제가 있다면 대체기술이나, 또는 웹을 포기하고 아예 CS 형태로 제공하는등의 프로세스를 변경해야지 보안을 포기할 수는 없습니다.

  • T. K.

    그런데 그런 식으로 할 경우 결국 소수가 사용하는 OS, 소수가 사용하는 웹브라우저는 사기업에게 ‘돈이 안된다’는 이유로 묻혀버리는 건 아닙니까? 이게 문제이지요.

  • http://openweb.or.kr youknowit

    swlee/ “오픈웹의 주장이 IE에 플러그인을 덕지덕지 깔지 말라고 하는 것이 아니라 파폭이나 넷스케이프에서도 IE처럼 인터넷 뱅킹을 똑같이 지원하여 평등한 인터넷을 사용할 수 있도록 해 달라고 하는 것으로 알고 있습니다.”

    오픈웹의 주장을 전혀 이해하지 못하고 계십니다. 위의 댓글을 보시기 바랍니다. http://openweb.or.kr/?p=1073#comment-24086

  • cwryu

    그 HTML에 암호화한 데이터를 써 넣는 방식은 보안을 위해 누가 노력을 해서 그렇게 만든 게 아니라, 브라우저가 128비트 암호화를 제공하지 않던 시절에 HTTP/HTML 테두리 안에서 통신 암호화를 구현하기 위해 그렇게 한 겁니다. 오늘날 이 방식이 특정 업체들의 독과점 체제를 유지해 주는 것 외에 어떤 의미가 있을까요.

  • mountie

    댓글달리는 속도를 보니 논의가 좀 활성화되간다는 느낌입니다.

  • medjay

    @swlee ActiveX 암호화를 통해 브라우저에서 깨져보이는 건 소스보기에만 그럴뿐 실제로 평문을 쉽게 확인할 수 있습니다. 전송된 내용을 웹 브라우저가 화면을 그려줄수 있듯이 BHO는 당연히 접근 가능한 영역이기도 합니다. (IE용 다양한 툴바나 IE8에서 개발자도구를 확인해보세요.)

    SSL과 차이가 없다는 말이고, 실제 SSL이건 ActiveX 암호화건 암호화 기능은 네트워크 전송시 기밀성만을 보장하지 다른 보안성은 가지고 있지 않습니다.(키교환시 상호인증이 가능한 측면이 있긴 합니다.)

  • swlee

    흠.. 정말 답답하네요..
    깨져 보이는것이 아니라 암호화 되어 있는 것입니다.
    암호화 로직을 깨지 않고서 간단히 볼 수 있는 방법이 있다면 알려 주십시요.//

    또 현재 많은 악성코드가 BHO 형태로 동작하고 있는데..
    이들의 특징을 보면 브라우저에서 전송되는 FORM 데이터를 그대로 가로챌수 있습니다. 실제 게임 계정을 탈취하는 악성코드에서 발견이 되고 있습니다. ETE 암호화를 하게 되면 BHO에서 가로채도라도 암호화된 데이터를 가로채는 것이고 암호화 로직을 깨지 못하는 이상 평문으로 복호화 할 수 는 없습니다. 물론 BHO에서도 ETE로 암호화 하기 이전 레벨에서 가로챌 수는 있습니다. 그렇지만 그것은 더 복잡하고 실패할 확율도 높습니다.(개발자 도구를 확인해 보라고 하는데.. 이미 직접 BHO를 이용하여 악성코드를 제작까지 해보고 ETE 환경애서 테스트까지 마쳤습니다.)

    가장 기본적인것은 평문 HTTP 데이터를 위변조 한 다음 간단히 오픈 SSL로 암호화 하여 서버와 정상적인 통신을 할 수 있습니다. STUNNEL이나 STONE 같은 공개된 유틸리티를 사용하여 SSL터널링 해버리면 그만입니다. 너무나도 간단한 기법이라 조금만 이해하면 누구나 쉽게 http Form 데이터의 위변조를 할 수 있습니다. 그렇지만 ETE 암호는 서버에서 복호화 할 수 있도록 ETE암호화 로직에 맞게 암호화를 해서 서버로 송신을 해주어야 합니다. 순수하게 보안적 측면에서 보면 이건 비교가 안되는 게임입니다. 해커가 암호화 로직을 깨기 위해서 훨씬더 많은 고생을 해야 하니까요. 이 과정중에 많은 시행착오가 있을 것이고 이러한 시도를 보안 부서에서 사전에 인지하여 공격에 성공하기 이전에 대응할 수 있는 것입니다.

    논지의 핵심은 보안은 완벽히 막는 것이 아니라 조금더 조금더 어렵게 만드는 것이라고 했습니다. 그 관점에서 ssl 만으로는 턱없이 부족한 것이 현실입니다.

  • medjay

    @swlee 최근 글에서는 웹 브라우저의 소스보기에서 암호화만을 말씀하셔서 그부분에 대해 의견을 남겼었는데, 키보드보안 프로그램하고 연동되어서 처리되는 E2E 암호화 관련해서는 말씀하신게 맞습니다. 비록 일부 제품은 암호화라고 하기 부끄러운 치환수준인것도 있지만요.

    웹 암호화 제품이 소스보기에서 평문이 안보인다고 안전하다라는 주장에만 동의할 수 없다는 의견이었습니다.

    보안이 완벽히 막는것이 아닌 최선의 노력임에는 100% 동의합니다.

  • AppleADay

    “다섯째, 은행이 고객에게 이메일을 보내지 않습니다. ”

    은행이 고객에게 메일 보내는걸 왜 보안업체가 해명해야하죠? ;;;;;;

    “여섯째, 은행이 고객에게 안티바이러스, 키보드보안, 방화벽 프로그램을 설치하라고 “강요”하는 곳은 없습니다. ”

    이것도 왜 보안업체가 해명해야 하나요? 스펙에 나와있고, 을은 스펙에 따를 뿐입니다.

    -> 은행이 그렇게 하겠다는데 보안업체에 모든 책임을 추궁한다면 억울하게 들릴수도 있겠네요. 그러나 “보안전문업체”라는 타이틀을 가지고 비지니스를 하면서, 단순히 플러그인 개발이나 프로그램을 갑이 주문한데로만 개발해주면, 중소SI업체/프리랜서같이 지엽적인 솔류션만 제공하고 “시키는 일은 다 했으니 임무완수!”라고 하면서 손 터는 것과 같은 것 아닐까요? 어떻게 보면 좀 무책임하고, 심한 경우에는 직무 유기 또는 고객을 기만한 것 아닐까요? “보안업체” 또는 “보안전문가”라는 이름을 걸고 비지니스를 하려면 (안철수연구소는 “국내 보안 업계를 대표하는” “정보보호컨설팅전문업체”라고 스스로를 정의하네요) 정문에 자물쇠만 잘 달아주는 역할만 하면 안되고 전체적인 보안컨설팅을 해야 맞는 것 아닐까요? 그렇지 않고 스펙데로만 해주는 비지니스를 한다면 “보안관련 소프트웨어/플러그인개발을 전문으로 하는 소프트웨어개발업체” 정도로 광고를 하는게 맞을 것 같다는 생각입니다. 그리고 만일 갑이 “정확히 더도 덜도 말고 이렇게만 해라”라고 주문을 한다고 할지라도, “정보보호컨설팅업체”로서 전문적인 견해로 볼 때 심한 결함이 있는 방식/시스템을 (어느 분 말처럼 “울며 겨자 먹기로”) “고객만족” 또는 “고객유치” 차원에서 구현을 해주는 것은스스로 치명적인 평가절하를 하는 것이 아닐까요? 비지니스는 결국 자기 회사의 이름을 걸고 하는 건데 (안철수연구소는 안철수씨 개인의 이름을 걸고 하는 것인데) 자기 회사의 평판에 흠이 생길 위험을 감수하고 어설프고 아마추어적인 시스템을 구현해주면서 경쟁해야 할 만큼 보안업계가 Red Ocean이 된 것인가요?

    “은행사이트를 벗어나는 순간 (고객도 모르게) 슬쩍 꺼져버리는 프로그램을 주는 일은 하지 않습니다. ”

    헐.. 온라인 뱅킹용 플러그인이면서, 은행 웹사이트를 벗어나서도 꺼지지 않는 프로그램이 있습니다. n모사의 키크립트 제품이죠. 뱅킹 이후에도 꺼지지 않는단 이유로 얼마나 욕을 먹었는지 아시나요? 이건 당연한겁니다. 사용자 입장에선 볼일 다 끝났는데 왜 유저의 리소스를 쳐잡아먹어야 하냔 생각이 들죠. 오히려 이쪽이 스파이웨어의 음모론이 제기돼야 하는거 아닌가요?

    >>> 은행이 주는 프로그램이 컴퓨터에 계속 상주해달라고 부탁하는 것이 오픈웹의 취지가 아닌데요. 은행업무 중에만 살짝 올라왔다 슬그머니 살아지는 방식이 실제 인터넷보안에 무용지물에 가깝다는 것이 오픈웹의 논지라고 생각합니다.

    “여덟째, 파이어폭스, 사파리 등의 웹브라우저는 기본으로 지원합니다. ”

    이것도 왜 보안업체가 해명해야 할까요?

    >>> 보안업체의 직접적 책임이라고는 말하기 힘들겠죠. 그러나 무슨 생각으로 cross-platform, cross-browsing을 염두에 두지 않고 열심히 시키는데로만 “솔류션”을 개발해 줬는지가 궁금증을 유발시키는 것 아닐까요? 보안업체라면 자기 나름데로의 이론적 근거가 있어서 그렇게 했을텐데, 만일 보안업체들이 은행들에게 “cross-platform, cross-browsing을 만족시키면서 은행에서 제시하는 개발금액으로 충분한 보안수준을 구현할 수가 없다”라고 주장했다면 반쯤 거짓말 아닐까요? (그렇게 했는지는 제가 증거가 없으니 이건 그냥 억측일 수도 있습니다).

    그럼 을인 보안업체가, 은행에게 “이제 파폭도 점유율 꽤 되고 하니 지금까지 쓰던 Active를 갈아치우고 이걸로 하시죠? 아참 개발금은 xx원입니다.” 이렇게 제안해야하나요?
    당연히 갑이 요청해야 을이 개발 해주는거죠. 파폭 사용자가 늘어나면 은행은 당연히 압박을 느끼고 지원을 구상할 수 밖에 없습니다. 국민은행이 그 예시이구요. 정부사이트가 파폭 지원 않는걸 까야지, 은행들이 지원 않는걸 까면 금융권 싫어하는 저로서도 좀 갸우뚱해집니다.
    (게다가 은행을 까는것도 아니고 엉뚱하게 보안업체를 까다니)
    외국은 파폭 접속자가 꽤 되고, 지원하는게 이득이라고 판단하기 때문에 지원하는 겁니다.

    >>> 왜 외국에는 파폭사용자들이 많을까요? 닭이 먼저냐 알이 먼저냐의 시츄에이션인거 같은데, 한국 인터넷 환경이 지금의 상황이 아니었다면 IE외 브라우저들이 훨씬 시장점유율이 높을 것이라는 것은 생각 안해보셨는지요? 저는 IE를 ActiveX때문에만 사용하고 있고, 만일 ActiveX가 아니었더라면 예전부터 파폭이나 사파리만 사용하고 있었을 것입니다.

    외국 컴퓨터 영화에서나 보안관리자가 힘이 있지, 여기선 “갑-을” 관계입니다.
    뱅킹 솔루션에 있어서, 은행눈에 보안업체는 “보안전문가”가 아니라 ‘을’인 개발사, 시다바리(일본어죄송) 입니다.

    왜 이 사이트에 오는 보안전문가들마저 반대하는지 제발 생각해주십시오.

    >>> 여기에서 열정적으로 오픈웹의 주장에 반론을 제기하는 분들의 거의 모두가 개발전문가들인 것 같습니다. 보안업체의 대표나 영업 또는 비지니스전략을 담당하는 분들이 오셔서 오픈웹이 요구하는 “해명”을 하시면 대화가 좀 진전이 있지 않을까요? 개발자 입장과 영업을 하시는 분들의 입장이 큰 차이가 있다는 것은 설명 안 드려도 잘 아시겠지요.

    차라리 은행측 담당자를 압박하셨으면 모를까, 을을 비판하다니요, 아니 그걸 넘어 돈독이 오른 장삿꾼으로 비방하다니요 ㅡㅡ;;;

    >>> 보안업체들은 자선사업을 하는 비영리단체가 아니지요. 은행들에게 많은 구축비용을 one-time으로 받던, 유지/보수 명목으로 꾸준히 짭짤하게 수익을 올리던, 지금은 돈이 안되더라도 “울며 겨자 먹기”로 일을 해주던간에 비지니스의 미션은 영리창출인데, 오픈웹 분들이 주장하시는 것은 안철수연구소를 비롯해서 보안업체들이 IE/Plug-in/ActiveX/SSL를 보완한다는 명목 등의 “재료”들로 lock-in의 상황을 만들어, 한국의 웹생태계 전체를 낙후시키는 “못된” 비지니스를 한다는 것이지요 (얼마나 고의성과 악의가 있는지는 솔직히 저는 확신을 가지고 얘기 못하겠습니다. 그러나 지금까지 보안업계의 행태를 볼 때 제 사견으로는, 보안업체들이 은행의 잘못된 관행(or 불법행위)을 알거나 알 수 있었으면서 동조한 일부책임이 있고 고의성도 어느 정도 보인다고 정도로만 말하겠습니다)

    개발자로서 화가 납니다.

    >>> 개발자들 화가 나는게 당연하죠. 맨날 위(보스/매니저/갑)에서 치이고 밑(사용자. 사용자 비하의 뜻은 아님 ㅋ)에서도 치이는 것 이해 못하는 것 아닙니다. 그렇지만 지금까지 “개발자”의 입장에서만 말씀하고 계시는데, 회사/업계가 어떤 전략으로 영업/마케팅을 하고 있는지 한 번 쯤 생각해 봐야 하지 않을까요? “시키는데로” 일을 해야 하는 엔지니어의 관점은 영리추구가 최우선인 분들과 같을 수가 없습니다.

  • http://minjang.egloos.com object

    심각한 오류가 있어 지적해드립니다.

    5. 은행은 고객에게 이메일을 안 보낸다고 하셨는데 아닙니다. 보냅니다. Bank of America 같은 경우, 매달 은행 거래 내역(bank statement)를 볼 수 있다는 메일을 보냅니다 (물론 이건 제가 보내라고 동의를 했기 때문에 그렇습니다). 이 메일에는 각종 링크들이 있습니다.

    이 부분은 당장 수정하시기 바랍니다.

    • freegilyeon

      다섯째, 고객의 명시적 요청이 없은 이상, 은행이 고객에게 이메일을 보내지 않습니다.

      라고 되어있네요.
      흥분을 조금만 가라앉히시기 바랍니다.

«

»