금융권의 오해

2009.08.01 글쓴이 youknowit

지난 10여년 간 “우물 안 개구리” 식의 기술 선택을 고집해 온 금융권 (및 그들에게 보안 솔루션을 판매해 온 보안업계)의 반복된 주장은 7.23.자 시사저널에 잘 요약되어 있습니다 (http://www.sisapress.com/news/articleView.html?idxno=49587):

금융권에서는 ‘보수적으로 움직일 수밖에 없다’라고 강변한다. 전자금융거래법에 따르면 개인용 침입차단시스템과 키보드 해킹방지 시스템을 설치하도록 지시했다. 하지만 그런다고 해킹이 원천 봉쇄되는 것은 아니다. 한 지방은행 IT 부서 책임자는 “보안 문제로 고객과 분쟁이 생길 경우를 감안하면 은행 잘못이 아니라는 점을 입증하기 위해서라도 강제적으로 설치하는 것이 낫다”라고 설명했다

그러나, 전자서명을 강제하고, 보안프로그램 설치를 강제하는 행위가 “은행 잘못이 아니라는 점을 입증”하는데 과연 도움이 될까요? 사실은 정 반대입니다. 고객이야말로, 은행이 하라는대로 온갖 프로그램을 덕지 덕지 자신의 컴퓨터에 설치했으니, 오히려 “고객의 잘못이 아니라는 점이 입증”될 뿐입니다.

실제로도 사고 거래가 발생하면, 은행이 지금 상황에서는 책임을 면할 방법이 없습니다.

전자서명이 사용되었다고 해서 은행이 당장 책임을 면하게 되는 것은 아닙니다. 이 점은 누구보다도 은행이 잘 알고 있습니다. 모든 거래(사고 거래까지 포함해서)에는 반드시 전자서명을 요구하므로, 사고 거래에도 고객(피해 고객)의 전자서명이 부착되어 있음은 물론입니다. 그러나, 이렇게 고객의 전자서명이 되어 있다고 해서 그 거래를 무조건 “고객의 책임”으로 돌릴 수 있는 것은 아닙니다. 이 점은 경찰(사이버 수사대)과 은행이 모두 동의합니다. 고객의 컴퓨터가 공격자에게 장악된 상태에서는 인증서 개인키 파일과 인증서 암호가 당연히 유출됩니다. 국내에서 사용되는 공인인증서의 대부분은 복제 가능한 형태로 저장되어 있고(복제 및 추출이 불가능한 PKCS#11 형태로 저장된 공인인증서는 아직 극소수에 불과합니다), 인증서 암호의 유출을 막아보려고 은행이 아무리 키보드 해킹 방지 프로그램을 강제로 설치해 본들, 은행 사이트를 벗어나는 순간 이 프로그램은 작동을 종료하므로, 고객이 다음, 네이버, 기타 여러 사이트에 로그인 할 때 입력하는 비밀 번호 값은 고스란히 공격자가 입수할 수 있게 되는데, 대부분의 경우 바로 이런 비밀번호들과 고객의 인증서 비밀번호가 일치하므로, 결국 은행 혼자서 아무리 키보드 해킹 방지 프로그램을 강제 설치해도 헛수고에 불과한 것입니다.

따라서 고객이 해당 거래에 대한 책임을 져야 하는지는 “전자서명이 되어 있느냐” 여부에 따라 결정되는 것이 아니라, 자기 컴퓨터가 공격자에게 장악당하도록 하는데 고객이 어느 정도로 부주의하게 기여했느냐에 따라 결정됩니다. 바로 이 부분에서 고객은 “은행이 시키는대로 모든 보안프로그램을 설치했다”고 주장할 수 있게 되므로, 법원이 보기에는 고객에게 “중대한 과실”이 있다고 판단하기 어려운 것입니다.

법원이 고객에게 “중대한 과실(잘못)”이 있다고 판단할 여지가 있는 거의 유일한 상황은 고객이 자신의 보안카드를 스캔하여 하드 디스크나 이메일 계정에 저장해 두는 경우입니다. 보안 프로그램 설치를 강제하면, 고객은 설치하지 않을 수 없고, 이런 프로그램을 모두 설치한 고객에게는 어떠한 잘못도 없다는 주장만이 점점 더 설득력이 있게 됩니다.

은행이 사고 거래에 대한 책임을 면하는데 조금이라도 도움이 되는 것은 전자서명이 아니라, 보안카드 입니다.

ActiveX 플러그인 형태로 강제 설치하는 보안프로그램(보안접속 프로그램, 키보드 해킹 방지, 개인 방화벽, 안티바이러스)은 실제로는 불필요하거나(보안접속은 웹브라우저가 이미 훨씬 더 강력하게 할 수 있습니다), 아무 소용이 없는 것들(이 프로그램들은 은행 사이트만 벗어나면 모두 종료되는데, 실제로 고객의 컴퓨터가 공격당하는 시점은 은행 사이트에 접속해 있는 동안이 아닙니다) 입니다.

시사저널은 다음과 같이 은행의 입장을 소개합니다:

은행 관계자는 “고객의 PC에서 백신프로그램이 구동 중인지 원격으로 알아내는 것은 현재 어렵다. 현재 단계에서는 차라리 액티브X를 이용해서 강제적으로 설치하는 것이 가장 확실한 방법이고, 기업의 의무를 다하는 것이다”라고 말했다.

고객이 자발적으로 설치할 수 있는 안티 바이러스 프로그램은 은행사이트에 접속해 있을 때만 켜졌다가 꺼지는 기만적인 “샘플 프로그램” 수준이 아니라, 본격적인 실시간 감시 기능이 상시로 작동하는 비교할 수 없이 우월한 프로그램입니다. 이런 프로그램을 어디서 무료로 내려받을 수 있는지를 안내하기는 커녕, 심지어는 이런 프로그램을 이미 사용하고 있는 이용자들에게 마저, “실시간 감시기능을 꺼두라”고 안내하는 국내의 은행들은 “기업의 의무를 다하는 것”이 아니라, 형편 없는 기술적 무지로 인하여 전국민에게 막대한 타격을 가하는 가해행위를 저지르고 있는 것이라고 생각합니다.

보안업체들은 지금까지 은행에게 판매해 왔던 프로그램을 계속 판매하기 위하여 집요한 노력을 하기 보다는 진정으로 한국의 인터넷 환경에 도움이 되는 길이 무엇인지를 진솔하게 고민하고, 국제적 기술 경향을 배우려는 노력을 기울이시면 좋겠습니다.

혼자서 “IT 강국”인 줄 열광해 왔던 지난 10여년의 잘못된 기술 경향으로 이제는 한국의 인터넷은 세계에서 고립된 “갈라파고스”의 운명에 처해 있다는 지적을 심각히 받아들여야 할 것입니다.

독자(獨自) 진화(進化) 한국IT, ‘갈라파고스’ 될라: http://www.hani.co.kr/arti/economy/economy_general/368046.html

Categories: 민원/소송 | 18 comments  오픈웹 구독 메일로 받기

  • 5frame

    나올 때마다 공감하는 의견입니다만, 어쩐지 한국의 은행놈들에게서는 갱생의 여지가 전혀 보이지 않습니다. 그래서 말입니다만, 인터넷 뱅킹 반대(또는 혐오) 배너를 만들어 달든지 해서 인터넷 뱅킹 보이콧 운동이라도 전개하는 게 어떨까요, 라고 제안해 봅니다.

  • pc

    얼마전,
    국내 대형 인터넷 마켓에서 물건을 주문 후
    실시간 계좌 결제를 하는 데
    액티브X가 깔리면서 에러가 나더군요.
    어떤 사람은 비스타에서도 결제가 잘 된다고 하던데 결제 은행마다 대행사가 다른가 봅니다.
    마켓에 전화 문의를 하였더니 결제 담당하는 곳과 통화를 하라고 하더군요.
    그 동안 세 번 정도 문의전화를 했었습니다.
    고쳐지지 않은 지가 벌써 6개월이 넘었습니다.

    제가 인터넷 뱅킹 용도로 쓰는 운영체제는 윈도우 비스타(Vista) 32비트 버전입니다.
    인터넷뱅킹 및 결제가 제대로 되는 32비트 XP를 돈주고 또 구입할 것을 생각하면 불법 복제의 유혹을 많이 받습니다.
    그런데 p2p 등의 불법 복제물에 악성코드가 발견되었다고 신문 기사 나왔더군요.

    인터넷뱅킹이 많이 불편하다면 돈을 더 주더라도 오프라인 상점에서 구입할 수는 있습니다.
    하지만, 시험 접수, 수강 신청, 자격증, 공공 기관 업무 관련하여 요새 인터넷으로 하는 추세여서
    오프라인에서 접수, 신청 등의 일처리를 안 해주는 경우가 있어서 정말 짜증 많이 납니다. 오로지 인터넷으로만 하는 경우도 많습니다.
    이와 관련하여 여러 곳에 민원을 넣었는데…
    여러 기관에서 공공 장소에 있는 무료 공공 PC를 이용하라고 합니다.

    그런데… 보안 관계자들은 공공 PC를 이용하면 보안상 위험하다고 하죠.

    이쯤되면 거의 666 수준이 아닐까 생각합니다.

    요한계시록 13:17
    # 누구든지 이 표를 가진 사람, 곧 그 짐승의 이름이나, 그 이름을 나타내는 숫자로 표가 찍힌 사람이 아니면, 아무도 팔거나 사거나 할 수 없게 하였습니다.

    XP를 또 구입해야 하나..

    이민가고 싶습니다. ㅠㅠ

    • pc

      가만히 생각해 보니…이거 정말 666 이네요.
      종교 쪽에서도 다루어봐야 할 문제 아닐까요.
      짐승의 수, 666 바로 현실에서 벌어지고 있었습니다.
      엉뚱한데서 666 찾으려고 하지 말고 많은 관심 가졌으면 좋겠습니다.

      요한계시록 13:17
      표준새번역: 누구든지 이 표를 가진 사람, 곧 그 짐승의 이름이나, 그 이름을 나타내는 숫자로 표가 찍힌 사람이 아니면, 아무도 팔거나 사거나 할 수 없게 하였습니다.
      KJV: And that no man might buy or sell, save he that had the mark, or the name of the beast, or the number of his name.

      방문 접수 불가.(시험 공고에 방문 접수 안 된다고 못 박아 놨음)
      오로지 인터넷으로만 접수 가능.
      오로지 MS윈도우로만 접수 가능.
      오로지 MS IE로만 접수 가능.
      오로지 액티브X로만 접수 가능.

      행정안전부 사이버국가고시센터 http://www.gosi.go.kr/
      서울특별시 공무원 인터넷 원서 접수 http://gosi.seoul.go.kr/
      자체단체 통합 인터넷 원서 접수 http://gosi.klid.or.kr/

      공무원 원서접수시스템 `먹통` 2009.03.26 09:26
      http://media.daum.net/digital/internet/view.html?cateid=1048&newsid=20090326080353716&p=dt

      公試 원서접수 시스템 이틀간 먹통 2009.03.26 02:59
      http://media.daum.net/society/others/view.html?cateid=1067&newsid=20090326025908524&p=seoul

  • http://blog.joostory.net/rss Joo

    김기창 교수님이 쓰신 “한국 웹의 불편한 진실” 이란 책 나온거 봤어요.
    언제 한번 읽어봐야겠어요. :)

  • AppleADay

    누군가 (은행이던 쇼핑몰이던) 총대를 매고 모범을 보여주기 전에는 변화가 없을 것 같네요.

  • 전자정부이용자

    2년전 부터 전자정부 수출에 대한 기사들이 있는데 수출할 때 ActiveX로 수출하고 있는지 궁금합니다. 요즘들어 부쩍 웹접근성에 대한 사항은 수출관련한 사항이 봅니다. 만약 전자정부가 자국민에게는 불편을 강요하고 외국 수출용은 웹표준 맞춰 수출한다면 이것은 국민에 대한 역차별이 될것입니다.

    한국이 ms 독점 99%지만 MS 독점이 아닌 외국 국가들에게 전자정부를 ActiveX로 수출하는 것은 불가능할 것으로 보입니다.

    조달청(http://g2b.go.kr) 사이트에서 로그인을 클릭하면 팝업창이 하나 뜨면서 “이름: 키보드보안 k-Defense 8, Kings Information & Network”이라고 뜹니다. 문제는 ‘설치안함’ 버튼을 선택해도 이미 강제 설치가 되어 있습니다.. 제어판-프로그램으로 확인해보면 “KICA SecuXML for G2B v3.0″이 설치되어 있는 것입니다. 얼핏보고 KISA인줄 알았는데 자세히 보니 KICA 입니다. KICA SecuXML for G2B라는 것을 사용자의 의사와 무관하게 강제로 설치해 버린 것입니다.

    ActiveX는 프로그램을 모르는 사람도 VB GUI 화면 클릭 몇번만으로 ActiveX를 만들 수 있는데 마이크로소프트 IE만을 위한 전용 프로그램이니 Chrome 이나 Opera, FireFox 등 브라우저로는 로그인도 할 수 없습니다. 정작 표준이 거절되는 현상은 국내 SW 산업과 인터넷 산업에서 흔히 볼 수 있는 고질적 한국병입니다.

    인터넷 갈라파고스, 한국의 MS종속, SW산업의 침체에 금융결제원 인증서 문제가 발단입니다. 나방 한마리가 폭풍을 만들었다고 해야 할지 뒷거래가 있었는 것인지 알 수는 없지만 금결원측은 누가 어떤 이유로 이런 일을 하고 있는지 실명을 대고 납득할만한 답변을 해야 하지 않을까요? 국민과 산업에 악영향을 끼치는 사람이 누구인지 이름을 요구할 권리가 있다고 봅니다.

  • arsky

    은행이나 당국은 액티브X를 포기할 시 엄청난 피해가 오는 줄 알고 겁먹고 있는거 같은데요! 지금도 집계 할 수 없는 액티브 X의 피해가 얼마나 큰줄을 모르면서 말이죠! 아이러니 한 국가입니다. 앞에서 칼들도 협박하는 데도 앞에 있는 사람은 칼 안들고 있다고 외치는 거죠!!

    • skonmeme

      물론 현재의 ActiveX를 포기하게 된다면 엄청난 혼란과 피해를 가져올 수 있습니다. 하지만, 그걸 겁내서 고치지 않는다면 앞날에는 한국이 일개 회사임인 MS에게 끊임없이 사정하고 목매야하는 일이 벌어지게 될 것입니다.

      이미 고개숙여봤으니 별거 아니라고 생각할까요?

  • 황하준

    http://news.naver.com/main/ranking/read.nhn?mid=etc&sid1=111&rankingType=popular_day&oid=030&aid=0002028822&date=20090804&type=1&rankingSeq=1&rankingSectionId=105

    사용자 측면에서 바라본 액티브X 논쟁입니다. 기사 마지막 문단이 웬지 의미심장하게 느껴지는 것은 저뿐일까요?

  • http://www.dynasys.kr 최준열

    제가 보기엔 나중에 발뺌하려고 일부러 은행 웹 사이트에 머물 때만 방어 프로그램이 작동되게 해 놓은 거 같은데요…

    사실 인터넷 뱅킹을 1시간 2시간씩 하는 사람은 없죠…돈만 송금하면 끝인데 대부분의 사람들이 하루에 5분 정도 접속하고 땡일 겁니다. 물론 그거만 하루 종일 하는 경리직원은 좀 다르겠지만…

    그렇게 생각하면 거의 다른 사이트를 이용하는 동안에 이상한 것들이 깔린다고 생각해 볼 수 있는데요…

    ‘다른 사이트를 이용하는 동안에는 안철수의 보안 프로그램이 동작하지 않게 해놔야’ 나중에 은행이 자신을 변호할 때 ‘우리 사이트 이용하는 동안은 고객을 확실히 보호했다. 다른 사이트를 이용하는 동안에 공격당한 건 우리 책임이 아니다’라고 선을 그을 수 있게 되지 않겠어요?

    즉, ‘우리 사이트를 이용하는 동안은 확실히 보호해 줄테니 다른 사이트를 이용하는 동안엔 니가 알아서 해라’라고 선을 긋기 위한 목적으로 ‘일부러 은행 사이트에 머무는 동안만’ 보안 프로그램이 동작하게 해 놓은 거 같습니다.

  • http://cafe.daum.net/dongimac 박종웅

    ‘액티브X’ 가 금융권에 사용하면 왜 안되는지 아직도 모르시는 분들을 위한 MS의 입장입니다. http://cafe.daum.net/dongimac/CoYj/107
    참조하시길..

  • http://cafe.daum.net/dongimac 박종웅

    그리고 “Active X 인터넷해킹에 무방비” 정리글입니다. http://cafe.daum.net/dongimac/CoYj/74
    소송에 도움이 되시기를 바랍니다.

  • mylinux03

    법률에 3개 이상 브라우져에서 동작하게 하라.
    즉, 이걸 업계에서는 IE TAB로 해결한다면..
    다른 운영체제는 어떻게 되는지..
    의도는 좋지만 잘못된 표현입니다.
    법률을 3개 이상 브라우져 및 3개 이상 운영체제에서 동작 가능으로 법을 다시 고쳐야
    한다.

    • http://snowall.tistory.com snowall

      가장 좋은건 “업계 기술 표준을 지킬 것”이죠.
      그럼 표준을 지킨 운영체제/웹 브라우저라면 얼마든지 사용할 수 있게 됩니다.

  • http://blog.naver.com/jack9009 Question

    한국과 달리 미국의 경우 전자상거래시 ebay 社의 Paypal(페이팔)을 사용하는데, Paypal이 ActiveX 보다 보안적으로 안전한지요?

    • http://hirameki.blogspot.com hirameki

      ActiveX는 기술이름이고 Paypal은 서비스 이름이니 비교 대상이 아니긴 합니다만… Paypal은 ActiveX는 사용하지 않는군요.

      ActiveX보다 안전하다… 라는 말을 써도 될 지 모르겠습니다.

      ActiveX를 쓰면 쓰지 않는것보다 훨씬 위험해진다 라는 표현을 써야 맞는것 같고요, 중요한것은 우리나라에서 안전하다고 떠들고 있는 ActiveX를 이용한 방법이 실제로는 더 위험한 것이라는 겁니다.
      그러므로, 표현을 좀 더 정확히 하자면 “paypal에서 사용하고 있는 기술방식이 비교적 훨씬 안전하다.” 라고 생각됩니다. 물론 기술적인 면에서의 평가이고, 거래방식에 대해서는 제가 지식이 없으므로 평가할 수 없습니다만..
      개인적으로는 저도 paypal을 이용하고 있습니다만, 이거 정말 편하네요.

    • http://hirameki.blogspot.com hirameki

      한가지 깜빡하고 적이 않아서 추가합니다.
      나름대로 IT계열에 종사하고 자기 컴퓨터는 자기가 관리하는 주의라서 그런지 모르겠습니다만.. 우리나라의 ActiveX는 제 PC에 심각한 보안의 구멍을 뚫어놓으려 하기 때문에, 저는 인터넷 뱅킹만을 위해서 버추얼 머신 제품과 윈도우를 별도로 구입해서 한국 인터넷 뱅킹을 위한 잡다한 ActiveX외에 개인적인 정보를 일절 기록하지 않은 윈도우 머신을 만들어서 씁니다.

      하지만, 윈도우자체의 보안적인 구멍과 추가적으로 ActiveX설치로 인한 추가 구멍을 고려해서, 이 가상 머신에서는 특정 1개의 은행만을 접속하고 다른 곳은 일절 접속하지 않아야 합니다.

      또한 악성 ActiveX외에도 윈도우 세큐리티 홀을 통한 인증서 유출의 가능성이 있기 때문에 USB에 저장해서 필요한 때에만 접속하는 식으로 하고 있습니다. -> 그래도 불안하네요. 1층 가옥에서 대문이랑 창문 열어놓고 신용카드 쥐고 자는 기분입니다.

  • http://fuseon.blogspot.com 김정

    오늘 웹 서핑 하다가 이곳을 알게 되었고 이런 일이 있었다는 걸 처음 알았네요. 평소 이 부분에 생각이 많았는 데 왜 몰랐는지… 여러가지 이야기하고 싶은게 많지만, 자주 방문하며 차차 하기로 하겠습니다. 그리고 의미있는 소견에 응원드리고 싶습니다.

«

»