현행 법령을 준수한 인터넷 뱅킹 서비스의 가능성

2009.12.17 글쓴이 youknowit

법규정 들여다 보기 짜증나죠. 은행 직원분들도 그렇고, 보안 업체 엔지니어분들께서는 더더욱 그렇습니다.

실제로, 관련 법규정이 무엇인지 그 내용을 정확히 아시고, 그 테두리 내에서 사업적 가능성을 합리적으로 모색해 온 금융기관은 솔직히 말해 없습니다. 그저 소경 코끼리 만지듯, 누가 한마디 하면 (대부분 근거 없는 헛소리지만), 모두 그말이 “정설”인 줄 알고 이리 저리 우르르 따라 다니는 것이, 안타깝지만, 은행 IT 업계의 현실입니다. 대표적 사례를 하나 들어 볼까요? “SEED 사용이 법령으로 강제된다더라” 또는 “국정원이 SEED 사용을 사실상 강제한다더라”는 “설”이 여러해 동안 국내 보안 업계를 휩쓸고 다녔었지요. 이제 그런 말씀을 되풀이 하시는 분이 좀 줄어 들긴했지만. 근거규정? 없습니다. 완전히 헛소리였지요.

법령에 대한 심각한 무지 상태에서, 결국 “스마트 폰에서 인터넷 뱅킹을 가능하게 하려면 앱으로 해결하는 수 밖에 없다”는 낭설이 “정설”로 자리하게 되고, 심지어는 은행들이 연합하여 공동의 솔루션을 만든다는 움직임도 결국 이 수준에서 우왕좌왕하는 꼴을 면하지 못하고 있습니다. (물론, 이렇게 헛소리가 “정설”로 유통되는 와중에서 호황을 구가하며, 즐겁게 앱 개발 사업에 여념이 없으신 업체들도 있지요.)

인터넷 뱅킹은 현행 법령(http://openweb.or.kr/?page_id=1258 참조) 하에서도 이미 다음과 같은 서비스 가능성이 있습니다. 단계별로 설명드리겠습니다.

1. 로그인 단계

공인인증서 사용의무 없음

로그인 단계에서 공인인증서를 사용하라는 규정이 없음은 물론이고, 오히려 계좌 조회를 위해서는 공인인증서를 사용하지 않아도 된다는 명문의 규정까지 있습니다(시행세칙 제31조 제1호). 로그인은 계좌 조회가 일어나기도 전 단계이므로, 이 역시 공인인증서를 사용하지 않아도 되는 단계입니다.

따라서, 은행은 적어도 로그인+계좌 조회가 이루어지는 단계 까지는 공인인증서를 사용해야 할 법령이나 감독 규정상의 의무가 아예 없습니다.

보안 프로그램 설치 의무 없음

로그인 단계 부터 다짜고짜 보안 프로그램을 설치하라는 규정도 없습니다.

키보드 해킹 방지, 개인 방화벽 등 보안 프로그램의 “우선적 설치” 요건(전자금융 감독규정 시행세칙 제29조 제2항 제3호)이 있기는 하지만, “우선적”이라는 의미가 시작 페이지 부터 당장 설치하라는 의미도 아니고, 꼭 ActiveX 방식으로 설치를 강제하라는 뜻도 아닙니다.

시중 은행 어디에도 시작 페이지에 다짜고짜로 보안 프로그램 설치를 강요하는 곳은 없습니다. 한때 금융감독원 홈페이지가 그런 헛발질을 하던 때가 있었습니다. 고객이 아무런 정보도 입력하지 않고 그저 마우스를 클릭해서 페이지 내용을 둘러보기만 하는 단계인데도, 난데 없이 키보드 보안 프로그램을 설치하라고 강제하는 웃기지도 않는 상황이었는데, 오픈웹 등에서 그점을 지적하자 이제는 변경하였습니다.

키보드 보안 프로그램을 구현하는 임무를 맡고 계시는 분들이 “그야말로 아무 개념 없이” 마구 내지르는 바람에 괜히 금융감독원처럼 웹페이지 운영의 기술적 내막을 전혀 모르는 기관이 욕을 먹거나 조롱의 대상이 되는 것입니다. 또 한가지… 금융감독원은 “금융기관”도 아닙니다. 금감원 홈페이지 작업을 담당하셨던 엔지니어께서는 어떻게 생각하셨길레 키보드 보안 plugin을 다짜고짜로 내려주는 식으로 설계하셨더랬는지 저로서는 짐작하기 어렵네요. 어쨋건 이제는 개선 되었습니다.

하여간, 보안 프로그램은 고객의 선택에 맡길 수 있도록 현행 규정이 이미 그렇게 되어 있습니다. 핵심적 보안 프로그램은 키보드 해킹 방지 프로그램입니다. ActiveX로 설치되어 은행 사이트에 접속해 있는 동안만 잠시 실행되고 꺼지는 개인 방화벽 따위는 솔직히 있으나 마나 한 것이라는 점은 보안 업계 종사자 분들 스스로 인정하고 있습니다. 그래도 국내 은행 대부분이 “아무 생각 없이” ActiveX 방식의 개인 방화벽 따위를 아직도 강제설치하고 있습니다. 왜? 은행이 무조건 그래야 하도록 하는 의무 규정이 있다고 철석같이 믿고 있기 때문입니다(아무도 그 규정을 본적도 없습니다만; 그리고 그런 규정은 실제로 존재하지도 않습니다만). 이것이 국내 은행 IT 권 인력의 실상입니다.

키보드 보안 프로그램을 깔도록 강제할 것인지, 아니면 스크린 키패드를 사용하거나, 일회용 비밀번호를 사용하고 키보드 보안 프로그램을 아예 사용하지 않을지는 서비스 제공자가 판단하여 자율적으로 결정할 수 있도록 현행 규정이 이미 그렇게 되어 있습니다. 물론 보안 프로그램을 설치하지 않는 대신, 사고 발생시 고객이 책임을 지겠다는 서약을 하게 할지는 은행이 알아서 판단할 문제일 것입니다. 실제로 그런 서약 없이 키보드 보안프로그램, 안티바이러스, 개인방화벽 따위의 프로그램 설치를 강제하지 않는 유수의 국내 은행들이 이미 있습니다.

따라서, 로그인 과정에서 비밀번호를 랜덤하게(비밀번호 구성 글자/숫자 중 서버가 매번 임의로 선택한 일부만을) 입력하게 하거나, 스크린 키패드를 사용하여 비밀 번호를 입력하게 할 경우, 키보드 해킹 방지 프로그램은 걷어 낼 수 있습니다.

물론 MS IE 를 사용하시는 고객들의 경우에는 이런 추가적 보안 조치에 더하여, 예전에 해 왔던대로 온갖 ActiveX를 꾸역 꾸역 내려줄수도 있겠지만, 그런 선택은 은행에게 매우 비싸게 먹힐 것입니다. 합리적인 은행이라면, 고객 지원 요청에 계속 시달리고, MS IE 웹브라우저 사양이 바뀔 때 마다 ActiveX 업그레이드 하느라 쩔쩔 매는 현재의 고비용 관행을 계속하려는 곳은 없을 것입니다. 그런 무식한 은행에 내 돈을 맏길 이유도 없겠지요.

2. 계좌 이체 단계

공인인증서 사용 예외

이미, 현행 규정상으로도 30만원 미만의 계좌 이체는 공인인증서 사용이 강제되지 않습니다. 이것만 풀어도, 스마트폰 등 모든 기기에서 인터넷 뱅킹은 그 규모 내에서는 아무 문제 없이 됩니다.

그리고, 입학금, 공과금 등 수취인이 분명하고 수취 계좌가 특정된 경우에는 액수에 상관 없이 공인인증서를 사용하지 않아도 되도록 현행 규정이 이미 그렇게 되어 있습니다(전자금융감독규정 시행세칙 제31조). 보안 업체, 은행 관계자분들, 제발 법규정 좀 보고 이야기 합시다!

공인인증서 사용에 필요한 S/W가 제공되지 않는 환경

은행/결제대행사/쇼핑몰 등 전자금융업자가 공인인증기관이 아니라는 점은 분명합니다. 공인인증기관도 아닌 이런자들이 공인인증용 소프트웨어를 만들어야 할 법률상 의무가 없다는 점도 분명합니다. 금감원도 은행에게 공인인증용 소프트웨어를 만들어 내라는 의무를 부과할 권한은 없습니다.

따라서, 공인인증기관이 공인인증서 사용에 필요한 S/W를 제공하는 환경(MS IE)에서는 공인인증기관이 제공하는 소프트웨어를 그대로 호출하여 공인인증서를 사용하면 됩니다.

공인인증기관이 소프트웨어를 제공하지 않는 이용환경(모바일 기기, 그리고 PC의 경우에는 MS IE 외의 웹브라우저 사용환경)에서는 공인인증서 사용을 강제하기 곤란한 경우이므로, 공인인증서 사용 예외를 신청하면될 것입니다.

공인인증기관이 소프트웨어를 제공하기만 하면, 은행은 당장에 공인인증서를 사용할 의향이 있습니다. 그러나, 그렇지 못한 상황에서 은행이 공인인증 소프트웨어를 만들어야 할 법률상 의무는 없지 않습니까? 공인인증기관도 안 만들고 있는데…

보안 접속 플러그인

이제 보안 접속을 위해서 별도의 플러그인을 사용해야 한다는 신기한 주장을 펴는 분들은 거의 사라진 듯 합니다. 금결원도 이미 https 접속으로 전환하였고, 정부 사이트들도 대부분 https 로 바뀌었고, i-pin 서비스 제공자들도 보안 접속용 플러그인을 쓰는 곳은 이제 사라졌습니다.

보안접속용 별도 플러그인을 써야한다는 법규정이 있을리도 없고, 국정원이 그것을 강요하지도 않습니다. 오히려 보안 서버(SSL 서버) 사용을 권장하는 것이 국정원의 입장입니다.

저는 현행 법령의 제약 때문에 스마트폰 인터넷 뱅킹은 “별도의 앱으로 구현할 수밖에 없다”는 주장이 도대체 무슨 기술적, 법리적 근거가 있는지 도저히 이해할 수 없네요. 아마도 “SEED 사용이 강제된다더라”는 식의 낭설이 아닐까 생각합니다.

누군가 톡톡히 덕을 보긴하겠지만, 많은 사람들이 골병들겠지요.

Categories: 보안, 인터넷 뱅킹 | Tags: , , | 5 comments  오픈웹 구독 메일로 받기

  • http://www.joostory.net Joo

    그러게요 앱을 만든 은행은 무슨이유로 그렇게 한걸까요 ㅎㅎ

  • http://kaos119.eglools.com 서영종

    정말 안타깝습니다. 개발자들 자체도 저런식으로 설계를 해야한다고 믿고(?) 계신 분들이 여럿 되니까요..

  • 우분투

    사실 요즘은 은행에서 이체하는 것보다 카드로 결제하는 경우가 많아서 인터넷뱅킹은 안 돼도 카드 결제만 돼도 리눅스에서도 좀 편할텐데요.

    물론 온라인 송금을 해야 하는 경우도 여전히 있지만요.

  • Safe Bank

    위에 Safe Bank 링크로 들어가니까 오페라에서는 화면이 뜨지 않고
    “Found
    The document has moved here.” 라고 뜨고요.

    파이어폭스에서는
    “본 연결은 신뢰할 수 없음
    openweb.or.kr는 유효하지 않은 보안 인증서를 사용합니다.” 라고 뜨고요.

    크롬에서는
    “이 사이트의 보안 인증서는 신뢰할 수 없습니다.
    openweb.or.kr에 접근하려 했지만 서버에서 컴퓨터 운영체제가 신뢰하지 않는 기관에서 발행한 인증서를 제출했습니다.” 라고 뜹니다.

  • http://openweb.or.kr youknowit

    서버 인증서를 교체하는 중입니다. 곧 해결 될 것입니다. 불편을 끼쳐드려 죄송합니다.

«

»