먼저 오픈웹의 의미와 취지에 전적으로 공감하고 지지합니다.
그러나, 다음과 같은 질문과 의문이 생겨 주인장님께 글 남깁니다.

1. 오픈웹의 본래 취지는 웹사이트(정부와 금융)에 접속할 때, 특정 환경만(MS and IE) 지원하는 문제를 해결하려는 것이었는데, 현재는 국내 전자금융 틀의 새로운 정의를 하고 있습니다.

가. 현재 주장하는 근거의 초점은 공인인증서 제도의 폐지(강제성 제거) 인데요, 이를 주장하기 위해서는 다음 자료가 필요하다고 생각합니다.
a. 국내 경제규모 대비 전자금융거래 규모와 10년간의 원인별 사고 금액
b. 주인장님이 주장하시는 안전한 해외의 경제규모 대비 전자금융거래 규모와 같은 기간의 원인별 사고 금액
=> 충분히 수치적으로 뽑을 수 있는 자료라고 생각하고요, 이것이 먼저 조사되어야 새로운 틀의 정의가 가능하지 않을까요?
=> 물론 오픈웹에서 조사하셔야 된다는게 아니라 정부에서 해야 되는 부분인데, 어짜피 안전성과 편리성은 약간의 반비례 관계가 성립된다고 생각되어서, 무조건 표준, 편리성만 강조해서는 안된다고 생각합니다. 외국의 인터넷 뱅킹이 사고가 아예 없는 완벽한 시스템도 아니고, 사고가 발생하고 계속 보완하고 있는 것으로 알고 있고요.

나. 위의 조사에서 현재의 공인인증서가 공인인증서 없는 시스템에서 발생한 어떤 취약점(예를 들어 이체금액 조작 등)을 방어해주고 있다면, 이것도 구축하기 힘든 국가 인프라인데 무조건 없애는 것보다 현재 공인인증서의 문제점을 단계적으로 해결 보완하는 것도 필요한 작업 아닐까요?
=> 현재 공인인증서의 문제점은 온라인 재발급 가능, 해커에 의한 인증서 개인키 복사 가능 2가지로 보입니다.
=> 실제 온라인 재발급은 인증서를 1년동안 잘만 관리한다면 불필요하다고 생각됩니다. 그러므로 법적으로 온라인 재발급을 막고, 분실의 경우에는 신규발급과 동일하게 대면확인 후에 재발급 하는 것이 맞다고 생각됩니다.
=> 인증서 개인키 복사의 문제점은 인증서를 보안토큰이나 휴대폰 등 하드디스크(USB 메모리도 포함?)를 제외한 휴대형 장치에 저장하게 함으로써 해결 가능하다고 봅니다.

2. PC뱅킹(인터넷뱅킹)은 꼭 HTML로 구성된 Web 베이스여야 하나요?
- 물론 기존에 설치된 웹브라우저를 통해서 뱅킹을 할 수 있으면 조금 더 편하겠지요. 그러나 공개된 프로토콜로 공개된 응용프로그램을 이용하여 금융거래처럼 민감한 거래를 꼭 해야되나는 의문심을 가집니다. 실제 국내 PC뱅킹의 취약점 중에서 MS IE 자체의 문제인 부분도 상당한 비중을 차지합니다. 본래 웹의 취지는 정보의 공유와 전달, 그리고 커뮤니티인데, 실제로 뱅킹은 이런 부분과 상관이 없지 않나요? 극단의 예를 들어서 게임을 HTML로 만들지는 않지요. 개인적 견해로는 HTML과 웹브라우저의 표준 기술로 완벽하게 안전한 전자금융을 구축할 수 없으면 전용 어플로 가는것도 방법이지 않을까 생각됩니다.
그래서, 아이폰용 공통뱅킹 어플에 대해 완전히 뻘짓이란 생각은 안듭니다. 어느분이 스마트폰 운영체제마다 공동뱅킹 어플을 만드는 것을 바보짓이라고 했는데, 글쎄요, 전용 어플이면 각 운영체제마다 만드는 것은 당연하고, 스마트폰에 게임 수십개씩 까는데, 뱅킹을 위한 어플 하나 까는 것이 그렇게 힘겨울까요?

=> 물론, 쇼핑몰, 전자정부 등 공인인증서를 사용하는 모든 웹사이트까지 포함되면 볼륨이 커지는데요, 이 부분은 저도 공인인증서의 강제가 맞지 않다고 봅니다. 국내에서 너무 무분별하게 공인인증서를 사용하는 것은 사실인것 같습니다. 이렇게 사용할 것이라면 오픈웹의 주장처럼 정말 국제적인 표준을 따라야 하고요.

3. 어짜피 새로운 판을 짜자고 주장하시는 것이라면, 여러 전문가들(정부, 은행, 보안전문가, IT 전문가)과 협조적인 협력체를 만들어 건설적인 방향으로 추진해 주시길 부탁드립니다.

=> 여기 주인장님부터 참여하는 많은 분들이 우리 말고는 모두 개인 이기주의로 점철된 파렴치범에, 세계 IT 동향은 까막눈이고, 보안의 개념도 없는 반사회적 조직으로 만들고, 댓글의 1/3은 초딩 수준의 어리광인듯 합니다.(이 표현에 대해서는 욕을 하셔도 좋습니다만 꼭 하고 싶었던 부분이라서 무례하게 남깁니다.)

=> 더욱 경쟁력 있고 앞서가는 기술 확보 등의 기치를 내걸었으면, 물론 민간 단체로서 힘이 많이 부족할 수도 있지만, 너무 조급해하지 말고 실제 만들 수 있는 최고의 솔루션으로 오픈웹의 목표를 이루었으면 합니다. 현재는 반대에 있는 다른 사람들의 지적과 반대의견도 같이 고민하면서 말입니다.

* 저의 주장과 의견이었습니다. 쭉 지켜보다가 이건 좀 아니다 싶은 생각이 들어서 남깁니다.

대안이 되려면 나와 상대방 모두가 윈윈할 수 있어야 합니다. 인터넷 뱅킹의 제도 개선은 결과에 따라 큰 파장을 몰고올 것이 분명한데 정책을 실행하는 상대방을 고려하지 않고서는 절대 대안이 될 수 없죠. 오픈 플래폼 환경으로 갔다고 가정했을때 수천만원의 금융사고가 발생했을 경우 정책을 수행한 담당자들이 빠져나갈 수 있는 구멍까지도 고려가 되어야 대안이 될 수 있지 그렇지 않으면 쇠귀에 경읽기일 뿐이며 나만의 유토피아일 뿐입니다. 최근 스마트폰 뱅킹 보안 세미나가 있었는데 공통적으로 나온 주제가 사용자의 책임을 강화하는 사회적 환경입니다. 정부당국자에서 부터 보안업체 관계자, 이통사 관계자 모두 개인이 책임지는 환경을 우선 예기 하더라고요, 저역시 제가 저 위치에 있다면 똑같은 말을 했을 거라는 생각이 듭니다.
지금 당장 내 말을 들어주지 않는다고 해서 비난하며 독설을 퍼붙는 것은 어린아이나 하는 짓이라고 생각하네요..

개방된 환경을 제공할 수 있게 쓸 데 없는 규제를 걷어내자는 것이 요점입니다.

기술적인 문제가 있다면 그 문제를 해결하는 것이 엔지니어로서 할 일일 것입니다.

공인인증서에 쓰이는 일방향 함수같은 것도 공개적인 수학적 증명을 통해서 널리 사용하게 되었다는 사실을 안다면 숨기는 것이 최고의 해법이라는 식의 주장은 하지 못할 것입니다.

그냥 동시대의 다른 나라 만큼의 서비스를 제공할 능력이 없다면 입이나 다물고 있으면 됩니다.

제가 무명님의 글에 댓글을 단 것은
“공인인증서가 자금이체시 보안에 도움이 됐다”는 취지의 글을 본 것이 계기랍니다.
그런데 다시 읽어보니 이 문장은 안 보이네요. 뭐 그럴 수 있는 것이고. 문장이 좀 거칠고 오해의 소지가 있다는 것은 알겠지만 충분히 제글의 지향점을 알고 있으시라 믿습니다.

최근 구글에서 크롬 OS 에 secure client와 secure compiler 기술을 도입한 것을 보면서 비로서 왜 아이폰에서 윈폰7에서 멀티태스킹을 금지하였는지 이 의미가 무엇인지 자연스럽게 와 닿게 되었습니다. 결국 컴파일러레벨에서 광란적인 보안위험을 상당부분 차단하겠다는 것에 이들이 컴파일러 기술로 응용프램에서 프로세스/쓰레드 포크 금지와 자동 쓰레드 생성이란 기술을 확보하게 됐다는 것이지요. 그러나 여전히 유저레벨에서 각종 크리티컬 데이타는 스크린된 다운로드 프로그램에 무방비라는 것은 또 다른 안전한 컴파일러 보안 패치를 통해서 차단되는 것이지요. 뭐 여러방법이 있을 수 있답니다. 아마도 차차 이런 멀티프로세싱 컴파일러 기술이 그 위로 확산될 것입니다.

결국 이 얘기는 이런 기술이 확보되기 전까지 공인인증서는 어떤 다운로드된 프로그램에 의해서 빠져나가게 되는 것이랍니다. 참으로 좋은 밥거리죠. 현재 발생된 보안보고는 패치되었지만 사용자가 더 늘어나면 더욱더 새로운 먹튀웨어들이 등장한다는 것이지요. 아이폰, 윈폰7, 안드로이드폰, 향후 피씨 레벨에서까지 이러한 secure complier 기술이 확산되는데 이런 미련퉁스럽고 보안백치인 인증서 방식을 고집하겠다는 겁니까!!

인증서란 거래부인방지와 본인확인에 공개키기술을 이용한 것이기에 그 자체는 해킹되지 않지만 복사와도난 등에 의해서 현재의 비번 방식으로 얼마든 해킹되어 앞으로의 먹거리 전자세금계산서의 보안사고가 증폭돼고 전자자료상들이 중국에서 날뛰고 할 개연성이 매우 높습니다.

인증서의 장점은 비번 하나로 등록된 싸이트 어디든 헤집고 다닐 수 있다는 것이 장점인데 여기에 이러한 편리성 자체가 개인의 보안에 치명적인 것이랍니다.

현재 보안카드는 은행들이 너무 값싸게 만들어서 불편하지만 앞으로의 사회적 비용을 줄일 수 있는 한 방법이기에 제도 개선이 있겠지요.

과연 이러함에도 아이폰,윈폰7,크롬 등의 특성을 이해한다면 하루 빨리 현 금감원 규정 제 7조를 폐기하는 것이 앞으로의 보안업계,정부당국자들의 책임이라 여겨지는 것이지요.

무명님의 글에 대해 따지겠습니다.

첫댓글부터 논점 파악이 안 되신 것 같은데 뒤로 갈수록 논지를 흐리시는군요. 자신이 쓴 글에 자신이 없으신지?
전 보안 쪽은 문외한입니다만 님 글에 논리적으로 문제가 있다는 것 정도는 지적할 수 있겠습니다.

첫댓글부터:
1. 가-교수님이 답변하셨습니다.
나-여러 대안 중 하나겠지요. 다만 오픈웹이 주장하는 제도 개혁적·진보적 방안보다는 보수적 형식의 문제 해결법인 것 같습니다. 저로서 이의제기할 여진 없어보입니다. 그리고 제가 지식이 부족해 다른 분들의 댓글을 대충 읽긴 했습니다만 여기에 직접적으로 논한 분도 없는 것 같습니다(아니라면 죄송하구요). 이 말씀이 님 댓글 전체의 요체라면 ‘새로운 국가적 인프라 구축에는 여러 난항이 있으므로 현행 공인인증서 강제 제도를 유지하되 공인인증서 자체의 문제점을 개선해나가자’ 정도로 님의 주장이 요약되는 것 같으며, 그 정도로만 적으셨어도 충분했는 것 같습니다. 나머지 내용과 댓글들은 사족이자 자충수인 것 같구요.

2. 교수님이 쓰신 글에 단 댓글 맞습니까? 원문부터 다시 읽어보시길…

3. 교수님은 오픈웹 외에도 오프라인에서 많은 활동에 참여하시는 것으로 알며 아마 그런 자리도 많이 존재할 겁니다. 오픈웹에 대한 비난에 대해서 다양한 배경의 사람들이 모이는 인터넷 환경에서는 당연히 발생하는 일입니다. 님 말씀대로 일부 ‘초딩’ 수준의 글이 있다 해도 보안 전문가도 계시고 여러 사람들이 문제의식을 공유한 채로 나름 자신의 의견을 올리고 있습니다. ‘미친 사람에게도 배울 것이 있다’는 공자님의 말씀처럼 오픈웹에 참여하시는 분들의 글이 죄다 쓰레기다 하여도 그 중에 보석도 나오는 법입니다. 위키피디아가 어떻게 그토록 성공적으로 운영되고 있으며 브리태니커 백과사전의 입지를 위협하고 있는지 생각해보시길..

개별적 토론글은 생략하고 논점을 전환한 부분만 계속해서 짚어보죠.
‘오늘 유럽에서 윈도우 브라우저 선택권을 사용자에게 부여한다는 기사를 보았습니다.’로 시작하는 글:
1. MS 독점에 문제 있다는 의식은 가지고 있는 분이라 다행입니다.
2. 누가 소스 공개하랬나요?
3. 교수님이 오픈소스 개발자만 믿어야 한다고 주장하셨나요? ‘개방된 기술이 안전할 가능성이 더 크다’ 정도의 말씀은 하신 것 같습니다만..

‘기술이라고 하면 기술이겠죠..’로 시작하는 댓글:
‘이제는 ActiveX 가 아닌 윈도우나 MAC Application 의 취약점을 연구하셔야 겠습니다.’ 또 다시 논점을 파악하지 못한 문제점이 있긴 하지만 뭔가 깨달음은 얻어서 다행인 듯한 글이네요. 애초에 ‘뭘 알고’ 글을 다셨어야 할 겁니다.

김 교수님은 제가 개인적으로 오래 전부터 존경해왔던 분입니다. 일부 감정이 격해져 실수를 범하신 기고도 있으셨습니다만 큰틀에서 그동안 지극히 타당한 말씀을 해오셨고 정부와 사회에서도 교수님의 주장에 공감하여 많은 변화가 있었던 게 사실입니다. 님의 오픈웹 및 교수님의 대한 비난은 굉장히 무례한 부분도 많이 눈에 띄고 무지와 몰이해를 충만하게 반영한 ‘초딩’ 수준의 글이었습니다. 보안 지식 수준을 보니 진짜 초딩은 아닌 것 같습니다만…
오픈웹이 제안하는 답은 분명합니다. 답 안 나오는 싸움으로 만드는 건 님같이 논점파악 안 되시는 분들이 높은 곳에 있기 때문인 거겠지요.

다소 불쾌하셨으리라 생각합니다만 님께서 태초에 글을 다셨을 때의 의도와 마음씀이 되짚어 역지사지의 정신으로 자성해보시길 바랍니다.