최근 어떤 보도에 의하면, 한국 금융감독원은 전세계 아무데도 하지 않는 공인인증서 사용 “강제”를 계속하겠다는 굳건한 의지를 굽히지 않으면서 그 이유로, 한국이 전세계에서 가장 앞서 가기 때문에 외국 사례를 참조할 가치가 없다는 입장이라고 합니다.
외국 사례는 최근 금융보안연구원이 정확하게 조사하여 발표하였습니다. 그 조사보고서 마지막 페이지를 보면 “본 보고서 내용을 인용할 때에는 반드시 금융보안연구원 ‘해외 인터넷뱅킹 보안현황 조사 보고서’ 라고 밝혀 주시기 바랍니다”라고 적혀 있습니다. 아래 내용은 금융보안연구원 ‘해외 인터넷뱅킹 보안현황 조사 보고서’에서 인용합니다.
| 국가 | 은행 | 인증매체 | 암호화 방식 | 비고 |
| 미국 | Bank of America(BOA) | - 문답식 로그인 인증 – SMS OTP카드 OPT |
EV SSL | 평가판 백신 제공(설치여부는 고객이 선택) |
| City Bank | - 이메일을 통한 Secure Authorization Code |
SSL | ||
| US Bank | - 문답식 로그인 인증 | SSL | ||
| 영국 | Barclays Bank |
- 스마트카드 리더기 OTP | SSL | 무료 백신 제공(설치여부는 고객이 선택) |
| Royal Bank of Scotland |
- 스마트카드 리더기 OTP | SSL | 무료 개인방화벽 제공(설치여부는 고객이 선택) | |
| 네덜란드 | ABN-AMRO Bank | - 인터넷뱅킹 전용 단말기 | SSL | |
| SNS Bank | - 토근 OTP | SSL | ||
| RABO Bank | - 토근 OTP | SSL | ||
| 호주 | Bank of Qeensland(BOQ) | - 토근 OTP | SSL | 계좌번호 및 이체금액을 추가 입력 |
| Commonwealth Bank |
- 토근 OTP(기업고객) | SSL | ||
| ANZ Bank | - 토큰 OTP(기업고객) | SSL | ||
| 싱가포르 | DBS Bank | - 토근 OTP | SSL | |
| United Overseas Bank (UOB) |
- 토큰 OTP – SMS OTP |
EV SSL | ||
| OCBC Bank | - 마우스입력기 – 토큰 OTP – SMS OTP – Mobile OTP |
SSL | ||
| 중국 | 공상은행 | - USB키 인증서 – 보안카드 – SMS 인증 |
SSL | 바이러스백신, 키보드보안프로그램 제공(설치여부는 고객이 선택) CAPTCHA 제공 |
| 건설은행 | - USB키인증서 – 보안카드 – SMS OTP |
SSL | 마우스입력기 (가상키보드) CAPTCHA 제공 |
|
| 중국은행 | - OTP – 개인인증서 |
SSL | 키보드보안프로그램 제공(설치여부는 고객이 선택) | |
| 말레이시아 | RHB Bank | - 보안카드 + SMS OTP | SSL | 마우스입력기 (가상키보드) 제공 |
| Maybank | - SMS OTP – ATM OTP – Telebanking OTP |
SSL | ||
| AmBank | - SMS OTP – Telebanking OTP |
SSL |
거래내역 전자서명을 받는 곳은 단 한 곳도 없습니다. 결국 이 모든 나라는 “후진적”이고, 한국만 “선진적”이라는 소리인데… 참 장합니다.
외국 금융기관들이 전자서명을 받지 않는 이유는 단순합니다. 받아봤자 아무 소용이 없기 때문입니다. 인증서 개인키 유출을 막기도 어렵고, 실제로 누가 그 개인키를 이용해서 전자서명했는지를 밝힐 방법도 없고, 사고거래는 어차피 인증서가 유출된 상태에서 일어나므로, 공격자가 한 전자서명이라는 주장이 훨씬 설득력이 있기 때문입니다. 외국의 보안전문가들이 전자서명 “기술”을 몰라서 못쓰는 것은 아니지요.
최근 또 다른 어떤 보도를 보면, 안철수 연구소 관계자라는 분께서 영국은 전자금융사고가 1000억원 규모이지만 한국은 3억원에 그쳤고, 그것은 공인인증서 덕분이라고 말했다고 하네요.
한국의 전자금융 사고거래의 규모를 저도 찾아 보려고 무진장 노력했습니다. 검찰청 컴퓨터범죄 수사부, 첨단범죄수사부에도 문의해 봤고, 경찰청 사이버수사대에도 문의해 보았고, 금융감독원에도 문의해 보았습니다. 아무도 모른다고 대답했습니다. 금감원은 자신들은 사고거래 규모를 집계하지도 않는다고 대답했습니다.
안철수 연구소 관계자께서는 점장이 수준의 예지력으로 금감원도 모르는 국내 전자금융 사고거래 내역을 3억원이라고 알아맞추신 것 같은데, 그 기술로 안티바이러스 프로그램도 만드시나 봅니다.
한가지 정말 궁금한 것이 있습니다. 사고거래 발생비율이 정말로 1000:3 이라는 획기적 차이가 있다면, 이미 세계적으로 주목받았을 것 아니겠습니까? 영국은행들이 한국에 지점이 없는 것도 아니고, 영국 뿐 아니라, 전세계 은행들도 이것이 만일 사실이라면, 진작에 자신들도 한국처럼 액티브액스 떡칠을 하여 전자거래를 했을 것 아니겠습니까?
도무지 말이 되는 소리를 해야 대화가 되지 않겠습니까?
지난 10년간 고집해 온 공인인증서 “강제” 체제를 옹호하는 근거가 고작 (1)한국이 IT 강국이다(금감원) (2) 외국과 한국 간의 사고거래 발생비율이 1000:3 이다(안랩) 라는 터무니 없는 잠꼬대 외에는 아무것도 없다는 것은 끔찍한 악몽이라고 생각합니다.
누가 보더라도 상식을 벗어난 내용을 ‘이유’라고 내세우며 입을 맞출때는 분명히 무슨 다른 이유가 있을 것입니다.
답답하군요…휴..
그런데 국내에 참 재미난게(?) 금감원분들 말고도 상당수의 국민과 기업에 계신 분들이 IT강국에 대한 자부심인지 자만심이 너무 심하더란 말입니다…
종종 해외에서는 트랜드인 개방형 표준이나 기술을 소개하고 권유하면 일단 묻는게 S모기업이나 유수의 대기업이 적용했냐, 레퍼런스가 있냐를 묻습니다. 그런대 세계 90%가 그 깃루을 사용해도 국내..그러니깐 IT강국의 선두주자들이 국내에서 그 기술을 사용하고 있지 않다면 거부하는걸 너무 많이 겪었습니다. 그리고 그게 그런게 아니라 세계적인 트랜드는 이렇게 변해가고 있다고 설명하면 다들 같은 반응을 보이십니다. 우리는 IT강국이고 세계에서 가장 앞서 있어서 그런거고 외국은 뒤쳐져서 그런거다. 그리고 MS기술을 상당히 좋아하시더군요. 당신이 소개한 기술이 좋지만 MS의 거대한 힘을 몰라서 그래!라고들 하더군요. 아..마지막으로..아이티는요 강국이 아니라 지진피해국이랍니다.
안녕하세요 안철수연구소입니다.
youknowit님의 좋은 글 잘 읽었습니다.
하지만, 본문 중에 저희 관계자분이 ‘영국은 전자금융사고가 1000억원 규모이지만 한국은 3억원에 그쳤고, 그것은 공인인증서 덕분’이라고 언급한 부분은 사실과 다르기에 알려드립니다.
어떤 보도를 참고하셨는지는 잘 모르겠습니다만 http://news.joins.com/article/aid/2010/03/09/3647432.html?cloc=olink|article|default 를 참고하셨다면 그 기사에서 저희회사가 언급된 부분은 ’2010년 보안 위협 예측 보고서’ 뿐이며 관계자 인터뷰는 들어있지 않습니다. 3억원이라는 금액도 어떤경로로 기자님이 입수하셨는지 잘 모르겠습니다.
또한, 보고서는 스마트폰을 노리는 공격이 극심해질 것이라는 내용만 있을 뿐 어디에도 금융사고 전체에대한 1000:3이라는 저희의 언급은 나와있지 않습니다.
오히려 저희는 PC 중심 사고에서 탈피해서 스마트폰에 적합한 글로벌 보안 기준을 마련해야한다고 인터뷰 한 적 있습니다. (http://www.seoul.co.kr/news/newsView.php?id=20100220008013)
오픈웹은 아주 좋은 의미를 가진 운동이라고 생각하고 있습니다. 그렇기 때문에 정확한 근거가 더 필요하다고 생각합니다.
마지막으로, 저희회사의 안티바이러스 제품은 많은 개발자분들이 분석하고 노력을 기울인 결과물입니다. 전통 무속 능력기반이라는 표현은 자제해 주시면 더욱 힘내서 제품개발에 매진하도록 하겠습니다.
앞으로도 좋은글 많이 부탁드리겠습니다.
좋은하루 되세요~
ahnlabman/ 신속한 댓글 고맙습니다. 저도 3억이라는 해괴한 숫자가 도대체 어디서 왔는지 궁금하네요.
제가 참조한 기사는 2010.2.28. 자 중앙일보(“액티브X가 죽어야 IT코리아가 산다”) 기사입니다.
안철수연구소 관계자가 그런 터무니 없는 소리를 한 것으로 보도되고 있으니, 조속히 오보를 수정하는데 필요한 조치를 취해 주시면 좋겠네요.
국내 사고거래 규모는 집계조차 되지 않고, 쉬쉬 감추고 있는 주제에, 사고거래가 투명하게 관리되는 외국의 수치를 (그것도 부정확하게) 들먹이며, 한국식 해법이 안전하니 위험하니를 거론하는 것은 매우 경솔한 태도라고 생각합니다.
네 감사합니다. 확인결과 3억원의 출처는 저희 관계자가 언급한 것은 아니었고 기자님이 입수한 정보였습니다. 그리고 영국 인터넷뱅킹 피해액 1,000억의 근거는 Garlik사에서 발행한 ‘UK CYBERCRIME REPORT 2009′ 에 나온 내용임을 알려드립니다. 패해액 £52.5 million, 전년도 대비 132%성장으로 나타나 있습니다.
국내의 사고거래 내역에 대한 아무런 자료도 없는 상황에서 외국의 잘 조사된 수치를 거론하는 이유가 궁금할 따름입니다.
국내 규모보다 많다고 주장하실 건지, 적다고 주장하실 건지요?
사고거래 규모를 전혀 파악조차 못하고 있는 한국 금융감독기관의 무능과 무책임을 과시할 뿐이라고 생각합니다.
전자서명이 “부인방지”에 그렇게 신통한 효력이 있다면, 실제로 부인방지에 성공한 사례 건수라도 밝혀 보시지요.
오픈웹을 지지하지만 단편적인 사실로 글을 쓰는 김기창 교수님의 독불장군식 모습은 좀 안타깝습니다.
오픈웹 지지자들이 많이 떠난 이유를 잘 생각해 보시면 좋겠습니다.
저도 오픈웹을 지지하는 사람인데 단편적인 사실로 독불장군식으로 글을 쓴 부분이 어디인지 잘 모르겠습니다. 설명 좀 해 주실 수 있을까요?
영국의 인터넷뱅킹 피해액 사례에서 중요한 것은 그런 조사가 되어있다는 사실입니다. 아무 조사가 없는 한국보다야 훨씬 앞서있는 사례로 보입니다.
더 나은 기술이 있으면 배우면 될 것이고,
우리것이 좋으면 외국에 팔면 되는 것 아닐까요?
한국에서만 최고라고 외치다가 그게 아니라는것이 밝혀지자 발뺌하는 모습 참 안쓰럽습니다.
위에 언급된 Garlik의 보고서는 아래 링크에 공개돼있습니다.
http://www.garlik.com/press.php?id=613-GRLK_PRD
한국이 최고라고 누가 그랬나요? 외국에서는 그렇더라도 우리나라는 전자서명을 적용하겠는 것이 우리나라가 최고라고 하는 건가요?
너무 선동하시는 군요?
그리고 외국에서 안 하면 우리는 하면 안되나요?
금감원이 그랬다지 않습니까.
외국에서 안하면 우리는 하면 안되는 게 맞습니다.
모두가 ‘아니오’ 할 때, 혼자 ‘예’ 하다가 왕따됩니다.
외국에선 괜히 안하겠습니까? 그것도 단 한군데도 안하는데…
그만큼 보안적으로 취약하기 때문에 그런거죠.
우리나라는 공인인증서와 전자서명을 고집하는 이유를 명확하게 설명을 못하는 것 같던데, 뭔가 구린 구석이 분명히 있습니다.