사고거래에 대한 책임: 은행 or 고객?

2010.03.11 글쓴이 youknowit

인터넷에 근거없이 떠도는 주장 중 하나가 “외국은 사고거래가 나면 고객이 뒤집어 쓰게되어 있으나, 우리 나라는 주로 은행이 뒤집어 쓰게 되어 있다”는 것입니다.

법제가 이러니, 한국에는 은행들이 유달리 보안에 신경을 쓸 수밖에 없다는 주장입니다. 물론 금감원 관계자들이 언제나 내세우는 주장이기도 합니다.

우물안 개구리도 이런 개구리는 보기 어렵습니다. 금감원의 무책임/무식도 이런 수준으로 10년을 버텨 왔으니, 제일 먼저, 저같은 법률가가 책임을 통감해야 하겠지요.

외국 어디에도 사고가 나면 고객이 뒤집어쓰는 제도는 없습니다.(도대체 말이 되는 소리를 해야 대꾸라도 할 가치를 느끼지요).

언제나 들먹이는 미국의 법제도를 간단히 소개합니다. Regulation E 라고 알려져 있는 연방법 규정입니다(Electronic Funds Transfer (EFT) Act). 해당 규정은 여기 있습니다.

핵심 내용은

  • 접근 수단(접근 매체, 즉 보안카드, 인증서 등을 포함하는 개념)을 분실하였음을 안 날로부터 이틀 내에 은행에게 분실 신고를 하면 고객은 50달러 한도 내에서만 책임을 집니다.
  • 이틀이 지나도록 분실 신고를 안 한 경우 500달러 한도에서 고객이 책임을 집니다.
  • 거래 내역이 정기적으로 고객에게 전달될 경우, 사고거래가 표시된 명세서가 발송된 날로부터 60일이 지나도록 고객이 은행에게 아무 신고도 안하면 (좀 복잡한 조건이 충족되면) 전액에 대하여 책임을 져야할 가능성도 생깁니다…

보안카드를 분실했다는 사실을 알고도 은행에게 신고를 안한 고객은 어느 정도 책임을 지는 것은 당연하지요. 한국에서도 그럴 것입니다.

하드디스크에 저장된 인증서 파일을 도난(유출)당했는지 안했는지를 알아낼 수 있는 고객은 없습니다. 따라서 고객은 50달러 이상 책임을 질 경우가 사실상 없다고 보시면 됩니다. (분실을 안 날로부터 이틀 안에 신고하면 고객이 보호되므로, 몰라서 신고 못한 경우에도 당연히 보호됩니다) 외국에서 은행들이 인증서를 별로 좋아하지 않는 이유는 바로 여기 있습니다. 아무리 사고가 나도 고객에게 책임을 묻기가 어렵기 때문입니다. 전자서명을 하도록 하면 무조건 고객에게 책임지울 수 있다? 근거 없는 “썰”입니다.

반면에 분실여부를 고객이 당장 알 수 있는 접근수단(보안카드, OTP 발생기, 휴대폰 OTP 의 경우에는 휴대폰)은 은행에게도 유리하고, 고객에게도 안전합니다.

아무 근거 없이 “외국은 사고가 나면 고객이 다 뒤집어 쓴다더라”는 카더라 통신은 좀 그만했으면 좋겠네요. 아무 근거도 없이 그런 말을 자꾸 옮기고 다니는 사람들을 저는 도저히 이해할 수 없네요.

Categories: 보안, 인터넷 뱅킹 | Tags: , , | 27 comments  오픈웹 구독 메일로 받기

  • mumyoung

    아래는 고객이 은행을 고소한 사례입니다.
    http://www.digitalmedialawyerblog.com/2009/12/jm_test_systems_v_capital_one_1.html

    비교적 상세히 인터넷 뱅킹 사고를 법적 책임 중심으로 분석안 변호사의 블로그인데 쟁점사항에 대해서 고객이 증명을 해내야 손해를 보지 않는다고 하고 있습니다.

    외국에서는 왜 온라인 뱅킹사고 때문에 고객이 은행을 고소할까요??
    교수님의 말대로 CLEAR 하게 보상받을수 있다면 무엇이 문제이겠습니까..

    ActiveX로 떡칠을 하건, 쓸데없는 공인인증을 하건 사고의 책임소재 증명을 은행에게 부여하는 우리나라의 제도 덕분에 우리나라 고객은 그 누구보다도 안심하고 뱅킹서비스를 이용할 수 있다는 생각이 듭니다. 사고나도 은행에서 먼저 전전긍긍하며 보상해주고 덮으려고 할테니까요. 내돈만 안전하게 지키면 그만이죠.

    • unipro

      말씀하신대로, ActiveX로 떡칠을 하건, 쓸데없는 공인인증을 하건, SSL을 사용하든, OTP를 사용하든, 내 돈만 안전하게 지키면 그만이죠. 그러니 은행이 알아서 내 돈을 안전하게 지켜줄 수 있도록 하면 안될까요? 내가 생각하기에 더 안전한 기술을 제공하는 은행과 거래할 수 있도록 말이죠.

      • mumyoung

        이견 없습니다. 지금보다 좀더 나은 보안기술에 대한 연구도 이루어질 것이며 오픈웹과 보안업체가 윈윈할 수도 있겠네요,, ActiveX 와 보안업체에 대한 맹목적인 비난이 아닌 모두가 윈윈할 수 있는 건설적인 방향으로 오픈웹의 쓰레드가 진행됬으면 좋겠습니다.

        • http://openweb.or.kr youknowit

          오픈웹은 공인인증서를 “쓰지 말자”는 주장을 하는 것이 아니라, 다른 해법 사용을 금지하지 말라는 호소를 하는 것입니다.

          인증서를 쓰겠다는 은행은 쓰고, SSL+OTP 로 거래하겠다는 은행은 그렇게 하도록 자유를 달라는 것입니다.

          그래야 고객도 진정한 선택권을 행사할 수 있게 될 것입니다.

  • http://openweb.or.kr youknowit

    고맙습니다. 기업 고객의 경우는 UCC (Uniform Commercial Code) 규정이 적용됩니다. 기업 고객이 사고거래를 발견하고 은행에게 신고하지 않으면, 다 뒤집어 쓰는 것이 아닙니다. 환불을 받을 수 있지만, 환불액에 대한 이자를 못받는데 그칩니다. (사고거래를 기업고객이 제때 신고하면 환불은 물론, 환불액에 대한 이자까지 받을 수 있습니다.) 링크 해 주신 페이지 하단에 있는 내용 참조.

    If a customer fails to provide notice within the 90 day period, the sole effect is that the customer loses the right to demand interest on its money. The UCC expressly provides that “the bank is not entitled to any recovery from the customer on account of a failure by the customer to give notification. . . ”

    개인 고객의 경우에는 제가 본문에서 소개한 EFTA 가 적용됩니다.

    우리 나라나 미국이나, 사고가 나면 일단은 은행이 책임지도록 제도가 되어 있고, 실제로는 은행은 어떻게 해서든 책임을 지지 않으려고 시도하고, 결국 고객(특히 기업고객)들은 소송까지 가는 것입니다. 링크 하신 사례는 바로 이런 것 중 하나입니다.

    물론 무엇이 UCC 4A에서 말하는 “사고거래”인지는 좀 더 자세한 설명이 필요하고, 이점은 다른 기회에 별도로 포스팅하겠습니다.

    • mumyoung

      소송에 갔다고 가정했을때 외국보다는 우리나라가 고객 입장에서 은행을 상대로 유리한것은 분명하다고 봅니다. 이미 외국에서는 이런 소송이 비일비재한 반면 우리나라는 아직 인터넷 뱅킹 사고로 은행을 고소했다는 CASE를 전혀 듣지 못했습니다. 이 단편적인 사실 만으로도 우리나라 뱅킹의 제도적 환경은 외국에 비해 상대적으로 안전하다는 생각이 드네요..

    • bk21st

      mumyoung / 그것 하나 갖고 과연 우리나라 인뱅 환경이 안전한지는 의문입니다.

      인뱅과 관련하여 사고가 났다는 사실은 알려져 있어도(인증서 유출 등으로 인하여), 이 사고로 인하여 소송이 제기되었다는 이야기는 아직 듣지도 보지도 못하였기 때문일 것입니다.

      그러나 이것이 알려지지 않았다고 해서 언제까지나 ‘이러한 사실이 없다’라고 단언할 수는 없습니다.

      한 예로 연체에 관하여 적용되는 ‘기한이익상실규정’ 건으로 은행이 소송을 당한 사례가 있는데 이것은 최근에야 알려졌습니다.

      이런 식으로 은행이 고객에게 소송을 당한 사례가 몇 있는 것으로 알고 있는데 도대체 언제까지 은행이 소송당하지 않았다고 하실 겁니까??

      • mumyoung

        그렇다면 은행이 소송을 당하고 있다는 말인지요? 이미 몇년동안 오픈웹은 인터넷 뱅킹 보안 관련하여 이슈를 제기하고 있습니다. 뱅킹사고로 소송이 있었다면 벌써 알고도 남았을 것입니다. 소송이 있으니 알아서 찾아보라고 하지 말고 객관적인 자료를 제시해 보세요. 아래는 다른 소송건입니다. 오픈웹에서 그토록 안전하다고 주장하는 OTP+SSL 을 사용했음에도 피싱으로 55만달러를 날려먹은 사건이네요..
        http://www.eto.co.kr/?Code=20100221145517507&ts=123645

        이런 외국 사례는 조금만 찾아봐도 널려있습니다.

        • pighair

          논점일탈이 큰 사례네요.
          오픈웹의 주장은 OTP+SSL이 액티브엑스보안보다 월등이 기술적으로 보안성이 뛰어나서 안전하다는 것이 아닙니다. (제가 이해하기로는)
          오픈웹 주장은 OTP+SSL이라는 간편한 방식으로도 접속 정보를 잘 관리하는 한 충분히 안전한데 굳이 플러그인 설치를 남발해야 하는 현행 공인인증서 방식을 고수할 필요가 있느냐, 현행 방식도 결국 비번털리면 똑같다,는 것인데요.
          링크하신 사례는 은행 보안과 무관하게 피싱을 통해 접속정보를 홀랑 털려서 발생한 사고네요. 국내 방식이면 저렇게 안 될까요?
          오히려 ActiveX설치 메시지만 나오면 예를 누르는 습관 때문에 더 위험할 것 같습니다만…

  • http://openweb.or.kr youknowit

    mumyoung/ 유익한 논의 고맙습니다. 제가 법을 잘 알지는 못하지만, 짧은 소견에는 이렇습니다.

    사고거래 여부를 둘러싼 분쟁이 진행되는 과정은 2단계로 나누어 볼 수 있습니다.

    첫째 단계: 해당 거래가 과연 사고거래인지가 먼저 분쟁의 대상이 됩니다. 고객이 사고거래하고 “주장”만 하면 사고거래가 되는 것은 아닙니다. 만일 고객(또는 그 대리인)이 수행한 거래라면(즉 고객이 거짓말을 하는 상황이라면) 은행은 책임을 질 이유가 전혀 없지요.

    일단 고객의 ID/pass 또는 인증서 등 접근 매체를 사용하여 이루어진 거래라면 고객(또는 그 대리인)이 한 거래라고 추정받습니다. 인증서/전자서명을 아예 사용하지 않고, ID/pass 로만 수행한 거래도 password 를 아는 자가 거래한 것이므로 일단은 고객(또는 그 대리인)의 거래로 “추정”받습니다. (오로지 전자서명만이 “추정력”이 있다는 금감원의 주장은 근거가 없습니다.)

    따라서 고객은 해당 거래가 자신(또는 자신의 대리인)이 한 거래가 아니라는 점을 입증해야 합니다. 이점은 한국이나 미국이나 차이가 없습니다. mumyoung 님께서 처음에 위에 링크된 기사를 소개하시며, “고객이 입증”해야 한다고 말씀하신 부분은 바로 이 단계에서 일어나는 일입니다.

    이때 가장 중요한 증거는 IP 주소입니다. 만일 거래가 고객과는 도저히 상관이 없는 IP에서 이루어졌다면 이거래가 자신(또는 그 대리인)이 한 거래가 아니라는 입증은 만족스럽게 이루어지는 셈입니다. 만일 고객의 집, 직장, 친척 등의 IP 주소에서 이루어진 거래라면 고객이 아무리 자신이 한 거래가 아니라고 “주장”해도 법원이 그말을 믿어주기 어렵겠지요.

    둘째 단계: 해당 거래가 “사고거래”라는 점이 판단되고 나면, 은행은 대부분 책임을 져야 합니다. 이점은 미국이나 한국이나 별 차이가 없습니다(고작 6만원 정도를 누가 부담하느냐의 차이를 제외하면).

    그러나, 은행은 고객의 중대한 과실을 입증하면 책임을 면할 수 있습니다. 이점도 미국이나 한국이나 별 차이가 없습니다.

    요약하면, 첫째 단계에서는 고객이 입증책임을 져야하고, IP 주소가 결정적인 증거가 됩니다. 사고거래로 판명되면, 둘째 단계로 들어가게 되는데, 이 단계에서는 은행이 고객의 중대한 과실을 입증해야 합니다. 이 단계에서 은행이 이기기는 매우 어렵습니다. 온갖 플러그인을 아무리 강제 설치해도, “고객이 잘못 했다”는 것을 입증하는데는 아무 도움이안 됩니다. 고객은 은행이 하라는대로 다 설치했으므로 오히려 아무 잘못이 없다는 점만 거듭 확인됩니다.

    어느 경우건 간에 “전자서명”이 무슨 역할을 하는 것은 아닙니다. 은행은 실제로 전자서명을 실컷 받아 놓고도, 막상 사고가 나면 저장해 놓은 전자서명은 보지도 않고, 거래 log 만을 들여다 보는 이유가 바로 여기에 있습니다.

    국내에서 사고거래에 관한 소송이 제기되지 않는 이유는, 사고가 안생겨서가 아니라(실제로 사고는 계속 생깁니다; 여러 은행 관계자들에게 제가 직접 확인하였습니다), 소송으로 갔을 때 은행이 승소할 가능성이 거의 없기 때문입니다.

    IP 주소가 엉뚱한 곳에서 이루어진 거래인 경우가 많고, 따라서 “사고거래”라는 점을 은행이 뒤집기 어려운 상황이 대부분인데, 이 상황에서는 고객은 온갖 플러그인을 하라는대로 다 설치했으므로, 아무런 잘못도 없다고 법원이 판단할 것이 뻔하기 때문입니다.

    그리고 인증서 유출을 고객이 알아낼 수도 없으므로, 고객은 정말 아무 잘못도 한 것이 없는 것이 사실이기도 합니다. 물론 보안카드를 스캔해서 파일로 저장하는 짓을 한 고객은 법원도 “중대한 잘못”이 있다고 판단할 여지는 있지만, 아직 사건화 된 적은 없는 것으로 알고 있습니다.

    대부분 적당한 선에서 물어주고 쉬쉬하고 덮습니다(이 점도 은행관계자들로부터 확인한 내용입니다). 승산 가능성도 없는데 소송으로까지 비화되어 본들 은행은 잃을 것이 훨씬 많기 때문입니다.

  • mumyoung

    제가 쓴 글의 논점이 무엇일까요?
    교수님은 쓰레드에서 고객은 50달러이상 책임을 질 경우가 사실상 없다고 했습니다. 해킹당해 55만달러를 날린 철강회사 EMI는 고객이 아닙니까? 고객의 정의가 도대체 무엇인지요? 이 경우 첫번째가 피싱에 무지한 사용자의 책임을 강조하네요.(http://www.bankinfosecurity.com/articles.php?art_id=2249) 우리나라 정서에서는 피싱에 취약하게 뱅킹시스템을 구축한 은행에 먼저 책임을 물을 것입니다. 금감원의 무식함을 맹렬히 비난하고 계시지만 카더라 통신을 하는것은 오히려 오픈웹이 아닌지요? 사회운동을 한다고 자부한다면 정확한 FACT에 대해서 예기할 수 있는 쓰레드가 되어야 할 것입니다.

  • mumyoung

    첨언하자면 교수님은 고객이 OTP를 분실했을때 신고만 하면 되기 때문에 문제가 없다고 했지만 이것은 피싱,MALWARE 같은 해킹에 의해 발생하는 피해는 별개의 문제입니다. 금감원 관계자나 인터넷에 떠도는 카더라 통신이 해킹에 대해 외국과 국내의 사례를 비교한것은 충분히 근거가 있는 내용입니다.

  • http://openweb.or.kr youknowit

    말씀하신 기업 고객(EMI)이 “55만달러를 날렸다”는 내용은 없는 듯 한데요? 소송을 제기하였으니 돌려받을 수 있는지는 소송 결과를 봐야 겠지요.

    피싱공격은 “고정된(static)” 암호나 인증서 파일을 사용하도록 거래가 설계된 경우에 특히 위력이 있다고 저는 생각합니다. OTP 를 사용할 경우 피싱공격으로는 손해를 가하기 어렵지 않나요?

    인용해 주신 기사에 보면, “보안토큰이 근본적으로 안전한 것은 아니고, 디지털 인증서는 나름의 보안 위협이 있다 Security tokens are not inherently secure, and digital certificates come with their own set of security challenges.” 는 내용이 있네요.

    좋은 정보 감사합니다.

  • mumyoung

    교수님 말씀대로 otp를 사용하면 피싱에 대해서 대응이 된다고 할 수 있습니다. 그런데 아래 기사를 보면 http://www.eto.co.kr/?Code=20100221145517507&ts=123645 otp를 은행에서 분명히 사용하고 있다고 하고 있습니다. 그렇다면 결론은 하나라고 생각합니다. otp 를 사용하지만 제대로 적용되지 않아 사실상 의미가 없었다는 것이죠. 즉 온라인 뱅킹시스템 자체가 무늬만 2factor 인증이었지 알맹이는 허접했다는 것입니다. 피해를 본 고객(emi)이 법정에서 직접 증명해 내지 못하는 이상 55만 달러는 고스란히 날아가는것 아니겠습니까? 은행의 부실한 시스템이 명백한 원인인데요..

  • http://openweb.or.kr youknowit

    사건의 경과를 지켜보아야 하겠군요. 고맙습니다.

  • mumyoung

    글로벌 기업의 보안 업무를 하고 있는 저로서는 오픈웹의 주장이 받아들여지기를 희망합니다. 다양한 인증수단을 선택하고 사용하자는 주장에 대해 동의 합니다. 그래야 기술이 더 발전할 수 있고, 안전한 보안이 될 수 있다고 생각합니다. 그런데 그 목적을 이루어 가는 과정에서 객관적인 사실이 아닌 일방적인 정보전달은 오히려 문제만 일으킬 뿐입니다. 이곳을 쓰레드를 보다보면 일방적으로 한국은 낙후되어 위협에 처해 있고, 외국은 발전하여 안전하다고 오해할 수 있는 글들이 많이 있습니다. 한국은 쉬쉬한다니 할말 없고, 미국, 영국, 호주등에서 심각한 해킹 사고가 발생하고 있다는 것은 교수님도 잘 아시지 않습니까? OTP나 인증서는 수단일 뿐입니다. 얼마나 안전하게 사용하냐하는것이 중요한 것이죠. 정기적으로 비밀번호만 변경해도 많은 리스크를 감소시킬 수 있습니다. 무엇이 더 안전하고, 무엇이 취약하고 낙후되었다는 논의는 선택권을 부여하자는 오픈웹의 초심과는 관계가 없다고 생각합니다. 초심을 잃지 않는다면 오픈웹을 지지하다가 돌아선 많은 지지자들도 돌아올 것입니다.

  • http://openweb.or.kr youknowit

    오픈웹은 인증서 사용을 “강제”하는 현행 규제가 철페되어야 한다는 주장을 제기할 뿐입니다.

    인증서 사용을 “강제”해야 한다는 분들은 오로지 인증서만이 탁월하다는 배타적, 독선적 견해이므로, 이 견해가 옳지 않다는 지적을 제기할 뿐입니다.

    인증서를 사용하려는 은행은 사용하고, 다른 기술을 사용하려는 은행은 그렇게 할 수 있게 하자는 오픈웹의 주장이 그렇게 “일방적이고 맹목적”으로 들리나요?

  • redknife

    인증서가 문제인가요 ActiveX가 문제인가요? 우리나라에서는 인증서와 ActiveX가 동일하지만, 실제적으로는 서로 다른 차원의 기술입니다. SSL도 실질적으로는 인증서를 사용하는 것이고요. 저도 ActiveX에 대한 무분별한 사용에는 반대하지만, 인증서의 위험과 관련된 언급된 내용에 대해서는 암호쪽에 잠시 몸담은 입장에서 세부적으로는 잘못 설명된 것이 많습니다. 인증서의 기반인 PKI 방식 이외에 네트웍 상태에서 암호 통신을 할 수 있는 다른 더 좋은 대안이 있는가요? Server 인증서는 괜찮은데 Client 인증서 사용이 지나치게 사용성을 제한한다는 것은 같은 논리로 은행에서 도장(또는 사인)이 없는 출금요청서로 은행이 돈을 줄 수 있게 해야 한다는 말과 같습니다. 보안을 완전하게 막겠다는 기술이 아니라, 투입 노력 대비 얻는 효용을 줄이겠다는 기술입니다. 사용 편의를 높이고자 하는 노력은 필요하지만, 최소한의 상호신뢰를 위한 제약도 필요합니다. 은행에 사설경비원이 있고, 감시 카메라가 있어도 은행강도는 생깁니다. 그럼, 위화감을 주는 경비원과 사생활 보호에 침해되는 것 같은 CCTV도 없애야 할까요? 외국에 비하여 국내의 온라인뱅킹(이것은 인터넷 뱅킹 뿐만 아니라, 그 이전의 PC뱅킹, 전화뱅킹, 모바일 뱅킹을 모두 아울러)이 세계적으로도 높은 수준인 것은 서비스 제공자 입장에서 이정도의 안전장치가 있다면 문제가 없다는 인식으로 적극적인 영업을 하기 때문입니다. 인터넷 초창기로 돌아가 생각해보면 최소한의 이런 장치들이 있었기에 인터넷 뱅킹을 시작할 수 있었습니다. 다른 기술이라는 것이 어떤 것이고, 그것이 지금 수준 정도의 안전한 거래를 ‘은행’에게 보장할 수 있을까요? 그렇다면 은행은 사업을 하겠지만, 아니라면 사업 자체를 포기하겠죠.

  • unipro

    오픈웹을 통해서 제가 배운 것은 인증서의 맹신에 대한 우려입니다. 교수님은 이것이 공인인증서을 강제하는 근거가 되기 때문에 꼭 그렇지만은 않다는 것을 설명하고 있습니다.

    오픈웹이 주구장창 주장하는 “은행이 고객의 돈을 지키는 방법을 알아서 선택하도록 놔둬라” 같은데요. 윗분 말대로 인증서가 그런 역활을 할 수 있다면, 은행들이 알아서 선택할 듯 싶습니다.

    • redknife

      암호업계 영업사원을 제외하면 암호관련 사람들은 아무도 ‘인증서’를 맹신하지 않습니다. 네트웍 통신 상의 최소한의 조건으로만 생각합니다. 그러기에 컴퓨팅 파워의 증가에 따라서 인증서 관련된 암호키의 길이를 계속해서 높여가고 있습니다. 지금의 ActiveX 방식이 굳어진 것은 ‘SEED’ 암호방식을 상거래 표준암호 모듈로 정하면서 그 어떤 암호 어플리케이션에서도 지원하지 않던 이 암호를 처리하기 위한 불가피한 선택으로 시작된 것입니다. 금감원이 인증서 방식만을 제한했다기 보다는 그 당시은행이 선택할 수 있는 방식이 그것뿐이었고, 현재로서도 더 나은 대안이 그렇게 보이지 않는다는 것입니다. 교수님도 언급하신 것이지만, 우리나라 인터넷 뱅킹의 보안적인 근거는 ActiveX PKI + 보안카드 입니다. https + OTP의 방식에서 https가 server 인증서만을 사용하는 방식이라면 ActiveX 방식에 비하여 문제가 있습니다. 물론 보안카드에 비하여 OTP는 월등이 좋습니다.
      기술적 분해를 해보면 보안카드와 개인이 기억하는 PKI의 비밀번호(개인키 해독용 …. 사용자에게는 공인인증서 비밀번호로 표시)로 유지되는 비밀입니다. 저는 ActiveX에 대한 문제제기와 인증서(PKI방식)에 대한 문제제기를 분리했으면 합니다. 왜냐하면 외국에서 사용한다고 하는 server 인증서 방식의 https + OTP 방식이 최소한의 조건으로 충분하다고 생각하지 않기 때문입니다. 금융거래에서는 client 인증서 방식이 불편하지만 필요한 요소라고 생각합니다. 물론 누가 필요하냐라고 하면 ‘은행’입니다.

      • http://mytears.org 정태영

        말씀하신 내용 중 아래 부분은 확인이 필요할 것 같습니다.

        ‘https + OTP의 방식에서 https가 server 인증서만을 사용하는 방식이라면 ActiveX 방식에 비하여 문제가 있습니다. 물론 보안카드에 비하여 OTP는 월등이 좋습니다.’

        현재 인터넷 뱅킹 사이트들에 접근하는데는 자신의 공인인증서가 필요하지 않습니다. 그저 보안에 필요한 프로그램을 설치하라고 강요할 뿐입니다.

        다시 말해 보안 채널을 형성하기 위한 용도로 공인 인증서(클라이언트 사이드 인증서)를 활용하지 않고 있다고 볼 수 있습니다.

        그렇기 때문에 https를 사용하든 ActiveX 기반의 보안채널을 사용하든 보안 면에서는 큰 차이가 없을거라 생각합니다.

  • http://openweb.or.kr youknowit

    여러번 반복된 내용입니다만, SEED 사용을 강제하는 “규정”은 없습니다. 사실상 강제한다는 것도 근거가 없습니다. 보안업계 종사자 분들께서, 규정을 검토하지도 않고 그냥 입에서 입으로 전해오는 “전설”입니다.

    http://openweb.or.kr/?page_id=92 (소프트웨어 보안심사 법제) 참조바랍니다.

    현재와 같은 http+plugin 방식의 가장 큰 위험은 “서버 인증”조차 제대로 되지 않는다는 점입니다(클라이언트가 서버의 identity를 확인할 방법이 없습니다; 플러그인이 서버인증을 제대로 하는지 안하는지를 고객이 알 수 있는 방법이 전혀 없습니다. http 로 접속한 서버가 선량한 서버라고 무조건 믿고, 그 서버가 내려주는 플러그인이 제대로 서버identity를 검증할 것이라고 무조건 믿는 수 밖에 없습니다)

    보안”전문가”께서 판단하시기에 이 방법이 과연 올바른 방법이라고 생각하시나요? 고객인증을 아무리 해도 서버인증이 제대로 되지 않으면 …

    개인적 생각으로는 상호인증 https+OTP가 매우 훌륭한 방법이라고 생각합니다만, 결국 서비스 제공자가 합리적 판단을 할 수 있도록 허용하는 것이 옳은 정책일 듯.

    다시 반복합니다만, 오픈웹은 인증서를 “사용하지 말자”는 것이 아니라, 쓸 은행은 쓰고, 다른 해법을 선택할 은행은 그렇게 할 수 있도록 하자는 것입니다.

  • mumyoung

    단지 다양한 수단을 선택할수 있게 부여하자고 말씀하시지만 교수님은 현재 방식이 기술적으로 문제가 많다고 끊임없이 주장하고 계십니다.

    다양한 수단을 선택하게 하는 것과 현재 방식이 취약하다는 것이 무슨 관계가 있는지요?

    교수님께서 계속 지금의 방식에 대한 비난을 하시는 이상 반론은 끊임없이 제기될 것이며 결국에는 내가 원하는 것은 다양한 수단의 선택이지 기술의 우월성을 가리자는 것이 아니다 라고 말을 바꾸실 것입니다.

    즉 논쟁을 계속해서 유도하는 것은 그 누구도 아닌 바로 교수님 이라는 것입니다. 정부기관에 요구하여 제도를 바꾸며 되는 것이지 지금 방식이 기술적으로 어쩌구 저쩌구 논할 필요가 없다고 생각합니다.

    • http://openweb.or.kr youknowit

      아, 그런 것이 었군요! 알려주신대로 정부기관에 요구해 보겠습니다.

      좋은 하루 되세요. ^^

    • T. K.

      네. 미소 한번 지어 드리죠. ^^

  • Pingback: EMI v Comerica 은행 사건 » Open Web

  • http://thetvtopc.com/Reverse_Cell_Phone_Lookup_Number phone number lookup

    한국 알라딘서점은 

«

»