“안철수연구소”에 대한 공개 질의

2009.03.09 글쓴이 youknowit

[이 포스팅이 게시된 후, 오픈웹은 디도스 공격을 당했습니다.]

이 공개 질의는 보안프로그램의 유용성 여부에 관한 것이 아닙니다. 이 질의는 ActiveX 에 대한 것도 아닙니다. MS 의존적 환경에 대한 것도 아닙니다.

왜 지금껏 “보안경고창이 나타나면 반드시 ‘예’를 누르라“고 안내해 왔는지에 관한 것입니다.

보안 프로그램의 ‘배포’를 플러그인 방식으로 하면, MS IE가 되었건, 파이어폭스가 되었건, 사파리가 되었건, 보안경고창이 나타납니다. 우리 나라의 인터넷 보안이 위험하게 된 가장 중요한 이유는 대부분의 사람들이 ‘보안경고창’은 그저 “예”를 눌러 없애는 것 쯤으로 생각하게 되었기 때문입니다.

프로그램 ‘배포’를 파일 다운로드 방식으로 전환하면, 지금과 같은 보안경고창은 나타나지 않습니다. 따라서 이용자들에게 “보안경고창이 나타나면 반드시 ‘예’를 누르라”고 안내하지 않고도 서비스를 제공할 수 있게 됩니다. 그렇게 되면, i) 전반적으로 사람들의 컴퓨터가 안전하게 유지될 수 있고, ii) 서비스를 설계하시는 분들도 무턱대고 플러그인 방식을 채용하는 기존의 관행을 되돌아 보게 되는 ‘선순환’이 가능하게 되지 않을까 하는 것이 제 생각입니다.

보안 프로그램을 ‘배포’하는 단계에서 부터 플러그인 방식으로 배포하면, 이용자에게도 오히려 더 불편하고(설치완료에 까지 눌러야 할 클릭수가 다운로드 방식의 배포보다도 오히려 더 많습니다), 서비스 제공자들도 고객 지원 요청(“프로그램 설치가 안되요 ㅠㅠ”)에 시달려야 합니다. 그리고 고객에게 다음과 같이 안내해야 합니다. 저는 이렇게 안내하는 것이 어떻게 보안에 도움이 되는지 도저히 이해할 수 없습니다:
all_ok

“보안 경고창이 뜨면 반드시 ‘예’하라”고 지시해 둔 다음, 무조건 플러그인 방식으로 서비스를 설계하는 관행은 결국은 이용자들의 컴퓨터를 거덜내는 “결과”를 낳게 됩니다; “의도”야 어떻든 간에.

다음 질문에 답변해 주시면 고맙겠습니다.

첫째, 고객에게 “보안경고창이 나타나면 반드시 ‘예’를 누르라”고 안내하는 것이 바이러스 확산 방지에 도움이 된다고 생각하십니까, 바이러스 확산에 도움이 된다고 생각하십니까?

둘째, 플러그인 형태로 프로그램을 배포하면, 이용자는 무슨 이유로, 어떤 기능과 용도를 가진 프로그램인지도 모르는 상태에서 설치여부를 결정해야 하는 상황에 놓이게 됩니다. 이 상태에서 그것이 “악성” 인지, “보안용” 인지를 판별하여 ‘예’와 ‘아니오’를 매번 정확하게 선택할 능력이 있는 이용자가 있다고 생각하십니까?

셋째, 이른바 “안티 바이러스 프로그램”을 플러그인 형태로, 서비스 제공자의 웹사이트를 통하여 ‘배포’하는 외국의 보안 업체들이 있습니까? 있다면, 그 사례를 알려주시기 바랍니다.

넷째, 안티 바이러스 프로그램과 개인 방화벽 프로그램을 플러그인 방식으로 배포/실행하면, 특정 사이트(금융거래 사이트)에 접속해 있는 동안만 실행되고, 그 사이트를 벗어나면 종료됩니다. 이처럼, 특정 사이트를 벗어나는 순간 이용자를 완전히 무방비 상태로 빠트리는 방식으로 “보안프로그램”을 실행/종료시키는 이유는 무엇입니까?

다섯째, “보안경고창이 나타나면 반드시 예를 누르라”는 지시가 반복되는 국내의 사태에 대하여, 보안에 대한 전문지식이 있다는 귀사가 그동안 침묵, 동조, 조장한 이유는 무엇입니까?

이상 질문에 대하여 귀사의 입장을 공개적으로 표명해 주시면 고맙겠습니다. 기술에 무지한 공무원들과 발주처들을 상대로 그동안 귀사가 부도덕한 영업 수법을 사용해왔다는 의혹을 해소하는데 큰 도움이 될 것으로 생각합니다. 보안에 대한 전문지식이 전혀 없는 발주처(은행 등)가 하라는대로 하는 것이 보안업체의 역할이라고 생각하지는 않습니다. 은행들이 고객에게 이렇게 안내하면 고객이 더 불편해지거나, 은행에게 더 불리해지나요?

정직한 보안 업체라면 이렇게 할 것 입니다.

안철수연구소는 이렇게 합니다:

ahnlab_whiteware_activex ahnlab_aviva

p.s.

[기고] 보안업체의 두 얼굴 / 김기창 2009.4.13.

Categories: 민원/소송, 인터넷 뱅킹, 전자정부 | Tags: , , , , , , | 155 comments  오픈웹 구독 메일로 받기

5 Pingbacks/Trackbacks

  • AppleADay

    정곡을 또 찔러주셨군요. 안철수씨도 나름데로 생각과 철학이 있는 분일텐데, 저도 그 회사의 이율배반적 행태가 오랬동안 궁금했습니다. 돈도 좋지만 안철수연구소는 병주고 약주는 식의 장사를 너무 오래 해온것 같습니다. 업계와 일반인들 사이에서 신용도와 인지도가 안철수연구소 정도되면 잘못된 현실에 타협하기보다는 제대로 된 인터넷 보안 모델을 만들고 한국의 IT환경을 개선하는데 일조할 수 있었을텐데 그 반대로 움직여 왔고 현재도 그리 나아지지 않는 것 같습니다. 어쩌면 이것이 올바른 방향을 추구하는 타업체들에게 기회가 될 수 있으니 긍정적인 면도 있는 것 같습니다.

  • Pingback: blog/Draco

  • 자우림

    오픈웹 운동을 지지하지만 이건 좀 오바네요.

    금융기관이 칼자루를 쥐고 있는데 보안업체에 뭐라 하는 것 말이 안되는 것 같네요.

    울 나라 은행 등 금융기관이 MS의 IE 환경만으로 인터넷뱅킹을 하게끔 하는 것이 문제이지, 보안업체는 하고 싶어도 할 수 없는 것인데. 우리나라의 대표적 갑인 금융기관인데 을이 말한다고 듣기나 하겠어요.

    금융기관이 액티브X 환경으로 구축하는 것도 금감원 때문에 억지로 하는 마당에 다른 웹브라우저 지원은 언감생심이죠.

    금감원도 금융기관에서 경제도 어렵다고 하청업체들 쥐어짜는 판인데 제대로 알면서 얘기를 해야지요.

    글고 금융권 액티브X 가장 많이 깔린 것은 잉카인터넷 엔프로텍트 아닌가.

    암튼 금융권을 압박하든지 정부를 압박해야지, 보안업체에게 뭐라 하는 건 이해할 수 없는 주장같네요.

    오픈웹 운동도 오픈 마인드로 해야지, 좌충우돌식 이건 정말 아닌 것 같아요. 정부가 닫혀있어 소통이 안되니 오픈웹도 갈 길이 머네요. 그래도 닫힌 정부 좀 열어보자구요.

  • http://openweb.or.kr youknowit

    자우림/ 답글 감사합니다. 우선, 이 문제는 cross browsing 문제와는 전혀 다릅니다. MS IE 에서만 금융거래가 되는 상황을 문제 삼는 것이 아니라, MS IE 에서 굳이 왜 이렇게 “위험한” 방식으로 보안프로그램을 배포하는지를 문제 삼는 것입니다.

    프로그램을 절대로 배포하지 말라는 것도 아닙니다. 배포 방식을 왜 굳이 ActiveX 를 고집하는지를 문제 삼는 것입니다.

    내려받기 링크를 제공하는 방식으로 프로그램을 배포하는 경우, 모든 은행, 카드사, 공공기관 등은 일제히, “보안경고창이 나타나면 반드시 아니오를 누르라”고 안내할 수 있게 됩니다. 이렇게 안내할 수 있어야, 바이러스 확산을 막을 수 있습니다. 외국은 모두 그렇게 합니다. 프로그램을 배포하지 말라는 것이 아닙니다. (물론, 제일 좋은 방법은 별도의 프로그램없이도 서비스를 제공/이용할 수 있도록 서비스 구조 자체를 설계하는 것이지만)

    금융기관이 모든 책임을 져야한다는 주장에 대해서도 저는 다르게 생각합니다. 보안 프로그램을 ActiveX로 납품하기로 하는 결정은 보안업체가 한 것이지, 금융기관이 한 것이 아닙니다.

    내려받기 링크를 제공하는 방식으로 프로그램을 배포했더라면, 이용자가 눌러야 할 “클릭수”도 줄어드므로, 이용자에게는 오히려 더 편리하고, 서비스 제공자 입장에서도, ActiveX 설치가 안된다는 고객의 지원요청에 응답해야할 필요도 없어집니다.

    서비스 제공자와 이용자 모두에게 최악의 선택은 바로 “플러그인 방식”으로 프로그램을 배포하는 것입니다. 이 방식을 채택할 때 가장 “덕을 보는” 자는 바이러스를 널리 확산시키기를 원하는 자입니다.

    보안업체가 올바르게만 판단하고 실행에 옮길 의지만 있으면, 지금 당장에도 플러그인 방식의 배포를 중단하고, 내려받기 링크 방식으로 안전하게 프로그램을 배포할 수 있습니다.

    공무원이나 은행이 문제라기 보다는, 기술을 잘 알면서도 도저히 납득할 수 없는 배포방식을 고집하는 보안업체가 문제입니다.

    나쁜 의도가 없는 보안업체라면, 떳떳히 해명하면 되겠습니다.

  • 쿠붕투

    보안업체가 은근히 언론에 리눅스도 바이러스에 취약하다고 떠벌리는 것 같더군요. 리눅스는 사용자가 적어서 바이러스가 적은 거라고… MS 윈도우즈를 사람들이 계속 많이 써 줘야 그 취약점으로 계속 돈을 벌 수 있기 때문이 아닐까 생각됩니다. 보안업체가 정직하고 당당하다면 기업체나 공공기관, 학교 등에 OS 다양화를 권장하는 방식으로 보안을 높일 수 있을 텐데 전혀 그렇지 않죠. 오히려 리눅스 사용자들을 더 불편하게 만드는 ActiveX 설치를 조장할 뿐이죠.

  • http://openweb.or.kr youknowit

    “국정원-SEED” 유언비어도 보안 업체가 퍼뜨리고 다니는 것입니다. 온 세상 사람들이 모두 HTTPS로 보안 접속을 하고 있는 대명천지에 “보안접속 플러그인”을 계속 팔고, 깔아 온 자들도 보안 업체입니다.

    리눅스용 키보드 보안 플러그인이라는 엽기적 상품까지 팔아 보려고 시도하는 것도 보안업체 입니다(root 계정으로 리눅스를 이용하라? ㅎㅎㅎ).

    심지어는 리눅스용 “안티 바이러스” 백신이 필요하다는 ‘소가 웃을 이야기”를 지어내기 시작하는 자들도 보안업체 입니다.

    마르코 폴로가 중국을 여행하던 시절, 세상에는 신기한 일이 벌어지는 오지(奧地)들이 여럿 있었습니다. 컴퓨터 보안과 관련해서는 21세기 대한민국이야말로 “기상천외한 해외 토픽감” 사건들이 마구 벌어지고 있는 奧地입니다.

    “보안경고창이 나타나면 반드시 ‘예’를 누르시기 바랍니다!”: 명색이 “보안업체”라는 자들이 온갖 웹서버들의 입을 빌어 이 말을 온 국민에게 거듭 해왔습니다. 믿어지지가 않습니다.

  • http://www.jungleworkz.com 정찬희

    저는 미국에서 20년쩨 이민 생활을 해 와서 그리 많은 한국 싸이트를 보지 못했지만 왜 모든 싸이트들이 IE 만 지원되나 싶었는데… 다 이유가 있었군요.

    저는 2년 경력에 web developer 입니다. 정말 미국에선 말도 안되는 이야기군요. 물론 미국에도 web standards의 중요성을 알고 실행된 지도 몄년 안되지만 그래도 accessibility 는 늘 제일 오래된 브라우저도 사용가능하게, 특히 정부 싸이트들은 어떤 OS나 브라우저를 사용해도 사용 가능하게, 싸이트를 만들어 왔거든요. 지금도 대학교나 은행 또는 정부 싸이트들은 누가 시키지 않아도 cross browser compliance 를 따르고 있거든요. 이것은 구지 법이 그렇게 되 있기 떼문이 아니라 더 많은 사용자에게 다가 가고자 하기떼문입니다.

    하지만 어떻게 한국 싸이트들은 사용자의 입장이 되서 생각하지 않고 사용자가 싸이트에 끌려다녀야 하는지… 물론 어느정도 한국 문화가 한가지로 통일 하는것을 추구하는것같기도 하지만… 그렇다고 다양성을 억누르는것은 Microsoft 가 해온 모노폴리와 다를게 없다고 생각합니다.

    한편으론 부러원 점도 없지 않아 있죠. 미국에선 “왜 특정 CSS가 IE에만 께지는거지… 아 참! IE에선 display:table-cell 가 지원이 안되지!” 하며 골치 아프게 다지이너들과 developer들이 씨름하고 있으니 말이죠.

  • http://www.jungleworkz.com 정찬희

    참고로 여길 통해서 여기까지 오게됬습니다:
    http://korea.gnu.org/openweb/1/saga.html

    아 그리고 여기보단 다른 post에 댓글을 달아야 하는데 죄송합니다.

  • Pingback: 반드시 예~하시오 | 발상의 전환

  • http://jsapark.tistory.com 탐진강

    수고많으십니다. 뉴스에서 보고 우연히 들렀습니다.

    Active X로만 인터넷뱅킹 환경을 구현하는 것이 핵심적인 문제라고 생각됩니다.

    이건 MS가 액티브X 문제부터 지적될 부분인 듯 합니다. 그리고 금융당국과 은행 및 금융기관이 MS에만 종속된 것이 문제인 것 같습니다.

    보안문제는 플러그인 방식이든 액티브X든 마찬가지로 발생하는 문제라고 생각됩니다.

    따라서 오픈웹 논리에 도움을 줄 수 있는 안철수연구소나 여타 보안업체를 지적하기 보다는 금융당국에 집중해 근본적 원인 해결하는 방향이 좋아 보입니다.

    여러가지 자료들이 많은 사이트 같습니다. 가끔 방문하겠습니다. 행복한 하루되세요.

  • 지나가는사람

    누군가는 들어야 할 소리로는 맞는 듯 한데요. 보안 업체만 찝어서 하는 이유가 도대체 뭡니까? ActiveX 의 이용 행태는 한국 웹 개발자들의 개발 행태의 문제이고, 인식이 덜 깨여서 그러는 것 아닙니까? 화살이 엄한데로 향하는 것 같아서 웬지 그렇군요.. 백날 보안에 취약하다 소리를 쳐도 듣지 않는 사람들이 있는데, ‘너나 잘하라’라는 그 한마디로 실제 문제가 가려지는 느낌이 드는 것은 왜 일까요?

    그리고, 보안 업체가 유언비어를 퍼뜨린다는 말은 오히려 유언비어라고 생각이 듭니다. 리눅스에 보안 프로그램이 필요가 없다? 어떤 근거로 그런 논리가 나오는지 모르겠습니다.

    또한, 언론도 그런 것들에 한몫을 하는 것을 모르십니까? 돈이되는데에 꼬이는 그런 하이에나 같은 것들은 모든 것을 자기네 돈이 되는 방향으로 왜곡해서 보도하는 그런 관행을 갖고 있습니다. 이번 2080 악성코드는 알고 있는지 모르지만, 대부분 언론 플레이 때문에 덩달아 사람들이 부화뇌동 한 것이고, 보안 업체들 또한 그 물결에 탄 것이죠. 알이 먼저냐, 닭이 먼저냐? 그렇게 어려운 문제가 아닙니다. 언론이 문제죠.

  • 허거덩…

    이 글을 읽자마자 헉~ 했습니다.

    정작 문제가 되는 환경(거의 모든게 IE 환경)하에서야 개발되어야 하는게 문제인데…

    이는 확인하려 하지 않고,
    어느 한 기업에 대해 얼토당토 하지 않는 공개 질의를 하는것은 문제가 있다고 생각됩니다.

  • Pingback: 우공이산

  • http://openweb.or.kr youknowit

    탐진강/
    MS 종속을 문제삼는 것이 아닙니다. 님께서도 스스로 언급하셨듯이 ‘플러그인 방식이든 액티브X든 마찬가지로 발생하는 문제’에 관한 것입니다.

    플러그인 방식(액티브X도 플러그인의 일종입니다)으로 ‘보안프로그램을 배포’하는 몰상식한 짓을 그만 두라는 것입니다.

    보안 프로그램은 ‘내려받기 링크’를 제공함으로써 이용자가 주체적으로 선택하여 내려받아 설치하도록 하면 해결되는 문제입니다.

    ActiveX건, 파이어폭스 확장(xpi)이건, 플러그인 기술을 보안 프로그램 “배포”에 사용하는 것은 양심을 가진 보안 전문가라면 도저히 저지를 수 없는 만행입니다.

    굳이 “보안경고창이 나타나면 반드시 ‘예’ 하라“고 사람들에게 지시하고 싶어하는 이유가 있나요?

    많은 사람들이 “예”를 누르도록 해두면 바이러스가 퍼지기에 가장 좋은 환경이 마련되는 것은 맞습니다.

    그것을 원하시는 건가요?

    다운로드 링크를 제공하는 방법으로 프로그램을 배포하면, 사람들에게 “보안경고창이 나타나면 ‘아니오’를 누르라”고 안내할 수 있게 됩니다. 이렇게 되면 바이러스를 널리 퍼뜨리고 싶어하는 자는 큰 타격을 입게 됩니다.

    다운로드 링크를 제공하는 방법으로 프로그램을 배포하기를 그렇게 싫어 하는 이유가 바로 이것 때문인가요?

    이유가 무엇인지를 공개적으로 밝혀주시면 해결될 문제입니다. 괜히 은행이 어떠니, MS 가 어떠니 금융당국이 어떠니, 엉뚱한 소리 하시지 마시고.

    금감원은 “보안 프로그램을 설치”하라고 했지, 플러그인 방식으로 ‘배포’하라고 한 적은 없습니다.

    은행도, 보안 프로그램을 (문제가 제일 적은 방식으로) 배포하여 설치하기만 하면 되지, 굳이 “플러그인 방식으로 배포”하여 온갖 이용자 문의에 시달리기를 일부러 즐기는 곳은 없습니다.

    MS가 보안프로그램을 플러그인으로 배포하라고 지시하거나 희망한 바도 없습니다.

    오로지 국내 보안 업체가 그렇게 하기로 선택하고, 지난 수년간 그렇게 해왔을 뿐입니다.

    근거 없는 논리로 사태를 호도하고, 남에게 책임을 떠넘기려 하지 마시기 바랍니다.

  • 지니

    정말… 여기 댓글을 보니, 사람들이 말귀를 못 알아 듣는군요.
    http://bloter.net/archives/11627
    기사를 봤는데, 안랩도 동문서답하고 앉아있네요.
    오픈웹의 취지 때문에, 자꾸만 안랩의 보안제품들이 IE만을 지원하는걸 문제삼고 있다고 착각하나 봅니다.
    포스트 전문을 정독하면, 다 알 수 있는 내용인데 말이죠.
    문제는, 국내에서 유명한 보안 업체로 알려져 있는 안랩 조차도,
    잘못된 배포방식인 ActiveX 컨트롤을 통해서, 보안 프로그램을 배포하고 있느냐인데,
    ActiveX를 통한 보안프로그램 배포는, 실제 컴퓨터가 장악된 상태에서는 무용지물이며, 사이트를 접속한 동안에만 실행되므로 실제로는 도움이 되지 않는다는 사실을 안랩이 알고 있는가, 알고서도 현 완전하게 잘못된 이런 사태를 방조하고, 동조한 것인가 그걸 묻는것인데, 자꾸만 동문서답 하고 앉아있네요.
    개인적으로, 안랩, 우물안 개구리라는 생각이 듭니다. 국내에서만 유명하지 세계에서는 뭐 알아주지도 않죠. 백신만해도 국제 테스트에서 매번 탈락하고 있고, 백신 테스트 순위도 보면 중하위권을 맴돌고 있죠.
    뭐 현 사태에 편승하는것도, 그렇게 이상한 일이 아니라고 봅니다.

  • Yi Jong

    기본적으로 저는 오픈웹의 “무조건 아니오를 누르세요” 지침에 적극적으로 동의하는 바입니다. 하지만 저는 좀 다른 각도에서 이 문제의 제기가 이루어질 필요가 있다고 생각합니다.

    일단 제 생각은 금융기관이 처리해야 하는 보안의 영역이 어디까지인지가 좀 불분명하다는 것이 문제의 씨앗이라고 생각합니다. 오픈웹에서 지속적으로 주장하고 있고, 실제로도 그렇지만 사용자의 단말기와 금융기관의 시스템이 “연결”되는 부분의 보안은 https로도 충분히 처리할 수 있습니다. 뒤집어서 말하자면 연결(connection)의 보호라는 측면에서 ActiveX를 쓴 것은 선택할 수 있는 경우의 수 중 하나일 수 있습니다. 다만 충분히 안정적이고, 표준을 준수함으로써, 사용자의 선택이라는 권익과 정상적인 시장의 경쟁이라는 공익을 보호할 수 있는 다른 방법들이 있음에도 불구하고, 오로지 ActiveX만 사용한다는 것이 문제겠지요.

    그러나 사용자의 단말기가 바이러스에 걸리거나, 키로거 방식의 해킹을 당하거나 등등.. (사실 이 부분이 누구의 책임이냐는 문제가 나온다는 것 자체가 참 거시기 합니다만…)의 부분은 원론적으로 보면 금융기관이 아닌 사용자 시스템의 보안 문제이겠지요. 하지만 오지랖 넓은 우리의 금융기관들께서는 친절하게도 이런 문제까지도 금융기관의 보안 시스템이 담당해야 된다는 결론을 내리셨고(왜 그런 결론이 나왔는가는 참으로 궁금한 일입니다만..).. 이 부분에서 지속적으로 문제가 되고 있는 안티바이러스 플러그인과 키보드보안 플러그인이 등장하게 됩니다. 즉 금융기관의 입장에서는 그들이 설정한 보안이라는 범위를 처리하기 위해서는 사용자의 시스템에 root의 권한으로 접근할 수 있어야만 하는 겁니다. 우매한 대중들의 개인용 컴퓨터를 보호하기 위해 이런 조치를 취하기 위해서 한가지 장애가 더 있었으니, M$의 개발자들도 바보가 아니기에 사용자의 시스템에 무엇인가를 제멋대로 설치하려 하는데 한번쯤은 확인을 요구하게 만들었기 때문입니다. 덕분에 “무조건 예를 누르세요”의 캠페인이 나온 것이겠지요. 물론 이와 비슷한 방식으로 자사의 점유율을 높이거나 사용자를 유인하기 위해 “무조건 예를 누르세요” 캠페인에 동참해온 국내 포털이나 게임업체들도 왜곡된 웹 문화를 만들어 낸 것에 대한 책임을 피할 수는 없다고 봅니다.

    위의 본문에서 지적된대로의 문제점(좀 까칠한 지적이긴 합니다만, 분명히 문제가 있긴 합니다.) 에 대해서 “을”인 보안업체가 얼마나 큰 책임을 져야하는가에 대해서는 이렇다저렇다 얘기하기가 어렵습니다만, 이 “무조건 예를 누르세요” 캠페인은 한시라도 빨리 몰아내야 할 악습임에는 틀림없습니다. 컴맹인 저의 집사람에게 “무조건 아니요를 누르세요”를 버릇들인 이후, 윈도가 깔려있는 집의 PC를 몇년째 한번도 길아엎지 않고 사용하고 있습니다. ^^

    PS. 국X은행의 보안 플러그인들은 개인 사용자에게 무료로 제공되는 유명한 안티바이러스 프로그램인 AntiVir에서 악성 프로그램이라는 진단이 뜨면서 설치가 되지 않습니다. 흐음…

  • T. K.

    여기에도 난독증 환자들이 출몰하기 시작한 듯.

  • T. K.

    저도 Avira Antivir를 사용하는데 국민은행…짜증나 미치겠습니다. 집에서 은행이 멀지 않은 편이라 요즘은 인터넷뱅킹 대신 계좌이체를 주로 이용합니다.

    오픈웹과 여기 올라온 포스팅의 기본 취지를 파악하지 못하고 딴지를 거는 사람들이 보이네요. 독해력이 다소 의심스럽습니다.

  • Yi Jong

    재밌는 기사가 하나 올라왔습니다. 허허…

    http://www.zdnet.co.kr/ArticleView.asp?artice_id=20090310092215

    이젠 국가정보원이 ActiveX를 지워주는 서비스까지 하는 모양이네요. ^^;

  • T. K.

    병 주고 약 주는 건가요? ^^

  • http://openweb.or.kr youknowit

    은행과 보안업체 간의 관계를 “갑”과 “을”로 설명하고, 보안업체는 은행이 지시하는대로 할 수밖에 없다고 말하는 것은, 저는 동의하기 어렵습니다. 서비스 제공자인 은행은 보안에 관한 전문 지식이 없습니다. 은행이 보안업체에게 돈을 주는 이유는 서비스 설계를 어떻게 하면 보안에 도움이 되는지에 대한 전문적 조력을 받기 위해서 입니다.

    자칭 보안업체들이 지금까지 은행이 하라는 대로 그냥 해 왔다면, 국내에는 제대로 된 “보안업체”는 없었던 셈입니다. 서비스제공자가 보안을 설계하고, 안철수연구소 등의 업체는 은행의 “하청업자”에 불과하다면, 보안업체라는 간판은 내려야 합니다.

    실제로 “갑”(은행)이 “을”에게 요구한 사항은 안전하게, 그리고 효율적으로 서비스를 제공하려면 보안부분에 대한 설계와 서비스 구현을 어떻게 하면 되는지에 대한 솔루션을 구축해 달라는 것입니다.

    이 요구에 대하여 “을”이 지금까지 해온 일은, 보안 프로그램을 플러그인 방식으로 “배포”하도록 설계한 다음, 모든 고객에게 “반드시 예”하라고 지시하는 것이었습니다.

    “을”이 이렇게 하면, “갑”은 두고 두고 고객의 문의 전화와 지원(customer support) 요청에 시달리고(activeX 설치가 안된다는 문의가 은행 전산부 고객지원요청의 대부분입니다), 온 국민은 보안경고창에 무감각하게 되어, 인터넷 이용 중에 아무생각 없이 “예”를 눌러대게 됩니다.

    그 결과는 무엇입니까? 한국 인터넷 전체가 거대한 바이러스 향연장으로 변하게 되고, 전 국민이 안티바이러스 프로그램에 의존할 수 밖에 없습니다. 공무원들이 보안업체에 “매달리게” 되는 상황이 오는 것입니다. 공무원들은 지금 보안 프로그램을 걷어낼 수 없다고 생각하고 있습니다. 바이러스 유포가 심각한 지경에 이르렀다고 보기 때문입니다.

    이러한 “의존성”을 누가 만들어 냈습니까?

    “보안경고창이 나타나면 반드시 ‘예’를 선택하시기 바랍니다”라는 말을 퍼뜨린 자들이 이제 책임을 져야 합니다.

    저의 요구는 간단합니다. “보안경고창이 나타나지 않도록 서비스 구조를 설계하라”는 것입니다. 보안경고창이 뜨도록 만든 다음, 경고창이 나타나면 반드시 “예”를 누르라고 안내하는 것은, 양심과 상식이 있는 보안업체라면 도저히 해서는 안될 짓입니다.

  • http://openweb.or.kr youknowit

    약 3년 전, 오픈웹이 시작했을 무렵, 일부 선진적 개발자분들 외에는 국내에는 아무도 웹표준이 있다는 것조차 몰랐습니다. 이제는 공무원들도 웹표준을 당연히 준수해야 하는 것으로 인식하게 되었고, 모든 공공기관 웹사이트들은 앞으로 웹표준을 준수하도록 지도하고 있습니다.

    아무생각 없이, 무조건 플러그인 방식으로 서비스를 구현하고, 보안경고창이 나타나면 반드시 “예”를 누르라고 안내하는 관행은 지금까지 우리나라에서는 마치 “당연한 것”처럼 인식되어 왔습니다. 이제 이것을 바꾸고자 합니다.

    3년이 걸리지는 않을 것으로 희망합니다.

  • 손님

    아마,,, 바뀌기 힘들 것입니다.
    국사책을 보면 우리나라가 이렇게 되기까지의 과정이 잘 나와 있습니다.
    핸드폰의 위피 플랫폼이 폐지되듯 외국의 세력없이는 바뀌기가 어려울 것이라 생각합니다.
    액티브X 방식의 배포방식이 변화되려면 보안업계 시장에 외국회사가 들어와서 경쟁하게 되면 가능할 수도 있겠군요. 하지만 은행권의 보안쪽에 외국업체가 들어올 틈이 있을 지 궁금합니다.
    대한민국은 구제불능이라 생각하고 산지가 오래되었습니다. 온갖 부패, 비리로 바른 말 하는 사람을 힘들게 할 것임이 뻔합니다.
    국가 사업이 옛부터 지금까지 다 그렇습니다. 민관 이권 개입 및 결탁.
    옛부터 지금까지 대다수의 지도층, 유명인사들은 공익보다는 사익을 쫓기 바뻤죠.

  • Vokini

    국내 은행의 입장에서는 만약 잘못 이체가 되었다라는 사고나 해킹 기사가 터지게 되면 신뢰성을 중요시하는 은행의 입장에 비교적 큰 해를 끼치게 됩니다. 이러한 문제로 반강제적으로 유저에게 설치를 하지 않으면 넘어가지 않도록 하고 여러가지 보안 프로그램을 깔도록 하게 하죠. 물론 이 방법이 절대 타당하다라고 말씀드리는 것은 아닙니다.
    다만 사용자의 판단에 맞기는 설치 방식이라면 보안에 대한 책임 소지를 사용자에게 전가 할수도 있는데, 이에 대한 부분에서 또다른 문제가 발생할 수도 있을 것 같습니다.

  • 천회장

    ‘을’이 설계해 온 것이 무조건 ‘예’를 누르게 해 온 게 아니라,

    갑들이 그렇게 요청한 것이오.

    웹에서 뭐든걸 다하려니까 이런 무리수가 올 수 밖에 없음…

    문제는 사용자들도 프로그램 깔아야 하는 것에 대해

    무지하게 겁도 많고 불편하다고 생각한다는 것임.

  • Revi

    youknowit님//
    사용자의 컴퓨터에 해당 보안 프로그램이 깔려 있는지 실행되고 있는지 웹 서버에서 알 수 있는 방법이 있다면 저런 배포 방법도 좋겠군요. 방법이 없다는게 문제지만..

    일단 법개정부터 먼저하는게 좋지 않을까요? 법개정이 되지 않는 한 이런 정신이 멍해지는 일은 좋지않은 이미지만 남길듯

  • Revi

    youknowit님//
    잘못 읽었네요. 단순 배포 방법만이군요. 제가 난독증인듯 합니다. 위의 글은 지워주십시오.

  • 천회장

    컴퓨터 좀 하는 사람들에게는 단순 배포이지만,

    컴퓨터가 익숙하지 않은 분들은 단순 배포가 아니게 됩니다.

  • http://openweb.or.kr youknowit

    천회장님/
    아주 오래전 옛날에는 ActiveX로 배포하면 컴퓨터에 익숙하지 않은 분들에게도 프로그램을 설치해 줄 수 있다는 말이 맞았습니다. 그러나 이제는 이말이 옛말이 된지 오래됩니다.

    보안프로그램의 ‘배포’를 ActiveX로 할 경우, 이용자가 해야 할 “클릭 수”를 계산해 보시기 바랍니다. 첫째, 브라우저 상단에 노란 줄이 생기면 한번 클릭. 둘째, 노란 줄에서 드롭다운 메뉴가 나타나면 ‘설치’를 클릭, 셋째, 보안경고창이 창이 화면에 나타나면 또 한번 ‘설치’를 클릭. 비스타 사용자의 경우에는 관리자 암호를 입력해야하고, MS IE 의 보안설정을 낮게 유지해 두어야 합니다.

    반면에, 단순 내려받기 링크를 제공하는 경우

    • 이용자는 누가 제공하는, 무슨 프로그램을, 왜 설치하는지에 대한 정확한 정보를 가지고 설치 여부를 주체적으로 판단할 수 있고
    • 프로그램 설치 과정에 필요한 클릭수가 오히려 적으면 적었지, 많지 않고,
    • 이렇게 분명히 프로그램 제공자가 누군지, 왜 설치해야 되는지 그 이유가 사전에 미리 설명되지 않는 모든 보안경고창은 무조건 No 할 수 있게 될 뿐 아니라
    • 은행 등 서비스 제공자도 이용자의 고객지원 요청에 응대해야 할 필요가 획기적으로 줄어듭니다(ActiveX 설치가 안된다는 문의가 현재 고객지원 수요의 대부분을 차지 합니다)

    저는 아무리 봐도 플러그인 방식으로 보안 프로그램을 ‘배포’할 이유도, 명분도, 실익도, 편리함도 없다고 생각합니다. 고객에게도 불편하고, 은행에게도 번거로운(고객지원 요청이 많이 들어오는) 플러그인 방법을 굳이 선호할 유일한 세력은 바이러스를 퍼뜨리고 싶어하는 자들이라고 저는 생각합니다.

  • 지나가는이

    위에 글적은 사람입니다. 저는 개인적으로 보안 업체에서 근무를 하고 있습니다.

    국내 보안 산업에 대해서 얼마나 알고 계시는지 모르겠으나.
    국내 보안 산업? 금융기관 기업체의 하수인 맞습니다. 국내 개인 고객들로 인해서 벌어들이는 수익이 얼마나 되는지 문의라도 해보셨는지 모르겠군요. 기업체, 금융권 := “갑”, 보안업체 := “을” 이 맞습니다. 대한민국에서의 ‘갑’과 ‘을’의 관계를 모르시는 것을 보니, 과연 일을 해보셨는지 의구심이 듭니다. 갑이 요구하면 을은 무조건 들어줘야 하는 사회가 대한민국입니다. 당당하게 요구하라고요?;;

    저는 ‘김기창’ 이라는 이름으로 검색을 해보았습니다. 어떤 말을 해 오셨는지 봤습니다. 맞는 말입니다. 저 또한 MS에 의존적인 구조에 비판적이며, 영화 ‘패스워드’를 보며 통쾌해 한 한명의 IT 인입니다.
    그러나, 이와 같이 ‘을’을 갖고서 따지고 드는 것은 매우 섣불렀다고 판단됩니다. ‘독설’? 독설은 한 자 차이로 단순 욕설이 될 수 있습니다. 저 같았다면, “‘ActiveX’에 의존하는 한국의 IT 환경을 바꿔보려고 하고 있다”며, ‘안철수’ 씨를 찾아갔을 것입니다. 한 사람이라도 내 편으로 만들어야지. 이렇게 특정지어서 욕설을 내뱉는다면 억지 춘향을 만드는 것 밖에 더 되겠습니까?

    갑갑한 노릇이군요. 이제는 주워 담을 수도 없는데;

  • http://openweb.or.kr youknowit

    이 문제는 MS 의존적 환경과는 무관합니다. 파이어폭스에서도 보안프로그램을 플러그인 방식으로 ‘배포’하면 동일한 문제가 발생합니다.

    파이어폭스에서도 “보안경고창이 나타나면 ‘예’하라”고 하실 예정이십니까?

    제가 제기하는 문제는 누구를 찾아가서 개인적으로 부탁할 문제가 아닙니다.

    보안전문가라면, “반드시 ‘예’하라”고 안내하는 것이 위험하다는 것 쯤은, 제가 이렇게 블로그에 적기 여러해 전부터 훤히 알고 있을 것입니다.

    웹브라우저의 보안 설정을 이렇게 하라고 고객에게 안내하는 것이 보안에 도움이 되지 않는다는 것도 저보다 훨씬 전에 알고계시는 분입니다. 저는 최근에야 비로소 알았습니다.

  • ds1405s

    프로그램의 배포방식과 관련해서는 자동설치와 수동설치방법이 모두 제공되어야 한다고 생각합니다.
    컴퓨터 또는 인터넷에 친숙하지 못하면서 인터넷을 이용한 서비스를 이용하려는 사람들에게 가이드대로 무언가를 설치하면 그다음부터는 브라우저만을 통한 서비스 이용이 가능하도록 이끌기위해서 플러그인을 사용하는게 아닐런지요..
    안랩의 경우에도 여러가지 방법을 보유하고 있으면서 ActiveX를 통한 설치를 그 중 한가지로 제공하는것 뿐이라고 여겨집니다.

    플러그인 기술이 필요에 의해서건 또는 임시방편이건 브라우저마다 각기 다른/또는 비슷한 방법으로 지원되고 있습니다.
    당분간은 사라지지 않으리라 여겨지고요..
    단, 플러그인의 보안 문제는 전적으로 배포자에게 맡겨놓았기 때문에 이런저런 문제들이 생긴 것이겠지요.. 플러그인이 할 수 있는 일에 대한 제한이 없다는 문제와 함께..

    이용자가 보안경고창에 뜬 배포자를 믿는다면 설치하라는 얘기인데,, 원칙적으론 그 모듈이 무슨짓을 할 지 정확히 알지 못한다면 “아니오” 를 선택하는게 맞습니다.. 그런데 그렇게 되면 서비스를 이용하지 못하도록 해 놓은 서비스 프로세스의 문제가 아닐까요.

    그리고, 브라우저에서 플러그인의 설치시에는 그 모듈의 코드사인을 검증하여 설치하는데,, 이후 사용시에는 그 플러그인의 무결성을 설치시와 비교/검증하나요? IE7까지는 안하는걸로 보여지는데,,

    브라우저에도 이런 부분들이 보완되면 플러그인을 그나마 조금 더 안전하게 사용할 수 있지 않을까요.

  • AppleADay

    ‘지나가는이’라는 분이 남기신 글에 대한 코멘트입니다:
    1. 관련업계에서 일해보지 않으면 문외한이고, 김기창교수께서 하시는 비판이 탁상공론적이라고 생각하시면 업계에 직접적으로 종사하지 않는 사람들은 전혀 비판할 자격이 없다고 하시는 것인가요? 정부 운영을 해보지않은 국민들은 투표하여 정부운영에 간접적인 참여를 할 자격도 없는 가요?
    2. 안랩이 일반적인 ‘을’이라고 하시면 비약이 지나치신것이 아닌가요? 인지도나 시장점유율, 영향력으로 볼 때 대한민국에서 넘버원 컴퓨터보안업체라고 해도 지나친 표현이 아닐텐데 de facto 리더의 역할을 할 만한 위치가 아닌가요? 그리고 비록 상대적으로 ‘을’의 입장이라도 단순히 패키지 소프트웨어나 SI 장사하는 중소기업이 아닌 Solution provider나 Consultant의 입장에서 가장 바람직한 해법을 제시할 수 있는 기술적 실력과 영향력이 있어야 하는 것 아닌가요? 해당 분야에 넘버원 기업이라는 자부심이 있다면 단순히 ‘갑’이 시켰다고 주어진 요구사항대로만 서비스/제품 제공을 하면 안되지 않을까요?
    IT 서비스를 사는 입장의 ‘갑’이 가장 기술적으로 바람직한 아키텍처나 기술적 밑그림을 그려주고 ‘이대로만 해!’라고 요구하는 경우가 있나요? 그렇게 했다가 성공한 프로젝트가 있었나요?
    3. 본 이슈에 대해 한 명이라도 더 동지를 만들어야 한다는 말씀은 공감합니다. 그러나 위 글의 요지는 리더의 위치에 있는 안랩조차도 잘못된 방식인데도 불구하고 기술적 지식이 없는 갑들의 요구에 맹목적으로 따라가고 현실과의 타협을 한 진정한 이유에 대한 입장표명을 요구한 것이라 생각합니다. 어쩌면 님이 하신 말씀이 옳은지도 모릅니다. 안랩과의 미팅을 통해서 보다 긍정적인 길이 열릴수도 있겠지요.

  • Yi Jong

    어쩌다보니 이 문제가 갑/을의 문제로 옮겨가는 것 같아서 한마디 말을 보태봅니다.

    - 갑이 XX하게 해달라고 한다고 해서 “전문가”들이 그냥 “네~”하고 그대로 해주는 것은 일종의 직무유기일 수도 있습니다. 맹장염에 걸린 환자가 “그냥 약만 발라주세요”한다고 돌팔이가 아닌 이상 의사가 “네~”하고 빨간약만 발라주지는 않겠지요..?
    - 우리나라 IT업계의 갑/을의 특성상 갑이 그렇게 요구한다면 어쩔 수 없는 면이 있다는 것은 저도 인정하는 바입니다. 그렇다면 갑에게 보안의 측면에서 더 좋은 방법이 있음을 설득하기 위해 노력했는가..의 문제가 있겠지요. 약만 발라달라는 맹장염 환자라고 할지라도 의사는 수술이 필요하다는 것을 설득해야 됩니다. 웬만한 환자라면 의사가 설득하는대로 따라가는 게 일반적이라고 생각됩니다만…
    - 만약 열심히 노력했으나 갑이 끝까지 박박 우겨서 현재의 시스템이 나온 것이라면 그냥 있는 그대로 “갑이 우겨서 그렇게 되었다”라고 말하면 됩니다. 그리고 원래 주제인 보안의 측면에서 플러그인 vs. 다운로드 후 설치 중 어떤 것이 더 바람직한지에 대해 입장을 밝히면 됩니다.(물론 그러고나서 시스템을 개선하면 되겠지요.)

    제 경험에 비추어볼 때, 우리나라의 갑이 기술적으로 상세한 지침을 내려주는 경우는 상당히 드뭅니다. (만약 금융기관의 보안시스템 구축 사업이 이 “드문 경우”에 속한다면 위의 세번째 케이스에 해당될 것입니다.) 그렇다면 문제가 되고 있는 “무조건 예를 누르세요” 캠페인은 얼마가 될지는 모르나 “을”이 상당 부분 책임이 있다는 얘기 밖에 안되겠지요.

    PS. 국내의 모 은행에서는 ActiveX를 설치하면 자사의 웹사이트를 “신뢰할 수 있는 사이트”에 등록시켜버리는 만행을 저지르기도 합니다. 보안…?? 한숨만 나옵니다.

  • T. K.

    음, 욕설로 비칠 만한 표현이 있었는지도 의문입니다.

  • http://www.dynasys.kr 최준열

    저는 분당에 있는 리눅스 사업자입니다. 개인용 운영체제를 만들고 있지요.

    저도 국내 웹의 ActiveX 의존성 문제에 대해서는 관심이 많은 편인데 안철수 연구소의 답변에도 공감이 가는 부분이 있다고 생각됩니다.

    ‘익스플로러 설정으로 가서 ActiveX 관련 설정을 전부 enable하라’는 식으로 유저를 안내하는 국내 관행은 정말 세계적으로도 유례가 없는 무식한 행태이지만 안철수 연구소가 ‘을’에 해당되며 ‘갑’의 요구를 무시할 수 없는 것도 fact 아닌가요…

    안철수 연구소가 우물한 개구리인지 아닌지는 소비자가 판단할 문제이고 ‘그렇다면 ‘갑’에서 반드시 ActiveX로 배포해달라고 제약조건을 걸었단 말입니까?’라는 쪽으로 대화의 흐름이 바뀌는 게 맞는 것 같네요…

  • 천회장

    갑/을 문제를 직시하셔야 합니다.

    제 아무리 큰 회사라의 솔루션이라도
    사이트에 들어갈 때 갑의 요구에 따라 커스터마이징해야 하는게 현재 IT업계 상황입니다.

    오라클, 윈도우 이 정도로 울며 겨자먹기로 사용해야 하는 툴이라면 모를까…

    youknowit 님이 제시하신 3가지 장점도 전혀 수긍이 안 갑니다.
    클릭 수 이야기는 다운로드 해서 설치하는 방식이 클릭 수가 더 많을 수도 있습니다.
    최소한 다운로드 파일이 어디있는지 페이지로 들어가야 하며, 다운로드 후 실행파일 더블클릭 해 줘야 하고, 그 이후는 어디에 저장해야할 지 지정해줘야하고…

    고객응대 부분도 ActiveX로 설치하면 안 되는 사용자들에게 안내를 해 주면 되겠지만, 다운로드로 하면 설치하고자 하는 사용자들에게 안내를 해 줘야 할지도 모릅니다.
    어느 쪽이 많을지는 알 수가 없는 것이죠.
    저는 오히려 후자가 많아질거라고 생각합니다.

    원래 보안이라는게 편리성하고 상반되는 개념입니다.
    당연 보안회사에서는 좀 불편하더라도 보안되는 쪽을 선호하죠.
    최초에 설계도 다 그렇게 해서 프로그램 짜고…
    하지만 이걸 현장으로 들고가면, 갑들은 고객의 불편함을 미리 걱정해서 좀 덜 보안되도 좋으니까 편하게 해달라고 요청을 하는 겁니다.

    애시당초 ActiveX라는게 그 사이트 컨텐츠를 사용하고자 함이 목적인데,
    ‘No’를 누르세요. 하면 컨텐츠 사용이 가능할까요?
    무조건 ‘No’를 누르신 후 다운로드 하여 설치하여 주시기 바랍니다, 라고 안내를 하면 소비자들은 반응은 어떨까요?

    저도 ActiveX를 사용한 사이트 이용하는 것을 매우 싫어합니다.
    단지, ActiveX에 대한 모든 책임을 보안 업체가 짊어져야 한다는 투 진행되는지 잘 모르겠습니다.

    AppleADay //
    SI 한 번 해 보시길 추천합니다.
    특히나 관공서 밑에서..

  • 후시기바나

    “그 사이트의 컨텐츠를 사용하기 위해서 ActiveX를 깔아야 하는” 현실이 이미 문제가 있는 것이라고 생각합니다. 동영상 스트리밍 같은 분야를 제외하면 플러그인 없이 XHTML+CSS+Javascript 만으로도 충분히 가능해야 하고 만약 그게 안되는 서비스라면 플러그인이 아니라 따로 독립된 프로그램을 만드는게 맞다고 생각합니다.

    ActiveX에 대한 모든 책임이 온전히 보안 업체가 짊어져야 한다는 것은 아니고, 본문도 적어도 그렇게 보이지는 않습니다. 다만, http://openweb.or.kr/tmp/2009/03/all_ok.png 와 같은 안내는 거의 확실히 보안업체의 책임이 맞다고 생각합니다.

  • 천회장

    “XHTML+CSS+Javascript 만으로도 충분히 가능해야 하고 만약 그게 안되는 서비스라면 플러그인이 아니라 따로 독립된 프로그램을 만드는게”

    <- 보안업체의 힘으로 가능하다고 생각하시는지요?

  • ds1405s

    스크립트에 안전하다는 인터페이스를 구현하고 코드사인을 하는것은 상업적으로 배포하는 컨트롤에는 대부분(전부?) 적용되고 있다고 여겨지는데,, 그런 것들만으로는 ActiveX 또는 플러그인의 보안상 문제가 해결되지 않지만요.

    그런데 저렇게 모든 옵션을 ‘사용’으로 설정하라고 가이드를 하는 곳이 있나요?
    테스트용으로 만들었거나 코드사인용 인증서 비용이 아깝다면 모르겠지만,,

  • T. K.

    천회장// 보안업체 힘으로 안된다고 생각하신다면 관련 실상을 좀더 소상히 밝혀주시기 바랍니다. 저 같은 사람도 실상파악좀 제대로 하도록 말입니다.

  • 천회장

    T.K. //

    짧은 경력으로 말씀드리자면,
    고객들은 대부분의 어플리케이션이 웹에서 돌아가길 원합니다.

    이게 웹에서만 돌아가느냐,
    그것도 아니고 원래 어플도 만들어주고, 같은 기능으로 웹에서 돌아가는 버전도 만들어주고 이걸 원하죠.

    왜냐면 프로그램 따로 안 깔고, 익스플로러만 있으면 되기 때문에… 라는 이유로..
    그럼 왜 그런게 필요한가,
    연로하신 고객사의 임직원들이 프로그램 설치하려면 복잡하다.. 라는 이유도 있고,
    일반인 대상으로 서비스하는 업체라면 일반인들의 접근성에 대한 이유도 있고…

    일반 어플이 IE에서 돌아가려면 ActiveX 외에 다른 방법이 있는지는 잘 모르겠습니다.
    대부분 짧은 기간에 그것도 ‘익스에서도 돌아가면 좋겠다’라고 한마디 툭 던지는 것으로 갑은 끝이죠.
    개발자는 비슷한 모듈 2벌 만들어야 하는 것이고…

    인터넷뱅킹할 때 은행권은 익스창 하나에서 돌아가길 원하지,
    프로그램 별도로 깔아서 따로 돌리고 이런걸 원하지 않습니다.
    (증권쪽은 워낙 복잡해서 HTS같은거 따로 설치하지만요)

    PKI로 암복호화된 사이트에서 Back 버튼 되는 것,
    이것도 따지고 보면 보안상 문제점입니다.
    데이터 암복호화한 키는 페이지 한 번 쓰고 버려야 한다는게 제 생각이거든요.
    하지만 Back 버튼 안 되면 불편하니, 이거에 대한 해결책을 요구해옵니다.
    결국은 키를 어딘가에 저장할 수 밖에 없고,
    적절히 구현해 오면 또 이 키가 누출되면 어캐할래? 이러는게 ‘갑’들이죠.

    일련의 요청을 보안상의 이유로 거부한다면,
    그래? 그럼 다른업체 알아봅시다… 이러면 뭐라 할 말 있나요.
    보안 시장이 그리 큰 것도 아니고,
    회사들도 먹고 살아야하니 요구사항 될 수 있는한 맞춰줄 수 밖에 없다고 봅니다.

    결국은 ‘갑’부터 바뀌지 않으면 아무 것도 되지 않을거라 봅니다.

  • http://openweb.or.kr youknowit

    천회장님/ 그래서 제가 안철수 연구소에 공개 질의를 하는 것입니다. 선도적 업체가 정직하게 보안 기술의 내막을 설명하면, 이 사태는 애초에 시작하지도 않았을 것입니다.

    중소 업체들이, 천회장님이 설명하신 상황때문에, “양심이고 워고 다 팽겨치고” 돈벌이에 급급했다는 변명은 부끄러울 망정, 이해는 됩니다. 그러나 선도 업체조차도 “갑이 하라는대로 했다”는 변명이나 하고 있으면, 그것이 “보안업체”입니까?

  • AppleADay

    갑,을 입장을 모두 해본 사람으로서 몇 가지 말씀드리면,
    1. 을이 조금 말 안들으면 업체 금방이라도 바꿀것같이 으름짱 놓는다고 다 협박을 실행하지는 않지요. 왜냐, 업체 수시로 바꿨다가는 자기들도 힘들어지니까 (그렇게 프로젝트 하는 사람들은 개념없는 매니저들이고, 그렇게 프로젝트 운영하면 결과가 좋을 수가 없지요. 그리고 갑들 중에서 실력있는 전문 Architect나 보안전문가가 있는 경우가 몇 이나 있나요? 그런 사람들은 대형 IT업체에서 일해야겠죠). 그리고 업체를 선택을 했을때에는 심사숙고 끝에 자기들에게도 가장 유리한 조건이라고 판단해서 한 것이기 때문에 자기보다 낮은 을이라고 해도 함부로 노비다루듯이 할수도 하지도 않습니다 (적어도 프로젝트를 좀 해보고 기본이 된 실무자들이라면. 관공서는 좀 막무가내라는 말을 들었습니다. 그런데 요즘은 정부사이트와 온라인 사이트도 변하는데 은행이 더 낙후된거 아닌가요?). 물론 어느 나라나 갑의 고자세는 을이 참고 감수해야 하는 것이 현실이지요 (예를 들어 미국 갑이라고 더 합리적인가요? 천만에 말씀이지요) . 한국의 수퍼갑의 횡포는 정말 개탄할 현실이기는 하나 안랩은 현실 탓만 하고 있을 수준의 업체 이상이라고 생각합니다. 그렇지 않다면 #1이라는 주장을 접어야지요.
    2. 위 글은 보안업계 전체를 탓하고 있는 것도 아니고, 그 업계 종사자들에게 책임을 뒤집어 씌우는 것도 아니라고 생각합니다 (힘들게 일하는 불쌍한 을에게 왜 그런짓을 합니까?) 단지 안랩의 경우는 시장에서의 위치가 일반적인 군소업체와 다르기 때문에 이슈 제기가 된 것 아닌가요?
    3. 논외이긴 하지만 MS OS자체의 보안 부실이 작금의 문제에 큰 기여를 했다고 개인적으로 생각합니다. 면역력과 자기방어의 능력이 없는 면역결핍증 환자를 보는 느낌이라고 할까요? 조물주가 “너의 몸은 면역능력이 없으니 약국에 가서 약 사먹으면서 버텨”라고 하는 것과 비슷하다고 할까요. 인터넷이 없던 시절의 OS의 개념이 아직도 이어지는 것 같다는 느낌입니다. 개인적으로 OS업체의 “병원과 약은 알아서 골라 사용해”라는 주의가 좀 이상하다고 생각합니다. 예로 Vista 보안이 좋아졌다고 MS가 주장하나 PC살때 3rd party security software가 안 딸려오는 경우가 있나요?
    4. 갑도 언젠가는 깨달음을 얻고 바뀌겠지요. 그렇게 ‘철통같은’ 보안 툴을 이용하셔서 사용자를 보호하겠다고 했는데 결국 은행사이트 해킹당하는 사건은 늘 보도되고 있으니까요 (보도 안되고 넘어가는 것은 얼마나 될지?). 아무리 최신 자물쇠를 정문에 많이 달아도 뒷문이 훤히 열려있는 상황에서 은행이 사용자 PC의 보안을 100%책임질수도, 지려고 하지도 않지요. 한국과 같은 방식으로 internet banking/commerce를 하지 않는 나라들은 다 바보가 아니겠지요. 실제로 해킹사고 건수의 전세계적 통계를 비교해볼 때 한국내의 사고율이 현저히 작다면 지금의 방식에 대해 할말 없겠지만 과연 그런가요? 그러한 논리로 안랩과 기타 보안업체들은 갑에게 좀 더 어필할 수 있지 않았을까요?

  • Consumer

    복잡한건 모르겠습니다. 알지만 언급할 필요가 없을거 같습니다. 저는 정직하게 “정식 가격을 지불하고” Norton 360 V2 를 사서 사용하고 있습니다. 그런데 왜 인터넷 뱅킹 때문에 다양한 백신들을 강제로 “중복해서” 설치해야 하는지가 의문입니다. 그렇게 공짜로 깔리는 백신, 파이어월 이 돈주고 산 것보다 훨씬 좋다면 수긍하겠습니다만…
    인터넷 뱅킹 덕분에 부모님은 뭔지 모를 모든 active-x 설치 에 대해서 “예” 를 누르고 계십니다. 그래서 집에 갈 때마다 다 뒤져서 이상한 것들 지워드리고 있습니다. 이게 진짜 그렇게 안전한 환경인가요?
    경비업체에 집의 경비를 맡겼더니 경비업체에서 “우리 직원이 언제 갑자기 불시 점검 갈지 모르니 대문은 항상 열어놓고 다니세요” 라고 하는거랑 뭐가 다른지 모르겠네요.

  • 지나가는사람

    다시 글을 씁니다.

    제가 원하는 결론은 이겁니다. 국내 ActiveX의 이용 관행은 단순 보안 업체를 질책하는 것으로 해결되는 것이 아니라, ‘갑’ 업체들의 반성과 함께 정부의 정책적인 차원에서 추진이 이뤄져야 하는 문제입니다. 그래서, 이번 공개 질의가 섣불렀다고 생각하는 것이고, 이러한 국내 IT 현실 개선을 위한 동반자로 끌고 나갔어야 했다는 얘기입니다.

    물론 안철수연구소라는 곳이 국내 보안 업계의 위상이 나름 있을 것이라고 생각합니다. 하지만, 현실이라는 문제는 실제 접해보지 않으면 모르는 문제입니다. 네이버의 주요 보안 카페인 ‘바이러스 시즌 2 제로’ 에만 가서 보십시요. 일반 무료 개인 고객들도 ‘갑’ 으로써 얼마나 위압적인 자세를 취하는지를요. 국내 보안 현실에서 보안 제품의 전환 비용? 거의 안듭니다. A 라는 업체를 이용하다가 B 업체로 바꾸는 것 말입니다. 워드나 한글처럼 사내 표준 서식을 정해놓는 경우는 어쩔 수 없이 전환비용이 크죠. 하지만, 보안 제품은 지우고 새로 깔면 그것으로 끝입니다. 기업체? 기업체들이 BMT를 할 때에 국내의 제품과 해외 유명 백신 제품을 서로 경쟁시킵니다. 과연 국내 제품이 내놓을 수 있는 카드가 무엇일까요? 저자세입니다. 보안 컨설팅은 누구나 할 수는 있지만, ‘갑’이 요구를 한다면 ‘을’은 거기에 따를 수밖에 없습니다. 대한민국의 관료 문화를 보십시다. 기존에 잘 돌아가는 시스템을 바꾸는 사람 있습니까? 구식 터미널 방식을 여전히 이용하는 금융권을 보십시요. 누구도 책임지기 싫어하고, 변화를 싫어합니다. 이런 현실에서 ‘을’이 일을 만드는 요구를 한다면 과연 ‘갑’이 들어줄까요?ㅎ

    • http://llsuksll.egloos.com NaughtyL

      말씀하신 “갑업체들의 반성과 함께 정부의 정책적인 차원에서 추진이 이루어” 지기 위해서 안랩에게 면죄의 기회를 주는 겁니다. 우리탓이 아니고 갑의 탓이라고 소명할 기회를 말이죠.

  • 지나가는사람

    저는 ‘김기창’님께서 궁극적으로 바라는 바가 무엇인지 짐작할 수 있고, 공감하고 있습니다. 저 또한 동참하고 싶은 마음입니다.

    다만, 안랩이든, 하우리든 적이 아닌 조력자로 끌어 들이고, 정책 개선, 대기업/금융권의 문화 개선을 목표로 하셨으면 싶습니다.

  • Yi Jong

    지나가는사람 //
    지금 오픈웹에서 제기되고 있는 문제가 피아식별을 위한 것이라고는 생각하지 않습니다. 말씀하신 것처럼 더 많은 동참을 이끌어내기 위해서라도 문제점은 분명하게 짚고 넘어가야 하지 않을까요..?

    말씀하신 갑/을 관계.. 저도 20년 넘게 그 구조 속에서 때로는 갑으로 때로는 을로 엎치락뒤치락 살아왔습니다만, 제 생각에는 우리나라의 이미 오염된 IT 환경에서 깨끗한 것과 깨끗하지 않은 것을 구별한다는 것 자체가 무의미한 일입니다. 적이냐 아군이냐가 아니라 문제점이 있다면 문제점을 해결함으로써 깨끗한 영역을 점점 넓혀나가야 하는 것이 아닌가 싶습니다.

  • opensource-sfㄴ

    블로터닷넷이랑,
    http://news.naver.com/main/read.nhn?mode=LSD&oid=293&aid=0000002563
    ,
    디지털데일리,
    http://news.naver.com/main/read.nhn?mode=LSD&oid=138&aid=0001951260
    에 뜨셨네요.
    .
    액티브-x는,
    정부 사이트랑, 은행, 쇼핑몰 등이,
    주축이죠.
    .
    1.정부 사이트부터 바꾸면, 은행도 점차적으로 바뀌겠죠.
    .
    Mac, 리눅스에서도,
    정부 사이트랑, 전자거래할 수 있는 날이 오려면,
    좀 더 기다려야겠죠.
    .
    2.금감원이던가, 금융위던가,
    공인인증서 관련 문제부터 해결하셔야 할 듯.
    http://news.naver.com/main/read.nhn?mode=LSD&oid=030&aid=0000195649
    .
    프로그램의 문제가 아니라,
    정책 상의 문제겠죠.
    .
    3.학교 컴퓨터부터, 리눅스랑 맥으로 바꿔야죠.
    .
    대다수의 국민들은,
    ms 윈도우 밖에 쓸 줄 모릅니다.

  • 천회장

    안철수 연구소 매출액을 잘 몰라서 그렇지만,

    아무리 그래도 고객의 요구에 대해서 보안상 절대 불가하다라고 배쨀 수 있을 만큼의 회사는 아니라고 생각합니다.
    유명하지만 압도적인 1등은 아니거든요.
    <- 어차피 이 부분에서 서로 차이가 나니,
    의견에 대한 입장을 좁히기가 쉽지 않을 것 같네요.

    그리고, 갑/을 관계로 일하면 무조건 을이 불리할 수 밖에 없다는건
    누구나 다 아는 것 아닙니까?
    계약서도 안 쓰고 프로젝트 끝내는 경우도 있는데,
    꼬투리 하나만 잡혀도 돈 제 때 못 받거나,
    갑에게 유리할 수 밖에 없는 계약서로
    패널티 어쩌고 하면 당당할 을이 얼마나 있을지 모르겠네요.

  • VongZa

    천회장님//
    갑/을 관계에서 을이 무조건 불리할 수 밖에 없다는 말씀에는 동의합니다. 하지만, 오픈웹에서 안연구소에 공개질의를 해서 이야기하고자 하는 것은, 갑이 보안에 문제가 있는 것을 잘몰라서든, 아니면 일부러든 “플러그인 방식으로 배포하게 만들어 달라”라고 하더라도, 상대적으로 보안전문집단인 안연구소가 “그런 방식은 이런저런 이유로 보안상 문제점이 있다”라고 이야기는 해야한다는 것이 아닌지요? 갑의 잘못된 생각을 막지는 못하더라도 전문가의 입장에서 충분히 설명은 해주어야 한다는 것입니다. 만약 그래도 갑이 플러그인 방식으로 해달라고 했다면, 안연구소는 “우리는 충분히 설명을 했지만, 갑이 그것을 알고도 플러그인 배포 방식으로 해달라고 했다”라고 이야기를 하면 더이상 안연구소와 이야기 할 것은 없는거죠. 아무소리 안하고 시키는 대로 했다거나, 갑은 별 이야기 없었지만, 단지 편의성 때문에 플러그인 방식으로 개발했다면 안연구소는 보안회사로서의 자격이 없는 것이구요.

  • 지나가는사람

    야근 하다가 시간을 내어 한자 더 적어 봅니다.

    1) ———————————————
    더 많은 동참을 이끌어내기 위해서라도 문제점은 분명하게 짚고 넘어가야 하지 않을까요..?
    ———————————————–
    >> 답변 : 공개 질의의 본질적인 의도는 저도 동감하고 모두들 수긍하는 부분이라고 믿고 있습니다. 확실히 공개 질의를 던짐으로 인해 큰 이슈가 된 것은 맞습니다. 다만, 지금의 질의가 진짜 원인을 제쳐두고 ‘갑/을’ 논쟁을 하게 만들기 때문에 아깝다는 이야기 입니다. 실제 원인인 ‘제기능을 못하는 (구)정통부 / KISA / 그리고 NSRI’ 등의 정부 기관에 문제가 있으며, 한국 경제 구조에서의 지배적인 ‘갑/을’ 구조에 초점을 맞췄어야 했다는 것이 저의 주장입니다.

    2) ———————————————
    적이냐 아군이냐가 아니라 문제점이 있다면 문제점을 해결함으로써 깨끗한 영역을 점점 넓혀나가야 하는 것이 아닌가 싶습니다.
    ———————————————–
    >> 답변 : 우리나라는 이상한 논리가 지배하는 나라입니다. “너무 치우치지도 말고 가운데”, “좌익도 우익도 아닌” 뭐 그런 논리 말입니다. 문제가 있고, 문제의 원인이 되는 상대가 있다면 적이 생기게 마련입니다.
    국내 IT의 환경에 지배적인 기관이 (구)정통부, KISA 입니다. 이런 기관에서 손 놓고 있고, 금융 기관이 자기 편의대로 ActiveX 방식을 채택하고 있는 상황입니다. 국내 보안 업체의 책임을 눈감아주자는 논리가 아니라 근본적인 해결을 위해서 힘을 모아야 한다는 말이였습니다.

    3) ———————————————
    아무소리 안하고 시키는 대로 했다거나, 갑은 별 이야기 없었지만, 단지 편의성 때문에 플러그인 방식으로 개발했다
    ———————————————–
    >> 사업을 따오는 것은 영업이고, 실제 개발은 개발자들이 할 것이고, 프로젝트 회의를 하면 ‘갑’ 업체에서 요구사항들을 제시하고, 양측 의견이 분분할 것입니다. 그렇지 않나요? 과연 누가 ‘보안 문제에 대해서 거론을 안했었다’라고 장담을 하실 수 있습니까?

    우리 스스로 알 수 없는 일에 초점을 맞춰 논쟁을 하지 말고, 오히려 전문가적인 개선 방법에 대해서 자문을 구해서 정책적인 개선을 요구하는 방향으로 가자고 의견 드립니다.

  • Yi Jong

    저 역시 갑/을 논쟁은 이 사안에 관한 한 큰 의미를 가지고 있지 않다고 생각합니다. 논의의 촛점이 자꾸 엉뚱한 곳에 맞춰지는 것 같다는 생각이 드는군요.

    지나가는사람//
    말씀하신대로 (구)정통부나 KISA, NSRI 등의 책임이 크다는 것은 저도 충분히 인정하는 것입니다만, 그렇다고 해서 그들에게 모든 책임이 있다는 것은 아니라고 봅니다. 이미 말씀드렸던 것처럼 관행 혹은 (비정상적인) 영업이라는 업계 스스로의 불합리성도 커다란 책임이 있습니다.

    문제가 있는 지점에서 개선이 이루어지지 않고 단지 상황 탓, 갑 탓만 하고 있다면 무슨 변화가 일어나겠습니까. 양비론이 무용지물인 이유는 “그래 둘다 잘 못했으니 덮고 넘어가자~”로 흐르기 때문입니다. 이 논의에서도 마찬가지라고 생각합니다.

  • VongZa

    웹 접근성, 표준웹을 주제로 100분 토론 같은데 다 함께 모여서 이야기 한번 했으면 좋겠습니다. 오픈웹, 보안업체, 은행, 금결원, 금감원 정도 모이면 될까요? ^^

  • AppleADay

    처음에는 갑을논쟁이 아니었죠. 안철수연구소에서 갑을관계를 탓하며 논지에서 벗어나려고(misdirection) 하기전까지는.. 또한 을의 입장을 옹호하신 분들도 안랩이 갑의 압력때문에 어쩔수 없이 그런 구현방식을 선택한 일종의 피해자라고 추정하셨는데 (왜 을이 항상 피해자라고 반사적으로 추정을 해야하나요?), 정황으로 봐서는 오픈웹에서 주장하는데로 고의성이 보인다고 생각합니다. 설사 규정을 잘못 이해했거나 갑의 압력에 굴복했다고 하더라도 불법행위를 묵과하거나 동조한 것은 여전히 심각한 중과실 아닌가요? 소비자와 감시기관 그리고 법령을 물로 보고 제멋대로 de facto standard를 만들어 버려 나라 전체가 영향을 받았는데 (그 결정의 주체가 갑/을/병/정 누구던간에), 그 의도가 무엇이던간에 책임소재는 밝히고 넘어가야 하지 않을까 생각합니다. 불완전하기는 해도 관련규정이 버젓이 존재하는데도 불구하고 무시해버린 점은 “누구 책임이라고 따지지 말고 앞으로 잘해보자” 정도로 넘어가기에는 왠지 개운하지도 않을 뿐더러 좋지 않은 선례를 남길 것 같다는 생각입니다. 그리고 무엇보다도 이러한 압박이 없으면 변화는 계속 뒷전으로 밀리게 될 것이라 생각합니다.

    그런데 개인적으로는 보안 업체들의 깊은 음모라기보다는 사리사욕에 “별생각 없이 한 결정”이라는 느낌이 드네요 (은행 측과 말도 안 맞췄고, 답변의 성급함과 어설픈 점, 그리고 수동적인 자세로 볼 때). 프로젝트 계획/실행시 장기적으로 큰 여파를 줄 수 있는 결정을 귀차니즘 때문에, 또는 당장 좋자고 별 생각없이 하는 것을 너무 많이 봐서 그런 느낌이 듭니다. 한 사람이 먼저 하면 생각없이 따라하는 한국인의 근성도 문제에 큰 기여한 것 같습니다.

  • http://snowall.tistory.com snowall

    VongZa //그런 토론이 있으면, 보안업체, 은행, 금결원, 금감원, 이렇게 넷이서 책임 떠넘기기를 할 것 같습니다.

  • VongZa

    snowall님// 안그래도 그런 결과가 뻔히 보이긴 합니다만, 재미있을 거 같잖아요? ^^;;;;

  • opensource-sf

    MS윈도라는 마약, 이제는 벗어나야
    http://news.naver.com/main/read.nhn?mode=LSD&oid=031&aid=0000100374
    ,
    뻔뻔한 전자정부
    우리나라의 전자정부 사이트(www.korea.go.kr)는 어떨까?
    ,
    미국에서도,
    맥 OS를 쓰건 접근이 가능하다. 리눅스도 사용할 수 있다.
    ,
    정부 홈페이지들부터,
    고쳐야~!!!

  • 천회장

    IE 에서 ActiveX 사용하는게 불법이라는 말까지 나오는군요.

    ActiveX 사용하지 않고,
    모듈 사용할 수 있는 방법이 있습니까?

    OBJECT Tag 사용시 Yes/No 창 안 나오게 하는 방법이 있습니까?
    (있다면 글쓴 분이 의도하신 바대로,
    다운로드 유도한다는데 저도 찬성합니다)

    보안업체의 사리사욕…
    제가 말씀드렸지만, 보안회사가 보안상 불리하다고 해도
    갑측에서 사용자가 불편할까봐 요청한다니까요.

    IE에서 Client 쪽을 다루기위해 ActiveX를 사용하는게
    한국인의 근성과도 연관있는 일인지도 몰랐네요.

    ActiveX가 악의축처럼 말씀하시지만,
    그 자체는 좋은 기술이라고 봅니다.
    악용하는 세력이 있어서 그렇지.

  • http://openweb.or.kr youknowit

    사용하는 것이 불법이 아니라, “사용을 강제”하는 것이 불법입니다.

    원하는 분들께서 자발적으로 사용하는 것을 누가 뭐라고 하겠습니까?

  • 나그네.

    저는 보안관계사 직원도 아니며 금융권 관계자도 아닙니다만 보안관련된 일을 오랫동안 하고 있는 사람입니다.. 그런데, 필자의 글이 너무 극단적이고 일부 잘못된 것 같다는 생각이 들어 몇글 남깁니다.

    첫째, 플러그인 형태로 프로그램을 배포할 경우, “보안경고창이 나타나면 반드시 “예”를 누르라”고 안내하지 않을 수 없습니다. 고객에게 “보안경고창이 나타나면 반드시 ‘예’를 누르라”고 안내하는 것이 바이러스 확산 방지에 도움이 된다고 생각하십니까, 바이러스 확산에 도움이 된다고 생각하십니까?

    둘째, 플러그인 형태로 프로그램을 배포하면, 이용자는 그것이 “악성” 인지, “보안용” 인지를 판별하여 ‘예’와 ‘아니오’를 매번 100% 정확하게 선택해야 합니다. 그럴 능력이 있는 이용자가 있다고 생각하십니까?

    –> 저도 개인적으로 배포의 문제는 자세한 설명을 곁들인 링크방식으로 변경되는 것이 바람직하다는 것에 동의합니다.
    그러나, 링크방식과 다운로드 되는 프로그램의 안전성의 여부를 1:1로 매핑하는 것은 지나친 비약으로 생각되네요.
    필자와 같은 방식으로 질문하자면,
    링크로 설치 프로그램을 다운로드 하게 하고 무조건 그 링크를 신뢰하고 그 프로그램을 “설치” 하는 것은 100% 안전하다고 생각하십니까?
    일반 고객들은 그 링크가 보안용인지 정확히 판단해서 “설치” 하는 것일까요?
    링크로 실행되는 수많은 프로그램 중 악성코드가 포함된 것들이 얼마나 많은지는 알고 계십니까?

    설치에 의한 바이러스 확산을 우려하신 것이라면, 설치의 형태만으로 안전성을 논하는 것은 바람직하지 않아 보입니다.
    그것은 링크방식이건 플러그인 방식이건 중요한 것이 아닙니다. 그런 확산의 의미에서라면 아무것도 설치되어서는 안되는 것이 아닐지요?

    넷째, 안티 바이러스 프로그램과 개인 방화벽의 경우에는 ‘배포’는 물론, ‘실행’조차도 플러그인 방식을 선택할 이유가 없습니다. 플러그인 방식으로 이런 프로그램들을 실행하면, 특정 사이트(금융거래 사이트)에 접속해 있는 동안만 실행되고, 그 사이트를 벗어나면 종료됩니다. 안철수 연구소 스스로도, “실시간 감시기능을 켜두는 습관이 필수적이다“라고 안내하고 있지 않습니까?

    –> 아, 이건 정말 사용자 입장에서는 반대입니다.
    고객은 그 사이트를 이용하기 위해서 특정 프로그램을 24시간 켜 두기를 원하지 않을 수 있습니다.
    나는 노턴을 쓰고 싶은데, 인터넷 뱅킹을 위해서 안철수연구소 V3 를 24시간 같이 켜 두어야 되는 건가요?
    PC 는 개인의 소유입니다. 개인은 금융거래를 위해 인터넷 사이트를 방문한 것이고 금융거래중에 안전을 보장받고 싶은것이지 금융사이트로부터 24시간 보안 서비스를 받고 싶은 것은 아닙니다. PC 소유자에 대한 월권이며, 오히려 PC 사용자의 권리침해라는 생각은 안해보셨는지요?
    예전에 비슷한 사례로 현재 인터넷 뱅킹의 개인 PC 보안쪽의 최고 점유율을 자랑하는 X 사가 보안 프로그램을 24시간 서비스로 상주시켰다가 네티즌의 많은 항의를 받은 사례가 있는데, 이건 어떻게 생각하시는지요?
    단지, 해당 프로그램이 적절치 못하고 유용하지 못했기 때문일까요??

    실시간 감시기능을 켜놓아야 한다는 것은 ActiveX 나 온라인 제품보다는 패키지 제품이 주력인 안철수연구소가 24시간 PC보안을 위해 제품을 설치하기 원하는 패키지 제품 사용자에게 말했을 법한 내용이지요, 중간 토막만 잘라내서 온라인 서비스에 이 논리를 대는 것은 좀 아니네요.

    다섯째, “보안경고창이 나타나면 반드시 예를 누르라”는 지시가 반복되는 국내의 사태에 대하여, 보안에 대한 전문지식이 있다는 귀사가 그동안 침묵, 동조, 조장한 이유는 무엇입니까?

    일단 침묵/동조는 있을 수 있겠군요. 그러나 조장은 좀 어불성설이네요. 안철수연구소가 온라인 보안 프로그램 부분에서 시장점유율은 빈약한 것으로 알고 있습니다.
    안철수연구소는 패키지 제품이 주력제품이에요.
    물론 온라인 서비스를 제공하고 있는 금융 사이트가 몇 군데 있으니, 보안업체 대표주자인 너네가 도의적인 책임을 다 지고 해명해라 라고 억지쓸수는 있겠지요. 그러나 이 논리는 왠지 보안업계에서의 안철수연구소의 유명세를 이용해서 오픈웹이 선전하는 것으로밖에 생각이 안되네요.

    인터넷 뱅킹시에 ActiveX/플러그인 기술을 사용하기 시작한 것은 PKI 업체들이 먼저이구요. 인터넷 뱅킹시에 기타 보안소프트웨어들의 배포/실행이 ActiveX/플러그인 기술이 된 것은
    기존 방식을 따라 답습하다 보니 그렇게 된 것으로 치더라도,
    엄청난 법적/기술적 히스토리로 복잡한 이 이슈에 대해서 해당부분에서는 시장점유율도 별로고 후발주자인 안철수연구소가 이 복잡한 이슈에 대해서 총대를 메고 해명해야 한다고 판단하시는 근거는 무었이었는지가 궁금하네요. ^^

    웹 표준을 준수하고자 하는 노력과 현재 국내 금융서비스들의 문제는 많은 개선점이 필요한 것은 사실입니다.
    그러나 이 문제를 보안업체의 고소나 대결구도로 가져가려는 오픈웹의 태도는 별로 바람직하지 않아 보이는 것도 사실입니다.

    대안이 없으면 비판하지 말라는 고리타분한 이야기는 아니지만, 몇몇글을 보니 오픈웹 사이트의 꽤 강도높은 비판에 비해서 논리나 대안, 설득력은 많이 부족해 보입니다. 대안있고 설득력 있는 안으로 보안업계와 금융권을 진심으로 설득시킬 수 있도록 발전하시길 바래봅니다.

    ————-
    아, 참고로 팁 하나 알려드릴까요?
    금융권 사용시 보안 프로그램 사용 안하고 싶으신 분들은
    금융고객센터에 전화하시면 모든 책임을 본인이 진다는 녹취후에 프로그램 없이 사용할 수 있도록 해 준답니다. 모든 금융권이 그런 서비스를 제공하는 지는 모르지만 일부는 확실히 제공해 줍니다.
    그렇게 사용하실 분들이 얼마나 될지 모르겠지만,
    우리나라 현행법상 금융권이 발생사고에 대한 모든 책임을 지고 있으니 금융권 입장에서는 그렇게라도 하는 거겠지요?

  • gomibak

    나그네//보안관련업무 경험자의 말씀이시니 중요한 코멘트라고는 생각합니다만, 내용을 내가 이해한 것과는 다르게 이해하고 있다는 느낌이 듭니다.
    나는 문제 제기한 첫번째의 두가지 의견은 서로 연관된다고 해석하고 있습니다.
    “반드시 예를 누르라”는 것은 강제하는 것이지요. 링크로 다운받는 것은 선택사항입니다. 24시간 보안프로그램이 컴퓨터에서 작동하고 있는데 왜 또 강제해야 하나요? 그럴 경우에는 선택하지 않아도 될 듯한데요? 그리고, “그 사이트만 벗어나면 종료되는”문제는, 검퓨터에 다른 보안프로그램이 없다는 전제가 되나요? 꼭 V3가 깔려 있을 필요가 없습니다. 예를 들면 노턴이 깔려 있는데, 사이트에 접속할 때만 V3가 작동할 이유가 없지 않을까요? V3를 24시간 작동시키라는 말이 아닌 것으로 이해됩니다만…
    안연구소가 왜 총대를 메야하느냐는 문제는, 글쎄요 저는 점유율이 어느정돈지는 모르지만, 한국 제1의 보안업체로서의 위치에 있지 않나요? 그 위치에 걸맞는 역할을 해야 한다는 말이 아닐까요?
    알려주신 팁은 역시 보안관련 경험자가 아니면 누가 알 수 있나요? 일반 사용자들은 그런 안내를 받았을까요?
    어쩃건 팁은 감사합니다.
    내가 잘못 이해했다면 미안합니다.

  • http://snowall.tistory.com snowall

    음…모든 책임을 본인이 진다는 녹취 후에 프로그램 없이 사용할 수 있도록 해준다는건, 별도의 페이지를 알려준다는 것인지, 아니면 로그인 후에 프로그램이 실행되지 않도록 사용자 환경설정을 바꿔준다는 건지 궁금하군요.
    지금 상황에서는 단지 페이지를 열어보는 것 만으로도 보안 프로그램이 실행됩니다.
    그리고, 그런 팁은 일반 사용자로서는 도저히 알아낼 방법이 없겠는데요.

  • http://openweb.or.kr youknowit

    나그네/
    오픈웹은 복잡하거나, 어려운 것을 요구하는 것이 아닙니다.

    은행사이트에 접속하자 마자, 또는 로그인을 시도하자 마자, 다짜고짜, 불문곡직 영문도 모를 보안 경고창이 와르르 뜨고 이것을 No 하면, “반드시 ‘예’하셔야 합니다”고 윽박지르는 것은 상식에 어긋난다는 것입니다.

    다운로드 링크를 제공하는 방식으로 배포를 하면, 적어도 내가 그 프로그램을 왜 내려받고, 설치하는지 영문은 알고 판단, 선택할 수 있습니다.

    다운로드 링크 제공 방식으로 프로그램을 배포하는 것도 “100% 안전하지는 않다”? 선생님께서는 “100% 안전한 것”을 찾다 보니, 지금 처럼 무턱대고 “반드시 예”하라고 지시하는 방식을 선택하신 건가요?

    상시로 실행하면 너무 과하니, 접속중에만 실행하도록 하겠다? 고객이 원하지 않으면, 접속중에만 실행하는 것도 허용되지 않습니다. 법규정이 그렇게 되어 있습니다.

    아, 그리고, 저도 팁을 하나드리겠습니다.

    은행이 주는 보안 “샘플”프로그램을 제가 반드시 사용하기를 원하는 은행의 은행장은 저에게 직접 전화를 걸어서, “고객님, 우리가 서비스차원에서 주는 무료샘플 보안프로그램을 사용하다 금융사고가 터지면 저희 은행이 모든 책임을 지겠습니다”라고 녹취를 하면, 저도 그 은행이 주는 보안회사 “판촉 프로그램”을 제 컴퓨터에 설치할 것을 잠시 고려해 보기는 하겠습니다.

    그렇지만, 은행장이 맹세를 하고, 제가 그것을 녹취 해도, 저는 아마 그런 판촉 프로그램을 제 컴퓨터에 설치하지는 않을 것입니다.

    “법”이 있는 이유는, 은행이 되었건, 고객이 되었건, 어느 일방이 이따위 무리한 요구를 할 경우, 상대방이 아무리 “예”해도, 그것은 아무 효력도 없다는 점을 선언하기 위한 것입니다.

  • http://dontcollect.this.org 행인

    여러 쟁점이 있지만 법률가로서의 자질을 의심케 하는 대목만 지적하지요.

    “은행사이트에 접속하자 마자, 또는 로그인을 시도하자 마자, 다짜고짜, 불문곡직 영문도 모를 보안 경고창이 와르르 뜨고 이것을 No 하면, “반드시 ‘예’하셔야 합니다”고 윽박지르는 것은 상식에 어긋난다는 것입니다.”

    비법률가라면 상식을 운운할 수 있겠지만, 법률가라면 이런 무식한 소리를 하면 안 되죠. 은행과 인터넷 뱅킹 약정을 체결했다면 이 문구가 “다짜고짜”도 아니고 “불문곡직 영문도 모를”이라고 할 수 없죠. 이 문구에 약정한 것은 아니지만 선행 약정 — 인터넷 뱅킹 사용 약정 — 으로 후행청약 — 사용자 컴퓨터에 당해 보안 프로그램 설치에 대한 청약 — 에 관련한 사항에 암묵적으로 동의했으니.

    소송에 졌다고 “시대에 뒤떨어진, 무식한 사법부” 운운하시는 분들, 민사소송에서는 법률대리인의 자질도 중요하답니다. 동네 조기 축구회 실력도 안 되는 사람이 월드컵 예선에서 졌다고 심판 탓하는 데에 불과하죠.

    * * *

    ““법”이 있는 이유는, 은행이 되었건, 고객이 되었건, 어느 일방이 이따위 무리한 요구를 할 경우, 상대방이 아무리 “예”해도, 그것은 아무 효력도 없다는 점을 선언하기 위한 것입니다.”

    “이따위 무리한 요구”라는 식의 단정은 법률가가 피해야 할 가장 중요한 덕목 아니던가요? 조언 한 마디 더 해 봅니다.

    • Yi Jong

      행인//
      아무래도 이전 포스트들에서 진행되었던 논의나 오픈웹의 문서들을 하나도 읽어보시지 않은 티가 많이 나는군요.

      제가 보기에도 여러 쟁점이 많고, 님의 인신공격성 발언이 문제가 있다고 생각합니다만, 인터넷에 연결된 컴퓨터 사용자로써의 기본 자세를 의심케하는 대목만 지적하지요.

      “은행사이트에 접속하자 마자, 또는 로그인을 시도하자 마자, 다짜고짜, 불문곡직 영문도 모를 보안 경고창이 와르르 뜨고 이것을 No 하면, “반드시 ‘예’하셔야 합니다”고 윽박지르는 것은 상식에 어긋난다는 것입니다.”

      당연히 이렇게 해야 합니다. 운전하고 가다가 누가 “이 건물에 들어가시려면 당신 기름통에 이걸 넣어야 되겠소”하면 그냥 넣으시겠습니까? 넣는 걸 거부하든가 넣을 때 넣더라도 뭘 집어넣는지는 알고 넣어야 할 거 아닙니까. 흔한 법률 경구로 “손이 손을 보호”하는 법입니다.

      “이 문구에 약정한 것은 아니지만 선행 약정 — 인터넷 뱅킹 사용 약정 — 으로 후행청약 — 사용자 컴퓨터에 당해 보안 프로그램 설치에 대한 청약 — 에 관련한 사항에 암묵적으로 동의했으니.”

      “암묵적 동의”라… 보통 뭔가 칙칙한 일을 사용자 동의 없이 처리하고자 할 때 사용되는 문구지요.

      • http://dontcollect.this.org 행인

        “암묵적 동의”를 모르시니 자꾸 딴 소리를 하실 수 밖에 없죠. 게다가 “칙칙하다”고요? 푸하하. 법을 얘기하면서 법을 전혀 모른다니, 참나. 기술적 문제를 관계 공무원들이나 재판을 주재한 법관이 모른다고 탓하기엔 좀 그렇죠?

        김 교수님한테 물어보세요. 물어보시면서 “의사실현에 의한 계약 성립”이라든가 “사실적 계약론” 같은 걸 물어보시면 법학 내지 법실무에서 “암묵적”이란 관형사가 어떻게 쓰이는지 더 깊은 이해를 하실 수 있을 겁니다. 뭐 이런 대화가 제대로 흘러간다면 김 교수님 본인이 이 사안에서 뭘 놓치셨는지 깨닫게 되실 지도. 그럼 이 캠페인이 “노이즈 마케팅”의 지위에서 “진짜 법률가들이 진지하게 다뤄야 할 문제”의 지위로 올라갈 지도 모르는 일이죠.

        암튼, 시간낭비 같네요. 수고하세요.

    • VongZa

      행인님은 법 공부를 하신분 같네요. 저는 법은 잘 모르겠지만, 법에 특정 업체의 특정 솔루션을 강요하고, 이를 따르지 않으면 서비스를 거부해도 된다고 나와있진 않을 것 같습니다. 오히려 그 반대가 정상이겠죠. 그리고 여러군데 찾아봤는데요 그중에, 문제가 될만한 부분은 이 것 밖에 못찾았습니다. (특정 OS의 특정 브라우저에서만 가능한 솔루션을 제공해도 된다는 부분이 있으면 알려주세요.)

      전자금융거래 기본약관

      제25조 (준수사항)
      전자금융거래의 안전한 수행을 위하여 이용자는 은행이 정하는 바에 따라 다음 각호의 사항을 준수하여야 한다.
      1. 비밀번호 유출 및 해킹 등 전자적 침해를 방지하기 위한하여 필요한 조치 및 관리 방법
      2. 이용자 보호를 위하여 은행이 제공하는 절차와 방법
      3. 기타 은행이 정하는 사항

      행인님께서 말씀하신대로 인터넷뱅킹 신청하면서 따르겠다고 동의는 했습니다. 안따르면 서비스 제공을 안해주겠다고 하니까요. 사용은 하는데, 그 “은행이 정하는 바”가 부당하다고 말하는 겁니다. 은행 들어가서 상품정보민 보는데도 보안프로그램을 반드시 설치하지 않으면 안되고, 그 각종 프로그램도 Microsoft Windows의 Internet Explorer에서 밖에 안되게 만들어 놨는데, 이게 법적으로든 상식적으로든 합당한 것이라고는 보기 힘들죠.

  • http://dontcollect.this.org 행인

    댓글 수정이 안 되는 군요. 이어서.

    누가 그러더군요. 이 소송은 배달 안 하는 중국요리점에 배달을 왜 안 하냐고 민사소송하는 것과 법적으로 동일하다고. 맞는 얘기입니다. 나아가, 갑-을 관계에서 왜 을만 때리느냐, 그것도 맞는 얘기입니다. 여담. 사립대학 학생들이 등록금을 인상에 관한 사건을 헌법소송의 형식으로 소제기를 했는데, 그렇다면 제가 동네 영어학원의 수강료가 비싸다고 헌법소송을 걸어야 할까요?

    위에 누가 “자꾸 좋은 취지는 보지 못 하고 자기의 난독증만 노출하느냐”고 탓하던데, 좋습니다. 그럼 이렇게 돌려 드리죠. “좋은 취지 운운하려면 그 만큼 설득력있는 논리 전개를 보여주셔야지요.” 논리를 점검하면 상당히 큰 허점들이 보이는데, 그런 걸 치유할 생각은 없고 취지 운운하면 그 취지조차 의심할 수 밖에 없게 되지요.

  • T. K.

    이곳의 내용을 다 보신 건지 궁금해지는군요. 최근 몇 글만 보신 건 아닌지.

    • http://dontcollect.this.org 행인

      1심 법원은, 공인인증서를 발급받을 때 MS IE 를 사용하였으므로, “MS IE에서만 공인인증서비스를 받겠다”는 묵시적 합의가 있었다고 해석하였는데, 만일, 이런 해석이 적법하다면 공인인증기관이 일방적으로 “이(李)”씨 성을 가진 사람에게만 공인인증서비스를 제공하기로 결정할 경우, End-user들은 어쩔 수 없이 성을 “이”씨로 바꾸지 않으면 공인인증서를 발급받을 수 없게 되는데, 이럴 경우, “李씨 성으로만 공인인증서비스를 받겠다는 묵시적 합의가 있었다”고 법원이 해석할 것인가? 이런 해석이 과연 법률논리로서 정당한가? (”마(馬)”씨라고 할 걸 그랬나?)

      * * *

      제가 김 교수님의 법률가의 자질 운운하게 된 것은 이 부분을 읽게 된 게 결정적이었습니다. 믿거나 말거나 저는 매달 10$씩 FSF에 기부하는 사람인데, 법에도 얽혀있고 그래서 공무원이나 법관의 자질 나아가 정부-금융기관-보안업계라는 어마어마한 카르텔을 깨고 싶어하시는 분의 정교한 논변을 보고 싶었죠. 읽어 보니 허무 개그더군요. 이왕 시간낭비한 거 10분만 더 하죠. 왜 허무개그일까요?

      1. 이런 해석이 적법하다면 공인인증기관이 일방적으로 “이(李)”씨 성을 가진 사람에게만 공인인증서비스를 제공하기로 결정할 경우,
      2. End-user들은 어쩔 수 없이 성을 “이”씨로 바꾸지 않으면 공인인증서를 발급받을 수 없게 되는데,
      3. 이럴 경우, “李씨 성으로만 공인인증서비스를 받겠다는 묵시적 합의가 있었다”고 법원이 해석할 것인가?
      4. 이런 해석이 과연 법률논리로서 정당한가?

      잘 봐주어 2-4번은 그럴 듯 한데, 정작 문제가 되는 것은 1번입니다. 1번과 2번 사이에은 아마도 이런 점을 보충해서 읽어야 겠죠: [이씨 성을 갖지 않은 모든 사용자들에 대하여 일률적으로]. 이게 타당한가요? 다시 말해, 이씨가 아닌 사람들도 이씨로 간주하는 것도 “암묵적 동의”라고 모시는 듯 한데, 제발 계약법 교과서나 제대로 읽고 변론하시기 바랍니다. 부수적 약정에 대한 암묵적 동의와 약정과 상관 없는, 논점에서 일탈한 예를 끌어와 놓고서, 이걸 논증이라고 이 논증이 무려 “법률논리로서 정당한가”라고 재판에서 묻고 있나요? 당연히 법률논리로서 정당하지 않지요, 애초에 말이 되지 않으니까. 그런데 이 논증이 말이 안 된다고 김 교수님의 청구취지가 말이 된다는 건 대체 무슨 논리로 도출되는 건가요? 이러니 재판에서도 지고, 법상식을 가진 사람들은 “노이즈 마케팅”으로 밖에 보지를 않죠. 기본이 안 되어 있으니.

      게다가 사법부 비판? 푸하하. 사법부가 비판 받을 만한 점이 없는 건 아니지만, 이런 걸로 사법부를 비판하면 허무개그죠.

      이제 더 시간낭비는 안 하는 게 좋겠네요.

      • http://dontcollect.this.org 행인

        “기본이 안 되어 있다”에 발끈하실 분들을 위해서.

        위에 쓴 얘기는 아래에 쓴 얘기와 동등한 얘깁니다:

        C/C++ 코드에 “while(1) { ; } “라고 써놓고, “자 이제 이 부분이 전부 실행될 때까지 기다려 보자”.

        * * *

        아니면, 보안 내지 전산학은 전문적 내용이 나와도 “어차피 그건 전문적 얘기니까” 어려워도 되고, 자기들이 모르는 법학 내지 법실무의 전문적 내용은 “역시 이래서 법하는 애들은 안 돼. 도통 모르는 얘기뿐이잖아!” 뭐 이런 줄거리.

        • Hyun

          “이제 더 시간낭비는 안 하는 게 좋겠네요.” 이런 류의 글은 이런데선 어울리지 않네요. 마치 “너희들은 시간낭비 해라, 난 관심 끄겠다”의 의미인 듯 합니다만, 차라리 그럴꺼면 처음부터 글을 쓰지 말았어야죠. 토론은 자기와 다른이의 의견을 주고 받는것을 기본으로 합니다.
          “기본이 안되어있다”의 부분은 오히려 “행인”께 해당하는 것 같습니다. 토론을 하려면, 특히 인터넷에서는 상대를 존중하는 것은 기본입니다. 전 오히려 “행인”분께 초등학교 가서 “토론”에 대한 기본을 닦는걸 권해드립니다.

        • http://dontcollect.this.org 행인

          네, 저는 초등학교에서 가서 토론에 대한 기본을 닦겠습니다.

          하지만, 제가 초등학교에서 가서 토론에 대한 기본을 닦더라도 제가 위에 쓴 문장들의 타당성을 변하지 않습니다, 이미 아시겠지만.

          한쪽에서는 말투에 꼬투리 잡지 말라고 하고, 같은 편인 다른 한쪽은 말투에 꼬투리 잡으며 무려 초등학교나 다시 다니라고 하고. 대충 이 동네의 게임의 규칙이 뭔지 알겠네요.

  • http://unipro.tistory.com unipro

    지엽적인 것, 말투, 어투 같은 것을 가지고 전체를 흐리지는 맙시다. 자꾸 얘기의 방향을 이상한 쪽으로 끌고 가서 가지가 줄기를 흔들고 있습니다. 인터넷에서는 손석희 교수와 같은 진행자가 없어서 바로 잡아 줄 수 없는 것이 안타깝군요.

    현재 시스템의 문제에 대한 해명, 오픈웹에서 대안으로 제시한 것에 대한 문제점 지적 등이 중점이 되어야 하지 않겠습니다.

    http://openweb.or.kr/?p=1073
    http://wiki.kldp.org/wiki.php/%C0%FC%C0%DA%B1%DD%C0%B6%B0%C5%B7%A1%C0%C7%20%B0%F8%C0%CE%C0%CE%C1%F5/%BA%B8%BE%C8%C7%C1%B7%CE%B1%D7%B7%A5%BF%A1%20%B0%FC%C7%D1%20%C1%A6%BE%C8

  • http://dgtgrade.egloos.com NamX

    다음 예들을 볼까요?

    1. 파이어폭스 설치 안내문:
    http://www.mozilla.or.kr/ko/products/download.html?product=firefox-3.0.7&os=win&lang=ko

    => “파일 저장을 누르세요”

    2.구글 크롬 설치 안내문:
    http://www.google.com/chrome/thankyou.html?clickonceinstalled=&statcb=

    => Click Run when you are asked “Do you want to run this software?”

    3. Adobe Reader 설치 안내문:

    http://get.adobe.com/reader/thankyou/?item_reader=860&item_addon=942&usedlm=1&item_sgc=941

    Thank you. Your download will start automatically.
    If it does not start, click here to download.

    If a dialog box appears with the option to run or save, click run.

    그러니까 이런 거는 사용자에게 malware 들에 대해서 무감각 해지도록 학습 시키니까 얼른 없애야 한다는 주장이신거죠?

    • Hyun

      해당 소프트웨어의 설치과정과 은행권의 ActiveX의 설치과정을 비교하는 것은 무리가 있어 보입니다.
      은행권의 ActiveX는 설치하지 않으면 서비스 자체를 이용할 수 없습니다. 사용자의 선택권이 없는 것이죠. 그러니깐, 은행 사이트에서 나오는 “Yes”와 “No” 중 모두 “Yes”를 선택해라는 것이죠.
      하지만, 비교하신 소프트웨어의 설치에 관련된 경우는 사용자 자의에 의해 해당 페이지로 접속했습니다. 만약 해당 소프트웨어가 의심스럽다면 “No”를 누르고 다른 소프트웨어를 선택할 여지가 있습니다.

      • swlee

        이미 알고 계신 것이지만 전자금융 거래법 세부시행 규칙에 의거하여 인터넷 뱅킹시 키보드 보안은 법으로 지정된 항목입니다. 그러면 여러 키보드 보안 프로그램 중에 한가지를 선택해서 설치할 수 있도록 인터페이스를 제공하면 되는 것입니까?

        • swlee

          보안 업체에게 이 문제를 책임지고 해결하라 하시면…
          정말 답이 안나오죠..
          왜 그것이 안좋은 방법인것을 알면서도 그래야만 했는 상황이 도래했는지.. 일면만을 보지 말고 왜 여기까지 왔는지 알아보세요.. 그래야 보안업체 관계자 분들이 왜 발끈하시는지 이유를 알 수 있습니다.

        • Hyun

          ”그러면 여러 키보드 보안 프로그램 중에 한가지를 선택해서 설치할 수 있도록 인터페이스를 제공하면 되는 것입니까?”

          제가 알기론 사용자는 선택을 하지 않는 것 또한 명시되어 있다고 알고있습니다. 저같은 경우는 특히 여러 키보드 보안프로그램 목록과 함께, “키보드 보안프로그램 사용 안함”까지 함께 나열해 주시면 상당히 고맙겠습니다.

      • http://dgtgrade.egloos.com NamX

        저는 “학습”의 문제를 얘기하고 있었습니다만… 그럼 “학습”의 문제는 없는 건가요? 그걸 여기서 매우 강조 하시길래…

        “선택”의 문제 또한 그게 어떻게 다른 문제인지 그 다지 공감은 안 됩니다만… 아무튼 일단 원래 제 발언의 의도인 “학습”에 대한 의견을 들어보고 싶네요.

        • http://dgtgrade.egloos.com NamX

          그리고 지금 “youknowit” 님 글이 “Yes 강요”에 대한 글이고 거기에 제가 해외의 예들을 든 것입니다. “youknowit” 님께서는 안랩처럼 파폭이나 구글이나 어어도비 사에도 질문을 해야 하지 않을까 하는 것입니다.

        • Hyun

          제가 알기론, “youknowit”님께선 은행권의 그 학습 이전에 사용자의 선택권이 없음을 전제한다고 알고있습니다.
          하지만, 제기해주신 소프트웨어의 설치에 대한 학습은 사용자가 필요해 의해 해당 사이트를 방문 했으므로 “프로그램 설치에 필요한 학습”이라는 측면이 강하지만, 은행권의 그것은 그렇지가 않죠.
          저는 은행권의 그러한 학습으로 인해 여러 나쁜 사용자의 습관, 즉, 무분별한 ActiveX 설치, 관리자 권한으로의 시스템 사용 등으로 인해 많은 문제점이 발생하고 있다고 생각합니다. 이것은 (사용자가 필요해서 설치하는)일반 프로그램의 설치와는 다른 것이죠.

        • http://dontcollect.this.org 행인

          역시 시간낭비인 논제이군요.

          “사용권” 운운하시는 분들은 인터넷 뱅킹 약정의 법적 성질이 뭔지부터 파악하세요. 그게 선택채권채무관계인가요? 그래요? 선택채권관계가 아니라면, 애초에 선택할 수 있는 권리로 보여지는 “사용권” 자체가 존재하지 않고, 존재하지도 않은 권리를 운운하는 건 그냥 허무개그죠. 덧붙여, 선택채권채무관계라고 파악하더라도, 누가 지정권을 갖느냐, 채권자인 사용자이냐, 채무자인 은행이냐는 전혀 다른 논점입니다.

          제발 기본부터 다지세요. 부탁입니다.

          저랑 초등학교 같이 다니셔야겠네요, 허깨비를 실물로 보시니.

        • http://dgtgrade.egloos.com NamX

          그런 프로그램 설치에 필요한 학습은… malware 프로그램 설치 시에도 “yes”를 누르게 되는 행동과 무관하다는 주장이신지요?

          은행을 방문했을 때 ActiveX “Yes” 하는 것이 다른 사이트에서 악성 ActiveX 에도 “Yes” 하는 것과 관련이 있다면 당연히 프로그램 설치에 대해서도 그렇게 적용 되어야 논리가 앞뒤가 맞는 것 아닌가 생각합니다만.

          그리고 Youknowit 님께서는 “다운로드” 방식을 계속 주장하시는데… “다운로드” 할 때도 노란 줄 뜨고, 어떤 경우에는 (보안 설정 등에 따라, 보통 여기서 얘기하는 정상적인 경우라면) Yes 물어보는거 뜹니다. 다운로드 후에 실행 할 때도 Yes 눌러야 합니다. 그게 지금 제가 얘기한 바로 위의 파폭/구글/어도비 등에 해당하는 경우기도 하고요.

        • http://dontcollect.this.org 행인

          swlee님을 위해서 부연.

          인터넷 뱅킹 약정의 법적 성질을 선택채권으로 본다는 것은 인터넷 뱅킹 서비스의 이행을 수단 1이나 수단 2 등 복수의 이행수단으로도 이행할 수 있다고 약정[=계약]한 것을 말합니다. 하지만, 인터넷 뱅킹 약정을 보면, 적어도 제가 읽어 보았을 때, 은행이 복수의 이행수단을 제공하는 것은 약정 내용에 들어가 있지 않다고 파악됩니다 — 물론 이 부분은 은행에 따라 다릅니다.

          물론 “신의칙상 부수의무로 당연히 사용자가 서비스를 이용할 수 있도록 복수의 이행 수단을 갖추어야 한다”라고 주장할 수도 있습니다. 그런데 이런 주장은 위에 어떤 분이 “칙칙하다”고 하신 “부수적 약정에 대한 암묵적 동의”에 대한 해석 내지 법원이 직권으로 할 수 있는 신의칙에 기한 계약 수정 해석입니다.

          김 교수님의 의도는 충분히 이해가 가는데, 그것을 구체적으로 재판에서 현출한 여러 주장/증거가 의도와 부합하지 않다는 것이죠. 그 중 하나는 위에 적어 두었습니다. 위에 분도 어떤 의도로 주장하시는 지 이해가 가지만, 의도가 좋다고 표현이 좋은 것은 아니고, 표현이 제대로 되지 않으면 재판에서 지는 것은 당연하죠. 나아가 이해관계의 상대방을 설득하지 못하는 것도 당연한 일이죠. 자꾸 본질이나 취지 같은 말로 물타기를 하시지 말고, 이제라도 다른 법률가들의 조언을 받으시는 게 대법원에서 승소하실 수 있는 일말의 가능성을 잡으시는 길이라고 봅니다. 그러려면 기본은 지키셔야 겠지요.

        • Hyun

          제시 소프트웨어의 경우는 사용자가 믿을 수 없으면 “Yes”를 선택하지 않으면 그만입니다. 다른 (자기가 믿을만 한)소프트웨어를 선택 할 수 있는 것이죠. 또한, 그 페이지를 열람했다는 의미는, 사용자가 그 페이지를 설치할 의도가 있다고 판단할 수도 있습니다. 그러니깐, 페이지 만드는 사람은 그곳에 프로그램 설치 방법을 써놓는건 당연한 겁니다.
          하지만, 은행의 그런 프로그램들은 “No”를 선택하는 순간 서비스를 이용할 수 없게 됩니다. 은행 서비스를 이용하려면 은행으로 달려가야되죠.
          이런 차이때문에 전 제시하신 링크와 오픈웹에서 주장하는 점과는 차이가 있다고 생각합니다.

        • http://dgtgrade.egloos.com NamX

          제시 소프트웨어의 경우는 사용자가 믿을 수 없으면 “Yes”를 선택하지 않으면 그만입니다. 다른 (자기가 믿을만 한)소프트웨어를 선택 할 수 있는 것이죠. 또한, 그 페이지를 열람했다는 의미는, 사용자가 그 페이지를 설치할 의도가 있다고 판단할 수도 있습니다. 그러니깐, 페이지 만드는 사람은 그곳에 프로그램 설치 방법을 써놓는건 당연한 겁니다.

          이 문장의 “소프트웨어”를 “은행 사이트”로 바꿔 보시죠.

          결국 어떤 은행이건 ActiveX 설치를 요청 하거나, 어떤 프로그램이건 설치를 요청하는 건 마찬가지입니다.

        • http://dontcollect.this.org 행인

          이런. 부연이 더 어려워졌네요.

          아무튼 을의 입장에서 당해 약정이 선택채권이냐 아니냐는 중요한 요소입니다. 동일한 약정에 의해서 프로그램을 하나를 납품하여야 하는가 여러 개를 납품하여야 하는가, 같이 경제적 이해관계가 걸려 있으니까요.

          을이 오픈웹의 주장에 황당해하는 이유를 위엣 분들을 여전히 이해를 못하는데 그럴 수 밖에 없다고 봅니다. 같은 계약을 놓고, 어떤 사람은 당연히 여러 개의 프로그램을 제공해야 한다고 하고, “을”은 당연히 하나의 프로그램을 제공했던/제공하고 있는 계약인데 무슨 소린가, 이런 줄거리죠.

          자꾸 “사용권”이란 게 당연한 채권이라고 생각하시는 분들은 다시 생각하시죠. 물론 이런 분들은 이게 “공익”과 관계되어 있는 것이라고 생각하시는데, 실제 타켓은 엉뚱한 계약관계에 놓은 전혀 당사자가 되고 있으니까요.

          간단하게 말해, 정말 “사용권”이란 게 존재한다면, 김 교수님이 의도하시는 대로 보안업체가 형사상 업무상 배임죄내지 사기죄의 죄책이 의심되는 상황이고, 보안업체들은 계약의 경개내지 새로운 계약 체결 없이 현재의 계약 그대로 복수의 프로그램을 납품하여야 하지요. 이게 김 교수님의 의도인지는 모르겠지만, 현출된 주장으로 판단하면 그렇지요.

          이래서 시간낭비라는 겁니다만.

        • Hyun

          /NamX
          제가 여기 오픈웹에서 읽은 바로는 보안 프로그램 등의 경우는 사용자가 사용을 거절할 수 있다고 알고있습니다. (또한, 이건 너무나 당연하죠. 그런 프로그램들이 특정 제품군에서만 동작하게 만들어져 있으니깐요.)
          그러니깐, 위 문장의 “소프트웨어”를 “은행 사이트”로 바꾸는건 부적절하죠.

          또한, 은행의 그런 프로그램 뿐 아니라, 나라의 공공홈페이지들까지 그런 프로그램을 사용하라고 그러니, 나라를 바꿀 수는 없지않습니까? 그렇다고, 청와대(?)에 내 의견을 피력하기 위해 청와대(?)까지 달려갈 수도 없고…

        • http://dontcollect.this.org 행인

          Hyun / 오픈웹이 무슨 새로운 법학 교과서나 법원의 재판례인가요?

          은행이 제공하는 보안프로그램을 사용자가 거부할 수 있게 해놓아서 실제로 금융사고가 발생했다면 은행은 전혀 면책되지 않습니다. 은행법은 무슨 허수아비인가요?

          하지만, 정부나 지방자치단체에 대한 부분은 타당합니다. 그렇지만, 그럼 상황이 더 황당해지죠. 왜 은행에 대한 민사소송인가요? 일단 은행부터? 그럼 보안업체는 왜 걸고 넘어지는 것인지 더 이해가 가지 않게 되죠.

        • http://dontcollect.this.org 행인

          더 설득될 분들 같지도 않고, 요약이나 해두고 마치죠.

          1. “을”인 보안업체가 계약 내용을 변경하여 “갑”인 금융기관의 보안설비를 변경할 수 있을 정도의 지위가 재판상 인정된다면, “을”은 보안프로그램납품계야에 있어 신의칙상 고지의무를 위반하였고, 위반한 것의 내용이 중대하므로 형사상 업무상 배임죄나 사기죄의 죄책을 진다.

          2. 인터넷 뱅킹 사용자의 “사용권”이 인정된다면, 1번과 병합하여, “을”은 같은 계약으로 복수의 프로그램을 납품하여야 하며, 관련된 손해를 금융기관에게 배상하여야 한다, 채무불이행이건 불법행위이건.

  • swlee

    많은 보안업체 분들도 오픈웹을 알고 지지하는 것으로 알고 있습니다.
    그런데 이곳에서는 보안업체가 얄팍한 상술로 진실을 왜곡하고 사용자를 위험에 빠뜨린다고 하고 있습니다.
    이것이야 말로 오픈웹이 진실을 왜곡하고 자신의 논리에 끼워 맞추는 것입니다. 정말 오픈웹의 주장이 맞다면 이런식으로 포스팅 하지 말고 직접 찾아다니며 예기해 보십시요.. 그리고 폭넓은 관점에서 다시 바라보시고 초심이었던 인터넷 평등을 잃지 마세요..
    모든 사람이 만족하는 것이 평등이지 오픈웹이 만족하는 것이 평등이 아닙니다.

    • Yi Jong

      거꾸로 보자면 보안업체가 만족하는 것이 평등이 아니라는 논리도 성립된다고 봅니다만…

  • http://dontcollect.this.org 행인

    김 교수님은 “직무유기”라고 쓰셨지만, 그건 국가적 법익에 해당하는 거고요, 정확하게는 “업무상 배임”내지 “사기”의 죄이죠. 덧붙입니다.

  • 일반유저

    개인pc를 위험에 빠뜨리는것을 말하는겁니다 그래서 ActiveX가 욕을 먹습니다

  • V-GUN

    인터넷뱅킹을 오직 MS 인터넷 익스플로러로만 할 수 있게 한 것, 그리고 키드보 보안 프로그램 등을 activeX 형태로 사용자의 선택 없이 강제로 설치하게 한 것은 과연 옳은 것이며 법적으로 문제가 없는 것인가?
    문제가 있다면 누구의 책임이며 앞으로 어떻게 바꾸어야 하는가가 핵심 아닌가요??

  • http://dgtgrade.egloos.com NamX

    법에 윈도우에서만 해라, ActiveX로만 해라라고 쓰여 있는 거 아닙니다.

    법적으로는 리눅스에서도 되고, 파폭에서도 되고… 아무 문제 없습니다.

    윈도우/ActiveX 는 은행 서비스 시장에서 선택 한 것이고요.

    은행을 공공 서비스로 봅니까? 시장의 서비스로 봅니까? 에 따른 시각의 차이로 보입니다.

    공공 서비스로 본다면… 여러모로 이 사항이 아주 불합리 하게 보일 수 있겠습니다.

    저는 그렇게 은행도 아니고… 폰뱅킹도 아니고… 인터넷 뱅킹을 그렇게 공공 서비스로까지는 보지 않습니다.

    인터넷 뱅킹 이전에 인터넷 조차 공공 서비스가 아닙니다. 시골 외딴 곳에서는 인터넷 설치 못 해요.

    그리고 윈도우/ActiveX 없는 사람들은 폰뱅킹이라도, 모바일 뱅킹이라도 하면 됩니다.

    • VongZa

      인터넷이 공공 서비스가 아니라고 생각하시는데는 이유가 있겠지만, “시골 외딴 곳” 예는 부적절한 것 같습니다. 산속 마을에 전기가 안들어간다고 전기가 공공재가 아닌 것은 아니니까요.

      저는 인터넷이 공공재라고 생각합니다. 적어도 공공재化 되어 있다고 생각합니다. 은행이 또는 인터넷 뱅킹 공공 서비스인가 아닌가는 잘 모르겠습니다. 은행도 이윤을 추구하는 기업일 뿐이라고 생각할 수도 있겠지만, 업무가 특수한 경우라 뭐라 단정 짓긴 힘드네요.

      공공 서비스 여부를 떠나서, 은행 서비스 시장에서 선택되었다고해서 윈도우/ActiveX가 최선의 방법이라는 뜻은 아니죠. 관점의 차이긴 합니다만, 그보다 더 나은 방법이 있다고 주장하는게 오픈웹의 입장이구요.

  • VongZa

    행인님// 그래서 어떻게 했으면 좋겠다는 말씀이신가요? 행인님께서 법 관련해서 많이 알고 계시다는 건 알겠습니다. 말씀대로 김기창 교수님이 법률 대리인으로서 수준이 낮다고 칩시다. 그래서 오픈웹에서 정말 이야기하고자 하는 쟁점들에 대해서는 어떤 방향이 좋다고 생각하시나요? 지금 이대로가 좋다는 말씀이신가요?

  • V-GUN

    제가 은행을 예를 들어 설명했지만 핵심은 은행 서비스가 아니라 공인인증 방식(소프트웨어)일텐데요.
    가장 일반적으로 사용되는게 은행일것 같고.
    전자정부의 대다수 서비스를 이용하는데도 공인인증이 필수입니다.

  • swlee

    ActiveX는 기술일 뿐입니다.
    기술을 악용하는 사람이 나쁜 것이지 기술이 나쁜것이 아닙니다.
    강제로 설치해서 문제라고요?
    이것은 보안 위협이라는 사회적 현상때문에 결정된 것일 뿐입니다.
    전자금융거래법에 보면 보안 사고의 책임이 사용자 측의 큰 과실이라고 증명되지 않는 이상 은행의 책임으로 하고 있습니다. 보안사고나면 피해액이 기본 수천만원 인데 은행 입장에서 아예 속편하게 보안 모듈을 깔라고 하는 것입니다.
    그것이 문제라면 당당히 정부를 대상으로 AciveX 보안 모듈이 의미 없음을 증명하는데 노력하십시요.
    원인을 엉뚱한 데서 찾고 화살을 다른데 돌리지 말라는 예기입니다.

    지금 파폭이나 다른 브라우저도 인터넷 뱅킹을 할 수있도록 많이 노력하고 있습니다. 또 인터넷 뱅킹 뿐만 아니라 다른 기존에 IE 종속적인 서비스를 다른 브라우저에서도 사용하게 하기 위해 노력하고 있습니다.
    오픈웹은 또 다른 IE 종속성 서비스를 찾아 캠페인 하십시요..
    전자정부도 있고, 게임도 있습니다.
    한게임이 IE에서만 되는것은 화 안납니까??

    • T. K.

      전자정부에 대해서는 이미 하고 있고요 게임은 금융서비스만큼의 공공성이 없어 대상에서 빠진 것뿐입니다.

      • swlee

        아래 블로그의 글을 보고 은행 입장에서 고려를 해보세요..

        http://yurion.net/626

        안좋은 것을 알면서도 할 수 밖에 없다.
        문제 생기면 책임을 누가 대신 져 줄 수 있는가?

        • swlee

          보안 프로그램의 진위성을 떠나서 은행이 생각하는 사고 방식입니다.

          (허위로 프로그램을 잘못 깐다면 이것은 잘못된것이 맞습니다.)

        • T. K.

          이용자 본인이 책임질 테니 설치 안하겠다는데 거기에 대해 무슨 말이 필요한가요? 그리고 그에 대해서는 다른 분들도 이야기하신 걸로 압니다.

        • swlee

          T.K 님은 문제가 안됩니다. 그런데 그렇지 않은 사람이 많잖아요. 니들때문에 해킹 당했다고 지랄지랄 할껍니다. 자기가 설치 안한다고 클릭한줄도 모를겁니다. 또 왜 의무적으로 안했나고도 할겁니다. 은행의 책무 어쩌구저저구 하면서..

        • 당장답변하세요

          swiee님 아주웃깁니다 컴맹은 설치하라고하세요 그런데 컴맹아닌사람은 설치안할 권리를 줘야 당연한것아닙니까? 말도 안되는소리로 현혹하지마세요

  • 당장답변하세요

    왜 사용자 본인이 설치하기 싫다해서 왜 다른사람이 해킹당한걸 남한테 뒤집어 씌울려고합니까? 미친놈년아닙니까? 컴맹은 설치하라고하고 컴퓨터잘하는사람은 설치안하면되는거지 왜 지가 컴퓨터못하면서 설치안해놓고 남이 설치안했으니 자기가 해킹당했다고 우기는 초딩이 봐도 웃을 애기를합니까?

  • swlee

    그런일이 비일비재 합니다.
    친구와 계정을 같이 쓰면서 해킹당했다고 신고합니다.
    그리고 변상하라고 하죠..
    추적해 보니 친구가 해먹은 겁니다.

    아주 비일비재 해요…

    • 당장답변하세요

      그건 친구가 나쁜놈이고 은행의 악성프로그램 강제한거랑 다른말이오 컴퓨터는 1인당 1대가 맞소 친구랑 계정같이쓴다는 자체가 나는 병신이다라고 병신인증하는꼴이오

  • 당장답변하세요

    무슨소리여? 친구랑 계정같이쓰는거랑 악성프로그램 강제한거랑 무슨상관이있소?

  • swlee

    그만큼 무지하고 몰지각한 사람들이 많다는 것이죠..
    여기 계신 분들만큼 소양이 있고 지각이 있다면
    기업 입장에서도 편합니다.

    무조건 해킹당했다라고 변상하라고 요구하는데..
    밤새서 로그 추적하고 확인해 보면
    개인의 잘못인 경우가 많다는 거죠,,

    기업 입장에서 많은 리소스를 투입하여 근거를 대고 해명하면
    개인은 미안해요 라고 한마디 하며 끝입니다.

    일일이 대응하는 것이 얼마나 피곤하고 짜증나는 일인데요..
    그래서 아예 보안을 강제해 버립니다.
    키보드 보안 안되면 뱅킹 하지 말라는 것도 같은 맥락입니다.

  • 당장답변하세요

    그러면 이렇게 하면 되지요 개인이 해킹당해서 기업이 추적했는데 개인잘못이면 개인에게 기업업무방해죄(뭐 없을려나?)를 먹여서 배상하게 하면 됩니다 문제는 그게 아니지않소? 컴맹은 어차피 설치안해도 되는것을 yes눌러버립니다 그런데 상식이라도 있는사람은 잘 생각하고 no를 누릅니다 그래서 별로 상관이없어요

  • swlee

    마지막으로..
    힘들다…
    정말…

    현재 법이 개인이 유리하게 되어 있어요..
    소송하면 기업이 개인의 문제 였다는 것을 증명해야 합니다.
    그렇지 않으면 기업이 배상해야 합니다.
    기업이 불리한거죠.. 그래서 최선의 조치를 해야 합니다.

    컴뱅중에서도 생각없이 NO를 누르는 사람이 분명 있습니다.
    아뇨 많을 겁니다.~
    일단 무슨 프로그램이 깔리는것 자체를 싫어하니까..

    보안은 어떻게 할까요?
    생각없고 개념없는 사람들은 포기 해야 하나요?

    그러면 보안 필요 없습니다.
    알아서 다들 잘 한다면 무슨 보안이 필요합니까.

    또 보안이 제일 필요한 것은 생각없는 컴맹들 때문입니다.
    그래서 그러한 사람들 때문에 여기 계신 분들이 힘들 수 있습니다.

    여기 계신 분들의 주장대로 한다면 생각없는 컴맹은 포기하면 됩니다.
    그런데 제가 은행 CEO 입장에서도 현재 상황에서
    생각없는 컴맹때문에 지금처럼 할 수 밖에 없겠네요,…

  • 당장답변하세요

    그렇다면 ActiveX를 설치하지않은 상태에서 해킹당했다면 개인의 책임으로 돌리는게 어떨까요? ActiveX를 설치한상태라면 그렇게 개인의 문제인지 기업의 문제인지 판별하면되는거고요 ActiveX를 설치했는지 안했는지는 기업에서 충분히 쉽게 알꺼 아닙니까?그런데 우리나라는 어떤지아세요? ActiveX안써도 되는 기술을 가진사람마저 ActiveX로 보안을 하라고 우기는게 우리나라입니다

  • swlee

    해킹당한다음에 다시 그 사람이 부랴부랴 다 깔아버리면요?
    끄때는 어떻게 증명을 해요?

    • swlee

      진상들은 어떻게든 요리조리 박박 우긴답니다.
      그래서 열나 피곤합니다.

      이제 정말 끝..
      더이상 힘들어서 할 말도 없어요~

      • 당장답변하세요

        한번만 더 답변해주세요 그게 아니자나요 ActiveX에 설치를 눌렀는지 안 눌렀는지는 파악이 가능하도록 못합니까? 설치버튼을 누르면 설치버튼을 눌렀다는 정보를 기업에 보내면 그만이고 아니오 누르거나 X눌렀다면 그거를 눌렀다는 정보만 기업측으로 보내면됩니다 그게바로 부인방지입니다 그런 쉬운것도 못한다면 기업이 아닙니다 기업이 그렇게 허접해서 부랴부랴설치했는지 아니면 아에 설치를 안했는지도 모릅니까? 그것은 다시말해서 기업이 허접하다는겁니다

        • Sakai Kim

          swlee 님의 말씀이 현실적으로 옳다고 봅니다.

          #1. 원격에서 ActiveX 설치동의를 적시에 구동되도록, 누가 눌렀는지 안눌렀는지를 구분하기 어렵습니다.
          - 보안 ActiveX control 은 로그인하기 전 시점에 구동됩니다. 또 그래야만 의미가 있습니다. 로그인한 후에 키보드보안이나 AV 가 동작한다면 키로거가 이미 깔려 있는 경우에는 전혀 도움이 안되겠죠.
          - 그렇게 때문에 로그인하기 전에 누가 ActiveX control 을 구동했는지를 정확히 파악하기에 기술적인 난점이 있습니다.

          - 로그인 전에 수집할 수 있는 정보 중, IP address 로 추적한다는 당연히 한계가 있습니다. NAT IP address 인경우 그 시간대에 (모두 NTP 로 시간동기화를 했다 손 치더라도) 누가 그 IP address 를 할당받아 갔는지를 추적하는 것은 물리적으로 어려운 점이 많습니다. 고객 PC 쪽의 DHCP 서버 또는 네트워크 장비에 로그가 안남아 있을 수 있습니다.
          - 고객 PC 를 unique 하게 detect 하기 위해서 MAC address 나 특정 hardware 정보 (예: HDD serial number) 를 추출하여 전송한다면 과다정보수집으로 개인정보 이슈가 발생할겁니다. 은행 고객이 아닌데 그냥 뱅킹 서비스 이용과 관계없이 우발적으로 방문한 인터넷 유저들의 경우 , 로그인할 의도는 없었으나 로그인 페이지에서 얼쩡이다 저 정보가 추출되어 보내진 경우라면 이미 동의를 구할 수도 없을 것입니다.

          여하간 #1 의 난점을 어떻게든 해결하고 ActiveX control 을 설치했는지 안했는지를 알아내서 (기술적, 개인정보수집 차원의 이슈를 모두 해결짓고) 은행쪽에 정보를 정확히 실시간으로 보내주었다 하더라도 아래의 난점이 있습니다. swlee 님이 이야기한것과 다르지 않습니다만…

          #2. 현재 전자금융과 관련된 사고가 발생시 서비스제공자가 서비스이용자가 보안이 취약했는지를 입증해야 하는 구조입니다. 하지만 이는 거의 불가능에 가깝습니다. 단순히 서비스제공자가 제공한 AV, 키보드보안을 설치했느냐 안했느냐보다 더 복잡한 이슈입니다.

          고객 PC 가 해킹당했을 경우, 해킹발생으로부터 고객의 해킹인지 까지 많은 시간이 흘러 있을 수 있는데, 이 사이 HDD 내에는 수많은 변화가 일어나 있는 상황입니다.

          유저가 백신을 설치해서 해킹툴들을 지워둔 상황, 해커가 스스로 증거를 없애기 위해서 해킹툴을 삭제한 상황, 인터넷 뱅킹시점에 다른 사이트 접속을 위해 띄워둔 브라우저에서 종류가 조금 다른 악성코드가 유입된 상황… 또는 계속 I/O 가 일상생활에 의해 일어나서 수시로 파일들의 날짜가 바뀌는 상황, 요컨데 digital forensics 관점에서 디지털 증거가치가 극히 낮은 훼손된 상태 또는 추적하기 상당히 지저분한 상태입니다.

          또 피씨에 취약점이 있었다는 것을 입증하는 것도 문제점이 많이 도사리고 있습니다. 보안패치가 안되어 있다고, 인터넷 뱅킹을 하는 그 시점에 그 보안패치 안된 것이 해킹으로 이어졌다는 개연성을 입증해야 합니다. 특정 보안패치가 안되었어도 공격을 받지 않았다면 해킹을 안당했을 수도 있는 겁니다. AV 가 없으면, 키보드 보안이 없으면, 바로 그 뱅킹을 하는 시점에 해킹당한다라는 명제는 성립될 수 없기 때문에 증명이 어렵습니다.

          요컨데, 어떤 취약점이 존재했고 그 취약점으로 인해 정확히 뱅킹을 하는 그 타이밍에 해킹으로 어떻게 이어졌다라는 것이 입증되어야 하는데요. 이것은 그 피씨를 실시간으로 모니터링 하고 있었다면 모를까, 정확히 추적하기는 매우 어려운 일입니다.

          더 큰 난점은 사람에 의한 부인입니다. 어떻게든 그 PC 가 취약했다는 것과 그 취약점이 기인하여 해킹으로 이어졌다는 것을 입증했다고 가정해도, 그 사람이 (account holder) “내가 그 시점에 그 피씨를 쓴게 아니야” 라고 우기면, 모든 입증은 수포로 돌아갑니다. 그때부터는 차원이 다른 (case) 사건이 시작되는 거죠.

          마지막으로는, 이런 고객들은 부지기수로 발생할 겁니다. 물리적으로 이를 지원해주고 그때그때 입증처리할 인력을 유지하고, 수많은 클레임과 소송의 위험에 시달리느니 인터넷 뱅킹 서비스를 접는게 속편할 수 있습니다.

        • 당장답변하세요

          웃기네요 ActiveX설치창에서 설치버튼을 누르면 개인pc로 그 프로그램?을 전송해주는방식을 쓰면 부인도 방지됩니다 그러면 언제 그 ActiveX를 설치했다는것이 증명됩니다 내가 그 시점에 그 pc를 쓴게 아니라고요? 그럼 자신의 개인정보가 유출됬다는소리죠 그것은 명백히 기업잘못이 아닙니다 개인정보를 유출시킨사람의 잘못이나 자신의 잘못이 맞습니다 개인ip를 알아내서 언제 설치했는지 아는방식이 아닌 개인pc에서 요청했을때 비로소 기업서버에서 개인pc에 프로그램을 설치하라고 제공해주는 방식을 쓰면 부인방지에 효과가 있음에도 이런식으로 말을 돌리니 할말이 없네요 사람에 의한 부인은 말도 안되는거고 유저의 pc는 개인 클라이언트문제이니 신경쓸일이 없소 문제는 은행의 ActiveX를 언제 받아서 설치했냐가 문제라오 그것은 설치한다고 동의했는지 안했는지만 증거로 남겨두는 쉬운문제를 어렵게 만들려는 저능한 수법이라네

        • 당장답변하세요

          인터넷금융사고는 개인pc의 문제는 빼버려야한다네 외국에는 다 그런식으로 하고있고 문제는 외국에는 ActiveX도 안쓴다네 보안을 오히려 취약하게만드니까 외국에는 서버에서 해킹이 들어왔느냐 아니면 서버에서 문제가 발생했느냐를 보고 서버가 문제면 서버(기업)책임이고 나머지는 개인pc의 클라이언트 문제로 취급하여 배상안한다네 이게 정상이라네 하드디스크를 포맷한다고 자료를 못 되살리는줄 착각이나 거짓말을 하고있는데 요즘에 다 살려냅니다 물론 포맷을한뒤 오랫동안 쓰거나하면 못 살려낸답디다 중요한거는 인터넷금융사고는 클라이언트의 문제는 빼야 된다는점을 그냥 무시하시네요

        • Sakai Kim

          그 개인PC 로 그 프로그램(그 프로그램이 뭔지는 잘 모르겠습니다만)을 전송하는 시점에, 또는 그 개인이 보내달라고 요청하는 시점에 그 개인은 이미 인터넷 뱅킹에 로그인한 상태인가요?

          이미 뱅킹서비스에 로그인 한상태에서 보안 모듈 설치안한 상태에서 난 이제부터 설치하려 해요 라고 요청 보내는 것은 의미가 없다는 이야기입니다.

          그렇다면 뱅킹서비스에 로그인하기 전 상태에서 보안모듈 설치를 하려 할 때 이 사람이 누군지를 어떻게 구분하면 될까요?

          그래서 IP address 로 하면 되지 않아? 라고 생각하는 분들이 행여라도 있을까봐 IP address 예를 든것 뿐이고요,

          피씨방 PC이건 개인 집 PC 이건 불특정 다수의 피씨가 인터넷 뱅킹에 진입하려는 시점에 피씨의 보안을 위해 ActiveX control 을 내려보내야 하는 시점에서, (아직 로그인이 안되어 있어야 한다고 생각합니다) 원격에서 취득할 수 있는 정보로 개인을 특정할 수 있는 정보가 어떤게 있을 수 있겠는가의 예를 든겁니다.오해 없으시길.

          o 기업잘못이 아님에도 기업이 보장을 해줘야 하는 현행이 있기 때문에 문제라는 겁니다.

          당장답변하세요 Reply:
          April 3rd, 2009 at pm9:27

          웃기네요 ActiveX설치창에서 설치버튼을 누르면 개인pc로 그 프로그램?을 전송해주는방식을 쓰면 부인도 방지됩니다 그러면 언제 그 ActiveX를 설치했다는것이 증명됩니다 내가 그 시점에 그 pc를 쓴게 아니라고요? 그럼 자신의 개인정보가 유출됬다는소리죠 그것은 명백히 기업잘못이 아닙니다 개인정보를 유출시킨사람의 잘못이나 자신의 잘못이 맞습니다 개인ip를 알아내서 언제 설치했는지 아는방식이 아닌 개인pc에서 요청했을때 비로소 기업서버에서 개인pc에 프로그램을 설치하라고 제공해주는 방식을 쓰면 부인방지에 효과가 있음에도 이런식으로 말을 돌리니 할말이 없네요 사람에 의한 부인은 말도 안되는거고 유저의 pc는 개인 클라이언트문제이니 신경쓸일이 없소 문제는 은행의 ActiveX를 언제 받아서 설치했냐가 문제라오 그것은 설치한다고 동의했는지 안했는지만 증거로 남겨두는 쉬운문제를 어렵게 만들려는 저능한 수법이라네

        • 당장답변하세요

          로그인이고 뭐고 현혹 좀 그만하세 어차피 ActiveX를 설치했다면 ActiveX설치창이 없이 로그인할것이고 증명됨 ActiveX를 설치하고 로그인해도 이또한 언제 설치했다는것이 증명될 수 있음 그런데다 외국에는 ActiveX 해킹용도 아니면 안쓴다는

  • Sakai Kim

    이런 쓰고나서 보니, 지엽적인 내용으로 주저리 댓글을 길게 달았네요…

    ActiveX module 을 다른 형태로 개선해 나가는 것은 장기적으로 해나간다고 전제 할 때,
    여하간 자기 피씨보안을 스스로 잘 챙기시는 분들이 이중으로 불편하지 않도록, 조그만 개선을 해본다면 이미 백신, 키보드 보안 등이 설치되어 있다면 어느 사이트에 가던 중복설치 없이 기존에 설치된 모듈을 로딩하도록 버전관리나 은행별 호환성을 맺는다거나 하면 minor 하나마 바로 할 수 있는 개선이 될 것 같네요.

    또 웹에서 ActiveX 형태의 보안모듈이 구동될 때, 왜 이 설치를 진행해야 하며 설치단계에서 왜 ‘예’ 를 해야 하는지 안내 메시지를 명확히 주고요.

    • 당장답변하세요

      중요한점은 외국에는 보안위협이 더 많음에도 불구하고 ActiveX를 쓰지 않습니다 이거나 생각을 좀 해보세요

      • T. K.

        님, 저도 웹뱅킹이 IE에서만 된다는 것에 화가 많이 난 사람입니다만 지금부터라도 그 문제를 어떻게 해결할 것인가를 이야기하고자 전문가분들도 많이 모여서 이야기하고 계신 것 아닙니까? 바뀌어야 하는 건 분명하지만 지나친 흥분(?)은 자제하셨으면 합니다.

        • 당장답변하세요

          흥분이 아닙니다 거짓말을 하고 있으니 사람을 바보로 취급하는것처럼 보여서 저런식으로 반박한겁니다 보안때문에 ActiveX를 쓴다뇨? 보안을 취약하게 만드는것 아닙니까? 적은 글은 한개 지운거같습니다

        • Sakai Kim

          ActiveX control 을 설치를 했느냐 안했느냐를 원격에서 알수 있느냐의 이슈에 대해서만 저는 답을 달았습니다.

          p.s. 아, 제 글은 제가 지운건 없는데요.

  • 당장답변하세요

    아 그러세요? ActiveX가 이미 설치됬다면 바로 로그인창으로 넘어가는거 상식아닌가요? 그걸 서버에서 모른다는게 말이안되며 ActiveX설치하고 로그인해도 언제 ActiveX받아서 그 다음에 로그인했다는게 증명된답니다 외국에는 ActiveX를 안쓴다는게 가장중요

    • Sakai Kim

      그 ActiveX 가 지금의 AV, 키보드 보안 기능을 넘어서 서버에 지금 로그인한 이 id 는 은행에서 설치하라고 한 보안 ActiveX 모듈들이 설치되어 있다고 정보를 추가로 보내는 기능이 들어간다거나,

      ActiveX 없이 로그인하는 페이지 동선과 ActiveX 구동하여 로그인하는 페이지 동선을 별도로 둔다거나, 방법이야 찾으면 있긴 하겠군요.

      그럼에도 불구하고, 은행이 개인의 보안을 보장을 해줘야 하는 현재 분위기라면 저것이 해답이 될 순 없을 겁니다.

      swlee 님의 이야기도 그것이었고요.

  • Sakai Kim

    ActiveX 자체가 기술자체로 나쁘냐? 보안에 취약하냐? 라는 사항은 적절한 토론 주제가 아닌 것 같습니다.
    online 으로 백신을 구동시키는 방법중 하나로 ActiveX 가 이용된 것 뿐입니다.

    문제가 있다면 유저들이 무분별히 ActiveX 를 설치해 왔었던 것이 문제이지, 보안수단을 배포하는 수단 중 하나로 ActiveX 가 선택된 것이 악한 것은 아닙니다. 온라인 백신이 개발되어 이용될 시기의 효율적인 배포 수단 중 하나일 뿐이죠.

    (물론 일부 은행에서 상세한 설명 없이 무조건 ‘예’ 를 누르라고 한 부분은 개선하면 되는 이슈입니다.)

    현재, “뱅킹 서비스 제공자가 고객 피씨 보안을 위해 최선의 노력을 다해야 하는 상황” 에 대해서 전제를 바꾸지 않을 때, 그리고 고객PC에 일단 백신과 키보드 보안을 제공해야 한다라고 할때, 그리고 ActiveX 기반의 배포방식을 적절히 다른 방식으로 제공하면서도 동일하게 인터넷 뱅킹의 보안수준을 유지해볼 새로운 기술을 모색해보자 라는 토의가 되면 좋을 것 같은데요.

    너무 원색적인 은행에 대한 비난이나 보안업체에 대한 비난은 좋을 것이 없다고 봅니다.

    • 당장답변하세요

      이번엔 왠 딴소리를 하시나요? 제가 묻는말에 대답이나하시죠 솔직히 말해서 ActiveX 자체가 나쁩니다 보안에도 취약합니다 백신설치는 따로받아서 설치해도 되는거고 일부러 ActiveX 쓸 필요도없으며 ActiveX는 나쁘게 개발하면 바로 스파이웨어에 백도어됩니다 물론 일부?(아님 거의다) 은행에서 무조건 “예”를 누르라고 한부분을 개선하려면 강제로 설치하는게 정당하다고 한 Sakai Kim의 주장이 애초에 틀렸다는소리네요 SSL보안은 폼인가? 외국보쇼 어디 은행에서 ActiveX쓴다나? 비난이 아니고 이건 진실을 파해쳐보는거요

      • http://음 제로

        이분은 윈도우가 나쁘다고 할 분이네 ㅡㅡ;;
        ActiveX는 플러그인에 샌드박싱없이 모든 권한을 주는, 말그대로 “자유도가 높은 죄”밖에 없습니다.

        보안에 취약하다는게 정확히 뭘 말하는건지 모르겠지만, ActiveX가 보안에 취약하단 말은 “윈도우는 느려”처럼 추상적이고 이상한 말입니다.

        님 말씀대로라면 모든 실행파일은 루트킷을 등록하고 키로깅도 할 수 있으므로 실행파일은 보안에 취약한 기술입니다.ㅡㅡ;;;

      • 당장답변하세요

        마이크로소프트에서 왜 ActiveX를 뺄려고 하는지부터 알아보시고 저랑 말합시다 도저히 소통이 안됩니다

        • http://음 제로

          현재의 법으론

          “사용자가 보안모듈을 끄는 쪽을 선택했다”는걸 입증해야 한단 말이었습니다.

          안그럼 은행이 책임지는게 현실이란 말이었습니다.

          법부터 바꿔야겠네요. ActiveX가 보안에 취약한 기술이란 이상한 소리 말구요.

          저는 ActiveX 깔기 싫어서 가상머신에서 뱅킹합니다만

          그건 이상한 말입니다.

          ms에서 해당 플러그인을 빼려고 한건

          높은 자유도를 악용하는 나쁜놈들이 많고

          브라우저가 열릴때마다 모두 로드되기 때문에 ie가 느려지기 때문입니다.

          ActiveX는 그냥 기술이므로 악하고 자시고가 아니라, 악용하는 사람이 악한겁니다.

          실행파일이 악하다고 아무도 하지 않습니다.
          키로거 실행파일을 만들어서 악용하는 사람이 악한겁니다.

        • 당장답변하세요

          푸핫 그걸왜 입증못합니까? 보안모듈을 끄는 쪽을 선택했다는것을 왜 입증못한다는게 이상합니다 보안모듈을 껏다면 껏다는 정보가 은행서버로 갈것이며 보안모듈을 켯다면 지금 켜져있다는 정보가 은행서버로 갈것입니다 무슨 황당한소리를 ActiveX는 보안에 취약한 기술이맞습니다 가상머신에서 하세요 누가 하지말래요? 저도 가상화시켜서 사용해요 브라우저가 열릴때마다 모두 로드되니까 보안에 오히려 취약해지는게 아니겠어요? 실행파일보다 더 무서운게 ActiveX입니다 인정하지않는 암울한현실이여

        • 당장답변하세요

          한마디 더 합니다 윈도우는 데스크바에서부터 탐색기에 까서 전부다 ie로 작동됩니다 따라서 익스플로러를 키지않더라도 ActiveX는 컴퓨터킬때부터 계속 작동하고 있다는것이됩니다

        • http://음 제로

          저위에 다 써놨잖아요;;;;

          로그로 입증하라면서요?

          로그로 입증 못한다고 저 위에 그렇게 써놨는데 또쓰란말씀은 아니겠지요 ㅠ_ㅠ;;;

          실행파일도 activex도 다 똑같은 pe포맷입니다.

          activex는 그냥 특정 이름의 함수를 익스포트하는 dll이라구요 ㅡㅡ;;

          자유도가 높은걸 갖고 “보안에 취약한 기술”이라고 하면 어떡합니까;;

          ‘사용자가 예 를 누르도록 훈련될 수 있다’는건 ‘나쁜 컨셉’으로 봐야지 기술자체가 취약한건 전혀 다른얘깁니다.

          보안에 취약하다고 하는건 Null terminated string(strcpy)처럼 bof에 노출돼있다거나, telnet같이 쉽게 스니핑된다는걸 보안에 취약하다고 하지, 저건 다른 문제입니다.

          “보안에 취약하다”는 말의 의미를 서로 다르게 사용했나봅니다.

          저는 그만 쓰겠습니다.

          좋은 주말 보내시길~

        • 당장답변하세요

          그래서 결론은 ActiveX를 은행에서 쓰지말자는겁니다 뭔 오해를 오픈웹도 그걸 바라는거같네요 로그로 입증하라는건 고객이 자신의 pc에 은행배포하는걸 설치했나안했나만 있으면 증명되는거같습니다만? ActiveX는 외국의 전문가들도 다 ActiveX로 보안강화한다고하면 아주 어이가없답니다 좋은 주말 보내시길~

    • Sakai Kim

      이거 실시간으로 답달기 무쟈게 어렵군요. –;
      답이 조금만 늦어져도 혼날 분위기입니다. 벌써 혼났군요.

      현 체제와 분위기에서는 아래 전제를 항상 고려해 주어야 합니다.
      1. 뱅킹을 이용하려는 바로 그 시점에 적절히 보호받을 수 있는 수단이 있는가? (일단 최소한 AV 라도), 뱅킹서비스 제공자는 이용자의 보안을 최대한 담보해 줘야 한다.

      ActiveX 가 사용자 경험을 해치는 문제를 떠나서, 설치형 파일의 문제는 즉시성입니다. 즉 뱅킹서비스를 이용하는 시점에 즉시 on demand 로 구동시켜 줄수 있느냐라는 이슈도 개입되어 있습니다.
      (피씨에는 백신이 없는데, 설치형 백신을 고이 다운로드하고 설치를 안하는 경우도 당연히 있겠죠. 고객의 선택이었을 뿐 우리는 최선을 다했어 라고 할 수 없는 분위기가 바뀌지 않는한 최소한 현재 ActiveX control 로 온라인 백신을 구동시켜주는 분위기는 별로 바뀌지 않을 것 같습니다.

      오픈웹의 주장 중에서 적절한 메시지 안내 없이 무조건 ‘예’ 를 누르도록 유도했다고 하는 부분은 타당한 지적이라 생각되고, ActiveX control 을 완전히 새로운 방법으로 대체하기 전까지라면 설치시 충분한 설명을 담은 메시지로 안내하도록 바꿔야 한다는 이야기입니다.

      ————————————————–
      당장답변하세요 Reply:
      April 3rd, 2009 at pm10:12

      이번엔 왠 딴소리를 하시나요? 제가 묻는말에 대답이나하시죠 솔직히 말해서 ActiveX 자체가 나쁩니다 보안에도 취약합니다 백신설치는 따로받아서 설치해도 되는거고 일부러 ActiveX 쓸 필요도없으며 ActiveX는 나쁘게 개발하면 바로 스파이웨어에 백도어됩니다 물론 일부?(아님 거의다) 은행에서 무조건 “예”를 누르라고 한부분을 개선하려면 강제로 설치하는게 정당하다고 한 Sakai Kim의 주장이 애초에 틀렸다는소리네요 SSL보안은 폼인가? 외국보쇼 어디 은행에서 ActiveX쓴다나? 비난이 아니고 이건 진실을 파해쳐보는거요

      • 당장답변하세요

        프로그램을 받아서 설치를 했나 안했나도 모른단말씀입니까? 프로그램을 설치했으면 설치했다는 정보를 서버에 보내면 그만인걸 왜 어렵게 생각합니까?

        • Sakai Kim

          고객 피씨 보안을 위해서
          은행이 백신을 ActiveX 실시간으로 구동시켜 주거나, setup 형태로 내려받은 백신이 설치가 되어 있는지, 백신이 이미 설치되어 사용중인지 현황을 최소한 체크해야 한다라고 가정해 보겠습니다.

          서버가 무슨 매직뷸릿도 아니고 정보만 무조건 서버로 보내면 된다고 생각하시는지. 여하간 입니다. 참 지엽적인 거로 유치한 답글을 달고 있어서 뻘쭘합니다.

          로그인 시점은 일단 다 무시하겠습니다.

          다운로드 한 것은 웹로그에서 클릭이벤트 추적을 한다 치죠 (클릭만 유발하고 저장을 요구하는 다이얼로그 박스에서 취소해 버릴 수도 있겠지만)

          애시당초부터 난 백신이 있어! 라고 하고 프로그램을 내려받기 조차 안했다면 그사람 피씨에 백신 프로그램이 구동중이란 것은 어떻게 체크하실 건가요?

          참 우스운 일이긴 하지만, 다운로드 후 설치가 확인되었다는 정보를 받기 위해 은행에서 내려받기 하는 백신 셋업 파일에 설치가 확인되었음을 서버로 보내는 기능을 넣었다고 치면, 고객은 자기가 은행이 제시하는 백신설치 조건을 충족시키기 위해 자기 피씨에 다른 종류의 백신이 있더라도 은행에서 배포하는 백신을 한번 더 내려받아서 설치해야 겠군요.

          서버쪽에서 클라이언트 PC 에 백신이 설치되어 구동중인지를 탐지하는 것이 쉽다는 당장답변 님의 취지를 제가 잘못 이해하고 뻘글을 올리는 걸지도 모르겠습니다만,

          p.s.
          개인 피씨 보안은 개인들이 알아서 책임질 일이라고 계속 말씀해 주고 계셔서 평행선입니다. swlee 님이나 제 이야기는 실제로는 그렇게 돌아가고 있지 않다는 거고요.

          일단 모든 것의 전제는, 현 분위기상 은행이 고객피씨에 강제설치/구동을 하면서까지 고객피씨 보안을 챙겨야 하는 상황인 것, 개인의 귀책사유를 잘 인정하지도 않지만 입증하기도 어렵다는 점입니다. (게다가 법정까지 가면 백신을 깔았냐 안깔았냐 유무로 그 시점에 피씨보안이 충분했냐 안했냐를 단순히 가릴 수도 없습니다.)

          또, 드리고 싶은 말씀은 ActiveX 형태로 백신이 배포되고 구동되는 것은 효율의 문제일 뿐, setup 으로 배포를 안했다는 이유만으로 이 행위가 오픈웹에서 까고 있는 것처럼 나쁜 행위가 아니라는 점.
          악성 ActiveX 가 있는 것이 문제이지 온라인 백신이 ActiveX 로 구동되는 것 자체가 문제가 될 거리는 아닙니다. (은행들에서 메시지를 좀더 제대로 해야만 했던 것은 맞습니다.)

          고객피씨 보안을 고객이 제대로 챙기고 고객 책임하에 있다는 것이 명확하다면 이런 잡스런 논의는 할 필요도 없습니다. ActiveX 형태로 백신이 구동되면 어떻고 setup 형태로 배포되면 어떻고, 심지어 고객이 나는 백신 이미 있으니 다운로드 안받아 라고 선택할 수도 있겠죠.

        • 당장답변하세요

          애시당초부터 난 백신이 있어는 상관없구요 은행에서 배포한게 아닌 개인적으로 설치한백신이니 아무 상관이없습니다 나머지는 볼게없네요 오픈웹이나 저나 ActiveX의 문제는 외국처럼 처!!!! 하라는소리고 미국이나 일본은 왜 보안강국이면서 ActiveX를 안쓰는지도 좀 아시고 저를 무시하는행위는 좀 그렇네요 아무리 모른다고해도 나름 생각은 하고 말하는거니 그렇게 무시하지는마십시오 많이도 쓰셧으나 별로 아 그래서 그렇구나 라는 생각이 들지는 않네요 거의 낚시용이랄까? 이러저리 돌리는 말재주는 탁월하시네요 개인이 설치했으면 기존의 강제설치랑 동일한거며 설치안했으면 고객동의하에 자신의 컴퓨터보안만으로 뱅킹을하겠다는데 무슨 말이 많소? 그리고 법정에가서 그 책임은 고객이 지겠다는거요

        • 당장답변하세요

          참 견발자스럽습니다? 개인이 설치한 백신은 아무 상관이없다고요 문제는 은행에서 배포한걸 설치했냐?라는 겁니다 “다운로드 한 것은 웹로그에서 클릭이벤트 추적을 한다 치죠 (클릭만 유발하고 저장을 요구하는 다이얼로그 박스에서 취소해 버릴 수도 있겠지만)” 이거 뭔솔? 뭔솔? 논지를 벗어난 소리아닙니까? 무슨 다운로드입니까? 은행에서 설치하라는거? 그거야 설치하고 은행서버와 연동되면 그만이라고 몇번을 설명해줘야하는지?

        • 당장답변하세요

          이건뭐요? , “고객은 자기가 은행이 제시하는 백신설치 조건을 충족시키기 위해 자기 피씨에 다른 종류의 백신이 있더라도 은행에서 배포하는 백신을 한번 더 내려받아서 설치해야 겠군요” 이거 은행에서 강제로 ActiveX를 이용해서 고객pc에 백신이 있음에도 불구하고 설치시키는거랑 다른게뭡니까?

        • Sakai Kim

          제 글의 핵심은 이겁니다.

          “애시당초부터 난 백신이 있어! 라고 하고 프로그램을 내려받기 조차 안했다면 그사람 피씨에 백신 프로그램이 구동중이란 것은 어떻게 체크하실 건가요?”

          웹표준기술만을 이용해서 피씨에 백신이 설치되어 구동중인지를 탐지할 수 없다는 뜻입니다.

          전제조건: 은행이 고객피씨 보안을 최대한 신경써 주기 위해서 백신을 ActiveX 형태로 구동시켜주고 있었는데, 이것을 거부했을 경우.

        • 당장답변하세요

          와우 참 어이없으시네요 나의 pc에 백신이 있고없고는 고객이 판단하는 범위에 해당됩니다 그사람 pc에 백신 프로그램이 구동중인 은행에서 몰라도 되는데 문제는 고객이 자신의 pc에 백신이 있는지 없는지 살펴보고 없으면 받아서 설치하면 그만이라는겁니다 그리고 그 받은 백신은 은행서버와 연동되면 그만이라는겁니다 ActiveX를 거부했을경우 개인pc보안은 해당 고객이 책임진다는 전제조건이 들어가야겠습니다 개인pc에 개인이 따로 설치한 예를들어 카스퍼스키나 비트디펜더같은 이런걸 체크하는게 아니라 은행은 자신이 배포한 백신만 체크되면 되는겁니다 웹표준기술을 쓴다면 ActiveX는 당연히 쓰지말아야 하는게 기본적인거고요

  • http://음 제로

    당장답변하세요// 워워.. 조금만 흥분을 가라앉히시고^^;;

    로그는 원래(특히나 뱅킹서버로그는) 엄청나게 쌓이죠.

    뱅킹 특성상 몇달/몇년 뒤에 피해를 인지할 수도 있는데

    로그를 오래 보존하는건 굉장히 힘든 일입니다.

    게다가 유동ip를 쓴다면, 로그를 찾더라도

    이게 고객이 로그인 한건지, 해커가 키로거로 빼낸 계정으로 직접 로그인한건지

    구분하는 것은 불가능합니다.

    (isp업체의 유동ip 로그 역시 엄청 쌓여서 몇달/몇년 보관하긴 어렵죠)

    그럼 이런 주장이 가능하게 됩니다.

    “난 무조건 집에서 보안 플러그인을 깔고 뱅킹한다.
    누가 플러그인없이 로그인했다면 해커가 한거다.
    보안모듈 쓰면서 뱅킹했는데 키로깅 당했다면 보안모듈/은행의 책임이다”

    이걸 반박하기 위해 은행은 그 당시에 그 계정으로 로그인한 ip/플러그인정보와 isp에 공식요청을 해서 그 시점에서 그 ip를 쓴 사람이 피해자라는 것을 입증해야만 합니다.

    이건 불가능할 뿐더러, 만약 그사람이 피시방이나 다른 곳에서 보안모듈 없이 뱅킹해놓고 발뺌한다면 입증은 아예 불가능해집니다.

    우리는 은행을 압박하는 길 밖에 없습니다.
    파폭 사용자가 많고, 그들이 뱅킹을 원한다는것을 어필해야
    은행이 고객 유치를 위해 투자를 하게 될 겁니다.
    국민은행처럼요.

    • 당장답변하세요

      해커가 키로거로 빼는 계정은 이미 인터넷뱅킹을 하기전에 자신이 컴퓨터를 관리못하거나 아니면 해킹당하여 유출된걸 의미하고 이는 은행책임이 없습니다, 누가 플러그인 없이 로그인했다면 해커가 한거다? 이것도 이미 사전에 개인정보가 유출됬다는 의미이므로 은행에서 책임질 이유는 없다는겁니다, 보안모듈자체가 허접해서 뭐 키로깅 당하겠지만 자신의 컴퓨터가 엉망(악성코드가 많거나 등)이라는것을 증명하는꼴입니다 pc방에서 하던 어디서 하던 입증은 가능합니다 pc방에서 하는사람이 좀 이상한거 아닌가요? pc방에서 키로그가 설치되어있을수도 있고 누가 뒤에서 엿볼수도 있는겁니다 pc방에서 했다는자체가 좀 어리석은짓이죠 그리고 보안모듈을보니 ActiveX를 의미하는것같은데 pc방에 미리 ActiveX가 설치됬다는 바로 로그인창이나 결제창이뜨고요 설치가 안됬다면 ActiveX를 설치하라는 창이 뜬다는 사실을 아직도 무시하는건지 아님 모르는건지 심히 의심스럽네요

      • http://음 제로

        휴… 누가 그사람들이 잘한거래요?

        그렇게 해도 로그따위론 입증이 불가능하다는 얘기를 하는거잖아요

        그렇게 한다고 해도 은행이 입증을 못하기 때문에 소송가면 은행이 불리해지고, 그럼 은행이 도입할리 없잖냔 말을 하는겁니다.

        대화가 안되네;;

  • 당장답변하세요

    저도 대화가 안되서 심히 답답합니다만 외국에서 하는방식으로 우리나라에서도 하시죠? 관련법률도 바꾸고 사실 위헌수준이니 무슨 입증을 해야한다는건지 모르겠습니다 은행은 설치하라는 프로그램을 고객이 설치하고 뱅킹을 했나? 아니면 그냥 설치안하고 했나?가 중요한문제라고 생각합니다 나머지는 이제 은행이 알 필요는 없죠 설치하고 문제가 발생하면 은행에서 배포하는 프로그램에 이상이 있는거죠 사실 이런거 설치안하는게 더 좋습니다

  • Pingback: 대통령 후보에게 바라는 것들 | Open Web

  • Pingback: 안철수 교수님께 드리는 공개 질문 | Open Web

«

»