저는 보안 프로그램을 “우선 설치”하도록 하는, 아래 근거 규정이 도입된 내막을 조금은 알고 있습니다(더 자세한 설명은 여기 있습니다):
이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자PC에 개인용 침입차단시스템, 키보드해킹방지 프로그램 등의 보안프로그램을 설치할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능)
지금과 같은 난장판이 생기게 된 원인을 지목하라면, 바로 이 규정일 것입니다.
이 규정은 얼핏보면, 은행이 원한 것 같지만, 법리적으로는 그렇지 않습니다. 이 규정은 은행을 “구속”할 뿐, 은행에게 별 이익을 주는 규정이 아닙니다. 은행의 배상책임을 덜어주는데 이 규정이 사용될 것 같지만, 은행의 배상책임은 상위법(전자금융거래법 제9조)이 이미 정하고 있고, 이런 ‘시행 세칙’ 따위로 상위법 규정을 뒤집을 수는 없습니다.
이 규정이 하는 역할은 “더 우월한 본격적 보안 프로그램”을 스스로 구입한 고객과, 아무 보안 프로그램도 사용하지 않는 고객을 “도매금”으로 불리하게 만드는 것입니다. 따라서 국내 고객들이 사용하는 보안 프로그램의 수준을 전반적으로 “하향 조정”하는 결과를 낳게 됩니다.
즉, 고객들이 본격적 보안 제품을 사서 쓰건 말건, “공짜로” 제공되는 일부 업체 제품을 억지로 사용하게 만듦으로써, 그 업체의 brand exposure(브랜드 인지도)를 확보해 줍니다. 자기 돈을 들여 본격적 보안 제품을 구입해도 이렇게 시달리게 되므로, 아예 전문 보안 제품은 안사게 되는 것입니다.
보안 기술의 경쟁력은 없고, 고차원의 경영 지식만 있는 보안 업자라면 이 규정이 장/단기적으로 어떤 혜택을 가져올지 잘 알고 있을 것입니다. 그깢 플러그인 좀 뿌린다고 해서 보안업체에게 돈이 드는 것은 아닙니다. (오히려 은행으로부터 돈을 챙깁니다.) 어차피 아무도 사가지 않을 쓰레기에 불과하지만, 은행으로부터 돈을 받고, 그것을 은행고객들에게 대대적으로 뿌려댐으로써 얻는 상당한 이득이 있습니다(브랜드 인지도에 기대어 문어발식으로 사업영역을 보안 외의 분야로 확대하고 싶은 업체인 경우, 특히 그렇습니다).
제가 “쓰레기”라는 자못 과격한 표현을 사용하는데는 이유가 있습니다. 실행되자 마자 2-3초만에, “알려진 해킹툴이 없는 것을 확인하였습니다”라고 뻥을 치는 프로그램은 “쓰레기”일 수 밖에 없습니다. 은행에 접속할 때마다 10여초 이상씩 바이러스 검색엔진을 업데이트 한답시고, 화면 한 복판에 회사 로고를 띄우고 고객을 기다리게 만드는 바이러스 프로그램은 보안 프로그램이 아니라, 회사 선전 광고에 불과합니다. 제대로 된 안티 바이러스 프로그램은 백그라운드에서 조용히 바이러스 엔진을 업데이트 하고, 이용자의 컴퓨터 사용에 지장이 없도록 합니다. 아무것도 못하고 다운로드 진행 바(bar)가 나타나는 화면만 쳐다보도록 강요하는 프로그램은 보안 전문가의 작품이 아니라, “경영/광고 전문가”의 작품입니다.
참고로, 은행이 멀쩡한 자기 돈을 보안 업체에게 울며 겨자먹기 식으로 지불하고 보안업체를 선전하는 찌라시 수준의 프로그램을 고객에게 뿌리도록 만드는 “정신 나간” 규정을 두는 나라는 지구상에 한국을 제외하고는 없습니다. 제 정신이 있는 나라에서는 보안 업체들이 은행 홈페이지에 자기의 보안 제품을 안내하는 내용을 포함시키기 위하여 은행에 돈을 지불합니다.
은행이 주는 보안 프로그램을 꼬박 꼬박 설치한 고객이 해킹 사고를 당하면 은행이 순순히 책임져 주느냐? 아닙니다. “인터넷뱅킹 사고 은행 책임 없다…은행聯“. 반대로, 보안 프로그램을 설치하지 않은 고객이 해킹 사고를 당하면 무조건 고객이 책임 져야하느냐? 단언컨대, 그런 법은 없습니다. 어느 경우든, 법원에서 치고박고 한바탕 싸워야 결론이 나게되어 있습니다. 이 규정은 오직 일부 보안업체의 선전/영업을 위해서 존재할 뿐입니다.
제가 제기한 문제에 대하여 많은 분들이 “갑/을”의 관계를 거론합니다. 그리고 저의 어조가 “공격적”이라고 놀라시는 분들도 계십니다. 그리고, “전국민의 안전을 위하여 좋은 프로그램을 무료로 선사하는 훌륭한 기업”을 헐뜯는다고 의아하게 생각하시는 분도 계십니다.
저는 “갑/을”의 문제를 이야기 하는 것이 아니라, 보안업체 관계자들이 금감원에 접근하여 지금껏 해온 여러 부도덕한 시도들을 이야기 하고자 합니다. 그리고, 이 세상에 공짜는 없습니다.
전적으로 동감합니다.
내달부터 행정기관 도입 PC는 윈도 XP우선 활용
http://news.naver.com/main/read.nhn?mode=LSD&oid=277&aid=0001994076
,
정부나, 대학교나,
설치된 건,
MS 윈도우 아니던가요?
정부나, 대학교나,
설치된 건,
MS 윈도우 아니던가요?
//
맞습니다. 어디서나 MS윈도우가, 아니 심하게 말하자면 MS윈도우밖에 없지요.
그런데 문제의 포인트를 잘 못 짚으셨습니다.
MS윈도우 자체는 쓰레기가 아닙니다. 멀쩡한 운영체제입니다. 돈받고 팔만한 – 물론 기술적으로 뒤쳐진 부분도 있고 개인적으로는 맘에 안들어서 안쓰고 있지만 – 운영체제임에는 확실합니다.
문제는 MS윈도우 Only강요, MS에서조차도 포기한 보안채택방식에 대한 강요, MS-정부-기업과의 결탁등에 있지 않을까요.
MS윈도XP를 사용한다고 해서 무조건 해킹당하는것이 아니고 무조건 바이러스 깔리는것이 아닙니다.
MS윈도를 사용해도 올바른 보안방식을 채택하면 그 가능성은 극히 낮습니다.
다시 말해 문제는 대한민국의 99%의 운영체제가 MS윈도우라는것에 있는것이 아니라, 그 99%라는 기반을 악용한 정부-기업-은행-대학들의 잘못된 보안방식채택에 있는겁니다.
대학사이트들, 은행사이트들, 정부사이트들이 ClossBrowsing과 웹표준, 제대로 된 보안방식만 채택한다면 전혀 문제될것이 없어보이는군요.(적어도 보안관련해서요. 독과점문제는 달리 봐야 할 문제구요.)
여기를 방문해 보시기 바랍니다. http://offree.net/entry/Faking-Spyware-Removal-Tool
그리고 여기도, http://channy.tistory.com/275 (“내 안에 ActiveX 100개 있다!”)
이제, “액티브No!” 라는 소비자 운동을 시작해야 할 듯합니다. 이쁜 로고가 하나 있으면 좋겠는데…
안철수 연구소는 어서 그 입장을 솔직히 밝혀주시면 좋겠습니다.
업계에 있는 사람으로서 제가 생각하는 문제의 근원은 좀 다릅니다.
일단 교수님께서 생각하시는 것처럼 현재 ActiveX 천국은 아래의 전자금융법 9조 및 위의 전자금융감독규정 시행세칙 제29조 제2항 제3호에서 비롯됩니다.
전자금융법 9조(발췌):
①금융기관 또는 전자금융업자는 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다.
②제1항의 규정에 불구하고 금융기관 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 경우에는 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다.
1. 사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우
하지만 법 자체가 아무런 영향력이 없습니다. 법은 책에 쓰여진 글자일뿐 누군가 그 법을 실질적으로 집행하는 자가 없으면 현실에 영향을 미치지 않죠.
그럼 현 상황에서 이 집행자가 누구인가…? 바로 금융감독원입니다. 실제적으로 은행 등의 금융기관은 금융 웹사이트의 보안측면에 대해서 그리 능동적으로 대응하지 않습니다. 거의 모든 일은 금융감독원의 지침에서 비롯됩니다.
2~3년 이상된 인터넷 뱅킹 사이트가 ActiveX가 설치되어 있지 않으면 홈페이지에 들어가지도 못하는 반면, 요즘 새로 구축된 인터넷 뱅킹 사이트는 방화벽이나 안티피싱은 마음대로 켰다 껐다 할 수 있는 것도 모두 금감원 지침의 변화에 따른 것입니다.
이런 현실을 고려하면 은행등은 이 문제에 대해서 꼭 책임을 묻기 어렵습니다. 보안에 관해서는 영혼이 없이 금감원 지침만 따라 온 것이니까요.
실질적으로 은행이 비 IE 브라우저를 지원하고자 하더라고 가장큰 문제는 금감원에서 인정하는 보안을 갖추는 것입니다. 그런데 이게 쉽지 않은게 금감원에서 인정하는 것이라 하면 보통은 국정원 심사를 통과한 것만 의미하니까요.
금감원의 지침은 끝이 없습니다. 최근만 하더라도 e2e 보안이라는 것을 들고 나왔습니다. 일반 고객의 컴퓨터는 절대 믿을 수 없으니 최대한 취약점을 줄이고자 키보드에서 은행서버까지 직통으로 연결되는 암호화 구간을 만들겠다는 것이죠. 뭐 보안측면에서는 좋을지 모르겠지만 이로서 적어도 앞으로 수년간은 윈도우-IE 가 아닌 다른 환경에서 인터넷 뱅킹이 힘들정도로 큰 제약입니다.
요즘 오픈웹이 다시 주목을 받으면서 추진력이 생기는 것 같은데 이번엔 정확히 핵심을 찾아 영향력을 발휘했으면 좋겠습니다. 다시 말해서.. 말도 안되는 금감원 규정 및 지침 좀 같이 때려 부수면 어떨까요? ㅎㅎ
ps. 공무원/공기업임직원의 일처리 방법에서는 위의 지침 하나하나 만들어 아래에 보내는게 하나의 ‘성과’가 됩니다. 그래서 지침은 계속 생기고 지침이 생기니 감독할 것도 늘어나고 그럼 힘도 생기는 거고.. 아무튼 그렇습니다.
예를 들어 보면..
1) XX은행 온라인 뱅킹이 해킹당해서 뉴스에 터졌다
2) 금감원의 책임자가 이리저리 알아봐서 해킹당한 원인을 파악하고
3) 보안업체와 상의해서 문제 해결 방법(더 많고 더 복잡한 ActiveX의 설치)을 만들어내고
4) 지침등의 형태로 산하 금융기관에 강요하면
5) 책임자는 인터넷 뱅킹의 안정성을 높이게 되서 성과가 생기고… 인정도 받고… 승진도 하고..
6) 보안업체는 새로운 ActiveX를 금융기관에 팔수 있으니 돈버는게 땅집고 헤엄치기가 됩니다.
금감원의 책임자가 보안업체의 뇌물을 받은게 아니더라도 이런식으로 공생의 관계가 생기게 될 듯 하네요. 뭐 그동안 국내 웹 환경은 죽어 나가겠지만 -_-
추가적으로.. 좀 덧붙입니다.
많은 분들이 이야기하는 것과는 달리 전자서명 등의 기술은 의외로 진입장벽이 낮습니다.
암호학 관련 학위가 없어도, 전자서명과 관련하여 경력이 없어도, 중간 이상의 프로그래밍 실력만 있다면 누구나 현재 인테넷 뱅킹 홈페이지에 등장하는 전자서명 플러그인을 만들 수 있습니다.
인터넷 뱅킹이 비 MS, 비 IE 브라우져에서 안되는게 관련 기술이 난이도가 높아서 너무 큰 비용이 생긴다는 변명은 정말로 말이 안됩니다.
viz/ 저도 같은 생각입니다. 그러나, viz 님께서 정확히 지적해 주신 1) – 6) 단계 중, 3)을 주목하시기 바랍니다.
금융사고가 터지면, 금감원은 보안업체 관계자와 상의하게 되있습니다. 은행과 상의하지는 않습니다.
바로 이 단계에서 온갖 협잡에 가까운 황당 무계한 해법을 금감원 공무원들에게 “조언”해온 자가 누구입니까? 바로 보안업체입니다. 자신들의 사업에만 가장 유리한, 기술전문가의 윤리로서는 도저히 해서는 안될, 끔찍한 짓을 “조언”이라는 이름으로 컴맹 공무원에게 제안하면, 컴맹 공무원은 그대로 행동하게 되어있습니다.
viz 님이 정확히 파악하신 “공생관계”에서 실제로 “칼자루”를 쥐고 휘두르는 자는 공무원이 아니라, 보안 업체입니다.
은행은 이 공생관계에서 흘러나오는 더러운 고름과 같은 쓰레기를 억지로 꾸역꾸역 “복용”하도록 강요되어 왔습니다. 그걸 먹은 은행이 토해내는 오물을 모든 금융고객이 자기의 컴퓨터에 설치하도록 강제되는 구조입니다.
그동안 뒤에서 컴맹 공무원을 조종하다시피 해 온 보안업체 관계자들이 이제 공개적으로 해명하기를 촉구합니다. 왜 그런 “조언”을 지금껏 반복해 왔는지.
현 사태는 거의 보안업체들의 직무유기를 넘어서 사기에 가깝습니다. 이제는 기술적으로 무지한 공무원이 누구를 믿어야 합니까?
viz 님, 제 목표도 시행세칙 제29조 제2항 제3호를 폐기하는 것입니다.
그러나, 이 조항은 정확한 기술/법률 지식이 없는 분이 얼핏 보시기에 “꽤 괜찮은 조항” 처럼 보이게 되어 있습니다. 따라서 당장에 폐지를 주장할 경우, 실패할 가능성이 큽니다.
우선 이 조항이 무슨 역할을 하고, 누가, 어떤 의도로 도입했는지에 대한 활발한 논의를 거쳐야, 이 조항이 얼마나 비열한 의도를 숨기고 있는지가 드러납니다. 그리고 이 조항이 끼치고 있는 막대한 해악에 대해서도 이해할 수 있게 됩니다.
폐지 주장은 그때 하면 됩니다.
viz 님 말씀대로, 이 조항때문에 국내 웹 환경은 죽어나가게 되어 있고, 보안업체라는 자들은 그 시체를 몰래 뜯어먹으며, 겉으로 번드르한 간판을 걸고 있습니다.
“보안경고창이 나타나면 반드시 ‘예’를 선택하기 바랍니다.” 이것이 양심을 가진 보안업체가 할 말입니까?
viz/ 그리고, 법률가 입장에서 현행 조항을 막바로 공격하기는 쉽지 않습니다. 조항을 자세히 보시면, 보안 프로그램을 “우선적으로 …설치”하라고만 되어 있을 뿐, “웹브라우저 플러그인 방식으로 배포/설치하라”고 되어 있지는 않습니다.
따라서, 우리가 현행 규정을 가지고 문제 삼으면, 정작 공무원은 “우리가 언제 플러그인 방식으로 설치하라고 했냐?”라고 반문할 여지가 있습니다.
물론, 이 규정을 “조언”하고, “도입하도록” 영향력을 행사한 사기꾼들은, 플러그인 방식을 마음 속에 전제하고 있었을 것입니다. 그렇지만 차마, 규정에 “ActiveX 로 설치하고, 고객에게 반드시 ‘예’하라고 안내할 것”이라는 말을 적어넣기가 좀 찔리니까, 그냥 “우선적으로 … 설치”하라는 표현을 규정에는 사용하고, 실제로는 ActiveX를 뿌려대는 것입니다.
이 규정이 과연, 바이러스를 퍼뜨릴 “의도”로 도입된 것인지를 논란할 필요는 없습니다. “의도”가 무엇이건 간에, “결과”는 분명합니다: 온 국민이 “반드시 예”를 눌러대면, 바이러스 확산에 최적화된 환경이 조성되는 것이고, 온 국민과 금감원 공무원은 일종의 “공황 상태”에 빠지게 되어, 그저 보안업체가 하라는 대로 할 수 밖에 없는 것입니다.
국내 관행이 그랬다느니, “갑”이 시켰다느니 하는 수작은 속이 뻔히 들여다 보이는 핑계에 불과합니다. (보안과 관련없는) 다양한 서비스 설계에서 ActiveX를 무신경하게 뿌려대는 국내 관행에 대하여 “보안업체”가 문제점을 지적하지 않으면, 누가 문제를 지적하겠습니까? 그리고, 이따위 규정을 “갑”이 도입했습니까?
사기를 쳐도 어느 정도 앞뒤가 맞게 쳐야 속아넘어갈 것입니다. 사기를 칠 의도가 없었다면, 지금이라도 신속히 해명하면 되지 않겠습니까?
맞은 말씀입니다. 아무리 알약, v3lite 등등 무료라는 이름으로 많은 사용자들이 사용하고 있지만, 그들은 자원봉사 단체들이 아닙니다.
- 세상에 공짜는 없다 -