한국 씨티은행 은행장 귀하
서울 중구 다동 39 (우: 100-180)
귀측 2009.3.26.자 회신 감사드립니다. 다음과 같이 후속 문의/요청 드리오니, 신속히 처리해 주시기 바랍니다.
1. 전자금융 감독규정 시행 세칙 제29조 제2항 제3호
귀측 회신의 요지는, 위 시행세칙 규정은 “본인이 동의하는 경우에는 보안프로그램 해제 가능”이라고만 되어 있을 뿐, “본인이 동의하는 경우에는 보안프로그램 해제를 가능하게 해야 한다”는 취지가 아니라는 것으로 보입니다. 따라서, 귀측은 고객이 동의하는 경우 보안프로그램을 해제 가능하게 할 수도 있고, 해제 못하게 할 수도 있다는 주장을 제기하고 있습니다.
그러나, 귀측의 해석은 규정과는 어긋납니다. 규정에는 “해제 가능”이라고 되어 있는데, 귀측은 이를 “해제 가능 또는 해제 불가능”이라고 해석하고 있습니다. 규정에도 없는 “해제 불가능하게 할 수 있음”이라는 말을 귀측이 일방적으로 읽어넣는 것입니다. 규정에 적힌대로, 해제 가능하게 해 주시기 바랍니다.
2. 공정거래법 위반
귀측의 논지는 “끼워팔기가 되려면 다른 상품을 ‘구입하도록 하는 행위’가 개입되어 있어야”하는데, 귀측은 보안프로그램을 무료로 제공하므로 끼워팔기가 아니라는 것입니다.
귀측 주장은 공정거래위원회의 심결례와는 어긋나는 것으로 보입니다. 공정거래위원회는 비록 부상품이 무료라 할지라도 결합관계가 인정되면 끼워팔기에 해당한다고 결정한 바 있습니다(2002경촉0453):
공정거래법 및 시행령에는 결합판매가 성립하기 위한 요건으로서 소비자들이 유상으로 부상품을 구입할 것을 규정하고 있지 않다. 따라서 강제성 이외에 유상성은 결합판매가 성립하기 위한 필수적인 요건이 아닌 바, 이는 미국이나 EU의 공정거래법 관련규정이나 판례상으로도 인정된다. 그러므로, 설사 피심인들이 WMS를 무료로 거래상대방인 소비자에게 제공하고 있어 유상이 아니라 하더라도, 피심인들이 윈도우 서버 운영체제에 WMS를 결합하여 판매함으로써 WMS 구매 자체에 대한 강제성이 인정되는 한 구입강제성은 인정되는 것
3. 귀측 제공 보안프로그램의 유상성
귀측은 마치 보안프로그램을 귀측 고객에게 ‘무상’으로 제공하는 듯 주장하나(‘구입하도록 하는 행위’를 한적이 없다는 주장), 귀측의 고객은 각종 수수료 명목으로 귀측에게 금전을 지급하고 있습니다. 귀측이 제공하는 보안프로그램에 대한 대가는 귀측이 고객으로부터 징수한 수수료에 포함되어 있다고 봅니다. 2006년 한해 동안 귀측이 그 고객으로부터 징수한 수수료는 2178억원 입니다. 2008년 한해 동안 귀측이 고객으로부터 징수한 수수료는 얼마이고, 그 중 보안프로그램 구입, 운용, 유지, 보수 대가로 귀측이 2008년 한해 동안 지불한 액수는 얼마인지를 항목별(보안접속 프로그램, 키보드 보안, 개인방화벽, 안티바이러스 프로그램)로 밝혀주시기 바랍니다. 고객이 지급한 수수료가 어디에 얼마나 사용되는지는 고객이 알 권리가 있다고 생각합니다.
4. 이른바 ‘공인인증’ 프로그램
현재 귀측이 고객들에게 설치를 강요하는 INISAFE Web 7.0 이라는 私製 프로그램에는 다음과 같은 여러 프로그램들이 한 꾸러미로 결합되어 있습니다:
“공인인증”이라고 적힌 프로그램은 인증서를 발급할 용도로 귀측이 사용하는 소프트웨어입니다. “공인인증서”를 발급하는 업무는 반드시 감독관청의 심사를 받은 소프트웨어(가입자 설비)를 사용하도록 법령에 규정되어 있습니다(전자서명인증업무지침 제24조 제1항 ["사용 가능"이라고 적혀있지 않습니다 ㅋㅋㅋ 편지에는 적지 않았음]). 감독관청의 심사도 받지 않은 私製소프트웨어로 마구 발급해 온 인증서를 지금껏 “공인인증서”라고 표시한 근거를 제시해 주시기 바랍니다.
전자서명법은 “제15조의 규정에 따라 공인인증기관이 발급하는 인증서”를 공인인증서로 정의하고 있습니다. 발급 ‘주체’가 공인인증기관이기만 하면 ‘어떤 수단과 방법으로, 어떤 소프트웨어를 사용하여 발급되었건 간에’ 무조건 모두 “공인인증서”로 된다는 입장이신지를 밝혀주시기 바랍니다.
이상 질의/요청에 대한 귀측 입장을 2009.4.7. 까지 회신해 주시기 바랍니다.
2009.3.27.
교수님, You are a true Star !!!
씨티은행에서 배포하는 “공인인증” 프로그램이 감독관청의 심사를 받지 않았다는 것은 어떻게 아셨나요?
혹시 감독관청의 심사를 받은 소프트웨어의 목록이 어디에 있나요?
현재, 감독관청(행정안전부)의 심사를 받은 공인인증용 클라이언트 소프트웨어는 5개 공인인증기관이 직접 배포하는 소프트웨어 뿐입니다.
사설 보안업체가 만든 私製소프트웨어는 모두 행안부 심사를 받지 않은 것입니다.
KISA 스스로도 私製소프트웨어는 전자서명인증업무지침 제24조 제1항이 말하는 “시설과 장비”에 해당하지 않는다(즉, 그런 소프트웨어로 공인인증업무를 수행하는 것은 위법하다)는 점을 저에게 회신하였습니다.
KISA가 자체 운영하는 “구현적합성 평가 제도”가 있습니다. 이 평가를 통과해도, 여전히 그것은 법령이 말하는 공인인증용 가입자 설비는 아닙니다. 이점도 KISA 가 이미 제게 회신하였습니다.
“보안프로그램 구입, 운용, 유지, 보수 대가로 귀측이 2008년 한해 동안 지불한 액수는 얼마인지를 항목별(보안접속 프로그램, 키보드 보안, 개인방화벽, 안티바이러스 프로그램)로 밝혀주시기 바랍니다.”
얼마정도로 예상들 하십니까? 은행들이 보안업체에 제공하는 액수는 1년에 약 비싸면 2000만원, 싸면 500만원도 합니다. ㅋㅋㅋ…
보안업체들도 울며 겨자먹기로 납품합니다. 은행권에 들어가는 제품은 유지보수비용이 엄청나게 들어가고 개발도 힘듭니다. 보안업체들도 손해보고 있는 회사들이 많죠… 점유율이 아주 높은 업체는 그렇지 않겠지만.. 점유율이 별볼일 없는 회사들은 그렇습니다.
참고로 오픈웹에서 자주 공격하는 안철수연구소의 경우 점유율이 10%내외 입니다.
에고/ kwang/
보안업체가 멍청해서 그런것이 아니라, ‘영악해서’ 이지경이 되었다고 저는 생각합니다.
해당은행 사이트에 접속해 있는 동안만 실행되고, 그 사이트를 벗어나는 순간 꺼지는 방화벽, 안티바이러스 프로그램을 “보안에 도움이 된다”며 팔아먹고, 공무원을 꼬드겨, 괴상한 규정까지 박아넣으려면 여간 ‘영악하고’, 뻔뻔스럽지 않으면 어렵겠지요.
보안업체가 은행으로부터 얼마를 받는지는 기다려 보십시다. 원래는 업체가 은행에 돈을 주고 자기 업체 선전 찌라시 수준의 이런 샘플 프로그램을 은행고객들에게 배포해달라고 애걸해도 은행이 거부해야 옳을 프로그램입니다. 은행으로부터 돈을 받고 이런 찌라시를 뿌려대는 상황을 모두들 당연하게 여겨왔다는데 문제가 있습니다.
씨티은행의 ‘궤변’에 가까운 대답은 진정한 금융거래 보안에 관심이 있는자의 사고방식이 아니라, 모든 수단과 방법을 동원하고, 어떤 궤변을 구사하더라도, “우야든동” 보안업체의 선전 프로그램만은 기필코 꼭 뿌려대고 싶은 자의 논리입니다. 그런말이 은행 관계자의 입을 통해서 나온다는 것은 그리 신기하지 않습니다. 보안프로그램에 관한 저의 질문을 받은 은행직원은 보안업체와 변호사에게 문의하였을 것입니다.
변호사는 이 분야기술을 전혀 모릅니다(그점은 제가 어느 정도 자신있게 말씀드릴 수 있습니다). 결국 보안업체의 몰염치한 주장이 보안 기술을 전혀 모르는 은행관계자와 법률가들 입을 통해서 재탕되어 나도는 것입니다.
“현재 보안접속을 구현하는 안전성이 검증된 상용화 된 솔루션은 ActiveX 플러그인 밖에 없다”는 새빨간 거짓말이 공무원, 은행관계자의 입에서 지겹도록 반복되어 왔습니다. 이 거짓말이 누구 입에서 처음 나왔겠습니까?
한국 보안업체? 더이상 말을 하지 않겠습니다.
저는 보안전문가가 아닙니다. 그러나 컴퓨터 지식이 없는 대부분 고객들은 자기 컴퓨터에 은행이 제공한 방화벽/안티바이러스 프로그램이 여러 개 깔려있으니까, 자기는 상시로 안전하게 보호되고 있다고 순진하게 믿고 있습니다. 그러나 실제로는, 은행사이트에 접속하지 않거나 은행사이트를 벗어나는 순간 고객은 완전 무방비 상태로 내몰립니다. 이런 짓은 “고객을 속이는 일”이라는 정도는 판단할 수 있습니다.
일단 이에 대한 추가 답변이 기대되는군요.
첫 답변과 마찬가지로 억지를 쓸 가능성이 농후해 보이긴 합니다만…
에고님의 반론은 오픈웹의 주장을 오히려 뒷받침하는 논리인것 같이 들리네요. Red Ocean에서 살아남으려고 무한경쟁적으로 가격전쟁을 해가면서 제품/서비스를 납품하려는 중소IT업체의 현실은 그리 놀랄만한 사실이 아니지요. 거의 무상으로 서비스를 제공하면서까지, “공짜”에 가까운 프로그램을 뿌려가면서까지 시장인지도를 확보하려고 하는 모습이 안타깝게 느껴지긴하지만 보안업체의 본질과 존재가치를 오히려 스스로 낮추는 행태가 아닐까요? 거의 공짜에 가까운 Plug-in이나 개발해서 “울며 겨자먹기로” 금융회사들에 공급하는 업체의 보안기술과 실력이 과연 어느 정도일지 의심이 가는 것은 당연한것 아닌가요? 그런 중소업체들을 갑 입장에서 이용하는 금융기관들도 도덕성이 마비됐지만, 금융기관들의 무지를 이용하여 출혈경쟁하는 보안업체들의 고충은 어찌보면 자업자득 아닐까요?
오랜만입니다.
말 나온 김에 ‘여름하늘’님의 블로그 보고 한마디 적겠습니다.
Avira나 Kaspersky같은 외국산 프로그램 써보면 알겠지만 nprotect같은 프로그램들 열에 아홉은 바이러스로 걸려듭니다. 많은 분들이 지적하셨듯 키보드보안이니 뭐니 하는 프로그램들의 본질은 다름아닌 ‘바이러스’인 셈입니다.
바꿔 말하면 은행들은 이런 ‘바이러스’를 보안프로그램이라고 포장하면서 설치를 강요한 셈이 되겠습니다.
PS:Avira 깔아놓고 인터넷뱅킹 하니까 보안프로그램들이 여럿 걸려들었습니다.
http://news.joins.com/article/aid/2009/03/28/3344345.html?cloc=olink|article|default
기사 내용이 사실이라면 보안프로그램이 스니핑(sniffing)해서 개인정보를 빼돌렸다는 말인데…
이런 걸 해킹이라고 하는 겁니다.
보안프로그램 설치하면 해당업체가 사용자 컴퓨터를 해킹합니다.
과연 MAC주소만 빠져나갈까요? 쇼핑 패턴정보 수집을 위해 액티브X 설치를 강요하고 수집된 정보를 업체에 팔아먹으려는 것이 주목적 아닙니까?
과거 하나로텔레콤 개인정보 유출사건처럼요.
인터넷뱅킹 액티브X는 정보가 암호화되어서 패킷 전송되기 때문에
패킷 분석을 통하여 증거 수집을 하는 것이 불가능에 가깝습니다.
양심적인 내부자는 증거를 수집해서 수사기관에 의뢰하시기 바랍니다.
그리고, 금융감독원은 뭐하는 곳입니까? 방송통신위원회는 하는 일이 무엇입니까?
위에 쓴 글 제가 쓴 글인데,
지금 읽어 보니 너무 심하게 쓴 것 같고, 논리적으로 비약이 있고,
사실과 다를 수 있습니다.
본의 아니게 업체에 피해가 갈 수 있습니다.
관리자님 보시면 삭제부탁합니다.
앞으로 글 쓸 때 더욱 조심해서 쓰겠습니다.
황하준 님 / 외산 제품에서 nProtect 등을 진단하는건 오진입니다. (혹은 회사별 정책적인 진단도 있습니다.) 시스템 후킹 등의 경우 해킹이 목적인지 보안이 목적인지 명백하게 구분하기가 어렵습니다.
쿨켓7/
nProtect 뿐 아니라, SessionControl.ocx 도 Avira 는 스파이웨어로 파악합니다. 그리고, Initech 의 InisafeWeb6.0 도 주요 안티바이러스 프로그램이 차단합니다.
이 문제는 벌써 3년가까이 해결되지 못하고 있는 실정입니다.
선생님께서 말씀하신 내용이 “기술적”으로는 옳다 하더라도, 전문지식이 없는 일반 이용자들을 상대로, nProtect 어쩌구하는 파일은 오진이니까 무시하라, SessionControl.ocx도 오진이니 무시하라고 안내하기 시작하면, 결국에는 ActiveX 를 “반드시 예하라”고 안내하는 것이나 비슷한 결과가 생깁니다.
일반 이용자들이 어느 파일을 믿고, 어느 파일을 차단해야 할지 일일이 파일명을 읽어보고 판단하도록 강요하는 것은 현실성이 없습니다.
그렇다고, 이런 프로그램들을 강제로 깔기 위하여, 일반이용자들이 스스로 설치, 운용하는 제대로된 본격 안티바이러스 프로그램의 자동감시 기능을 “꺼두라”고 안내하는 것은 범죄행위에 가깝지 않을까요? (여기, 여기 참조)
안티바이러스 프로그램이 특별히 실수를 해서 키보드 보안 프로그램을 악성코드로 판단하는 게 아니라, 운영체제의 이상한 영역을 건드리면서 동작하는 프로그램을 광범위하게 막는 것입니다. 키보드 보안 프로그램들 역시 시스템 영역을 건드리는 프로그램이기 때문에 걸려드는 것이죠. 백신 프로그램에서 예외로 추가하든지 하는 것 외에 딱히 해결책이 없습니다.
외산 뿐만 아니라, 국내의 백신 프로그램들도 마찬가지입니다. 국내 백신들도 업데이트하다 보면 (예외 목록이 서로 안 맞아 발생하는 것으로 추측되는) 문제가 일어나죠. 정치적 능력을 발휘해서 예외를 추가하도록 요청하던가 할 일이지, 고객에게 그 해제 방법을 안내하는 건 올바른 접근 방법이 아니죠.
위에서 다른 분이 링크 걸어주신 내용이 사실이라면 이건 정말 소송감이네요.
http://news.joins.com/article/aid/2009/03/28/3344345.html?cloc=olink|article|default