어제 소개해 드린 한국씨티은행의 답변은 보안업체 관계자와 법률가가 머리를 맞대고 열심히 노력한 흔적은 보이지만, 결국은 자기 꾀에 넘어간 것 같습니다.
한국씨티은행은 해당 조항 단서(“다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능”)의 “해제 가능 주체는 금융기관으로 해석해야 할 것”이라는 주장을 펴고 있습니다. 이 주장에 터잡아 한국씨티은행은 고객이 동의하는 경우 보안프로그램을 해제되게 하는 것도 가능하고, 해제 못하게 할 수도 있다는 (얼핏보면, clever 한 듯한) 주장을 제기하고 있습니다.
그러나, 이런 주장은 보안프로그램이 도대체 어디에 설치되는지도 이해하지 못한 컴맹 수준 법률가가 내세우는 주장입니다. 보안프로그램은 고객의 컴퓨터(PC)에 설치됩니다. 자기 컴퓨터에 설치된 어떤 프로그램을 “해제”할 수 있는 주체는 그 컴퓨터를 소유, 관리하는 클라이언트(고객)입니다. 은행이 할 수 있는 일은 어떤 프로그램을 고객에게 배포(제공)하고, 고객이 그것을 설치하기로 결정(“예”)하여 설치하고 나면, 그 프로그램을 서버가 호출, “구동(activate)”할 수 있고, 그 프로그램을 고객이 해제하면, 서비스 이용에 필요한 다음 단계로 진행하지 못하게 할 수 있을 뿐입니다.
서버(은행)가 고객의 PC에 설치된 프로그램을 “해제”할 수는 없습니다(고객 PC를 은행서버가 해킹하지 않는 이상).
감독규정 시행세칙 제29조 제2항의 제3호에 규정된 금융기관의 의무는 “우선적으로 … 프로그램을 설치”할 의무입니다. 그러나, 그에 대한 단서 규정은 고객이 자기 컴퓨터에 그렇게 설치된 프로그램을 어떻게 할 수 있는지에 대한 권리를 규정함으로써, 금융기관의 의무(프로그램 설치)에 대응한 고객의 권한(프로그램 해제 가능)을 정해둔 것 입니다.
한국씨티은행의 답변은 금융거래의 안전을 위한 것이 아니라, 어떻게 해서든 보안프로그램을 강제로 깔고자하는 보안 업체의 필사적 시도가 그대로 노출되는 것입니다. 보안프로그램에 관한 저의 민원을 받은 은행 직원은 보안업체와 변호사에게 대답을 준비해 주도록 요청했을 것으로 저는 짐작합니다. 은행의 답변은 결국, 보안업체(어찌되었건 프로그램을 팔아보겠다는 일념만으로 행동하는 자)와 법률가(보안기술에 대한 컴맹)의 합작품이고, 은행직원은 그 결과를 그저 전달할 뿐이라고 생각합니다.
이 논점이 어떻게 전개될지 함께 지켜봅시다.
http://news.joins.com/article/aid/2009/03/28/3344345.html?cloc=nnc
당신의 ‘사이버 행적’ 은행 손 안에
인터넷뱅킹 가입자들 PC 고유번호 ‘MAC 주소’ 몰래 수집해 와
전문가 “고객 동의 안 받아 불법”
은행 “금융사고 대비한 자료 축적”
자동 설치 과정중 액티브 X와 MAC 주소를 수집한다.
MAC 주소를 알면 해당 컴퓨터 이용자가 온라인상에서 무엇을 했는지 시간대별로 알 수 있다.
인터넷뱅킹 사용하지 말자.
개인정보유출 말 그대로 불법이다.
mylinux03//
수년전 인텔에서 Pentium III CPU에 고유넘버(PSN, Processor Serial Number)를 부여하고 소프트웨어적으로 조회할 수 있게 했다가 프라이버시 이슈가 제기되어 인텔에서 사과하고 추후 모델에서는 기능을 포기한 경우가 기억나네요.
언젠가 미국인과 얘기를 나누다 한국에서는 웹에서 account를 만들때 SSN(Social Security Number)에 해당하는 주민번호라는 것을 꼭 입력해야 한다고 하니까 놀라움을 금치 못하더군요. 왜 가지고 있으면 오히려 자기들에게 위험할 수 있는 개인정보를 마구잡이로 수집하려고 하는 것인지 업체들의 개념없음에 놀랄 따름입니다. 개인정보로 마케팅에 이용한다고는 하지만 실제로 이런 정보들을 얼마나 똑똑하게(intelligent)하게 사용하고 있는지도 궁금하고, 옥션 경우와 같이 개인정보 유출되었다가 엄청난 소송에 걸릴 수도 있는데 무슨 배짱으로 개나 소나 개인정보를 수집하는려고 하는지 그 심리가 궁금합니다 (옥션 소송이 어떻게 되가는지 잘 모르겠으나 일벌백계의 의미에서 법에서 철퇴를 가하기를 바라고 있습니다). i-Pin이 얼마나 효과가 있을지는 잘 모르겠으나 바이러스,Malware등을 퇴치한다는 명목으로 ActiveX세상이 되버린것도 큰 문제지만, 책임소재를 명백히 하고 해킹 등의 사고에 대비한다는 명목으로 온라인 상거래가 목적이 아닌 사이트조차도 주민번호 등의 개인정보를 반강제로 수집하는 행태도 한국 웹생태계에서 빨리 추방해야할 후진적인 관행인 것 같습니다. (주민번호에 생년월일이 노출되는 것도 없어져야 합니다)
예전에 인터넷 실명제 도입에 관하여 말한적이 있지만.
언론의 자유와 민주주의 발전을 위해서 중단되어야..
헌법에도 통신비밀을 보장 -> 익명성 보장..
악플러 문제에 대해서 특정 단어 입력시 사용 금지되는
자연어 처리(욕설)를 사용해서 만들면 충분히 가능합니다.
아이구야~ 정신이 나갔군요. 금융권이나 정부나… 개인정보 보호하려면 자기들이나 하지… 왜 포털들한테만 규제하려드는지… -_-;;
아고라에서 엑티브 엑스 반대 서명이 있어서 퍼왔습니다. http://agora.media.daum.net/petition/view?id=69984
http://news.joins.com/article/aid/2009/03/28/3344345.html?cloc=nnc
기사 내용이 사실이라면
보안프로그램이 스니핑(sniffing)해서
개인정보를 빼돌렸다는 말인데…
보안프로그램 설치하면 해당업체가 사용자 컴퓨터를 해킹하는군요.
이런 황당한 사건이 ………
그래서 보안 프로그램 업그레이드 후,
가상머신에서 인터넷뱅킹하면, 보안 프로그램이 시스템 깊숙한 곳을 손대서 MS윈도우가 다운되었군요.
설마설마했는데, 이 정도일 줄이야.
인터넷뱅킹 사용하면 안되겠군요.
위에 쓴 글 제가 쓴 글인데,
지금 읽어 보니 너무 심하게 쓴 것 같고, 논리적으로 비약이 있고,
사실과 다를 수 있습니다.
본의 아니게 업체에 피해가 갈 수 있습니다.
관리자님 보시면 삭제부탁합니다.
앞으로 글 쓸 때 더욱 조심해서 쓰겠습니다.
고소받을까봐 두려운거겠죠 이러니 업체들은 더 설치는겨 고객은 두렵다고 진실을 말하려하지않고 슬그머니 버로우탈려는행동