씨티은행은 ‘함정 프로그램’ 배포를 중단하기 바랍니다.

2009.03.29 글쓴이 youknowit

한국 씨티은행 은행장 귀하
서울 중구 다동 39 (우: 100-180)

2009.3.27.자 후속 문의/요청에 이어 다음과 같이 요청하오니, 신속히 처리해 주시기 바랍니다.

1. 귀측 제공 ‘보안프로그램’의 실상을 고객에게 정확히 안내하기 바랍니다.

귀측 고객 상당수는, 귀측 제공 ‘보안프로그램’이 상시로 자기 PC를 보호해 준다고 믿고 있습니다. 고객들이 그렇게 오해하고 있다는 사실을 귀측도 알고 있습니다.

귀측 제공 ‘보안프로그램’은 고객이 한국씨티은행 사이트를 벗어나는 순간 어떠한 보호도 제공하지 않는다는 사실, 별도의 본격 보안프로그램을 자기 컴퓨터에 설치, 운용하지 않는 고객은 귀측 보안프로그램을 아무리 설치해도 이 순간부터 무방비 상태로 침입공격에 노출된다는 사실을 고객에게 정직하게 안내해 주시기 바랍니다.

귀측은 고객에게 정확한 정보를 제공하기는 커녕, 본격 보안프로그램을 사용하여 자기PC를 제대로 관리하려는 고객들을 상대로 오히려 다음과 같이 ‘유혹’하고 있습니다:

이렇게 본격 보안프로그램의 실시간 감시기능을 “꺼두고”, 귀측 사이트를 벗어나는 순간 고객을 무방비 상태로 빠트리는 일종의 ‘함정 프로그램’을 설치, 사용하도록 유혹, 강요하는 것은 경쟁법 위반을 논하기 앞서, 형사상 죄책을 물어야 할 행위라고 생각합니다. 귀측의 이러한 ‘안내’가 과연 고객의 보안을 위한 것인지, 아니면 귀측의 보안업체를 위한 것인지를 해명하기 바랍니다.

귀측 제공 ‘보안프로그램’의 실상을 숨길 뿐 아니라, 오히려 본격 보안프로그램의 핵심 기능을 고객이 해제하도록 계속 안내한다면, 한국씨티은행은 고객을 속이고, 고객을 더 큰 위험에 빠지도록 고의로(알면서도 어떤 행위를 하는 것이 고의입니다) 유도한 책임을 져야할 것입니다.

2. 귀측 ‘보안프로그램’이 고객PC에서 무슨 일을 하는지 정직하게 안내하기 바랍니다.

고객은 귀측 제공 ‘보안프로그램’들이 고객PC의 정보를 안전하게 보호하고 귀측 또는 제3자에게 함부로 유출되지 않도록 방어하는 것이라고 믿고 있습니다. 고객들이 이렇게 믿고 있다는 사실을 귀측도 알고 있습니다. 고객의 믿음과는 달리, 귀측 제공 ‘보안프로그램’ 중, 고객PC의 정보를 귀측이나 보안업체에 어떤 형태로건 고객의 명시적 승인없이 전달하는 프로그램이 있다면, 이제라도 이 사실을 고객에게 정직하게 안내하기 바랍니다.

귀측이 고객들에게 설치를 강요하는 INISAFE Web 7.0 이라는 私製 프로그램에는 다음과 같은 여러 프로그램들이 한 꾸러미로 결합되어 있습니다:
inisafe_bundle_components1

그 외에도 귀측이 설치를 강요하는 이른바 ‘보안프로그램’들이 실제로 고객PC에서 어떤 일을 하는지를 정직하게 안내하기 바랍니다. 프로그램의 소스를 공개하라는 의미가 아닙니다. 각 ‘보안프로그램’에 대하여, 다음 사항을 정확히 알려주시기 바랍니다. 그래야 고객이 자기 컴퓨터에 이런 프로그램을 설치할지 말지를 올바르게 판단할 수 있습니다:

  • 해당 프로그램이 고객PC에서 수행하는 기능
  • 해당 프로그램의 작동원리
  • 해당 프로그램이 어느 범위의 고객 파일이나 정보에 대한 접근을, 어떤 단계에서, 어떤 process routine 에 의거하여 수행하는지?
  • 해당 프로그램이 고객PC의 정보를 어떤 형태로든 귀측이나 해당프로그램 공급자에게 전송할 경우, 귀측이나 프로그램 공급자는 이 정보를 왜 수집하며, 어떤 용도에 사용하며, 그 정보는 어떻게 관리되며, 그 정보를 수집하는 근거는 무엇인지?

귀측 입장을 2009.4.7. 까지 회신해 주시기 바랍니다. 고객의 사유재산에 귀측이 설치하려는 프로그램에 대한 정확한 정보를 고객에게 사전에 제공해 달라는 요청에 응하실 수 없을 경우, 부득이 법원의 판단을 구할 수 밖에 없음을 미리 알려드립니다.

Categories: 민원/소송, 보안, 인터넷 뱅킹 | Tags: , , , , , , , , , , | 7 comments  오픈웹 구독 메일로 받기

2 Pingbacks/Trackbacks

  • http://openweb.or.kr youknowit

    정보보호전문 학원이 “키보드 보안 KEYSAFE Web 8.0″ 이라면서 배포한 ActiveX가 알고 보니 애드웨어 라는…

    보안뉴스 2009.3.28 보도.

    가르치는 분이나, 배우는 분이나… 이런 건 잘해요, 글쎄.

  • mylinux03

    보안 전문가, 커널 프로그램(디바이스 프로그램)개발자
    및 시스템 프로그램 개발자라면 다 아는 내용이다.

    원도우 운영체제의 경우

    해킹을 당하기 쉬운 경우는 어드민 계정으로 사용하는 경우
    어드민(관리자) 계정은 커널과 장치 드라이브의 프로그램
    접근을 허용한다. 시스템 프로그램 개발과 하드웨어제어
    프로그램 개발시 이용된다.

    해킹을 방지하기 위해서는 원도우 운영체제에서
    제한된 계정을 만들고 인터넷을 사용하다보면
    인터넷뱅킹 이용시 프로그램 접속이 차단된다.

    ‘보안 업체에서는 관리자 모드의 사용을 못하게 홍보하고
    제안된 계정을 사용하도록 유도해야 되는데..’

    액티브X 설치를 위해 어드민 계정으로 로그인을 해야되고..
    이런 프로그램은 악성코드를 사용하는 것과 같다.

    ‘한국MS도 “액티브X 되도록 쓰지 말라” 공개적 언급’

    http://itviewpoint.com/87879 가 보면..

    한국MS 김재우 부장님의 PPT 자료 중에
    액티브X는 (한국MS도) 권장 안한다.

    컴퓨터를 사용하다 느려지는 이유는 원도우 작업 관리자
    에 보면 많은 액티브X를 사용하면서 하드웨어 공간과
    메모리 그리고 CPU등 효율을 떨어드리기 때문이다.

  • http://noneway.tistory.com 꿈틀꿈틀

    보안을 해제하라는 시건방도 문젠데, 해제한 보안설정을 복구해놓으라는 안내조차 않고 있군요.
    지들의 장사를 위해 고객을 위험에 빠트리는 명백한 범죄라 봐얄듯 합니다.

    덧) 대법원역시 이와 유사한 만행을 저지르고 있다는 사실, 이미 알고계시겠지만 혹시나 싶어 알려드립니다. 이런 자들에게 법적 판단을 맞겨야 한다는게,,
    http://noneway.tistory.com/379

  • http://five.textcube.com/ 오윤식

    좀 황당하네요.
    사용자의 보안을 위해서 프로그램을 설치하는 것이 아니라,
    단지 보안은 어떻게 되든 상관없이 설치하기 위한 것만이 목적이라고 생각되네요.

  • http://www.boannews.com 김정완

    안녕하세요.
    보안뉴스 김정완 기자입니다.
    님께서 남겨 주신 댓글을 보고 이렇게 여기까지 올 수 있었습니다.
    또한 님의 말씀처럼 씨티은행 액티브x 설치에 대해 관심을 갖고자 합니다. 이에 님의 도움을 받을 수 있었으면 해서 이렇게 댓글 남깁니다. 괜찮으시다면 연락 한 번 부탁드립니다.

  • Pingback: Blog of Hyeonseok

  • Pingback: Open Bank 제안 이유 « Open Web

«

»