Posts Tagged 오픈웹
오픈웹 소송의 ‘법리적’ 의미
약 3년 가까이 소요된 오픈웹 소송은 원고 패소로 결론이 났습니다.
이 소송은 인터넷 기반의 어떤 서비스를 제공하는 자를 상대로 해서, 이용자가 선택한 특정 이용환경에서도 서비스를 제공해 달라는 요구를 한 것입니다. 법원은 서비스 제공자에게 그러한 “법률적” 의무를 지우는 것은 적절하지 않다고 판단하였습니다.
법원의 이러한 판단은 인터넷을 기반으로 이루어지는 다양한 서비스의 기술적 특성을 고려해 볼때, 법 제도와 법원의 판결 및 행정권력을 동원해서 이래라, 저래라 하는 것은 현명하지 않다는 고려가 깔려있는 것이라고 평가합니다. 비록 현재는 어떤 이유에서건 공인인증서비스가 MS IE 에서만 제공되고 있지만, 그것도 업계의 자율적 판단에 맡겨두는 것이 옳고, 법원이나 행정권력이 개입해서 이래라 저래라 하는 것은 기술의 특성상 시대착오적인 오류만을 남길 위험이 더 크다는 예측과 우려가 작용한 것이라고 이해할 수 있습니다. more »
오픈웹 소송 상고이유서
항소심 판결은 http://lawlec.korea.ac.kr/up/appellate_judgment_kim.pdf 에 있습니다.
텍스트 버전은: http://openweb.or.kr/uploads/appellate_judgment_kim-utf8.txt (snowall 님께서 수고해 주셨습니다. 고맙습니다. http://snowall.tistory.com/1359 )
5월22일 제출된 상고이유서는 http://lawlec.korea.ac.kr/up/2nd_appeal_kim_brief_pub.pdf 에 있습니다.
텍스트 버전은 여기: http://openweb.or.kr/uploads/2nd_appeal_kim_brief.txt
상고이유서는 5월25일에 금융결제원에 송달되었으므로, 곧 금융결제원의 답변서가 제출될 것입니다. 답변서를 받는 대로 게시하겠습니다.
오픈웹 논란에 대한 단상
4월 한달 간 오픈웹에 대한 논란이 뜨거웠습니다. 그 배경과 저의 단상을 적어 봅니다.
배경
오픈웹이 MS IE 외의 웹브라우저나 윈도우 외의 운영체제에서도 온라인 뱅킹 등을 할 수 있게 해달라는 요구를 제기하는 것이라고 여겨오셨던 분들은, 2월18일부터 오픈웹에 등장하기 시작한 문제제기(안전한 온라인 뱅킹을 위하여)가 보안업체의 “영업/경영 판단”에 집중하자, 큰 혼란을 겪은 듯 합니다.
그동안 파이어폭스 용 “금융보안 플러그인”을 열심히 개발하여 출시 준비를 마치고, 오픈웹 소송이 승소하기를 기대하고 계셨던 보안업체 경영/영업 인력분들께서 누구보다도 실망이 크셨을 것으로 저는 생각하며, 오픈웹이 ‘좌충우돌’하고 있으며, 보안업계를 적으로 만들었다는 비난이 표면화하였습니다. “지지자들이 등을 돌리게 만들었다”는 것이지요. more »
Safe Bank 제안 이유
국내 인터넷 뱅킹 보안의 기술적 선택은 다음과 같이 정리할 수 있습니다:
(공인)인증서
- 개인키와 암호가 유출 안되면, 사고가 아예 발생하지를 않고(부인방지 기능이 필요 없고),
- 개인키와 암호가 유출되면(사고발생 가능성이 생기면), 인증서는 부인방지 기능을 발휘하기 어렵습니다.
키보드 보안 프로그램
키보드 보안 프로그램을 설치해도,
- 고객 개인키를 공격자가 복사해 가는 것을 막을 수는 없고,
- 다른 사이트(포털, 블로그, 쇼핑몰 등)에서 고객이 키보드로 입력하는 값을 보호해 줄 수도 없습니다.
- 다수의 이용자들은 다른 사이트에서 자신이 사용하는 암호와 인증서개인키 암호를 동일하게 정하여 사용합니다. 키보드 보안 플러그인을 설치한다고 해서 이용자의 이러한 이용행태(user behaviour)가 바뀌지는 않습니다.
- 고객의 개인키를 복사한 공격자는 그 고객이 은행 외의 사이트들에서 키보드로 입력하는 암호값을 수집하므로, 은행의 키보드 보안 프로그램은 아예 건드릴 필요도 없습니다.
개인 방화벽, 안티바이러스 프로그램
은행이 강제 설치하는 이 프로그램들은
- 은행에 접속해 있는 동안만 작동합니다.
- 그러나 은행이 고객의 컴퓨터를 공격하지는 않습니다.
- 다른 악성 사이트나 이메일 첨부파일 등이 고객을 공격하지만, 이들 프로그램은 이때에는 작동하지 않습니다.
무료로 배포되는 훌륭한 정품 안티바이러스 프로그램들이 있다는 사실을 은행이 고객들에게 소개, 안내하고, 정품 안티바이러스 프로그램의 사용을 적극 권장하면, 적지 않은 고객들이 무료 정품 소프트웨어의 혜택을 누리기 위하여 자발적으로 이 프로그램을 설치할 유력한 가능성은 생깁니다. 이러한 정품 프로그램들은 상시로 작동하므로, 이용자 PC의 보안 상황은 획기적으로 개선될 수 있습니다.
그러나, 은행은 이용자들을 믿을 수 없다는 이유로 “강제” 설치를 선택합니다. 그래서, 은행 사이트에 접속하면 “자동으로/강제로” 실행되는 플러그인 형태의 방화벽/안티바이러스를 고객컴퓨터에 억지로 설치하게 되는데, 문제는 이런 프로그램은 은행 사이트를 벗어나거나, 은행에 접속하지 않으면 아예 실행조차 되지 않는다는 것입니다. 은행은 이 사실(은행에 접속하지 않는 동안에는 아무 보호도 제공하지 않는다는 사실)을 고객에게 안내하지 않을 뿐 아니라, 이런 플러그인을 강제 설치하기 위하여, 고객들에게 오히려 정품 안티바이러스의 실시간 감시기능을 끄라고 안내하는 곳 까지 있습니다.
요컨대,
- 키보드 보안 프로그램 설치가 필요한 상황(고객 컴퓨터가 허술하여 악성 키로거까지 설치된 상황)에서는 복제가능한 인증서는 다수의 공격자 손에 이미 나돌 수 있으므로, 인증서는 부인방지 효과를 가질 수 없고,
- 은행이 아무리 키보드 보안 프로그램을 강제 설치해도, 공격자는 고객이 다른 웹사이트들에서 입력하는 암호를 모두 수집하고, 이런 암호들 중 하나는 고객의 인증서 개인키 암호와 일치하는 경우가 많으므로 결국 키보드 보안 플러그인도 별 유용성이 없습니다.
- 고객이 정작 필요로 하는 때(공격 가능성이 있는 악성 사이트에 접속할 때)에는 작동조차 않는 안티바이러스/방화벽 플러그인을 은행이 고객에게 억지로 설치하는 사태에 대해서는 드릴 말씀이 별로 없습니다.
SAFE BANK
국내 은행들의 이러한 기술 선택은 은행에게도 도움이 안되고, 고객에게도 불편만 가중할 뿐이고, 은행이 제공할 수 있는 서비스 이용환경마저 대폭 제약합니다. 그 뿐 아니라, 플러그인 구입, 배포, 유지에 소요되는 막대한 비용만 은행이 떠안게 됩니다. 이러한 국내 뱅킹시스템의 제약(PC/윈도우/익스플로러에서만, 플러그인에 의존하여 작동) 때문에, 모바일 인터넷 뱅킹을 위하여 은행들은 “별도의 솔루션”을 구입하고 있습니다. 마치 모바일 인터넷은 무슨 “특별한 솔루션”이 필요하고, 이통사에게도 막대한 돈을 주고(각 고객이 매년 만원씩 지불), 솔루션 납품업체에게도 적지않은 비용을 지불하는 것 외에는 대안이 없다고 오해하고 있기 때문입니다. 금융기관 IT 담당 부서의 총책임자분들은 모두 그렇게 “믿고” 있습니다(그렇게 보고받았기 때문입니다).
그러나, 이러한 국내 은행의 모바일 뱅킹 솔루션은 국외에서는 안되고, iphone, blackberry, android 계열의 휴대폰에서도 안됩니다. 특정 이통사가 지원하는 기기에서만 작동하고, 국내에서만 작동하며, 별도의 프로그램을 어렵게 휴대폰에 설치해야 하고, 고객 각자가 이통사에게 매년 만원 가량씩 돈을 줘야 비로소 사용이 가능합니다. 이런 솔루션을 업체로부터 구입해서 고객들에게 열심히 선전하는 은행의 노력과는 달리, 고객의 호응도가 높지는 않습니다…
오픈웹은 이와는 다른 해법을 제안합니다.
여기 제시되는 해법은 안전성 면에서 기존 뱅킹 솔루션과 적어도 같거나 더 안전하며, 데스크 톱은 물론, 풀브라우징 기능이 있는 모든 휴대폰에서 정상 작동하며, 이통사에 종속되지 않으며, 인터넷 연결이 되는 곳이면 세계 어디에서나 정상 작동하는 HTML에 입각한 방법입니다. 고객이 별도의 프로그램을 내려받아 설치할 필요가 아예 없는 해법입니다.
다시한번 간곡히 바라건대, 보안 업체 경영/영업 담당자분들께서도, 없어지는 “플러그인 시장”만을 보고 안타까와하실 것이 아니라, 새롭게 열리는 “시스템 솔루션 시장”에서 전세계를 상대로 성장할 수 있는 가능성을 전향적으로 수용하셨으면 좋겠습니다.
아래 그림을 클릭하시면 새로운 창이 열립니다. 새로운 창으로 새로운 세상을 바라보시기 바랍니다.
클릭하면 새로운 창이 열립니다.
Safe Bank 를 소개합니다!
저는 보안 전문지식이 없습니다. 그러나, 약간의 법률 지식은 있고, 분쟁이 어떤 형태로 발생하며, 당사자들이 어떤 식으로 주장을 내세우며, 법원이 어느 부분을 주목하는지에 대해서는 비교적 더 많이 생각해 볼 기회가 있습니다.
제가 이해하기 어려웠던 부분은, 은행의 배상책임을 덜기 위하여 인증서 사용을 “강제”할 수밖에 없다는 주장이었습니다. 이 주장은 기본적으로 “법률적” 이유를 동원하여, 보안 기술적 선택을 설명하는 구조를 가지고 있습니다. 그러나, 법률가의 시각에서는 다음과 같은 점이 납득하기 어려웠습니다. more »
중국은행은 어떻게 하나?
중국은행(Bank of China)의 웹 주소는 https://ebs.boc.cn 입니다.
중국은행은 MS IE 웹브라우저에서만 인터넷 뱅킹을 제공한다는 점에서는 한국의 은행들과 비슷합니다. 그러나, 아래에서 보듯이 한국의 은행들과는 매우 중요한 차이가 있습니다.
첫째, 접속은 https 로 합니다. RC4알고리즘으로 128bit 키길이로 암호화하여 교신합니다. 암호화 프로토콜은 SSL3/TLS1 을 사용합니다. (IE6.0 으로 접속가능한지는 테스트 해보지 않았습니다. 혹시 IE6.0 을 사용하시는 분은 접속이 가능한지를 댓글로 알려주시기 바랍니다).
둘째, 그 뿐 아니라, 주소창에 그냥 “ebs.boc.cn”을 입력하고 엔터를 누르면 아예 접속이 되지 않습니다. 반드시 “https://”까지를 직접 입력해야 접속이 되도록 해 두었습니다. 이것은 올해 초에 알려진 SSL strip 공격에 대한 효과적인 대비책이 될 것입니다. 흔히 ssl 접속을 하는 웹서버들은 고객이 주소창에 “https://”를 적지 않고, 나머지 부분만 입력하고 엔터를 눌러도 “자동으로” https:// 로 리디렉트 되도록 해 두는 경우가 대부분입니다. 그래야 “편리하다”는 이유입니다. 그러나, 중국은행은 바로 이러한 “사소한 편리함”이 ssl strip 공격에 악용된다는 점을 분명히 인식하고, 주소창에 고객이 직접 https:// 를 입력하도록 하고 있습니다. 진정한 보안을 위해서는 이정도의 “사소한 불편”은 감수해야 한다는 철학입니다.
셋째, 액티브X 를 은행이 “자동으로” 내려주지 않습니다. 반드시 고객이 주체적으로 다운로드 받도록 안내합니다. 고객이 스스로 내려받아야 한다는 안내는 로그인 페이지 하단에도 “설명”되어 있고, 로그인을 시도하면 제시되는 메시지 안내창에도 “설명”되어 있습니다. 중국 ip에서 접속하거나, 첫페이지에서 중국어를 선택하는 고객에게는 물론 중국어로 “설명”됩니다.
중국은행이 액티브X 를 “자동으로” 내려 주는 방법을 몰라서 이렇게 하는 것은 아닙니다. 웹사이트가 플러그인을 자동으로 내려주고, 영문도 모르는 고객에게 “반드시 예”하라고 안내하는 정책(바로 한국의 은행들이 모두 채택하는 정책)이 광범한 위험을 초래하기 때문에 이렇게 하는 것입니다.
중국 고객들은 모두 컴퓨터 전문가라서 이렇게 해도 중국 사람들은 인터넷 뱅킹을 할 수 있지만, 한국 고객들은 모두 구제 불능 수준의 컴맹이라서 이렇게 할 수 없다는 주장은 별로 설득력이 없다고 생각합니다. 실제로 이렇게 프로그램을 배포하면, 서비스 제공자도 훨씬 유리합니다. 설치과정에서의 오류 발생 비율이 훨씬 줄어 들기 때문입니다.
넷째, 중국은행은 세가지 로그인 방법을 제시하고, 고객이 선택할 수 있게 합니다. 그 중, 인증기관 로그인(login by CA)이 무슨 용도인지 저는 잘 모르겠습니다. 나머지 두 가지만 말씀드리겠습니다. 일반로그인(ordinary login)은 id/password 에 더해서, 매번 접속할 때마다 다르게 화면에 제시되는 문자(captcha 방식으로 제시되는 문자)를 고객이 입력하도록 하고 있습니다.
물론, 이 방법이 키로거 공격에 대한 대비책이 되는 것은 아닙니다. 그러나, 키로거가 자신의 컴퓨터에 설치된 상황이라면, 공격자가 “키로거만” 설치하고 말겠습니까?
키로거 공격에 대한 만족스러운 대비책은 역시 OTP 이겠으나(captcha 가 아니라), 중국은행은 OTP 기계(또는 OTP 기능을 수행하는 보안카드)를 일일이 배포하고, 그 기계를 등록하고, 고객으로 하여금 그 기계(또는 보안카드)를 언제나 소지하도록 하기 보다는, captcha 방식의 대비책이 “비용대비 효과” 면에서 나은 선택이라고 “잘못” 생각한 듯 합니다.
물론, Id는 언제나 static 하게 운용할 수 밖에 없습니다. 그러나, password 부터는 one time 방식으로(password 전체를 입력하게 할 것이 아니라, 매번 무작위로 선택된 일부만을) 입력하게 하고, 로그인 단계에서 무작위로 선택된 보안카드 번호를 요구하면, 키보드 보안 플러그인은 별 필요가 없다고 생각합니다. (특히 고객이 본격 안티바이러스 프로그램의 실시간 감시기능을 사용하면 더욱 더 키보드 보안 플러그인은 유용성이 줄어 듭니다.)
E-token 로그인은 pkcs#11 방식으로 저장된 인증서 로그인을 말합니다. 이 경우에는 captcha 방식을 병행하지 않습니다. id/password 에 더하여 인증서 암호를 그냥 입력하도록 하고 있습니다. 아무리 키로거가 입력값을 가로채 가본들, e-token 파일 자체를 복사해 갈 수 없으므로(pkcs#11 방식의 보안 토큰에 저장된 인증서는 복사가 불가능합니다), 공격이 아예 불가능합니다.
따라서, 중국은행은 고객에게 안티바이러스니, 키보드 보안이니 하는 이른바 “보안 프로그램”을 설치하라는 요구를 하지 않습니다.
끝으로, 페이지 사이즈가 매우 작습니다. 40k bytes 가 채 안됩니다. 플래시가 춤추는 것도 아닙니다. 매우 빠르게 접속해서, 안전하게 뱅킹을 마칠 수 있습니다. 그렇다고 디자인이 “촌스러운” 것도 아니라고 저는 생각합니다만, 이 문제는 각자의 취향 문제겠습니다. 취향 문제가 아닌 부분은, 세계어디에서건 중국은행을 이용하는데에는 아무 불편이 없지만, 한국만 벗어나면 한국의 은행 사이트들은 느려터져서 사용이 매우 힘들다는 것입니다.
이 페이지가 뱅킹할 마음이 안들 만큼 그렇게 못생겼나요?
저는 한국의 은행들도 중국은행의 방식으로부터 배울 점이 있다고 생각합니다. (100% 따라할 필요는 물론 없지만; 특히 captcha 는 아무 소용이 없습니다)
-
-
피드 구독
- 아래 구독서비스를 이용하시면, 새로 게시되는 글을 직접 받아보실 수 있습니다.
이메일로 구독
Recent Comments