현대를 사는 우리는 삶의 많은 부분을 인터넷으로 옮겨왔다. 편지, 대화, 글, 일, 놀이 등 다양한 분야의 다양한 행위를 인터넷을 통해 하고 있다. 인터넷이 시작된 지 얼마 되지 않기 때문에 오프라인의 각종 행위를 대체할 수 있는 서비스는 매우 빠른 속도로 발전하고 있다. 그중 하나가 바로 전자상거래다.
기억을 더듬어 보면 1996년경에 인터파크가 서비스를 시작했을 즈음 인터넷에서 물건 구매 신청을 하고 나면 일단 냅다 신발을 주워 신고 은행으로 달려가서 입금해야 했다. 지금 생각하면 말도 안 되는 웃긴 이야기겠지만, 당시엔 그 정도도 대단했다. 직접 현장에서 물건을 보지 않고도 쇼핑을 할 수 있는 것만으로 좋았고, 편했고, 빨랐다. 덤으로 새로운 경험이 주는 신기함까지 받았다.
1997년이 되자 신한은행, 한미은행(현 시티은행) 등이 인터넷 뱅킹을 시작했다. IMF가 터져서 은행들이 비용을 절감하는 차원에서 더욱 드라이브를 걸었기 때문일까? 아니면 네가 쓰면 나도 써야 직성이 풀리고 무시당하지 않는 우리나라 특유의 분위기 때문일까? 처음에는 인터넷으로 돈을 주고받는다니 무서워서 못쓰겠다는 사람들이 대다수였지만 이제는 분기당 몇십 조의 돈이 인터넷뱅킹을 통해 움직이고 있다.
발전 없는 우리나라의 인터넷뱅킹 서비스
한국은행의 자료에 따르면 2013년 2/4분기 기준 계좌조회, 이체 결과조회 등 각종 조회서비스의 72.4%가 인터넷을 통해 이루어진다고 한다. 입출금과 이체의 경우 32.5%가 인터넷을 통해 이루어지고 있다. 인터넷 뱅킹 고객수는 2013년 6월 말 기준 9천만 명을 돌파했다고 한다. (동일인이 여러 은행 가입 경우 중복 합산)
이렇게 엄청나게 많은 사람이 엄청나게 많은 거래를 하고 있지만, 우리나라 은행들이 제공하는 인터넷뱅킹 서비스 수준은 형편없다. 그 형편없는 수준이란 크게 다음 세 가지로 요약할 수 있다.
- 껍데기에만 신경 쓴다.
- 고객의 편의는 고려하지 않는다.
- 고객에게 위험을 떠넘긴다.
이럼에도 감독관리 관청이 제대로 이끌고 가지 못하니 소비자는 인터넷뱅킹과 관련하여 다음과 같은 상황에 부닥치게 된다. (이 점은 이동통신, 휴대폰 제조 등 우리나라에서 독과점이 정착한 대부분 산업에서 확인할 수 있는 사항이다.)
- 천편일률적인 서비스를 제공 받는다.
- 새로운 서비스는 받을 수가 없다.
- 새로운 플레이어는 구경할 수 없다.
아래 몇 가지 사례들을 통해 이 문제점들을 확인해 보자.
디자인만 변경한다
각 은행이 제공하는 인터넷뱅킹 웹사이트를 오랫동안 이용해 본 사람들은 누구라도 알겠지만, 은행들은 정기적으로 웹사이트의 디자인을 바꾼다. 많은 기획자, 개발자, 디자이너들이 달라붙어서 오랫동안 작업한 결과물일 것이다. 대규모 개편이 2~3년에 한 번씩 일어나기도 한다. 하지만 디자인을 바꿀 때 기능은 개선되지 않는다. 단순히 껍데기만 바꾸는 것이다.
쉬운 예를 들자면, 매번 화려하고 산뜻한 디자인으로 웹사이트를 단장하는 신한은행의 경우 고작 자신의 계좌 거래 명세를 엑셀 문서로 내려받기 위해서 액티브엑스를 추가로 설치해야 한다.
기업은행은 자사가 판매하는 금융상품을 단지 구경만 하려고 해도 아무런 설명도 없이 보안 프로그램부터 설치한다.
비단 이 두 은행뿐만 아니라 이런 예들은 수도 없이 많다. 해가 지날수록 디자인은 그럴 듯해지고, 멋있는 척 무게를 잡지만 그건 그저 껍데기에 불과할 뿐 인터넷 서비스에 대한 개념도 없고, 자사의 서비스에 대한 기능을 향상하려는 노력도 크게 보이지 않는다.
개인용 공인인증서가 공짜라고 거짓말 한다
인터넷 서핑을 하다 보면 어떻게 하면 공인인증서를 공짜로 발급받을 수 있는지에 대한 묘책을 공유하는 글을 발견할 수 있다. 이러한 글에는 좋은 정보를 알려줘서 고맙다는 댓글이 줄을 잇기도 한다.
하지만 결론부터 말하자면, 어떠한 공인인증서도 기본적으로 공짜가 아니다. 공짜처럼 보일 뿐이다. 개인들에게 돈을 받지 않지만, 발급에 들어가는 비용을 따로 정산해서 발급 업체에 제공하고 있다. 은행처럼 돈을 다루는 기업이 고객을 위해 “무료 서비스”를 한다고 생각하는 것 자체가 순진한 발상이다.
예를 들어, 은행들이 출자해서 만든 “수백억 원 수익을 내는” 비영리 사단법인이면서 이름은 국가기관 코스프레를 하는 금융결제원(이하 금결원)이라는 법인이 있다(심지어 로고까지 국가기관 같다). 이 금결원은 은행들의 공동결제망을 운영하고 있고, 공인인증서 발급도 하며 다양한 사업을 하고 있다.
즉 여러 금융기관이나 공인인증서 업체가 개인에게 무료로 발급하는 공인인증서는 이용자들에게 돈을 받지 않지만, 은행들은 이 비용을 별도로 책정해서 금결원과 같은 발급 업체에 지불하고 있다.
[box type=”info” head=”금융결제원 미스터리”]
금결원은 법적으로는 ‘비영리’ 사단법인이지만 은행들이 출자해 만든 법인답게 결제대행업, 지로 결제서비스, 카드조회 단말기 제작 등등 많은 영리행위를 통해 연간 수 백억 원의 순이익을 거두고 있다. 또한, 국내 공인인증서 시장의 75%를 단독 점유하고 있다. 감독관청인 기획재정부가 금결원과 유착관계에 있는지 공익감사가 청구된 적도 있다.
이제껏 별다른 제재 없이 금융결제원 원장 및 각종 임원, 이사들은 한국은행, 재경부 등이 낙하산처럼 취임하며 수억 원대의 연봉을 받고 있다. 심지어 또 다른 감독관청인 금융위원회는 2년마다 실시해야 하는 금결원에 대한 정기감사를 2010년 이후 실시하지 않았다.
2013년 10월 국정감사에서는 VAN업체 시장점유율 7위에도 올라와 있는 금융결제원의 불공정행위가 다뤄지기도 했다.
[/box]
이처럼 무료 공인인증서 발급 업체는 이용자에게 직접 돈을 받지 않을 뿐이지 은행들로부터 받을 돈을 받고 있다. 당장 개인 주머니에서 돈이 나가지 않는다고 공짜인가? 어차피 은행들이 십시일반 해서 돈을 지불하고 있고, 그 돈은 고스란히 이용자의 서비스 비용에 포함된다. 이런데도 은행이나 공인인증서 관련 업체들은 개인용 공인인증서가 공짜라는 말을 한다.
여전히 각종 플러그인을 강요한다
우리나라 인터넷뱅킹/모바일 뱅킹의 기본 보안 방식은 이렇게 설명할 수 있다.
보안을 위한 것이니 우선 당신(고객)의 보안 설정을 최대한 낮춰라!
우리(은행)의 보안 프로그램을 설치한 후에는 당신의 PC는 우리가 알아서 하겠다!
당신은 빠져!
이렇게 선포를 한 후 액티브엑스, 플러그인을 몇 개씩 설치해댄다. 만약 그 은행과 거래를 끊더라도 이 프로그램을 쉽게 제거할 수 있는 일반인을 찾는 건 손에 꼽을 정도다.
모든 운영체제에서 서비스 가능한 “오픈뱅킹 시대”가 열렸다고 신문지면을 빌려 홍보하지만, 이러한 각종 플러그인을 배포하고 강제하는 것에는 무감각하다. 심지어는 보안업체 중에서도 액티브엑스만 아니면 다른 설치형/플러그인 설치 방식은 좋은 거라고 믿고 있는 업체가 있다. 물론 그 중심에는 공인인증서가 있다. 공인인증서를 사용하는 한 이러한 강제/요구는 앞으로도 계속될 것이다.
분명 공인인증서 제도 덕분에 우리나라는 인터넷 서비스 초기에 인터넷 상거래 및 인터넷뱅킹이 효과적으로 안착한 게 사실이다. 하지만 그뿐이다. 그 이후로 시간이 지나서 이제 새로운 플랫폼으로 나아갈 때가 된지 오래지만, 고객의 편의를 생각하지 않고 고객이 위험해지건 말건 무조건 “예(Y)”를 누르고, 안되면 “경고 메시지를 뜨지 않게 설정하면 된다”는 메시지를 설파할 뿐이다.
이용자 이해하든 말든 내뱉는 ‘외계어’들
은행 서비스를 이용하기 위해 설치하는 보안 프로그램은 이름도, 배포하는 회사도 도무지 일반인들은 절대 이해할 수 없는 이름들로 되어 있다. 예를 들어 내가 거래하고자 하는 은행은 신한은행인데, 설치되는 프로그램은 Softcamp Secure KeyStroke Elevation COM DLL 이고, 게시자는 소프트캠프(SoftCamp Co., Ltd)란다.
현대카드를 이용하기 위해 설치되는 프로그램의 이름은 Veraport20 (Security module management) 이고, WIZVERA CO,. LTD 라고 한다.
이래서야 내가 지금 악성코드를 설치하고 있는지 올바른 프로그램을 설치하고 있는지 알 방법이 있을까? 저 프로그램 이름과 게시자는 모두 보안 업체가 은행에 프로그램을 납품하기 위해 만들어진 이름 혹은 내부에서 자기들끼리 부르기 위한 이름 아닌가. 저걸 그냥 소비자들에게 내보내면서 무조건 “예(Y)”, “확인”을 누르라고 한다.
은행들은 이용자가 쉽게 판단할 방법을 제공하기는커녕 알아듣건 말건 알아보기 힘든 외계어 같은 기술적 메시지를 툭툭 던지면서 정작 소비자들에게는 피싱 서비스에 조심하라고 말한다. 어불성설이다.
이용자 불편 강요하는 사이트의 허술한 보안 수준
인터넷뱅킹 서비스를 이용하기 위해서는 각종 보안 프로그램을 설치해야 하는데, 현재 접속하고 있는 웹사이트가 진짜인지 가짜인지 이용자가 확인해 볼 수 있는 SSL도 적용되지 않은 사이트에서 무조건 배포를 시작하는 경우도 허다하다.
이용자가 웹사이트가 안전한지 확인하려면 위와 같은 SSL 표시부터 확인하면 되지만 그런 걸 지키지 않는 곳이 많다. 그냥 뭔가 속지 말라고 메시지를 전달하지만, 그 메시지를 전달하는 웹사이트가 진짜로 믿을 만한 사이트인지 아닌지도 믿을 수 없다면 어떨까? 이용자가 알아서 판단하라는 뜻일까?
이쯤되면 ‘그냥 누가 시켜서 안내하나 보다’하는 생각마저 들게 된다. 더군다나 저 보안 안내 메시지가 나오는 사이트가 믿을만한지는 알 길이 없다. 그렇다면 피싱 사이트가 ‘우리가 진짜’라고 우기는 거랑 저거랑 어떤 차이가 있을까?
게다가 설치하는 보안 프로그램의 인증서 기간 또한 제때 갱신하지 않는 경우가 허다하다.
이용자들은 이런 상황에 대해 알아서 판단하고, 알아서 대처해야 한다. 은행에서 제공하는 서비스의 유효기간이 지났어도 어쩔 수 없이 “예(Y)”를 눌러야 한다. 식료품으로 치자면 유통기간이 좀 지났는데, 배고프니까 그냥 눈 딱 감고 먹는 거다. 심지어 유통기간을 어떻게 확인해야 하는지 같은 것도 제대로 알려주지 않는다.
생색내기 위한 요란하고 불편한 보안 방식
구글은 원하는 사람에게 이메일을 전송하는 것만으로 송금하는 서비스를 시작했다. 그냥 파일첨부 하듯이 금액을 입력하면 자신과 연결된 계좌에서 이체가 이루어진다.
트위터의 CEO였던 잭 도시가 세운 ‘스퀘어’는 스마트폰과 태블릿만 있으면 누구나 쉽게 결제를 할 수 있는 서비스를 제공한다. 스마트폰이나 태블릿의 이어폰 단자에 조그만 기기를 꼽으면 바로 신용카드 결제가 가능해진다. 별도의 POS단말기도 필요 없고, 신용카드 가맹점 등록도 필요 없다.
페이팔은 인터넷에 익숙한 사람들에게는 이미 유명한 서비스이다. 자신의 신용카드 정보를 등록해둔 후에 물건을 구매하거나 이체하고 싶으면 페이팔에 로그인만 하면 된다. 아마존 원클릭, 애플의 아이튠즈 원클릭 모두 클릭 한 번으로 쉽게 결제가 이루어진다.
우리나라에는 널리 알려지지 않았지만 민트(mint.com)라는 서비스도 있다. 이 서비스에 가입한 후 자신의 은행, 증권, 대출 등 여러 금융기관의 각종 계좌 정보를 입력해 두면 모든 입출금 명세를 정리해서 보여준다. 가계부 입력을 위해서 펜과 종이를 꺼낼 필요도, SMS 명세를 복사해서 붙여넣기 할 필요가 없는 것이다.
위의 서비스를 이용하면서 대규모 해킹 사건이 일어나서 업체가 손해배상으로 망했다거나 피싱으로 인한 피해가 심각하여 개인들이 엄청난 피해를 봤다는 이야기는 아직 듣지 못했다. 즉, 보안은 기본이고 그 안에서 최대한 이용자들이 쉽고 편하게 쓸 방법을 모색하는 것이다.
상식적으로 공인인증서 파일을 컴퓨터 지식도 없는 이용자의 PC에, 그것도 누구나 열람할 수 있는 곳에 위치시킨다는 것 자체가 말이 안 되는 것이다. 왜 이용자에게 보안의 책임을 전가하는지, 왜 이용자의 PC가 은행 서비스를 이용하기 위해 덕지덕지 걸레가 되어야 하는지도 이해하기가 힘들다. 그렇다고 국내 인터넷뱅킹 이용자들이 복잡하고 위험한 보안 방식을 유지하면서 위와 같은 서비스를 제공받는 것도 아니다. 7년 전 서비스를 그대로 이용하고 있다.
한국에 새로운 인터넷뱅킹 서비스는 생길 수 있을까
안타깝게도 우리나라의 인터넷 금융 서비스는 처음 인터넷뱅킹이 시작되었을 때의 기술에 발이 걸려있을 뿐만 아니라 이를 극복하고자 하는 노력도 전혀 보이지 않는 상태로 보인다.
무엇 때문일까. 공인인증서 때문일까? 혹은 기획재정부나 방송통신위원회의 정책 문제일까? 이러한 정부 기관의 호위를 받으며 이용자에게 책임을 떠넘기면서 새로운 서비스 대신 홈페이지 디자인 변경만 하는 은행들 때문일까?
액티브X는 (한국MS도) 권장 안 한다. MS 사람이 이렇게 말하니 좀 이상해 보이겠지만… 생태계를 건전하게 확보 안 하면 회사가 죽는다. 그래서 기업들이 오픈소스로 푸는 것이다. 액티브X는 생태계 유지에 도움이 안 된다. 특히 다양한 배포에 사용하는 서비스에는 액티브X를 쓰면 안 된다. 공공성이 두드러지는 정부 서비스에서 쓰면 안 된다. 사기업들이 목적성을 가지고(뚜렷한 목적이 있다면) 쓰면 상관은 없다. 공공성을 바탕으로 생태계가 유지되는 것이다. 특히 보안 서비스의 경우 액티브X를 많이 쓰는데, 이는 당시 보안이 한국 업계에 일찍 도입될 때 그 기술을 쓸 수밖에 없었기 때문이다. 지금은 대안 기술이 많다. 물론 당장에 돈이 안 되는 걸 (큰 돈을 들여) 바꾸라고 강요할 수 없겠지만, 아마도 다음 버전에서는 (액티브X의 대안 기술 도입이) 가능하지 않겠나.
2007년 마소 창간 25주년 세미나 RIA to RxA 세미나, 당시 한국마이크로소프트 김재우 부장의 발표 중에서
참고로 지난 정기국회 때 전자금융거래법과 전자서명법이 개정될 기회가 있었다. 하지만 결국 법안은 본회의의에 상정되지 못하고 묻혀버렸다. 그 사이 트위터에는 알계정들이 출몰해 공인인증서를 사수하기 위한 쇼가 벌어졌고, 공인인증서를 기반으로 한 샵메일 사업이 진행되고 그것을 비판하는 메시지에 고소 운운하는 일도 벌어졌다. 그리고 마이크로소프트는 윈도우 XP를 내년 4월까지만 지원한다고 한다. 시간은 흐르는데 한국의 인터넷뱅킹만 제자리이다.
이용자들은 답답하고, 불편하며, 심지어 해킹 위험에 노출돼 있지만, 정부도, 은행도, 보안업체도 귀를 막고 있다.
불편하다는 얘기가 쏟아지고 이거 조금만 들여다 보면 이상하다고 생각이 되는데도 이렇게 오래 건재하는 건 결국 돈. 누군가의 호주머니를 채우기 때문이라고 밖에 볼 수 없을 것이라 생각돼요.
그렇겠죠. 호주머니..무슨 장관인지 어디의 누군가가 엑티브엑스와 공인인증서를 밀고있는 이유를 글로 봤눈데 생각이 안 나네요. 글읽으면서 화낼 힘도 없고 화내봤자 당장 바로잡히는 것도 아니고..
진짜 액티브 x 때문에 환장할 노릇입니다. 한 번 결제요청에 5번을 깔아야하니 속터져서 원!!
1996년이라면 텔레뱅킹 쓰셨을 것 같은데요? 요즘도 인터넷뱅킹 대신 텔레뱅킹 쓰시는 분들 있습니다. 액티브X도 필요없고 그저 전화기만 있으면 되지요.
관심있으신 분들은 관련된 내용으로
김인성 교수님 IT이야기-시즌2 보시면 좋을 것 같네요
http://minix.tistory.com/category/IT%20%EC%9D%B4%EC%95%BC%EA%B8%B0-%EC%8B%9C%EC%A6%8C2
메이저 언론에서 이런 이야기가 나와야 하는 데 그 누구도 정치권력자가 무서워 일언반구도 하지 않는 현실 개탄스럽다.ㅠ.ㅠ
은행은 정상적으로 돈 들여서 보안시스템을 구축해야 하는 데 그럼 지네들 돈 들어 가니까 안하는 거고 보안업체는 1억원에 낙찰 받았는 데 원래 가격이 10억원이상 줘야 제대로 된 보안 시스템을 구축할 수 있는 데 1억에 낙찰 받았으니 남겨 먹을려니 대충 만드는 것이고 감독해야할 고자들은 들여다 봐도 뭐가 뭔지 모르겠고 “좋은 게 좋은거라고” 은행에서 잘 돌아 갑니다 그러니 대충 그런가보다 하는 거죠
총체적인 부실인거죠.
진대제때부터 이야기되었던 겁니다. 저 역시 정통부에 보안이 생명이다라고 이야기했습니다만 그 뭐더라? 정보진흥원? 그 쓰레기 개인 사이트에 이야기하라고 합디다. 빡쳐서 함 당해 봐라하고 그냥 조용히 있습니다 뭐 나만 안 당하면 조용히 있을랍니다.
최소한 모든 웹사이트들이 웹표준만 지켜 줘도 마소 종속은 조금이나마 벗어 날 거고 보안도 다양한 방법으로 보안이 강구될 수 있을 겁니다. 답답하지요 뭐
소 귀에 경읽기라고 해야 하나요?
아 참 네이트 털리면서 제 계정도 털렸더군요. 생각같아선 소송 걸고 싶은데요 이게 시간과의 싸움이라 포기했습니다. 아니 소송건분들 보니까 포기하게 되더군요.ㅠㅠ
역시 나 혼자만 느낀게 아니었구나…
미국에서 인터넷뱅킹 진짜 간편하게 쓰다가 귀국해서 아이티 강국이라는 한국의 인터넷 뱅킹 체험하고 진짜 쌍욕이 나온게 한두번이 아니었다.
뱅크오브아메리카, 씨티뱅크 같은 굴지의 은행들도 공인인증서니 엑티브엑스니 그딴 지럴 하나도 없이 간편하게 잘만 되던데 뭔 ㅆㅂ 좆같은 쓰레기 국내은행들이 공인인증서, 엑티브엑스, 보안카드에다 이제는 뭐 켬퓨터 지정? 미친 개쓰레기 색히들…
당연히 지들이 갖추어야할 보안시스템을 고객들에게 다 떠밀어 놓은거다.
개쓰레기 미개국… 이러니 암탉이 울지.
아무리 얘기해 봐야… 말을 안 들어처먹어요.
온 세상이 편한 세상으로 나아가는데, 우리나라 IT정책은 그저 뭇사람들 괴롭히는 재미로 사는 듯… ㅡ.ㅡ
미국인데 미국꺼는 사용하기 편하고 액티브 뭐 그런거 안깔아도 되고 일반 이메일 로그인 하는 것처럼 편하고 간단합니다. 가끔 한국 은행 쓰려면 아주 짜증나고 번거로워서 안사용하는게 나을 거 같더라구요.
이유는 간단하죠 누군가 돈 챙기고 소비자 돈은 누가 해킹해서 훔치던 은행 측은 보상도 없으니까 그렇게 후지게 지금도 방치.
미국에서는 누가 해킹하거나
카드 도난당해 사용해도
카드홀더(주인)가 사용한게
아니면 은행에서 돈을 다 돌려주죠
결론은 한국이 아직도 후진국
그리고 누군가 로비한것
프로그램 무조건 깔게 만든 것과 한국 은행에 돈이 자금이 별로 없다는 것이겠지요.
한국은 아이티 강국 아닙니다
누가 만들어낸건지
우선 인터넷 집집마다 하이 스피드로 사용한다고 그거 하나로만 보고 아이티 강국이라고 말할 수는 없지요.
미국 마이크로소프트에서 컴퓨터 프로그램 나왓잖아요
실리콘밸리 미국에 잇고
한국에서 아이티 강국은
우물안개구리로 자국민끼리
떠드는것.
솔직히 애플도 그렇고
컴퓨터 누가 발명하고 사용 시작하고 아이패드 스마트폰 미국에서 다 시작된거고요.
난 한국 은행 그 액티브 프러그램에다가 인증번호카드에다가 그리고 해킹 당하던 말던 고스란히 고객 잘못이거나 고객 운에 맡기는 게
한심.
우와… 정말 글 잘 쓰셨어요.
인터넷 뱅킹이랑 카드 회사 홈페이지 사용하면서 짜증날 때가 한두번이 아니었거든요.
저는 외국에 있는데 여기서는 보안 시스템 같은 거 깔지 않아도 잘만 되는데 한국은 대체 왜 그러나 했더니…. 정말 속시원하게 이유를 잘 알려주셨네요.
이 글 읽고 은행 및 카드, 금융 회사 높은 데 앉아 계신 분들이 꼭 읽으셔서 반성 좀 하고 그지 같은 시스템 좀 바꾸면 좋겠어요.
내가 쓴 카드 비용만 확인하려해도 이거 깔고 저거 깔고….. 진짜 말씀하신대로 내가 까는 프로그램이 해킹 프로그램인지 안전한건지 어찌 알겠어요. ㅠ.ㅠ
그리고 우리나라는 어디 홈페이지 가입만 하려고 해도 주민등록 번호, 전화번호 등등 모든 개인 정보를 다 적어야 하는데 그것도 대체 왜 그러는지 이해가 안가요.
동감합니다. 꼭꼭 잘 찝어주셨습니다. 인터넷 뱅킹사용하며 매번 느끼는 감정…때론 수표로발행해 보관할까? 라는생각이 드는데 수표는 기한이 없나? 라는 궁금증 현찰로 보관할까? 한방에 털리거나 부도내면 끝장인데…라는 생각을 문득문득했더랍니다. 편리한거 많지만 불안함도 동반하죠… 모르는 말들 줄줄줄 … 니돈 나줄래? 라고 해도 모르는 언어니 예라고 할 수 밖에요… 매번 느끼는 불안감에 작은 거래만 하는 거죠.
ssl 도 적용안하면서 무슨 프로그램은 그렇게 까는지..게다가 멀쩡하게 ssl 잘 사용하는 표준사이트도 공인인증서같은 바이러스 프로그램 의무 설치로 법을 바꾸었죠. 법적으로 정해두었으니 다른 사이트들도 형편없어지겠죠.
무슨 오픈 뱅킹이라고 은행이 만들어 두었는데, 공인인증서 등록같은건 또 ActiveX 범벅 사이트에서 해야하고…
ActvieX와 인터넷뱅킹을 주제로 석사 논문 중 교수님들의 반대(내용이 지금 생각해도 많이 부실했습니다.)로 포기하고 두번째 안으로 논문을 작성했던 기억이 나네요.
국내 대형 은행들 대부분(약 80% 이상)의 웹사이트에 SSL이 적용되어있지 않다는 저의 조사에서 어느 교수님은 이렇게 말씀하셨습니다.
“주소창에는 표시되지 않지만, 안보이는 곳에서는 모두 적용되어있을 거에요. 그러니 안전한거에요”
그럼 저는 의문이 생깁니다. 왜 SSL 적용 여부를 숨겨놨을까? 정말 숨겨놓은것인가?
지금 사용중인128비트 SSL 기술을 1998년 국내에 인터넷뱅킹이 도입될 당시 미국내에서만 사용할 수 있었기 때문에(128비트 SSL 기술은 미국 외 수출 금지 목록으로 지정되어있었습니다.) 국내에서는 사용할 수 없었으며, 안전한 통신 수단이 필요했기때문에 SEED를 만들게 되고 이것을 브라우저의 기능에 추가하기 위해 플러그인 기술인 ActiveX를 사용하게 됩니다. 하지만 128비트 SSL의 미국에서의 수출 금지는 90년대 말 해제되어 전세계에서 128비트 SSL 암호화기술을 사용할 수 있게 됩니다. 하지만, 국내에서는 이미 ActiveX 기반의 공인인증 체계를 구축한 이후이고 이것은 지금까지 유지되고 있습니다.
SSL을 사용하므로 인해서 얻는 효과는 단순히 기술적으로 통신구간을 암호화한다는데 있지 않습니다. 내가 접속한 사이트가 안전한 사이트임을 시각적으로 증명하는 것입니다. 악성 파밍사이트로 금융피해가 증가하고 있는데, 이 사이트가 안전한 사이트인지 아닌지를 구분할 수 있는 방법이 IT 지식이 없는 일반 인터넷뱅킹 사용자에게는 없습니다. 그나마 유효한 인정서로 안정성을 확보하였다는 주소창에 표시되는 자물쇠 표시 정도일 것입니다.
SSL을 숨겨놓고 그 기능을 사용한다면 이것은 단순한 엔지니어 관점의 접근입니다. 기능은 구현했으니 브라우저상에서 표현되지 않아도 무관하다. 이 얼마나 기능위주의 관점이란 말입니까? 사랑하는 연인사이에서도 사랑을 표현해야 사랑이 지속될 수 있듯이, 웹사이트도 자기 스스로 내가 안전한 사이트임으로 지속적으로 증명해야 할 터인데, 내가 알아서 지켜줄테니 그냥 무작정 믿으라고만 합니다. 설마 SSL이 뒤에서 적용되어있다는 것이 결국 ActiveX로 배포되어 관리되는 공인인증서와 은행사이의 통신구간을 암호화하는 SEED를 이야기 한걸까요?
ActiveX는 브라우저 실행권한 이상을 획득할 수 있기 때문에 ActiveX를 통한 악성코드의 감염은 그 순간부터 PC에 대한 통제권을 잃었다고 봐도 별단 다르지 않습니다.
왜 공인인증체계를 고집하는가? 개인적인 견해로는 추측되는 부분이 있지만, 언급은 회피하겠습니다.
전세계에서 가장 안전한 인터넷뱅킹 환경을 갖추고 있다고 정부는 스스로 이야기 하지만, 전세계에서 가장 많은 금융사고가 발생하는 나라가 대한민국이 아닌가 생각해봅니다.
액티브엑스와 공인인증서는 북괴 김정은의 지령을 수행하고 있는 종북 좌좀들의 사이버 폭동을 막기 위한 수단이다. 액티브엑스랑 공인인증서 싫은 놈들은 그냥 북한가서 살아라~
엑티브엑스는 MS가 만들었는데 과연 그럴까?
위의 댓글에서…
[quote]
국내 대형 은행들 대부분(약 80% 이상)의 웹사이트에 SSL이 적용되어있지 않다는 저의 조사에서 어느 교수님은 이렇게 말씀하셨습니다.
“주소창에는 표시되지 않지만, 안보이는 곳에서는 모두 적용되어있을 거에요. 그러니 안전한거에요”
[/quote]
정말 한심… 이게 한국 IT수준…
본문 중간에 오류가 있는 듯 합니다. ‘게다가 설치하는 보안 프로그램의 인증서 기간 또한 제때 갱신하지 않는 경우가 허다하다.’ 라고 했는데, 이건 아무런 문제가 없는 사항입니다. 인증서의 유효기간은 인증서 자체의 유효한 기간을 말하는 것이지 인증서가 유효한 기간 내에 해당 인증서로 서명한 것의 유효기간을 말하는 것이 아닙니다. 즉 서명대상에 서명한 인증서의 유효기간은, 서명한 시점에 유효하기만 하면 되는 것입니다. 비록 인증서가 2008년부터 2010년까지 유효하다 하더라도 유효기간 내인 2009년쯤에 서명을 한 것이라면 인증사 자체의 유효기간이 지난 2013년 지금 이 시점에서도 아무런 문제가 없는 것입니다.
신용카드를 예로 들어봅시다. 유효기간이 2012년까지인 신용카드로 2011년에 물건을 하나 샀습니다. 근데 유효기간이 지난 지금 2013년에 와서 그때 쓴 신용카드는 이제 무효하므로 이 물건이 구매자의 소유라고 인정할 수 없다고 주장하는 것과 비슷한 예입니다.
따라서 https://slownews.kr/14342 이 글도 정정이 필요한 것으로 보입니다.
인증기간 이후에 다운로드 받은 사람은 실제로 인증이 안된…인증기간이 지난 프로그램을 다운로드 받는 것 아닌가요? 그게 문제라는거 같은데요.
프로그램 한번 만들어놓고 사이트에 올려놓으면 천년만년 이상없다고 주장하면 안되니까 그걸 적당히 업데이트 해주면서 관리를 해야 하는데 우리나라 업체들은 관리도 제대로 안하고 있다는 걸로 이해를 했는데…..
물론 프로그램 자체에 이상이 있다는 건 아니겠죠… 그러니까 작동은 잘 하는 거잖아요. 하지만 찜찜하죠. 결국 인증서를 이용하는 의미가 없잖아요. 제가 잘못 이해한건가요??
김정기님께서 적으신 내용은 황당한 궤변입니다. 플러그인 배포자의 서명이 유효하지 않아도 무방하다, 그 서명의 유효성을 확인할 방법이 유저에게 없어도 유저는 무조건 그런 플러그인을 자신의 컴퓨터에 설치하면 된다는 식의 기상천외한 “보안 zero” 주장.
맨날아이티 강국 아이티 강국… 질렸습니다. 그리고 부끄럽습니다. 무슨 액티브 x 랑 보안 프로그램 엄청 깔고… 한국 학교나 직장 원서 제출 하는데도 오류 투성이, 사진은 왜 올리는건지…또 사진 수정하는 프로그램 깔아야 되고, 에러나고…공인 인증서? 해외에 있는 한국사람은 직접 한국에 찾아가야 되고.. 너무 정책적으로 복잡하고 힘듭니다. 해외투자를 하고 싶어도 이런 정책때문에 너무 힘듭니다.
“왜 이용자에게 보안의 책임을 전가하는지, 왜 이용자의 PC가 은행 서비스를 이용하기 위해 덕지덕지 걸레가 되어야 하는지도 이해하기가 힘들다…” 속 시원한 글에 감사합니다. 이 글을 기타 웹사이트에 100번씩 전파하는 분들은 한국을 아이티 강국으로 만드는데 1%씩 동참하시는 분들입니다.
플러그인의 서명은 OS가 유효성을 확인하고, 만약 유효하지 않으면 IE에서는 설치조차 되지 않습니다. 그리고 인증서의 유효기간 내에 전자서명이 되었으면 그 서명은 계속 유효합니다. 기상천외한 “지식 zero” 주장 잘 감상했습니다.
댓글중 이용자에게 보안을 떠넘긴다는건 잘못생각하고 있는것 같습니다. 오히려 그 반대이죠 사이트가 모든 보안을 책임질테니 너의 모든걸 넘겨줘 하는거죠 실제로는 기본도 지키지않아 책임못지는 상황. 보안도 더 허술해지고 이용도 불편하죠
국내 금융기관이 바뀌기를 기다리는 것은 지쳤습니다. 소비자들이 해외 금융기관으로 옮기는 게 났습니다. 해외 은행에 계좌를 만들고 신용카드도 해외에서 만들어야 되겠군요… 이제부터 좀 알아봐야….
국내 금융기관이 바뀔려면 최소 10-20년은 걸릴텐데 소비자들이 그걸 기다려 줄 수는 없죠. 외국어를 할 줄 아는 소비자들은 해외 금융기관으로 옮기는 게 정신건강에 좋습니다. 해외 은행에 계좌를 만들고 신용카드도 해외에서 만들어야 되겠군요… 이제부터 좀 알아봐야….
지금 이 댓글을 보시는 분들도 해외 금융기관을 대안으로 고려해 보시는 것이 좋습니다.