[box type=”note”] 인터넷 뱅킹 상담원과 전화하다 보면 공인인증서에 기반한 한국 인터넷 뱅킹의 비정상적인 모습을 확인하게 됩니다. 아래 대화는 직접 체험한 것으로 대화의 핵심 내용을 요약한 것입니다. (편집자)
[/box]
2013년 11월 어느 날, 나는 컴퓨터 교체 때문에 K증권을 로그인하는 데 이용하던 공인인증서가 현재 이용하는 PC에 없다는 사실을 깨달았다. 그래서, 공인인증서를 재발급을 받기로 했다. 인터넷 익스플로러를 이용해 K증권사 홈페이지인 http://k*****.com/ 으로 들어갔다.
액티브엑스/플러그인의 다양한 괴롭힘
많은 사람이 알다시피 MS 윈도와 인터넷 익스플로러를 이용해 이런 증권사/은행의 홈페이지를 이용하기 위해서는 반드시 필요한 보안 프로그램들이 있다. 나는 이것들을 정말 설치하기 싫지만, 한국에서 서비스를 받기 위해서는 선택권이 없다. 무조건 설치를 해야 한다.
게다가 이런 프로그램은 홈페이지에 재방문할 때마다 내 컴퓨터의 권한에 접근하기 위해 매번 “컴퓨터(의 설정)를 변경할 수 있도록 허용”해 달라고 요청한다. 언뜻 귀찮은 생각에 UAC의 보안 수준을 낮출까 하는 생각도 잠깐 들지만, 그럴 수는 없다. 일개 웹서비스 몇 개 때문에 내 컴퓨터의 보안 수준을 낮춘다고? 말도 안 되는 소리다.
[box type=”info” head=”보안을 위해 위험을 감수시키는 대한민국식 보안”]
한국의 인터넷 보안 플러그인은 실행할 때마다 관리자 권한을 요구하거나 이용자 컴퓨터의 설정에 직접 접근해야 하는 과도한 권한을 요구하기 일쑤이다. 이렇게 보안 플러그인이 과도한 권한을 요구하자 이용자들은 이 설정을 끄는 방법을 유용한 팁이라며 공유하기에 이르렀다. 이용자들을 귀찮게 해서 결국 보안 수준을 낮추게 만든 것이다.
[/box]
에러에 대한 설명이 부족한 서비스
어쨌든 이번에도 찝찝한 마음을 뒤로하고 보안 프로그램이 내 컴퓨터의 권한을 갖도록 허가한 후 공인인증센터로 들어가 공인인증서 재발급 메뉴 버튼을 눌렀다. 사용자 ID, 비밀번호, 주민번호 등을 넣고는 확인 버튼을 아무리 눌러도 더이상 진행이 되지 않는다.
명색이 웹 개발자라 디버거를 켜서 소스를 살펴보니 웹사이트를 이용하기 위해 반드시 필요한 액티브엑스 중 하나가 잘못 설치됐는지 확인 버튼을 누를 때 자바스크립트 에러가 나는 것이다.
증상은 확인했지만, 증권사에서 설치하라는 액티브엑스/플러그인은 모두 설치를 한 상태였기 때문에 내가 추가로 취할 수 있는 방법은 없었다. 게다가 이렇게 에러가 나는 경우 어떻게 하라는 설명이 어디에도 없었기 때문에 나는 고객센터에 전화했다.
[box type=”info” head=”에러에 대한 미흡한 처리”]
자사의 웹사이트에 접속한 이용자들이 모두 자신들이 강제로 요구한 액티브엑스/플러그인을 설치했을 거란 생각 때문인지 에러 처리가 미흡한 경우가 있다. 즉, 단순히 보안 플러그인이 설치되면 접근할 수 있는 객체의 유무 정도만 전체적으로 한번 체크하는 경우가 많다.
하지만 자칫 잘못 설치되거나 버전이 낮은 플러그인을 계속 유지하고 있는 이용자는 서비스를 제대로 이용할 수 없는 경우가 많은데, 이에 대한 처리 등 전반적으로 상세한 설명이 부족한 경우가 많다.
[/box]
윈도는 기본으로 필요해
상담원과 통화를 하기 위해서는 ARS를 통해 내 주민번호나 계좌번호를 입력해야만 했다. ‘내 주민번호가 공공재도 아닐 텐데, 이렇게도 쉽게 불러주고 확인에 이용되는구나.’라고 생각하는 순간 상담원과 연결이 되었다.
[box]
상담원: 안녕하세요, 고객님. 무엇을 도와드릴까요?
나: 공인인증서를 재발급받으려고 하는데 진행이 되지 않습니다.
[/box]
간단한 상황설명을 하고 몇 가지 질문에 대답하자 상담원이 원격지원서비스를 받아보면 좋겠다고 이야기한다. 참고로 이 원격지원서비스는 MS 윈도 사용자만 지원되는 서비스이다. 나는 그러라고 했다.
[box type=”info” head=”윈도만 가능한 원격지원서비스”]
원격지원 역시 액티브엑스/플러그인을 설치해야 서비스를 받을 수 있다. 그리고 이용자가 사용하는 운영체제가 무엇인지 묻지도 않는다. 무조건 윈도 이용자만 이용 가능한 것이다.
[/box]
보안설정을 낮춰야 작동하는 서비스
상담원이 가장 처음 한 일은 인터넷 익스플로러 인터넷 옵션에 들어가서 각종 설정을 살펴보는 것이었다. 그런 후 신뢰하는 사이트에 해당 증권사의 웹사이트를 등록했다.
곧이어 상담원은 인터넷의 보안설정에 들어가서 “다른 도메인 사이에서 창과 프레임 탐색”과 “도메인 간의 데이터 원본 액세스”를 ‘사용 안 함’에서 ‘사용’으로 변경했다.
[box type=”info” head=”자사 서비스를 위해 이용자 PC의 보안 수준 낮추기”]
우리나라 금융권이 이용자에게 제공하는 보안 방식은 기본적으로 “자사 서비스 작동을 위해 이용자 PC의 보안 수준을 낮추는 방식”이라 할 수 있다. 이용자가 평상시 어떤 습관으로 어떤 사이트를 이용하는지 알지도 못하면서 말이다.
만약 이용자의 PC에 악성코드가 깔려서 ‘신뢰할 수 있는 사이트’에 등록된 웹사이트에 접속을 시도했지만, 범죄자가 만든 파밍 사이트로 연결될 수도 있지만, 어떤 보안 플러그인도 이 사실을 명확하게 이용자에게 고지하지 않는다.
[/box]
특정 브라우저를 삭제하라고?
그런 후 상담원은 제어판의 “프로그램 제거 또는 변경”에 들어가 킹스정보통신의 안티 키로거, 안랩의 온라인 방화벽, 잉카인터넷의 엔프로텍트, 소프트포럼의 제큐어웹 콘트롤을 능숙한 마우스 콘트롤로 삭제를 하기 시작했다. 나는 순간 당황해서 물어봤다.
[box]
나: 혹시 저 프로그램들이 다른 곳에도 이용될 수도 있는데, 막 지워도 되나요?
상담원: 어차피 K증권 홈페이지 들어가면 다시 다 깔리는 거고, 다른 금융권 서비스도 다 같은 걸 이용하니 괜찮습니다.
[/box]
하지만 4가지 프로그램 중 마지막인 제큐어웹 콘트롤은 아무리 ‘프로그램 제거’를 시도해도 제대로 삭제가 되지 않았다. 그러자 내게 물었다.
[box]
상담원: 크롬을 삭제해도 되겠습니까?
나: 예? 왜요?
상담원: 제큐어웹 콘트롤을 비롯한 금융 관련 프로그램은 구글 제품과 충돌이 일어나서 구글 툴바라든지 크롬을 삭제해서 고객 지원을 하라는 교육을 받았습니다.
[/box]
나는 어처구니가 없었다. 그래서, 그런 보안 관련 액티브엑스와 크롬이 도대체 무슨 관계가 있는지 물어보고, 두어 차례 확인했지만, 상담원은 분명하게 말했다. 자신은 문제가 생기면 구글 툴바나 크롬과 같은 구글 제품을 삭제하라는 교육을 받았다고.
나는 하도 어이가 없어서 크롬을 삭제하는 건 안된다고 이야기하다가 될 대로 되라는 식으로 한번 삭제해보라고 했다.
[box type=”info” head=”특정 프로그램과의 충돌이라며 이용하는 프로그램 제거하기”]
이 부분이 압권인데, 금융 사이트의 상담원이 받는 교육에 구글 툴바, 크롬 등 구글 제품을 삭제하라는 교육을 받았다는 사실은 두어 차례 듣고도 믿을 수가 없을 정도였다.
전 세계 43%의 인터넷 이용자가 사용하는 크롬 브라우저를 자사의 서비스와 충돌한다고 삭제해야 한다고 하는 말은 아마 누구라도 믿기 힘들 것이다.
이 상담원의 답변은 한국에서 인터넷 익스플로러의 점유율이 왜 높은지, 크롬의 점유율이 전 세계 평균과 비교하여 왜 낮은지에 대해 다시 한 번 생각해 보게 만들었다.
[/box]
비정상적인 방법을 동원해야 해결되는 서비스
하지만 상담원은 크롬을 삭제하기 전에 제큐어웹 콘트롤이 정상 삭제가 되지 않는 것이 마음에 걸렸던 모양이다. 아마도 크롬 삭제 보다는 위의 보안 4총사 액티브엑스/플러그인 삭제를 먼저 시도하라는 교육을 먼저 받았으리라.
제큐어웹 콘트롤이 정상적인 방법으로 계속 삭제가 되지 않자 나에게 물었다.
[box]
상담원: 고객님, 제큐어웹 콘트롤이 제대로 삭제가 되지 않기 때문에 우선 리부팅을 해보겠습니다.
나: 예. 그러세요.
[/box]
성실한 상담원이 리부팅을 하기 전에 묻지도 않은 나에게 팁을 준다.
[box]
상담원: 고객님, 저희 서비스를 이용할 때는 인터넷 익스플로러를 관리자 권한으로 실행시키셔야 제대로 작동합니다.
나: 프로그램을 관리자 권한으로 실행시키면 브라우저를 통해 다른 프로그램도 쉽게 깔려서 위험한 것 아닌가요?
상담원: 금융권 프로그램은 이렇게 해야 제대로 이용이 가능합니다.
나: 회사 같은 곳에서 이용하다 보면 관리자 권한으로 실행할 수 없을 수도 있지 않나요?
상담원: 그래도 금융권 프로그램은 이렇게 해야 제대로 서비스를 받을 수 있습니다, 고객님.
나: 아… 예… 알겠습니다. 그럼, 제가 재부팅해서 다시 한 번 해볼게요.
[/box]
상담원은 또다시 친절하게 팁을 전해준다.
[box]
상담원: 그러시겠어요, 고객님? 그런데 제큐어웹 콘트롤은 프로그램 제거를 해도 일부 파일은 삭제가 안 됩니다. 그러니, C:\Program Files\SoftForum 에 들어가서 폴더를 수동으로 삭제해 주셔야 합니다.
나: 아… 예…
[/box]
여기까지 듣고 나니 머리가 하얘졌다. 아…
[box type=”info” head=”일반 이용자의 수준을 넘어선 조치 방법”]
우리나라에 2천만 대 이상의 컴퓨터에 설치됐다는 프로그램을 정상적으로 이용하기 위해 재설치를 할 때는 윈도가 제공하는 프로그램 제거만으로는 불가능하고 이용자가 일일이 특정 폴더에 들어가서 파일을 삭제해주는 비정상적인 절차까지 수행해야 한다는 사실은 씁쓸함을 넘어 허탈할 지경이다.
그리고 보안에 대해 잘 모르는 이용자에게 애플리케이션을 “관리자 권한”으로 실행시키라고 상담해준다는 것 역시 서비스가 비정상적이라는 것을 의미한다. 그리고 만약 그러다가 문제가 생기면 누가 책임을 질 것인가. 자사의 서비스만 작동하면 이용자가 어떤 피해를 입을지는 상관없다는 태도인 걸까?
[/box]
정리해 보면 이렇다.
- MS 윈도와 인터넷 익스플로러를 이용해 대한민국의 금융권 웹서비스를 이용하려면 액티브엑스/플러그인을 반드시 설치해야 한다.
- 설치하려는 액티브엑스/플러그인의 유효기간이 지났어도 그냥 꾹 참고 설치를 해야 한다.
- 어떤 액티브엑스/플러그인은 설치 후 누가 배포했는지 확인할 방법도 없지만, 꾹 참는 수밖에.
- 문제 해결을 위해 상담원의 안내를 받기 위해서는 우선 이용자의 주민번호를 전화상으로 입력해야 한다. (내 경우 계좌번호를 입력하는 옵션도 있었지만, 계좌번호를 암기하지 못했다.)
- 정상적인 금융 웹서비스 이용이 어렵다면 이용자의 인터넷 브라우저의 보안 설정을 낮춰야 한다.
- 그래도 안 되면 위의 액티브엑스/플러그인을 모두 삭제하고 다시 설치한다.
- 정상적인 방법으로 삭제되지 않으면 재부팅을 해야 한다.
- 재부팅 후 삭제가 잘 되더라도 제큐어웹 콘트롤은 이용자가 직접 폴더로 이동해 파일을 수동으로 삭제해야 한다.
- 그래도 안 되면 구글 툴바 및 크롬 등 구글 제품을 삭제한다.
유통기한 지난 다양한 제도와 조직들의 임시변통이 퇴적되어 만들어진, 2013년 11월 대한민국 인터넷 금융 웹서비스의 평범한 일상이었다.
인터넷 보안이 이러다간 털릴거라고들 얘기하는데…사실 이런 모습 자체가 이미 보안이 털린 모습이라고 봐야겠죠..ㅠㅠ
이 글을 읽고 공포를 느끼지 않는다면 아마 당신의 컴퓨터는 이미 뚫려 있을 가능성이 크다. 당신의 개인 정보도 이미 탈탈 털렸을 가능성이 매우 크다.
저 수많은 허접 보안 컨트롤에 더하여 이용PC지정을 강제하고 있잖습니까?
제 경우는 이용PC로 지정이 안되어있다고 등록하라는 얼럿창이 뜨고,
등록화면으로 가면 이미 등록된 PC라고 나오고…(무한 반복~~)
지들끼리도 손발이 안맞는 프로그램을 수십억단위로 금융권에 공급하고.
대충 세어봐도 각 은행, 증권사 등 십수가지의 “보안”프로그램이 깔리고,
그로 인해 불편함은 천배 만배가 되어가는데,
늘상 뉴스를 보면 어느 사이트에서 3000만 유저 정보가 유출되었다고 하고,
오늘도 폰으로는 수많은 스팸, 스미싱이 들어오고…
이 와중에 공급자측의 개발자들 역시 작금의 상황에 질려 그나마 캐리어 관리하면서
개발 능력을 키울 수 있는 게임사로 갈 수 밖에 없고.
각광받던 인터넷 천국이었던 나라에서 이젠 작은 서비스마저도 런칭이 안되고 있는
현실이 갑갑합니다.
은행권에서 익스플로러와 윈도우… 잘 읽었습니다.
얼마전에 관세청에서 검역신청할때 똑같은 일을 겪었습니다. 하마터면 원격하는 여직윈한테 욕할뻔했습니다. 사이트에 선진무역이라고 써있더군요. 우라질
액티브엑스에는 유효기간이란 게 없습니다. 스크린샷에 나온 유효기간은 그 액티브엑스 컨트롤에 전자서명을 하는 데 쓰인 인증서의 유효기간이고, 그 인증서를 사용해서 서명을 할 수 있는 기간을 말하는 것일 뿐입니다. 서명 당시에 유효했으면 문제 없습니다. (그렇지 않으면 서명 자체가 안 되기도 하고요)
은행사이트를 크롬브라우저를 이용해 접속하면 오픈뱅킹으로 접속하게 됩니다.
오픈뱅킹이라고 보안프로그램이 설치되지 않는건 아니지만 익스플로러를 이용한
접속보다는 에러가 줄어드는듯합니다.
전에 플래시를 이용한 x-banking도 있었는데 이건 없어진듯하네요.
이거 예전에도 비슷한 댓글이 달린 거 같은데, 물론 갱신 안해도 프로그램 자체가 막 살아있는 것처럼 변하지는 않겠죠. 무슨 코드가 썪는 빵도 아니고요. 단지 저런 것조차 갱신 안하는거가 한심하다는 거 아닌가요? 그냥 주는 대로 닥치고 쓰라는 것도 아니고.
N사의 D게임사이트를 크롬으로 들어가면 본인인증조차 작동하질 않죠… 인터넷뱅킹 쓸때마다 IE를 켜야하는것도 지겹고, 들어가면 온갖 엑티브X가 실행되서 잠시동안 아무것도 못하고… 위엣분이 오픈뱅킹 말해주셨는데 저같은 경우는 보안카드를 쓰고있어서 오픈뱅킹 사이트 이용하려고 하면 보안카드 이용자는 이용할 수 없다고 뜨고… 초대형사건 안터지면 안고쳐질듯 ㅠㅠ
도대체 어떤 면에서 한심하다고 하시는 거죠? 소프트포럼이 버그 수정이든지 기능 추가든지 해서 새 xecureweb 모듈을 내놓으면 그 땐 갱신된 새 인증서로 서명이 되어 있겠죠. 그런 이유 없이 단지 인증서 기한이 지났다고 새로 서명을 해서 배포하는 경우는 없습니다. 보통 인증 기관(verisign, godaddy 등)에서 발급하는 인증서의 기한이 보통 1년인데, 1년마다 컴퓨터의 모든 바이너리를 업데이트하지는 않죠?
초대형 사건 이미 여러번 터지지 않았나요.;; 네이트온이라든지 옥션이라든지.. 누가 은행을 해킹해서 삼성그룹 차명계좌에 있는 돈이라도 털어야지. 진짜 초대형 사건이려나요.;;
기업은행은 이 글과 똑같은 상황으로 대처하더니 마지막에 URL창에 IP로 접속해서 처리하더군요. 도대체 내가 그 아이피를 어떻게 믿으라는 건지…
이용자가 플러그인 다운로드 받을 때 확인할 수 있는 게 프로그램 인증서 밖에 없는데 그럼 다운받는 시점에서 기간 지난 걸 받으면서… 아… 예전에 잘 서명했겠구나… 이러면서 받나요? 그럼 한 30년 짜리 한국형 인증서 만들어서 쓰지 왜 귀찮게 1년, 2년 짜리 쓰나요?
혹시 어차피 컴파일 된 바이너리고 달라지는 것도 없고 하니 좀 늦게 업데이트 해도 된다는 건 아니죠? 누가 이런 거 일일이 보고 다운로드 받겠어? 어차피 이건 그냥 형식이지… 시켜서 하는 거지… 이런 건 아니죠?
요즘 세상에 1년 동안 업그레이드도 안했다는 얘기네요? 보안 참 잘 되겠네요?
좋아요 500개 누르고 싶은 글이네요.
더더/ 액티브엑스에 대한 증오와 공인인증체계, 전자서명에 대한 무지에서 비롯된 ‘유통기한이 지난 것 같아 기분이 나쁨’이라는 반감 외에는 이유가 없으신 것 같네요. 사실 저 날짜는 유통기한보다는 제조일자(의 범위)에 더 가까운데 말이죠.
그리고 전자서명은 형식에 불과한 것이 아닙니다. 윈도우의 code signing 정책에서 인정하는 공인인증기관의 인증서를 사용한 유효한 전자서명이 없으면 액티브엑스 컨트롤은 아예 설치가 되지 않습니다. 1년짜리 갱신하기 귀찮다고 30년짜리 한국형 인증서를 만들어 사용할 수 없는 것도 설명이 되지요.
운항/ xecureweb은 백신이 아니라 공인인증, 전자서명 모듈인 걸로 알고 있습니다. 백신의 경우 시시각각 변하는 악성코드에 맞춰서 업데이트가 필요하지만, RSA, SEED(…) 등의 알고리즘을 사용하는 공인인증모듈은 버그 수정이나 기능 개선 등의 이유가 없으면 업데이트를 할 필요가 없죠.
본인이 위험성을 충분히 인지하고도, 번거롭기 때문에 편하게 쓰겠다… 이런 사용자라면 모를까, 대부분의 사용자는 물론 그런 마음가짐인 사람도 다수기는 하겠지만 아무튼 어차피 대안도 없기 때문에 ‘동의’를 계속 누르면서 본인의 PC를 무장해제하게 되는 거죠. 이 문제는 컨트롤타워의 부재가 가장 심각한 상황 같아요. 어느 부처에선가는 기준을 잡고 표준을 세워서 개선을 해야 할 텐데…
디- // 제말이요. 결국 제큐어웹은 버그 수정을 1년에 한번도 안한다는 거네요? 알고리즘이 정해져 있다고 해도 말이죠. 금융 쪽 보안 프로그램 인증 프로그램 관련 개발자들은 정말로 개발 엄청나게 잘하는 사람들만 모여있나봐요. 완전 천재들이네.
슬로우뉴스 다른 글 보니까 백신이나 키보드 보안 프로그램 인증서도 기간 지나게 방치하기 일쑤던데, 그럼 그런 보안 프로그램들도 1년에 한번도 업데이트를 안한다는거군요. 헐.
그리고 대부분의 프로그램들도 비정기적으로 업데이트를 합니다?
말 그대로 인증서는 신뢰를 할 수 있는 효과가 있는 겁니다. 결정적으로 애초에 인증 기간을 짧게 만든 이유가 뭔지 생각해 보세요.
더더 // 님이 말한 30년짜리 이야기가 혹시 우리나라에서 GPKI도 막 쓰고, 제큐어웹 발라서 공인인증서도 막 쓰는데 한국형 30년 짜리 프로그램 인증서는 왜 못쓰겠냐….. 이런 뜻인 것 같은데, 아마 마이크로소프트가 허락해주면 당장이라도 쓸 것 같습니다. ㅋㅋㅋㅋ 아쉽게도(?) 지금은 못써요. 디-님이 이야기한 대로 정해진 인증기관에서 발급해야 되니까요.
운항/ 도대체 뭘 보고 ‘1년에 한 번도 업데이트를 안 한다’라는 결론을 내리셨는지 모르겠네요. 저 스크린샷만 봐서는 저 모듈이 인증서의 유효기간인 2012년 8월 10일부터 2013년 8월 11일 사이에 만들어졌다는 것만 알 수 있고요, 정확히 언제 만들어졌는지는 다른 창에 있는 전자서명의 타임스탬프를 봐야 알 수 있죠. 말씀하신 대로 1년이 넘었을 수도 있고, 석달 전에 만든 것일 수도 있어요.
그리고 서명에 사용된 인증서의 기간이 지났다고 해서 ‘방치’하는 게 아니라고 누누히 말씀드리고 있잖습니까. 유효기간이 있는 건 인증서고, 그걸로 전자서명을 할 수 있는 기간일 뿐이지, 그 전자서명의 유효기간이 아니라니까요. 한 번 유효한 전자서명은 인증서가 revoke되지 않는 한 계속 유효하다고요.
다른 글의 리플에서 본 비유인데, 신용카드로 산 물건이 신용카드의 유효기간이 지나면 제 소유가 아니게 된다는 급의 소리에요.
‘ 2013년 11월에도 당당히 2013년 8월 11일까지의 유효기간을 자랑하는 소프트포럼의 제큐어웹 콘트롤 – 플러그인의 유효 기간이 지나서 찝찝해도 이용자는 울며 겨자 먹기로 이용할 수밖에 없다. ‘
현재 문제가 없는 모듈을 인증서 서명가능한 기간이 지났다고 해서 빨리 새롭게 사이닝하고 교체해야 한다 ? 그건 마치 만든지 1년정도 된 새자동차를 소비자가 이건 1년전에 만든거라 찝찝하니까 뜯어서 새로 조립해 주세요! 하는것 같습니다.
저기 유효기간은 그 모듈의 생명주기를 의미하지 않습니다.디ㅡ님의 말이 맞아요ㅡㅡ
독자들에게 정확한 정보를 전달 해야죠
이게 또 뭔소리야 싶으시면 윈도우 시스템 폴더 가셔서 마소 파일들 보세요. 그것들은 이미 상해서 못쓸 파일들인가요?
인증서 유효기간 관련해서……….. 김기창 교수는 기술적으로 좀 검토를 하고 이런 글을 올리시길 바래요… 뭐 선동질 하는 것도 아니고… 셀프 XX 인증하지 마시구요…
그래서 저는 아예 첫 거래때 머신을 지급해 달라고 합니다.
아예 윈도우부터 다 깔아달라그러고 문제 생기면 그쪽에서 해결해 달라고 하면 됩니다.
라이센스 문제도 말이죠.
저같은 사람들이 많아지고 그쪽이 불편해지면 바뀔 문제라고 생각합니다.
우리만 불편할 이유 없습니다.
이럴바엔 차라리 Thin Client쪽으로 가는게 맞다는 생각이 드네요..
미국의 주요은행들은 MacOS던 Windows건 익스폴로건 크롬이던 말도 많도 탈도 많은 액티브엑스 한개도 안쓰고 인터넷뱅킹도 다되던데요, 우리나라는 왜 그럴까요?
현재 시스템을 고쳐 쓰기에 비용이 많이 들어서인가요?
변경에 따른 문제발생에 대한 담당자들의 두려움인가요?
아니면 기득권이 있는 업체들이 지속적으로 수익을 창출하기 위한 눈가림인가요?
지구에 이런 병맛 무개념 무보안을.. 보안으로 포장하는 동내는 한국이 유일할것 같습니다
공인인증서 관련 기업들과 금감원 등이 어떤 관계인지 궁굼해요
미국의 군산 복합체 처럼..
금감원 직원들이 퇴직하고 공인인증서와 보안 SW 회사 임원으로 가는것은 잘 상상이 안되고요. 뭔가 고리가 있을텐데 아시는 분 없나요?
플러그인 배포자가 코드사인을 할때 timestamping 을 해두면, 그러한 플러그인은 코드사인용 인증서 유효기간이 만료되어도 서명검증을 무난히 통과하도록 되어있습니다. “이 코드는 이러이러한 시점에 서명된 것이고, 그 시점에는 유효한 코드사인인증서/개인키로 서명된 것이었음”이라는 뜻이지요.
timestamping을 제대로 안하고 코드사인한 (그래서 일년쯤 지나면, 서명검증도 안되는) 플러그인도 나돌아 다니고, 아예 보안업체가 스스로 만든 인증서(자기서명인증서)로 코드사인한 (믿을 수 없는 게시자라는 경고가 뜨는) 플러그인도 돌아다닌 적이 있었고, 과거 버전 윈도즈/IE에서는 이런 플러그인도 “너그럽게” 설치될 수 있도록 기본설정되어 있었거나, 심지어 은행이 “보안 수준을 최소로 낮추라”는(그렇게 해두면, 서명검증 안되는 플러그인도 마구 설치가능했으므로) 황당한 안내를 컴맹고객에게 해대고 있었지요. 이런 관행은 도저히 납득하기 어려운 것입니다.
그런 행위를 하셨던 보안 업체 종사자(소수이겠지만)들께서는 적절한 반성과 사과가 필요하지 않을까요? “그저 몰랐다”면 그만인가요?
(reinhard v.z. 님, 본문 글은 제가 적은 것이 아니예요.)
이 포스팅에 소개된 내용은 누가보더라도 한국 금융보안 상황의 어처구니 없는 실상을 제대로 소개하는 것이고, 이런 딱한 현실은 시급히 교정되어야 합니다. 하지만, 일부 댓글 다신 분들(아마 보안기술을 좀 아시는 분들)은 본문에 포함된 지극히 작은 하나의 기술적 오류(코드사인 인증서 유효기간 관련)를 타박하면서, 거기에 모든 관심을 집중하면서, 큰 그림을 외면하고 있는 듯 합니다.
누구든지 기술적 디테일 중 일부는 모를 수도 있고, 잠시 착각할 수도 있습니다. 자신이 기술을 잘 알아서 그런 오류를 발견하면, 친절히 설명하면 될 것입니다. 티끌하나 발견했다고, 마치 자신이 guru이고, 필자는 무식/무가치한 사람인양 으시대는 듯한 모습은 보기 좋지 않군요.
컴퓨터 지식이 없는 일반유저들에게 “보안설정을 최소화”하라고 안내하거나, 원격지원이랍시고 본문에 설명된 여러가지 황당한 행위를 고객컴퓨터에 마구 해야 할 수 밖에 없도록 되어 있는 국내 금융보안의 기본 프레임워크, 기본 방향, 기본 전제(플러그인 만능주의) 자체가 시급히 폐기되어야 한다는 “대명제”에 집중하시면 좋겠습니다.
정말로 제대로된 기술지식이 충분히 있으신 분들이라면, 이런 굵직한 메세지는 오히려 더 잘 이해하실 것 아니겠습니까?
인증서든 뭐든 보안 상태를 낮춰서 지들꺼 깐다가 문제 있습니다. 보안이 낮아지는데 인증서는 무슨 용도가 되는건가요? 증권사는 보안되고 고객 컴퓨터는 털리란 소리??
이번 카드사 문제도 있고 정말 대대적인 수술이 필요하다고 생각합니다.
정말 이상한건 ebay나 아마존 같은 사이트에서는 이런 거 없이도 충분히 결제 잘 진행이 되던데
뭐가 문제 인지 정말 안타까운 심정입니다
카드사 사건으로 인해서 좀 편하게 고처졌으면 하는데… 아무래도 힘들 것 같습니다…
뭐 이런 무식한 소릴…