[box type=”note”] 인터넷 뱅킹 상담원과 전화하다 보면 공인인증서에 기반한 한국 인터넷 뱅킹의 비정상적인 모습을 확인하게 됩니다. 아래 대화는 직접 체험한 것으로 대화의 핵심 내용을 요약한 것입니다. (편집자)
[/box]
2013년 11월 어느 날, 나는 컴퓨터 교체 때문에 K증권을 로그인하는 데 이용하던 공인인증서가 현재 이용하는 PC에 없다는 사실을 깨달았다. 그래서, 공인인증서를 재발급을 받기로 했다. 인터넷 익스플로러를 이용해 K증권사 홈페이지인 http://k*****.com/ 으로 들어갔다.
액티브엑스/플러그인의 다양한 괴롭힘
많은 사람이 알다시피 MS 윈도와 인터넷 익스플로러를 이용해 이런 증권사/은행의 홈페이지를 이용하기 위해서는 반드시 필요한 보안 프로그램들이 있다. 나는 이것들을 정말 설치하기 싫지만, 한국에서 서비스를 받기 위해서는 선택권이 없다. 무조건 설치를 해야 한다.
게다가 이런 프로그램은 홈페이지에 재방문할 때마다 내 컴퓨터의 권한에 접근하기 위해 매번 “컴퓨터(의 설정)를 변경할 수 있도록 허용”해 달라고 요청한다. 언뜻 귀찮은 생각에 UAC의 보안 수준을 낮출까 하는 생각도 잠깐 들지만, 그럴 수는 없다. 일개 웹서비스 몇 개 때문에 내 컴퓨터의 보안 수준을 낮춘다고? 말도 안 되는 소리다.
[box type=”info” head=”보안을 위해 위험을 감수시키는 대한민국식 보안”]
한국의 인터넷 보안 플러그인은 실행할 때마다 관리자 권한을 요구하거나 이용자 컴퓨터의 설정에 직접 접근해야 하는 과도한 권한을 요구하기 일쑤이다. 이렇게 보안 플러그인이 과도한 권한을 요구하자 이용자들은 이 설정을 끄는 방법을 유용한 팁이라며 공유하기에 이르렀다. 이용자들을 귀찮게 해서 결국 보안 수준을 낮추게 만든 것이다.
[/box]
에러에 대한 설명이 부족한 서비스
어쨌든 이번에도 찝찝한 마음을 뒤로하고 보안 프로그램이 내 컴퓨터의 권한을 갖도록 허가한 후 공인인증센터로 들어가 공인인증서 재발급 메뉴 버튼을 눌렀다. 사용자 ID, 비밀번호, 주민번호 등을 넣고는 확인 버튼을 아무리 눌러도 더이상 진행이 되지 않는다.
명색이 웹 개발자라 디버거를 켜서 소스를 살펴보니 웹사이트를 이용하기 위해 반드시 필요한 액티브엑스 중 하나가 잘못 설치됐는지 확인 버튼을 누를 때 자바스크립트 에러가 나는 것이다.
증상은 확인했지만, 증권사에서 설치하라는 액티브엑스/플러그인은 모두 설치를 한 상태였기 때문에 내가 추가로 취할 수 있는 방법은 없었다. 게다가 이렇게 에러가 나는 경우 어떻게 하라는 설명이 어디에도 없었기 때문에 나는 고객센터에 전화했다.
[box type=”info” head=”에러에 대한 미흡한 처리”]
자사의 웹사이트에 접속한 이용자들이 모두 자신들이 강제로 요구한 액티브엑스/플러그인을 설치했을 거란 생각 때문인지 에러 처리가 미흡한 경우가 있다. 즉, 단순히 보안 플러그인이 설치되면 접근할 수 있는 객체의 유무 정도만 전체적으로 한번 체크하는 경우가 많다.
하지만 자칫 잘못 설치되거나 버전이 낮은 플러그인을 계속 유지하고 있는 이용자는 서비스를 제대로 이용할 수 없는 경우가 많은데, 이에 대한 처리 등 전반적으로 상세한 설명이 부족한 경우가 많다.
[/box]
윈도는 기본으로 필요해
상담원과 통화를 하기 위해서는 ARS를 통해 내 주민번호나 계좌번호를 입력해야만 했다. ‘내 주민번호가 공공재도 아닐 텐데, 이렇게도 쉽게 불러주고 확인에 이용되는구나.’라고 생각하는 순간 상담원과 연결이 되었다.
[box]
상담원: 안녕하세요, 고객님. 무엇을 도와드릴까요?
나: 공인인증서를 재발급받으려고 하는데 진행이 되지 않습니다.
[/box]
간단한 상황설명을 하고 몇 가지 질문에 대답하자 상담원이 원격지원서비스를 받아보면 좋겠다고 이야기한다. 참고로 이 원격지원서비스는 MS 윈도 사용자만 지원되는 서비스이다. 나는 그러라고 했다.
[box type=”info” head=”윈도만 가능한 원격지원서비스”]
원격지원 역시 액티브엑스/플러그인을 설치해야 서비스를 받을 수 있다. 그리고 이용자가 사용하는 운영체제가 무엇인지 묻지도 않는다. 무조건 윈도 이용자만 이용 가능한 것이다.
[/box]
보안설정을 낮춰야 작동하는 서비스
상담원이 가장 처음 한 일은 인터넷 익스플로러 인터넷 옵션에 들어가서 각종 설정을 살펴보는 것이었다. 그런 후 신뢰하는 사이트에 해당 증권사의 웹사이트를 등록했다.
곧이어 상담원은 인터넷의 보안설정에 들어가서 “다른 도메인 사이에서 창과 프레임 탐색”과 “도메인 간의 데이터 원본 액세스”를 ‘사용 안 함’에서 ‘사용’으로 변경했다.
[box type=”info” head=”자사 서비스를 위해 이용자 PC의 보안 수준 낮추기”]
우리나라 금융권이 이용자에게 제공하는 보안 방식은 기본적으로 “자사 서비스 작동을 위해 이용자 PC의 보안 수준을 낮추는 방식”이라 할 수 있다. 이용자가 평상시 어떤 습관으로 어떤 사이트를 이용하는지 알지도 못하면서 말이다.
만약 이용자의 PC에 악성코드가 깔려서 ‘신뢰할 수 있는 사이트’에 등록된 웹사이트에 접속을 시도했지만, 범죄자가 만든 파밍 사이트로 연결될 수도 있지만, 어떤 보안 플러그인도 이 사실을 명확하게 이용자에게 고지하지 않는다.
[/box]
특정 브라우저를 삭제하라고?
그런 후 상담원은 제어판의 “프로그램 제거 또는 변경”에 들어가 킹스정보통신의 안티 키로거, 안랩의 온라인 방화벽, 잉카인터넷의 엔프로텍트, 소프트포럼의 제큐어웹 콘트롤을 능숙한 마우스 콘트롤로 삭제를 하기 시작했다. 나는 순간 당황해서 물어봤다.
[box]
나: 혹시 저 프로그램들이 다른 곳에도 이용될 수도 있는데, 막 지워도 되나요?
상담원: 어차피 K증권 홈페이지 들어가면 다시 다 깔리는 거고, 다른 금융권 서비스도 다 같은 걸 이용하니 괜찮습니다.
[/box]
하지만 4가지 프로그램 중 마지막인 제큐어웹 콘트롤은 아무리 ‘프로그램 제거’를 시도해도 제대로 삭제가 되지 않았다. 그러자 내게 물었다.
[box]
상담원: 크롬을 삭제해도 되겠습니까?
나: 예? 왜요?
상담원: 제큐어웹 콘트롤을 비롯한 금융 관련 프로그램은 구글 제품과 충돌이 일어나서 구글 툴바라든지 크롬을 삭제해서 고객 지원을 하라는 교육을 받았습니다.
[/box]
나는 어처구니가 없었다. 그래서, 그런 보안 관련 액티브엑스와 크롬이 도대체 무슨 관계가 있는지 물어보고, 두어 차례 확인했지만, 상담원은 분명하게 말했다. 자신은 문제가 생기면 구글 툴바나 크롬과 같은 구글 제품을 삭제하라는 교육을 받았다고.
나는 하도 어이가 없어서 크롬을 삭제하는 건 안된다고 이야기하다가 될 대로 되라는 식으로 한번 삭제해보라고 했다.
[box type=”info” head=”특정 프로그램과의 충돌이라며 이용하는 프로그램 제거하기”]
이 부분이 압권인데, 금융 사이트의 상담원이 받는 교육에 구글 툴바, 크롬 등 구글 제품을 삭제하라는 교육을 받았다는 사실은 두어 차례 듣고도 믿을 수가 없을 정도였다.
전 세계 43%의 인터넷 이용자가 사용하는 크롬 브라우저를 자사의 서비스와 충돌한다고 삭제해야 한다고 하는 말은 아마 누구라도 믿기 힘들 것이다.
이 상담원의 답변은 한국에서 인터넷 익스플로러의 점유율이 왜 높은지, 크롬의 점유율이 전 세계 평균과 비교하여 왜 낮은지에 대해 다시 한 번 생각해 보게 만들었다.
[/box]
비정상적인 방법을 동원해야 해결되는 서비스
하지만 상담원은 크롬을 삭제하기 전에 제큐어웹 콘트롤이 정상 삭제가 되지 않는 것이 마음에 걸렸던 모양이다. 아마도 크롬 삭제 보다는 위의 보안 4총사 액티브엑스/플러그인 삭제를 먼저 시도하라는 교육을 먼저 받았으리라.
제큐어웹 콘트롤이 정상적인 방법으로 계속 삭제가 되지 않자 나에게 물었다.
[box]
상담원: 고객님, 제큐어웹 콘트롤이 제대로 삭제가 되지 않기 때문에 우선 리부팅을 해보겠습니다.
나: 예. 그러세요.
[/box]
성실한 상담원이 리부팅을 하기 전에 묻지도 않은 나에게 팁을 준다.
[box]
상담원: 고객님, 저희 서비스를 이용할 때는 인터넷 익스플로러를 관리자 권한으로 실행시키셔야 제대로 작동합니다.
나: 프로그램을 관리자 권한으로 실행시키면 브라우저를 통해 다른 프로그램도 쉽게 깔려서 위험한 것 아닌가요?
상담원: 금융권 프로그램은 이렇게 해야 제대로 이용이 가능합니다.
나: 회사 같은 곳에서 이용하다 보면 관리자 권한으로 실행할 수 없을 수도 있지 않나요?
상담원: 그래도 금융권 프로그램은 이렇게 해야 제대로 서비스를 받을 수 있습니다, 고객님.
나: 아… 예… 알겠습니다. 그럼, 제가 재부팅해서 다시 한 번 해볼게요.
[/box]
상담원은 또다시 친절하게 팁을 전해준다.
[box]
상담원: 그러시겠어요, 고객님? 그런데 제큐어웹 콘트롤은 프로그램 제거를 해도 일부 파일은 삭제가 안 됩니다. 그러니, C:\Program Files\SoftForum 에 들어가서 폴더를 수동으로 삭제해 주셔야 합니다.
나: 아… 예…
[/box]
여기까지 듣고 나니 머리가 하얘졌다. 아…
[box type=”info” head=”일반 이용자의 수준을 넘어선 조치 방법”]
우리나라에 2천만 대 이상의 컴퓨터에 설치됐다는 프로그램을 정상적으로 이용하기 위해 재설치를 할 때는 윈도가 제공하는 프로그램 제거만으로는 불가능하고 이용자가 일일이 특정 폴더에 들어가서 파일을 삭제해주는 비정상적인 절차까지 수행해야 한다는 사실은 씁쓸함을 넘어 허탈할 지경이다.
그리고 보안에 대해 잘 모르는 이용자에게 애플리케이션을 “관리자 권한”으로 실행시키라고 상담해준다는 것 역시 서비스가 비정상적이라는 것을 의미한다. 그리고 만약 그러다가 문제가 생기면 누가 책임을 질 것인가. 자사의 서비스만 작동하면 이용자가 어떤 피해를 입을지는 상관없다는 태도인 걸까?
[/box]
정리해 보면 이렇다.
- MS 윈도와 인터넷 익스플로러를 이용해 대한민국의 금융권 웹서비스를 이용하려면 액티브엑스/플러그인을 반드시 설치해야 한다.
- 설치하려는 액티브엑스/플러그인의 유효기간이 지났어도 그냥 꾹 참고 설치를 해야 한다.
- 어떤 액티브엑스/플러그인은 설치 후 누가 배포했는지 확인할 방법도 없지만, 꾹 참는 수밖에.
- 문제 해결을 위해 상담원의 안내를 받기 위해서는 우선 이용자의 주민번호를 전화상으로 입력해야 한다. (내 경우 계좌번호를 입력하는 옵션도 있었지만, 계좌번호를 암기하지 못했다.)
- 정상적인 금융 웹서비스 이용이 어렵다면 이용자의 인터넷 브라우저의 보안 설정을 낮춰야 한다.
- 그래도 안 되면 위의 액티브엑스/플러그인을 모두 삭제하고 다시 설치한다.
- 정상적인 방법으로 삭제되지 않으면 재부팅을 해야 한다.
- 재부팅 후 삭제가 잘 되더라도 제큐어웹 콘트롤은 이용자가 직접 폴더로 이동해 파일을 수동으로 삭제해야 한다.
- 그래도 안 되면 구글 툴바 및 크롬 등 구글 제품을 삭제한다.
유통기한 지난 다양한 제도와 조직들의 임시변통이 퇴적되어 만들어진, 2013년 11월 대한민국 인터넷 금융 웹서비스의 평범한 일상이었다.
![그들의 과학에서 우리의 과학으로 – [송민령의 뇌과학 연구소]를 읽고](https://i0.wp.com/slownews.kr/wp-content/uploads/2017/10/question-mark-2492009_640.jpg?fit=640%2C320&ssl=1)
