다른 블로그 포스트들에 내가 썼던 댓글들이 언젠가... 사라지기 전에 모아본다.
http://channy.tistory.com/136 에 달았던 댓글들.
남엑스님의 생각
안녕하세요. 남세동입니다.
웹 뱅킹에 대한 대안으로 독립 프로그램 뱅킹을 제시한다는 것에서 과연 그러한 것이 누구를 위한 대안인가? 하는 의문이 드는군요.
제 생각에는 독립 프로그램 방식은 웹 방식에 비해서 은행, 개발사, 사용자(IE건 파폭이건 리눅스건) 모두가 좋을 것이 없는데 왜 그걸 대안이라고 하셨는지요?
1. 크로스 플랫폼(포팅) 개발 비용은 웹에 비해서 당연히 더 큽니다. 따라서, 리눅스 사용자 등이 인터넷 뱅킹을 자유롭게 하기는 더욱 힘들어 집니다.
2. 사용자는 당연히 더욱 불편합니다. 대부분의 사용자에게는 불편한 정도가 아니라 어려울 겁니다. 액티브 엑스까는게 보안, 그리고 그에 대한 인식의 문제의 원인이라면 프로그램 까는거는 더더욱 문제가 될 것이 불보듯 뻔합니다.
결과적으로 은행, 개발사, 사용자 모두에게 이득이 될 것이 없는 대안으로 보이는데, 웹은 ActiveX 없이 깨끗해야 한다는 막연한 전제가 아니라면, 어째서 그것이 대안이 된다는 것인가요?
그동안 글로벌 스탠다드라고 주장하면서 국내 금융권 수준의 보안을 하지 않던 씨티 은행에서 국내에서는 잘 안 일어나던 꽤 큰 보안 사고가 터졌다는 점, 그리고 (그 잘되어 있다는) 외국에서는 우리나라의 은행이나 쇼핑몰에 비해서 훨씬 더 보안 사고, 실제 금전적 손실이 발생하는 사고가 많이 일어난다는 것에 대해서는 어떻게 생각하시는지요?
남엑스님의 생각
안녕하세요. 친절한 답글 감사드립니다.
1.
그 "이체" 정도의 기능을 하는 것 또한 독립 프로그램 보다는 차라리 FF 용 플러그인을 만드는 것이 독립 프로그램을 개발하는 것보다 개발 비용이 훨씬 싸고, 사용자에게도 훨씬 편하리라고 생각합니다.
왜 그걸 굳이 웹에서 하지 않는 건가요? 웹의 "순수함(?)"을 위해서가 아니라면?
2.
해외의 금융 사고가 과연 시스템 침입에 의해서만 일어나는지는... 제가 알고 있던 것과 달라서 조금 의문이네요.
물론 대형(수천명의 피해자) 사고는 시스템 침입에 의해서 일어나리라고 생각합니다만, 개개인에게 발생하는 사고는 그렇지 않으리라 생각합니다.
우리나라에서는 거의 문제가 되지 않는 피싱이 해외에서는 상당히 큰 문제가 되고 있습니다. 아마도(이에 대해 저보다 잘 아시겠지만) 그래서 IE 나 FF 등에서도 중요한 문제로 다루어지고 있겠지요?
해외에서 피싱이 이렇게 기승을 부리는 이유는 은행이나 쇼핑몰의 (말씀하신) "클라이언트 보안"이 허술 하기에 피싱을 통해서 아이디, 패스워드, 신용카드 번호, 유효기간 등만 알아도 많은 것을 할 수 있기 때문입니다.
오프라인에서 획득한 정보로 사고가 종종 일어나는 것도 "클라이언트 보안"이 그만큼 허술하기 때문이지요. 이번 씨티은행 사고도 똑같이 그런 경로로 일어났고요.
3.
시스템 보안은 우리 은행들도 열심히 합니다. 말씀하신 "과학적인 방식"이라는 정도의 행동은 우리 은행들도 열심히 한다고 생각합니다. 우리나라에는 FBI는 없지만, 정보통신부와 금융감독원 등이 있습니다.
시스템 보안, 클라이언트 보안, 모두 잘 해야 하지 않겠습니까? 시스템 보안 한다고 클라이언트 보안을 허술하게 해도 된다고 생각하지는 않습니다.
자칫 잘못하면 시스템 보안은 은행 책임이고, 클라이언트 보안은 고객 책임이라는 얘기로 오해해서 들릴 수 있습니다.
4.
브라우저 보안 수준을 낮음으로 하라고 교육하고 그런 것들은 제가 봐도 뭔가 상당히 꼬인, 대략 좋지 않은 상황으로 보입니다.
5.
제 기억에는 시간적 순서로 보나, 제가 보아온 업계 상황으로 보나, 포털이 ActiveX 를 쓰기 시작한 것은 그 자체의 필요 때문이지, 은행이나 정부 정책 때문이 아닙니다.
한국에서는 세계 어느 곳 보다도 먼저 홈페이지에 mp3 플레이어를 달 필요가 있었고, 온라인 게임을 쉽게 설치하고 실행 시킬 필요가 있었고,... 그랬습니다.
남엑스님의 생각
Jiyoon/
친절한 답글 감사합니다.
제가 링크한 해외 사례는 서버 사이드 시스템 침입에 관한 것이 아니고 클라이언트 사이드에 관한 대표적인 예입니다.
왜 우리나라에 비해서 해외에서 피싱이 그렇게 심각한 문제가 되는지는 제 두번째 댓글에서 설명했습니다.
사용자의 보안, 즉 클라이언트 사이드 보안이 전적으로 사용자 책임면, 그렇게 마음 편하게 사업 해도 괜찮다면, 은행들도, 쇼핑몰들도 그렇게 할 겁니다. 실제로 해외 은행이나 쇼핑몰들이 그렇게 하고 있는 것이고요. 그래서 피해 금액이 미국에서의 피싱 피해만 수백억원인지 수척억원인지가 되는 것이고요.
말씀하신 논리를 제가 이해하기로는, 보안 프로그램을 배포하면 기업에 책임이 있고, 아예 배포하지 않으면 사용자 책임이라는 것으로 이해했습니다.
정말 그런 건가요?
그런 논리라면 법적으로는 그럴지는 몰라도(법적으로도 그럴리 없을 것 같긴 하지만), 제 양심이나 상식으로는 공감이 가지 않습니다. 아마도 Jiyoon 님께서는 그것이 보안프로그램이라는 사실보다는 "ActiveX"라는 사실, 즉 "일단 나쁜녀석"이라는 사실이 더 크게 와 닿아서 그러리라고 생각해 봅니다. 저는 그렇지 않고요.
저는 언제나 현실과 이상의 균형을 추구하고자 합니다. 제 생각에 클라이언트 사이드의 보안은 기업과 개인이 함께 노력해서 해결해야 할 문제이지, 기업이 손 놓고 나 몰라라 할 문제는 아닙니다. 앞에 신희섭님께서는 신용카드가 원래 보안이 허술한 것이라고 하시는데, 온라인에서라도 좀 안전하게 해 보고자 하면 안 되는 것인지 궁금하네요. 만약에 온라인에서 사고가 발생하면 그때 정말 소비자들이 기업에게 아무런 책임을 물지 않을지 궁금하기도 하고요.
아무튼 제가 이해 하기에는 "양날의 검"인 "ActiveX"가 어느 한쪽에서는 "악의 축"으로 생각하기 때문에, 그 녀석을 좋은 곳에 잘 써도 무조건 싫은 것으로 생각하는 것 같습니다. 그런데 그 "악의 축"을 없애자는 논리를 펴다 보면 엉뚱하게도 오히려 사용자에게 불리한 방향으로 흐르게 되는 것 같습니다. 아니, 사용자의 책임이라니... 뭔가 이상하지 않나요?
제가 최근에 다른 글에도 좀 긴 댓글을 남겼었는데 소개 합니다.
http://daybreaker.tistory.com/608혹시나하고 다시 말씀드리면, 링크한 글은 제가 쓴 것이 아니고, 그 아래 댓글에 제 글이 나옵니다. :)
남엑스님의 생각
Jiyoon/
HSBC는 제 주변에서 쓰는 사람이 꽤 있어서 잘 알고 있습니다. OTP를 사용하는 것도 봐왔지요. OTP를 보면서 저것도 좋긴 한데 너무 크고 그래서 공인인증서처럼 금융사별로 하나로 통합이 되면 쓸만 하겠다... 생각했었는데 올해 정부에서 그렇게 준비하고 있다고 하니 반가웠습니다. 그래도 보안 카드처럼 지갑에 넣을 수 없다는 사실은 좀 아쉽긴 합니다. 이건 보안상 참고 넘어가고. :)
그러나 HSBC 또한 한국의 다른 은행들보다 보안면에서 좋지 않은 상황입니다. 그게 현실입니다.
아래 HSBC 관련 기사 참고 하세요.
http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2006081017493762182
아래 구글 검색 결과도 참고 하시고요.
http://www.google.com/search?hl=en&rls=com.microsoft%3Ako%3AIE-SearchBox&rlz=1I7GGLD&q=HSBC+security
시만텍? ActiveX 씁니다. 왜 안 씁니까?
http://security.symantec.com
안랩에서 최근에 발표한 "빛자루"는 ActiveX를 사용합니다. 역시 안랩의 한계라고요?
http://www.vitzaru.com
MS가 최근에 무지 신경쓰고 있는 Windows Live, 그리고 또한 무지 신경 쓰고 있는 보안, 두가지의 중요성이 합해진 Windows Live Onecare 서비스, 이것역시 ActiveX를 사용합니다.
http://onecare.live.com
왜 그럴까요? 말씀하신 세계 유명 보안 회사들을 포함하여, 국내 최고의 보안 연구소라는 안랩과 세계 최고의 소프트웨어 회사라는 MS 모두 왜 아직도 ActiveX를, 그것도 보안 프로그램에 ActiveX를 사용하는 걸까요?
마지막으로, ActiveX 얘기하다 보면 종종 기술 종속 문제 얘기하는데, ActiveX 기술은, 은행의 인터넷 서비스 기술에서 차지하는 비중은 아무리 크게 봐도 1%도 되지 않으며, 보안 업계의 기술에서 차지하는 비중 또한 10%도 되지 않으리라 생각합니다. 사실 ActiveX 기술이라는게 또 90% 이상은 윈도우 기술이기 때문에, 오히려 윈도우 기술이면 윈도우 기술이지 순수 ActiveX 기술이라는 것은 또 별로 존재하지도 않는 것입니다.
지구상에 ActiveX 만 개발할 줄 아는 개발자라는 사람은 없습니다. 그냥 윈도우 개발자는 있지요.
http://daybreaker.tistory.com/608 에 달았던 댓글들남세동 2007/01/17 11:21해외 상황을 보면, 아직도 신용카드 번호와 유효기간을 입력 받는 사이트, 신용카드 비밀번호 4자리를 다 받는 사이트도 많다. 이건 SSL과 같이 "통신 보안"과는 또 다른 문제지. 우리나라는 그런 곳에 비해 법적인 장치가 매우 잘 되어 있다고 볼 수 있다. 2000년도부터던가? 아무튼 전자상거래에 관련해서 이런 저런 법과 제도가 정비 되기 시작하면서, 5만원 이상이던가, 10만원 이상이던가는 전부 공인인증서가 필요하고... 신용카드 비밀번호는 4자리를 받으면 안 되고, 뭐 이런식으로 되면서 세이클럽 결제시스템도 한 번 난리가 난적이 있었지. 직접 개발 하는 사람들, 사업 하는 사람들도 사용자들 만큼이나 투덜투덜 하면서 작업 한다. 비밀번호 보안 쯤은 우리 회사 내에서 알아서 잘 지킬 수 있는데... 뭐 이러면서... 그래도 결국은 그게 전부 사용자를 위해서 하는 짓이라고 생각하면서 법에 대해 딴지 못 걸고 한다.
다만 소수가 배려가 안 되어 있지. 내가 보기에는 법적으로 그런 것 같지는 않고, 현재의 경제 규모 내지는 경제 구조 자체가 정부나 회사 입장에서 소수에 대해 배려하기가 쉽지 않아서 그렇다. 공인인증서 쓴다고 리눅스에서나 파폭에서 안 될 이유는 없다. 그걸 공급하는 업체들이 윈도우/IE 용만 공급해서 그렇지. 왜냐면 한 번 만들고 끝나는 일이면 괜찮은데 유지 보수 비용이 있기 때문에. 그리고 그런 건 IT 업체만의 문제는 아니고 우리나라 경제 전체의 어떤 무언가와 관련이 있을 것 같다.
남세동 2007/01/17 11:26
그리고 보안업체들, 은행들, 쇼핑몰들에서 일하는 개발자들이 nprotect 같은거 없으면 스르로 보안이 안 된다고 생각해서 그러는 것이 아니다. 그의 동생들, 그의 아버지, 어머니들이 해킹 피해 당할까봐 그러는 거다. 나는 nprotect 같은 프로그램, 공인인증서 등등 덕분에 그나마 내 동생에게 인터파크 같은 큰 쇼핑몰에서는 쇼핑해도 괜찮다라고 말할 수 있고, 그런 시스템에 고마워 하면서 지내고 있다.
내가 불편하더라도, 컴퓨터에 있어서, 인터넷에 있어서 나는 강자고, 내 동생과 부모님들은 약자다. 이건 결코 그 어떤 강자를 위한 법이나 제도나 시스템도 아니다. 약자를 위한 것이지. 리눅서? 파이어폭스 이용자들? 그들은 그런 면에서 최강자다. 소수라고 무조건 약자라는 것은 대단한 착각이다.
남세동 2007/01/17 16:38
1.
우선, 이 논의의 배경 지식 중에 하나로 언급하자면, 해외에서는 우리나라에 비해서 인터넷 보안 관련 사고가 훨씬 많다. 그건 구글 선생님께 조금만 묻다 보면 알 수 있을거다.
우리나라는 전자상거래 면에서 거의 세계에서 제일 안전한 나라에 속한다. 만약 전자상거래 규모 대비 사고 규모로 보자면 세계 최고 수준의 안정성을 보여주고 있을 것이다.
구름 위에서 헤메는 몇몇 사람들의 말처럼 현재의 시스템이 결코 쓸데 없는 것만은 아니라는 것이다.
2.
투덜투덜 하면서도 결국은 말씀하신 "사용자를 위한 서비스 정신"에 따라서 한다는 얘기를 한 것입니다. 투덜투덜이라는 단어는 뭔가 의미가 잘 못 전달 되는 것 같은데, 그냥 빼도록 합시다. :)
3.
회사, 정부의 경제 논리에 대해서는 뭐, 음... 나로서는 우리나라에서 ActiveX 를 열심히 사용한 이래로 8 년도 더 이 논의를 본 것 같고, 너도 많이 봤을 것 같으니 굳이 여기서 몇몇이서 댓글로 토론할 필요는 없을 것 같다.
나의 생각을 짧게만 얘기하면 정부는 최대한 소수를 배려 해야 할 의무, 책임 등이 있지만, 너도 공감하다시피 100% 다 할 수 없으니 그 소수는 우선적으로는 "약자인 소수"를 택해야 한다는 것이다.
나는 자기 스스로 선택한 실제로는 강자인 사람들을 약자로 본다는데는 동의할 수 없다.
핸들이 오른쪽에 달린 차 타는 사람들이, 그 수가 적고, 우리나라에서 이런 저런 불편함이 있다고 해서 약자인가? 그들은 강자다.
그래서 소위 소수와 약자를 많이 배려 한다는 해외 은행들은 lynx 에서 이용할 수라도 있는건가?
내 보기에는 각 정부나 기업들이 자기 나라에 상황에 맞게 적당히 운영할 뿐이다. 어떤 나라에서는 99% 를 만족시키기 위해 파폭도 지원해야 하는 반면, 어떤 나라에서는 그렇지 않고, 어떤 나라에서는 99% 를 만족하기 위해 하나의 언어면 되지만, 어떤 나라에서는 그렇지 않고... 뭐 그런거 아닌가?
지금 생각해보니, 우리나라 은행들이 영어, 중국어, 일본어 지원 안 해서 불편함을 겪는 지구인들이 리눅스/파폭 지원 안 해서 불편함을 겪는 지구인 보다 더 많을듯?
그럼 소수를 위한 논리라면 그 개발 비용으로 우선 영어, 중국어, 일어 쓰는 사람들을 위한 서비스를 만들어야 하는 거 아닌가?
4.
nprotect 선택권은 마치 뭐랄까...
IMHO,
운전석과 조수석, 그리고 고속도로에서는 뒷좌석까지 안전벨트를 매도록 법적으로 강제하는 것과 같은 것이랄까? 운전하는 자기 목숨이 달린 것이고 사고 상대방 한테 피해 가는 것도 아닌데 왜 강제할까? 거기에는 아마 그에 따른 사회적 비용(직접적으로는 보험비, 간접적으로는 고아 양육비 등)을 최소화 하기 위해서 정부에서, 그리고 보험사에서 강제하는 것이 아닐까?
청소년에게 담배는 왜 못 피게 할까? 담배피면 뭐... 정신상태가 나빠져서 다른 사람을 때리기라도 하는건가? 도대체 자기 스스로 피고 싶다는데 왜 못 피게 하는 거냐고!
사회적 비용.
이거 아닌가? 정부도 여기서 못 벗어난다고 본다.
5.
그래서 결국 내 생각에는 nprotect 리눅스 용이 없고, 인증서 모듈 리눅스 용, 파이어폭스 용이 없는 것이 (강자이지만) 소수에 대한 배려가 없는 것이 문제라고 생각한다. 하지만 이 문제가 정말 다른 수많은 사회적 문제들 만큼 큰 문제라까지는... 생각하지 않는다.
그런 사람들 중에 실제로, 진짜로! 인터넷 뱅킹 못 하거나 쇼핑몰 이용 못 하는 사람들 단 한사람도 본 적이 없기에. 많~이(리눅스/파폭만 쓰면), 또는 조~금(윈도우 쓰거나, 리눅스에서 버추얼머신 쓰는 사람들) 불편할뿐.
---
무슨 인증서 자체가 문제라는 둥, 그런게 보안에 도움이 안 된다는 둥, SSL 만으로 충분하다는 둥둥, nprotect 따위가 뭐가 도움이 되냐는 둥둥, ActiveX 때문에 오히려 보안에 해가 된다는 둥둥 하는 얘기들은 99% 의 일반 국민들과 현실에 대한 "이해" 내지는 "배려", 부족한 말이라고 생각한다.
Commented by 특단의조치 at 2009/04/24 17:44 
