오픈웹 논쟁에 대한 제 생각. 전문가도 포함해서...

winner의 이미지

틀린 점 있으면 지적 부탁드립니다.

현재 오픈웹이 보안전문가들과 논쟁하는 것으로 보입니다만 그렇지도 않은 것 같습니다. 만일 전문가가 권위를 가지고 기술적 문제에 대해서 결정할 수 있는 사람이라면 말이죠. 안철수연구소도 마찬가지입니다. 스스로 을이라고 말하면서 책임을 질 수 없는 위치라고 말하고 있습니다. 사실 이렇게 말하면 우리나라에서 기술과 학문으로서 권위를 인정받는 전문가는 거의 없는 것 같기도 합니다. 말 그대로 코더요, 노동자일 뿐이죠. 자신의 지식과 주장에 대해서 자신의 목숨도 걸 수 있는 전문가가 있을까요?

제 후배 중에 해킹에 관심이 있는 얘가 있는데 전자금융거래를 하냐고 물으니, 못한다고 하더군요. 스스로 은행 키보드 보안프로그램을 뚫어본 사람이니 겁이 나겠죠. 저 역시 전자금융거래는 잘 안 합니다. 저 스스로 전자금융거래에 대해서 아는 바가 많지 않다고 생각하기 때문이죠. 오픈웹과 논란을 벌이는 사람들은 전자금융거래를 얼마나 어떻게 하고 있는지 궁금합니다.

오픈웹의 지지자 분들은 금융거래를 위해 외국은행권을 이용하실 수도 있다고 보는데요. 그러면 일단 문제는 없지 않나 그런 생각도 듭니다. 계속해서 전자금융거래가 확산되고 한국은행들이 믿겨지지 않는다면 외국은행으로 돈이 흘러들테고 한국은행들도 정신차리지 않을까요? 안정성도 그런 식으로 인정받을 수도 있겠죠. 뭐, 그런 생각도 듭니다.

현재의 금융거래 방식이 더 안전한 것이 아니라는 오픈웹의 주장이 받아들여지기 위해서는 또하나 현재 전자금융거래 방식이 계속 사고가 터져야 하는게 아닌가 싶습니다. 물론 터무니없이 다치는 사람이 없길 바랍니다만... 또한 해킹기술들이 정말로 계속해서 공개되어야 하는게 아닌지 싶네요. 일반사람들이 컴퓨터 네트워크 회선을 함부로 꼽기 겁날정도로 말이죠. 사실 이부분이야말로 현재 논쟁을 벌이는 보안 쪽 분들에게서 도움을 얻었으면 합니다. 그런 쪽의 전문가들이 이번 논쟁에 참여하신 것 같으니 말입니다. 그분들이 그런 기술에 대해서 공개할 때 언제나 법의 위협을 받는다고 알고 있습니다. 그런 부분에서 지켜주는 것도 오픈웹의 한 활동이 되면 좋지 않을까 그런 생각도 듭니다.

정태영의 이미지

--
오픈웹의 지지자 분들은 금융거래를 위해 외국은행권을 이용하실 수도 있다고 보는데요. 그러면 일단 문제는 없지 않나 그런 생각도 듭니다. 계속해서 전자금융거래가 확산되고 한국은행들이 믿겨지지 않는다면 외국은행으로 돈이 흘러들테고 한국은행들도 정신차리지 않을까요? 안정성도 그런 식으로 인정받을 수도 있겠죠. 뭐, 그런 생각도 듭니다.
--

실제 HSBC은행이 처음 들어왔을 때 비 IE에서도 문제 없이 이용할 수 있다는 것 때문에 많은 사람들이 HSBC은행으로 갈아탔었죠.

--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

cjh의 이미지

> 금융거래를 위해 외국은행권을 이용하실 수도 있다고 보는데요

국내에 계좌 개설 가능한 은행들은 모두 IE + ActiveX 방식의 보안을 씁니다. 즉 피할 데가 없습니다.
아닌데 아시면 좀 알려주세요.

> 현재 전자금융거래 방식이 계속 사고가 터져야 하는게 아닌가 싶습니다.

논점은 현재 금융거래 방식의 안정성을 높이기 위해 ActiveX방식을 지양해야 하는게 아니라
비 IE / 비 윈도 사용자에게도 접근성을 보장하자는 겁니다. 보안성에 대한 논의는 그 다음인것
같은데, 대부분 IE + ActiveX 방식 이상으로 보안성이 높지 않으니 안된다 식의 논의가
되는 것 같아서...

--
익스펙토 페트로눔

--
익스펙토 페트로눔

winner의 이미지

아예 외국은행을 쓰면 되겠지 했는데 국내 계좌랑 연계하는데 문제 내지는 번거로움이 있겠군요... 국내에 들어온 외국은행들은 국내법이 적용될테니까 말이죠.

보안과 접근성 문제는 확실히 양측의 논점차이가 거기서 비롯된 것은 맞죠. 보안이 적절히 보장된 상태에서 접근성 이야기를 해야 하는 것이기에 본론에 도달하기가 어려운 것 같습니다.

vamf12의 이미지

신한은행에서 맥을 지원합니다.

http://ezbank.shinhan.com/

creativeidler의 이미지

보안 사고는 실제로 외국에서 더 많다고 들었는데 아닌가요? 인터넷 뱅킹의 사고율이 한국이 제일 낮다고 하던데 "카더라 통신"에서 들은 거라 정확한 정보를 아시는 분이 답을 달아주시면 좋겠네요.

winner의 이미지

가만히 제 글을 다시 읽어보니 현행 IE 전용 금융거래 방식이 보안이 안 좋다고 쓴 느낌이 드네요. 그런 의도로 쓴 것은 아닙니다. 감정을 배제할려고 했는데도 어쩔 수가 없군요.
하지만 설령 외국에서 보안사고가 더 많다고 하더라도 그게 현행기술이 우수해서 그런 것 같지는 않을 것 같습니다. 통일된 기술을 쓰다보면 특이한 상황에서 똑같이 대처가 안되는 상황이 발생하는데 그런 것이 아닐런지요...
인터넷 회선은 우리나라가 괜찮으니 DDoS 공격을 위해 우리나라 컴퓨터들에 좀비를 심는 것은 좋은 방법입니다만 우리나라가 인터넷 뱅킹 돈의 흐름규모가 딱히 더 커서 인터넷뱅킹을 공격할 필요성이 있는 것 같지는 않거든요.
다른 보안 기술을 쓰니 다른 공격방식이 요구되는데 공격자들이 그건 하기에는 작업 부담이 되는게 아닐까요?
표준이라는 것이 그래서 공개되고 검증된 형태가 요구되는 것이겠죠. 그래서 믿을만 한거구요. 하지만 만일 잘못아는 경우 대책이 아서니까 사설보안이 필요한 거구요. 우리나라는 사설 보안이 공개표준이 해야할 영역을 침범해서 다른 부작용이 있는 걸테고요.

비록 그분들에게 권위가 있는 보안전문가라는 호칭을 불러들이지는 못합니다만 현재까지 한국 컴퓨터 보안을 위해서 힘써주신 보안업체 분들에게는 감사하게 생각합니다.

cjh의 이미지

> 보안 사고는 실제로 외국에서 더 많다고 들었는데

그런 이야기를 종종 들었는데 (아마 오픈웹에 가시면 누가 수치를 제시한 것 같은 기억이 납니다)

반대로 만약 그렇다면 왜 인터넷뱅킹 사고가 적은 IT 선진 한국(...)의 방식을 채택하지 않는지
설명이 안되네요. 외국 은행이 바보도 아니고... 금융사고를 이유로 사용자 플랫폼을 제한하는
나라는 아마 우리밖에 없는 것 아닌가요?

--
익스펙토 페트로눔

--
익스펙토 페트로눔

winner의 이미지

외국이 그렇게 좋으면 나가 살아라라는 분위기이니 말입니다. 그리고 그건 우리들이 선택한 것이 아니다가 보안업체의 주장의 요지죠.

happyday19c의 이미지

외국은행들은 특히나 보상 이런거 굉장히 짜기로 유명합니다. 이용자 몇명 소송 거는거에도 스타급 변호사에게 수백만불 뿌리면서 소송 준비하는 외국계 은행과 보험사들 보신적 있다면 공감하실 것 같습니다만....

금융사고 일어나도 책임을 모두 사용자에게 돌리면 그만이고, 실제로 그에 불복한 이용자가 소송을 걸어도 패소한 경우가 많다고 들었습니다. 결과적으로 책임질 필요가 없기 때문에, 최소한의 보안(저는 SSL은 최소한의 보안이라고 생각됩니다)으로도 자기들의 의무는 다 했다고 생각하죠.

우리나라는 정 반대죠. 왠만하면 이용자가 이깁니다. 그러니 어떻게서든 그런 일은 안 일어났으면 싶은거죠... 피싱 같은 문제의 경우 우리나라가 더 잘 속아넘어간다는 얘기도 들었는데(이건 어디서 들은 얘기입니다. 사실 여부는 잘 모르겠네요), 정말 우리나라를 제대로 노린다면 문제가 심각해지죠...

결과적으로 외국과 우리나라 은행간의 입장차가 있기 때문에, 쉽게 말할 수 있는 부분은 아니겠네요....

사실 이 문제가 공인인증서가 과연 필요하냐라는 문제에까지 도달하는 것은 앞뒤가 안맞다고 생각합니다. 부인 방지이지만, 역으로 또한 확실히 나를 증명해줄 수 있는 그 무엇인가가 없다면 거래를 안해주는 현재의 시스템이 문제점을 가지고 있다는 생각은 해본적이 없습니다. SSL을 통한 보안 접속과 PKCS를 통한 자격 증명, 둘 다 확실한 보안을 위해서는 필요하다고 봅니다.

다만.... 그것을 구현하는게 왜 꼭 ActiveX여야만 하는가가 제가 가진 불만중 하나입니다. ActiveX가 아니라도 자격 증명은 얼마든지 기술적으로 구현가능하지 않나요?

-----------------------------------------
Meshing the World.... Simulating Reality!
-----------------------------------------

-----------------------------------------
Meshing the World.... Simulating Reality!
-----------------------------------------

keinus의 이미지

외국은 보안 사고가 일어나면 사용자 책임이거든요.
우리나라는 은행 책임이구요. 은행도 사용자 책임으로 몰아 붙이고 싶어도 언론과 고객의 반응이 무서워서 은행이 책임을 지고 있지요.
오픈웹 가보시면 관련 법규를 김교수님이 설명해놓으셨는데, 그게 현실과 안 맞죠.

cjh의 이미지

> 우리나라는 은행 책임이구요. 은행도 사용자 책임으로 몰아 붙이고 싶어도 언론과 고객의 반응이 무서워서 은행이 책임을 지고 있지요.

과연 그런가요?

인터넷뱅킹 사고 은행 책임 없다…은행聯
http://itnews.inews24.com/php/news_view.php?g_serial=394392&g_menu=022600

...연합회는 "고객의 공인인증서, 보안카드 등의 노출로 인해 발생된 것으로 추정된다"고 주장했다. 해킹사고의 책임은 이용자에게 있으니 인터넷 뱅킹 이용시 주의하라는 '권고'를 한 셈이다...

--
익스펙토 페트로눔

--
익스펙토 페트로눔

cwryu의 이미지

몇 년 전에도 똑같은 레파토리로 ActiveX 문제가 나왔을 때는 오히려 "외국은 신용 문화인데 우리나라는 특히 X같은 상황이 많아서 이런 게 필요하다"라는 주장이 꽤 보였던 것 같은데.. 이런 말이 사실이라면 몇 년만에 상황이 역전됐군요!

http://news.naver.com/main/read.nhn?mode=LS2D&mid=sec&sid1=105&sid2=230&oid=138&aid=0000019113

Quote:
행자부는 특히 "우리나라는 다른 나라와는 달리 약간의 보안상의 문제도 허용되지 않는 상황"이라면서 "외국에서는 이러한 보안상의 문제가 심각하지 않으므로 PC에 대한 제어 등이 필요치 않으므로 액티브X를 사용하지 않는 것"이라고 강조했다.

winner의 이미지

우리나라 IT가 오히려 앞선다라고 하면서요. 그게 보안업체의 주장입니다.

winner의 이미지

Simple is the best. But worse is better.

keinus의 이미지

오픈웹은 김교수님이나 그 지지자들이 기술적 무지함과 논리적 비약이 너무 심해진 관계로 오히려 안 좋은 상황으로 치달은듯 하네요.
제가 원래 오픈웹과 비슷한 생각을 가지고 처음에 봤을때 매우 반가웠었는데...
그 블로그 글을 전부 다 읽고 오히려 반대자가 되버린 케이스라...
요세는 뭐..욕설과 분노 배설에만 열중하는 곳이 되버린 듯합니다.

imyejin의 이미지

이런 식으로 얼렁뚱땅 두리뭉실 매도하려 하지 마시고요.

임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

godyang의 이미지

http://www.hani.co.kr/arti/opinion/column/349610.html

기고하신 분은 법학 쪽 교수님으로 보이는데, 이쪽 분야의 지식도 상당하신 것 같네요.