반가운 소식... 드디어 ActiveX가 없어질까요? 스마트폰 덕분인지..

Iinux의 이미지

하반기부터 전자금융거래 공인인증서 의무화 폐지

전자금융거래 인증방법 안전성 가이드라인 확정, 금융기관 인증방법 선택 제공 가능

[디지털데일리 이유지기자] 올 하반기부터 인터넷뱅킹 등 전자금융거래에서 공인인증서 이외의 인증방법이 허용된다.

정부가 전자금융거래시 공인인증서 의무사용 규정을 없애고 금융기관이 직접 인증방법을 선택할 수 있도록 하는 방안을 확정했다.

방송통신위원회는 31일 국무총리실, 금융위원회 등 관계부처와 공동으로 전자금융거래시 공인인증서와 병행해 사용할 수 있는 인증방법에 대한 안전성 가이드라인을 내놨다.

이날 발표된 ‘전자금융거래 인증방법의 안전성 가이드라인’에는 은행 등 금융기관과 전자결제서비스제공업체가 선택 제공할 수 있는 공인인증서와 동등한 수준의 안전성 기준이 담겼다.

이에 따라 지난 4월부터 공인인증서를 사용하지 않고도 스마트폰을 이용한 30만원 미만의 소액결제가 가능하게 된 데 이어, 올 하반기부터는 e-뱅킹과 30만원 이상의 전자결제에도 공인인증서 이외의 인증방법이 적용될 수 있게 됐다.

가이드라인에는 전자금융거래시 적용될 인증방법이 갖춰야 할 기술적 안전성 요건을 규정한 것으로, ▲이용자 확인 ▲서버인증 ▲통신채널 암호화 ▲거래내역의 위변조 방지 ▲거래부인방지 기능 등 5개 항목이 제시됐다.

금융기관이나 전자금융업자는 각자의 거래유형이나 보안위험 등을 고려해 안전한 인증서비스 제공을 위해 필요한 기술적 요건을 자율적으로 선택해 적용할 수 있다.

따라서 금융기관이나 전자금융업자는 공인인증서를 사용하지 않고도 이용자 인증, 서버인증 및 통신채널 암호화 요건을 갖춘 경우에는 인증방법평가위원회(이하 위원회)의 안전성 평가를 거쳐 다양한 전자금융 서비스를 제공할 수 있게 됐다.

위원회는 금융감독원에 설치하되, 민간 전문가가 참여하고 세부 평가기준도 공개하는 등 객관적이고 투명하게 운영된다.

아울러 금감원이 지정한 공인기관에서 기술검증을 받은 경우에는 위원회의 평가를 생략할 수 있도록 하는 한편, 평가를 거친 인증방법에 대해서는 금감원의 보안성 심의를 간소화한다는 방침이다.

금감위와 금감원은 6월중에 전자금융감독규정 및 전자금융 시행규칙의 개정을 마무리하고, 7월부터 금융기관 등이 요청하는 인증방법을 구체적으로 평가할 수 있도록 위원회 구성 등 본격적인 준비작업에 나설 계획이다.

이번 가이드라인은 현행 공인인증서 의무사용 규제가 스마트폰 등 새로운 인터넷 환경에 적용되기 어렵고 사용절차도 복잡해, 다른 보안기술도 병행하여 사용할 수 있도록 지난 3.31 정부와 한나라당이 합의한 ‘전자금융거래시 공인인증서 의무사용 규제완화 방안’의 후속조치로 이뤄졌다.

당정협의 이후 전자금융거래 안전성 기준제정을 위한 민관협의체를 구성해 전문가와 이해관계자의 의견을 수렴했고, 관계부처 협의를 거쳐 확정했다.

http://racing-girl.textcube.com/7446 디지털데일리 뉴스펌

lacovnk의 이미지

프로그래밍 Q&A 에서 새소식으로 옮겼습니다 ;)

hys545의 이미지

액티브 엑스 안쓰고 자바나 플래쉬나 모질라 플러그인으로도 공인인증서 사용가능합니다.
사용하는데가 없어서 그렇지.

즐린

즐린

엠브리오의 이미지

사용하는곳이 있긴 있습니다.
몇 군데 없어서 다들 잘 모르는게 문제입니다.

연말정산 간소화 홈페이지가 자바 + 공인인증서 방식으로
운영되고 있습니다.

http://www.yesone.go.kr

speed-racer의 이미지

없어지려면 아직 멀었죠. 요즘 몇몇 대학에서 자동패치관리시스템이라는 ActiveX의 강제설치를 추진하고 있는 듯..

gilgil의 이미지

자동 패치 모듈을 PMS(Patch Management Solution)라고 하는데요, 국내 솔루션과 외국 솔루션이 있습니다.
말씀하신 것과 같이 대학뿐만 아니라, 대기업, 기관, 공장 등 많은 곳에서 사용이 됩니다.
사용자 PC에서는 User Agent가 설치가 되어서 Patch 서버랑 주기적으로 통신을 하면서 최신 버전의 모듈을 다운받도록 관리되고 있습니다.
예를 들어 A라는 대학에서 B라는 제품을 유저 라이센스로 계약을 해서 공급을 한다고 하면
이러한 경우 대학에서는 기숙사, 교직원 사무실, 각종 대학원 랩 등 모든 부서의 PC에 User Ageng를 설치를 하게 되죠.

재미있는 일화를 하나 얘기할까 합니다.
이러한 PMS 솔루션을 도입하는 과정에서 외국과 국내가 조금 다른데요,
BigFix에서 만든 BigIP라는 제품이 있습니다. PMS 제품으로는 제일 유명한 제품중의 하나이죠.
국내에서 어떠한 업체게 BigFix랑 총판 계약을 해서 국내에 도입을 하는 과정에서
외국에서는 요구가 없는데, 국내 담당자들이 자꾸 강제 설치를 요구하는 겁니다.
왜냐 하면 설치를 하라고 해도 안하는 곳이 많기 때문입니다(특히 대학 기숙사).

외국의 경우에는 각 부서에 공문을 보내서 설치를 하라고 하면 그냥 설치를 합니다. 아주 간단하죠.
그런데 한국은 그렇지가 않습니다. 설치를 하라고 해도 안합니다.
그래서 어쩔 수 없이 강제 설치에 대한 요구가 생깁니다.

국내 총판 업체에서 BigFix 본사에 강제 설치 기능을 추가해 달라고 요청을 했는데
본사에서 이해를 하지 못하는 겁니다.
"왜 강제 설치가 필요하지? 설치하라고 하면 되지나?"
이런 반응이었죠.
이게 바로 한국과 외국의 문화의 차이입니다.

어쩔 수 없이 국내 총판 업체의 입장에서 국내에 판매를 하기 위해
강제 설치 모듈 기능을 구현할 수 밖에 없었고
제가 당시 프리랜서 계약으로 BigIP 제품의 강제 설치 모듈을 만들어 제공하였습니다.
나중에 강제 설치 모듈을 외국 본사에 역수출까지 하려고 한 것으로 알고 있는데
수출이 되었는지는 잘 모르겠습니다.
(아마 수출 안되었을 겁니다. 기술의 문제가 아니라 외국은 수요 자체가 없어서리...)

강제 설치의 가장 효과적인 방법중의 하나가 바로
User Agent가 설치되지 않았을 때 웹페이지를 설치 페이지로 유도하는 것이었고
예전(2000년대 중반)에는 ActiveX를 기반으로 하는 설치가 일반화되어 있는 상태였습니다.
지금이냐 웹브라우저를 다양한 환경이지만 그때까지만 해도 IE를 대부분 사용했기 때문에
ActiveX로 설치하는 것만으로도 충분한 효과가 있었습니다.
그런데 굳이 ActiveX까지는 필요가 없었던 것으로 판단됩니다.
그냥 설치 EXE를 다운받도록 해도 되는데도 말이죠.

그 기능(ActiveX를 이용해서 PMS User Agent를 설치하도록 하는 기능)은 제 담당이 아니었습니다.
전 오로지 HTTP page redirect기능만 제공하였습니다.

ps : PMS를 운영하는 조직(대학)에서 PMS UA 설치를 하지 않고도 제대로 인터넷을 사용하는 방법이 있습니다.
Registry를 조작해서 HTTP User-Agent 필드를 수정해 주시면 됩니다.
자세하게 얘기하고 싶지만 그러면 PMS 운영이 제대로 되지 않기 때문에, 요까지만... ^^

http://www.gilgil.co.kr/bbs/zboard.php?id=free&no=2322

www.gilgil.net