인터넷뱅킹과 몇몇 플러그인에 대한 조사

wkpark의 이미지

예전부터 벼르고 있었는데 몇몇 테스트를 해보았습니다.

FreeBank에 올려진 글에 의하면 신한은행에서 리눅스를 위해
플러그인을 만들었다가 보안문제로 취소하였다는 이야기를 접한 상태이므로
http://freebank.org/zerobd/zboard.php?id=bank1&no=34

일단은 윈도우즈의 모질라계열 브라우져에서 인터넷뱅킹을 위한 넷스케이프 플러그인의 지원여부에 대한 테스트를 하였습니다.
(이게 잘 되면 즉, 윈도우즈하에서 모질라가 잘 실행이 된다면 그때부터는 리눅스도 지원하게 해달라고 요청할 수 있게 될것입니다)

http://wiki.kldp.org/wiki.php/OnlineBanking/Mozilla

XecureWeb과 INIplugin(4.0 5.0)이 가장 널리 쓰이는 플러그인 NS4.x 버전까지 플러그인을 지원했고, XecureWeb은 NS6 이후도 지원하는 내용이 자바스크립트 내용에 들어있더군요.

위의 설치절차가 복잡하기는 하지만 그대로 해보시면 두 플러그인 모두 모질라에서 실행된다는 것을 알 수 있었습니다.

관심있으신 분은 한번 해보시길 바라며, 위키를 활용해서 각 사이트의 문제점도 같이 정리하였으면 좋겠습니다~

wkpark의 이미지

INIplugin과 XecureWeb 플러그인과 이를 구동하는데 필요한 자바스크립트를 살펴보고 테스트해보았는데, 모두 Scriptable plugin이 아니군요.

예전에 LiveConnect방식이 XPConnect로 바뀌면서 Scriptable plugin이
되기 위해서는 예전의 NS4.x에서 쓰던 플러그인을 고쳐야 하는군요...

http://www.mozilla.org/docs/scripting-plugins.html

플러그인이 붙길래 좋아했는데 ㅜㅜ

온갖 참된 삶은 만남이다 --Martin Buber

channy의 이미지

우선은 윈도우즈 환경하에서 모질라 계열 브라우저라도 인터넷 뱅킹이 되는 게 중요합니다. 이를 위해서는 object tag를 인식하여 윈도우즈에 등록된 activex를 호스팅 해주는 plugin이 필요합니다.

http://www.iol.ie/~locka/mozilla/mozilla.htm

Adam이 하는 일이 바로 이런 일입니다. (물론 플러그인을 호스팅하는 ActiveX도 만들고 있습니다만^^) Adam에게 부탁해서 Firefox 1.0 용 플러그인을 빨리 만들어 달라고 요청했고 정말 빨리 만들어 주었습니다.

Adam의 plugin은 whitelist 방식입니다. 즉 activex.js에 사용가능한 classid를 넣어 주어야만 합니다. 몇몇 은행과 공인 인증기관의 activex의 클래스아이디를 넣어줄 생각입니다.. 그리고 비표준 DOM (document.all같은..)은 어느정도 해결된 상황이니 VBScript만 아니면 실제 테스트를 해서 진행 가능할 것입니다.

정말 1차로 할 수 밖에 없는 일입니다만.

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

David™의 이미지

저도 2년전 sh** 카드사에서 계약직으로 일하면서 원규님처럼 activeX 문제를 해결해 보고자 스크립트를 분석하고 *.jar을 어떻게 해보면 될 것 같았지만, 결국 포기했습니다. 리눅스 계열에서는 안된다는 것이 결론이었죠.

원규님의 언급처럼 XecureWeb과 IniPlugin 모두 jar로 되어 있는 것으로 알고 있습니다만, 실제 패키지 관리는 소프트포럼과 이니텍이 직접하고 있습니다.

사이트 관리자 또는 시스템 관리자들은 그것이 무엇인지는 알고 있지만, 스크립트가 어떻게 되는지는 관심이 없습니다.
시스템 관리자들은 소프트포럼이나 이니텍을 자신들의 하청업체 정도로 밖에 생각을 하지 않기 때문에...
제가 일할 당시, 이니텍 영업 직원을 옆에서 보면 제가 봐도 안스러울 정도였으니까요.

또, 신한은행에서 만든 맥용 프로그램은 플러그인이 아니라 별도의 독립 프로그램으로 알고 있습니다. 그것도 별도의 개발의뢰를 해서 만든 것이죠. 그걸 만들 당시에 제가 시스템관리자와 이야기를 하면서 알게된 내용은 은행이나 카드사에서 윈도우 이외의 OS까지 보안플러그인을 지원하려면 개발의뢰를 해야하기 때문에 결국 비용의 문제가 되고, 리눅스 사용자 얼마나 된다고 거기까지 신경쓰느냐는 것이었습니다. :evil:

인터넷 뱅킹만이 아니라 인터넷 쇼핑몰에서 결제할 때 사용하는 ISP니 안심클릭이니 하는 것도 activeX로 되어 있기 때문에 우리나라에서 비윈도우 사용자들을 전혀 고려하고 있지 않다는 것은 모두 잘 알고 있는 내용일 것입니다.

두서없는 이야기가 되었지만, 최소한 인터넷 뱅킹에서 비윈도우(또는 비IE)를 지원하려면 플러그인 개발업체인 소프트포럼과 이니텍의 지원이 필요하고 더불어 각 은행 및 카드사가 필요성을 느껴야 합니다.

汚穢

channy의 이미지

David™ wrote:

두서없는 이야기가 되었지만, 최소한 인터넷 뱅킹에서 비윈도우(또는 비IE)를 지원하려면 플러그인 개발업체인 소프트포럼과 이니텍의 지원이 필요하고 더불어 각 은행 및 카드사가 필요성을 느껴야 합니다.

은행 뿐 아니라 카드사, 증권사 및 전자 정부까지 공인 인증서를 쓰는 기관들이 더 늘어나면 늘어날 수록 이 문제는 더 커지고 있습니다. 이제 소프와 이니텍의 문제만이 아니라 우리나라 6개 공인 인증 기관 모두 "똑같은 기능을 하는 다른 플러그인"을 만들어 쓰고 있습니다. 여기에 소프, 이니텍에 조그만한 PKI 업체가 만드는 거 까지 합치면 10개가 넘습니다.

윈도우 사용자들도 적어도 3~4개 정도의 공인 인증 플러그인을 쓸 수 밖에 없다는 이야기입니다. 이것이야 말로 넷스케이프 플러그인을 개발 하는 것 보다 더 큰 중복 투자가 되겠죠. KISA가 공인 인증 기술 체계만 만들었지 이를 실제 구현 하는 부분에 대한 라이브러리와 구현 가이드만 통일 해줬어도 이따위 일이 발생되지 않았을 겁니다. 지금이라도 공인 인증 플러그인은 XP에 맞추어 새로 배포 개발 되어야 금융기관 뿐 아니라 일반 기업이 공인 인증을 써야 할 경우의 파탄을 막을 수 있습니다.

그러면 사람들이 물어보죠.. 우리 나라 PKI 업체들은 뭐먹고 사냐고? 아니 먹고 살게 플러그인 하나 만드는 거 밖에 없습니까? 그런거 걱정안해도 됩니다. 다들 머리가 있고 비지니스를 하는 사람이니 다 먹고 살 수 있어요..

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

wkpark의 이미지

channy wrote:
우선은 윈도우즈 환경하에서 모질라 계열 브라우저라도 인터넷 뱅킹이 되는 게 중요합니다. 이를 위해서는 object tag를 인식하여 윈도우즈에 등록된 activex를 호스팅 해주는 plugin이 필요합니다.

http://www.iol.ie/~locka/mozilla/mozilla.htm

Adam이 하는 일이 바로 이런 일입니다. (물론 플러그인을 호스팅하는 ActiveX도 만들고 있습니다만^^) Adam에게 부탁해서 Firefox 1.0 용 플러그인을 빨리 만들어 달라고 요청했고 정말 빨리 만들어 주었습니다.

제가 삽질(?)을 해봤던 이유는 XecureWeb과 INIplugin의 홈페이지나 자바스크립트의 일부를 살펴본 결과 넷스케이프 4.x를 지원했었다는 사실때문이었습니다. 적어도 두 업체의 플러그인은 ActiveX전용으로 개발된 것은 아니라는 것을 직접 확인하기 위해서였죠.

어떤 분에게 들은 바로는 원래 자바로 (혹은 자바 플러그인?)으로 개발되었고 ActiveX로 포팅했다고 하더군요. 그것이 사실인지 아닌지는 확인할 수는 없었지만, 제가 삽질을 통해 확인한 것은:

1. XecureWeb과 INIplugin은 LiveConnect를 통해서 넷스케이프4.x버전을 지원했었다.
2. 몇가지 테스트를 통해서 위 두개의 플러그인은 아직도 NS 4.x만을 지원한다.
3. NS6.0이상 모질라/FireFox를 지원하기 위해서는 XPConnect를 통한 Scriptable Plugin을 지원해야 하는데, INIplugin은 지원하지 않고, XecureWeb은 NS6.0을 지원하려고 했던 흔적/노력을 엿볼 수 있었다.
4. 적어도 이들은 LiveConnect를 지원했었고 ActiveX전용으로 개발된 프로그램들이 아니다. 이들이 조금만 노력한다면 XPConnect를 지원할 수 있을 것으로 보인다.

ActiveX가 모질라에서 되게 하는것은 말씀하신대로 지금 시점에서 현실적인 접근일 것입니다. 그러나 가능하다면 업체를 설득해서 모질라/FireFox를 지원하도록 XPConnect를 지원하도록 만드는 것도 한 방법일 것입니다.

P.S: 위키 페이지를 열었습니다. :) http://wiki.kldp.org/wiki.php/OnlineBanking

온갖 참된 삶은 만남이다 --Martin Buber

wkpark의 이미지

예전 기억을 되살려 다시 한번 윈도우즈상에서 INI plugin이 잘 되는지 테스트해보았습니다.

INISecureWeb plugin 6.0은 scriptable한 것으로 확인했습니다. (비스타에서는 안됨)

그런데 INI plugin의 버전이 7.0으로 올라가면서 또 지원이 안되는 것 같습니다...

-----------
XecureWeb 최신버전 역시 firefox용 플러그인이 제외되었고, 버전 50에는 있으며, 수동으로 압축풀고 np*로 시작되는 파일을 적절한 위치에 옮겨놓으니
about:plugins 정보에 뜨는군요. scriptable한지는 확인하지 않았습니다.

-----------
http://channy.creation.net/blog/?p=195

위 글이 2005년도 글인데도 윈도우즈상에서 firefox를 지원하는 사이트가 아직도 없다는건.. 좀..;;

제가 잘 못 알고 있으면 알려주시기 바랍니다~

온갖 참된 삶은 만남이다 --Martin Buber