[오픈웹] “금융결제원, 사익 위해 리눅스 확산 막아”

이제 그만 하시죠 :)
당신인게 뻔합니다.

그냥 가만히 계시면 다 알아서 될겁니다.
금결원에서 다른 데로 바뀌든 뭐하든 당신은 그냥 은행에서
알려주는 대로 하시기만 하면 됩니다.

저희야 은행에서 배쨰라 하고 있으니 저희 나름대로 해보겠 단건데.

모르면 가만히 있는 것이 중간이나 간답니다.

이미 알고 계시겠지만, 금결원을 공인인증기관으로 거듭 지정하고, 아무런 감독도 하지 않아 온 정통부 관계 공무원에 대한 감사청구를 신청해 두었습니다.

감사청구와 관련하여 오픈웹이 설정하는 목표는

1) 금결원을 공인인증기관으로 지정하는 결정이 위법하며,
2) 이러한 위법한 결정을 한 공무원에 대한 철저한 감찰이 이루어져야 한다는 것입니다.

이 절차를 통하여 금결원에 대한 공인인증기관 지정처분을 취소시키는데 필요한 사전 정지작업을 하고자 합니다.

- 금결원을 공인인증기관으로 지정한 처분의 위법성

1. 전자서명법 시행령 제4조는 "공인인증기관은 인증업무를 안전하고 신뢰성 있게 수행하기 위하여 자신이 발급한 공인인증서를 이용하는 가입자와의 관계에 있어서 독립성을 유지하여야 한다. <개정 2002.6.10>"고 규정하고 있습니다. http://openweb.or.kr/Laws/CertRegs.html#art4

이 조항은 전자서명에 관한 UNCITRAL 모델법의 입법 안내에서 설명된 내용을 반영한 것입니다. http://openweb.or.kr/ml-elecsig-e.html#para61

주관적으로는 인증 대상이 되는 전자거래(온라인뱅킹 등)의 "당사자"로부터의 독립성이 요구됩니다. 객관적으로는 그러한 거래의 "내용"으로부터의 독립성이 요구됩니다. 즉, 공인인증기관은 자신이 인증하는 거래에 대한 어떠한 금전상 기타 이해관계가 없어야 한다(absence of financial or other interest in underlying transactions)는 것입니다.

주관적 독립성의 결여: 우선, 금결원은 은행으로부터 어떠한 독립성도 없습니다. 금결원은 은행들이 설립한 사단법인이고, 모든 운영자금을 은행이 제공하고 있으며, 모든 의사결정은 은행의 임원들로 구성된 금결원 이사회가 수행합니다. 금결원은 은행의 이익만을 철저히 대변하는 주체입니다. 은행과 거래하는 고객의 이익에 심각한 위협이 되고 있을 뿐 아니라, 그 위협은 이미 현실화 하였습니다. 은행의 사소한 추가비용 발생(그것도 근거가 없는 주장이지만; 후술합니다)을 이유로 IE 외의 브라우저를 이용하는 고객에 대하여는 아예 공인인증 역무 제공을 거부하고 있습니다.

객관적 독립성의 결여: 또한 금결원은 인터넷GIRO, 온라인 계좌이체, 온라인쇼핑 결제대행 거래를 직접 수행합니다. 즉, 자신이 인증하는 거래를 자신이 직접 수행하고 있습니다. 매우 큰 위험을 안고 있는 상황입니다. 거래 시점확인 기능이라는 것이 있습니다. 인증서를 분실한 고객이 인증서 폐기 신청을 2007.4.26. 11:27분 37초에 접수하였고, 문제의 거래는 11:28분에 일어났다고 가정합시다. 이 경우, 그 고객은 이 거래에 대한 책임이 없을 것입니다(즉, 상대방-은행-이 책임을 져야 마땅합니다). 따라서, 거래 시점확인은 매우 중요한 기능이며, 공인인증기관은 시점확인에 필요한 시각 서버(network time protocol에 근거하여 시간을 확인해 주는 서버입니다)를 운영하도록 법이 규정하고 있습니다. 시각 서버를 1-2 분만 조작해도 거래의 책임소재는 완
전히 달라질 수 있습니다. 온라인 결제(대행) 서비스업를 수행하는 금융결제원이 공인인증기관으로 지정되어 있다는 것은 상식에도 어긋납니다.

2. 금결원은 가입자 설비에 대한 형상관리의무를 이행하지 않고 있습니다

금결원이 가입자 설비를 제공하지 않고 있는 것은 아닙니다. 금결원은 그 등록대행기관(RA)인 시중은행을 통하여 가입자 설비를 제공하고 있습니다. 금결원은 이 설비가 자신과는 무관한 것이라고 이제와서 부인하고 있는데, 이행대행자의 이행을 본인이 부인해 본들, 법률상으로는 여전이 본인이 이행한 것입니다.

나아가, 시중 은행들은 지금껏 문제의 소프트웨어를 "공인인증용" 가입자 설비라고 표시하면서 제공해 왔습니다. 또한 금융거래에는 사설인증이 아니라, "공인인증"을 사용하도록 법령(전자금융거래법 및 그 시행세칙)으로 강제하고 있습니다. 물론 고객들도 모두, 이 소프트웨어가 "공인인증용"이라고 믿어 왔습니다. 은행은 공인인증기관이 아니므로, 그 스스로 공인인증용 소프트웨어를 제공할 지위에 있지도 못합니다. 따라서 시중 은행들이 제공해 온 가입자 설비는 금결원이 그 등록대행기관인 은행을 "통하여" 제공한 것입니다.

장비규정 9.6과 업무지침 제24조는 가입자 설비의 "형상관리"를 공인인증기관이 수행하도록 규정하고 있습니다.

장비규정9.6: http://openweb.or.kr/Laws/FacilitiesRegs.html#art9_6
업무지침 제24조: http://openweb.or.kr/Laws/Guideline.html#art24_4

그러나 시중은행을 통하여 금결원이 제공하는 가입자 설비는 사설 보안업체들이 마구 코드사인 하여 뿌리고 있습니다. http://open.unfix.net/citibank_codesign.png 참조. 이설비에 대하여 최상위 인증기관이 심사를 한 적도 없습니다. 이 사태는 매우 위험할 뿐 아니라, 법령의 규정에 정면으로 위반된 것입니다.

다른 공인인증기관들은 가입자 설비를 자신이 직접 코드사인하여 배포하고 있습니다. http://openweb.or.kr/?page_id=83 참조. 금결원만이 이렇게 법을 어기고 있는데, 관계기관은 어째서 이를 지금껏 묵인해 왔는지가 규명되어야 할 것입니다.

이에 관한 기술적 쟁점은 http://openweb.or.kr/expert.html 제3항, 제4항 참조.

3. IE외의 웹브라우저를 지원하는 것이 어렵거나 비용이 드는지?

지금껏 금결원은 IE외의 웹브라우저를 지원하는 것이 기술적으로 매우 어렵다는 거짓 주장을 거듭해 오다가, 최근에 이를 철회하였습니다. 자신들도 이미 2006.12.에 리눅스, 맥에서 작동하는 가입자 설비 개발을 완료하였다고 고백하였습니다.

2005.8.에 이미 국내 보안 업체도 윈도, 맥, 리눅스에서 모두 정상 작동하는 공인인증용 가입자 설비를 개발완료하여 누구든지 사가기 만을 기다리고 있습니다.

덴마크 정부도 자바 애플렛 기반의 공인인증용 가입자 소프트웨어를 개발하였고, 전세계에 무료로 제공하고 있습니다. 덴마크는 물론, 스페인의 많은 웹사이트들(공공/사설 모두)이 덴마크 정부가 무료제공하는 가입자 소프트웨어를 채택하여 실제로 서비스를 하고 있습니다.

따라서 "기술적으로" 불가능하다는 근거없는 주장은 더 이상 논의 대상이 아닙니다.

비용이 많이 드는지? 그렇지 않습니다. 이용자(client)가 다양한 웹브라우저/운영체제에서 전자서명을 생성하더라도, 결국 웹서버에게 전송되는 서명된 메세지의 구문 형식과 전자서명 규격은 동일하므로, 웹서버로서는 서명검증 및 본인확인(로그인)에 필요한 기존의 서버측 검증프로세스를 변경할 기술적 이유가 없습니다.

설사, 개편에 필요한 약간의 추가 비용(사소한 수준)이 웹서버들에게 발생한다 하더라도, 공인인증기관이 이를 부담할 이유는 전혀 없습니다. 공인인증기관은 웹서버와는 아무런 계약관계도 없고, 인증기관이 웹서버 소프트웨어의 유지 관리를 지원할 법률상의 의무를 부담하는 것도 아닙니다. 지금까지 서버측 개편 작업에 소요되는 비용이나 업무에 대하여 공인인증기관이 이를 부담한 전례도 없고, 앞으로도 없을 것입니다.

- 금결원에 대한 공인인증기관 지정이 취소되면?

전자서명법 제12조 제2항은 이 경우 공인인증 역무의 인수, 인계에 대하여 자세히 규정하고 있습니다. 다른 공인인증기관이 이를 인수하거나, 정보보호진흥원(KISA)이 이를 인수하도록 되어 있습니다.

이용자에게는 아무런 불편이나 혼란도 생기지 않습니다. 이미 발급받은 인증서가 무효로 되는 것도 아닙니다. 신규발급의 경우, 예를들어, 한국정보인증은 전국의 우체국을 등록대행기관으로 확보하고 있습니다. 은행 대신, 우체국에 가서 본인확인을 받고, 한국정보인증으로부터 공인인증서를 신규발급받으면 됩니다.

새로이 공인인증기관으로 지정신청할 자도 없지 않을 것입니다.

감사원의 절차가 만족스럽게 진행되는 경우, 정통부를 상대로 행정소송 수순을 적절히 준비할 것입니다.

한국 인터넷 환경을 이 지경으로까지 망가뜨린 책임은 은행들에게 있고, 금결원은 은행의 다른 얼굴에 불과합니다. 어떤 형태로든지 분명히 책임을 물을 것입니다.

개발자의 한 사람으로서 저 역시
김교수님의 액티브X의 보안의 위협성에 대한 우려 및 문제점에 대해서 전적으로 공감하고 있으며,
금결원의 공인인증기관 자격에 대한 법률적 위법성이
존재함에 대해서는 교수님의 말씀에 전적으로 동의합니다.

그리고, 앞으로 제가 적을 글의 내용이
현재 처해진 사태를 해결하는데 도움은 커녕 방해밖에 되지 않는다는 것을 알고 있기 때문에,
작성해 나가는데 많은 고민을 했습니다.

다만, 금결원 문제를 비롯하여,
한국에서의 인터넷이 이러한 문제를 가지게 되었는지에 대한
세컨드 오피니언 수준에서 의견을 표력하고자 적어 보겠습니다.

============================================================

제 생각에는
공인인증기관의 모럴해저드로 인한 온라인뱅킹의 위협보다
해킹의 위험성 증가로 인하여 온라인뱅킹이 흔들리는 것을
정부가 더 두려워 한다는데 근본적인 문제가 있다고 보입니다.

전자는 강한자가 칼을 가지고 있기 때문에, 약자에게 전적으로 피해를 전가할 수 있습니다.
따라서, 정부 입장에서는 사태를 무마시키기가 편하다고 보입니다.
하지만, 후자의 경우는 해킹에 대한 무지로 인한 공포감이 팽배하여 있기 때문에
사회적으로 큰 반향이 있을 수 있는 것을 두려워 하는 정부는 이를 껄끄럽게 여기는 것 같습니다.

정부 스스로가 직무유기를 하고 있습니다.

게시물에 대해서 사법적 책임을 관리자에 전가하는 것이나,
정부가 키로거 해킹에 대해서 금융권에 책임을 물었던 것이
가장 대표적인 사례로 볼 수 있습니다.

정부가 잘못된 방향을 가지고 있고,
이를 무마하기 위한 소극적 탈출구를 만드는 것과 같은
미연적인 태도로 나간다면, 한국 인터넷의 왜곡된 현실이 해소되기는 어려울 것 같습니다.

There is no spoon. Neo from the Matrix 1999.

동일한 사람이 올린 것 같은데, 일일이 대답 하는분들의 인내심에 존경을...