공식앱
매거진앱
초딩도 이해하는 공인인증서 논란 해설
짜장
58.♡.102.40
2010.03.30 10:56
5,564
45
0
0
-
- 관련링크 : http://jjangse.tistory.com/0회 연결
-
- 관련링크 : http://jjangse.tistory.com/0회 연결
본문
제 블로그에 포스팅했던 글입니다.
반말로 포스팅 되어있는 글이라 이곳에 올리는걸 좀 고민했습니다만,
용기를 내어 올려봅니다.
미리 말씀드리지만 반말 죄송합니다.
=======================================
반가워.
편의상 반말로 할께.
혹시 반말 싫으면 그냥 넘겨.
================================
맨날 공인인증서니 웹표준이니 액티브액스니 뭐니 해서 좀비마냥 떠드는 애들이 있잖아?
사람들 관심도 없고 다들 세종시니 4대강이니 그런거만 관심있다고 불평하기도 하고 그러잖아?
그런데 너네도 참 신기하단 말이지.
이게 요즘 추세는 실생활직결 법안에 관한 부분이 원래 흥하는 법이거든,,
대표적으로 광우병 논란이 있었지.
그 어려운 의학용어 튀어나와도 전국민이 떠들썩 했잖아.
이유는 딱 하나야. 내가 먹는 식탁에도 영향이 간다는 거지.
공인인증서는 광우병논란 못지않은 실생활 직결 법안이야.
그런데 너네는 이상하게 관심이 없어.
아예 정확히 뭐가 문제인지도 모르더라고.
그래서 좀 설명을 해줄려고 그래.
레알 쉽게 써놨으니까 한번 읽어봐.
우선 나같은 경우는 웹표준/액티브액스/공인인증서 등등 각종 IT관련 규제에 대해서 참 관심이 많아.
wipi의무화니 뭐니 그런것도 관심이 많았었고.
그런데 다른건 다 제쳐두고 일단 암적인 존재의 극치라 할 수 있는 공인인증서만 꼬집어 볼려는 거야.
관심 한번 가져줘봐.
우선 공인인증서가 뭔지는 다 알거야. 뭐 은행같은거 할려면 공인인증서 발급을 받아서 뭐 하드에 저장하고
그런거인지는 알지?
인터넷 뱅킹이나 카드결재같은거 해본 사람이면 그런 단어 접해봤을꺼야.
그리고 인터넷뱅킹 하다보면 뭐 엔프로텍 어쩌고니 그런게 막 깔리고 v3도 깔리고 켜지고 난리도 아니잖아?
이해를 쉽게 하기 위해서 현재 우리 인터넷 상황을 설명해줄께.
우선 우리나라는 공인인증서 사용 의무화 국가야. 전세계에서 딱 우리나라만 이런 규정이 있어.
단 한군데도 이런 규정은 없어. 권고도 아니고 의무화라 이말이지.
30만원이상 전자결재에서는 무조건 공인인증서를 사용해야 해.
그래. 여기까지는 그래도 용인할 수 있어.
왜냐, 인증서라는게 무슨 절대악인거 까지는 아니거든.
분명 암호학에서 접근했을때 가장 완벽에 가까운 암호화방식이야.
공개키 뭐 그런 단어까지 나올 필요는 없는데 여튼 이론적으로 실질적으로 가장 완벽한 암호화 방식인건 맞아.
그럼 그걸 전자금융에서 의무화 하는게 왜 나쁜거냐? 안전하게 금융사고 없게 하면 좋은거 아니냐?
라고 묻겠지?
인증방식, 공개키 인증방식이라는 암호화 방식은 분명 탁월해.
문제는 그걸 실제로 일반 사용자에게 발급하는 과정 등은 결코 탁월하지 못해.
너네, 공인인증서 발급받을때 어떻게 하지?
은행사이트 들어가서 주민번호, 계좌번호, 카드번호, 계좌비번, 암호카드앞자리2개 뒷자리2개 뭐 그런정도 정보만 알면
언제든 재발급이 대개 가능하게 되어있잖아?
이게 이런식으로 발급이 될거 같으면 그냥 공인인증서라는 방식은 결코 저 정보를 다 아는 사람에게는
추가적인 자물쇠가 되지 못한다는 말이야.
뒤집어 말하면? 저만큼의 정보만 요구해서 금융거래를 하나, 저만큼의 정보로 공인인증서를 재발급받아서 금융거래를 하나,
도둑 입장에서는 똑같다는 거야.
그렇지 않나?
안그래?
너네가 쓰는 한국내 영업중인 은행중에 저정도 정보 이상의 것을 요구해서,
인증서를 받는게 매우 까다로운 곳이 있나?
없지?
그러면 우리는 첫번째 의문점에 봉착하게 되지.
저럴거면 저만큼의 정보를 매번 요구하는 것과 공인인증서의 차이가 있느냐? 라는거지.
사실 인증방식이 탁월한데, 그 좋은 자물쇠를 지갑만 제시하면 개나소나 다 보내주니까,
그 좋은 자물쇠가 의미가 없어져.
그냥 지갑만 확인하는것과 다를바가 없어지는 거야.
그런데 그 지갑을 확인해서 자물쇠를 받아간 사람은 무슨 초특급보안기술로 보안성을 유지하고 있는 척하게 되서,
없느니만 못하게 되지.
반론 제시하는 사람도 있겠지.
아니야! 공인인증서는 재발급받을때 인증비번도 요구한다고!
훗.
내가 마법을 부려볼께.
이중에 자기 이메일등등 자기가 주요적으로 쓰는 비번과 인증서 비번이 전혀 다른자, 나에게 돌을 던져.
있나?
그런 스마트한 유저가 있느냐고.
끽해야 배열이 다르거나, 예를들어 이명박 이라고 암호를 쓰던 사람은 이명박1 정도나 명박이 명박 이정도 안에서
다 비번있지 않나?
그리고 인증서는 추가적인 비번이 있으니 인증서가 좋다는건 한마디로 개소리야.
그건 [추가적인 비번] 이라는 장치가 보안성을 만들어 낸거지
[인증서]가 보안성을 만들어 낸게 아니거든.
뒤집어 말해서 인증서가 아니더라도 추가적인 비번을 요구하기만 하면 같은 수준의 보안성을 담보한다는 거야.
그럴거면 그냥 이중비번만 요구하면 그만이잖아?
물론 더 안전하긴 하겠지.
그럼 보안성을 이유로 1000중 비번을 요구하면 엄청 안전하기야 해.
이렇게 안하는 이유는?
다중 비번은 최초의 첫 비번이 뚫렸다면 그 이후의 비번들에서의 추가적인 보안성은 급감할 뿐만 아니라,
유저가 느끼는 불편함은 기하급수적으로 커지거든.
개인 컴에서 자동 로그인기능까지 쓰는 사람들이,
금융거래니까 수동 로그인하는것 까지는 이해하는데 다중 비번이라?
귀찮음의 극치일껄.
대부분 다중비번이 동일하거나 유사하게 쓰일것은 말할것도 없고.
그중 하나를 분실하는 일도 엄청 빈번할거고.
또 예상되는 두번째 반론.
이봐! 공인인증서는 재발급 받으면 내 핸폰으로 문자가 온다고!
어휴 'ㅅ'=3
위와 똑같은 반박이 가능해.
그게 [인증서]의 보안성이야, 아니면 [핸폰문자서비스]의 보안성이야?
매번 로그인 하고 이체거래 할때마다 문자로 쏴주기만 하면 그만이지 않아?
굳이 그게 [인증서]의 보안성인가?
그러면 너네는 나한테 반론을 제기하겠지.
야, 니가 처음엔 인증서가 가장 고도화된 암호화 방식이라며?
근데 왜 휠한바퀴 굴리기도 전에 말을 바꾸냐?
인증서가 고도화된 방식이라는 건, 수학, 더 나아가 암호학의 측면에서 가장 고도화된 방식이란건 변함이 없어.
현재의 암호학에서도 개인키 공개키 인증 방식 이상의 암호화 방법을 찾아내지도 못했지.
물론, 현대 암호학에서 절대 못깨는 암호라는건 설정하지 않아.
다만 깨는데 엄청난 시간이 걸리게 할 뿐이야.
실제로 현재의 개인키 방식은 충분한 시간만 주어진다면 각 개인이 자기집 컴으로도,
근성과 엄청난 암산능력만 있다면 암산으로도 깰수 있는 방식이야.
다만 슈퍼컴퓨터를 가져와서 특정인의 공인인증서를 깨려면 십년을 넘게 쉬지않고 돌려야 깰 수 있어.
자기가 싸이코급 천재라서 저 이상의 연산능력을 암산으로 가능하다면 힐끗보고도 깨겠지.
현재의 연산능력의 최고봉으로도 결코 년단위 이하로 시간을 단축하지 못해.
그리고 우리는 매년 그 암호를 바꿔주면 그만인거지.
그게 현대 암호학에서 최강의 암호화방식으로 극찬하는 인증서 방식의 기본 마인드야.
그런데, 공개키 개인키 인증서가 저런 최강의 암호화 방식을 유지할때는,
전재 조건이 존재해.
암호학 강의를 하지는 않을께.
그냥 아주 도식화하고 쉽게 설명하자면,
개인키랑 공개키라는게 있는데,
이 개인키는 해당 본인만이 보유하고 있다 라는 대전제가 깔려야 이 모든 암호화 방식이 성립하는거야.
그리고 이 개인키를 우리는 [인증서] 라고 부른다고 생각하면 돼.
즉, 우리가 인증방식이 완벽하다고 말할때는, 그 [인증서],
즉 개인키를 보유하지 않으면 절대 암호를 뚫을수 없다는 말일 뿐이지,
그 [인증서] 즉 개인키를 보유한 사람이라면 누구든 자유롭게 접근이 가능하단 말이야.
상식적으로 암호라는건 허가된 사람은 자유롭게 접근을 하게 해줘야 하잖아?
이 접근허가증같은게 바로 인증서인거야.
그러면, 우리의 보안을 깨고 우리인척 하려는 사람은,
두가지 방법이 있겠지.
첫째. 인증방식 자체를 함락시키려는 경우.
인증서를 보유하지 않고 이 암호화방식을 깨려고 달려든다면 우린 코웃음을 치면 돼.
이건 국정원이고 CIA고 못뚫어.
전세계 모든 컴퓨터 전부 병렬로 연결해도 아마 6개월은 걸릴거야.
그런 접근이 감지되면 우린 한달에 한번씩 교체하면 그만이야.
절대 그런일은 없어.
그리고 지금 통용되는게 256비트 암호화방식이거든?
그게 슈퍼컴으로 10년 이상 걸리기 때매 채용중인데,
우린 언제든 비트수를 올리면 용량이 약~간 늘어나는 대신 공격자가 필요한 시간은 엄청나게 늘어나게 되거든.
만일에 컴퓨터가 좋은게 너무 빨리 등장하면?
그냥 512비트로 늘리면 그만이야.
그러면 다시 수십년이 필요하게 되거든.
아예 꼴받아서 한 10메가로 만들면?
영원히 못푼다고 봐야해. 물론 10메가라는 용량이 아깝고 트래픽이 아까워서 안할 뿐이야.
즉, 인증방식 자체를 함락시키는건 불가능해. 현재까지의 암호학으로는 확실해.
만일 저걸 함락시킬정도의 이론적,실제적 알고리즘을 보유한 사람이 있다면,?
나라면 찌질하게 국민은행같은데 털 생각을 안하고,
논문이랑 특허내고 MIT공대에서 암호학 석좌교수가 되면서 전세계 은행한테서 로열티를 받을래.
인증방식을 함락시킨다는건 암호학의 역사를 새로쓰는 거니까.
여튼 한줄 요약하면 인증방식은 절대 함락되지 않아.
둘째. 인증방식상에서 해당자인척 하기.
이게 바로 개인키의 입수라고 할수 있어.
인증방식은 개인키를 보유하지 못한 사람에게는 절대 적인 방어력을 보이지만,
개인키를 보유한 사람에게는 아무런 방어를 하지 않아.
왜냐, 개인키 자체를 본인으로 간주하기 때문이야.
인증방식은 대전제가 개인키는 본인만 가지고 있다 라는 것인데,
개인키를 가지고 있어도 그사람을 의심하는건 좀 이상하잖아?
그럼, 개인키를 입수만 하면 인증방식은 함락시킬수 있는거라는 결론이야.
함락이라기 보다는,, 음.. 이를테면.
지문인식으로 문을 열어주는 자물쇠가 있어.
이 자물쇠는 그 사람의 영혼을 판단하지 않아. 단지 지문=본인 이라고 간주하는거지.
그래서 지문방식을 뚫기는 힘들지만, 해당 본인의 손가락만 잘라오면 쉽게 통과할수 있는거지.
인증방식도 그런 맥락이라고 생각하면 되는거지.
자체를 함락하는건 불가능하지만, 손가락만 잘라온다면 그냥 통과한다고 보면 된다.
그런데, 우리가 실생활에서 쓰는 [공인인증서] 라는건.
어떻지? 처음에 말했듯 개나소나 재발급 가능하게 되어있지 않나?
나같은 경우에 공인인증서가 그나마 인증서 답게 쓰이던 곳은,
내가 겪어본 곳 중에는 군대가 유일했어.
당시 군대에서 모 시스템에서 인증서 방식을 채용했는데,
이걸 발급받을라면 상급부대 전산처에 신청서를 자필로 써서 결재선 타서 공문으로 날렸어야 했다고.
그러면 인증서를 군단에서 와서 직접 발급을 해줬어.
직접 대면하고 말이야.
이런 경우 이 인증서는 정말 어지간해서는 본인만이 보유한 거라고 볼 수 있잖아?
우리 사회에서도 인증서를 이런식으로 관리한다면 난 인정해.
개개인이 인증기관에 직접 내방하여
유전자, 지문, 안면윤곽, 홍채등을 인식하고
직접 대면상태에서 인증서를 발급하게 한다면 말이지.
여튼 현재의 공인인증서 방식은, 애시당초 인증서답게 쓰이고 있지 못해.
지문인식시스템은 완벽한데 개나소나 본인의 지문을 복사받아올수 있는 구조니까.
결국 정부에서 주장하는 인증서의 보안성은 완벽하다! 라는 말은 그냥 웃기는 농담따먹기인거지.
더 웃긴건 뭔지 알아?
이런 재발급이 아니라도 인증키를 빼올수 있다는 거야.
군대에서 예를 들었듯 직접 대면상태에서 인증서를 발급받더라도 문제가 하나 생겨.
인증서를 USB메모리에 발급 받았는데, 그 USB자체를 훔쳐가면 역시나 무의미해 질거 아냐?
그지?
개인키만 빼내면 되는거니까.
지금 정부에서 의무화 한 인증방식은, 아주 웃기게도
C드라이브 시스템 폴더의 특정위치 (NPKI 폴더)에 독립된 파일형태로 저장하게끔 규정했어.
이런얘기하면 안되지만..
혹시 해킹하고 싶은 사람은 동네 피씨방 가서 C드라이브 프로그램파일즈에 NPKI 폴더를 복사해와.
그러면 개인키를 입수한거니까.
황당하지 않아?
개인키의 보관은 인증방식에서 너무너무 중요한건데,
이 방식이 너무 허술해.
현재의 대개의 최신브라우저는 인증서를 브라우저에 녹여놔서,
브라우저 자체를, 아니 하드디스크 자체를 뽑아와야 입수를 할 수 있을 정도라고.
그런데 수킬로바이트 밖에 안하는 NPKI폴더만 빼와도 바~로 우리는 수십개의 개인키를 확보할 수 있게 되는거지.
이미.. 인증방식은 뒤틀릴대로 뒤틀린거야.
더더더더더더 큰 문제는 뭔지 알아?
한국인은 액티브액스 왠만하면 그냥 깔지?
그리고 윈도우에서 보안경고 뜨면서 시스템을 변경하려 합니다 승인합니까?
내지는 보안설정을 낮추세요 이런 말하면 다 승인하잖아?
관리자 권한으로 다시 오세요 하면 관리자 권한으로 오잖아?
그러면 사람이 직접 수동으로 복사할 필요도 없어.
유명한 사이트에서 액티브 액스 하나 깔게 하고 그 프로그램으로 각 개인의 NPKI폴더를 수집할 수가 있는거지.
사실 저런 승인합니까? 이런거만 전부 노노노노노노노노 해도 보안문제는 제로에 가까워.
근데 저거 노하면 아무것도 못하는 인터넷 세상이 이미 되어 있잖아?
액티브액스 문제로 슬쩍 넘어갈려다가,,
글이 너무 길어지는것 같아서 다음에 계속 연재하도록 할께.
여튼 하나만 기억하면 된다.
오늘의 배울점은, 한국의 인증방식은 아무런 보안성 강화효과가 없다고 봐도 무방하다.
정부에서 주장하는 인증방식의 우월성은 잘 모르는 국민들에게 남기는 개소리다.
반가워.
이제 2편이야.
역시나 반말이니까 맘에 안드는 사람은 그냥 넘겨.
------------------------------------------------------
1편 요약 => 공인인증서의 추가적 보안효과는 없다.
2편 시작.
어제까지는 공인인증서의 무용성에 대한 부분이었어.
오늘은 접근성에 대해서 좀 알려줄꺼야.
바로 액티브액스문제야.
공인인증서가 상당히 의미가 없는데 이것이 의무화 된것,
사실 여기까지의 설명은 공인인증서를 반드시 없애야 한다는 결론이 되지는 않아.
그냥 해도 별 문제가 없다면 말이지.
좀 귀찮아도 뭐 딱히 큰 피해가 없다면 이렇게까지 목을매고 쓰지말자고 할 필요는 없잖아?
그런데 그게 아냐.
이건 존재해서 문제가 생긴다고.
왜냐.
공인인증서의 발급, 구현이 전부 액티브x기반이라는게 문제야.
액티브x가 어떤건지 자세히 설명하려면 참 글이 길어질거야.
혹시 요청이 있으면 자세히 설명해 줄 의향은 있지만 간단하게 넘어갈께.
우리가 중요하게 알아야 할것은,
1. 액티브x는 MS사에서 폐쇄적으로 만든 플랫폼이며, MS사의 프로그램기반이 아니면 절대 사용할 수 없다.
2. 액티브x는 사용자PC의 모든부분(시스템영역까지) 전부 접근,제어,수정이 가능한 무적의 플랫폼이다.
3. 액티브x는 그 플랫폼 기반의 프로그래머가 마음만 먹으면 사용자PC자체를 장악할 수 있다.
4. 중요! MS사에서도 액티브x는 보안성의 문제가 있다고 언급했으며 특히 보안성을 담보해야 하는 상황에서
사용을 자제할 것을 권고하고 있다.
이렇게 4가지야.
아래의 2,3,4번은 사실 액티브액스가 아니라 다른 어떤 플랫폼이라도 어느정도까지는 보안성에 문제가 있을 수 있다,
액티브액스만 무슨 보안성의 절대악인양 몰아가지 말라
라고 할지는 모르겠어.
(난 동의하지 않지만..)
근데 1번은 얘기가 달라. 설사 액티브 액스가 절대 무적의 완벽한 플랫폼이라고 하더라도,
이러한 독점을 전제로 한 플랫폼은 지양되어야 하는거지.
왜냐고?
생태계에서 생존에 가장 중요한 요소는 다양성이거든.
보안문제에 있어서도 마찬가지야.
절대무적의 플랫폼으로 통일하는 것보다 다양한 플랫폼이 공존하는 것이 보안에 훨씬 유리해.
왜냐고? 바이러스나 공격자 입장에서 단일 플랫폼만 공격하는 것이 쉽겠어,
3~4종으로 다각화된 플랫폼을 공격하는게 쉽겠어?
거기다가, 시장경제에 있어 다양성과 경쟁은 상호발전을 가져오지만,
독점은 반드시 정체를 가져오게 되어있어.
MSN이 메신저바닥을 평정하고 네이트온이 급부상할때까지 MSN이 정체되어 있던건 기억해?
IE6가 네스케이프 죽인다음부터 파폭이 급부상하기 전까지 딱히 버전업이 없던건 기억해?
MS오피스가 오피스시장 평정한 다음부터 애플아이워크 나오기 전까지 딱히 큰 변화가 없던건 기억해?
어도비 포토샵이 예나 지금이나 큰 변화가 없는건 느끼고 있어?
근데 어도비 프리미어나 인디자인은 죽자고 변해가는건 알아? 이건 경쟁 툴이 있거든.
그래서 액티브액스는 그 사용이 매우 부정적이야.
단지 독점적이라는것 하나만으로도 말이지.
참고적으로 액티브액스에 대한 MS사의 입장을 좀 알려줄께.
http://www.microsoft.com/korea/windows/compatibility/activex.mspx#e
링크 가기 귀찮은 사람을 위해 좀 복사해왔어.
날 못믿는 사람은 직접 가서 보라구.
난 토씨하나 수정안하고 복사한거니까 믿을사람은 그냥 믿구.
ActiveX는 웹 브라우저에서 PC의 모든 기능을 활용할 수 있게 하는 기능으로, 사용자에게 더 많은 가능성을 열어 준 기능입니다. 그러나 그 발표로부터 10년이 지난 지금 인터넷은 당시에는 생각하지 못했던 악성 소프트웨어로 보안 위협을 겪고 있습니다.
이는 마이크로소프트도 기술 개발 당시에는 예측하지 못했던 문제로, 스파이웨어나 바이러스 등 인터넷을 통해 사용자의 PC를 파괴할 위험성을 지닌 프로그램이 이 ActiveX에 의존하고 있습니다.
마이크로소프트는 2002년부터 점차적으로 포괄적인 ActiveX 컨트롤의 권한을 축소해 왔습니다.
인증 받지 못한 ActiveX의 실행을 막았으며, Windows Vista에서는 보호모드를 마련하여 컴퓨터 내의 특정 영역만 사용할 수 있도록 하였고, 관리자 권한도 제약을 두었습니다. 이 제약은 모두 향후 예측할 수 있는 모든 잠재적 보안 위협에 대응하기 위한 방향이고, 더 안전한 OS로 완성하기 위한 마이크로소프트의 노력과 방향성에 관련 업계는 세계적으로 동의를 보내고 있습니다.
따라서 보안 문제와, 호환성 문제를 해소하기 위해, 일반 웹사이트들의 개별적인 ActiveX 활용은 자제되어야 한다는 것이 마이크로소프트의 입장입니다.
환경적으로 볼 때, 한국의 인터넷 시장은 세계 어느 나라보다 먼저 다양한 서비스를 개발하였습니다. 그래서 당시 다양한 가능성을 열어 주었던 ActiveX를 적극 활용한 서비스를 기획했습니다. 그 결과, 세계적으로 ActiveX는 주로 UI의 보완을 위해서 활용되어 온 정도입니다만, 한국은 보안과 같은 시스템 솔루션이 ActiveX 기반으로 마련됩니다. 그러나 10년의 시간이 흐르면서 세계적인 보안 환경은 다양한 변화를 맞이합니다. 당시의 미비점도 해결이 되고, 또 당시 생각지 못했던 부차적인 그러나 더 심각한 보안 위협이 대두됩니다. 이에 효과적으로 대응하기 위한 방안을 마련할 시점에 오게 된 것입니다.
어때? MS 공식입장에 한국의 인터넷시장에 대한 언급까지 있어.
대한민국 자랑스럽지 않나?
아래쪽의 각주에도 이런말이 있어.
ActiveX를 보안과 같이 시스템 레벨에서 사용하는 것은 지양되어야 합니다.
128bit SSL을 비롯한 표준화된 인증 체제, 그리고 암호 발생기 등 다양한 보안 솔루션을 국가적 차원에서 열린 자세로 수용하여, 다양한 플랫폼에서 기 구현되고 검증된 인프라를 활용하도록 하는 것이 바람직합니다. 현재 Internet Explorer는 세계 표준적 보안 기능을 내장하고 있고, 세계 각국의 은행들은 브라우저 내장의 보안 기능을 활용하고 있습니다.
누구 보라고 써둔 말일까?
다양한 보안 솔루션을 국가적 차원에서 열린 자세로 수용하여,
다양한 플랫폼에서 기 구현되고 검증된 인프라를 활용하도록 하는 것이 바람직합니다. <== 이문장 읽으면 말이야.
왜 갑자기 국가적차원에서 나아갈 방향을 MS에서 권고하는 거지?
어느국가에게 하는 말인걸까?
세계 각국의 은행들은 브라우저 내장의 보안 기능을 활용하고 있습니다. <== 이 문장도 읽어봐.
누가 읽고 좀 생각해보라고 써둔 말일까?
저말을 굳이 한 이유가 뭘까?
세계 각국의 은행들과는 다르게 움직이고 있는 누군가에게 하는 말이라는 느낌이 확 들지?
MS조차도 호환성을 걱정하며 액티브액스를 좀 쓰지말라고 하는 판국에,
왜 어느나라의 어느집단은 이렇게까지 액티브액스를 사랑하는 걸까.
MS조차도 보안등의 용도로 쓰지 말라는 액티브액스를 이렇게 못써서 안달인걸까.
어이없지 않아?
IT 덕후들이 다같이 예견하는 것중에,
한국만 액티브액스를 버리면 그 즉각 다음버전 IE에서 액티브액스를 지원안할거라는 게 있어.
사실 단종시키고 싶은데 못하고 있는거지. 한국이 워낙에 강경하게 액티브액스를 사랑하니까.
특히 작금의 인터넷뱅킹에서 액티브액스를 사용하지 않고는 금융거래는 불가능해.
한국에서만 말이야.
거기다가 더 큰 문제가 있어.
인증서라는 방식도 1편에서 언급했듯 문제가 있지만,
이 인증서를 구현하는 방법을 액티브액스 기반으로 한다는건 더 큰 문제가 있어.
최강의 자물쇠를 달아주겠다는 사람이 오면 아무나한테 안방문까지 열어주게 습관화 시킨거라는 거지.
자물쇠업자를 사칭하기만하면 누구나 안방까지 들어갈 수 있는 문화가 되버린거지.
거기다가, 한옥이나 텐트에 살면 아예 자물쇠를 달지조차 못해.
오로지 아파트만 가능한거야.
자물쇠 의무화를 해놓고 말이지.
이게 뭐하는 짓이지?
국민의 보안을 걱정한다는 작자들이,
최강의 자물쇠를 지갑만 보여주면 개나소나 다 주게 해두고,
반드시 자물쇠 열쇠는 거실 TV밑 서랍에 넣도록 강제하고 있으며,
그 자물쇠를 설치하러 왔다는 모든 사람들에게 안방문까지 다 열어주라고 해놓은 데다가,
아파트가 아니면 자물쇠를 달지도 못하게 해놓은 거야.
이래서 그토록 많은 사람들이 액티브액스를 반대하고, 쓰지말자고 발악을 하는거지.
그리고 공인인증서를 쓰는것 까지는 그래도 좋다 이거야.
"의무화" 까지는 할 필요가 없고,
굳이 "의무화"를 할거 같으면 인증서를 인증서 답게 쓰게 하고 또 여러 인증서를 경쟁하게 하라 이말인거지.
그리고 인증서를 발급받을때 표준화된 플랫폼에서도 가능하게 하고 말이야.
오늘도 너무 글이 길어진거 같다.
3편에서 계속 할께.
3편에서는, IT운동권들이 제안하는 새로운 방식의 전자금융거래에 대해서 알려줄께.
오늘의 결론.
액티브 액스는 MS도 버린 쓰레기같은 기술이다.
반가워.
이제 3편이야.
오늘 이야기할 것은 IT덕후들이 제안하는 신개념 전자금융 제안이야.
여러가지 안이 있어.
이중 하나만이라도 시행되면 개인적으로 나는 만족해.
물론 그중에서 고르라면 또 있겠지만.
크게 두가지 제안으로 나뉘게 되지.
1. 아예 인증서 의무화 조항을 폐지하는것과,
2. 인증서를 쓸려면 제대로 쓰라는 것이겠지.
두번째부터 읊어볼께.
공인인증서를 쓰려면 제대로 쓰라는것. 이게 제대로 시행되려면 어케 해야 할까.
먼저 급선무는 크로스플랫폼, 크로스브라우징을 지원해야해.
기술적 군더더기고 뭐고 간에 일단 맥유저든 리눅스유저든 다 쓸수는 있게 해야할거 아냐?
이미 5대 브라우저의 최신버전들은 전부 인증서 관리를 지원한단 말이야.
그런데 왜 뭐하러 굳이 액티브x기반으로 인증서를 발급받아야 하냔 말이야.
표준화된 방법으로 인증서를 발급할 수 있게 인증발급방식을 전환하라 이거야.
매번 액티브액스를 업데이트 하는 수고도 덜어지게 되거든.
그리고 아무나, 아이폰이든 맥이든 리눅스든 5대 브라우저의 최신버전만 사용한다면,
누구나 인증서를 발급받을수 있어.
왜 굳이 먼길로 돌아가서 특정플랫폼만 가능하게 하는거지?
둘째로, 현재의 공인인증서의 발급재발급 절차에도 문제가 있어.
1편에서 언급했듯 인증서방식은 완벽하단 말이야. 절대 우회할수 없어.
그렇다면 아주 타이트한 방법으로 인증서를 발급하는게 필요해.
내 생각에는 인증서라는걸 제대로 쓴다면 최소한 대면발급해야해.
"최소"한 이야.
더 빡세게는 지문인식, 홍채인식, 유전자감식까지 해서라도 인증서를 발급해야해.
비현실적이라고?
숫자카드, 보안카드라고 불리는 비번카드도 대면발급만을 시행하는데 이건 현실적인가?
특히 인증서는 대면발급을 했다면,
이후 인증서로 접근하는 사람은 대면발급했던 사람이라는 확신이 생긴단 말이야.
매번 로그인할때마다 매번 대면하고 있는걸로 간주해도 무방해.
인증서방식은 완벽하거든.
인증서방식은 그 인증서를 발급하는 절차를 매번 거치는 것과 동일한 수준의 신뢰도를 확보해주기 때문에,
1년에 한번정도씩만 대면하는 절차를 강제규정해야 인증서가 인증서 답게 쓰이고 있는 거라는 거지.
그래야 인증서라는 매개체를 쓰는 의미가 있잖아?
앉은자리에서 주민번호만 입력하면 발급되는 방식이라면 그냥 차라리 매번 주민번호를 요구하란 말이야.
1편에서 말했듯 의미 없는 짓이니까.
셋째로 인증서를 발급받았을때 그 인증서 자체에 관한 관리도 중요하겠지.
이 인증서 자체를 도둑맞을수 있으니까.
이걸 막는 방법은 놀랍게도 처음 제시한 브라우저 인증기능을 사용하면 해결돼.
브라우저 인증서 관리 기능은 브라우저 자체에 인증서를 녹여놓게 되거든.
하드디스크자체를 뽑아가지 않으면 인증서만 빼내는게 불가능해져.
그럼 하드디스크를 도둑맞으면 어떡하느냐 라고 말할지는 모르겠어.
아예 컴퓨터가 도난당하면? 이라고 물을지는 모르겠어.
근데 그 상황까지 염두에 둘거면 아예 지문인식을 하는 수 밖에 없잖아?
본인의 몸에 지니고 있는 어떠한 인증방식을 사용하는 수밖에.
그래서 인증서는 본인이 발급받을때 비밀번호도 설정하는 거지.
위의 모든것을 다 보정한다면 난 인증서 의무화를 해도 상관없어.
어쩌면 저렇게만 한다면 하는게 더 나을지도 모르지.
보안성은 완벽해 지거든.
그리고 저위의 사항을 전부 보정하고 인증서를 사용하면,
그 이외의 모든 보안성 관련 군더더기들을 다 안써도 되거든.
숫자쓰인 보안카드 그딴거 필요없어.
대면해서 발급받고 컴퓨터를 도둑맞지 않았으면 인증서 로그인 만으로도
서버측에선 본인과 대면하고 있다고 봐도 무방하단 말이야.
지금은 인증서 로그인을 하고도 계좌비번도, 주민번호도, 숫자카드도 요구하잖아?
이건 지금의 인증서를 못믿고 있다는 반증이야.
암호학개론만 공부해봐도 인증서가 저런 숫자카드보다 훨씬 강력한 보안체계임을 알수 있는데
인증서에 추가 보안 시스템을 만든다는 자체가 이 인증서는 의미가 없다는 뜻밖에 안되거든.
여튼 쓸려면 위의 사항을 다 보정하고 제대로 쓰면 좋겠다는게 내 첫번째 주장이야.
두번째 주장은?
그냥 공인인증서 의무화 조항을 폐지하는거야.
그러면 공인인증서와 사설인증서, 그리고 무 인증서의 3가지 거래형태중에
소비자가 고르게 되겠지?
그지?
그러면 서로 경쟁하게 되고 더 완벽한 보안을 이루면서도 편리한 방법을 사용할 수 있게 되지 않겠어?
시장이라는 곳이 그렇게 이뤄지지 않겠어?
내 예상에는 인증서 강제조항을 폐지해도 곳곳에서는 인증서를 계속 쓸거야.
그치만 써도 지금처럼은 안써.
지금의 인증서는 확실히 의미가 없거든.
위에서 말한 타이트한 방법의 진정한 인증서 수준의 보안이 필요하다면
인증서를 쓸거야. 국방이나 첩보등의 강력한 보안이 필요한곳은 말이지.
그리고 수천만원 이상의 이체거래 등도 인증서를 쓰게 강제하겠지. 위의 타이트한 방법으로 말이야.
그 이외의 경우는? SSL이나 그런 브라우저 기본 보안체계로만 운영될게 뻔해.
전세계적인 추세이기도 하고, 대면해서 인증서를 발급해야 할만큼 빡세지도 않아.
결정적으로 폰뱅킹은 인증서 없이도 이체거래 잘만 하거든?
우리엄마도 폰뱅킹을 쓰는데 폰뱅킹은 해킹의 위험이 없나?
결코 인증서를 쓰지 말자는게 아니야.
"의무" 화 할 필요는 없다는 거고, "의무"화 하려면 제대로 구축해놓고 "의무"화 하라는거야.
물론 내 궁극적인 제안은 어지간해서 모든 "의무"는 다 풀어주자는게 내 제안이지.
나는 시장을 믿는 사람이거든.
여기까지 시리즈물을 마칠께.
막연하게 알고 있었거나 잘 모르던 사람들한테 도움이 되었으면 좋겠어.
반말로 포스팅 되어있는 글이라 이곳에 올리는걸 좀 고민했습니다만,
용기를 내어 올려봅니다.
미리 말씀드리지만 반말 죄송합니다.
=======================================
반가워.
편의상 반말로 할께.
혹시 반말 싫으면 그냥 넘겨.
================================
맨날 공인인증서니 웹표준이니 액티브액스니 뭐니 해서 좀비마냥 떠드는 애들이 있잖아?
사람들 관심도 없고 다들 세종시니 4대강이니 그런거만 관심있다고 불평하기도 하고 그러잖아?
그런데 너네도 참 신기하단 말이지.
이게 요즘 추세는 실생활직결 법안에 관한 부분이 원래 흥하는 법이거든,,
대표적으로 광우병 논란이 있었지.
그 어려운 의학용어 튀어나와도 전국민이 떠들썩 했잖아.
이유는 딱 하나야. 내가 먹는 식탁에도 영향이 간다는 거지.
공인인증서는 광우병논란 못지않은 실생활 직결 법안이야.
그런데 너네는 이상하게 관심이 없어.
아예 정확히 뭐가 문제인지도 모르더라고.
그래서 좀 설명을 해줄려고 그래.
레알 쉽게 써놨으니까 한번 읽어봐.
우선 나같은 경우는 웹표준/액티브액스/공인인증서 등등 각종 IT관련 규제에 대해서 참 관심이 많아.
wipi의무화니 뭐니 그런것도 관심이 많았었고.
그런데 다른건 다 제쳐두고 일단 암적인 존재의 극치라 할 수 있는 공인인증서만 꼬집어 볼려는 거야.
관심 한번 가져줘봐.
우선 공인인증서가 뭔지는 다 알거야. 뭐 은행같은거 할려면 공인인증서 발급을 받아서 뭐 하드에 저장하고
그런거인지는 알지?
인터넷 뱅킹이나 카드결재같은거 해본 사람이면 그런 단어 접해봤을꺼야.
그리고 인터넷뱅킹 하다보면 뭐 엔프로텍 어쩌고니 그런게 막 깔리고 v3도 깔리고 켜지고 난리도 아니잖아?
이해를 쉽게 하기 위해서 현재 우리 인터넷 상황을 설명해줄께.
우선 우리나라는 공인인증서 사용 의무화 국가야. 전세계에서 딱 우리나라만 이런 규정이 있어.
단 한군데도 이런 규정은 없어. 권고도 아니고 의무화라 이말이지.
30만원이상 전자결재에서는 무조건 공인인증서를 사용해야 해.
그래. 여기까지는 그래도 용인할 수 있어.
왜냐, 인증서라는게 무슨 절대악인거 까지는 아니거든.
분명 암호학에서 접근했을때 가장 완벽에 가까운 암호화방식이야.
공개키 뭐 그런 단어까지 나올 필요는 없는데 여튼 이론적으로 실질적으로 가장 완벽한 암호화 방식인건 맞아.
그럼 그걸 전자금융에서 의무화 하는게 왜 나쁜거냐? 안전하게 금융사고 없게 하면 좋은거 아니냐?
라고 묻겠지?
인증방식, 공개키 인증방식이라는 암호화 방식은 분명 탁월해.
문제는 그걸 실제로 일반 사용자에게 발급하는 과정 등은 결코 탁월하지 못해.
너네, 공인인증서 발급받을때 어떻게 하지?
은행사이트 들어가서 주민번호, 계좌번호, 카드번호, 계좌비번, 암호카드앞자리2개 뒷자리2개 뭐 그런정도 정보만 알면
언제든 재발급이 대개 가능하게 되어있잖아?
이게 이런식으로 발급이 될거 같으면 그냥 공인인증서라는 방식은 결코 저 정보를 다 아는 사람에게는
추가적인 자물쇠가 되지 못한다는 말이야.
뒤집어 말하면? 저만큼의 정보만 요구해서 금융거래를 하나, 저만큼의 정보로 공인인증서를 재발급받아서 금융거래를 하나,
도둑 입장에서는 똑같다는 거야.
그렇지 않나?
안그래?
너네가 쓰는 한국내 영업중인 은행중에 저정도 정보 이상의 것을 요구해서,
인증서를 받는게 매우 까다로운 곳이 있나?
없지?
그러면 우리는 첫번째 의문점에 봉착하게 되지.
저럴거면 저만큼의 정보를 매번 요구하는 것과 공인인증서의 차이가 있느냐? 라는거지.
사실 인증방식이 탁월한데, 그 좋은 자물쇠를 지갑만 제시하면 개나소나 다 보내주니까,
그 좋은 자물쇠가 의미가 없어져.
그냥 지갑만 확인하는것과 다를바가 없어지는 거야.
그런데 그 지갑을 확인해서 자물쇠를 받아간 사람은 무슨 초특급보안기술로 보안성을 유지하고 있는 척하게 되서,
없느니만 못하게 되지.
반론 제시하는 사람도 있겠지.
아니야! 공인인증서는 재발급받을때 인증비번도 요구한다고!
훗.
내가 마법을 부려볼께.
이중에 자기 이메일등등 자기가 주요적으로 쓰는 비번과 인증서 비번이 전혀 다른자, 나에게 돌을 던져.
있나?
그런 스마트한 유저가 있느냐고.
끽해야 배열이 다르거나, 예를들어 이명박 이라고 암호를 쓰던 사람은 이명박1 정도나 명박이 명박 이정도 안에서
다 비번있지 않나?
그리고 인증서는 추가적인 비번이 있으니 인증서가 좋다는건 한마디로 개소리야.
그건 [추가적인 비번] 이라는 장치가 보안성을 만들어 낸거지
[인증서]가 보안성을 만들어 낸게 아니거든.
뒤집어 말해서 인증서가 아니더라도 추가적인 비번을 요구하기만 하면 같은 수준의 보안성을 담보한다는 거야.
그럴거면 그냥 이중비번만 요구하면 그만이잖아?
물론 더 안전하긴 하겠지.
그럼 보안성을 이유로 1000중 비번을 요구하면 엄청 안전하기야 해.
이렇게 안하는 이유는?
다중 비번은 최초의 첫 비번이 뚫렸다면 그 이후의 비번들에서의 추가적인 보안성은 급감할 뿐만 아니라,
유저가 느끼는 불편함은 기하급수적으로 커지거든.
개인 컴에서 자동 로그인기능까지 쓰는 사람들이,
금융거래니까 수동 로그인하는것 까지는 이해하는데 다중 비번이라?
귀찮음의 극치일껄.
대부분 다중비번이 동일하거나 유사하게 쓰일것은 말할것도 없고.
그중 하나를 분실하는 일도 엄청 빈번할거고.
또 예상되는 두번째 반론.
이봐! 공인인증서는 재발급 받으면 내 핸폰으로 문자가 온다고!
어휴 'ㅅ'=3
위와 똑같은 반박이 가능해.
그게 [인증서]의 보안성이야, 아니면 [핸폰문자서비스]의 보안성이야?
매번 로그인 하고 이체거래 할때마다 문자로 쏴주기만 하면 그만이지 않아?
굳이 그게 [인증서]의 보안성인가?
그러면 너네는 나한테 반론을 제기하겠지.
야, 니가 처음엔 인증서가 가장 고도화된 암호화 방식이라며?
근데 왜 휠한바퀴 굴리기도 전에 말을 바꾸냐?
인증서가 고도화된 방식이라는 건, 수학, 더 나아가 암호학의 측면에서 가장 고도화된 방식이란건 변함이 없어.
현재의 암호학에서도 개인키 공개키 인증 방식 이상의 암호화 방법을 찾아내지도 못했지.
물론, 현대 암호학에서 절대 못깨는 암호라는건 설정하지 않아.
다만 깨는데 엄청난 시간이 걸리게 할 뿐이야.
실제로 현재의 개인키 방식은 충분한 시간만 주어진다면 각 개인이 자기집 컴으로도,
근성과 엄청난 암산능력만 있다면 암산으로도 깰수 있는 방식이야.
다만 슈퍼컴퓨터를 가져와서 특정인의 공인인증서를 깨려면 십년을 넘게 쉬지않고 돌려야 깰 수 있어.
자기가 싸이코급 천재라서 저 이상의 연산능력을 암산으로 가능하다면 힐끗보고도 깨겠지.
현재의 연산능력의 최고봉으로도 결코 년단위 이하로 시간을 단축하지 못해.
그리고 우리는 매년 그 암호를 바꿔주면 그만인거지.
그게 현대 암호학에서 최강의 암호화방식으로 극찬하는 인증서 방식의 기본 마인드야.
그런데, 공개키 개인키 인증서가 저런 최강의 암호화 방식을 유지할때는,
전재 조건이 존재해.
암호학 강의를 하지는 않을께.
그냥 아주 도식화하고 쉽게 설명하자면,
개인키랑 공개키라는게 있는데,
이 개인키는 해당 본인만이 보유하고 있다 라는 대전제가 깔려야 이 모든 암호화 방식이 성립하는거야.
그리고 이 개인키를 우리는 [인증서] 라고 부른다고 생각하면 돼.
즉, 우리가 인증방식이 완벽하다고 말할때는, 그 [인증서],
즉 개인키를 보유하지 않으면 절대 암호를 뚫을수 없다는 말일 뿐이지,
그 [인증서] 즉 개인키를 보유한 사람이라면 누구든 자유롭게 접근이 가능하단 말이야.
상식적으로 암호라는건 허가된 사람은 자유롭게 접근을 하게 해줘야 하잖아?
이 접근허가증같은게 바로 인증서인거야.
그러면, 우리의 보안을 깨고 우리인척 하려는 사람은,
두가지 방법이 있겠지.
첫째. 인증방식 자체를 함락시키려는 경우.
인증서를 보유하지 않고 이 암호화방식을 깨려고 달려든다면 우린 코웃음을 치면 돼.
이건 국정원이고 CIA고 못뚫어.
전세계 모든 컴퓨터 전부 병렬로 연결해도 아마 6개월은 걸릴거야.
그런 접근이 감지되면 우린 한달에 한번씩 교체하면 그만이야.
절대 그런일은 없어.
그리고 지금 통용되는게 256비트 암호화방식이거든?
그게 슈퍼컴으로 10년 이상 걸리기 때매 채용중인데,
우린 언제든 비트수를 올리면 용량이 약~간 늘어나는 대신 공격자가 필요한 시간은 엄청나게 늘어나게 되거든.
만일에 컴퓨터가 좋은게 너무 빨리 등장하면?
그냥 512비트로 늘리면 그만이야.
그러면 다시 수십년이 필요하게 되거든.
아예 꼴받아서 한 10메가로 만들면?
영원히 못푼다고 봐야해. 물론 10메가라는 용량이 아깝고 트래픽이 아까워서 안할 뿐이야.
즉, 인증방식 자체를 함락시키는건 불가능해. 현재까지의 암호학으로는 확실해.
만일 저걸 함락시킬정도의 이론적,실제적 알고리즘을 보유한 사람이 있다면,?
나라면 찌질하게 국민은행같은데 털 생각을 안하고,
논문이랑 특허내고 MIT공대에서 암호학 석좌교수가 되면서 전세계 은행한테서 로열티를 받을래.
인증방식을 함락시킨다는건 암호학의 역사를 새로쓰는 거니까.
여튼 한줄 요약하면 인증방식은 절대 함락되지 않아.
둘째. 인증방식상에서 해당자인척 하기.
이게 바로 개인키의 입수라고 할수 있어.
인증방식은 개인키를 보유하지 못한 사람에게는 절대 적인 방어력을 보이지만,
개인키를 보유한 사람에게는 아무런 방어를 하지 않아.
왜냐, 개인키 자체를 본인으로 간주하기 때문이야.
인증방식은 대전제가 개인키는 본인만 가지고 있다 라는 것인데,
개인키를 가지고 있어도 그사람을 의심하는건 좀 이상하잖아?
그럼, 개인키를 입수만 하면 인증방식은 함락시킬수 있는거라는 결론이야.
함락이라기 보다는,, 음.. 이를테면.
지문인식으로 문을 열어주는 자물쇠가 있어.
이 자물쇠는 그 사람의 영혼을 판단하지 않아. 단지 지문=본인 이라고 간주하는거지.
그래서 지문방식을 뚫기는 힘들지만, 해당 본인의 손가락만 잘라오면 쉽게 통과할수 있는거지.
인증방식도 그런 맥락이라고 생각하면 되는거지.
자체를 함락하는건 불가능하지만, 손가락만 잘라온다면 그냥 통과한다고 보면 된다.
그런데, 우리가 실생활에서 쓰는 [공인인증서] 라는건.
어떻지? 처음에 말했듯 개나소나 재발급 가능하게 되어있지 않나?
나같은 경우에 공인인증서가 그나마 인증서 답게 쓰이던 곳은,
내가 겪어본 곳 중에는 군대가 유일했어.
당시 군대에서 모 시스템에서 인증서 방식을 채용했는데,
이걸 발급받을라면 상급부대 전산처에 신청서를 자필로 써서 결재선 타서 공문으로 날렸어야 했다고.
그러면 인증서를 군단에서 와서 직접 발급을 해줬어.
직접 대면하고 말이야.
이런 경우 이 인증서는 정말 어지간해서는 본인만이 보유한 거라고 볼 수 있잖아?
우리 사회에서도 인증서를 이런식으로 관리한다면 난 인정해.
개개인이 인증기관에 직접 내방하여
유전자, 지문, 안면윤곽, 홍채등을 인식하고
직접 대면상태에서 인증서를 발급하게 한다면 말이지.
여튼 현재의 공인인증서 방식은, 애시당초 인증서답게 쓰이고 있지 못해.
지문인식시스템은 완벽한데 개나소나 본인의 지문을 복사받아올수 있는 구조니까.
결국 정부에서 주장하는 인증서의 보안성은 완벽하다! 라는 말은 그냥 웃기는 농담따먹기인거지.
더 웃긴건 뭔지 알아?
이런 재발급이 아니라도 인증키를 빼올수 있다는 거야.
군대에서 예를 들었듯 직접 대면상태에서 인증서를 발급받더라도 문제가 하나 생겨.
인증서를 USB메모리에 발급 받았는데, 그 USB자체를 훔쳐가면 역시나 무의미해 질거 아냐?
그지?
개인키만 빼내면 되는거니까.
지금 정부에서 의무화 한 인증방식은, 아주 웃기게도
C드라이브 시스템 폴더의 특정위치 (NPKI 폴더)에 독립된 파일형태로 저장하게끔 규정했어.
이런얘기하면 안되지만..
혹시 해킹하고 싶은 사람은 동네 피씨방 가서 C드라이브 프로그램파일즈에 NPKI 폴더를 복사해와.
그러면 개인키를 입수한거니까.
황당하지 않아?
개인키의 보관은 인증방식에서 너무너무 중요한건데,
이 방식이 너무 허술해.
현재의 대개의 최신브라우저는 인증서를 브라우저에 녹여놔서,
브라우저 자체를, 아니 하드디스크 자체를 뽑아와야 입수를 할 수 있을 정도라고.
그런데 수킬로바이트 밖에 안하는 NPKI폴더만 빼와도 바~로 우리는 수십개의 개인키를 확보할 수 있게 되는거지.
이미.. 인증방식은 뒤틀릴대로 뒤틀린거야.
더더더더더더 큰 문제는 뭔지 알아?
한국인은 액티브액스 왠만하면 그냥 깔지?
그리고 윈도우에서 보안경고 뜨면서 시스템을 변경하려 합니다 승인합니까?
내지는 보안설정을 낮추세요 이런 말하면 다 승인하잖아?
관리자 권한으로 다시 오세요 하면 관리자 권한으로 오잖아?
그러면 사람이 직접 수동으로 복사할 필요도 없어.
유명한 사이트에서 액티브 액스 하나 깔게 하고 그 프로그램으로 각 개인의 NPKI폴더를 수집할 수가 있는거지.
사실 저런 승인합니까? 이런거만 전부 노노노노노노노노 해도 보안문제는 제로에 가까워.
근데 저거 노하면 아무것도 못하는 인터넷 세상이 이미 되어 있잖아?
액티브액스 문제로 슬쩍 넘어갈려다가,,
글이 너무 길어지는것 같아서 다음에 계속 연재하도록 할께.
여튼 하나만 기억하면 된다.
오늘의 배울점은, 한국의 인증방식은 아무런 보안성 강화효과가 없다고 봐도 무방하다.
정부에서 주장하는 인증방식의 우월성은 잘 모르는 국민들에게 남기는 개소리다.
반가워.
이제 2편이야.
역시나 반말이니까 맘에 안드는 사람은 그냥 넘겨.
------------------------------------------------------
1편 요약 => 공인인증서의 추가적 보안효과는 없다.
2편 시작.
어제까지는 공인인증서의 무용성에 대한 부분이었어.
오늘은 접근성에 대해서 좀 알려줄꺼야.
바로 액티브액스문제야.
공인인증서가 상당히 의미가 없는데 이것이 의무화 된것,
사실 여기까지의 설명은 공인인증서를 반드시 없애야 한다는 결론이 되지는 않아.
그냥 해도 별 문제가 없다면 말이지.
좀 귀찮아도 뭐 딱히 큰 피해가 없다면 이렇게까지 목을매고 쓰지말자고 할 필요는 없잖아?
그런데 그게 아냐.
이건 존재해서 문제가 생긴다고.
왜냐.
공인인증서의 발급, 구현이 전부 액티브x기반이라는게 문제야.
액티브x가 어떤건지 자세히 설명하려면 참 글이 길어질거야.
혹시 요청이 있으면 자세히 설명해 줄 의향은 있지만 간단하게 넘어갈께.
우리가 중요하게 알아야 할것은,
1. 액티브x는 MS사에서 폐쇄적으로 만든 플랫폼이며, MS사의 프로그램기반이 아니면 절대 사용할 수 없다.
2. 액티브x는 사용자PC의 모든부분(시스템영역까지) 전부 접근,제어,수정이 가능한 무적의 플랫폼이다.
3. 액티브x는 그 플랫폼 기반의 프로그래머가 마음만 먹으면 사용자PC자체를 장악할 수 있다.
4. 중요! MS사에서도 액티브x는 보안성의 문제가 있다고 언급했으며 특히 보안성을 담보해야 하는 상황에서
사용을 자제할 것을 권고하고 있다.
이렇게 4가지야.
아래의 2,3,4번은 사실 액티브액스가 아니라 다른 어떤 플랫폼이라도 어느정도까지는 보안성에 문제가 있을 수 있다,
액티브액스만 무슨 보안성의 절대악인양 몰아가지 말라
라고 할지는 모르겠어.
(난 동의하지 않지만..)
근데 1번은 얘기가 달라. 설사 액티브 액스가 절대 무적의 완벽한 플랫폼이라고 하더라도,
이러한 독점을 전제로 한 플랫폼은 지양되어야 하는거지.
왜냐고?
생태계에서 생존에 가장 중요한 요소는 다양성이거든.
보안문제에 있어서도 마찬가지야.
절대무적의 플랫폼으로 통일하는 것보다 다양한 플랫폼이 공존하는 것이 보안에 훨씬 유리해.
왜냐고? 바이러스나 공격자 입장에서 단일 플랫폼만 공격하는 것이 쉽겠어,
3~4종으로 다각화된 플랫폼을 공격하는게 쉽겠어?
거기다가, 시장경제에 있어 다양성과 경쟁은 상호발전을 가져오지만,
독점은 반드시 정체를 가져오게 되어있어.
MSN이 메신저바닥을 평정하고 네이트온이 급부상할때까지 MSN이 정체되어 있던건 기억해?
IE6가 네스케이프 죽인다음부터 파폭이 급부상하기 전까지 딱히 버전업이 없던건 기억해?
MS오피스가 오피스시장 평정한 다음부터 애플아이워크 나오기 전까지 딱히 큰 변화가 없던건 기억해?
어도비 포토샵이 예나 지금이나 큰 변화가 없는건 느끼고 있어?
근데 어도비 프리미어나 인디자인은 죽자고 변해가는건 알아? 이건 경쟁 툴이 있거든.
그래서 액티브액스는 그 사용이 매우 부정적이야.
단지 독점적이라는것 하나만으로도 말이지.
참고적으로 액티브액스에 대한 MS사의 입장을 좀 알려줄께.
http://www.microsoft.com/korea/windows/compatibility/activex.mspx#e
링크 가기 귀찮은 사람을 위해 좀 복사해왔어.
날 못믿는 사람은 직접 가서 보라구.
난 토씨하나 수정안하고 복사한거니까 믿을사람은 그냥 믿구.
ActiveX는 웹 브라우저에서 PC의 모든 기능을 활용할 수 있게 하는 기능으로, 사용자에게 더 많은 가능성을 열어 준 기능입니다. 그러나 그 발표로부터 10년이 지난 지금 인터넷은 당시에는 생각하지 못했던 악성 소프트웨어로 보안 위협을 겪고 있습니다.
이는 마이크로소프트도 기술 개발 당시에는 예측하지 못했던 문제로, 스파이웨어나 바이러스 등 인터넷을 통해 사용자의 PC를 파괴할 위험성을 지닌 프로그램이 이 ActiveX에 의존하고 있습니다.
마이크로소프트는 2002년부터 점차적으로 포괄적인 ActiveX 컨트롤의 권한을 축소해 왔습니다.
인증 받지 못한 ActiveX의 실행을 막았으며, Windows Vista에서는 보호모드를 마련하여 컴퓨터 내의 특정 영역만 사용할 수 있도록 하였고, 관리자 권한도 제약을 두었습니다. 이 제약은 모두 향후 예측할 수 있는 모든 잠재적 보안 위협에 대응하기 위한 방향이고, 더 안전한 OS로 완성하기 위한 마이크로소프트의 노력과 방향성에 관련 업계는 세계적으로 동의를 보내고 있습니다.
따라서 보안 문제와, 호환성 문제를 해소하기 위해, 일반 웹사이트들의 개별적인 ActiveX 활용은 자제되어야 한다는 것이 마이크로소프트의 입장입니다.
환경적으로 볼 때, 한국의 인터넷 시장은 세계 어느 나라보다 먼저 다양한 서비스를 개발하였습니다. 그래서 당시 다양한 가능성을 열어 주었던 ActiveX를 적극 활용한 서비스를 기획했습니다. 그 결과, 세계적으로 ActiveX는 주로 UI의 보완을 위해서 활용되어 온 정도입니다만, 한국은 보안과 같은 시스템 솔루션이 ActiveX 기반으로 마련됩니다. 그러나 10년의 시간이 흐르면서 세계적인 보안 환경은 다양한 변화를 맞이합니다. 당시의 미비점도 해결이 되고, 또 당시 생각지 못했던 부차적인 그러나 더 심각한 보안 위협이 대두됩니다. 이에 효과적으로 대응하기 위한 방안을 마련할 시점에 오게 된 것입니다.
어때? MS 공식입장에 한국의 인터넷시장에 대한 언급까지 있어.
대한민국 자랑스럽지 않나?
아래쪽의 각주에도 이런말이 있어.
ActiveX를 보안과 같이 시스템 레벨에서 사용하는 것은 지양되어야 합니다.
128bit SSL을 비롯한 표준화된 인증 체제, 그리고 암호 발생기 등 다양한 보안 솔루션을 국가적 차원에서 열린 자세로 수용하여, 다양한 플랫폼에서 기 구현되고 검증된 인프라를 활용하도록 하는 것이 바람직합니다. 현재 Internet Explorer는 세계 표준적 보안 기능을 내장하고 있고, 세계 각국의 은행들은 브라우저 내장의 보안 기능을 활용하고 있습니다.
누구 보라고 써둔 말일까?
다양한 보안 솔루션을 국가적 차원에서 열린 자세로 수용하여,
다양한 플랫폼에서 기 구현되고 검증된 인프라를 활용하도록 하는 것이 바람직합니다. <== 이문장 읽으면 말이야.
왜 갑자기 국가적차원에서 나아갈 방향을 MS에서 권고하는 거지?
어느국가에게 하는 말인걸까?
세계 각국의 은행들은 브라우저 내장의 보안 기능을 활용하고 있습니다. <== 이 문장도 읽어봐.
누가 읽고 좀 생각해보라고 써둔 말일까?
저말을 굳이 한 이유가 뭘까?
세계 각국의 은행들과는 다르게 움직이고 있는 누군가에게 하는 말이라는 느낌이 확 들지?
MS조차도 호환성을 걱정하며 액티브액스를 좀 쓰지말라고 하는 판국에,
왜 어느나라의 어느집단은 이렇게까지 액티브액스를 사랑하는 걸까.
MS조차도 보안등의 용도로 쓰지 말라는 액티브액스를 이렇게 못써서 안달인걸까.
어이없지 않아?
IT 덕후들이 다같이 예견하는 것중에,
한국만 액티브액스를 버리면 그 즉각 다음버전 IE에서 액티브액스를 지원안할거라는 게 있어.
사실 단종시키고 싶은데 못하고 있는거지. 한국이 워낙에 강경하게 액티브액스를 사랑하니까.
특히 작금의 인터넷뱅킹에서 액티브액스를 사용하지 않고는 금융거래는 불가능해.
한국에서만 말이야.
거기다가 더 큰 문제가 있어.
인증서라는 방식도 1편에서 언급했듯 문제가 있지만,
이 인증서를 구현하는 방법을 액티브액스 기반으로 한다는건 더 큰 문제가 있어.
최강의 자물쇠를 달아주겠다는 사람이 오면 아무나한테 안방문까지 열어주게 습관화 시킨거라는 거지.
자물쇠업자를 사칭하기만하면 누구나 안방까지 들어갈 수 있는 문화가 되버린거지.
거기다가, 한옥이나 텐트에 살면 아예 자물쇠를 달지조차 못해.
오로지 아파트만 가능한거야.
자물쇠 의무화를 해놓고 말이지.
이게 뭐하는 짓이지?
국민의 보안을 걱정한다는 작자들이,
최강의 자물쇠를 지갑만 보여주면 개나소나 다 주게 해두고,
반드시 자물쇠 열쇠는 거실 TV밑 서랍에 넣도록 강제하고 있으며,
그 자물쇠를 설치하러 왔다는 모든 사람들에게 안방문까지 다 열어주라고 해놓은 데다가,
아파트가 아니면 자물쇠를 달지도 못하게 해놓은 거야.
이래서 그토록 많은 사람들이 액티브액스를 반대하고, 쓰지말자고 발악을 하는거지.
그리고 공인인증서를 쓰는것 까지는 그래도 좋다 이거야.
"의무화" 까지는 할 필요가 없고,
굳이 "의무화"를 할거 같으면 인증서를 인증서 답게 쓰게 하고 또 여러 인증서를 경쟁하게 하라 이말인거지.
그리고 인증서를 발급받을때 표준화된 플랫폼에서도 가능하게 하고 말이야.
오늘도 너무 글이 길어진거 같다.
3편에서 계속 할께.
3편에서는, IT운동권들이 제안하는 새로운 방식의 전자금융거래에 대해서 알려줄께.
오늘의 결론.
액티브 액스는 MS도 버린 쓰레기같은 기술이다.
반가워.
이제 3편이야.
오늘 이야기할 것은 IT덕후들이 제안하는 신개념 전자금융 제안이야.
여러가지 안이 있어.
이중 하나만이라도 시행되면 개인적으로 나는 만족해.
물론 그중에서 고르라면 또 있겠지만.
크게 두가지 제안으로 나뉘게 되지.
1. 아예 인증서 의무화 조항을 폐지하는것과,
2. 인증서를 쓸려면 제대로 쓰라는 것이겠지.
두번째부터 읊어볼께.
공인인증서를 쓰려면 제대로 쓰라는것. 이게 제대로 시행되려면 어케 해야 할까.
먼저 급선무는 크로스플랫폼, 크로스브라우징을 지원해야해.
기술적 군더더기고 뭐고 간에 일단 맥유저든 리눅스유저든 다 쓸수는 있게 해야할거 아냐?
이미 5대 브라우저의 최신버전들은 전부 인증서 관리를 지원한단 말이야.
그런데 왜 뭐하러 굳이 액티브x기반으로 인증서를 발급받아야 하냔 말이야.
표준화된 방법으로 인증서를 발급할 수 있게 인증발급방식을 전환하라 이거야.
매번 액티브액스를 업데이트 하는 수고도 덜어지게 되거든.
그리고 아무나, 아이폰이든 맥이든 리눅스든 5대 브라우저의 최신버전만 사용한다면,
누구나 인증서를 발급받을수 있어.
왜 굳이 먼길로 돌아가서 특정플랫폼만 가능하게 하는거지?
둘째로, 현재의 공인인증서의 발급재발급 절차에도 문제가 있어.
1편에서 언급했듯 인증서방식은 완벽하단 말이야. 절대 우회할수 없어.
그렇다면 아주 타이트한 방법으로 인증서를 발급하는게 필요해.
내 생각에는 인증서라는걸 제대로 쓴다면 최소한 대면발급해야해.
"최소"한 이야.
더 빡세게는 지문인식, 홍채인식, 유전자감식까지 해서라도 인증서를 발급해야해.
비현실적이라고?
숫자카드, 보안카드라고 불리는 비번카드도 대면발급만을 시행하는데 이건 현실적인가?
특히 인증서는 대면발급을 했다면,
이후 인증서로 접근하는 사람은 대면발급했던 사람이라는 확신이 생긴단 말이야.
매번 로그인할때마다 매번 대면하고 있는걸로 간주해도 무방해.
인증서방식은 완벽하거든.
인증서방식은 그 인증서를 발급하는 절차를 매번 거치는 것과 동일한 수준의 신뢰도를 확보해주기 때문에,
1년에 한번정도씩만 대면하는 절차를 강제규정해야 인증서가 인증서 답게 쓰이고 있는 거라는 거지.
그래야 인증서라는 매개체를 쓰는 의미가 있잖아?
앉은자리에서 주민번호만 입력하면 발급되는 방식이라면 그냥 차라리 매번 주민번호를 요구하란 말이야.
1편에서 말했듯 의미 없는 짓이니까.
셋째로 인증서를 발급받았을때 그 인증서 자체에 관한 관리도 중요하겠지.
이 인증서 자체를 도둑맞을수 있으니까.
이걸 막는 방법은 놀랍게도 처음 제시한 브라우저 인증기능을 사용하면 해결돼.
브라우저 인증서 관리 기능은 브라우저 자체에 인증서를 녹여놓게 되거든.
하드디스크자체를 뽑아가지 않으면 인증서만 빼내는게 불가능해져.
그럼 하드디스크를 도둑맞으면 어떡하느냐 라고 말할지는 모르겠어.
아예 컴퓨터가 도난당하면? 이라고 물을지는 모르겠어.
근데 그 상황까지 염두에 둘거면 아예 지문인식을 하는 수 밖에 없잖아?
본인의 몸에 지니고 있는 어떠한 인증방식을 사용하는 수밖에.
그래서 인증서는 본인이 발급받을때 비밀번호도 설정하는 거지.
위의 모든것을 다 보정한다면 난 인증서 의무화를 해도 상관없어.
어쩌면 저렇게만 한다면 하는게 더 나을지도 모르지.
보안성은 완벽해 지거든.
그리고 저위의 사항을 전부 보정하고 인증서를 사용하면,
그 이외의 모든 보안성 관련 군더더기들을 다 안써도 되거든.
숫자쓰인 보안카드 그딴거 필요없어.
대면해서 발급받고 컴퓨터를 도둑맞지 않았으면 인증서 로그인 만으로도
서버측에선 본인과 대면하고 있다고 봐도 무방하단 말이야.
지금은 인증서 로그인을 하고도 계좌비번도, 주민번호도, 숫자카드도 요구하잖아?
이건 지금의 인증서를 못믿고 있다는 반증이야.
암호학개론만 공부해봐도 인증서가 저런 숫자카드보다 훨씬 강력한 보안체계임을 알수 있는데
인증서에 추가 보안 시스템을 만든다는 자체가 이 인증서는 의미가 없다는 뜻밖에 안되거든.
여튼 쓸려면 위의 사항을 다 보정하고 제대로 쓰면 좋겠다는게 내 첫번째 주장이야.
두번째 주장은?
그냥 공인인증서 의무화 조항을 폐지하는거야.
그러면 공인인증서와 사설인증서, 그리고 무 인증서의 3가지 거래형태중에
소비자가 고르게 되겠지?
그지?
그러면 서로 경쟁하게 되고 더 완벽한 보안을 이루면서도 편리한 방법을 사용할 수 있게 되지 않겠어?
시장이라는 곳이 그렇게 이뤄지지 않겠어?
내 예상에는 인증서 강제조항을 폐지해도 곳곳에서는 인증서를 계속 쓸거야.
그치만 써도 지금처럼은 안써.
지금의 인증서는 확실히 의미가 없거든.
위에서 말한 타이트한 방법의 진정한 인증서 수준의 보안이 필요하다면
인증서를 쓸거야. 국방이나 첩보등의 강력한 보안이 필요한곳은 말이지.
그리고 수천만원 이상의 이체거래 등도 인증서를 쓰게 강제하겠지. 위의 타이트한 방법으로 말이야.
그 이외의 경우는? SSL이나 그런 브라우저 기본 보안체계로만 운영될게 뻔해.
전세계적인 추세이기도 하고, 대면해서 인증서를 발급해야 할만큼 빡세지도 않아.
결정적으로 폰뱅킹은 인증서 없이도 이체거래 잘만 하거든?
우리엄마도 폰뱅킹을 쓰는데 폰뱅킹은 해킹의 위험이 없나?
결코 인증서를 쓰지 말자는게 아니야.
"의무" 화 할 필요는 없다는 거고, "의무"화 하려면 제대로 구축해놓고 "의무"화 하라는거야.
물론 내 궁극적인 제안은 어지간해서 모든 "의무"는 다 풀어주자는게 내 제안이지.
나는 시장을 믿는 사람이거든.
여기까지 시리즈물을 마칠께.
막연하게 알고 있었거나 잘 모르던 사람들한테 도움이 되었으면 좋겠어.
0
0
로그인 후 추천 또는 비추천하실 수 있습니다.
최신글이 없습니다.
최신글이 없습니다.
댓글목록 45
RyanKim님의 댓글
- RyanKim님의 홈
- 전체게시물
- 아이디로 검색
123.♡.173.84 2010.03.30 11:20너무 길다. 좀 더 간단하게 말해주지..
윤타잔님의 댓글
- 윤타잔님의 홈
- 전체게시물
- 아이디로 검색
124.♡.179.28 2010.03.30 11:31끝까지 읽었습니다. 큰 도움이 됐습니다.
향기님의 댓글
- 이름으로 검색
116.♡.187.205 2010.03.30 11:39너무 좋은 글이네요 ^^
kay님의 댓글
- kay님의 홈
- 전체게시물
- 아이디로 검색
203.♡.188.72 2010.03.30 11:51좋은 글입니다. 비유가 아주 적절한것 같습니다. 가볍게 쓴게 아니라 깊이 생각하고 쓴 글 같습니다.
미선이남푠님의 댓글
- 미선이남푠님의 홈
- 전체게시물
- 아이디로 검색
68.♡.188.218 2010.03.30 12:02좋은글인데요... 조금만 축약했으면 더 좋았을것 같아요...
^^
끼아라님의 댓글
- 끼아라님의 홈
- 전체게시물
- 아이디로 검색
203.♡.217.240 2010.03.30 12:51전체 글의 양을 봤다면 읽는게 힘들었을지도 모르지만
그냥 첨부터 읽어나가니 꽤나 잼있고 도움이 많이 되는 글이라 정신 없이 읽었네요
좋은 글 감사합니다.
맥주든비행기님의 댓글
- 맥주든비행기님의 홈
- 전체게시물
- 아이디로 검색
147.♡.1.2 2010.03.30 13:33정말 좋은 글이네요 잘봤습니다.
김영보님의 댓글
- 김영보님의 홈
- 전체게시물
- 아이디로 검색
116.♡.176.66 2010.03.30 13:46잘 읽었습니다.
길기는 하지만 군더더기는 거의 보이지 않는데요? ^^
하간지님의 댓글
- 하간지님의 홈
- 전체게시물
- 아이디로 검색
221.♡.142.167 2010.03.30 14:10고등교육이 존재하는 이유 중의 하나는 이 정도의 글은 의사소통이 가능하도록 하기 위해서 이기도 하지요. 초딩은 오바입니다만 어려운 글은 아니라고 생각합니다.
좋은 글입니다! 잘 읽었어요! 감사합니다.
그리핀님의 댓글
- 그리핀님의 홈
- 전체게시물
- 아이디로 검색
203.♡.66.225 2010.03.30 14:17어려운 글은 아닌데 뛰어쓰기가 너무 많아서 본문 내용에 비해 페이지에 나오는 정보양이 너무 적습니다 문단마다 뛰어쓰기 하고 문단내에는 하나로 하는게 훨 보기는 좋을듯하네요
내용은 충분히 공감가고 이해도 쉽습니다만 "내용에 비해" 페이지가 좀 기네요
담배님의 댓글
- 담배님의 홈
- 전체게시물
- 아이디로 검색
211.♡.135.121 2010.03.30 14:19초딩도 이해할 수 있을정도로 말씀하시느라 길이 길어진듯하지만, 군더더기는 전혀 없어보이네요..재미있게 잘 읽었습니다
맑은도시님의 댓글
- 맑은도시님의 홈
- 전체게시물
- 아이디로 검색
112.♡.206.17 2010.03.30 14:50정말 호소력 있게 잘 쓰셨네요.
공감가는 내용이기도 하구요.
동혁이형! 수고했어여~!!
pighair님의 댓글
- pighair님의 홈
- 전체게시물
- 아이디로 검색
61.♡.163.35 2010.03.30 15:45훌륭하게 설명해 주셨네요. 좋은 글 감사합니다.
오상균님의 댓글
- 오상균님의 홈
- 전체게시물
- 아이디로 검색
211.♡.2.253 2010.03.30 15:57길지만 도움되는 글이군요! 감사합니다.
고태영님의 댓글
- 고태영님의 홈
- 전체게시물
- 아이디로 검색
116.♡.191.64 2010.03.30 16:19Goooooooooooooooooooooooooooood~!!!
향기님의 댓글
- 이름으로 검색
121.♡.52.224 2010.03.30 16:19글쎄요............... ㅡㅡ;;;;
쭉 읽어봤는데 이게 정확한 정보인가...싶기도한데 사람들은 다들 좋다고 칭송하시니;;;;; 쩝;;;;;
맥 커뮤니티라 그런걸까요.....
horbit님의 댓글
- horbit님의 홈
- 전체게시물
- 아이디로 검색
211.♡.56.47 2010.03.30 16:49액티브엑스 말고는 그다지.. 몇줄로 줄여도 될것을...
박정현님의 댓글
- 박정현님의 홈
- 전체게시물
- 아이디로 검색
211.♡.74.42 2010.03.30 18:11더 요약하자면... (우리집의 전자 자물쇠를 예를 들어서)
현재 자물쇠가 누구도 뚫을수 없는 최강의 자물쇠는 맞는데, 그 열쇠 유출 위험도가 높다는거자나...
게다가 자물쇠 안에 있는 암호화방식이 최고의 방식인거지 그걸 실어나르는 자물쇠 프로그램(액티브엑스)은 정말 형편 없는 놈이고... 그래서 열쇠를 수집하려는 해커들한테 더 취약한거고...
더 한심한 것은... 난 일반 주택에서 살고 싶은데, 자물쇠 업자들이 아파트용 자물쇠만 만들기 때문에 일반 주택에 살고 싶어도 살 수 없다는것이고,
우리나라는 그게 의무화 되어 있다는 것.........
자끄루시에님의 댓글
- 자끄루시에님의 홈
- 전체게시물
- 아이디로 검색
112.♡.211.75 2010.03.30 18:23박정현/ 공감합니다.
공인인증서 관련해서 가장 솔깃한 옹호론은 외국은 "사고거래가 나면 고객이 뒤집어 쓰게되어 있으나, 우리 나라는 주로 은행이 뒤집어 쓰게 되어 있다”인것 같은데 이에 대한 반론이 있습니다.
* 접근 수단(접근 매체, 즉 보안카드, 인증서 등을 포함하는 개념)을 분실하였음을 안 날로부터 이틀 내에 은행에게 분실 신고를 하면 고객은 50달러 한도 내에서만 책임을 집니다.
* 이틀이 지나도록 분실 신고를 안 한 경우 500달러 한도에서 고객이 책임을 집니다.
* 거래 내역이 정기적으로 고객에게 전달될 경우, 사고거래가 표시된 명세서가 발송된 날로부터 60일이 지나도록 고객이 은행에게 아무 신고도 안하면 (좀 복잡한 조건이 충족되면) 전액에 대하여 책임을 져야할 가능성도 생깁니다.
<a href=http://openweb.or.kr/?p=2720 target=_blank>http://openweb.or.kr/?p=2720</a> 참조하세요.
임상현님의 댓글
- 임상현님의 홈
- 전체게시물
- 아이디로 검색
211.♡.118.167 2010.03.30 18:56우리나라야 금융권이 책임을 지는 것으로 되어 있기는 한데...
그런데 외국의 경우 돈 흐름이 실시간으로 되는건가요?
자끄루시에님의 댓글
- 자끄루시에님의 홈
- 전체게시물
- 아이디로 검색
112.♡.211.75 2010.03.30 19:12임상현//
미국의 경우 자행계좌로만 이체가능 타행의 경우 2~3일 소요 되는것으로 알고있습니다. 대체로 미국 쪽보다 한국인터넷뱅킹이 편리한건 사실같군요.
이에 관해서 조승수의원이 발의한 입법개정안에 관한 내용이 있네요. <a href=http://openweb.or.kr/?p=2838 target=_blank>http://openweb.or.kr/?p=2838 </a>
어떤 블로거가 미국,캐나다,영국,일본 은행의 인터넷 이체 서비스 상황을 정리해놓은게 있습니다. 오픈웹이나 공인인증서를 비판하는 사람들의 주장은 박정현님의 의견과 비슷합니다. 금융위원회가 특정기술의 사용을 강제하지 말라는거죠.
<a href=http://dgtgrade.egloos.com/1893279 target=_blank>http://dgtgrade.egloos.com/1893279</a>
Applecare님의 댓글
- Applecare님의 홈
- 전체게시물
- 아이디로 검색
119.♡.28.6 2010.03.30 19:19VIPER9님,
그 초등학생도 이해할 수 있도록 참으로 논리적으로 잘 설명이 되어 있는글을 보고서는, 글세요~라니요.
거참...대부분의 깨어있는 사람들에겐 기본소양 수준입니다.
잘 이해가 안 되면 다시 읽어 보세요. 찬찬히...
김모군인데님의 댓글
- 김모군인데님의 홈
- 전체게시물
- 아이디로 검색
211.♡.10.169 2010.03.30 19:45잘 읽었습니다 좋은 글이네요...
melusina님의 댓글
- melusina님의 홈
- 전체게시물
- 아이디로 검색
118.♡.64.206 2010.03.30 20:10자세히 읽지는 않았습니다만 공인인증서를 단순히 IT관점에서만 바라본 글이군요.
저도 공인인증서 방식에 찬성하진 않지만 그렇게 간단한 문제가 아닙니다.
우리나라 전자결제는 금감원의 감독하에 진행이되기 때문에 공인인증서 같은 방식의 본인확인 절차가 필요한겁니다.
외국의 경우 우리나라와 같이 실시간 결제나 타행이체 등이 이뤄지는 곳이 거의 없습니다.
향기님의 댓글
- 이름으로 검색
68.♡.38.44 2010.03.30 20:18읽다보니 어느정도 알고 있는 것 같은 같은 말투로 하나 남겨줄게
니가 주장하는건 하더라도 크로스 플랫폼 크로스 브라우져를 해라..
라기 보단 인증서 없애자잖아
무슨재간으로 지금까지 나온 모든 플랫폼 브라우져에다가 다 Seed 통신을 가능하게 하는 플러그인을 까냐?
아이패드랑 아이폰은 조트망 크리타라는거냐?
Seed를 국제 표준 SSL중 하나로 인정해 주는게 차라리더 빠르겠다야
아님 아얘 지금 Seed기반 인증서를 없애던가
그건 그렇고 브라우저 임베드되서 인증서 빼갈 수없다는건 드립이고
그리고 위에 melusina님이 쓴것처럼
우리나라와 같이 실시간 결제나 타행이체 등이 한번에 이루어 지는 나라 없엉.
우리나라는 해외송금까지도 거의 실시간이잖어.
그리고
"지금은 인증서 로그인을 하고도 계좌비번도, 주민번호도, 숫자카드도 요구하잖아?
이건 지금의 인증서를 못믿고 있다는 반증이야.
암호학개론만 공부해봐도 인증서가 저런 숫자카드보다 훨씬 강력한 보안체계임을 알수 있는데
인증서에 추가 보안 시스템을 만든다는 자체가 이 인증서는 의미가 없다는 뜻밖에 안되거든."
보안장치는 하나둘씩 더 많을수록 좋은거지
암호화나 보안에 대해 잘 알만한 애가 fail safe개념도 모르니..
향기님의 댓글
- 이름으로 검색
68.♡.38.44 2010.03.30 20:18여튼 확실한건 지금 공인 인증서 제도는 잘 개선되어야 한다는점은 나도 인정함
horbit님의 댓글
- horbit님의 홈
- 전체게시물
- 아이디로 검색
211.♡.56.47 2010.03.30 20:31그런데 몇줄로 요약이 가능한 걸 너무 길게 썼고 내용의 일관성이 없고 초딩이 이해하긴 힘들겠는데요 ㅎㅎ
pighair님의 댓글
- pighair님의 홈
- 전체게시물
- 아이디로 검색
61.♡.163.35 2010.03.30 20:33실시간 송금 편합니다. 좋죠.
근데 덕분에 피싱당하면 대책이 없습니다.
아무리 피싱을 당해도 근본 대책은 안 나타납니다.
이런 상황이라면 외국처럼 1~2시간 지연처리를 하는 게 낫지 않을까 싶은 지경입니다.
(물론 피싱에 당하지 않을 만한 사람들은 지연처리가 짜증나겠지요. 저부터 짜증은 날 겁니다.)
제가 직접 알아본건 아니지만 오픈웹 보다보니 외국도 실시간 이체를 기술적으로 못하는 건 아니라더군요.
여기 분들 말씀처럼 금감원 감독 하에 운영되기 때문에 실시간 이체를 허용하는 걸지도 모릅니다.
외국 SSL보안은 허술해서 지연 송금을 하는 걸지도 모르지요.
그런데, 금감원 감독 하에 피싱을 못 잡을 거라면, 실시간이 과연 반드시 좋은가...
잘 모르겠네요.
그리고 한 가지, 금감원이 관리감독해서 사고가 적은 건 맞나요? 전혀 사고 집계가 안 된다고 하던데...
피싱 사고도 사고로 치면 금융사고 규모가 얼마나 될까요?
짜장님의 댓글
- 짜장님의 홈
- 전체게시물
- 아이디로 검색
58.♡.102.40 2010.03.30 20:54맹맹칼/
저는 인증서 없애자는 주장이 핵심이 아닙니다.
인증서 "강제" "의무" 조항을 없애자는 겁니다.
사고나면 어차피 뒤집어쓰는것도 은행입니다.
단순히 그 사고액만큼 뒤집어 쓰는게 아니라 주요고객들을 잃게 되지요.
공인인증서가 그렇게 좋다면 쓰지 말라고 해도 몰래라도 쓰겠지요.
"강제" 한다는 것은 어떻게 보면 시장논리에 맡기기 불안하다는 말인데,
왜 "강제" 해야 하는지를 논리적으로 알려주셨으면 좋겠습니다.
이러한 기술도입에 대한 득과 실을 모두 기술도입자가 떠안게 되는,
기술시장에 던져졌을때 왜 시장실패가 일어나게 되는지를 알고 싶습니다.
그리고, 본문에서도 나오지만 제가 원하는 것은 인증을 하려면 제대로 하라는 것도 분명히 포함되어 있습니다. 인증을 강제하려면 적어도 제대로 해놓고 강제하라는 거지요. 하지만 기술이 좋다면 그냥 강제를 풀어도 상관없을텐데요.
핸드폰 광속인터넷 강제규정이라도 있습니까? 그런데 왜 다들 쓰지요?
짜장님의 댓글
- 짜장님의 홈
- 전체게시물
- 아이디로 검색
58.♡.102.40 2010.03.30 20:59현재의 상태를 포기할 수 없는 기술적 근거가 있다면,
"강제"를 반대할 명분도 없습니다.
"강제"를 주장하면 할수록 해당 기술의 결점을 스스로 인정하는 꼴이라는걸 생각해보셨으면 좋겠습니다.
완벽하다면 강제규정이 풀려도 전혀 달라지는 것은 없습니다.
왜냐면 그 기술을 도입하고 운영하는것도 은행이고 그 책임을 떠안는것도 은행이니까요.
설사 고객에게 그런 책임을 떠넘긴다고 해도 대다수의 고객은 사고를 일으킨 은행에서 전자거래를 하지 않고 궁극적으로는 은행에서 떠나겠죠.
고객입장에서도 마찬가지입니다.
만일 아주 우월한 시스템이 있고 강제되지 않는다면,
그 시스템을 쓰는 은행만을 이용할겁니다.
결국 시장에서 성공하게 되고 도입하지 않았던 은행들도 다같이 도입할겁니다.
제가 참 웃긴것은 "의무" 조항 삭제를 기술의 우월성이나 필요성으로 맞받아 치려는 분들입니다.
이것이야 말로 제가 말하고 싶은 부분입니다.
우월하고 필요하면 더더욱 강제를 풀면 됩니다.
차라리 이 기술이 열등하지만 강제해서 누군가가 뭔가 얻을게 있다는 식이면 머리로나마 이해하겠습니다.
이부분에 대한 명쾌한 해답이 궁금합니다.
왜, "강제" 해야합니까?
짜장님의 댓글
- 짜장님의 홈
- 전체게시물
- 아이디로 검색
58.♡.102.40 2010.03.30 21:02마지막으로 말씀드리지만 저는 인증서강제조항이 삭제되더라도, 액티브액스 기반이 아닌한 인증서를 여전히 신뢰할 예정입니다. 맥OS상에서 못쓰고 있을 뿐인거지요. 인증서를 혐오하는게 아님을 알아주셨으면 좋겠네요. "강제"를 혐오할 뿐입니다.
한방스팀팩님의 댓글
- 한방스팀팩님의 홈
- 전체게시물
- 아이디로 검색
121.♡.12.37 2010.03.30 22:01원 글쓴이가 돌을 던지라 했으니 가차없이 돌을 던져주마
향기님의 댓글
- 이름으로 검색
116.♡.187.205 2010.03.30 22:28한국에 엑티브X로 먹고사는 자들먼저 처단해야 없어집니다.
정말 쇼핑몰만 가도 액티브X 때문에 환장하겠습니다.
너무 불편해
성진홍님의 댓글
- 성진홍님의 홈
- 전체게시물
- 아이디로 검색
211.♡.95.115 2010.03.30 22:53멩멩칼님/
글 쓰신 분의 의도가 그겁니다.
SEED 방식을 탈피하자는 걸 초딩 수준으로 이야기하다보니 우회하게 되었다고 느꼈습니다.
물론 그것만 배웠고 표준에 대해서는 전혀 관심없이 자기개발안하고 밥벌이하시는 분들의 밥줄이 끊길 수도 있겠지요.
그런 분들의 밥줄은 제도가 안바뀌어도 당연히 언젠가는 끊깁니다.
제 주변의 개발자분들도 보면 자기개발 할 시간이 없다는 핑계로 표준얘기하면 코웃음치시는 분들이 대다수라서 잘 압니다만 개발자보다 디자이너들이 더 박봉에 집에 잘 못가니 핑계로 밖에 보이지 않습니다.
바꿔야 할게 있으면 나 혼자부터라도 바뀌어야 하는 겝니다.
대세 찾다가는 분명히 몇년이내에 뒤쳐집니다.
이미 디자인 시장의 결과가 보여주고 있지 않습니까.
무슨 말인지 궁금하시면 제가 몇년 전에 썼던 인디자인, 엠레이아웃 등 오에스 텐용 편집 소프트웨어레 익숙해져야 살아남는다는 글을 자유게시판에서 한번 찾아들 보시기 바랍니다.
두리네님의 댓글
- 두리네님의 홈
- 전체게시물
- 아이디로 검색
121.♡.82.179 2010.03.30 23:04저 초딩인데 이해 못하겠어요~
난 기본소양이 안돼있나보다.
짜장님의 댓글
- 짜장님의 홈
- 전체게시물
- 아이디로 검색
115.♡.86.252 2010.03.30 23:59두리네/ 아 초등학생분이신데 정작 이해를 못하시나버네요.. 최초 목표를 달성하지 못한 졸필이네요. 다음엔 이해하실수 있을만큼 쉽게 써보겠습니다
신하섭님의 댓글
- 신하섭님의 홈
- 전체게시물
- 아이디로 검색
218.♡.235.141 2010.03.31 00:05대체 이해 못하겠다는거 가지고 꼬투리 잡는사람은 뭔지. 하...진짜 한심하다.
몰다우님의 댓글
- 몰다우님의 홈
- 전체게시물
- 아이디로 검색
180.♡.34.244 2010.03.31 04:13시원하게 잘 읽었습니다.
장유진님의 댓글
- 장유진님의 홈
- 전체게시물
- 아이디로 검색
121.♡.186.83 2010.03.31 12:38좋은 글 잘 읽었습니다. 감사합니다.
길어야 할 글은 길어야 제맛이죠.
그래야 충분히 설득이 되구요.
장황하다는 느낌은 없는데요.
글 논리적으로 아주 잘 쓰셨습니다.
Fenrir님의 댓글
- Fenrir님의 홈
- 전체게시물
- 아이디로 검색
58.♡.140.84 2010.03.31 18:04ㅎㅎ 재밌네요.
저도 좀 다양성이 있고 선택의 여지가 있었으면 합니다. ^^
정우영님의 댓글
- 정우영님의 홈
- 전체게시물
- 아이디로 검색
119.♡.135.239 2010.04.01 09:12뭐든지 강제적으로 하게 하는것 조은것같지 않습니다. 폐쇄성을 불러오는것 같아요
실례로 우리나라의 인터넷 인프라는 상당히 폐쇄적이고 정체되 있지 않습니까?
물론 발전적인 분들이 많이 계시지만.. 전체를 놓고 봤을때 우리나라의 인터넷 인프라는 이제 점점 후진국 스러워지는것 같네요..
김길만님의 댓글
- 김길만님의 홈
- 전체게시물
- 아이디로 검색
210.♡.25.112 2010.04.01 12:04재미있게 잘 써주셨네요 ^^
잘 읽었습니다.
imnth2u님의 댓글
- imnth2u님의 홈
- 전체게시물
- 아이디로 검색
124.♡.38.17 2010.04.01 18:23공인인증서 비번은 딱 공인인증서에서만 쓰는 난 스마트유저. ㅎㅎㅎ
그렇다고, 공인인증서가 만능이라고는 생각하지않음.
하나 더 비밀번호를 넣는 것을~ 각 사이트 공통으로 쓰기위한 것외에는...
꿀꿀이님의 댓글
- 꿀꿀이님의 홈
- 전체게시물
- 아이디로 검색
96.♡.171.136 2010.04.02 05:44오픈웹에 올려진 글이 짜장님 글이었군요 ^^
잘 봤습니다.
파나님의 댓글
- 파나님의 홈
- 전체게시물
- 아이디로 검색
147.♡.1.2 2010.04.02 11:27잘 읽었습니다. 감사합니다.