잘못된 형식의 이미지 링크입니다.
짜증나는 보안프로그램 덕지덕지 설치, 공인인증서로 인한 프로그램
설치 불편한 국내 인터넷 뱅킹 문제는 언제 해결될까요?
긍정적 혹은 순조롭게 된다면 3~4년안에?
최악의 경우는 영원히 해결 불가능...
액티브엑스, EXE 설치 원인은 아시다시피 공인인증서(혹은 클라이언트 인증서)하고 보안프로그램 강제 설치입니다.
지금까지 문제가 해결되지 않는 것은 담당부처(금융위원회, 금융감독원), 국내 금융회사가 공인인증서 혹은 클라이언트 인증서 방식과 보안프로그램 강제 설치를 고집한다는 겁니다. 그리고 국내 보안업체도 그렇게 생각하고 있습니다.
다시 말씀드리자면 (그분들의 관점으로는) 인터넷 뱅킹 이용시 공인인증서, 보안프로그램 강제설치 보안성이 가장 좋다고 생각하고 있다는 겁니다. 덧붙히자면 국내보안업체도 그렇게 생각하고 있고요.
그분들의 기준과 생각으로는 공인인증서나 클라이언트 인증서 방식은 PKI가 어쩌니 하면서 가장 안전하고, 소비자의 PC는 보안이 취약하고, 보안프로그램이 설치 안되어 있거나 인터넷 뱅킹 이용시 키보드 보안프로그램 설치, 방화벽 설치, 해킹방지(?) 프로그램 설치.... 등등 설치해야 보안성이 좋다고 생각하고 있습니다. 설령 소비자 PC에 백신 프로그램과 방화벽 설치 되었다 하더라도 (그분들의 기준에는) 맞지않고, 보안프로그램 설치를 안한 소비자들을 구실로 공인인증서 혹은 클라이언트 인증서 방식, 보안프로그램 강제설치를 해야 한다고 생각하고 있습니다. 물론 클리앙에서도 그렇게 생각하시는 분들도 있고요.
인터넷 뱅킹 이용시 컴퓨터 속도저하, 안전성 저하, 리눅스, 맥 이용불가, 기타 문제등등 발생해도 (그분들)은 관심 없거나 보안을 위해서 어쩔수 없다, 그렇게 생각합니다. 그분들의 보안기준에서 말입니다.
그럼 이런 문제를 해결 하려고 어떤분들은 여러 해결 방안 내놓거나 생각합니다.
보안프로그램을 제대로 만들거나 보안프로그램 하나로 통일하면 해결 될꺼란 생각을 하시는데 그것은 매우 잘못된 오산입니다.
그렇게 욕을 먹고, 보안프로그램을 제대로 만들어도 지금은 문제가 없어야 하는데, 문제는 계속 발생하고 있습니다.
왜냐면 원인이 아니거나 문제의 핵심이 아니기 때문에 지금도 해당 문제가 계속 발생하고 있습니다.
인터넷 뱅킹 시 보안프로그램을 하나로 통일하는 생각도 어리석은 생각입니다.
오히려 보안이 취약하고, 보안프로그램 발전 저해, 독점시장 부여, 기타등등 온갖 문제가 추가로 발생하거나 문제가 해결되지 않습니다.
금융위원회, 금융감독원 말하지는 않지만 알아 보시면 인터넷 뱅킹 이용시 공인인증서 강제사용과 보안프로그램 강제설치 시작 및 원인을 일으켰다는 걸 알아주시길 바랍니다. 2015년도에 해당 규정은 폐지는 되었지만, 오랜 기간동안 사용하다보니 익숙해지고, 결정적으로 (그분들이) 생각이 바뀌지 않았습니다. 국내보안업체도 그렇고요.
공인인증서는 2002년 2월 인터넷 뱅킹 공인인증서 의무화
보안프로그램 강제 설치는 2005년도에 시행한 전자금융거래 보안 종합대책
답답한건 근본적이고 핵심적인 문제에 대해서는 안보고, 보도라도 해결 안하고, 엉뚱한 부분만 해결하려고 한다는 겁니다.
예전부터 지금까지도 계속 겉돌기만하고 있어요.
그래서 지금까지 문제가(설치, 호환성, 기타등등) 해결이 안되는 것이구요. 앞으로 해결되기가 어렵거나 안될거라고 생각합니다.
공인인증서 이용 및 보안프로그램 강제 설치 하려다보니 액티브엑스와 exe 프로그램이 필요합니다.
그렇다보니 한국에서만 엑티브엑스, exe 설치문제, 호환성 문제(맥, 리눅스 이용불가), 속도저하, 안전성 문제, 보안의식 왜곡 및 저하, 보안프로그램 중복설치 및 충돌 등등 온갖문제가 발생합니다.
외국에서는 인터넷 뱅킹 이용시 액티브엑스, exe 설치문제가 없습니다.
왜냐면 외국에서는 공인인증서 사용안하고, 소비자에게 보안프로그램 강제 설치 없기 때문입니다.
공인인증서를 사용하려면 액티브엑스, EXE 프로그램이 필요합니다. 왜 필요하냐면 운영체제, 웹브라우저에서 지원을 안하기 때문입니다.
왜 지원을 안하냐면 앞서 말씀드렸듯이 외국에서는 인터넷 뱅킹 이용시 공인인증서 같은 클라이언트 인증서를 사용 안합니다. 사용하더라도 극히 보기 드뭅니다. 그래서 운영체제, 웹브라우저에서 지원을 안하는 것이구요.
인터넷 뱅킹 이용시 공인인증서 없어도 OTP, SMS인증, ARS인증, 보안카드, 문답식 인증, 액세스카드 인증, chipTAN, 기타인증수단 등이 있어서 사용자 인증 하는데, 충분합니다.
TLS로 통신내용을 암호화 하고, 보안프로그램을 소비자가 자율적으로 설치하도록 하면서, 보안수칙 홍보등을 통해 사용자 보안의식 개선하도록 하고 있습니다.
수상한 거래가 있으면 해당 거래를 중지시키고 해킹으로 인해 이체 사고가 발생하면 은행이 배상해줍니다.
----------------------------------------------------------------------------------------------------------------------------
개인적으로 가상머신 및 스마트폰으로 인터넷뱅킹 이용하고 있으나 그래도 불편합니다.
별도로 가상머신 관리도 해야 하고, 인증서 발급, 갱신도 해야 하고, 설치하고 인터넷 뱅킹 하면 가상머신 체감 속도가 정말 느려요.
가끔씩 오류도 발생하고...
원래 사고가 나면 은행등 금융회사가 배상해야 해요.
그리고 공인인증서가 보안성이 지나치게 과대 평가 되어있습니다.
PC로 인터넷 뱅킹 이용시 공인인증서 단독으로 쓰는 것도 아니고 보안카드나 SMS인증, OTP 함께 이용하면서 공인인증서 보안성이 좋다고 평가하는건 문제가 있다고 봅니다.
말은 그렇긴한데.. 실제로 그럼 어떻게 바꿀꺼냐에 대해선 다들 무서워서 뒤로 빠질 수 밖에 없으니까요.
고양이 목에 방울달기...
지금은 과연 반성하고 있을까요? 아뇨... 민원 넣어보시면 아실꺼에요... ㅎㅎㅎ
지금은 욕 많이 먹고 절대 악 처럼 보일지 몰라도 처음 그게 만들어지던 시절엔 선진적인 방안이었어요.
2000년도 초반부터 우리나라 IT 서비스가 빠르게 발전할 수 있었던 기본 인프라 중 하나이기도 했었고요.
아직도 그렇게 그런 얘기하고 평가할정도면 국내 인터넷 뱅킹 담당하는 공무원과 관료의 태도가 어떤 모습일지 상상이 갑니다.
과거 상태를 유지하자라는 건 아닙니다.
다만 지금의 상태를 막 악마가 사악한 목적으로 재앙의 씨앗을 뿌린 것 처럼만 비하되는 건 좀 아니라고 생각합니다.
악한 사람들의 수법을 찾고 방어해가며 오랜동안 하나하나 쌓아올려진 결과물이거든요.
제가 보안 솔루션 담당해본적은 없고, 그냥 이전에 다니던 회사의 옆 사업팀 구경이나 하던 측이긴 합니다만
보안프로그램 기능들 하나하나가 괜히 만들어진 것들인것만은 아닙니다.
별별 크래킹 수법들과 사건들을 수집하고 분석해서 지금까지 축적되어온 거에요. 오랜동안.
그냥 은행들의 사리사욕 때문에.. 라고 비하될 것들만은 아닙니다.
그런데 외국은 보안에 보안프로그램 강제화 안하고 공인인증서 같은 기술은 안쓰는 걸까요?
“국가가 어떤 기술이나 방식을 의무화하는 순간 기술 발전은 중단되고 금융기관은 보안강화 노력에 더 투자하지 않게 된다. 정부가 보안에 대한 기술경쟁을 조장하고 이용자의 선택 폭이 커지면 보안 수준은 지금보다 더 많은 향상을 이룩할 수 있다.”브루스 슈나이어 영국 브리티시텔레콤 최고 보안 전문가가 한국 정부에 던진 따끔한 충고다.
또한 “성공적인 보안을 위해서는 암호학과 브라우저 등의 기술적인 면도 중요하지만, 궁극적으로는 이용자 보안 의식이 함께 연계됐을 때 더 완벽한 보안체계를 제공할 수 있다”고 이용자 보안 의식 강화 노력이 병행돼야 할 것임을 지적했다.
허준호 옥스포드대 연구원과 김형식 캠브리지대 연구원도 비슷한 견해를 밝혔다. 두 연구원은 지난 2월 옥스포드대에서 발표한 ‘한국 인터넷뱅킹 보안에 관하여’라는 논문을 영국의 권위 있는 인터넷뱅킹 보안 전문가인 캠브리지대 컴퓨터랩의 로스 앤더슨 교수와 공동 집필했다.
두 연구원은 이번 강연에서 한국 전자금융거래 보안의 기술적 특성을 분석하고 장·단점을 제시해 눈길을 끌었다. 두 연구원은 “두 연구원은 복잡한 기술이 보안을 보장하는 것이 아니며, 소프트웨어 인증서는 보안의 한계가 있고 안티 바이러스 프로그램은 멀웨어 탐지율이 20~40% 수준에 머물고 있을 뿐”이라고 기술적 보안 만능주의를 경계했다.
출처 - “한국 웹 환경, e뱅킹 보안에 매우 취약”블로터
http://www.bloter.net/archives/30213
-------------------------------------------------------------------------
국내 보안프로그램 제조업체, 국내 전자금융 담당 부처, 금융회사는 삐뚤어진 보안에 대한 생각과 의식을 고치길 바랍니다.
지금이야 추억을 되돌이키면서 이렇게 했었어야 한다, 저렇게 했었어야 한다 말하는 건 쉽죠.
하지만 그런 얘기들은 지나고나서야 과거를 돌이켜보니까 이게 옳았어.. 라는 시기으로 말할 수 있는 거에요.
웹 기반 시스템이란게 없던 Zero 베이스 시절에 인터넷 서비스의 보안유지 정책을 위한 첫번째 기초석을 어디에 어떻게 놓아야하는 지 정답을 아는 사람은 없었습니다. 오히려 2000년도 시절엔 한국이 IT 강국으로 빠르게 발전하면서 이런 부분들을 우리가 처음으로 개념잡아가며 시작한 것도 많습니다. 어떤 면에서 외국은 우리나라에서의 결과를 보고 판단했던 것들도 있고요.
보안프로그램 강제설치가 나쁘다고 하시는데,
초기 인터넷 브라우져들의 보안성이란건 지금 기준으로 봐선 걍 대놓고 문 열어놓은 금고같은 수준이었어요.
인터넷 브라우져를 믿고 보안상태를 유지하려 한다?? 그래도 되나? 싶었던 시절이 있었던 겁니다.
지금의 웹이나 인터넷 브라우져들의 보안성이란건...
오랜 기간동안 수 없이 오지랍하게 해커들에게 뚫려보면서 보완되어온 겁니다.
지금 웹이나 인터넷 브라우져들의 보안성과, 2000년도 시절의 그것들이 같은 수준이었다라고 생각하시면 안돼요.
그리고 체계 발달이란 건 방향성이 정해지면 그 위에서 붙어 성장하게되는 방향성이란게 있을 수 밖에 없어요.
마치 산호초의 성장이 처음 부착한 산호초 위에 다른 산호초들이 붙어 자라면서 점점 커지다가 섬의 모습이 되는 것 처럼요.
그런 것들을 깡그리 무시하고 한국은 왜.... 이런 식으로 비하할 것은 아닙니다.
그 이전에도 보안프로그램이나 액티브엑스 문제와 리눅스, 맥OS 인터넷 뱅킹 문제 발생도 있었고, 인터넷 뱅킹 불편한 문제점도 발생했었요. 그 땐 정부하고, 보안프로그램 업체, 은행은 뭐했죠? 아무것도 안했잖아요.
예전부터 지금까지 할결같이 공인인증서 사용 및 보안프로그램 강제 설치에만 고집하고 있었죠.
그런 얘기는 정부나 은행에서 변화하려고 시도하거나 노력하고 나서 하시면 긍정적으로 납득이 가겠지만, 결과적으로 그렇지 않기 때문에 조롱하시거나 과거의 잘못된 점을 합리화 시키는 의도에 불과합니다.
마지막 댓글을 보니 @scramble님의 본심이 나오는군요.
인터넷 뱅킹 이용시 보안프로그램 강제설치를 주장을 진작부터 하시지 그러셨어요.
그러니 얘기가 길어지잖아요.
보안 정책에 대한 개념설계나 체계 전환이란게 그리 쉽게 바뀌는 게 아닙니다.
물론 회사들 잇권도 얽힌 건 있죠. 하지만 보안 정책이란 건 단순히 스위치 하나 올리고 내리고 하는 게 아니라 이런 방식으로 해도 될까? 해보자.. 하다가 문제점 발견되고, 그거 보완하고, 조금 더 발전시켜보다가 문제점 발견되고, 또 보완하고 하는 식으로 오랜동안 성장해 온 겁니다.
보안 정책 훅 바꾸면 모든 게 괜찮아진다? 그런 거 절대 없어요. 창과 방패의 싸움입니다. 그리고 항상 창이 먼저 들어와 트러블이 난 다음에서야 빠진 부분들이 발견되는 게 보안이고요. 물론 개선되어야 한다는 부분들은 저도 엄청 많이 들었습니다. 그런데 전 오히려 걱정이 돼요. 정말 신중한 검토와 고민이 아니라.... 그냥 후다닥 ActiveX와 공인인증서 제거라는 성과만 달성하라는 푸쉬 때문에, 충분한 검토없는 섣부른 결정을 내리게 될까 봐서요.
본심이라고요?
님, 한번 C언어로 CGI 프로그래밍 해보신 적 있으세요?
CGI랑 HTML 더듬더듬 하면서 웹사이트 만들던 인터넷 태동 시기의 웹 보안성이란게 얼마나 초보적이었는지 아시면
왜 보안프로그램 강제설치란 분위기가 생겼는지 모르실 수 없습니다.
님이 지금 하는 얘기들은요....
웹브라우져들 보안성 엄청 개선되고, OS 보안 패치도 자동으로 착착 이뤄지는 지금 시기에서나 당연한 것 처럼 생각되는 겁니다.
한국 공인인증서와 ActiveX기반 보안프로그램들이 도입되던 시절의 인터넷과 OS 보안성이란건,
지금 시절이랑 비교하면 아예 보안성이란 게 없던거나 다름없던 시절입니다.
인터넷에서 자동으로 보안 패치가 다운로드되어 적용된다? 그 시절엔 그런 거 없었어요.
그런 허허벌판 황무지 상태에서 돈이 오가고 중요 정보를 웹으로 처리하기 위한 보안 인프라를 마련했었어야 합니다.
그게 그 시절의 상황이에요.
그렇죠 공인인증서나 안랩세이프, 엔프로텍트 같은 보안프로그램 문제점 발견하면 보완하고, 하지만 보완이 안되는 것은 어떻게 해서든지 보안이라는 핑계 대거나 고객이나 다른 보안 프로그램으로 탓을 돌리고, 억지 논리와 궤변을 늘어놓기도 하죠.
오늘이 2019년도 5월 3일이군요. 세월이 많이 흘렀군요.
문제를 진정 해결 할 사람은 해결하고 안할사람은 안하죠.
@scramble님의 댓글을 보니 어떤 생각을 가지신 분인지 알겠습니다.
부디, 님께서 어느 회사나 조직의 보안 정책을 결정할 일이 없기를 바랍니다.
그게 그 회사 사람들의 미래를 위해서도, 님의 미래를 위해서도 감당못할 큰 불행을 피하는 것일테니까요.
보안 정책 결정을 쉽게 생각하는 사람치고 ...
또한 국내 IT가 왜이런지 알 것같습니다.
IT 강국? 아직도 그런 소리하시는군요.
님은, 제로 베이스에서 뭔가를 개척해내는 걸 보거나 경험해보신 적이 없는 분 같네요.
누가 알려주는대로 정답을 따라가는 게 아닌,
아무도 해본 적 없는 상황에서 자신이 처음으로 정답을 찾아가며 개척해나가는 그런 경험요.
조금이라도 거들기 위해서 저도 옮겼어요.
참고로. pc 에서는 뱅킹 안씁니다. 포기..
인터넷 뱅킹 분위기가 거의 과독점 혹은 교착상태라 더 경쟁하면서 새로운 인증 및 거래방식이 나와야 하는데, 업계의 생각이 공인인증서(인증서 방식) 혹은 보안프로그램 강제설치를 해야 한다는 기존의 생각때문에 힘들것 같습니다.
제발 이런 프로그램 개발한 사람은 한번 실제로 써보고 개선이나 했으면 하는 생각 뿐입니다.
솔직히 이런거 다 깔고 나면 아무리 좋은 컴퓨터도 엉망이 되어버리는게 컴초보에게도 보일 정도인데.. 개발자 정도라면 이런게 아무렇지도 않은걸까요?
엔프로텍트나 안랩세이프트랜잭션 개발자는 애초에 그런거 관심 없을겁니다. 자기 본인 밥줄 밖에 생각 안할겁니다. 아니면 보안프로그램 강제 설치 해야한다고 삐뚤어진 생각하고 있겠죠.
언제 답답해서 민원관련해서 금감원 담당자분하고 통화해봤는데, 스마트폰에 보안프로그램 강제 설치 안하면 보안이 취약해진다고... 말한적이 있어요.
컴맹도 아닌데 급한데 이렇게 로그인 조차도 안될때면 정말 짜증이