일부 언론이 스마트폰에서 공인인증서 없이 인터넷뱅킹이 가능하게 될 것이라고 보도했으나 금융위원회가 사실무근이라고 해명했다. 금융위는 공인인증서를 포기할 수 없다고 해명자료를 냈다.
한국경제는 7일 온라인 판 기사에서 "앞으로 아이폰과 옴니아 등 스마트폰 이용자들도 인터넷뱅킹이나 전자상거래 결제를 자유롭게 이용할 수 있게 된다"면서 "정부가 전자금융거래 때 공인인증서를 의무적으로 사용하도록 하고 있는 규제를 없애고 다른 보안 프로그램을 통해서도 전자금융거래를 할 수 있도록 허용할 예정이기 때문"이라고 보도했다. 이 기사는 포털 사이트에 주요 기사로 올라오면서 수많은 스마트폰 사용자들을 설레게 했다.
한국경제는 "정부가 공인인증서만 보안 프로그램으로 인정하고 있는 현행 규제를 폐지하면, 액티브엑스 기능을 사용하지 못하는 스마트폰에서도 표준 웹브라우저에서 쉽게 다운 받을 수 있는 'SSL(Secure Socket Layer) 보안 서버 인증서' 등을 통해 전자금융거래를 할 수 있게 된다"면서 "행정안전부 금융위원회 등 관련 부처 간 논의를 거쳐 조만간 전자금융거래법 시행령을 개정할 예정"이라고 설명했다.
그런데 8일 아침 금융위가 해명자료를 내고 "금융위는 공인인증서 이외의 다른 보안 방법을 검토한 바 없으며 다만 마이크로소프트 이외의 운영체제를 사용하는 스마트폰 사용자들도 공인인증서를 사용할 수 있도록 이용기술 표준을 마련하고 있다"고 밝혔다. 금융위 기획조정관실 의사운영팀 관계자는 미디어오늘과 전화 통화에서 "공인인증서 보다 더 확실한 보안 방법이 있다면 모르겠지만 현재로서는 공인인증서를 대신할 방법이 없다"고 말했다.
금융위 관계자는 "인터넷뱅킹과 전자상거래 보안은 우리나라가 세계에서 가장 앞서 있다고 할 수 있다"면서 "굳이 외국 사례를 따라할 필요가 있는지 의문"이라고 밝혔다. 이 관계자는 "SSL 보안 서버 인증 방식에는 부인 방지 기능이 없어 본인이 거래를 안 했다고 주장하는 경우에는 이를 증명할 수가 없다"고 덧붙였다. 해외 사례가 어떻든 지금보다 보안 수준을 더 낮추는 쪽으로 갈 수는 없다는 이야기다.
이 관계자는 마이크로소프트가 아닌 다른 운영체제 사용자에 대한 배려는 없느냐는 질문에 "마이크로소프트 사용자가 90%를 크게 웃도는 상황에서 금융회사들이 공공기관이 아닌 이상 모든 운영체제를 지원할 수는 없는 일"이라고 밝혔다. 금융위가 보안 표준을 제시할 수 있는 것 아니냐는 질문에는 "금융위 소관은 아닌데 스마트폰 사용자가 늘어나면 은행들이 자체적으로 준비하지 않겠느냐"면서 "요청이 있으면 그때 검토하겠다"고 덧붙였다.
아이구 답답해라!
선택의 여지가 없어서 슬프네요.
참 우리나라 정부는 없고 대한민국 정부만 있군요.
SSL과 공인인증서는 그 쓰임이 다릅니다. SSL의 경우 1. 클라이언트(웹브라우져)와 서버간에 서로 통신하는 패킷을 암호화해서 중간에 누군가 캡춰한다고 해도 내용을 알 수 없게 하고, 둘째로는 웹브라우져가 통신하는 서버가 내가 실제 접근하고자 하는 그 서버가 맞는지를 '인증'하기 위함입니다.
이에 반해 공인인증서는 통신 패킷을 암호화 함과 동시에 서버를 인증하는 것에는 SSL과 다름이 없지만 여기에 하나 더 추가해서 실제 서버에 통지한 '나'라는 신분증명을 공인인증기관 (yessign같은) 에서 보장한다는 것이 골자입니다. 금융위가 이야기하는 '부인방지' 같은 내용이 이에 해당하는 것이죠.
근데 사실 이건 눈가리고 아웅입니다. 우리가 흔히 공인인증서라고 이야기하는 하는 '공인인증서 파일'도 충분히 유출이 가능하고 패스워드 카드 같은 것을 이용해서 두번세번 중복 인증을 하는 것도 '인증 과정을 복잡'하는 것일 뿐이지 금융거래 자체를 보안상 안전하게 해주는 것과는 본질적으로 무관합니다. 특히 '부인방지'라는게 온라인 상에서는 가능하지가 않습니다. 모든 데이터는 복제가 가능하니까 말이죠.
모든 보안 이슈를 완벽하게 차단한다는 것은 환상입니다. 온라인 보안은 보안을 무력하게 하는 공격이 들이는 비용과 그것을 막아내는 비용을 명확하게 인지하고 양자 가운데서 접점을 찾는 노력이 필요합니다. 계좌 내역을 확인하기 위해 128단계의 인증 과정을 거치도록 한다면 아마 지금보다 좀 더 안전한 거래를 할 수는 있을겁니다. 하지만 아무도 사용하지 않겠지요. 반대로 보안에 들이는 비용을 줄이고 최대한 간단한 인증, 즉 plain text으로 된 아이디와 비밀번호 인증만으로 계좌 이체를 가능하게 할 수도 있습니다. 이래도 문제가 되겠지요.
좀 두서가 없는데, 공인인증서와 관련된 오픈웹, 혹은 그것들을 둘러싼 논란은 '왜 인터넷 익스플로러에서만 되고 다른 플랫폼에서는 안되냐?'가 아니라 '금융거래시에 보안이 무력화됨으로 인해 발생하는 위험 비용과 그것을 방지하기 위한 비용간의 접점은 어디인가? 어느 정도로 타이트하게 보안 이슈를 감시하느냐?'여야 할 것 같습니다.
공인인증서는 꽤 괜찮은 보안 방어 수단입니다. (게다가 제한적이나마 본인 증명도 가능하고) 근데 이게 사용하기가 너무 번거롭지요. 또한 인증서가 파일로 저장되는 것의 문제도 있습니다. 개인적으로는 SSL + OTP의 조합이 공인인증서의 보안 수준을 충족시키면서도, 다양한 환경에서 손쉽게 사용할 수 있는 인증 수단이지 않나 생각합니다.
10%가 안되는 대상의 무시해도 된다는 발상 자체가 놀랍네요. 사실 무시라기보단 사용을 불가능하게 막아버리는 거지요.
인증서 방식 자체의 대단함을 자랑하고 있는데, 정작 activeX라는 기능을 이용함으로써 발생하는 보안 문제에 대한 지적에 대한 답은 없군요.
처음에 금융위가 공인인증서 의무화를 해제한다고 하기에 깜짝 놀랐습니다. 수정안도 아니고, 갑자기 폐지를 발표하는 건 말이 안 되잖아요
그나저나 나머지 10%는 고려 대상이 아니라는 말은 우리나라이기에 가능한 발상 같습니다. 그나마 다행으로 지원 의지가 충분한 금융권도 여럿 있으니 이렇게 표준안이 마련된 사실만으로도 희망적이네요
kirrie// 말씀하신 부분 중 '이에 반해 공인인증서는 통신 패킷을 암호화 함과 동시에 서버를 인증하는 것에는 SSL과 다름이 없지만 여기에 하나 더 추가해서 실제 서버에 통지한 '나'라는 신분증명을 공인인증기관 (yessign같은) 에서 보장한다는 것이 골자입니다. 금융위가 이야기하는 '부인방지' 같은 내용이 이에 해당하는 것이죠.'란 내용은 반만 맞고 반은 틀립니다. :)
금융위가 이야기하는 '부인 방지' 기능은
1. 거래 내역에 대한 해쉬값을 만들고,
2. 이 해쉬값을 공인인증서(비밀키)로 암호화합니다.
3. 2번 과정에서 나온 문자열을 원 거래내역에 덧붙여 전송
이런 식의 전자 서명을 의미합니다. EnigMail 등의 플러그인에서 내가 메일을 발송했다는 사실을 증명하기 위해 사용했던 방법이기도 하지요. ;)
대다수를 위해 소수는 희생해라...라는 논리는,
여전하군요...
그리고, 은행은 공공기관이 아니니 모든 운영체제 지원할 수 없는 거고, 표준도 없는 상황에서 사용자 늘면 은행이 알아서 할 일이라는 건, 배 째겠다는 표현이군요.
정말.. 어유...
정태영//아.. 저도 그런 의미였는데. ^^;; 그러니까 예를 들어 공인인증서를 사용해서 금융거래를 했을때 '해당 거래를 공인인증서를 발급받은 사람이 한 것이 맞다, 는 것을 보장한다.'는 의미인거죠?
액티브x를 금융거래에 필수화하면서 변명이 사용자 편의와 보안성이었습니다.
일단 이게 전혀 편리하지 않아요.
OS나 브라우저가 가는 방향이 사용자가 액티브x를 편리하게 설치하고 사용하기에 어렵습니다.
그리고 보안관련해서는 액티브엑스가 일정부분 도움이 될수있다고 조건반사적 액티브엑스 비판을 지양하자는 글을 보기도 했습니다만..
다른건 둘째치고 기왕 액티브엑스 계속 쓸거라면 프로그램 표준화 좀 해줬으면 좋겠네요.
한사이트에서도 서너개씩 들이밀고, 사이트마다 또 들이밀고..
멀쩡한 프로그램폴더 놔두고 시스템 폴더 안에 파일 쳐집어넣고, 글타고 깨끗하게 삭제되는 것도 아니고, 브라우저 종료해도 램상주하고..
좀 제대로 만들어서 하나로 통하게 했으면 합니다.
열악한 국내 소프트웨어 업계를 고려할때 어쩌고 하는 노망난 애국자수법은 천하무적이겠지만요..