인터넷 뱅킹
우리나라의 인터넷 뱅킹에는 상당히 많은 문제가 있다. 그 중 하나는 바로 은행마다 설치해 대는 사대마왕(ActiveX)이다. 비슷한 프로그램이 있으면 그 프로그램을 이용하면 좋을 텐데 은행마다 방화벽, 백신프로그램, 키보드 보안 프로그램을 따로 따로 설치한다. 얼핏 생각하면 꼭 필요한 프로그램으로 보인다. 물론 필요할 수도 있다. 그러나 기본적으로 이런 것들이 없어도 외국에서는 인터넷 뱅킹을 잘하고 있다. 문제는 이들 프로그램 모두 'ActiveX' 환경 아래서 동작한다. 따라서 '윈도, 인터넷 탐색기가 아니면 동작하지 않는다'.
<사진: 재벌의 수호자, 금융감독원>
금감원도 언론통제?
오늘 트위터 DM으로 쪽지가 배달됐다. 오픈웹에서 제기한 의혹에 관심을 가져달라는 트윗이었다. 오픈웹에 올라온 글을 읽어 보면 알 수 있지만 금융보안연구원은 지난 2월 해외 인터넷뱅킹 보안현황 조사 보고서를 발표했다. 그리고 그 전문을 오픈웹에 게시했다는 것이다. 그런데 금융보안연구원의 요청으로 이 전문을 내렸다고 한다.
최근 금융보안연구원에서 “해외 인터넷뱅킹 보안현황 조사보고서”를 발표하였습니다. 오픈웹에 게시되었던 보고서 전문은 금융보안연구원의 요청으로 내렸습니다. 정확한 fact를 널리 알리는 것이 모두를 위하여 도움이 된다고 생각하지만, 누군가 내리라고 했나보죠. ㅋㅋㅋ
보고서의 내용
이 보고서의 핵심 내용은 첫 페이지의 조사결과 요약에 그대로 드러난다.
(중략) 공통적인 특징으로는 모든 은행들이 SSL 암호화 통신을 지원하고 있으며, Internet Explorer 이외의 브라우저(Firefox 등)에 대한 호환성을 제공한다. 또한 대다수의 은행들이 인증 매체로서 OTP를 사용함으로써 인터넷 뱅킹 서비스의 보안을 강화하고 있다.
그리고 이 요약 아래 쪽에는 미국, 영국, 네덜란드, 호주, 싱가포르등 각 은행의 보안현황을 나열하고 있다. 보고서의 핵심적인 내용이 이미 요약에 포함되어 있기 때문에 따로 이야기할 필요도 없지만 외국의 대부분의 은행들이 SSL이라는 표준보안 프로토콜과 일반 브라우저를 이용한 인터넷 뱅킹을 허용하고 있다는 점이다. 또 표를 보면 일부 은행에서 백신이나 키보드 보안 프로그램을 제공하고 있지만 이를 강제하지 않는다는 것을 알 수 있다.
다음은 누군가 인터넷에 올린 보고서의 전문이다. 모든 내용을 다 볼 필요는 없으며 '1쪽의 개요'와 '31쪽의 시사점'만 읽어도 된다. 또 추가적으로 1~4까지의 표와 용어를 읽어 보는 것도 괜찮다. 다만 이 보고서는 구글 검색을 통해 찾은 것이다. 따라서 이 문서를 삭제하고 싶다면 문서를 올린 사람에게 요청하기 바란다.
침묵의 카르텔
우리나라의 인터넷 뱅킹에는 상당히 많은 문제가 있다. 그 중 하나는 바로 AcitveX를 사용해서 은행마다 설치해 대는 사대마왕이다. 비슷한 프로그램이 있으면 그 프로그램을 이용하면 좋을 텐데 은행마다 방화벽, 백신프로그램, 키보드 보안 프로그램을 따로 따로 설치한다. 얼핏 생각하면 꼭 필요한 프로그램으로 보인다. 물론 필요할 수도 있다. 그러나 기본적으로 이런 것들이 없어도 외국에서는 인터넷 뱅킹을 잘하고 있다. 문제는 이들 프로그램 모두 'ActiveX' 환경 아래서 동작한다. 따라서 '윈도, 인터넷 탐색기가 아니면 동작하지 않는다'.
ActiveX는 웹 브라우저가 시스템을 건드릴 수 있는 유일한 통로다. ActiveX로 프로그램을 설치하는 습관만 버려도 컴퓨터가 바이러스에 감염되는 것을 막을 수 있다. 윈도 XP 시절 부터 어떤 백신 프로그램이나 방화벽 프로그램, 키보드 보안 프로그램을 사용하지 않고 있다. 그러나 이 기간 중 바이러스에 감염된 적은 단 한차례도 없다. 가장 큰 이유는 시스템 보안에 커다란 헛점을 만드는 'ActiveX'를 아예 사용하지 않기 때문이다[1][2].
물론 바이러스에 감염되지 않는 것은 단지 ActiveX를 설치하지 않았기 때문만은 아니다. 그러나 한가지 확실한 것은 어떤 ActiveX든 설치하지 않으면 컴퓨터가 바이러스에 감염될 확률을 90% 이상 줄어든다. 따라서 ActiveX의 동작을 제어하게끔 설계된 비스타나 윈도 7은 XP에 비해 보안상 훨씬 안전하다. 이렇게 때문에 ActiveX를 이용해서 보안 프로그램을 설치하는 것을 두고 '세콤 달았다고 문을 다 부쉬냐'고 비아냥 거리는 것이다[3].
다음은 스마트폰 사용자를 위한 '안전 10계명'이라고 한다. 내용을 보면 알겠지만 스마트폰 사용자를 위한 10계명이 아니다. 윈도를 운영체제로 사용하는 사람, 아니 국내 금융권에서 설치해 대는 ActiveX로 파블로스의 개가 된 인터넷 탐색기 사용자를 위한 10계명이다. 처음에는 누가 올린 우스개로 알았다. 그런데 이 것은 "스마트폰 정보보호 민·관 합동대응반"에서 마련한 수칙이라고 한다.
스마트폰 안전사용 10계명
- 의심스러운 애플리케이션 다운로드하지 않기
- 신뢰할 수 없는 사이트 방문하지 않기
- 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기
- 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기
- 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기
- 이상증상이 지속될 경우 악성코드 감염여부 확인하기
- 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기
- PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기
- 스마트폰 플랫폼의 구조를 임의로 변경하지 않기
- 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기
여기에 이제는 스마트폰에도 사대마왕 설치를 강제할 것이라고 한다. 문제는 '국내에서 사용하고 있는 이런 보안 기술이 보안상 더 위험할 수 있다'는 점이다. 이 부분은 오픈웹의 “국내용” 보안 기술/정책의 실상라는 글을 읽어 보면 된다. 국내 보안업체들은 ActiveX를 이용한 보안 프로그램 설치를 강제하는 것이 도움이 된다고 강변하고 있다. 그러나 아니라는 것은 금융보안연구원의 보고서에도 나온다.
표준 보안 프로토콜을 이용하면 좋은 점이 많다. 먼저 금융권이 공동으로 스마트폰용 인터넷 뱅킹 플랫폼을 개발하는 쇼[4]를 할 필요가 없다. 보안 프로토콜을 이용하면 모든 운영체제, 모든 브라우저에서 금융거래가 가능해 진다. 물론 이렇게 되면 손해나는 사람들은 분명히 있다. 그렇기 때문에 침묵의 카르텔이 가능한 것이다.
- 다른 나라에서는 모두 지원하는 표준을 왜 우리나라만 지원하지 않을까?
- 다른 나라는 이런 사대마왕의 설치를 강제하지 않는다. 그런데 왜 우리는 강제할까?
- 해외 인터넷뱅킹 보안현황 조사 보고서와 같은 문건을 내리라고 하는 사람들은 누구일까?
- 왜 이런 사실이 뉴스에는 하나도 나오지 않을까?
- 사대마왕을 설치, 해킹되면 그 책임이 사용자에게 있다. 그런데 사용자의 선택권 마저 제한하며 이런 프로그램을 설치할까?
이 부분은 스마트폰 뱅킹, 제도적 카르텔 선결해이라는 글을 읽어 보기 바란다. 글의 내용과는 조금 다르지만 이익단체들이 '침묵의 카르텔'을 맺은 것이다. 이 침묵의 카르텔에는 침묵하는 언론도 포함되어 있다.
- 금융거래는 어떻게하는지 의문일 것이다. 간단하다. VMWare라는 소프트웨어로 가상 PC를 만들고 금융거래를 할 때는 이 가상 PC를 이용한다. 물론 불편하다. 그러나 훨씬 안전하다. ↩
- 윈도 7이라면 XPM을 사용해도 될 것 같다. 그러나 되지 않는 곳이 많다. 그 이유는 대부분의 보안 프로그램은 원격 데스크탑 환경에서는 동작하지 않기 때문이다. 여기에 VMWare에서는 동작하지 않는 보안 프로그램도 나왔다. ↩
- 단순히 ActiveX 문제 외에 금융권에서 설치하는 프로그램 문제는 상당히 많다. 그 중 키보드 보안 프로그램이 서로 키보드를 잡아내기 위해 벌이는 경주(Racing) 때문에 시스템이 죽거나 키 입력이 아주 느리게 되는 때도 많다. ↩
- 이것도 삽질이다. 누가나 갈 수 있는 넓은 고속도로가 있다. 그런데 고속도로를 막고 그 옆에 좁은 길을 만들면서 "누구나 편하게 갈 수 있다"고 한다면 믿을 사람이 누가 있을까? 삽질, 삽질해도 이런 삽질이 없다. ↩
Trackback
Trackback Address :: https://offree.net/trackback/3075
-
Subject : 2010년 2월 해외 인터넷뱅킹 보안현황 조사 보고서
Tracked from temporary CUBE 2010/03/06 01:44 del.오픈뱅크 배너를 단 입장에서 물지 않을 수 없는 떡밥이다. 스로 군이 처음 발견한 곳은 바로 아무개 님의 블로그 오호, 통재라. 이것은 그간 한국이 얼마나 우물안 개구리인지 알게 해주는 자?
Comments
-
푸른가을 2010/03/05 15:10
저희 아버님이 인터넷뱅킹하시면서 하신 말씀이 생각납니다... 뭐 이런 쓸데없는 걸 잔뜩 깔게 시키냐고 귀찮아 죽겠다고.. 들어갈 때마다 실행되는 이유를 모르겠다고 하시던....
제발 좀 ActiveX 없는 세상에서 살면 좋을텐데요... -
雨Beer 2010/03/05 16:12
정말 ActiveX 빨리 없어져야 할텐데요 MS도 포기한 녀석을 계속 잡고있고 피유
은행권도 은행권이지만 정부 사이트들도 어떻게 안되려나 전자정부란 녀석부터 쓰고있으니....
좋은 글 잘 읽었습니다. -
-
-
Q P 2010/03/05 23:48
시티은행 방식 참 마음에 드네요. 저비용에 간단하면서도 가장 안전한..
근데 미국 시티는 저렇게 합리적으로 하는데 저게 한국에 들어오면 똑같아지는군요. 이 참에 주거래 은행을 바꿀까 하고 한번 접속해보니 ActiveX 깔으라고 난리치네요. 로컬리제이션이 안 됐으면 차라리 나았을텐데 말이죠.
p.s. 파블로프 오타났습니다. -
알란 2010/03/06 00:09
정말 인터넷뱅킹 하다보면 도무지 nProtect가 하는일이 뭐가 있는지를 모르겠을때가 많아요. 무슨 암호화처리를 해서 받는쪽과 보내는쪽에서 서로 암호화된 내용이 일치할때만 다음 단계가 진행되는 그런방식이겠거니라고 처음엔 생각했었는데 아무리봐도 그저 키보드 체크만 하는 어줍잖은 백신프로그램밖엔 안된다는 느낌이네요. 제발좀 없어져 버렸으면 좋겠어요. 느리기는 또 어찌나 느린지.. 그래도 이따위 프로그램이 정부에서 발표하는 무슨 순위에는 거의 최상위권이죠? 에휴....
-
윈드™ 2010/03/06 08:14
주거래 은행인 국민은행에 접속해서 보안모듈을 설치하는 화면입니다.
사실 보안이라지만, 구멍만 더 만들어 주는 결과죠..
가상머신에 설치해서 그나마 안심입니다. http://twitpic.com/11vrbl -
kurtni 2010/03/06 08:52
항상 좋은 글 감사하게 읽고 있습니다.
액티브엑스든 뭐든 사용자가 선택할 수 있게 해야하는데, 강제하는게 참 웃기는 일이죠.
전 정말 액티브엑스 깔기 싫은데, 익스플러로를 써라, 액티브엑스 깔아라하는 사이트가 어찌나 많은지..
개인적으로는 vhd에 사용하는 프로그램만 설치하고 매일아침 초기화하며 컴퓨터 사용중입니다.
개인, 소비자 중심적인 인터넷 환경에서 살고싶어요~ -
넓은바다 2010/03/06 09:08
그레서 전 아에 사용을 안한답니다.
차라리 헨드폰 폰 밴킹을 이용하지요.
보안 모듈도 실고....
참 그리고 제가 미국에서 사용하는 은행은 아무 엑티브엑스 프로그램 없이 은행을 인터넷 상으로 사용하죠.
근데 인터넷 은행 업무라는것이 한국보다는 다양하지 않습니다.
개인수표나 카드를 많이 사용하게 되어 은행일을 인터넷으로 보는건 고작 장고확인뿐입니다. -
-
버닝 2010/03/06 13:00
증권금융전문 SI사에서 근무하고 있습니다만,
지금까지 제 평생 단 한차례도 인터넷뱅킹으로 거래를 하지 않았습니다.(계좌조회 이외에는..)
참고로 이번에 금융결제원에서 은행권 공통 스마트폰 뱅킹 시스템을 구축하는데
이제 막 업체선정이 끝났다는군요 개발은 안드로이드와 아이폰 지원..(WM은 ㅈ to The ㅁ)
관심있는 분은 여기서 무슨 프로세스를 선택할지에 대해서 주목하는게 좋을듯 합니다. -
uhpooh 2010/03/06 16:45
비단 인터넷뱅킹 뿐이겠습니까.
액티브x없이 쇼핑해보는게 별거아닌 바람입니다.
해외에서 쇼핑하다가 국내에서 쇼핑을 하면 참 시끄럽다(?)는 느낌입니다. -
썰렁맨 2010/03/06 22:53
이럴 줄 알고 한 건 아니지만 저도 보고서 올라왔을 때 내려받아 놓았습니다. 게시했다 내린다고 진실이 어디 가지는 않죠. 몇몇 쓰레기 ㅅㄲ들 때문에 온 국민이 피해를 보네요. 씁쓸합니다.
-
진아랑 2010/03/07 12:46
높으신 분들을 볼때마다 느끼는 것이지만, 미실의 피지배계급에 대한 생각을 아직도 가지고 계신거 같네요. 그 대갈통속에...
백성은 어리석고 무지하며 지배당해야만 하는 자 -
Shartia 2010/03/08 15:21
MS도 포기한 녀석을 국내에서는 왜 그렇게까지 고집하는 것인지 정말 이유를 모르겠네요.
그러면서도 보안 운운하는 것 보면 참... 기가 찰 노릇입니다.
ActiveX가 하루빨리 이 땅에서 사라졌으면 하는 바램입니다.
그리고 개인적으로 nProtect를 개발한 잉카는 망했으면 좋겠네요.
과거 쓰레기들끼리 충돌 일으켜서 컴이 다운됬던 경험이 한두번이 아니었습니다. -
-
Facebook