인터넷 뱅킹
우리나라의 인터넷 뱅킹에는 상당히 많은 문제가 있다. 그 중 하나는 바로 은행마다 설치해 대는 사대마왕(ActiveX)이다. 비슷한 프로그램이 있으면 그 프로그램을 이용하면 좋을 텐데 은행마다 방화벽, 백신프로그램, 키보드 보안 프로그램을 따로 따로 설치한다. 얼핏 생각하면 꼭 필요한 프로그램으로 보인다. 물론 필요할 수도 있다. 그러나 기본적으로 이런 것들이 없어도 외국에서는 인터넷 뱅킹을 잘하고 있다. 문제는 이들 프로그램 모두 'ActiveX' 환경 아래서 동작한다. 따라서 '윈도, 인터넷 탐색기가 아니면 동작하지 않는다'.
<사진: 재벌의 수호자, 금융감독원>
금감원도 언론통제?
오늘 트위터 DM으로 쪽지가 배달됐다. 오픈웹에서 제기한 의혹에 관심을 가져달라는 트윗이었다. 오픈웹에 올라온 글을 읽어 보면 알 수 있지만 금융보안연구원은 지난 2월 해외 인터넷뱅킹 보안현황 조사 보고서를 발표했다. 그리고 그 전문을 오픈웹에 게시했다는 것이다. 그런데 금융보안연구원의 요청으로 이 전문을 내렸다고 한다.
최근 금융보안연구원에서 “해외 인터넷뱅킹 보안현황 조사보고서”를 발표하였습니다. 오픈웹에 게시되었던 보고서 전문은 금융보안연구원의 요청으로 내렸습니다. 정확한 fact를 널리 알리는 것이 모두를 위하여 도움이 된다고 생각하지만, 누군가 내리라고 했나보죠. ㅋㅋㅋ
보고서의 내용
이 보고서의 핵심 내용은 첫 페이지의 조사결과 요약에 그대로 드러난다.
(중략) 공통적인 특징으로는 모든 은행들이 SSL 암호화 통신을 지원하고 있으며, Internet Explorer 이외의 브라우저(Firefox 등)에 대한 호환성을 제공한다. 또한 대다수의 은행들이 인증 매체로서 OTP를 사용함으로써 인터넷 뱅킹 서비스의 보안을 강화하고 있다.
그리고 이 요약 아래 쪽에는 미국, 영국, 네덜란드, 호주, 싱가포르등 각 은행의 보안현황을 나열하고 있다. 보고서의 핵심적인 내용이 이미 요약에 포함되어 있기 때문에 따로 이야기할 필요도 없지만 외국의 대부분의 은행들이 SSL이라는 표준보안 프로토콜과 일반 브라우저를 이용한 인터넷 뱅킹을 허용하고 있다는 점이다. 또 표를 보면 일부 은행에서 백신이나 키보드 보안 프로그램을 제공하고 있지만 이를 강제하지 않는다는 것을 알 수 있다.
다음은 누군가 인터넷에 올린 보고서의 전문이다. 모든 내용을 다 볼 필요는 없으며 '1쪽의 개요'와 '31쪽의 시사점'만 읽어도 된다. 또 추가적으로 1~4까지의 표와 용어를 읽어 보는 것도 괜찮다. 다만 이 보고서는 구글 검색을 통해 찾은 것이다. 따라서 이 문서를 삭제하고 싶다면 문서를 올린 사람에게 요청하기 바란다.
침묵의 카르텔
우리나라의 인터넷 뱅킹에는 상당히 많은 문제가 있다. 그 중 하나는 바로 AcitveX를 사용해서 은행마다 설치해 대는 사대마왕이다. 비슷한 프로그램이 있으면 그 프로그램을 이용하면 좋을 텐데 은행마다 방화벽, 백신프로그램, 키보드 보안 프로그램을 따로 따로 설치한다. 얼핏 생각하면 꼭 필요한 프로그램으로 보인다. 물론 필요할 수도 있다. 그러나 기본적으로 이런 것들이 없어도 외국에서는 인터넷 뱅킹을 잘하고 있다. 문제는 이들 프로그램 모두 'ActiveX' 환경 아래서 동작한다. 따라서 '윈도, 인터넷 탐색기가 아니면 동작하지 않는다'.
ActiveX는 웹 브라우저가 시스템을 건드릴 수 있는 유일한 통로다. ActiveX로 프로그램을 설치하는 습관만 버려도 컴퓨터가 바이러스에 감염되는 것을 막을 수 있다. 윈도 XP 시절 부터 어떤 백신 프로그램이나 방화벽 프로그램, 키보드 보안 프로그램을 사용하지 않고 있다. 그러나 이 기간 중 바이러스에 감염된 적은 단 한차례도 없다. 가장 큰 이유는 시스템 보안에 커다란 헛점을 만드는 'ActiveX'를 아예 사용하지 않기 때문이다[1][2].
물론 바이러스에 감염되지 않는 것은 단지 ActiveX를 설치하지 않았기 때문만은 아니다. 그러나 한가지 확실한 것은 어떤 ActiveX든 설치하지 않으면 컴퓨터가 바이러스에 감염될 확률을 90% 이상 줄어든다. 따라서 ActiveX의 동작을 제어하게끔 설계된 비스타나 윈도 7은 XP에 비해 보안상 훨씬 안전하다. 이렇게 때문에 ActiveX를 이용해서 보안 프로그램을 설치하는 것을 두고 '세콤 달았다고 문을 다 부쉬냐'고 비아냥 거리는 것이다[3].
다음은 스마트폰 사용자를 위한 '안전 10계명'이라고 한다. 내용을 보면 알겠지만 스마트폰 사용자를 위한 10계명이 아니다. 윈도를 운영체제로 사용하는 사람, 아니 국내 금융권에서 설치해 대는 ActiveX로 파블로스의 개가 된 인터넷 탐색기 사용자를 위한 10계명이다. 처음에는 누가 올린 우스개로 알았다. 그런데 이 것은 "스마트폰 정보보호 민·관 합동대응반"에서 마련한 수칙이라고 한다.
스마트폰 안전사용 10계명
- 의심스러운 애플리케이션 다운로드하지 않기
- 신뢰할 수 없는 사이트 방문하지 않기
- 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기
- 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기
- 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기
- 이상증상이 지속될 경우 악성코드 감염여부 확인하기
- 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기
- PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기
- 스마트폰 플랫폼의 구조를 임의로 변경하지 않기
- 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기
여기에 이제는 스마트폰에도 사대마왕 설치를 강제할 것이라고 한다. 문제는 '국내에서 사용하고 있는 이런 보안 기술이 보안상 더 위험할 수 있다'는 점이다. 이 부분은 오픈웹의 “국내용” 보안 기술/정책의 실상라는 글을 읽어 보면 된다. 국내 보안업체들은 ActiveX를 이용한 보안 프로그램 설치를 강제하는 것이 도움이 된다고 강변하고 있다. 그러나 아니라는 것은 금융보안연구원의 보고서에도 나온다.
표준 보안 프로토콜을 이용하면 좋은 점이 많다. 먼저 금융권이 공동으로 스마트폰용 인터넷 뱅킹 플랫폼을 개발하는 쇼[4]를 할 필요가 없다. 보안 프로토콜을 이용하면 모든 운영체제, 모든 브라우저에서 금융거래가 가능해 진다. 물론 이렇게 되면 손해나는 사람들은 분명히 있다. 그렇기 때문에 침묵의 카르텔이 가능한 것이다.
- 다른 나라에서는 모두 지원하는 표준을 왜 우리나라만 지원하지 않을까?
- 다른 나라는 이런 사대마왕의 설치를 강제하지 않는다. 그런데 왜 우리는 강제할까?
- 해외 인터넷뱅킹 보안현황 조사 보고서와 같은 문건을 내리라고 하는 사람들은 누구일까?
- 왜 이런 사실이 뉴스에는 하나도 나오지 않을까?
- 사대마왕을 설치, 해킹되면 그 책임이 사용자에게 있다. 그런데 사용자의 선택권 마저 제한하며 이런 프로그램을 설치할까?
이 부분은 스마트폰 뱅킹, 제도적 카르텔 선결해이라는 글을 읽어 보기 바란다. 글의 내용과는 조금 다르지만 이익단체들이 '침묵의 카르텔'을 맺은 것이다. 이 침묵의 카르텔에는 침묵하는 언론도 포함되어 있다.
- 금융거래는 어떻게하는지 의문일 것이다. 간단하다. VMWare라는 소프트웨어로 가상 PC를 만들고 금융거래를 할 때는 이 가상 PC를 이용한다. 물론 불편하다. 그러나 훨씬 안전하다. ↩
- 윈도 7이라면 XPM을 사용해도 될 것 같다. 그러나 되지 않는 곳이 많다. 그 이유는 대부분의 보안 프로그램은 원격 데스크탑 환경에서는 동작하지 않기 때문이다. 여기에 VMWare에서는 동작하지 않는 보안 프로그램도 나왔다. ↩
- 단순히 ActiveX 문제 외에 금융권에서 설치하는 프로그램 문제는 상당히 많다. 그 중 키보드 보안 프로그램이 서로 키보드를 잡아내기 위해 벌이는 경주(Racing) 때문에 시스템이 죽거나 키 입력이 아주 느리게 되는 때도 많다. ↩
- 이것도 삽질이다. 누가나 갈 수 있는 넓은 고속도로가 있다. 그런데 고속도로를 막고 그 옆에 좁은 길을 만들면서 "누구나 편하게 갈 수 있다"고 한다면 믿을 사람이 누가 있을까? 삽질, 삽질해도 이런 삽질이 없다. ↩