무면허 운전자와 인터넷 뱅킹 by 도아
모든 차량에 자동 제동장치를 다는 IT 강국
혹시 기억할지 모르겠다. 모 은행의 인터넷 뱅킹이 해킹된 사건이 발생했다. 국내 은행 시스템을 생각하 보면 알 수 있지만 단순히 날라가는 패킷을 가로채서는 국내 은행망을 해킹하는 것은 불가능하다. 비밀 번호, 인증서 비밀번호, 보안 카드 비밀번호등 비밀 번호로만 3중으로 보호하기 때문이다. 그런데 해킹이 됐다. 그 이유는 그 사람의 컴퓨터에 키보드 입력을 잡아내는 키로거와 백도어(해킹 프로그램)가 설치되어 있었기 때문이다.
상황극
도아의 깨비뉴스
어제 저녁 종로에는 큰 사고가 있었습니다.
갑자기 질주하던 트랙이 가로수 10여채를 들이받고 탑골 공원으로 난입한 사건이 벌어졌습니다.
경찰에 따르면 운전자는 운전면해도 없는 것으로 밝혀졌으며 차량의 정비 상태는 아주 불량했다고 합니다.
운전자가 알고 운전한 것인지 아니면 모르고 한 것인지 모르겠지만 이 차의 브레이크는 파손되어 아예 브레이크가 듣지 않았다고 합니다.
사고 운전자는 탑골 골원을 들이 받은 충격으로 그 자리에서 사망했다고 합니다.이상 깨비뉴스의 도아였습니다.
조중동과 같은 신문 기사
결국 모든 차량에는 자동 제동장치를 달도록 의무화했다.
시민들
차에 강제로 장착된 자동 제동 장치 때문에 죽을 맛입니다.
차가 가다가 갑자기 서버립니다.
시동을 걸어도 걸리지 않습니다.
뒤에서는 섯다고 빵빵거리지. 완전히 죽을 맛입니다.더 웃긴 것은 자동 제동 장치가 제조사마다 서로 다릅니다.
그래서 어떤 차는 장애물에 반응하고 어떤 차는 수직 충격에 어떤 차는 수평 충격에 반응합니다.
그러니 앞 차가 보이면 멈추는 차.
턱을 넘으면 멈추는 차.
회전하면 멈추는 차.차가 이렇게 멈추는 덕에 미치고 환장할 지경입니다.
이 문제의 핵심은 '자동차 제조사에는 아무런 잘못이 없다'는 점이다. 사고는 면허도 없이 운전한 운전자, 차량을 전혀 정비하지 않은 운전자의 잘못이다. 그런데 이런 잘못을 차량 제조사에 떠 넘기고 그래서 자동 제동 장치를 강제로 달도록 했다면 어떤 일이 일어날까? 도로는 주차장이 된다. 그런데 실제 이런 일이 발생했다.
어디서?
대한민국에서. 그것도 항상 인터넷 강국이라고 떠들던 대한민국 인터넷에서.
모든 차량에 자동 제동장치를 다는 IT 강국
혹시 기억할지 모르겠다. 모 은행의 인터넷 뱅킹이 해킹된 사건이 발생했다. 국내 은행 시스템을 생각하 보면 알 수 있지만 단순히 날라가는 패킷을 가로채서는 국내 은행망을 해킹하는 것은 불가능하다. 비밀 번호, 인증서 비밀번호, 보안 카드 비밀번호등 비밀 번호로만 3중으로 보호하기 때문이다. 그런데 해킹이 됐다. 그 이유는 그 사람의 컴퓨터에 키보드 입력을 잡아내는 키로거와 백도어(해킹 프로그램)가 설치되어 있었기 때문이다.
국내 은행처럼 불편한 인터넷 뱅킹을 제공하는 나라는 없다. ActiveX가 없으면 아예 인터넷 뱅킹을 사용할 수도 없다. 또 각종 비밀 번호와 보안 인증으로 나이드신 분들은 사용하는 것 자체를 포기해야 할 정도로 복잡하다. 그런데 이런 시스템에서도 해킹이 가능했다. 그 이유는 컴퓨터를 사용하는 사람이 컴퓨터를 전혀 관리하지 않았기 때문이다. 자동차로 치면 무면허에 브레이크없는 차량을 몰고 거리를 질주하는 것과 같다. 자동차의 문제와 마찬가지로 이 부분은 금융 서비스를 제공한 금융권의 문제가 아니다. 일차적으로 중요한 컴퓨터에 쓸데없는 프로그램을 마구잡이로 설치해서 해킹당한 사용자의 문제다.
그러나 다음 날 뉴스 기사는 전혀 딴판이었다. 이 문제는 금융권에서 보안 장치를 충분히 하지 않았기 때문에 발생한 일이라고 모든 언론에서 금융권을 몰아 부쳤다. 그러면서 편 논리 중 하나가 "키보드 해킹 방지 프로그램만 있었어도 이런 해킹은 막을 수 있었다"는 것이다. 그리고 그 뒤 모든 금융권에서는 키보드 해킹 방지 프로그램을 강제로 설치하도록 바뀌었다.
컴퓨터를 먹통으로 만드는 해킹 방지 프로그램
그런데 은행 마다 서로 다른 키보드 해킹 방지 프로그램을 사용한다. 이렇다 보니 A은행에서 이체를 하고 B은행으로 가면 컴퓨터가 먹통이 된다. 아닐 것 같지만 사실이다. 키보드 해킹 방지 프로그램이 하나 이상 실행 중이면 서로 키보드 입력을 잡아내기 위해 경주(Racing)를 한다. 어느 한쪽이 먼저 키보드 입력을 잡으면 이 경주는 바로 끝나지만 한쪽이 잡지 못하면 무한 경쟁을 할 수도 있다.
실제 A 사이트에서 이체를 하고 B 사이트에 접속하면 키보드 입력이 심각하게 느려지는 것을 종종 경험할 수 있다. 바로 키보드 입력을 잡아내는 프로그램의 경주때문이다. 그런데 가끔 이런 프로그램이 무한 경쟁에 빠질 수도 있다. 이렇게 되면 마우스는 움직이는데 키보드 입력은 전혀 안된다. 또 시스템이 먹통이 된다. 어느 한쪽이 경주에서 이길 때까지 몇날 며칠이고 기다리면 언젠가는 정상적으로 돌아온다. 그러나 이렇게 기다릴 만큼 한가한 사람은 없다.
실제 금융권에서 키보드 해킹 프로그램을 깔아댄 뒤로 이런 현상 때문에 컴퓨터를 껐다 켠 적이 여러번 있다. 그리고 작업하던 모든 데이터를 날렸다. 그래서 지금은 아예 VMWare에 금융 거래용 가상 머신을 하나 만들어 두고 오로지 이 가상 머신만을 이용해서만 금융거래를 한다.
최소한 선택권을 보장하자
금융 거래에서는 개인의 역할과 은행의 역할이 따로 있다. 사용자 PC는 전적으로 사용자가 책임져야 한다. 사용자의 PC를 사용자가 책임지는 것이 아니라면 국가에서 해킹 방지 프로그램을 개발해서 전국민에게 배포해야 한다. 이렇게 하면 최소한 서로 다른 프로그램의 경주로 시스템이 얼어 버리는 현상은 막을 수 있기 때문이다. 한예로 비밀 번호를 보자. 이 비밀 번호를 실수로 다른 사람에게 알려 주었다면 지금까지 그 책임을 사용자에게 물어왔다. 똑 같다. 자신의 컴퓨터를 관리하지 못해 비밀 번호가 유출됐다면 이 책임 역시 사용자가 져야 한다. 금융권에서 이 책임을 질 이유는 전혀 없다. 그런데 문제는 이 책임을 금융권에 쒸운다. 그리고 모든 PC에 키보드 해킹 방지 프로그램을 설치한다. 여기에 정작 중요한 사용자의 선택권은 무시된다.
우리나라 금융권에서 금융거래를 하려고 하면 은행마다 적어도 4개 이상의 ActiveX를 설치한다. 따라서 5개의 은행을 이용한다면 20개 이상의 ActiveX가 설치된다. 여기에 각종 쇼핑 사이트, 관공서까지 포함시키면 정말 많은 ActiveX가 설치된다. 이렇게 설치된 ActiveX는 서로 충돌을 일으킨다. 따라서 어떨 때는 Internet Explorer가 얼어버린다. 이 정도는 애교다. 시스템이 얼어 버리는 때도 종종 있다. 시스템이 얼어서 날라간 데이타는 누가 책임지는가? 그러나 가장 큰 문제는 사용자가 ActiveX를 설치하지 않을 방법이 없다는 점이다.
- 인터넷 뱅킹 - 무조건 ActiveX를 설치해야 한다.
- 전자정부(정확히는 Microsoft의 정부[情婦, 情夫]) - 무조건 ActiveX를 설치해야 한다.
- 쇼핑몰 - 무조건 ActiveX를 설치해야 한다.
게임 사이트에서 ActiveX를 설치하는 것과는 다른 문제다. 게임은 하지 않아도 되지만 금융 거래는 하지 않을 수 없기 때문이다.
모든 사람들이 컴퓨터를 관리할 수 있는 것은 아니다
맞다. 그렇기 때문에 선택권을 보장하라는 것이다. ActiveX를 사용하는 현재의 인터넷 뱅킹과 ActiveX없이 HTTPS로만 동작하는 인터넷 뱅킹 중 하나를 사용자가 선택하고 그 책임 소재를 분명히 하면된다. 그런데 현재의 인터넷 뱅킹은 아예 선택권없다. 그래서 울며 겨자먹기로 어쩔 수 없이 금융권에서 깔아대는 바이러스같은 AcitveX를 설치해야 한다.
인터넷 강국?
빛좋은 개살구가 아닐까?