2010년 3월 31일

인터넷 금융거래 시 공인인증서 규제 완화 소식

관련 글: 한국적 공인인증서 시스템의 변화를 위해

오늘(3/31), 인터넷 금융거래 시 공인인증서 외의 다른 방법도 사용토록 하겠다는 발표가 있었습니다. 더불어, 스마트폰에서 소액결제 시 공인인증서 없이 결제가 가능토록 하겠다는 내용도 포함되어 있습니다.

방통위 보도자료
관련기사1, 관련기사2

지금까지 이 문제의 해결을 위해 투입한 노력에 비해서는 그다지 만족스럽지 않지만, 현재 스마트폰에서의 결제 문제가 일부라도 해결될 수 있는 가능성이 열려서 그나마 다행으로 생각합니다.

하지만 문제는 여전히 금융위(금감원의 상위 기관)가 기술을 판단하고 은행이나 카드사들이 눈치를 보는 상황에서 과연 선택적인 기술들이 얼마나 도입될 수 있을까 하는 점입니다.

명백한 사실은 이 문제에 대해 금융위, 행안부 측은 여론에 밀린 것일 뿐 여전히 과거의 방식에 대한 강한 믿음(?)을 갖고 있다는 것입니다(몇 차례 회의를 하면서 뚜렷하게 느낀 점입니다). 그러므로 이에 대한 관심이 희미해지면 또 어떻게 이상한 방향으로 진행이 될 지 알 수가 없습니다.

즉, 현재 상황은 규제가 완전히 풀린 게 아니고 조금 완화된 수준일 뿐이므로 계속 관심을 가져 주십시오. 함께 지켜보면서 올바른 방향을 찾아갈 수 있도록 의견을 개진하고 행동해야 하겠습니다.

2010년 3월 17일

제가 좋아하는 격언 두 개, 그리고 삶의 튜닝


1. 확실한 차선보다는 불확실한 최선. (출처: 아버지, 원 출처는 미상)

2. 게으름이 없는 곳에 행복은 없고, 무용한 것만이 만족을 가져다 준다. (안톤 체홉)


완전히 다른 느낌의 두 격언. 어차피 인생은 아이러니한 게 아니겠어요.

어쩔 때는 1번의 느낌으로 살고, 어쩔 때는 2번의 느낌으로 살아요. 1번의 삶은 특별한 성취를 하게 해주죠. 그런데 솔직히 고백하자면, 2번의 삶이 더 행복한 게 사실이더라고요. (역시 체홉님의 통찰력~)

전 지속적으로 삶의 방향성을 튜닝하는데요. 당분간은 1번 70%, 2번 30%. (아, 2번 수치를 높이고 싶어라~)

무언가 더 얻고 싶거나, 아님 더 행복하고 싶으면, 위의 수치를 조절해야죠.

분명한 사실은… 무언가 강렬한 목표를 지향하는 것도 아니고, 게으름을 피면서 행복한 것도 아닌 어정쩡한 상태는 사양. 예컨대, 비인간적인 조직이나 나쁜 상사에게 쪽쪽 빨리면서 얻는 것도 없고 행복하지도 못한 삶 말에요. (일부러 싼티나게 썼어요. 확 와 닿을 수 있게요.)

전 최선과 게으름의 절묘한 조화를 추구해요. 그 황금비를 찾을 때 인생이 완성될 거 같아요. 남이 어찌 생각하든 그냥 제 스스로의 완성 말이에요.

여러분도 자신만의 공식을 찾아서 결국 행복하세요~

2010년 3월 15일

한국적 공인인증서 시스템의 변화를 위해

ZDNET 칼럼 본문 링크

자세한 주장은 칼럼에 나와 있으니, 먼저 칼럼을 읽어 보신 후에 이 글을 읽으시면 좋겠습니다. 지면 관계상 칼럼에서 못한 말을 블로그에서 하려고 합니다.

이 주제를 얘기함에 있어 오픈웹 사이트를 언급하지 않을 수 없습니다. 오픈웹 사이트의 운영자인 김기창 교수님께서는 수년 째 오픈웹 운동을 지속적으로 해오고 계신데, 그 집념이 참으로 대단하십니다.

그런데 지금까지 암울하기만 하던 이 문제가 스마트폰(특히 아이폰)을 계기로 그 어느 때보다도 해결의 가능성이 높아 보이는 상황입니다. 그렇다고 해도 50% 이상이라고 할 수는 없습니다만..

이 문제의 해결에 조금이나마 힘을 보태고자 해당 글을 쓰게 되었습니다. 최근에 일부 사람들이 김기창 교수님의 노력을 곡해하는 모습도 보이나, 수년째 한 주제에 매달려 많은 희생을 치르고 있는 분께 그래서는 안 된다고 봅니다.

이에 제가 돕고 있는 기업호민관실에 이 문제를 상정하여 현재 본격적으로 이 문제의 해결을 위해 함께 노력하고 있습니다. 기술적으로는 제가 CISSP이고 CISSP협회의 연구이사로도 활동한 바 있으나, 보다 심도 깊은 내용은 경험이 풍부한 업계 전문가들의 도움을 받고 있습니다.

안타깝게도 진행 과정에 대한 자세한 사항은 공개적으로 말씀 드릴 수가 없습니다. 여러 정부기관들의 이해관계로 인해 일정 시점까지 외부에는 비공개로 진행할 것을 요청 받았기 때문입니다(일부 언론에서 정보를 입수하여 공개하기는 했습니다만).

칼럼에서 언급된 금융보안연구원의 “해외 인터넷뱅킹 보안현황 조사 보고서”는 오픈웹(Open Web)에서 잠시 공개된 적이 있는데 지금은 삭제된 상태입니다(관련 포스트). 이에 해외 사이트에 올라와 있는 링크를 알려 드리니 관심이 있는 분들은 직접 읽어보시기 바랍니다.

금융보안연구원의 “해외 인터넷뱅킹 보안현황 조사 보고서” 전문 (업데이트: 안타깝게도 본 포스트가 공개된 지 수 시간 만에 금융보안연구원측이 Slideshare에 올라와 있는 파일을 삭제했습니다. 하단 PS2 참고하세요.)

이 문제의 해결에 동의를 하시거나 여타 의견이 있으신 분은 본 포스트에 덧글을 남겨 주시거나, 트위터의 제 계정 @Bobbyryu 또는 기업호민관실 계정 @Korea_Ombudsman 에 멘션으로 글을 남겨 주시기 바랍니다.

여러분께서 도와주지 않으시면 C안이 되어 버릴 수 있습니다. 이 문제는 이용자로서 개인에게 미치는 영향은 물론이거니와, 업계 전반에도 미치는 영향이 상당합니다. 최소한 대안 기술들이 제대로 검토라도 될 수 있도록 관심을 가져주십시오.

PS1: 현재 저는 이 문제에 있어서 업계에 아무런 이해관계가 없으며 일개 발룬티어일 뿐입니다. 다만 1990년대 후반 액티브엑스 기술의 보급에 조금 일조한 부분이 있어 책임감을 조금 느낍니다.

PS2: 금융보안연구원에서 하단과 같은 메일을 보내왔습니다. 그리고 제가 어떤 조치를 취하기도 전에 알아서 신속하게 파일을 삭제했습니다. 이미 파일을 다운로드 받으신 분들께서는 해외 사이트에 파일을 올리신 후 덧글을 통해 링크를 공유해주시기 바랍니다. 좀 더 많은 분들이 봤으면 싶네요.

안녕하십니까? 금융보안연구원입니다.

류한석님께서 현재 운영하시는 블로그(http://bobbyryu.blogspot.com/2010/03/blog-post.html) 에 게시된 "해외 인터넷뱅킹 보안현황 조사 보고서(2010.2)"는 금융보안연구원 회원사(135개사) 대상으로만 배포한 비공개용 자료입니다.

죄송합니다만, 해당 블로그에서 본 보고서를 삭제하여 주시기 바랍니다.

감사합니다.

PS3: 금융보안연구원에서 또 메일이 왔습니다. 하단의 내용을 참고하시고요. 사이트에 요청해서 삭제를 했든 파일을 올린 이(제가 아니라 다른 분임)에게 요청해서 삭제를 했든 결국 삭제를 한 것인데, 어쨌든 오해가 없도록 그대로 알려 드립니다. (제 이름은 오타네요)

안녕하세요, 금융보안연구원입니다.

조금전에 메일을 드리고, 다시 사이트를 방문했다가 아래와 같은 내용을 확인하고 사실과 다른 내용이 있어 다시 메일을 드립니다.

---------------------------------------------------
금융보안연구원의 “해외 인터넷뱅킹 보안현황 조사 보고서” 전문 (업데이트: 안타깝게도 본 포스트가 공개된 지 수 시간 만에 금융보안연구원측이 Slideshare에 올라있는 파일을 삭제했습니다. 하단 PS2 참고하세요.)
---------------------------------------------------

- 언급하신 Slideshare에 올라있는 파일은 류현석님께 드린 내용과 동일하게 해당 파일을 올리신 분께 메일로 요청을 드렸고, 이에 바로 삭제하시겠다는 답장을 보내주신 후 바로 처리해주셨습니다.

상기 내용에 대해 추가적으로 궁금하신 내용이 있으시면 언제든 연락주십시요..

감사합니다.

PS4: 제가 트위터에서 트윗 남길 때 해시태그를 썼어야 하는데 깜빡했네요. 이 글과 관련된 트윗과 RT된 글은 여기를 참고하세요.

PS5: 3/22 전자신문사에서 저희측(저, 김기창 교수님)과 행안부측이 토론회를 했습니다. 그런데 행안부측 왈, 한국적 공인인증서시스템이 스마트폰 산업, 미래 산업의 발전을 가로막은 측면이 전혀 없으며 말도 되지 않는다고 합니다. 이것을 어느 정도 인정해야 변화를 할 텐데, 정말 안타깝군요. 기본적인 문제 의식에 대한 동의가 안 되니 토론이 참 힘들었습니다.

PS6: 익명으로 덧글을 남겨주신 분이 계신데, 알고 계신 상세한 사항을 적어 주셨습니다. 깊숙히 알고 계신 것으로 보아, 해당 업무에 직간접적으로 관련이 있으신 분으로 추정됩니다. 특히 스마트폰 관련 사항은 중요한 내용이라서 본문으로 옮겨 놓습니다. 하단의 글을 보시고요. 혹시 이와 관련된 의견이 있으신 분은 덧글 남겨 주십시오.

4월부터 금융결제원에서 제공하는 스마트폰용 공인인증서 모듈의 구성은 기존 PC에서의 ActiveX 모듈의 구성과 동일합니다. 즉, 개인키 및 공인인증서는 파일 형태로 스마트폰에 그대로 저장되고, 암복호화 모듈은 스마트폰 CPU를 그대로 사용하고, 브라우저는 전용브라우저를 사용합니다.

따라서, 기존 PC에서 발생했던 단말 해킹에 의한 공인인증서 유출문제, 암복호화처리시 CPU 및 메모리 해킹에 의한 문제, SSL 미지원에 따른 표준 브라우저 미지원 문제가 그대로 방치되고 있습니다.

결제원이 공인인증서 사용을 위한 표준 기술을 수용하지 못하고, 자체 인력으로 무리하게 개발을 추진해서 연동하는 과정이며, 이렇게 개발한 모듈로 16개 은행에 일방적으로 적용시켜서 우선 스마트폰에서 서비스만 오픈시키려는 것입니다.

다른 관점에서 본다면 이번 결제원의 시도는 6개 공인인증기관 중 문제가 심각한 옛날 기술을 그대로 반영해서 서비스만 오픈해서 비난을 피해보자는 결제원 독자적인 무모한 노력이라고 해석(왜냐하면 금융감독원의 키보드 보안, 안티바이러스 등 6개 요구사항 마저 생략하고 단독 오픈하기 때문)됩니다.

이러한 시도를 밀어부처서 대략 인정받게 되면 나머지 5개 공인인증기관도 똑같은 시도를 하거나, 결제원의 현 모듈을 공유하고 자사의 개인키, 공인인증서 및 기관 공인인증서를 이 모듈에 Override 해서 서비스를 제공하려 할 것입니다.

이런 상황이 되면, 스마트폰 환경마저도 보안이 취약했던 PC 환경과 똑같은 취약점을 보유한 채로 방치되게 됩니다.

결과는 스마트폰에서는 표준 웹브라우저를 이용한 인터넷뱅킹은 아예 사라지고, IE 의 ActiveX 마저도 사용하지 않는 이상한 인터넷 뱅킹과 전자서명 제도를 사용하게 되는 기이한 상황에 처하게 될 것입니다.

PS7: 인터넷 금융거래 시 공인인증서 규제 완화 소식을 참고하세요.

2010년 3월 9일

아크몬드님의 Windows 7 도서

윈도우 7 무작정 따라하기
고경희. 박광수 지음/길벗

아크몬드의 비스타블로그를 운영하시는 아크몬드님이 이번에 ‘윈도우 7 무작정 따라하기’라는 책을 출간하셨습니다. 아크몬드님과는 한 3년 전 비스타가 막 출시되었던 시절에(또는 출시 전일 수도 있음. 기억이 가물가물), 제가 우연히 블로그를 발견하고 열성에 감복해서 마이크로소프트에 MVP로 추천했던 인연이 있죠.

이번에 책을 냈다고 한 권 보내주셨더군요. 책 컨셉상 파워유저를 위한 책은 아니고요. 주변에 Windows 7를 이용하는 일반유저가 있을 경우 보라고 권할 만한 책이더군요. Windows 7에는 잘 안 알려진 여러 기능들이 많이 있기 때문에, 한번 읽어봐 두면 기본 기능만 쓰던 OS를 좀 더 생산적으로 활용할 수 있을 거라고 생각합니다.

일반유저에게는 분명히 도움이 될 듯하여, 제가 받은 책은 누나나 여자친구에게 주려고 합니다.

하여튼, 아크몬드님, 책 출간을 축하 합니다!