최근에 보안과 관련해서 많은 논의가 전문지식을 가지신 분들 사이에서 진행되고 있는데, 저도 불현듯 한 말씀 드리고 싶어서 이렇
게 글을 씁니다. 제가 가진 지식은:
SSL이 tcpip protocol을 통해서 흐르는 정보를 암호화하는 것, 이것이 여타의 나라에서는 거의 유사 표준이 되어서 활
용되고 있다는 것 정도입니다. 구체적으로 이것이 어떻게 구현되고 이런 과정에서 무엇이 취약점이고 무엇이 단점으로 나타나는지는 문
외입니다. 또한, (본인)인증과정은 PGP와 같은 원리로 public key와 private key 와 같은 것들이 이용되어 사
용자 자신에게 문서나 정보가 보내진 것을 확인하는 것 정도로 알고 있습니다. 이 둘을 이용하여, 보안과 인증 작업이 이루어지게
된다는 정도입니다.
우리나라의 경우 브라우저가 ssl방식을 광범위하게 적용하기 전에 보안에 관한 필요성을 느끼고 이를 구현하는 과정에서
ActiveX를 사용했다는 것, 이것이 ActiveX라는 기술을 차용하게 되는 시발이 되었다는 정도로 이해하고 있습니다,
ActiveX가 ssl과 pgp와 같은 인증역할을 하게 되었다는 것 정도로요. 그리고, ActiveX를 통해서 보안이 완비된 상
거래가 활성화되는 과정에서, 국제적으로 표준화가 되어버리다시피 한 ssl에 주의를 줄 수 없었고, 이는 현실적으로 MS사의 특
정 테크놀로지에 종속되어 상거래를 할 수밖에 없는 상황을 초래했다는 것 정도가 ActiveX에 대한 저의 이해입니다.
이 과정에서 -- 다른 현상에서도 자주 보여지듯이 -- 정부가 많은 공헌을 했다는 것 또한 제 이해의 한 부분입니다.
이정도의 지식을 가지고도 youknowit님이 추구하시는 것이 무엇인지 이해가 되어 처음 소송에 참여했습니다. 그리고, 가끔
openweb.or.kr을 방문하였지만 구체적으로 어떻게 진행되는지 정확하게 파악을 하지 못하여, 그냥 "잘되고 있겠지" 하면
서 세월을 보냈고요.
여기에서 전문지식을 가지신 분들이 (openweb을 옹호하시는 분들이나, openweb의 방법론에 회의적이신 분들이나) 최근에
주고 받으시는 글들을 읽으면서 잠시 생각해 보았습니다.
이 세상에 컴퓨터를 사용해서 거래행위를 하는 사람들이 OpenWeb에 동참하게 된 것이 이분들이 주고받으시는 내용에 대해서 모
두 알고 있기 때문은 아닐거라고 생각했습니다. 더욱이, OpenWeb의 본질은 현재 논의가 되고 있는 어느 방법이 더 보안이 강
하는냐에 대한 것이 아니라고 생각했습니다. 그래서, 제가 개인적으로 왜 OpenWeb을 지지하고, 현재도 지지하는가에 대해서 정
리해 보고 싶었습니다.
그리고, 평범한 컴퓨터 사용자로서 가장 중요했던것은 정보에 대한 "보편적인 접근과 사용"이었다고 생각했습니다. 이외에
ActiveX가 보안에 취약해서라든가 ssl의 보안도 mitm(man in the middle)방법으로 취약해질 수 있다던가 하
는 문제는 거의 상관이 없었단 말입니다.
그냥, 맥컴퓨터로도 리눅스 컴퓨터로도 내 주거래 은행에 접속해서 잔고 파악하고, 전송하고 할 수 있어야 한다고 생각했기 때문입니
다 (저도 주로 windows를 씁니다). 그리고, 이런 보편성이 사회에 이롭게 작용한다고 믿었기 때문입니다.
대학생들이 대학에 들어와서 visual C++만을 배우고, 이 지식이나 기술만이 사용되는 곳에 취직할 생각만 하게 되는 상황이
싫었습니다. 좀더 보편적인 논리와 사상으로 "만인은 평등하듯이 모든 컴퓨터사용자는 평등하다"는 생각으로 프로그래밍 전반에 대한
지식을 배우고 나가야 Google과 같은 회사의 사장이 우리나라에서도 나올 수 있다고 믿었습니다. 그리고, 이런 환경을 만들기
위해서 사회가 어느 특정한 테크놀로지를 편애하거나 지지하는 상황을 만들면 안된다고 생각했습니다.
그리고, 이런 상황에서 중국, 미국, 아랍, 유럽 등의 "세계"를 표적으로 하는 서비스 개발이나 창업이 어려울 것 같았기 때문입
니다. 나라가 짧은 안목으로 미래를 그르치고 있을 수 있다는 생각에 바로잡았으면 하는 바램이 있었기 때문에 Openweb을 지지
했었고 또 현재도 지지합니다.
그리고, 이런 생각에 여기에서 이름을 비추시는 분들 외의 많은 분들이 openweb을 지지한다고 생각합니다. 따라서,
ActiveX가 보안에 더 좋다라는 말씀들은 ssl이 보안에 더 좋다라는 말과 동등하게 openweb의 취지와는 관계없는 말이라
고 생각합니다. 그러니, 보안에 관해서 전문적인 지식을 가지신 분들께 부탁드리고 싶습니다. 어떤 방식이 보안에 더 좋은가에 대
한 논의보다 어떻게 컴퓨터를 평등하게 만들것인가에 대해서 말씀해달라고요. 그리고, 우리같이 평범한 사람들이 이를 위해서 무엇을
해주었으면 좋겠다고 이야기 해주십시오. openweb이 추구하는 것이 "보편적인 적인 것을 지향"하게 되면 현재와 같은 논란이
좀 사그라지지 않을까도 생각하고요.
긴글 읽어주셔서 감사합니다. . .
"하지만 기존 은행에 비해 해킹사고가 자주 발생한다고 합니다." --> "하지만 기존 은행에 비해 해킹사고가 자주 발생한다고
*가정* 합니다."
라고 표현하겠습니다만...
하여간,
1. 저는 제가 선호/사용하는 운영체제/웹브라우저에서 뱅킹이 가능한 은행을 선택하겠습니다.
2. 저는 윈도우/MS IE 보다는 제가 지난 10년간 사용해 온 OS/웹브라우저를 더 신뢰합니다(물론, 순전히 개인적 생각입니
다).
3. 저는 보안경고창이 뜰때 "예"를 눌러야 하는 불안한 경험을 반복하고 싶지 않습니다.
4. 저는 관리자 권한으로 컴퓨터를 사용하도록 강요당하고 싶지 않습니다.
5. MS IE 를 이용하고, 은행이 하라는대로 모든 보안프로그램을 꾸역꾸역 설치하고 뱅킹을 하다가 막상 사고가 났을 경우, 은
행이 군말 없이 저에게 보상을 해 줄 가능성은 지극히 낮다고 생각합니다(최근 보도를 보면, 은행으로부터 이상 징후가 있다고 연락
을 받고, 공인인증서를 폐기하고 새로 발급받은 사람의 경우에도 은행은 배상을 거부하고, 고객에게 책임지도록 요구하는 것 같습니
다).
하라는 대로 다 하고도, 배상을 쉽게 받지 못할 바에야, 저는 새로운 은행을 선택하겠습니다.
On 4월11일, 오전1시02분, graylynx <grayl...@gmail.com> wrote:
> 저번 스레드에 올렸던 질문이지만 한번 더 올려도 될까요?
>
> "만약 새로운 은행이 생겼다고 치죠. (현재 법 기준은 무시한다고 가정)
> 이 은행의 인터넷 뱅킹은 모든 플랫폼, 모든 웹브라우져에서 작동하며 SSL/TLS를 사용하고,
> 각종 추가 보안프로그램의 설치를 강제하지 않습니다. 하지만 기존 은행에 비해 해킹사고가 자주
> 발생한다고 합니다. 물론 은행은 사용자로부터 계좌개설시 모든 책임은 사용자가 진다라는
> 서약을 받기때문에 서버자체의 보안결함이 증명되지 않는이상 고객은 피해액을 돌려받을 수 없습니다.
>
> 이럴 경우 이 은행을 이용하시겠습니까? 조금 불편해도 기존의 은행을 이용하시겠습니까?"
>
> 2009년 4월 11일 (토) 오전 12:49, hkimscil <h...@commres.org>님의 말:
오픈웹 사이트에 다 있는 내용이지만...
On 4월11일, 오전1시43분, graylynx <grayl...@gmail.com> wrote:
> 네.. 물론 교수님은 그러시겠죠 :-)
> 일반 사용자들을 대상으로 순수한 호기심에 물어본것이라 굳이 직접 대답하실 필요는 없었는데..
> 약간 바보 같은 질문을 했네요.
>
> 5번에 대해서는 저도 좀 궁금한데 실제 피해자와 만나보셨나요? 더 자세한 이야기를 들을 수 있을까요?
> 꼭 답변 부탁드립니다.
>
> 2009년 4월 11일 (토) 오전 1:15, youknowit <keechang....@googlemail.com>님의 말:
> 2009년 4월 11일 (토) 오전 1:15, youknowit <keechang....@googlemail.com>님의 말:
>
> > 저라면, 질문 중,
>
> > "하지만 기존 은행에 비해 해킹사고가 자주 발생한다고 합니다." --> "하지만 기존 은행에 비해 해킹사고가 자주 발생한다고
> > *가정* 합니다."
> > 라고 표현하겠습니다만...
>
> > 하여간,
>
> > 1. 저는 제가 선호/사용하는 운영체제/웹브라우저에서 뱅킹이 가능한 은행을 선택하겠습니다.
>
> > 2. 저는 윈도우/MS IE 보다는 제가 지난 10년간 사용해 온 OS/웹브라우저를 더 신뢰합니다(물론, 순전히 개인적 생각입니
> > 다).
>
> > 3. 저는 보안경고창이 뜰때 "예"를
>
> ...
>
> 추가 정보 >>
만일 제게 사고가 터졌는데, 은행이 저보고 "자작극"이라고 주장하기 시작하면, 저는 아니라는 점을 어떻게 해명해야 할지 난감할
듯...
On 4월11일, 오전1시50분, "B.M Kim" <opens...@gmail.com> wrote:
> 이거 전에 봤었던 기사인데..
> 해킹당한 피해자가 몇년전 다른은행에서도 똑같이 해킹당했다던데..
> 사용자PC 해킹당한거 아니면 자작극이라고 하던데.. (소문)
> 교수님 혹시 정확한 판결 아시나요??
>
> 2009년 4월 11일 (토) 오전 1:46, youknowit <keechang....@googlemail.com>님의 말:
>
> >http://itnews.inews24.com/php/news_view.php?g_serial=394392&g_menu=02...
> ...
>
> 추가 정보 >>
법 조문에도, 전자금융거래 사고에 대하여 은행이 "무조건 책임을 지도록" 규정되어 있지는 않습니다. 은행 입장에서는 소송으로 다
투어 볼만하면 다투는 것이고, 승산이 없으면 그냥 보상하는 것이겠지요.
고객에게 중대한 과실이 있었다는 점을 입증하면 은행은 배상책임이 없습니다. 자세한 설명은 오픈웹 사이트에 있는데... 빨리 사이
트가 re-open 되었으면 좋겠습니다...
제가 사실을 왜곡할 이유는 없고요. 그 사건이 어떻게 진행되는지는 모르고, 보도에 근거해서, 법률가로서 제 생각을 말씀드린 것
입니다.
On 4월11일, 오전2시11분, graylynx <grayl...@gmail.com> wrote:
> 노컷뉴스에서는
>
> "경찰청 사이버테러대응센터는 "언론에는 기존에 재발급 받은 인증서를 뚫고 들어갔다고 알려졌지만, 실제로는 해커들이 재발급 받은 인증서를
> 또 다시 재발급한 것으로 확인됐다"고 밝혔다. 공인인증서 재발급을 위해서는 계좌번호와 계좌비밀번호와 함께, 보안카드번호까지 함께 알고
> 있어야 한다. 결국 해커들은 S씨의 모든 개인정보를 '확인되지 않은 방법'으로 모두 빼낸 상태였던 셈이다."
>
> 라고 하는데요.. 저는
>
> 피해자는 중국을 자주 왕래하시는 분으로 작년에도 인터넷 뱅킹 해킹 사고를 당했다거나 보안카드 및 인터넷 뱅킹 관련 정보를 포털사이트나
> 웹하드 등의 인터넷 계정에 올려놨었다거나 은행 측에서 보상을 해주었다거나 하는 등의 소문을 들은 것 같은데요..
>
> 교수님께서 단지 인터넷 기사 하나만 보고 "사용자는 아무런 잘못이 없었는데 은행측에서 보상을 거부했다"라고 말씀하시는 것은 다른 분이
> 보시기에 사실이 왜곡될 우려가 보입니다.
>
> 2009년 4월 11일 (토) 오전 2:01, graylynx <grayl...@gmail.com>님의 말:
>
> > 아래 기사와는 내용이 약간 다른 것 같네요.
> >http://www.cbs.co.kr/nocut/show.asp?idx=1060370
>
> > 2009년 4월 11일 (토) 오전 1:50, B.M Kim <opens...@gmail.com>님의 말:
>
> >> 이거 전에 봤었던 기사인데..
> >> 해킹당한 피해자가 몇년전 다른은행에서도 똑같이 해킹당했다던데..
> >> 사용자PC 해킹당한거 아니면 자작극이라고 하던데.. (소문)
> >> 교수님 혹시 정확한 판결 아시나요??
>
> >> 2009년 4월 11일 (토) 오전 1:46, youknowit <keechang....@googlemail.com>님의 말:
>
> >>>http://itnews.inews24.com/php/news_view.php?g_serial=394392&g_menu=02...
> ...
>
> 추가 정보 >>
그래서, 이용자에게 매우 유리하게 해 두면, 많이 이용하지 않겠느냐는 발상에서 도입된 규정인 것으로 생각합니다.
그러나, 실제로 이용자에게 과연 어떤 효과를 가져오겠는가는 좀더 복잡한 고려가 필요합니다. 은행 입장에서는, 무턱대고 군말없이
보상을 해 줄 수는 없습니다. 어느정도 다투어볼 만하면 소송을 통하여 지속적, 반복적으로 법원의 인식을 변화시키려 노력할 것입니
다.
특히, 고객은 "원고"의 입장에 놓이게 됩니다. (은행이 자발적으로 배상을 안해주면, 고객이 소송을 제기할 수 밖에 없지
요). 원고가 되어 은행을 상대로 소송해서, 결국은 이기더라도, 그 과정은 결코 만만치는 않습니다. 대법원까지 가는 것은 당연
하고, 2-3년이 걸려서 승소해 본들 고객에게는 별로 남는 것이 없을 것입니다.
즉, 이 규정은 은행들에게도 괴로운 것이고, 고객에게도 실질적인 혜택을 주는 규정도 아닙니다. 둘 다 모두 고달픈 현실입니다.
그 와중에 모든 이용자들은 무슨 플러그인을 점점 더 많이 설치하도록 강요되는 열악한 사태가 점점 악화되어 가고요...
참 안타깝습니다. 모바일 디바이스가 많이 확산되는 것에 희망을 걸어보는 수 밖에 없나요?
On 4월11일, 오전2시28분, graylynx <grayl...@gmail.com> wrote:
> 고객이 "자신에게 중대한 과실이 없었다는 점을 입증"하거나
> 은행이 "고객에게 중대한 과실이 있었다는 점을 입증"하는 방안에 대해 좋은 생각이 있으신가요?
>
> "무조건 책임 지도록"은 아니지만 사실 은행측에 불리하게 되어있는 것이 사실입니다.
> 그렇기 때문에 은행 측에서는 몸을 사릴 수 밖에 없는 것이라 생각이 되구요..
>
> 무조건 적인 보안 프로그램의 설치를 해제시키려면 이런 법률적인 것부터 고쳐야 하지않을까 생각이 듭니다만..
> 교수님은 어떻게 생각하세요?
>
> 2009년 4월 11일 (토) 오전 2:19, youknowit <keechang....@googlemail.com>님의 말:
> ...
>
> 추가 정보 >>
많이 얘기되는 얘기가 은행이 불리하다라고 했었습니다만, 위의 기사만 봐서는 꼭 그런 것 같지는 않네요..
다만, 언론에 노출되는 건 안좋아한다는 것만은 확실한 것 같습니다.
On 4월10일, 오후1시28분, graylynx <grayl...@gmail.com> wrote:
> 고객이 "자신에게 중대한 과실이 없었다는 점을 입증"하거나
> 은행이 "고객에게 중대한 과실이 있었다는 점을 입증"하는 방안에 대해 좋은 생각이 있으신가요?
>
> "무조건 책임 지도록"은 아니지만 사실 은행측에 불리하게 되어있는 것이 사실입니다.
> 그렇기 때문에 은행 측에서는 몸을 사릴 수 밖에 없는 것이라 생각이 되구요..
>
> 무조건 적인 보안 프로그램의 설치를 해제시키려면 이런 법률적인 것부터 고쳐야 하지않을까 생각이 듭니다만..
> 교수님은 어떻게 생각하세요?
>
> 2009년 4월 11일 (토) 오전 2:19, youknowit <keechang....@googlemail.com>님의 말:
>
>
>
> > > >>> ("인터넷뱅킹 사고 은행 책임 없다...은행聯")
> ...
>
> 추가 정보 >>