오늘 전자신문을 보다가 보니, "'윈도비스타 SP1' 인터넷뱅킹 안전 크게 위협 "이라는 제목으로 기사가 나와 있더군요. 기사를 보다가 보니, 몇가지에 대해서 생각이 드는데... 일단은 답답하다는 생각이 먼저 들더군요.
'윈도비스타 SP1 인터넷뱅킹 안전 크게 위협?
정말로 윈도비스타의 SP1이 인터넷 뱅킹에 위협이 되는지의 여부를 확인해 볼 필요성이 있는데, 이것은 사실 정말 웃기는 노릇이죠. 사실 MS 입장에서는 키보드 보안 프로그램도 악성 코드인지 정상적인 코드인지의 여부를 판단할 수 있는 명확한 기술적 근거는 없는 것이 사실입니다. MS가 아니라 그 누구도 악성코드인지 정상적인 코드인지의 여부를 판단할 수가 없기 때문에 OS 제조사인 MS 입장에서는 OS의 Security Architecture에서의 한계성을 느끼고 기존의 아키텍쳐를 수정한 것이 VISTA에서 부터 적용된 OS 기술입니다. 따라서 정확히는 키보드 보안 프로그램이 해야 할 역할을 OS 자체에서 이미 구현했다고 보아도 무방하다는 의미이지요.
그러나, 윈도비스타 SP1이 키보드 보안 프로그램의 정상적 설치를 방해하기 때문에 금융권 보안이 위협 받을 수 밖에 없다는 논지의 기사가 올라오는 것을 보면... 좀 답답하네요.
기본적으로 국내 금융권에서는 법률적으로 전자금융을 제공하는 사업자가 금융사고에 대한 책임을 지는 구조이기 때문에 외국과는 달리 인터넷 뱅킹 사용자의 PC를 사업자가 신뢰할 수 있을 정도의 보안성을 갖추게 만들 수 밖에 없습니다. 이러한 사용자 PC의 보안성에 대한 규정에 따라서 PC 방화벽, 키보드 보안, 트랜젝션 암호화, 공인인증서를 쓸 수 밖에 없습니다. 요즘에는 Anti-Fishing 관련 대응까지 하는 은행들이 나오는 상황이니까, 은행 업무를 보기위해 인터넷 뱅킹 사이트에 접속하면, 5가지 정도의 ActiveX를 사용자는 좋던 싫던 인스톨 할 수 밖에 없는 상황이고, 이것은 사용자에게 짜증을 유발하는 주요 요소라고 봅니다.
이러한 상황에서 감독기관은 PC 방화벽, 키보드 보안, 트랜젝션 암호화, 공인인증서를 쓰는지 안쓰는지를 감독하는 것도 중요합니다만, OS 레벨에서 이미 해당 기능이 수행된다면, 해당 솔루션의 사용여부를 물어보지 않도록 하는 것이 어떨까 싶습니다. 이미 통제 방식이 존재하는지 안하는지의 여부와는 관계없이 감독기관에서 PC 방화벽, 키보드 보안, 트랜젝션 암호화, 공인인증서의 사용 여부를 체크하고 사용치 않는 전자금융 사업자를 제재한다면 이것은 좀 문제라고 봅니다. 따라서 감독기관은 시대가 변한 만큼 기존의 통제방식에 대한 준거성 여부를 좀 더 현실성 있는 통제방식으로 수정해야 할 필요성이 있다고 봅니다.
0
0