최근에 일이 많아지고 설상가상으로 회사 주식 증자 문제까지 겹쳐서 그 동안 블로그나 인터넷 관심사와 담을 쌓고 살았던 것 같은데, 오늘 김국현님(IT평론가)께서 쓰신 "웹 구조개혁의 제안"에 대한 글을 보게 되었고, 간단히 감상문을 좀 적어 보도록 해 보겠습니다. 좀 늦은감이 없지 않아 있는 것 같습니다.
정도로 압축이 될 것 같습니다. "웹 구조개혁의 제안"에서 제시하고 있는 대안제시 부분은 아래와 같습니다.
구조개혁 1 : 공인 인증서에 의한 인증 의무화 폐지 --> 대안 1 : 접근 허가시 사설 인증서 허용 및 다단계/다각도의 질의식 인증. --> 대안 2: OTP(One time password) 및 HSM(Hardware Security Module), 그리고 생체 인식 등 신기술의 적용
구조개혁 2 : 독자적 암호화 통신 알고리즘 이외에 SSL 3.0 적용 허용 --> 대안 : 서비스 업자가 어떠한 기술을 쓰든(즉 SEED를 쓰지 않더라도) 그 것이 가이드라인을 만족시키면 개입하지 않는다.
구조개혁 3 : 공인인증서에 의한 서증(書證)의 적용 범주 재정의 --> 현실에서 인감이 필요로 하지 않는 모든 상황은 온라인 상에서도 공인인증서에 의한 전자서명을 요구해서는 안 된다. [중략] PKI 방식이 아닌 다양한 기술적 가능성에 대해서도 그 가능성을 열어 두어야 한다.
구조개혁 4 : 프로그램의 선택과 설치라는 개인과 시장의 자유 재량과 권리를 보호 --> 많은 플러그인은 요긴하지만 그 것을 사용할지 여부는 철저하게 사용자와 서비스 사이의 판단이지, 이를 제도나 행정이 강요해서는 안될 일이다
[개인 감상문] 이 부분은 제 개인적 의견 입니다.
1. 구조개혁 1 관련 ==> "웹에서 쓸 수 있는 인증수단은 '공인인증서'만이 아니다"라는 말에는 동의 합니다만, 이것은 현재 시점에서 그렇지 인터넷 뱅킹이라는 개념이 등장하던 90년대 후반에 존재하던 개념은 아닐 겁니다. 물론 현재는 OpenID를 비롯해서 많은 대안이 태동하고 있는 시기이기는 합니다만, 같은 논리로 이야기를 한다면, "지금 알고 있는 것을 그때는 왜 몰랐냐?"는 질문과 흡사하다고 봅니다.
==> PKI가 나타나게 된 배경이 TCP/IP가 완전하지 않다는 점이며, 이것이 IPv6로 이어지게 되었고, 전송구간 측면이 아닌 상호간의 Communication 측면에서 부인방지와 같은 부가적 기능이 필요로 하게 되었었는데, 이 기능이 단순한 새로운 인증만 구현하면 해결될 문제인가?하는 의문이 듭니다.
==> 가상 키보드, OTP, HSM, 생체인식 문제는 일단 가상키보드가 보안성을 높여준다고 보기 힘들고, OTP는 사실 공인인증서 Client에 대한 문제점이 발견되고 이를 위한 대응책 확보 및 대체통제 관점에서 현재 감독기관이 추진하고 있는 내역이나, 이 조차도 기존의 문제를 해소할 수 있을지는 의문입니다. HSM이나 생체인식은 사실 돈문제죠. 예전에 하이텔 단말기 기억하시는 분들 계실텐데, 은행마다 이와 같은 전용 단말기를 사용자에게 배포하는 수준의 행위가 있어야 할 겁니다. 개인적 의견으로는 구조개혁 1이 현실적 대안이 되기는 힘들어 보입니다.
2. 구조개혁 2 관련 ==> "서비스 업자가 SEED를 쓰지 않더라도 가이드라인을 만족시키면 더 이상 감독기관은 개입하지 말라"는 것은 금융감독 기관이 가이드라인과 대비 동일하거나 더 높은 수준의 방식을 이용하더라도 이를 인정하고 보안성 심사 등에서 불이익을 주지 않도록 하는 것인데... 글쎄요... 이 부분은 뭔가 공감대가 있어야 할 부분인 것 같습니다. 사실 이 부분에 있어 기술적인 제약은 없을 것으로 보고 있기 때문이죠.
3. 구조개혁 3 관련 ==> 글쎄요. 전자서명없이 부인방지와 데이터의 보호를 구현할 수 있는 현실적 대안히 극명히 존재하나요? 가능성을 열어 놓는 부분에 대해서는... 법률은 항상 악의적으로 해석하고자 하는 사람들로 인해 법률 존재 그 자체가 위협받는 경우도 많은 것 같습니다. 법률 자체에서 다양한 방법에 대한 가능성을 열어놓는 부분에 대해서는 현재의 방식이 Best가 아닐 수도 있다는 현실적 문제점에 대한 확고한 인지가 먼저 선행되어야 할 것 같은데, 문제는 그동안 감독기관이나 법률이 과거의 행위 위주의 제제 방안 구현에 머물러 왔다는 점에서 확실히 문제점은 있다고 봅니다. 하나의 시스템이 안정화 단계에 있으면 보통 금융권에서는 안정화 단계의 시스템의 변화를 원치 않는 금융권 특유의 보수적 입장도 한몫하는 부분이겠지요.
4. 구조개혁 4 관련 ==> "프로그램의 선택과 설치를 제도와 행정이 강요해서는 안된다"는 부분은 아마 오히려 은행들이 좋아할 만한 대목일 것 같습니다. 전자금융거래법에 따르면 현재의 "전자 금융 사고에 대한 책임은 법규상 전자금융 사고시 이용자의 고의 중대한 과실이 아닌 경우에는 전자금융업자가 책임을 부담하게 돼 있다"고 명시되어 있습니다. 따라서 이러한 경우에는 "프로그램의 선택과 설치를 개인이 알아서 하는 구조에서는 은행이 책임질 필요가 없다"고 선언할 가능성도 있다고 봅니다. 고의 중대 과실은 고의적으로 사용자가 범죄자에게 비밀번호를 알려주는 것과 같은 극단적인 경우를 의미하죠.
사실 외국의 경우에는 금융사고의 책임을 전자금융업자가 지게 되는 경우가 많지 않은 것으로 알고 있으며, 국내의 경우에는 거의 전자금융업자가 대부분의 사고에 대한 책임을 지게되는 구조입니다. 사실 각종 플러그인이나 클라이언트는 인터넷 뱅킹 서비스의 장애요소가 되었으면 되었지 인터넷 뱅킹 서비스 그 자체에 도움이 되지 않으며, 사실 은행도 이런거 좋아하지 않죠. 어쩔 수 없이 할 뿐이라고 보는 것이 좀 더 정확한 시각이라고 봅니다. 전자금융사업자는 고객의 PC 환경을 신뢰할 수 없기 때문에 전자금융사업자는 일종의 면피용으로 사용자 PC에 인터넷 뱅킹을 이용할 만한 수준의 각종 플러그인과 클라이언트를 깔게 됩니다.
아마 프로그램의 선택과 설치를 제도와 행정이 강요해서는 안된다고 하면, 만일 금융사고가 발생되었을 때, 다수의 사용자는 전자금융사업자의 역할과 책임과는 관계없이 스스로를 스스로가 보호할 수 밖에 없을 겁니다. 금융사고는 결국 대다수 개인의 손해로 이어질 수 있다는 것이 구조개혁 4의 문제점이 될 수도 있다고 봅니다.
0
0