아래 글은 ENTClic님의 댓글에 대한 Trackback용 포스트 (잠좀 일찍 자 볼까 생각했더니만, 글쓰다가 보니 시간이... -.ㅜ) =========================================================
죄송합니다. 제가 CN님의 댓글을 이제서야 봤네요. ^^
일단, 제가 말씀드렸던 부분에 대한 초점은 마징가제트가 쎄냐? 그랜다이저가 쎄냐?를 반박하기 위한 점이 아니었다는 점 아시리라 봅니다. 상대적으로 현재 좀 더 앞선 아키텍처나 기술이며, 앞으로도 계속 안전할 것이기 때문에 인증서, 키보드, 회선암호화, 바이러스에 대한 영향 평가나 대책없이 서비스가 되어서는 곤란하다는 점이 제가 말씀드리고자 하는 핵심적 내용이었습니다.
신한은행이 현재 Mac PowerPC G3 이상에 대해 서비스를 제공하고 있습니다. 이 서비스에서는 또한 동시에 ez-Plus라는 프로그램의 보안기능이 존재하고 있습니다. Mac이 안전하기 때문에 서비스 허가를 내준 것이다고 판단하신다면, 그것은 아니라는 겁니다. 금감원이 신규 서비스에 대해 보안성 평가를 안했을리가 없으며, 현존 시스템에 비해 최소한 유사한 보안기능을 제공하기 때문에 서비스 허가를 내주었을 거라고 생각됩니다. 뿐만아니라 핸드폰 결재도 사실 됩니다. 그러면, 이 부분에 대해서는 보안성 검토를 안했을 것 같습니까? 당연히 했을 겁니다. 이러한 규격을 만족한다면 당연히 허가를 내 주어야지요. 제가 말씀드리고 싶은 것은 Mac이나 Linux가 Windows에 비해 상대적으로 안전하기 때문에 허가하라는 것은 사리에 맞지 않는다는 것 입니다. 정량화된 감사(Audit), 검증 모델을 거쳐 비로소 서비스가 될 수 있는 것이지요. 현업에서 컨설팅일을 하다가 보면, 윈도우즈 기반의 서비스 형태도 엄청나게 많은 수가 '거절'의견을 받는 것을 알 수 있는데, 사실 평가기관에서는 Windows, Mac, Linux??? 솔직히 관심 없습니다. 은행이 제공해야 하는 기준에 적합한지 아닌지를 검사 할 뿐 이죠.
SSL 시스템은 충분히 강력하다구요? 예, 물론 강력하죠. 문제는 Client 사용자가 뱅킹 서비스 사용자임과 동시에 공격자일 경우에는 강력하지 못하다는 점이죠. Proxy 기반의 공격형태는 다 이러한 약점을 공격하는 것 입니다. SSL시스템은 물론 강력합니다만, 웹 기반 공격에 대한 방어는 전혀 불가능하며, 실제로 SSL 기술은 보안에서 일부분의 기술일 뿐입니다. 글쓰신 내용을 보면, 상당한 IT 기반 전문가이실 것으로 생각되며... 보통 그러잖아요? 하나의 방어대책이 무력화 될 경우를 대비해서 2~3중의 장치를 추가적으로 준비하는 것이 보통인데... 문제는 이래도 뚫린다는 겁니다. 글쎄요... 다른 대안이 필요하지 않다면, 최소한 Mac, Linux용 인증서, 키보드, 회선암호화, 바이러스에 대한 대책이 뭔지요? 아예 이런거 다 필요없다고 보시는지요? Mac이나 Linux이기 때문에 그냥 써도 된다고 하실런지요?(제가 아는 것이 다가 아닐 수가 있기 때문에 정말 궁금해서 여쭈어 보는겁니다) 마지막에 쓰신 '의지가 없는 것이다'는 정말이지 저도 공감하는 부분입니다. 도대체가 이 보수적인 집단은 선도적 입장에서 시도를 안합니다. 으휴...
또한, ENTClic님께서 몇가지를 댓글에서 언급하셨습니다만, 역시 늦게 봤네요. ^^
일단 기술에 대한 오해가 좀 있는 것 같아서 바로 잡습니다. 서버 인증서 말씀하시는 것이죠? SSL 통신은 주로 전송구간 암호화를 구현할 때 사용하고, 이는 국내의 금융, 전자정부 시스템에서 빠질 수 없는 보안 설정 중 한가지라고 봅니다. 이 부분에는 CA, RA, OCSP 등에 대한 개념이 필요한데(일단 이거는 넘어가죠... ^^), 국제공인인증서를 토대로 네트워크 회선 도청 공격(Sniffing Attack)을 막아주는데 효과적인 수단을 제공합니다. 아마 국내에서는 Verisign 또는 Thawte를 주로 이용하는데, Thawte가 좀 더 저렴하다고 해서 사실 저희 회사도 Thawte를 이용하고 있습니다. 서버 인증서와 흔히 이야기 하는 공인인증서는 다른 개념이기 때문에 구분하여 생각해 볼 필요성은 있습니다.
SSL 서버 인증서는 표준 X.509를 따르며, X.509를 지원하는 모든 서버와 당연히 호환이 됩니다. 자물쇠 그림을 클릭하여 확인 할 수 있는 내용은 CA(Certificate Authority) 인증서(루트 인증서)로 서명된 X.509 인증서를 지원한다는 의미 정도로 해석할 수 있습니다. 좀 더 쉽게 이야기하면, "국제표준을 따른다 또는 신뢰있는 제3의 기관(Root CA)이 서명했다"는 정도의 의미라는 것이죠. 따라서 '한승훈(ENTClic)'님께서 언급하신... 흐흐... (이름이 저와 같으시죠? ^^;) "자신들이 거부하고 불안정하다고 사용할것을 거부하는 미국의 인증을 정작 자신의 사이트에서는 버젓히 사용하는 곳이 바로 우리의 정부"라는 내용은 잘못된 해석이라고 봅니다. 국제표준 SSL 서버 인증 방식을 따른다는 것 뿐이고, 이를 가지고 정부의 모순이라고 정의할 수 없다는 것이죠. 참고적으로 우리나라의 Root CA는 한국정보보호진흥원(KISA)의 전자서명인증관리센터(www.rootca.or.kr)로 알고 있습니다. 사실 국내에는 SSL 서버의 수요가 그렇게 많지 않아서 SSL을 위한 서버 인증서 발급을 하는 회사가 있는지 모르겠구요. 대부분이 해외 대행업체의 리셀러 정도라고 보시면 맞지않을까 싶어요. 국내에서는 보안서버 관련해서 SSL 어쩌구 저쩌구 하느라... 2006년도에 KISA에서 공청회도 열리고 했었던 것으로 기억됩니다. (물론 Linux 등에서 SSL 같은 거 인스톨할때는 Root CA파일을(CA.crt) 개인이 걍 만들죠. 중요 사이트에서는 이런 방식 절대 못쓰죠...)
관리감독 규정에 대해서도 한말씀드리고 싶습니다. 최소한의 관리감독 규정이 뭐냐는 것은 금융감독원 홈페이지를 참조하시는 것이 좋을 듯 싶습니다. 아래 사이트를 참조하시면 될 것 같습니다.
이곳에서 '전자금융감독규정'과 '전자금융감독규정시행세칙'을 중점적으로 보시면 될 것 같습니다.
물론 '전자금융감독규정'과 '전자금융감독규정시행세칙' 어디를 봐도 MS 기반기술을 이용해서 공인인증서의 사용을 가능하게 하라는 문구는 없습니다. 공인인증서를 사용하는 목적을 크게 5가지 정도로 구분할때, 새로운 대안으로 떠오르고 있는 OpenID 역시 부인방지 기능을 제공하지 못한다는 점에서 OpenID 역시도 공인인증서를 대체할 수 있는 기반기술로써의 역할은 부족해 보입니다. 공인인증서를 쓰는데 있어 보안측면에서는 공인인증서의 이용은 당연한 것이고, 공인인증서 그 자체가 비난 받아야 하는 이유는 없다고 봅니다. 다만, 이러한 공인인증서가 철저히 MS 기반 기술하에서 구현되는 부분이 비난 받을 수 있는 부분이겠지요.
문제는 이러한 부분에 있어 철저히 왜곡된 시장논리에서 발전이 이루어졌다는 부분인데, 사실 현실에 대해서 정부만 비판하는 것도 무책임한 것이라고 봅니다. 이제부터라도 왜곡된 시장을 좀 바로잡아야 할텐데, 정부도 문제에 대한 새로운 인식과 함께, 뭔가를 좀 보여주어야 할 때가 되었다고 봅니다.
0
2