앞서 2009년 7월7일, 우리나라 주요 정부기관과 금융권 등의 사이트들을 목표로 한 분산 서비스 거부(Distributed Denial of Service, 이하 디도스) 공격이 있었다. 이 공격으로 당시 청와대, 국회, 국방부, 외교통상부, 국가정보원 등 정부 사이트와 몇몇 금융권 사이트 접속이 안되는 일이 벌어졌었다.

이 보안 공격 이후인 2010년 11월 23일, 한선교 한나라당 의원은 좀비 PC 방지법이라고 알려진 ‘악성프로그램 확산 방지 등에 관한 법률안’을 대표 발의했다. 그리고 지난 6월15일, 이와 관련한 공청회가 문화체육관광방송통신위원회 주관으로 열렸다.

악성프로그램 확산 방지 등에 관한 법률안은 방송통신위원회(이하 방통위)가 ▲이용자 컴퓨터에 백신 등 보안 프로그램 설치와 이용을 유도하고, ▲디도스 감염 컴퓨터의 인터넷 접속 주소 변경 제한과 악성 도메인 차단 등의 긴급조치를 내릴 수 있으며, ▲대규모 디도스 공격 발생 시, 이를 치료하기 위한 컴퓨터보안프로그램을 이용자에게 긴급 배포 할 수 있다는 내용을 주로 담고 있다.

그런데 이 법률안을 놓고 찬반이 팽팽하다.

논쟁이 일고 있는 부분은 방통위의 ‘디도스 감염 컴퓨터의 인터넷 접속 차단 권한’과 ‘악성프로그램 확산 방지를 위한 컴퓨터 보안프로그램 설치 책무’다. 여당은 ‘거세지는 디도스 공격을 대비하기 위해서라도 접속 차단과 보안 프로그램을 배포해야 한다’고 목소리를 높이고 있는 반면, 야당은 ‘좀비컴퓨터 법률안을 가장한 인터넷 여론 통제다’라며 맞서고 있다.

한선교 의원실 진성오 비서관은 “법률안의 목표가 좀비 컴퓨터 생산과 확산 방지인 만큼, 국민들의 기본권 침해 등 인권 침해가 실제로 이뤄진다고 하면 이를 수정할 생각이 있다”며 “다만 이 법률안 자체가 필요 없다는 야당의 주장은 말도 안된다고 생각한다”고 밝혔다.

지난 15일 공청회에 참석한 염흥렬 순천향대 정보보호학과 교수는 블로터닷넷과 통화에서 “국내에서 사용자 컴퓨터의 악성프로그램 감염을 막기 위해 무료 백신 프로그램 보급 등 다각적인 노력을 기울여왔음에도 불구하고, 2010년 10월 마이크로소프트가 발표한 자료에 의하면 한국 봇넷(Botnet : 스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 네트워크) 감염률이 천대 당 14.6대로 세계 최고수준”이라며 “지난번 디도스 공격 대란 이후 많은 사용자들이 백신 프로그램을 설치했다고 하지만, 앞선 수치가 우리나라의 보안 취약성을 설명해 주고 있다”고 이번 법률안 제정 필요성을 주장했다.

염 교수는 “이미 인터넷 진흥원이 일부 디도스 공격 시도에 대해 예방하고, 보호나라 사이트를 통해 감염 여부를 개인이 확인할 수 있게 하는 등 노력을 하고 있지만, 이는 디도스 공격 유형 중 극히 일부에만 적용된다”며 “디도스 공격에는 이상 트래픽 발생뿐만 아니라 스팸 등으로 개인 정보는 뺴가는 경우도 있기에, 좀 더 포괄적이고, 근본적인 치료를 위해서는 이번 법률안 개정이 꼭 필요하다”고 덧붙였다.

반면 민주당 안정상 수석전문위원은 이에 대해 반박 보도자료를 배포하고 “이 법안이 통과되면 방통위는 심각한 디도스 공격 발생시 인터넷서비스제공업체 등을 통한 인터넷주소 차단, 정보통신망 접속 제한 등의 조치에 대한 모든 권한을 갖게 된다”며 “정부가 국가 안보라는 추상적인 개념을 내세워 개인의 권리 뿐만 아니라 나아가 기업의 권리도 침해하고 있다”고 법률안 제정을 반대했다.

염흥렬 교수와 함께 지난 15일 공청회에 참석한 김기창 고려대 법대 교수 역시 안정상 수석전문위원과 같은 생각이다.

김기창 교수는 블로터닷넷과 통화에서 “디도스 공격 구조(사진)를 알면, 이 법안이 왜 말도 안되는지 알 수 있다”며 “디도스는 감염된 개인 컴퓨터가 지정된 서버를 공격하게 조종하는 것으로, 현재 서버는 이상 트래픽에 대해서 차단하는 기능을 가지고 있기 때문에 이를 해결하려고 굳이 법을 만들 필요가 없다”고 설명했다.

사진출처 : 보호나라

이어 김 교수는 “악성코드를 유포하는 서버나 개인 컴퓨터에 대한 대처는 현행 법을 통해 이미 이뤄지고 있다”며 “감염 컴퓨터나, 서버에 대해 강제로 악성코드를 제거하고 백신 프로그램을 의무로 설치하게 하는 것은 정부의 과도한 개입”이라고 주장하고 “법률안에 ‘사용의무/악성코드 삭제의무를 위반한 혐의가 있다고 판단됐을 경우 방통위가 해당 사업장에 출입해 관계 물품이나 서류 등을 검사할 수 있다’는 조항이 있는데, 대체 이 법이 디도스 공격 방지와 무슨 관련이 있는지 모르겠다”며 “이 말이 ‘방통위가 검찰처럼 압수, 수색 권한을 영장 없이 행사한다는 것’과 다른 점이 없다”고 법률안에 대해 의문을 표했다.

김 교수의 반박은 계속됐다. 김 교수는 법률안 ‘제13조 제3항 결함 있는 백신 프로그램의 판매/제공 금지 명령권’과 관련해 “진단이나 치료를 제대로 못하는 가짜 백신이 사회적으로 문제가 되고 있긴 하지만, 이를 방통위가 직접 나서서 해결하게 되면 보안과 백신 프로그램 시장이 방통위 결정에 좌지우지 되는 위험천만한 상황이 올 것”이라며 “이미 우리나라 방통위는 무소불위의 권한을 가지고 있는데, 이 이상 권한을 가지면 백신과 통신 사업체가 무너질지도 모른다”고 경고했다.

정부는 현재 정보통신기반 보호법을 통해 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 ‘정보통신기반시설’에 대하여 국가 위급 상황시 규제하고 명령할 수 있는 권한을 가지고 있다.

한편 익명을 요구한 방통위 관계자는 이번 법률안의 국회 심의 통과 가능성을 점치며 “과거 디도스 공격 당시, 주요 문제로 거론된 악성코드 감염 PC 관련 정보를 수집하지 못해 분석에 애로사항이 많았다. 공기업을 향한 디도스 공격이 점점 지능화 되고 다양해진 만큼 이를 적발하기가 쉽지 않다. 비록 일거리는 늘어나겠지만, 악의적인 해커의 공격을 막기 위해서라도 이번 법률안이 통과돼 국민들이 안전하게 컴퓨터 생활을 누릴 수 있게 됐으면 좋겠다”고 말했다.

이 법률안은 현재 다음 달 정기국회에서 논의될 예정이지만, 찬성 의견과 마찬가지로 반대 의견도 상당 부분 설득력을 얻어가고 있어, 법률안 처리 과정에 진통이 예상된다.

우리은행 오픈뱅킹은 운영체제(OS)와 웹브라우저에 상관없이 이용할 수 있는 인터넷뱅킹 서비스다. 왜 이것이 중요할까. 지금껏 국내 e뱅킹 서비스 모양새를 보자. 특정 OS와 웹브라우저만 편애했다. 마이크로소프트(MS) 윈도우와 인터넷 익스플로러(IE)다. 맥OS나 리눅스 이용자, 파이어폭스나 구글 크롬, 사파리와 오페라 이용자도 e뱅킹을 쓰고 싶지만 그럴 수 없었다. 일부 은행이 리눅스나 맥용 e뱅킹 서비스를 선보인 바 있지만, 가상 윈도우를 띄워 쓰는 절름발이 서비스였다. 새삼스러운 일이 아니다.

그러니 국내에 우리은행 오픈뱅킹 서비스가 나온 건 뜻깊은 일이다. 웹표준을 따른 덕분에 윈도우 뿐 아니라 맥OS나 리눅스에서도 이용할 수 있으며, 웹브라우저도 가리지 않는다. 오픈뱅킹은 기껏해야 1%를 조금 넘는 비윈도우 이용자에게도 e뱅킹 서비스를 이용할 길을 열어줬다.

지난 7월, 처음 서비스를 내놓을 때만 해도  우리은행은 반신반의했다. 5개월을 갓 넘긴 지금, 오픈뱅킹 이용자는 10만명을 넘어섰다. 윈도우, IE 이용자도 기존 e뱅킹 서비스를 놔두고 오픈뱅킹을 이용하기도 한다. 더 빠르고 간편하다는 이유에서다.

오픈뱅킹이 이번 ‘2010 웹어워드 코리아’에서 웹접근성 부문 ‘이노베이션 대상’을 받은 배경도 이것이다. 지금껏 없던 e뱅킹 서비스를 내놓은 데 높은 점수를 준 까닭이다. 차별 없는 평평한 웹서비스를 만들었다는 점이 무엇보다 반갑고 고마운 일이다.

허나 한편으로는 여운이 남는다. 따지고보면 오픈뱅킹 서비스는 이용자가 고마워해야 할 게 아니라 당연히 요구해야 하는 서비스 아닌가.

나라 밖으로 눈을 돌려보면 금세 알 수 있다. W3C에서 권고하는 표준 보안 프로토콜(SSL)을 써서 웹서버와 웹브라우저간 데이터를 전송하는 게 전부다. 그런 다음 카드 정보를 넣고 결제를 하면 끝이다. 여기에 별다른 문턱이 있던가. 왜 국내에서만 굳이 비윈도우, IE가 아닌 웹브라우저 이용자는 e뱅킹 서비스를 이용할 수 없게 막는가. 도무지 모를 일이다.

오픈뱅킹 서비스는 반갑긴 하지만, 또 다른 숙제를 던져준다. 오픈뱅킹을 이용하려면 공인인증서를 써야 한다. 개인 방화벽이나 키보드 보안 프로그램도 깔아야 한다. 국내 전자금융거래법이 그렇게 하도록 의무화했기 때문이다. 헌데 윈도우나 IE가 아닌 환경에서 이같은 보안 프로그램을 제공할 업체를 국내에서 찾기란 만만찮다. 기존 99% 시장을 놓아두고 기껏해야 1%를 위해 굳이 새로운 프로그램을 만들려 하지 않기 때문이다.

은행으로서도 굳이 ‘소수’를 위해 돈을 들여 시스템을 마련하려 하지 않는다. 행여 마음을 고쳐먹었다 해도, 이번에는 그에 맞는 보안 프로그램을 찾기가 어렵다. 은행은 손쉬운 옛 방법에 안주하게 되고, 보안업체도 굳이 소수 OS와 웹브라우저를 위해 따로 개발에 공을 들일 이유가 없어진다. 악순환의 반복. 지금껏 숱하게 봐 왔던 일이다.

오픈뱅킹도 이같은 악순환 고리에 발목잡히긴 마찬가지다. 윈도우 이용자라면 IE와 파이어폭스, 구글 크롬과 오페라, 사파리에서 모두 e뱅킹 서비스를 이용할 수 있지만 맥 이용자는 사파리, 리눅스에선 파이어폭스와 오페라 이용자만 혜택을 볼 수 있다. 국내법이 e뱅킹 서비스에 의무화한 공인인증서나 키보드 보안 프로그램이 아직 맥·리눅스에서 여러 웹브라우저를 지원하지 않는 탓이다.

더러는 말한다. 은행도 수익을 추구하는 곳인데, 모든 이용자를 배려하고자 비용을 들일 순 없지 않느냐고. 절반은 옳은 말이다. 허나 생각해볼 일이다. 금융서비스는 이를테면 사회 인프라다. 부자든 가난하든, 윈도우를 쓰든 맥을 쓰든 이용에 차별이 없어야 한다. 서비스 차별화로 경쟁력을 확보할 순 있겠지만, 애당초 이용자를 가려 받는 건 취지에 맞지 않다. 경쟁력을 유지하면서도 차별 없이 서비스를 제공하도록 이끄는 길라잡이는 감독기관 몫이다. 이런 감독기관이 처음부터 법으로 특정 이용자만 서비스 대상으로 제한한다면 과연 제 역할을 하고 있다고 말할 수 있을까.

더구나 지금이 어떤 시대인가. 스마트폰으로 이동중에 은행에 접속해 금융거래를 하는 시대다. 낡은 공인인증서를 억지로 스마트 기기에 구겨넣는 건 어리석은 일이다. 모바일에선 되고, PC에선 이용할 수 없는 금융서비스라면 더더욱 웃긴 일이다. 단일화된 웹 플랫폼과 표준 기술에 눈을 돌린다면 방법은 얼마든지 있다. 그곳이 웹이든 모바일 기기든, 웹브라우저로 접속해 로그인하고 거래하면 그만이다.

이런 요구들을 금융 보안을 외면하려는 주장으로 이해해선 곤란하다. 외부 위협으로부터 소중한 자산을 지키는 안전핀을 마련하자는 데 누가 반대하겠는가. 문제는 첫 단추다. 국내 e뱅킹 시스템은 처음부터 보안을 강화한다는 취지로 다양한 보안 장치들을 막무가내로 밀어넣었다. 키보드 보안이나 공인인증서가 대문을 좀 더 두텁게 채우는 역할은 하겠지만, 그것마저 보안 위협으로부터 완전무결한 안전지대를 만들어주지는 못한다. 보안기술이 날로 발전함에도 ‘보이스 피싱’처럼 달콤한 전화 유혹에 소중한 돈이 줄줄 새나가는 게 현실이다. 그렇다고 SSL 기반의 외국 e뱅킹 환경에서 한국보다 위협적인 거래 사고가 발생했다는 얘기는 지금껏 듣지 못했다.

그렇게 보면 지금 국내 e뱅킹 시스템은 ‘공인인증서 강박증’ 또는 ‘철통 보안이란 허위의식’이 빚은, 잘못 끼워진 첫 단추 아닐까. 이미 걷어내기엔 비대해진 공룡 시스템마냥. 누구도 용기 있게 나서서 ‘고양이 목에 방울 달겠다’고 외치지 못하게 돼버린 지리멸렬한 탁상공론장을 떠올렸다면 비약인가.

결국은 선택의 문제다. 어느 단계까지 보안 장치를 제공하는 게 합리적이고 현실적인가. 100% 뚫리지 않는 보안 메커니즘이란 없다. 이용자가 부당하게 차별받지 않는 한도 내에서 보안을 강화할 수 있는 방안을 지금이라도 선택하는 게 올바르지 않은가.

그나마 다행이랄까. 앞으로는 상황이 보다 나아질 모양새다. 방송통신위원회는 금융관계 부처와 함께 올해 5월 ‘전자금융거래 인증방법의 안전성 가이드라인’을 확정 발표했다. 가이드라인이 제시한 요건을 갖추면 공인인증서를 쓰지 않고도 다양한 금융 거래 서비스를 제공할 수 있도록 길을 열어준 것이다. 금융감독위원회는 이를 위해 인증방법평가위원회를 만들었다.

2009년 시행된 장애인차별금지법에 따라 금융기관은 2013년 4월까지 장애인도 차별 없이 이용할 수 있는 e뱅킹 서비스를 의무적으로 제공해야 한다. 되도록 플래시를 쓰지 않거나 이미지에 설명(알트 텍스트)을 넣거나, 음성 안내를 덧붙이는 것도 장애인 웹접근성을 개선하는 방법이다. 하지만 더 쉬운 길도 있다. 웹표준을 따르기만 해도 어느 정도 웹접근성은 보장된다. 어차피 손봐야 할 시스템이라면, 남들보다 앞서 선진화되고 표준화된 시스템을 도입하는 게 낫지 않을까. 고객을 위해서도, 금융서비스 경쟁력 강화를 위해서도 말이다.

은행 고객으로서, 차별 없는 e뱅킹 서비스가 ‘혁신’이 아니라 당연한 ‘권리’가 되길 기대하는 게 욕심일까. ‘오픈뱅킹’이 한국만의 특수한 ‘혁신’이 아니라 보편적 금융서비스로 자리잡길 꿈꾼다. 우리은행 오픈뱅킹 앞에 붙은 ‘혁신상’ 딱지가 반가우면서도 뒷맛이 남는 이유다.

오픈뱅킹은 운영체제(OS)나 웹브라우저에 관계 없이 쓸 수 있는 인터넷뱅킹 서비스다. 이용자 PC의 운영체제가 윈도우든 맥OS나 리눅스든 상관 없다. 인터넷 익스플로러(IE)나 파이어폭스, 구글 크롬과 사파리, 오페라 이용자든 웹브라우저를 차별하지도 않는다. 이용자가 어떤 OS나 웹브라우저를 쓰든 동등하게 인터넷뱅킹 서비스를 이용하게 하자. 그게 오픈뱅킹이 내건 기치다. 사실, 이런 일이 얘깃거리가 되는 것 자체가 우스운 일 아닌가.

“예전부터 IE 외 웹브라우저나 맥, 리눅스 이용자들로부터 인터넷뱅킹 서비스를 쓰게 해 달라는 요청이 꾸준히 들어왔어요. 헌데 은행 입장에선 굳이 그렇게 하려 하지 않았죠. 대한민국 누리꾼 96%가 윈도우 기반 IE를 쓰는 게 현실이잖아요. 나머지 4%를 위해 인터넷뱅킹 서비스를 따로 만들어 제공하는 건 수익성도 떨어지고 위험도 컸기 때문입니다.”

▲석균철 우리은행 U뱅킹포털 팀장(오른쪽)과 김규태 프로젝트 총괄 차장

석균철 우리은행 U뱅킹포털팀장은 이런 일로 고객 전화를 받을 때마다 몹시 부끄러웠다고 했다. “국내 은행들은 맥이나 리눅스PC, IE가 아닌 웹브라우저에서 인터넷뱅킹 서비스를 제공 안 하는 걸 당연한 일로 생각해왔죠. 고객 전화를 받을 때마다 답변하기에 궁색했어요. 우리가 해야 할 일이 뭘까. 당장 이익은 크지 않지만, 이게 올바른 길이라면 그리로 나아가는 게 맞다고 생각했죠. 어차피 다들 안 하는 일이니, 우리가 지금 시작해도 늦지 않았을 테고요. 때마침 장애인차별금지법에 따라 2013년까지 장애인에게 차별없는 인터넷뱅킹 서비스를 의무적으로 제공하게 된 것도 계기가 됐어요.”

1년 전부터 은행 내부에 전담반을 꾸리고 ‘부끄럽지 않은’ 인터넷뱅킹 서비스를 만드는 일에 팔을 걷어붙였다. 어디 말처럼 쉬운가. 막상 안을 들여다보니 장애물이 한둘이 아니었다. 석균철 팀장과 함께 오픈뱅킹 서비스 개발에 매달렸던 김규태 프로젝트 총괄 차장 얘기를 들어보자.

“가장 큰 원칙은 웹표준을 따르는 것이었습니다. 그러면서도 국내법이나 제도에 어긋나지 않는 범위에서 서비스를 만들어야 했어요. 한국 전자금융거래서명법은 인터넷뱅킹 서비스를 제공할 때 반드시 공인인증서를 쓰도록 하고 있습니다. 통신구간 암호화도 해야 하고, 개인정보 보호를 위해선 개인 방화벽도 깔아야 합니다. 키보드 보안 프로그램도 제공해야 하죠. 헌데 웹표준에 맞게 이런 프로그램들을 제공해줄 업체가 없는 겁니다. 지금껏 IE에서만 잘 돌아가면 그만이라는 식으로 액티브X 방식으로 제공해왔으니까요.”

야심차게 출발한 프로젝트는 처음부터 수렁에 빠졌다. 그렇다고 법이나 규정이 바뀔 때까지 또 기다려야 하나. 우리은행은 법 테두리 안에서 최대한 유연하게 서비스할 수 있는 인터넷뱅킹 서비스를 내놓기로 했다. 지금 안 하면 기약이 없을 거란 절박함에서다.

“사실 웹표준만 지키면 굳이 보안 프로그램이 필요 없잖아요. 외국은 다들 그렇게 하는데. 그래도 국내 보안 정책이 무조건 옳지 않다고는 생각하지는 않습니다. 고객 정보보호에 도움이 된다면, 웹표준을 해치지 않는 범위 안에서 보안 프로그램을 제공하는 것도 굳이 나쁠 건 없겠죠.”

법과 규정 테두리 안에서 가능한 방법들을 찾아 뛰어다니기 시작했다. 무엇보다 기존 액티브X 방식을 대체하는 보안 프로그램이 시급했다. 보안사업자들은 손사래를 쳤다. 돈 안 되는 일에 굳이 개발 인력과 시간을 투입하기 어렵다는 게 이유였다.

“지난 1년 동안 만난 업체만도 50곳이 넘을 겁니다. 그 동안 전담반만 해도 3번이나 떴고요. 신기술 업체가 있다면 두말 않고 달려갔어요. 한국도 IE 점유율이 조금씩 줄어들고 있고, 스마트폰도 급속히 보급되고 있잖아요? 지금 먼저 뛰어들어 시장을 키우면 나중에 좋지 않겠냐고 설득했죠. 조금씩 공감을 얻어냈고, 문제를 하나씩 풀어나갈 수 있었습니다.”

그렇게 ‘오픈뱅킹1.0′이 태어났다. IE에서 통신구간 암호화에 쓰던 제큐어웹(XecureWeb)은 보안이 강화된 웹 프로토콜인 ‘https’ 방식으로 풀었다. 업체들과 협력해 다양한 OS와 웹브라우저를 지원하는 공인인증서와 개인 방화벽 프로그램도 만들었다. 키보드 보안 프로그램은 화면에 가상 키보드를 띄워 쓰는 방식으로 대체했다. 어지럽고 화려한 플래시를 없애고 주요 버튼도 이미지 대신 텍스트로 대체했다. 가상 머신을 쓰거나 전용 프로그램을 따로 내려받는 일부 은행 방식과는 전혀 다르다. 웹표준에 맞춰 순수 웹브라우저로 제공되는 국내 첫 ‘열린 e뱅킹’ 서비스다.

이제 3개월째. 반응은 기대 이상이다. “처음엔 이용자를 5천명 정도로 추산했어요. 그런데 지금까지 이용자만 7만명이 넘었습니다. 우리도 깜짝 놀랐어요. 우리는 맥이나 리눅스, 파이어폭스나 구글 크롬, 오페라 같은 비 윈도우·IE 이용자를 대상으로 생각했어요. 막상 열어보니 IE 이용자들도 오픈뱅킹을 즐겨쓰는 걸 알게 됐습니다. 지금 인터넷뱅킹보다 속도도 빠르고 더 편리하니까요.”

우리은행은 오픈뱅킹 서비스를 열면서 공식 블로그를 티스토리에 개설했다. 은행이 서비스 관련 블로그를 은행 홈페이지 외부에 여는 건 드문 일이다. “아무래도 은행 내부에 블로그를 열면, 공식화된 고객 응대의 틀을 벗어나기 어려울 거란 생각이 들었어요. 외부 블로그를 여니 방문자들도 더 편하게 찾아주고 보다 편안하게 소통할 수 있어서 좋았습니다. 처음엔 불평 불만을 쏟아내던 방문자들도 요즘은 많이들 격려하고 응원해주는 분위기에요. 칭찬글이 달리는 걸 볼 때마다 큰 보람과 기쁨을 느낍니다.”

오픈뱅킹은 아직 아이폰이나 안드로이드폰 같은 스마트폰에선 제공되지 않는다. 스마트폰용 개인 방화벽 프로그램을 제공하는 업체가 없는 탓이다. 기업뱅킹도 아직 열려 있지 않다. 기업뱅킹 특성상 개인 거래보다 다양하고 세분화된 금융거래가 많은 편인데, 이런 모듈들을 웹표준 기반으로 제공하는 곳은 아직 부족한 실정이다. 많은 국내 누리꾼이 쓰는 IE6에서도 아쉽지만 오픈뱅킹을 제대로 이용할 수 없다. 웹표준을 따르려다보니, 표준에 어긋난 웹브라우저까지 무리하게 지원할 수 없었던 탓이다.

“오픈뱅킹의 기본 개념은 인터넷이 되면 무조건 열리고 진행되는 서비스란 겁니다. 지금의 인터넷뱅킹 규정이 바뀌거나, 스마트폰과 기업뱅킹 환경에 맞는 보안 프로그램을 제공하는 곳이 있다면 안 될 게 없겠죠.”

오픈뱅킹은 지금도 조금씩 진화하고 있다. 지난 9월에는 기존 SSL 방식보다 보안이 한층 강화된 국제 인증 프로토콜 EV SSL을 국내 금융기관 가운데 처음으로 적용했다. EV SSL을 적용하면 지금 접속한 웹사이트가 진짜 우리은행 웹사이트임을 웹브라우저 주소창 옆에 표시해줘, 피싱 방지에 도움이 된다. 일회용 비밀번호(OTP) 사용도 의무화했다. 보안카드를 잃어버리거나 복사해 쓰다가 유출돼 금융 사고로 이어지는 사례를 막기 위해 도입한 조치다.

물론 아직은 걸어온 길보다 갈 길이 더 멀다. “오픈뱅킹은 인터넷만 되면 어디든 제공하는 서비스를 목표로 삼고 있는데요. 바다 OS처럼 새로 등장하는 플랫폼도 지원해야 제대로 된 서비스일 텐데 아직은 부족한 실정입니다. 법이 바뀌거나 현재 환경에 맞는 대체 보안 프로그램이 나와줘야 하는데요. 요즘은 금융감독원도 인증방법평가위원회를 만들어 다양한 대체 인증 방식에 대해 적극 자문해주고 있어요. 다른 은행들도 어떻게 오픈뱅킹을 구현했는지 많이들 물어보고, 자체 서비스를 준비하는 분위기에요.”

석균철 팀장은 “궁극적으로는 우리은행 홈페이지 자체를 오픈뱅킹으로 대체하는 게 꿈”이라며 “그 날이 오면 오픈뱅킹 뒤에 붙은 버전명을 빼고 진짜 열린 e뱅킹 서비스로 거듭날 것”이라고 기대했다.

“다른 은행에서도 문의가 끊이지 않습니다. ‘어떻게 만들었냐고’들 넌지시 물어보곤 하죠. 사실 특별한 건 없어요. 그냥 웹표준을 지키려 노력했을 뿐입니다. 그게 전부에요, 하하.”

호기롭게 ‘수신거부’를 눌렀다간 순진한 사람 취급받기 십상이다. 스팸을 줄이려다 되레 스팸 폭탄을 맞기 일쑤이기 때문이다. 그러니 방도가 없다. 일일이 지우거나, e메일 필터링 방식으로 걸러내는 수 밖에.

이같은 디지털 쓰레기를 줄이고 건전한 정보 유통을 도모하고자, 한국인터넷진흥원에선 불법스팸 대응센터를 운영하고 있다. 웹사이트에 접속해 개인정보를 입력하고 피해 전화번호, 스팸 피해 내역 등을 입력하면 된다. 지난해 11월부턴 060 음성정보 서비스나 대리운전 스팸 문자메시지를 신고하면, 신고자 휴대폰 번호가 광고수신 거부 목록에 자동 포함되도록 하고 있다.

헌데 정작 스팸 문자메시지나 e메일을 신고하려들면 난감해진다. 인터넷 익스플로러(IE)에서만 스팸 신고 접수가 정상적으로 이뤄지기 때문이다. 스팸 내역을 신고하려면 ▲전화(휴대폰) 스팸 ▲이메일 스팸 ▲이메일-수신거부 후 재전송 ▲게시판 ▲전자적매체 ▲팩스스팸 ▲악성코드 가운데 해당되는 항목을 선택하면, 화면 아랫쪽에 신고 양식이 뜬다. IE가 아닌 파이어폭스나 구글 크롬, 사파리 등에선 메뉴를 눌러도 신고 양식이 뜨지 않는다. 모바일웹으로 접속해도 묵묵부답이긴 마찬가지다.

방법이 전혀 없는 건 아니다. 전화(118)로 신고하거나 PC용 간편 신고 프로그램인 ‘스팸캅’을 내려받아 설치하면 된다. 허나 짚어볼 일이다. 불법 스팸을 신고하는 데도 웹브라우저마다 문턱 높이가 다른 건 왜일까.

굳이 ‘보안’이 문제라면 대안을 마련해주면 될 일이다. 행정안전부는 지난 3월 스마트폰에서도 인터넷뱅킹 서비스를 이용할 수 있도록 공인인증서 이용 표준을 마련, 고시한 바 있다. IE 외에 다른 웹브라우저에서도 인터넷뱅킹을 이용할 수 있도록 지원도 확대하겠다고 밝혔다. 비록 공인인증서를 쓰는 방식이긴 하나, 다양한 인터넷 환경에서 인터넷뱅킹을 이용할 수 있는 ‘기술적 대안’을 마련해줬다는 점에서 진일보한 결정으로 평가된다. 우리은행은 7월초부터 OS나 웹브라우저에 관계 없이 은행 업무를 볼 수 있는 ‘오픈뱅킹’ 서비스를 제공하고 있다.

‘스팸 신고’ 앞에서 한국 비 IE 이용자는 디지털 장애인이 된다. ‘한국 인터넷 진흥’이 특정 OS나 웹브라우저에서만 이뤄지는 건 아니잖나. ‘동등한 이용자 경험’을 보장하는 일은 그래서 중요하다.

• [정부2.0] “e약자 접근성 배려는 공공 서비스의 의무”

브루스 슈나이어 영국 브리티시텔레콤 최고 보안 전문가가 한국 정부에 던진 따끔한 충고다. 브루스 슈나이어 박사는 세계적인 컴퓨터 보안 전문가이자 암호학 연구자다. 미국 국방성과 벨 연구소에서 일하며 ‘블로우피시’(Blowfish) 등 다수 암호 알고리즘 개발에 참여했으며 유명 보안 서적도 여럿 출간했다.

슈나이어 박사를 비롯해 해외 보안 전문가들을 초청한 ‘한국 전자금융거래 보안 기술 특별 강연회’가 4월29일 서울 코엑스에서 열렸다. 해외 보안 전문가들이 국내 인터넷뱅킹 보안과 전자결제 시스템에 대해 어떻게 바라보고 있는지 엿볼 수 있는 행사였다.

이날 행사에서 기조 강연자로 나선 슈나이어 박사는 안전한 인터넷 거래를 위해선 무엇보다 이용자 보안 의식을 높이는 게 중요하다는 견해를 밝혔다. 슈나이어 박사는 “암호학은 수학에 기초를 두고 보안 알고리즘을 만드는 수단일 뿐, 암호학이나 보안시스템이 보안 안전성 전부를 보장하는 것은 아니다”라며 “전자결제에서 본인 인증은 만능이 아니며 거래 인증이 더욱 중요하다”고 지적했다.

또한 “성공적인 보안을 위해서는 암호학과 브라우저 등의 기술적인 면도 중요하지만, 궁극적으로는 이용자 보안 의식이 함께 연계됐을 때 더 완벽한 보안체계를 제공할 수 있다”고 이용자 보안 의식 강화 노력이 병행돼야 할 것임을 지적했다.

허준호 옥스포드대 연구원과 김형식 캠브리지대 연구원도 비슷한 견해를 밝혔다. 두 연구원은 지난 2월 옥스포드대에서 발표한 ‘한국 인터넷뱅킹 보안에 관하여’라는 논문을 영국의 권위 있는 인터넷뱅킹 보안 전문가인 캠브리지대 컴퓨터랩의 로스 앤더슨 교수와 공동 집필했다.

두 연구원은 이번 강연에서 한국 전자금융거래 보안의 기술적 특성을 분석하고 장·단점을 제시해 눈길을 끌었다. 두 연구원은 “두 연구원은 복잡한 기술이 보안을 보장하는 것이 아니며, 소프트웨어 인증서는 보안의 한계가 있고 안티 바이러스 프로그램은 멀웨어 탐지율이 20~40% 수준에 머물고 있을 뿐”이라고 기술적 보안 만능주의를 경계했다.

마지막 발표자로 나선 루카스 아담스키 파이어폭스 보안 총책임자는 웹브라우저를 안전하게 이용하기 위해 웹 개발자들이 쓸 수 있는 다양한 기술을 소개하고, 이를 한국에서 사용되는 접근 방법과 비교하는 데 초점을 맞췄다.

그는 “한국에서는 서버 인증이 제대로 되지 않고 있으며, 서버 명칭과 보안 플러그인을 서명한 사람 사이에 아무런 연관이 없어 이용자가 안전성을 확인할 수 없는 것이 문제”라고 국내 웹브라우저 플러그인 인증 방식의 문제점을 꼬집었다.

루카스 아담스키는 그에 대한 대안으로 “https처럼 보안성이 향상된 웹사이트를 이용할 수 있도록 다양한 선택 기회를 제공해야 한다”라고 지적하며 “이를 위해서는 브라우저 내장형 SSL이 바람직한 형태가 될 것으로 보이지만, 운영체제나 웹브라우저 선택이 불가능한 독점 형태로 구성된 한국 웹 환경은 이런 점에서 매우 취약성이 있는 것으로 보인다”고 특정 OS와 웹브라우저만 지원하는 국내 인터넷뱅킹 환경의 문제점을 지적했다.

특히 브루스 슈나이어 박사가 마지막 질의응답 시간에 밝힌 의견은 국내 인터넷뱅킹 정책당국이 곱씹어 볼 만 하다. “단순한 신용카드 시스템이 현재 온라인 시스템보다 더 보안이 유리한 점이 있다는 사실에 주목할 필요가 있다.”

이번 특별강연회를 주관한 기업호민관실 이민화 호민관은 “이번 강연회를 통해 지난 10년간 공인인증서와 보안 플러그인에 의존해온 국내의 독특한 보안 기술 경향에 대한 근본적 재검토를 통해, 기존의 단일기술 강제화 방식에서 벗어나 다양한 보안기술의 발전을 촉발하는 방향으로 전자금융거래 보안방식이 개선되기를 기대한다”라고 밝혔다.

그로부터 3년. 김기창 교수가 책을 냈다. <한국 웹의 불편한 진실>. 3년동안 오픈웹 운동을 주도하며 보고, 느끼고, 분노하고, 주장했던 얘기들을 모았다. 보안은 커녕 위협만 초래하는 금융권 보안 프로그램이 난도질당하고, 아무리 봐도 그 효과가 의문스러운 전자서명 제도가 비판 도마에 올랐다. 내로라하는 국내 보안업체들에도 ‘잇속을 챙기기에 바쁜 몰염치한 장사꾼’이라는 비판이 돌아왔다. 지금껏 당연하게 여겨온 웹 환경들이 알고보면 허울투성이였단다. 사뭇 도발적이다. 우리는 지금껏 당연히 누려야 할 제 몫을 못 챙기고 있었던 걸까.

김 교수는 영국 유학을 마치고 돌아온 2003년, 한국의 절름발이 웹 환경을 직접 체험하고는 소송을 결심했다. “처음엔 IE 뿐 아니라 파이어폭스, 사파리, 오페라 등 다양한 웹브라우저에서 주요 웹사이트들을 이용할 수 있게 바꿔달라는 데 초점을 맞췄습니다. 그런데 곰곰히 생각해보니 그게 전부가 아니었어요. 이게 모바일까지 확대되면 어찌될 것인가. 아예 새로 시작할 수는 없는 노릇 아닙니까. 그래서 아예 플러그인 자체를 다 빼자는 쪽으로 선회를 했습니다. 3년 정도 오픈웹 활동을 하면서 저 스스로도 배운 셈이죠.”

김기창 교수의 칼날은 금융권 웹 환경 전반을 두루 겨눈다. 말 많은 액티브X 문제는 이미 귀 따갑게 들었으니 그렇다 치자. 인터넷뱅킹을 이용할 때마다 당연한 듯 설치해온 보안 프로그램이나 전자서명도 실은 문제투성이란다. 토종SW인 한글과컴퓨터 ‘아래아한글’과 2004년 싹텄다 중단된 ‘한국형 리눅스’ 개발 프로젝트에 대해서도 ‘참을 수 없는 국수주의의 가벼움’이란 칼날을 들이댔다.

그가 특히 문제삼는 건, 은행에 인터넷뱅킹용 솔루션을 공급하는 보안업체들의 영업방식이다. “지난 10년동안 보안업체들이 퍼뜨린 무수한 담론들이 있었어요. 키보드 해킹 방지 프로그램, 보안접속 프로그램, 개인 방화벽, 안티바이러스 등 인터넷뱅킹 한 번 하려면 무수히 많은 프로그램을 덕지덕지 설치해야 합니다. 보안업체들은 그래야 안전하다고 한 거고요. 기술이 취약했던 10년 전이라면 맞는 얘기일 지도 모르겠지만 지금은 다릅니다. 더 쉽고 안전하고 편리한 방법이 얼마든지 있어요. 그런데도 수익에 목마른 보안업체들은 여전히 낡고, 불편하고, 위험한 플러그인을 설치하고 인증하는 방식을 고수하고 있는 것이죠.”

그는 “은행권도 알고보면 피해자”라고 말했다. “시중은행 핵심 IT 지원단장과 얘기할 기회가 있었어요. 사실은 그들도 다양한 웹브라우저 환경에서 뱅킹 서비스를 제공하고 싶어하더군요. 그게 자기네에도 이익이니까요. 문제는 은행 IT 담당자의 e뱅킹 관련 기술 지식이 부족한 데 있습니다. 그러니 보안업체 영업 담당자가 세일즈하는 솔루션을 믿고 구입할 수 밖에요. 법규정에도 없는 전자서명을 말단 하위 규정 하나를 근거로 강제로 쓰게 하는 건 시민의 자유를 제한하는 범죄나 다름없는 일입니다.”

오픈웹은 2007년 1월, 금융결제원을 상대로 ‘공인인증서를 MS 인터넷 익스플로러에서만 이용할 수 있도록 한 것은 불공정 행위에 해당한다’며 손해배상 청구 조정 절차를 제기했다. 2007년 10월12일 서울중앙지법이 조정 불성립 결정을 내리자 오픈웹은 다시 금결원을 상대로 민사소송을 제기했지만 1심에서 패소했다. 김기창 교수는 곧바로 항소를 했지만 서울고등법원은 2009년 3월25일 항소를 기각했다. 이에 김기창 교수는 2009년 5월22일 대법원에 상고를 신청했다. 장문의 상고 이유서와 함께.

김기창 교수는 상고 이유서를 책 후기에도 간추려 실었다. 김 교수가 하고팠던 말은 무엇일까. “이 소송이 제기된 진정한 이유는 PC 운영체제 때문도 아니고, PC 환경에서 배포되는 웹브라우저 소프트웨어 때문도 아닙니다. 앞으로는 TV나 냉장고, 캠코더, 전화기 등 다양한 기기로 서비스가 확장되고 사업 잠재성이 충분히 발휘돼야 합니다. 어떤 기기든 컨텐트를 내려받으려면 돈을 지불해야 합니다. 금융거래가 안 끼는 데가 없죠. 그런데도 데스크톱PC가 전부인 양 생각하고, 그 가운데서도 윈도우·IE 환경만 대상으로 10년동안 영업을 하고 매출을 올린 겁니다. 그 결과 나머지 산업은 위축돼 버린 것이죠.”

책엔 소개되지 않았지만, 요즘 화젯거리인 아이폰 도입 논란에 대해서도 일침을 가했다. 김 교수가 보기에 아이폰 도입을 둘러싼 담론은 “우리나라 IT 정책의 치부를 그대로 드러내는 사건”이다. “한 마디로 국내 이통사의 횡포이죠. 이통사는 망 개방도 주저하고 데이터 요금제도 터무니없이 올려놓았습니다. 상식을 가진 이용자라면 그 요금 내고 안 씁니다. 그러니 컨텐트는 더욱 빈약해졌고 결국 코흘리개 청소년 돈 빼앗아 배를 채우고 있는 모양새죠. VoIP 기술을 모바일 기기에 활용하게 하면 파생산업 기회가 생기는데도 필사적으로 막고 있습니다. 멀리 내다보면 자기네 성장 가능성을 키우는 일인데, 스스로 막는 꼴입니다.”

오픈웹은 올해들어 ‘세이프뱅크‘ 웹사이트를 열었다. “지금껏 말로 설명했던 안전하고 편리한 인터넷뱅킹 서비스를 시범삼아 보여주기 위해서”란다. 웹사이트는 단순하고 깔끔하다. 플러그인을 깔라는 메시지도, 경고창도 없다. 그 대신 ‘https’로 시작하는 보안접속 경로를 이용했다. 피싱사이트에 속지 않도록 첫 화면에서 ‘주소가 https//로 시작하는지 확인’하라고 안내하고 있다.

인증 방식은 간단하다. “첫 단계에선 아이디만 입력합니다. 그러면 이용자가 미리 선택해둔 그림을 서버에서 던져줍니다. 아이디를 입력한 뒤 자신이 지정한 그림이 제대로 뜨면, 그 다음에 비밀번호를 입력하는 방식이죠. 그림이 안 맞으면 비밀번호를 입력할 이유가 없겠죠. 국민은행이 최근 이 피싱방지 방식을 도입했는데, 정작 원리를 제대로 이해하지 못한 모습입니다. 아이디를 넣으면 그림을 먼저 띄우고 나중에 비밀번호를 넣도록 해야 하는데, 국민은행은 아이디와 비밀번호를 모두 넣은 다음 그림이 뜨도록 했어요. 그러니 나중에 틀린 그림이 떠도 이미 아이디와 비밀번호가 노출돼 버렸으니 무슨 보안이 되겠어요.”

김기창 교수는 올해 하반기 ‘안식학기’를 맞았다. 이참에 7개월 일정으로 유학했던 영국 캠브리지대학에서 못다한 공부를 더할 요량으로 8월6일 출국한다. “모든 걸 내려놓고 홀가분한 마음으로 쉬다 올 예정”이라며 김 교수는 웃었지만, 쉬이 믿기지 않는다. 불편부당한 웹 환경이 개선되지 않는 한, 김 교수의 ‘이유있는 발언’도 쉬지 않을 테니까.

 안녕하세요. 바다란입니다.

 ActiveX에 대한 논란이 가열 되고 있습니다. 그러나 표준을 지켜야 한다, 그리고 기술종속이다 라는 측면에서의 문제점 부각만 되고 있는 것 같습니다. slashdot을 비롯한 해외 블로그 포스팅들이 MS에만 집중화된 환경에 대해서 조롱하는 뉘앙스가 많이 보이고 있는데 조금 다른 시각에서 보도록 하겠습니다. [지난번 포스트에서 약속(?)한 ActiveX에 대한 글입니다.]

 결론을 먼저 말씀 드리면  목적에 맞는 활용이 가장 중요한 부분이며 그러한 활용을 대한민국은 가장 효율적으로 활용 했다고 할 수 있습니다. 

Vista에서의 ActiveX가 왜 문제가 되는가 하는 부분은 보안적인 이슈가 가장 크다고 봅니다. 사실상 잘못된 인식의 오류가 Vista에서는 모든  ActiveX가 실행이 되지 않는다고 생각하는 점이 오류라고 볼 수 있습니다. ActiveX가 실행은 됩니다. 코드의 수정이 이루어 지면 충분히 가능합니다. 그러나 명확한 본질은  시스템의 권한을 이용하는 ActiveX의 사용에 문제가 있는 것입니다. 권한 문제는 보안의 문제라고 볼 수 있습니다.  왜 보안의 문제이고 왜 지금의 상황이 초래 되었는지에 대해서 이야기 해보겠습니다.

 http://it.slashdot.org/article.pl?sid=07/01/26/1455224

http://www.kanai.net/weblog/archive/2007/01/26/00h53m55s#003095 

위의 링크는 해외 이슈에 대한 블로그 및 의견 관련된 글입니다.  

사견을  말씀 드리면 해외의 상황과 지금 우리의 상황은 다르다는 이야기를 드리고 싶습니다. 그리고 해외 언론이나 의견에 대해  일희일비할때는 충분히 지나지 않았는가 생각 됩니다.   IT강국이라는 의미는 OS의 다양성에 대한 인정 보다는 IT라는 하나의 도구를 활용하여 얼마나 많은 생활에 접목을 시키고 활용을 하고 실생활을 낫게 만드느냐 하는 점에서 바라 보아야 한다고 생각 됩니다. 

인터넷 뱅킹을 예를 들면.. 이제 더 이상 금전 납부 및 이체를 위해 은행을 방문 하지 않습니다. 분명히 생활상의 개선과 편리, 비용의 절감이 이루어 졌습니다. 뱅킹을 이용하기 위해 분명한 본인 확인이 필요했고 본인확인의 과정에서 공인인증서라는 것이 이루어 졌습니다. 이런 안전하다고 보장된 인증매개체를 통해 금전 거래가 이루어 지는 것입니다. 물론 정책상 특정 OS 및 특정 환경에 의존된 부분은 분명한 문제라고 여깁니다.

 그렇다면 왜 특정 OS 및 특정 환경에 의존하게 되었을까요?. 이 부분은 지원 문제와 대중성 , 접근성 때문이라고 정의 할 수 있습니다. 

MS의 시행착오도 많지만 가장 큰 성과는 컴퓨터라는 도구를 생활속에서 보다 친숙하고 쉽게 접근 하도록 운영체제를 만들었다는 것에 있습니다. 보다 뛰어난 운영체제는 지금껏 있어 왔으나 대중에게 접근이 쉬운 운영체제는 현재로서도 MS의 윈도우즈 플랫폼이 뛰어 나다고 봅니다. 프로그래머나 IT 관련 기반지식이 있는 사용자들에게는 리눅스 플랫폼이 더 뛰어나고 개방성이 있고 조율이 가능하나 모든 사용자에게 해당이 되는 것은 아닙니다.  

http://news.naver.com/news/read.php?mode=LSD&office_id=034&article_id=0000346696§ion_id=105&menu_id=105

[ 2.1일자 기사 입니다. 인터넷 인구는 3400만 이고 4~50대의 사용비가 증가 하였다고 합니다. 이런 사용비의 증가가 과연 대중적 편리성이 없는 운영체제 상에서 가능 하였겠습니까? 과연 리눅스로 이 정도의 대중성을 확보 하는 것이 가능 하였을까요?  ]

 보다 쉽고 보다 접근이 쉬운 부분. 그 요소를 파악 했기 때문에 대중화가 이루어 진 것이고 한국의 발전 과정에서 보듯 IT 부분에서도 상당한 압축성장이 이루어 졌고 그 매개체는 대중화가 가능한가? 그리고 지원체제의 일원화를 통해 효과가 가장 큰 부분은 무엇인가에 역점을 두었습니다.  그래서 대중성이 높은 운영체제에 대한 지원체제 일원화가 이루어 진 것이죠.

 90년대 후반 국내의 상황에서 기술의 깊이 보다는 대중성을 통한 적용 범위의 확대 -> 적절한 도구의 선택 [ 대중성 측면에서 MS 솔루션 선호] -> 지원의 집중 [ 이부분에서 다양한 경로를 차단한 것이 실책일 수도 있습니다.]  기반기술을 완벽하게 지닌 것도 아니고 그렇다고 투입 가능한 자원이 무한정인 것도 아니여서 지원에 대한 집중은 어쩔 수 없는 면도 있지 않았을까 생각 됩니다.

 설명이 길었습니다.  정책에 대한 옹호도 아니며 발생된 상황에 대해 왜 그렇게 되었는지에 대해 설명을 하다보니 길어 졌습니다. 본래는 ActiveX , Vista ,보안은 어떤 관계인가에 대해서 설명을 하고자 하였는데… 

 가장 큰 책임의 주체는 Web을 통한 Active한 컨텐츠의 표현과 기능 구현을 위해 고안된 ActiveX 의 많은 권한 허용입니다. MS의 사상적인 기반과 관련이 있겠지만 인터넷을 통해 모든 것이 가능하게 만드는 방향성과 관련이 밀접한 기반기술중 하나 였을 것입니다.   그 다음은 특정 OS에 한정된 실행 한계의 설정이라고 할 수 있습니다. [ 이 부분은 지원의 집중 차원에서 초기에는 큰 방향에서 타당성이 있다고 보입니다. ]

  - to be continue..   p4ssion  

 *보안부분과 Vista , ActiveX에 대한 내용은 길어져서 글을 분리하여 다음 포스팅에 게시 하도록 하겠습니다. 인터넷 뱅킹 , 대중성 , 보안 이 이슈로 묶이는 포스트라 상황에 대한 설명이 필요 한 부분이라 적었습니다.

 최초 게시 blog는 http://blog.naver.com/p4ssion 입니다.