2007년 02월 09일

은행 보안과 개인의 자유


사실, ActiveX 없이 결제 잘만 된다. - 밀피유의 주말한정 이야기


저는 키로거나 기타 악성 프로그램에 의한 개인정보 유출은 사용자 책임이라고 생각하는 사람입니다. 자신의 컴퓨터를 깔끔하게 관리해야 하는 책임은 본인에게 있지요. '전쟁터에서 자기 총칼 관리는 자기가 잘해야죠.' 라는 비유는 어떨까요.

우리나라 결제시스템의 문제중 하나는 ActiveX 의 강요에 있지 않나 생각합니다. 자신의 컴퓨터에 키로거 등등이 깔려있지 않다는 확신이 있는 사람에게 키로깅 방지 소프트웨어를 강요하고, 서비스를 이용하지 못하게 하는 행위는 분명 저의 자유를 침해하고 있다고 볼 수 있는 것이지요. 싫으면 그 은행 서비스를 안쓰면 그만이지만 우리나라엔 다른 적절한 대안조차 찾을 수가 없습니다(법 탓이라고 하지만요).

은행측에서 여러 단계의 보안 수준을 마련해주고(그중 일부는 ActiveX 를 꼭 거치지 않아도 되는), 이를 통해 사용자의 자유와 권익을 보장해주는 등의 여러 방법들이 있을텐데, 이러한 좋은 방법이 경제적 논리에 의해 부정당하는 요즘 세상을 보면, 우리네 기업들의 - 그리고 자본주의 위에 군림하는 기업을 옹호하는 사람들의 - 인심(?)이 야박하다는 생각이 듭니다. 법도 그렇구요. :)

by stania | 2007/02/09 15:18 | 트랙백 | 덧글(7)

트랙백 주소 : http://stania.egloos.com/tb/2988035
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Commented by 고어핀드 at 2007/02/09 15:34
자기 카드 비밀번호 관리하는 것하고 컴퓨터 관리하는 건 본질적으로 다르지 않은 행동이라고 생각함. 다만 이 당연한 사실이 어째 안 당연한 것처럼 받아들여진다는 사실이 -_-; 사람들 기초적인 방화벽 켜는 것도 싫어하는 경우가 많아. 인터넷 느려진다고.
Commented by D.L at 2007/02/09 16:54
에 또 그러기에는 대다수의 사용자가 키로거가 뭔지도 모르는 로우 레벨 유저가 많고,
컴 사용 == 익스 사용 정도인사람이 많기 때문이지...
뭐 그럼에도 불그하고 필요없다는데도 강요하는게 웃긴건 많지만

뭐 나중에 일 터졌을때 은행의 책임회피를 위한 포석인 것 같기도 하고... 흠흠
Commented by dasony at 2007/02/09 17:35
얼마전에 인터넷 뱅킹 사용자가 키로거에 당해서 돈을 잃어버렸을때, 사용자 책임이지만 은행이 "도의적인 차원"에서 배상해준 적이 있었죠. 그리고 그때 키로깅 방지나 안티바이러스 프로그램 등이 사이트에 있지만, "사용자가 안깔면 그만"이라 보안상 문제가 있다고 언론에서 때렸었고..

저도 ActiveX 없는 세상이 오길 바라지만, 은행의 입장에서 봐도 좀 답답하겠죠. 개인적으로는 인터넷 뱅킹 사용시에 초보자들은 각종 보안 프로그램과 ActiveX을 사용해야만 인터넷 뱅킹을 사용할 수 있도록 하고, stania님같은 분들한테는 내 보안은 내가 하니 걱정마라라는 체크박스 하나만 받고 ActiveX 없이 사용할 수 있도록 해주면 좋겠습니다. 하지만 그전에 인증서부터 어떻게 좀;;

오픈웹의 소송에만 기대하고 있을뿐입니다.
Commented by 라쥬 at 2007/02/09 23:36
저의 경우에는 ActiveX 에는 별 거부감이 없네요. 별로 컴퓨터에 부하를 거는 것 같지 않아서 입니다. 자유 같은거는 별로 생각해보지 않았지만, 용인할 수 있는 수준이라고 보이네요.

하지만 인증서가 문제군요. 인증서 덕분에 요즘은 계좌 이체만 씁니다 [...]
Commented by Cicero at 2007/02/10 01:20
은행의 ActiveX들은 사실 퍼포먼스에 큰 장애는 없는데, 은행마다 5~6개씩 내 컴에 뭔가를 설치하는 건 아무래도 좀 찜찜한 기분이 들어서 (...)
그리고 회사들이 은행 하청받아서 커스터마이징만 들입다 해서 납품하고 땡...해버려서 이건 같은 회사의 모듈도 은행바다 온갖 버전이 다 깔리질 않나; 설치된 프로그램 목록 보면 정말 참혹하다는 말밖엔 안나오는 (...)
그리고 난 키로그 따위 신경쓸거면 차라리 스마트카드나 OTP generator같은 physical layer를 두면 되는 거 아닌가. 예전에 씨티였나 HSBC에서 OTP를 썼던 것 같은데 요새는 아닌듯 하고. 애초에 저런 물리적 계층을 둬버리면 사고 터져도 은행은 전혀 책임을 질 필요 없을테니 더 나을 것 같은데. 기분상으로도 저쪽이 뚫린건 사용자가 카드나 비밀번호 유출한 거나 마찬가지 수준이니 도의적인 배상 운운할때 가볍게 씹어줄 수도 있을테고. XP방화벽에 Antivirus에 상용 Internet Security까지 쓰고 있는 사람이 뱅킹할때마다 파이어월 깔고 키로그방지 깔고 (심지어 어디는 백신까지 깔아주더만-_-) 해야만 하게 만드는지 좀 짜증이 남;
....그 이전에 비스타 깔았다고 일주일째 뱅킹 페이지에 진입도 못 하게 해놓은 것부터 어떻게 해줬으면 좋겠지만. 이건 보면 MS지향도 아닌거 같은 느낌이라니까. 그냥 자폭모드.
Commented by Cicero at 2007/02/10 01:31
그리고 아마 현행법은 공인인증, SEED와 SSL에 대한 강제 조항만 있을거야. 문제는 SEED를 내장한 브라우저가 거의 없어서(파폭3에 들어간다는 이야기가 있긴 하던데) 이걸 따로 구현했는데 그게전부 ActiveX-_- 라는 거;; 심지어 아예 쓰는김에 썼는지 SSL 레이어 통신까지 ActiveX로 하는것들이 많더군 (...) 브라우저는 거의 UI용 플랫폼으로만 쓰고 있는데가 부지기수 (...)
Commented by 로이 at 2007/02/10 10:23
어차피 완벽한 보안은 없는 법..

키로거가 사용자 책임이라고는 하지만..
은행이 서비스하는 차원에서 보안카드 번호를 주기적으로 교체하게 한다든지 등의
오프라인상 보완책도 생각해 볼 필요가 있음..

ActiveX의 문제는 강요가 제일 문제..
선택사항으로 돌린다면 별 문제가 없음..
왜 굳이 온라인상의 보안이 ActiveX인가에 대해서는 잘 모르겠네..
공공적으로 제공되는 특정한 프로그램 하나정도 있어서..
이게 감시를 잘 해내면 되지.. 굳이 은행마다 따로 둘 필요는 없는 듯..
물론 선택사항이므로 사용자 임의로 원하는 보안을 하면 될 듯..

:         :

:

비공개 덧글

◀ 이전 페이지다음 페이지 ▶