: TB의 SNS 이야기 :: 금감원, 애플스토어도 공인인증서 의무화



'정신이 나갔다는 표현이 적합할까?' 금감원이 앞으로 애플스토어(http://store.apple.com/kr)에도 공인인증서 사용을 의무화 할 것이라고 한다. '이 상황을 어디서부터 어떻게 설명을 시작해야할지' 조차 갑갑하기도 하고 IT <강>국을 자처하는 IT <걍>국의 현실이 씁쓸해서 글을 남겨볼까 한다.


10월 8일 금융감독위원회에서는 국내에서 유일하게 공인인증서 없이 결제가 가능한 애플스토어에 대해서 10월 10일 부터 30만원 이상 결재시 KG이니시스의 공인인증서 사용을 '의무화' 하라고 지시했다. ← 지금 이게 어떤 상황이냐면


30만원이 넘는 기기(MAC, 무약정 아이폰/아이패드/아이팟터치)를 구매하기 위해서는 엑티브X를 설치해야만 하는 KG이니시스의 공인인증서를 사용해야만 한다는 얘기다. 현재 공인인증서가 적용되는 브라우저는 인터넷 익스플로러(Internet Explorer), 파이어폭스(Firefox), 크롬(Chrome)이다. 애플(Apple)의 사파리(Safari)는 지원되지 않으며 OS X에서도 지원되지 않는다. 그러니까 애플의 스토어에서 애플의 운영체제인 OS X가 아닌 아닌 MS의 윈도우 운영체제를 써야만 한다는 얘기다.


이 얘기인 즉, 애플의 전세계 점유율 중 최하위 수준인 한국에서 애플 역사상 유례 없는 특별 대우로 KG이니시스의 공인인증서를 지원해야 한다는 얘기고, 굳이 MS의 윈도우 운영체제를 지원할 이유도 필요도 없는 애플이기에 앞으로 국내에서는 애플스토어를 통해서 MAC, 아이폰/아이패드/아이팟터치를 구매할 수가 없을 수도 있다.는 얘기겠으며, 리테일러샵에서 대행 판매를 하지 않는 이상 아이폰/아이패드는 무조건 이통사를 거처서 사야만 할 수도 있다.는 얘기다. ← 깊은 빡침에 쉼호흡 한번 하고 계속 가자.



OS X나 iOS에서는 당분간 공인인증서가 없어도 결제가 되지만 금감원은 "윈도우 외 운영체제에는 시간과 비용이 들기 때문에 유예기간을 두는 것"이라고 언급했다. 익명의 KG이니시스 관계자는 "윈도우 외 운영체제에서 공인인증서를 개발하려면 카드사와 협의를 해야하며 사실상 윈도우 외 운영체제에서 공인인증서를 적용하는 것이 어렵다."고 밝혀 윈도우 운영체제에 관한 지원을 '할 수도 할 생각도 없다.'는 것을 간접적으로 밝혔다.(출처)


금감원의 이번 결정은 딱히 애플스토어를 이용하는 국내 애플 소비자만의 문제는 아니다. 이땅에서 사라져야 할 1순위도 아니고 0순위인 결재대행수단 KG이니시스의 공인인증서와 엑티브X가 문제다.


#1. MS가 만든 엑티브X 악성코드 유포 경로, MS도 포기


지난 7월 24일 국회 정무위 법안심사소위는 공인인증서 의무화 폐지를 담은 전자금융거래법 개정안 법안 통과를 시도했으나 좌절됐다. 한 인터넷관계자에 따르면 "10년 넘게 유지돼 온 잘못된 제도를 고치기 위해 최근 두 달 동안 총력을 기울였으나 단 15분 만에 무산돼버렸다. 허탈하다."는 심정을 밝혔다.(출처) 이처럼 시민단체와 국회에서까지 KG이니시스의 공인인증서와 엑티브X의 보안상 문제점을 지적했으나 금감원에서 거부했다는 얘기다. MS조차 엑티브X가 보안에 취약하다고 사용하지 말것을 권고하는 마당에 금감원이 앞장서서 사용하라는 얘기다.


#2. 엑티브X 해커에게 좋은 먹잇감, 무용지물 공인인증서


지난 MBC 뉴스에서 보도된 내용으로 미래창조과학부 조차 엑티브X가 보안에 취약하고 사용이 불편하기 때문에 공인인증서 강제를 하지 말아야 한다.고 하는 마당에 도대체가 금융감독위원회는 무슨 생각으로 KG이니시스의 공인인증서와 엑티브X를 강제하는 것일까?



공인인증서는1997년 시작된 벤처붐의 산물로 2000년 전세계에서 가장 앞섰다는 자칭 IT 강국이라는 '자뻑'으로 부터 유례됐다. 당시 국내 업계에서는 세계 최초로 128비트 보안체제를 개발했고 이를 금융거래에 활용하고자 했다. 그런데 아이러니 하게도 이 기능이 IE 브라우저에서 지원하는 기능이 아니기 때문에 엑티브X라는 보안에 취약한 기능을 활용했다.


액티브X는 사용자의 컴퓨터에 특정 기능을 추가(프로그램 설치)하기 위해서 컴퓨터의 보안을 일시적으로 해제하는 기능이다. ← 당연히 엑티브X는 보안에 취약성이 있다. 시쳇말로 '연말정산 한번하면 PC가 걸레가 된다.'는 말이 있듯이 지금 국내 모든 금융거래는 심지어 은행 인터넷뱅킹조차 이 보안에 취약한 엑티브X 이뤄진다.


#3. 공인인증서 문제의 해법


오픈웹(http://opennet.or.kr)을 운영하는 고려대학교 김기창 교수는 짧은 동영상으로 일반 사용자들이 알기 쉽게 공인인증서의 문제점과 해법을 제시한다.


. 공인인증서 FAQ(http://opennet.or.kr/1789)

. 공인인증서 논란과 해법(http://opennet.or.kr/3996)



김기창 교수에 따르면 보안에 취약한 엑티브X를 통해서 얼마든지 해킹으로 복사가 가능한 '공인인증서'가 전혀 불필요하다는 것이다. 이유인 즉 공인인증서의 핵심은 키보드 암호화 프로그램인데 이 암호라는 것이 전적으로 사용자 자신이 정하는 부분이기 때문이 이 부분은 어떤 보안 기술도 해결할 수 없는 부분으로 더 나은 보안기술을 사용할 수 있도록 금감원 KG이니시스의 공인인증서 사용 강제를 하지말아야 한다고 전했다.


더불어 한국의 금융보안은 KG이니시스의 공인인증서가 지키는 것이 아니라 '보안카드'가 지키는 것이라고 덧붙였다.


사실 어떠한 운영체제나 보안프로그램도 '사용자 자신'이 가장 큰 보안 구멍이라는 말이 있다. 일반 사용자들은 '보안 전문가'가 아니라는 것은 둘째치고 딱히 IT에 관심이 없거나 기기를 잘 다룰 줄 모르는 대다수의 사람들은 '보안 구멍'에 해당된다는 것이 '팩트'다. 이 말을 곱씹어볼 필요가 있는 것이 솔직히 대다수의 사람들이 너무 뻔한 비밀번호를 사용중이라는 것이다.


이런 뻔한 비밀번호는 해킹기술을 가진 해커가 아니더라도 여러가지 조합(생일, 전화번호, 주민번호, 이름 등)을 통해서 알아 낼 수 있는 부분이고 '구글링' 몇번 하면 이런 사용자들의 비밀번호를 알아내는 것이 어렵지 않다. 게다가 각종 사이트에 대한 비밀번호를 '똑같이' 사용하니 공인인증서가 보안을 책임질 수 없다는 것이 핵심이다.


. 해킹 안 당하는 비밀번호 쉽게 만드는 법(참고)


이즈음 되면 글 첫 문구로 '정신이 나갔다는 표현이 적합할까?' 국민 세금으로 월급받는 금융감독위원회, 대한민국의 금융정책을 책임질 자격이 있나? 부터 따져봐야겠다.


 T.B의 SNS 이야기 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.

▲ 비영리 SNS(트위터, 페이스북 등), 온라인 커뮤니티, 카페 게시판에서는 자유롭게 공유 가능합니다.


T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.

Posted by T.B

댓글을 달아 주세요

  1. BlogIcon 도플파란 2013.10.10 22:08 신고  댓글주소  수정/삭제  댓글쓰기

    저거 보고 참 어이 없었어요...

  2. BlogIcon rabbitCJ 2013.10.15 20:57 신고  댓글주소  수정/삭제  댓글쓰기

    깊은 빡침이 올라 오네요

    어떻게 흘러 갈지.. 유튜브 국가설정 사건도 떠오르네요

    그때는 주민번호 받아라 하더니 이제와서 주민번호 다 폐기해라.

    논리도 없고 계획도 없이 그때그때 맘대루 정책

    정부-금감원 은 무슨 툴 이나 꼭 뭘 거창하게 보이는 걸(규격에도 없는) 만들어서

    생색만 내려고 하는지, 덕지덕지 도움도 안되는 키보드외 등등 보안프로그램

    과 '껍데기' 같은 공인인증서. 그 보안 딱지만 붙은 프로그램들 좀 잘 만들기나 해서 오류메시지

    나 안봤으면... 탈옥폰 뱅킹 막기전에 자기네들 할거나 똑바로 하지..