본문 바로가기
블로깅

전자금융거래법과 IE 종속 문제

by esstory 2008. 9. 11.

 

얼마 전 많은 블러거들의 환영 속에 발표된 구글의 새로운 브라우저 크롬과는 180도 다르게 몇 년 만에 새로운 버전의 발표를 목전에 둔 마이크로소프트의 IE8 은 출시도 되기 전에 ActiveX 얘기로 욕을 바가지로 먹고 있다.

 

ActiveX 와 관련된 이러한 혼란에는 영어를 제대로 모르거나, PC 가 뭔지도 모르는 기자들도 한 몫을 단단히 했다.



비스타에서 액티브X가 지원되는지조차 모르는 기자들이 이렇게 본질을 호도하고 있는 동안 IE only 로만 돌아 가고 있는 한국의 현실에 몹시도 못마땅해 오던 많은 블로거들에게 더할 나위 없는 떡밥이 되었다.

결국 한국 MS 에서 더 이상의 혼란을 막기 위해 직접 기자회견까지 가졌다.

 

IT 관련 매번 새로운 소식을 올린다는 몇몇 파워블로그조차 이번 기회를 바탕으로 병진 같은 금융권 인터넷 서비스를 같이 까고 나섰다.



나도 금융권 종사자지만, 미안하게도 별로 발등에 불이 떨어지지 않았다.

이미 IE 공식 블로거나 자료를 통해서 IE 의 새로운 버전에서 ActiveX 지원과 관련 큰 변화가 없을 것임을 잘 알고 있는 터에 오히려 사실과 상당히 차이가 나는 블로거들의 난리 법석이 더 걱정이다. 비스타에서는 OS 차원으로 권한이 변경되어 IE 에서 실행되는 ActiveX 가 영향을 받았지만, OS 와 무관하게 실행되는 IE8 UAC 와 같은 권한 문제를 초래할 것이라고 생각하는 것 자체가 넌센스다.

 

특히 ActiveX 얘기만 나오면 금융권 사이트들을 싸잡아 욕하는 사람들 보고 있으면 머리가 아프다.

마이크로소프트가 금융권에 주기적으로 상납하는 것도 아니고 무엇 때문에 홈페이지를 공인인증이다, 암호화 프로그램이다, 키보드 보안 프로그램이다 수 많은 ActiveX 로 도배하고 있다고 생각하는가?

 

이 모두는 바로 똑똑하신 정통부, 금감원, 국회의원이 다 같이 힘을 모아 만든 전자 금융 거래법 때문이다.

 

우리나라 전자 금융 거래법에 보면 다음과 같은 시행령이 있다.

 

전자금융거래법 시행세칙 29 2 3

이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자PC에 개인용 침입차단 시스템, 키보드 해킹방지 프로그램 등의 보안 프로그램을 설치할 것 (다만, 고객의 책임으로 본인이 동의 하는 경우에는 보안프로그램 해제 가능)

 

이 법대로, 모든 은행과 증권 등의 금융 사이트들은 웹 표준이고 뭐고간에 수 많은 프로그램을 고객 PC에 설치하고 있다.

프로그램을 조금만 아는 사람이면 알 수 있겠지만 키보드 보안 프로그램이나 방화벽이 어디 웹에서 상상이나 할 수 있는 서비스인가. 플래시로 공인인증서를 대체한 걸 가지고 이제 모든 금융거래는 플랫폼에 상관없이 할 수 있지 않느냐고 하는 사람들은 빨리 냉수 먹고 꿈을 깨기 바란다. (IT 전문 블로거들도 이런 분위기에 합심하는 걸 보면 정말 뭘 알고 떠드는 건지 모르겠다)

 

키보드 보안 프로그램은 윈도우 시스템 깊숙이 숨어서 키보드를 훅킹하고 있는 키로고와 맞붙어야 하는 엄청난 시스템 권한을 가진 프로그램이다.

사실 이정도 철저하게 보안을 가지려면 웹으로 제공할 방법은 IE ActiveX 외에는 답이 없다. 왜냐하면 웹 표준과, 안전한 웹 서핑을 보장하려는 후발주자인 FireFox나 다른 브라우저들은 이러한 ActiveX 가 가진 양면성을 알고 있기 때문에 ActiveX 와 같은 시스템 작업을 아예 허락하지 않는다.

 

게다가 전자금융거래법에는 금융기관에게는 족쇄와 같은 무시무시한 규정이 있다.

 

전자금융거래법 9 1

금융기관 또는 전자금융업자는 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다. (단 이용자의 고의나 중대 과실이 있는 경우는 예외 : 9 2)

 

고객이 금융권에서 제공하는 보안프로그램을 모두 설치하고 정상적으로 수백억을 이체 했는데 만약 해킹으로 인해 이 돈이 다른 곳으로 빠져나갔다고 하자. (이미 이런 기법은 수없이 많이 나왔다)

법에 의해 모든 책임은 1차적으로 금융회사에 있다.

고객 PC 에 초울트라 파워 해킹 프로그램이 설치되어 있어서 키보드 보안도 뚫리고, 개인방화벽도 속수무책으로 당하고 OTP, 보안카드, 공인인증까지 뚫렸다면, 그건 고객 책임이 아닌 것이다.

 

어떻게 보면, 법률 입안자들은 아무래도 돈이 많은 사람들임에 분명하다.

자기 돈이 떼이더라도 책임은 금융회사가 지도록 법을 잘도 만들었다. 그러니 만일 돈이 많은 사람들이라면 IE ActiveX 를 너무 욕하지 마시라. 당신이 실수로 바이러스와 수많은 해킹 프로그램을 개인 PC 에 보유하고 있어도 금융회사가 돈을 책임진다.

 

다시 하던 얘기나 계속 하면..

 

이러한 법률적 문제 등으로 인해 금융권에서는 웹 표준과는 안드로메다만큼 거리가 멀지만, 현실적으로 웹과 가장 유사한 서비스를 하는 것처럼 보이는 IE ActiveX 만을 고수하고 있다.

 

다른 브라우저와, 다른 OS 는 전혀 고려 대상이 아닐 수 밖에 없다.

 

이와 관련해서 대안이 있다면 (법을 고치지 않은 범위에서) 딱 하나 밖에 없다.

 

모든 금융 사이트에 접속할 때 별도 프로그램을 내려 받아, 어플리케이션을 실행하고 그 어플리케이션에서는 키보드 보안, 방화벽, /복호화 등의 각종 보호를 받는 방법 밖에 없다.

과연 이건 편리할까?

 

당신이 금융사이트 10군데를 방문하면 10 개의 프로그램을 설치해야 한다.

게다가 윈도우가 아닌 다른 플랫폼에는 역시 될 가능성 제로다.

리눅스나 맥을 위해 엄청난 돈을 퍼부어 키보드 보안, 방화벽, OPT 등의 솔루션을 제공할만한 여력이 있는 회사가 몇 군데가 있겠는가. 금감원의 새로운 보안 프로그램 개발에도 시간이 없는데..

 

내 글이 어떻게 읽혔는지 모르지만 내 개인적으로도 ActiveX 는 당연이 지양되어야 할 기술이라고 생각한다.

하지만 법이 처한 현실을 고려하지 않고 어찌 보면 피해자일지 모르는 금융사는 제발 그만 욕해 줬음 좋겠다.  금융회사가 법을 어길 수는 없지 않은가.

예전에 2000 년도인가, 공인인증서 하나 개발할 때도 엄청난 시스템 개발 시간이 필요했었다. 정통부에서 당시에는 엄청난 의욕을 가지고, 이거 하나면, 개인 인감처럼 사용하고 문제가 없을 것처럼 서둘렀지만, 수년이 지난 지금에도 키로거 하나에 쉽게 뚫리는 공인인증서의 무력함을 보면 허무하기 짝이 없다.

키보드 보안 프로그램을 아무리 잘 만들어도, 비밀번호로 인식되지 않는 고객 계좌 번호 같은 걸 살짝 바꿔치기해서 아무도 눈치채지 못하게 이체를 하는가 하면 암호화 ActiveX 프로그램을 분석해 내는 메모리 해킹까지 사실 보안 문제는 생각하면 생각할수록 심각한 구멍이 많다.

 

안전한 금융거래와 어디서나 접근이 보장되어야 한다는 웹 표준과의 괴리가 우리 나라만큼 벌어진 나라가 있을까 싶다.

어디서부터 잘못된 것인지는 모르지만, 법부터 현실을 고려하고, 사용자의 책임도 어느 정도 인정해서 유도리있게 대처할 수 있도록 변경했으면 좋겠다.

 

 

 


댓글