전자금융거래법과 IE 종속 문제

2008.09.11 07:16블로깅

 

얼마 전 많은 블러거들의 환영 속에 발표된 구글의 새로운 브라우저 크롬과는 180도 다르게 몇 년 만에 새로운 버전의 발표를 목전에 둔 마이크로소프트의 IE8 은 출시도 되기 전에 ActiveX 얘기로 욕을 바가지로 먹고 있다.

 

ActiveX 와 관련된 이러한 혼란에는 영어를 제대로 모르거나, PC 가 뭔지도 모르는 기자들도 한 몫을 단단히 했다.



비스타에서 액티브X가 지원되는지조차 모르는 기자들이 이렇게 본질을 호도하고 있는 동안 IE only 로만 돌아 가고 있는 한국의 현실에 몹시도 못마땅해 오던 많은 블로거들에게 더할 나위 없는 떡밥이 되었다.

결국 한국 MS 에서 더 이상의 혼란을 막기 위해 직접 기자회견까지 가졌다.

 

IT 관련 매번 새로운 소식을 올린다는 몇몇 파워블로그조차 이번 기회를 바탕으로 병진 같은 금융권 인터넷 서비스를 같이 까고 나섰다.



나도 금융권 종사자지만, 미안하게도 별로 발등에 불이 떨어지지 않았다.

이미 IE 공식 블로거나 자료를 통해서 IE 의 새로운 버전에서 ActiveX 지원과 관련 큰 변화가 없을 것임을 잘 알고 있는 터에 오히려 사실과 상당히 차이가 나는 블로거들의 난리 법석이 더 걱정이다. 비스타에서는 OS 차원으로 권한이 변경되어 IE 에서 실행되는 ActiveX 가 영향을 받았지만, OS 와 무관하게 실행되는 IE8 UAC 와 같은 권한 문제를 초래할 것이라고 생각하는 것 자체가 넌센스다.

 

특히 ActiveX 얘기만 나오면 금융권 사이트들을 싸잡아 욕하는 사람들 보고 있으면 머리가 아프다.

마이크로소프트가 금융권에 주기적으로 상납하는 것도 아니고 무엇 때문에 홈페이지를 공인인증이다, 암호화 프로그램이다, 키보드 보안 프로그램이다 수 많은 ActiveX 로 도배하고 있다고 생각하는가?

 

이 모두는 바로 똑똑하신 정통부, 금감원, 국회의원이 다 같이 힘을 모아 만든 전자 금융 거래법 때문이다.

 

우리나라 전자 금융 거래법에 보면 다음과 같은 시행령이 있다.

 

전자금융거래법 시행세칙 29 2 3

이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자PC에 개인용 침입차단 시스템, 키보드 해킹방지 프로그램 등의 보안 프로그램을 설치할 것 (다만, 고객의 책임으로 본인이 동의 하는 경우에는 보안프로그램 해제 가능)

 

이 법대로, 모든 은행과 증권 등의 금융 사이트들은 웹 표준이고 뭐고간에 수 많은 프로그램을 고객 PC에 설치하고 있다.

프로그램을 조금만 아는 사람이면 알 수 있겠지만 키보드 보안 프로그램이나 방화벽이 어디 웹에서 상상이나 할 수 있는 서비스인가. 플래시로 공인인증서를 대체한 걸 가지고 이제 모든 금융거래는 플랫폼에 상관없이 할 수 있지 않느냐고 하는 사람들은 빨리 냉수 먹고 꿈을 깨기 바란다. (IT 전문 블로거들도 이런 분위기에 합심하는 걸 보면 정말 뭘 알고 떠드는 건지 모르겠다)

 

키보드 보안 프로그램은 윈도우 시스템 깊숙이 숨어서 키보드를 훅킹하고 있는 키로고와 맞붙어야 하는 엄청난 시스템 권한을 가진 프로그램이다.

사실 이정도 철저하게 보안을 가지려면 웹으로 제공할 방법은 IE ActiveX 외에는 답이 없다. 왜냐하면 웹 표준과, 안전한 웹 서핑을 보장하려는 후발주자인 FireFox나 다른 브라우저들은 이러한 ActiveX 가 가진 양면성을 알고 있기 때문에 ActiveX 와 같은 시스템 작업을 아예 허락하지 않는다.

 

게다가 전자금융거래법에는 금융기관에게는 족쇄와 같은 무시무시한 규정이 있다.

 

전자금융거래법 9 1

금융기관 또는 전자금융업자는 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다. (단 이용자의 고의나 중대 과실이 있는 경우는 예외 : 9 2)

 

고객이 금융권에서 제공하는 보안프로그램을 모두 설치하고 정상적으로 수백억을 이체 했는데 만약 해킹으로 인해 이 돈이 다른 곳으로 빠져나갔다고 하자. (이미 이런 기법은 수없이 많이 나왔다)

법에 의해 모든 책임은 1차적으로 금융회사에 있다.

고객 PC 에 초울트라 파워 해킹 프로그램이 설치되어 있어서 키보드 보안도 뚫리고, 개인방화벽도 속수무책으로 당하고 OTP, 보안카드, 공인인증까지 뚫렸다면, 그건 고객 책임이 아닌 것이다.

 

어떻게 보면, 법률 입안자들은 아무래도 돈이 많은 사람들임에 분명하다.

자기 돈이 떼이더라도 책임은 금융회사가 지도록 법을 잘도 만들었다. 그러니 만일 돈이 많은 사람들이라면 IE ActiveX 를 너무 욕하지 마시라. 당신이 실수로 바이러스와 수많은 해킹 프로그램을 개인 PC 에 보유하고 있어도 금융회사가 돈을 책임진다.

 

다시 하던 얘기나 계속 하면..

 

이러한 법률적 문제 등으로 인해 금융권에서는 웹 표준과는 안드로메다만큼 거리가 멀지만, 현실적으로 웹과 가장 유사한 서비스를 하는 것처럼 보이는 IE ActiveX 만을 고수하고 있다.

 

다른 브라우저와, 다른 OS 는 전혀 고려 대상이 아닐 수 밖에 없다.

 

이와 관련해서 대안이 있다면 (법을 고치지 않은 범위에서) 딱 하나 밖에 없다.

 

모든 금융 사이트에 접속할 때 별도 프로그램을 내려 받아, 어플리케이션을 실행하고 그 어플리케이션에서는 키보드 보안, 방화벽, /복호화 등의 각종 보호를 받는 방법 밖에 없다.

과연 이건 편리할까?

 

당신이 금융사이트 10군데를 방문하면 10 개의 프로그램을 설치해야 한다.

게다가 윈도우가 아닌 다른 플랫폼에는 역시 될 가능성 제로다.

리눅스나 맥을 위해 엄청난 돈을 퍼부어 키보드 보안, 방화벽, OPT 등의 솔루션을 제공할만한 여력이 있는 회사가 몇 군데가 있겠는가. 금감원의 새로운 보안 프로그램 개발에도 시간이 없는데..

 

내 글이 어떻게 읽혔는지 모르지만 내 개인적으로도 ActiveX 는 당연이 지양되어야 할 기술이라고 생각한다.

하지만 법이 처한 현실을 고려하지 않고 어찌 보면 피해자일지 모르는 금융사는 제발 그만 욕해 줬음 좋겠다.  금융회사가 법을 어길 수는 없지 않은가.

예전에 2000 년도인가, 공인인증서 하나 개발할 때도 엄청난 시스템 개발 시간이 필요했었다. 정통부에서 당시에는 엄청난 의욕을 가지고, 이거 하나면, 개인 인감처럼 사용하고 문제가 없을 것처럼 서둘렀지만, 수년이 지난 지금에도 키로거 하나에 쉽게 뚫리는 공인인증서의 무력함을 보면 허무하기 짝이 없다.

키보드 보안 프로그램을 아무리 잘 만들어도, 비밀번호로 인식되지 않는 고객 계좌 번호 같은 걸 살짝 바꿔치기해서 아무도 눈치채지 못하게 이체를 하는가 하면 암호화 ActiveX 프로그램을 분석해 내는 메모리 해킹까지 사실 보안 문제는 생각하면 생각할수록 심각한 구멍이 많다.

 

안전한 금융거래와 어디서나 접근이 보장되어야 한다는 웹 표준과의 괴리가 우리 나라만큼 벌어진 나라가 있을까 싶다.

어디서부터 잘못된 것인지는 모르지만, 법부터 현실을 고려하고, 사용자의 책임도 어느 정도 인정해서 유도리있게 대처할 수 있도록 변경했으면 좋겠다.

 

 

 


TAG

  • 프로필사진
    BlogIcon MegaWave2008.09.11 12:56

    정말 좋은 글이었습니다. 잘 읽고 갑니다. ^^
    법이 문제로군요...

    • 프로필사진
      BlogIcon esstory2008.09.11 13:09 신고

      네 법이 문제예요. IE 도 ActiveX 도 아닌 법이 문제지요.
      근데 어찌보면 PC 에 바이러스 수십개쯤은 아무렇지도 않게 가지고 있는 개인 사용자를 최대한 보호하려는 의도가 있었다고 보입니다.
      누군가는 귀찮기만 하겠지만 누군가에게는 자기의 소중한 재산을 지켜주고 있겠지요.
      법도 법이고, 이를 시행하는 금융기관이나, 감사하는 금감원에서도 현실적인 대안을 고민해 봤으면 좋겠고 이제 그럴 시점이 무르익은것 같아요

  • 프로필사진
    BlogIcon Hwan2008.09.12 03:21

    금융권이야 어쩔 수 없는 부분이 있다고 하지만, 인터넷 쇼핑까지도 다른 플랫폼에서 벙어리가 되 버리는 것은 문제가 있다고 생각합니다. 기술적인 내용은 잘 모르지만 브라우저에서 제공하는 인증 및 보안을 사용하지 않고 굳이 ActiveX를 통해서 가능하게 하는 것도 역시 관련 규정 때문이라고 하던데요. 역시나 규정부터 고쳐져야 하는 것이 맞을 것 같습니다.

    • 프로필사진
      BlogIcon esstory2008.09.12 10:59 신고

      쇼핑몰에 적용되는 법은 저도 잘은 모르지만, 일정금액 이상인 경우 공인인증은 필수이니, 공인인증 모듈을 위한 ActiveX 는 무조건 설치일거 같구요. 거기에 암호화 프로그램 정도 있을거 같습니다.
      이 둘은 ActiveX 기술이 아니어도 가능 할 거 같은데 기 개발된 기술이 있다 보니 대부분 이걸 사용하나 봐요.
      쇼핑몰은 사실 ActiveX 문제가 아니어도 ff 로 접속하면 레이아웃이 제대로 보이는 곳도 없어서 문제가 심각하더군요.
      이래 저래 참.

  • 프로필사진
    BlogIcon gsong2008.09.12 03:24

    이런 사연이 있었군요. 저도 무턱대고 금융업계만 탓해왔는데.. 좋은 글 잘 읽었습니다.
    여기에 대한 공감대가 널리 형성돼서 법이 개정될 수 있었으면 좋겠네요.

    • 프로필사진
      BlogIcon esstory2008.09.12 11:01 신고


      법의 취지 자체는 그리 나쁘지 않습니다. 현실적으로 웹에서 구현이 안되니 지금의 상황이 온거라 보이는데요
      하나를 포기하지 않으면 해결이 안될거 같아요

  • 프로필사진
    BlogIcon 김윤수2008.09.17 23:08

    쓰셨군요. 잘 알았습니다. ^^ 금융회사가 알아서 하게 해줘야 하는 거 아닌가요 ? 진짜 별 걸 정부에서 강제하고 난리네요.

    • 프로필사진
      BlogIcon esstory2008.09.18 13:40 신고

      워낙 중용한 정보인 개인 재산을 다루는 곳이라 어느정도 정부의 관리하에 있어야 하는건 맞습니다.
      저희 나라는 관리를 너무 많이 해서 탈이지요.
      1차 2차 3차 가이드 라인 정도만 잡고 그 안에서 금융회사 별로 선택 적으로 할 수 있었으면 좋지 않았을까 싶습니다.

  • 프로필사진
    BlogIcon 지하2008.09.21 15:02

    이거참; 인터넷 강국이란게 무색할정도로 ;; 전세계에서 거의 유일하게 액티브엑스에 목메인걸 보면; 익스 빼고 파폭이나 사파리,크롬으론 제대로 국내 사이트 이용도 힘들고;
    정작 마소에서도 버리려는걸 왜이리 못고치고 있는지;

  • 프로필사진
    BlogIcon 해피콧2008.09.25 01:56 신고

    법과 관련되었겠거니 하고 막연히만 생각했었는데
    얘기를 들으니 정말 명확해 지는군요. 좋은 글 써주셔서 감사합니다. 정부 예산탓, 금융사탓, 법탓 등등 관련 뉴스들은 앞으로도 심심치 않게 핑퐁치듯 계속 올라올 것 같습니다. 그때마다 한번씩 다시 읽어보면 좋을 것 같아요. 출처 밝히고 스크랩해 될까요? ^^

    • 프로필사진
      BlogIcon esstory2008.09.25 07:54 신고

      관심 가져주셔서 감사합니다. 많은 분들이 사실을 좀 더 잘 파악하고 공론화 할 수 있었으면 좋겠습니다.
      출처 밝히신다면 스크랩 괜찮습니다 ^^;

  • 프로필사진
    ;;;;2008.10.10 20:15

    잘 읽었습니다. ActiveX가 그리 쉽게 사라질 거라고 믿는 사람들 땜시 답답한데..

    그런데 파이어폭스 플러그인 체제에서, 물론 경고창이 계속 뜨지만 결국 npcom 컨트롤을 인스톨러로 사용하여 보안(!!!!!!!!) 프로그램을 설치하려는 시도는 이미 엠파스 툴바에서 하지 않았던가요? 크롬은 그전 소개 만화에서 보니 뭔가 조치를 취하려고 시도했던 것 같고..

    아참. 게임회사 N모사는 npcom 런처 컨트롤도 만들어 배포하는 것 같더라고요.

  • 프로필사진
    BlogIcon koc/SALM2009.12.11 10:38 신고

    법이 문제다...? 절대 아닙니다. 저 법에는 분명히 빠져 나갈 방법이 있습니다.
    "(다만, 고객의 책임으로 본인이 동의 하는 경우에는 보안프로그램 해제 가능)"
    분명히 위와 같이 쓰지 않았습니까?
    그런데 현실은...? 고객이 아무리 ActiveX를 "설치하지 말아 달라."라고 요청해도 "보안프로그램을 해제하고도 전자 상거래를 하게 해달라."라고 요청해도... ActiveX를 "강제로" 설치하고, "강제로" 작동시키고 있습니다.
    다시 말해 법이 문제가 아니라 그것을 강제로 설치하고 작동시키는 금융회사에 문제가 있는 것입니다.

    물론 ActiveX를 "강제로" 설치하지 않는 금융회사라면, 사용자의 선택권을 보장하는 금융회사라면, esstory 님의 의견이 옳습니다.

    • 프로필사진
      BlogIcon esstory2009.12.19 19:48 신고

      네 고객의 책임으로 ... 인 경우는 말씀하신게 맞습니다. 하지만 금감원이나, 정통부에서 모든 금융기관 감사를 나갈때 그런 부분에 대한 체크와 문제 제기까지 다 하고 있어서 금융기관에서 자의적으로 행동할 수가 없게 되어 있습니다.
      안타까운 현실이네요