20090402 :: 인터넷 뱅킹 보안 2

인터넷 뱅킹의 보안에 대해 요즘 오픈웹과 개발자들(로 추정되는 분들)간의 뜨거운 토론이 슬슬 ‘오픈웹 무용론’으로 새어 나오기도 하고 보다 감정적으로 이야기가 격해 지고 있는 느낌입니다. 개발자들 입장에서는 오픈웹에서 퍼붓는 독설이 결코 반가울리 없겠지만, 제가 보기에는 김기창 교수님의 논리는 그 어법 자체가 직선적이고 다소 감정적일지언정 그리 비약이 심하다거나 하지는 않은 듯 합니다. 

많은 개발자분들이 댓글을 통해 ‘단지 [을]일 뿐인 개발사의 한계’에 대해 성토하고는 있지만, 그러한 말들은 문제의 본질을 흐리게 할 뿐입니다. 오픈웹의 초기 모토는 ‘플랫폼이나 브라우저에 종속되지 않고 인터넷을 사용할 수 있게 하자’라는 것이었고, 그 중 ‘인터넷 사용’은 ‘금융거래’에 초점이 맞추어져 있었죠. 사실 닫혀있는 대한 민국의 웹 사이트는 은행들 뿐만이 아닙니다. ‘돈’이 왔다 갔다하는 거의 모든 사이트에서 공인인증서를 요구하고 있고, 공인 인증서 모듈 설치와 더불어서 덕지 덕지 ‘보안 모듈’이라는 이름으로 그 정체를 알 수 없는 플러그인들이 한번에 설치되는 것이 가장 큰 문제이지요. 그리고 유독 ActiveX가 문제가 되는 것은 ActiveX 그 차체에 문제보다는  김기창 교수님이 거듭 강조하시듯이 ‘설치 메세지가 나타나면 무조건 [예]를 누르라는 지시’ 때문입니다.

그럼에도 불구하고 많은 분들이 SSL 보안 연결도 그리 안전하지 않다는 말만 되풀이 하고 계십니다. 참 답답한 현실이 아닐 수 없습니다. 물론 웹 서비스를 만드는 사람과 운영하는 사람이 다른 경우가 거의 대부분이기는 합니다만, 그냥 ‘만들어달라’는 요구에 대해서 만들어주기만 하면 끝이라는 식의 발언 들은 서비스 개발자로서의 최소한의 소명 의식마저 저버린 듯한 느낌이 들어서 안타깝기도 하구요. 이미 옥션등의 대형 포털에서 대량의 개인 정보 유출 사고가 있었고, 그 가장 근본적인 원인은 ‘쓸데없이 주민등록 번호를 요구한’ [갑]에게 있는 것도 당연한 이야기입니다만, 그런 민감한 정보를 저장함에 있어서 만에 하나 유출될 가능성을 염두에 두지 않고 암호화 하지 않고 DB에 저장한 개발사 역시 아무런 할 말이 없을 거라는 겁니다. 좀 개념을 갖고 만들었다면 회원 DB가 유출되어도 큰 문제가 되지 않을 수도 있는 사건이었습니다. 지금에야 유야무야 넘어가버린 문제이지만, 실제로 국민 1/3을 식별할 수 있는 개인 정보가 그냥 다 공개되어버린 것과 같은 저 문제는 ‘국가적 보안 위기’로 봐도 무방한 사건 입니다. 

지금 오픈웹에서 벌어지는 댓글 논쟁은 그리 유용해 보이지 않습니다. 결국은 ‘째려보니 맘 상해서 등돌린’ 보안 업계 종사자 분들의 뒷모습을 보는 것 같아서 마음이 씁쓸합니다. 백번, 천번 양보해서 정말로 SSL 보안 연결이 못믿을 방법이어서 부득이 하게 사용자의 입력 정보를 암호화하는 방법을 ActiveX로 썼다고 해도, 아이디/비밀번호 못지 않게 중요한 제 계좌정보는 왜 평문 통신으로 뿌려버리게 되는 것인지 이해가 가지 않습니다. 정말이지 논점 일탈이 멀어도 한참 멀리까지 넘어와 버린 느낌이랄까요.

정말 그 분들의 말처럼 SSL은 믿을 게 못되고 IT 강국, 대한민국의 첨단 기술력으로 만든 ActiveX가 훨씬 더 안전한 보안 통신을 구현할 수 있다면, 굳이 브라우저에서 인터넷 뱅킹을 할 이유는 없어 보입니다. 그냥 전용 터미널 소프트웨어를 만들어 배포하는 게 훨씬 경제적이고 안전할 듯 하네요. 이제 슬슬 싸움이 ‘밥 그릇 지키기’ 쪽으로 몰려 가는 것 같습니다. 앞으로도 여러번의 ‘법원 밖에서의’ 진통이 예상됩니다만, 차라리 지금 조금 힘들더라도 이 문제가 이런 논쟁을 계기로 공론화 되고, 그래서 사회 전반에서 보다 활발히 논의되고, 또 일반 사용자들에 대한 보안 교육 강화가 의무적으로 시행되는 등의 조치가 취해질 수 있다면 좋겠습니다.