경 축[1. 근데 정말 이런 사건에 ‘경축’이란 말을 몇 번이나 붙여야 하는 우리의 인터넷 환경은 참으로 좌절스럽습니다.]
정말이지 반가운 소식입니다. 우리 은행이 국내 금융권 최초로 오픈 뱅킹 사이트를 오픈했습니다. 아무 생각없이 있다 접한 소식이어서 매우 놀라웠습니다. 게다가 우리 은행의 기존 버전은 정말 좌절스러울만큼의 퍼포먼스와 엉망진창으로 만들어진 웹사이트였다는 점에서, 우리 은행이 이러한 시도를 최초로 하리라고는 정말 생각지도 못했었거든요.
우리 오픈 뱅킹에 대한 소감은 대략 다음과 같습니다. (참고로 접근 환경은 우분투리눅스+파이어폭스3.6입니다.)
1. 로그인 시 부터 모든 접속은 https로 이루어집니다.
따라서 공인인증서를 사용해야할 필요도 없으며, 덕지덕지 ActiveX 따위를 사용하지 않고서도 훨씬 안전하게 로그인 정보를 전송하고 로그온 할 수 있습니다. 더욱 중요한 것은 기존의 (그리고 많은 타행의 온라인 뱅킹이 그러하듯이) 웹사이트처럼, 로그인 이후에도 모든 접속은 https로 이루어진다는 점입니다. 일반 http 접속이 보안되지 않은 연결임을 감안한다면 계좌 정보를 확인하거나 하는 일반 작업들에 있어서도 모든 정보가 안전하게 암호화되어 전송된다는 의미입니다. (그렇지 않고 http 접속으로 계좌 정보를 조회한다면, 해당 정보는 누군가가 가로채어 획득할 수 있다는 의미입니다.)
2. 이미지, 플래시가 매우 적습니다.
당연한 이야기입니다만, https는 요청받은 정보를 “모두” 서버 측에서 암호화하여 전송합니다. 따라서 페이지를 내려보낼 때 일반 http 접속보다 서버에 부하가 많이 걸리고 속도도 느립니다. 그래서 서버의 부담을 줄이기 위해서라도 이미지와 플래시와 같은 덩치가 큰 객체는 지양하는 것이 맞겠지요. 덕분에 우리 오픈 뱅킹은 매우 가볍고 산뜻한 느낌을 줍니다.
게다가 ‘오픈 뱅크’와는 전혀 무관하게 접근성의 최악의 조치로 불리우는 플래시 메뉴가 사라졌습니다. 또한 탭 키를 사용하지 않고 숫자키나 단축키를 사용하여 원하는 메뉴에 빠르게 접근할 수 있는 기능도 제공하고 있습니다. (이 아이디어는 처음 볼 땐 사족같았습니다만, 상당히 훌륭한 생각입니다.)
3.당연히 AcitveX는 필요없습니다. 그런데…
정말’병신 같이 못 만들었다’라고 할 수 밖에 없는 쓰레기같은 보안 모듈 세트를 설치하지 않아도 됩니다. 물론 이 경우에는 별도의 안티바이러스 프로그램이나 개인용 방화벽을 사용하고 있는 전제가 필요합니다. (윈도 업데이트를 착실하게 하고 있다고 가정하는 것도 두말할 나위가 없지요) 어쨌거나 전체적인 시스템의 안정성을 크게 떨어뜨리는 쓰레기들을 걷어낸 것만 해도 매우 고무적입니다. ‘오픈 뱅크’ 운동은 반ActiveX 라기보다는 비윈도/IE 환경에서 사용할 수 있는 대안적 뱅킹 서비스를 ‘기다리는’ 모임입니다만, 이 ‘기다림의 시간’이 길어지면 길어질수록 ActiveX가 점점 더 더럽게 느껴지는 것은 사실입니다.
그런데 로그인을 하려 하면, “개인 방화벽을 설치”하라고 합니다. 헐 그런데 이 정체를 알 수 없는 개인 방화벽의 제작사는 다름 아닌 잉X 로군요. 악명높은 nPrxxxxxx 시리즈로 보입니다. 설치하려하면, 관리 권한을 요구하기 때문에 설치하지 않고, 이를 건너뛰는 옵션을 찾아가서 해제하였습니다. 가능하면 아예 이러한 선택을 처음부터 하도록 할 수 있으면 좋겠습니다.
문제는 이 개인 방화벽이 ‘강제된 규정’ 때문에 이런 방식으로 설치를 유도하는 것인지 조금 의심스럽다는 것입니다. 사실 상, UNIX나 리눅스 계열 시스템(맥OS 포함)에서는 별도의 개인 방화벽은 필요 없기 때문입니다. 게다가 요즘은 WIN XP SP2 이상에서도 기본적으로 방화벽 기능은 제공하고 있습니다. 되려 이런 식으로 ‘무례하게’ 설치되는 프로그램들이 이러한 방화벽 설정을 멋대로 건드리기 때문에 더욱 위험한 게 아닐까 하는 생각도 듭니다. 안X에서 제공하는 기존 우리 은행의 보안 모듈은 악성코드를 배포하는 사이트들을 hosts 파일로 차단해 놓은 것을 ‘임의로 변경되었는데 복구할까요?’ 따위의 드립도 칩니다.
기왕, 설치 안하고서 이용할 수 있는 방법이 있다면 – 그리고 사실 필요도 없고 되려 위험해 보이기까지 하는 [1. 잉카인터넷이라는 업체의 행적을 살펴 볼 때 이 ‘위험하다’는 판단은 결코 섣부르지 않다고 자신할 수 있습니다.] 방화벽 프로그램을 아예 퇴출시키는 것은 어떨지 모르겠습니다.
4. OTP 사용을 권장합니다.
오픈 뱅킹을 통해서 계좌 이체를 하려면 OTP 단말기가 필요합니다. 아, 그런데 우리 은행은 OTP 단말기를 은행에서 직접 판매하는 방식을 취하고 있습니다. (수수료 3,000원을 받고 있습니다. 카드형은 10,000원 씩이나 하는 군요!!!) 그런데, 요즘은 온라인 게임 사이트에서도 핸드폰/스마트폰용 OTP 앱을 배포하고 있습니다.
실제로 OTP는 현존하는 가장 강력한 개인 정보 보호 수단일 수 있습니다. (보안 솔루션 업체들이 “이미 개인 PC의 보안은 무너진 상태”를 가정한다고 하시니 말입니다.) 그럼에도 불구하고 3,000원을 내고 OTP 단말기를 구매하는 것은 적지 않은 거부감을 불러 일으킬 수도 있다고 보입니다. 핸드폰이나 스마트폰용 OTP 앱을 배포하는 것은 어떨런지 우리 오픈 뱅크 담당자분께 강력하게 권고하는 바입니다.[4. 그럼에도 불구하고 OTP는 거래 은행을 막론하고 이용할 수 있다면 돈을 내고서라도 구입해서 사용해보실 것을 강력히 권장합니다.]
우리 오픈 뱅킹 홍보 블로그에서도 밝히고 있듯이, 이 곳은 아직 1.0으로 막 걸음마를 뗀 서비스입니다. 하지만 그간 오픈웹이나 오픈 뱅크와 같은 단체에서 그렇게 요구를 했음에도 불구하고 어느 곳 하나 꿈쩍하지 않던 금융권에서 이러한 시도를 처음으로 했다는 것은 매우 큰 의미가 있다고 보여집니다. 전혀 쓸데없이 강제 받는 몇 몇 규정들 때문에 현재로서는 완벽한 인터넷 뱅킹 서비스의 구현은 좀 부족할 지 모르지만, OS를 가리지 않고 브라우저를 차별하지 않으며 “최신 기술을 통해 더욱 안전한”[3. 1에서 밝힌 바와 같은 이유로 오픈 뱅킹 방식은 기존 AcitveX 똥덩어리에 보안을 맡기는 엉터리 방식보다 훨씬 더 안전하다 할 수 있습니다.] 금융 서비슬 제공한다는 시도 자체가 무척이나 칭찬해 줘야 한다고 봅니다.
그래서 저는 윈도/IE 사용자라도 인터넷 뱅킹 서비스를 사용하시려면 차라리 구글 크롬이나 파이어폭스를 설치해서 오픈 뱅킹 서비스를 이용하시라고 권장하고 싶습니다. 로그인하는 순간부터 모든 정보가 암호화되며, 되려 훨씬 더 빠른 서비스를 체감할 수 있습니다. (진짜로)
벌써부터 우리 오픈 뱅킹 2.0의 발전된 모습이 기다려집니다. 본 서비스를 기획하고 개발하는데는 적지 않은 노력과 마음 고생이 있었을 줄로 압니다. 개발진과 운영진에게 박수를 보냅니다. 감사합니다.
사족 : FC제일은행이 브랜딩을 “오픈뱅크/오픈 은행”으로 바꾼다고 합니다. 물론 오픈 뱅킹 서비스를 제공하는 것 같지는 않습니다. 별 개드립을 다 봅니다.