http://news.naver.com/main/hotissue/read.nhn?mid=hot&sid1=105&gid=319370&cid=303942&iid=170740&oid=001&id=0002906855&ptype=011이번 오픈웹 소송 판결로 프리뱅크, 오픈뱅크 등을 지지하는 사람들이 많이 아쉬워한다. 소위 '웹표준'을 지키는 브라우저만 쓰면 플랫폼에 관계 없이 온라인 뱅킹을 할 수 있어야 한다고 굳게 믿고있는 사람들 같다. 일단, 은행 홈페이지 화면이 IE 이외의 브라우져에서 깨져보이는 것은 실로 사소한 문제다. 이것을 고칠 수 있는 인력은 국내에도 넘쳐난다. 그러나 그들에게 묻고싶은게 있다.
'웹표준'이 '시스템의 보안' 문제를 해결해 준다고 믿는가?
많은 사람들로부터 나오는 '부적절한 주장'은 정보의 SNR을 떨어뜨려 대중의 혼란을 가중시킨다. 이들의 가장 대표적인 주장은 다음과 같다:
은행거래를 위해 웹표준을 지원하는 파이어폭스나 크롬의 SSL 사용하면 되는데
왜 ActiveX로 보안 프로그램 + 공인인증서를 설치해야하나?
다. 이것이 위험한 이유는 '웹표준'과 '시스템 차원의 보안'을 동일한 것으로 착각하게 만드는 효과을 가졌기 때문이다.
이런 주장을 펼치는 사람들은 웹표준을 너무나 사랑한 나머지 '
웹에서 우대받아야 마땅할 마이너 웹표준 브라우저들이 국내 은행거래에서 천대받고있다'는 생각에 사로잡힌게 아닌가 싶다.
화면이 웹표준에 맞춰 정상적으로 표시되고 브라우저가 지원하는 표준 보안 통신을 쓰는 것과, '보안이 유지된 상태에서 뱅킹'을 하는 것은 차원이 다른 문제다. 웹표준은 브라우저 내부의 세계에서 일어나는 인터랙션에 대한 최소한의 정의인데, 이것이 어떻게 브라우저 밖의 문제인 '시스템 보안'을 해결해 준다는 말인가? 예를 들면, 시스템에 키로거나 루트킷이 설치되어서 아이디/비빈/스크린샷/통신패킷 등이 기록되고 타인에게 전송된다면 브라우저에서 제공하는 보안 통신은 있으나 마나 한 것이 되고 여기에서 '웹표준'이 할 수 있는 것은 아무것도 없다.
즉, '웹표준'과 '시스템 보안'은 전혀 별개 문제다.
웹표준 + 브라우저용 보안 (SSL/TLS) <<<<<<< 넘사벽 <<<<<<<< 시스템 보안
ActiveX는 왜? 국내 금융거래에 ActiveX가 도입된 근본적인 배경은 앞서 얘기한대로,
브라우저만으로는 시스템 보안 문제가 해결되지 않기 때문이라고 생각한다.
사용자의 컴에 설치된 루트킷이 비밀번호를 키후킹하여 금융사고가 빵빵 터져도 금융기관이 이를 예방하기는 커녕 수수방관해주길바라는가? 이건브라우저 바깥에서 일어나는 일이므로 웹표준이 다룰 수도 없고 다뤄서도 안되는, 도메인이 다른 영역이다. 브라우저의인터페이스를 사용하지만 브라우저 내부에 남겨둘 수 없는 민감한 정보, 그리고 이 정보가 금융서버에 전달되는 프로토콜은 어떻게보호할 것인가? 역시 웹표준과 관계가 없다.
짧은 지식으로 봐도, 보안은
Security by design과
Security through obscurity의양쪽을 모두 활용해야 한다. 후자를 활용하기 위해, 민감한 보안 프로토콜/클라이언트는 closed-source를 택하게 되고,binary가 reverse engineering이 되지 않기위한 기술적 challenge도 있을테고, 높은 시스템 통제력이필요할테니 platform에서 high-privileged native application으로 돌아가야 할 경우가 대부분일것이다. 여기에 까지만 고려해봐도, 시스템 보안 프로그램은 브라우저와 별개이며, 브라우저보다 상위에서 돌아가야 한다. 그리고현재의 시장상황으로서는 MS Windows에서 네이티브로 돌아가는 보안 프로그램을 사용하는 것이 시장의 9x%를 커버하니, 다른플랫폼/브라우저용 대안을 고민하는 것은 ROR상 비현실적인 일이 된다.
결론적으로, 웹표준과는 관계 없이, 온라인 뱅킹을 하려면
플랫폼의 시스템 보안 문제가 선결되어야 한다.
이들은 왜 이것을 좌시하고 '웹표준'과 '온라인 뱅킹'을 결부시키려는지 나로서는 도저히 이해가 되지 않는다. 은행은 '뱅킹 시스템'이 아니라 '뱅킹 웹 인터페이스'만 제공하라는 건가? 시스템에 키로거나 루트킷이 설치된 것은 사용자의 무지에서 비롯된 일이니 사고가 터져도 해당 사용자의 책임으로 보자는건가? 아니면, 자신들은 시스템에 대해서 잘 알고있고 안전하게 쓸 자신 있으니 남들이야 어떻게 쓰건 내 알 바 아니다라고 생각하는건가? 아니면, 은연중에 웹표준 지원에 더불어 '
시스템 보안 프로그램도 함께 개발해ㅈ...' 이런 건가?
개인이 리눅스를 이용해 온라인 뱅킹을 이용하던 중 키로깅을 당해 해킹 사고가 터졌다고 치자. 아무리 법적 판결은 '사용자의 책임'이라고 해도, 이 사건이 언론에 보도될 때에는 'OO은행 온라인 뱅킹 해킹당해'나 'OO은행 보안 대응에 허술'라는 제목이 붙지 말라는 법 없다. 불과 얼마 안되는 소소한 액수의 사고로도 해당 은행은 '은행'으로서의 제1 덕목인 '안전과 신뢰'를 한방에 잃어버리기 십상이다. 그러니, 어느 은행이 보안을 담보할 수 없는 플랫폼에 온라인 뱅킹을 열어준단 말인가.
이번 판결을 아쉬워하는 사람들 상당수는 'MS+IE종속환경을 법적으로 고착화 시켰다'라거나 '판사가 FF를 알아?'등의 불만을 표시한다. MS가 얻을 잠재적 이익에 대해서 불만인 사람도 봤다. MS의 운영제체와 브라우저가 한국 시장의 9x%를 차지하고 있는 가운데, 법원이 '은행권은 웹표준을 존중하고 다양성을 확보하기 위해 한국의 시장상황에 관계 없이 Firefox, Chrome, Safari, Opera ( 더욱 마이너인 SeaMonkey, Flock, Konquerer, 모바일 브라우저 들도 있다)에서 뱅킹이 되도록 지원하고, Apple의 Mac OS와 여러 벤더들의 Linux를 지원해야 한다'라고 판결했다면 이건 현실부정이면서 근거없는 MS 역차별이 된다. 특히 시장원리에 관계 없이 Apple과 Linux 진영에 대한 국가차원의 직접적인 지원이 되는데, MS나 매 한가지인 이들 사기업의 손을 들어줄 이유가 뭔가. 이들 OS역시 시장에서 경쟁해서 스스로 살아남아야 할 제품일 뿐이다.
그렇다면 다른 마이너 브라우저들, 마이너 플랫폼들은 영원히 지원 안되는 것인가? 현재로선 지원하고 싶어도
ROR상 지원하지 못하고 있다는 생각이다. 은행권 역시 FF이나 Mac이나 Linux 등의 플랫폼을 지원하면 고객이 늘어나는걸 아는데 마다할 이유가 뭘까? 이들 플랫폼은 ROR상 고려할 수 없는 소수이기 때문이다. 마이너 브라우저 점유율이 어느 임계점을 넘으면 누가 뭐라고 안해도 하나 둘 지원되기 시작하지 않을까.
ROR에는 당연히 기술구현/유지의 어려움으로 인한 비용도 포함된다. 익스텐션으로 못하는게 없는 Firefox, 업데이트 주기가 빠른 Chrome, 엔진을 제외하면 closed-source인 Safari, 완전 closed-source인 Opera 보안전문가가 세계적으로 몇이나 될까? Closed-source이면서 IBM과 Intel CPU를 사용하는 Mac OS 보안 전문가, CPU와 커널의 조합이 다양한 Linux 보안 전문가의 몸값은 어떨까? 보안 전문가가 은행권 작업을 하려면 절대적으로 신뢰할 수 있는 레퍼런스를 쌓아야 하는데, 마이너 제품/플랫폼의 경우 그럴 기회 또한 부족해진다. 결국 마이너 제품/플랫폼에 대응하는, 신뢰할 수 있는 전문가는 소수일 수 밖에 없다. 제품/플랫폼 점유율이 높아져서 신뢰할 수 있는 전문가와 기술과 회사가 자생적으로 나타나고 은행권의 ROR이 해결되는 것에 대한 기다림은 없고, 은행에게 마이너 제품/플랫폼을 지원하라고 닥달만 하는 모양새다.
그리고 은행권이 해당 제품/플랫폼을 지원하지 않는 이유야 어찌되었건 '은행권이 웹표준을 무시한다'라고 성토하길 반복한다. 다시 말하지만, 이게 어째서 '웹표준'과 관계있는 일인가?
추후 Mac이나 Linux의 은행거래가 가능해진다 해도 플러그인의 형태건 어플리케이션의 형태건
각각의 시스템에 네이티브로 돌아가는 보안 어플리케이션 설치가 필수라고 예상한다.
시스템 차원의 보안은 브라우저의 영역이 아니기 때문이다. 브라우저도 시스템에서 돌아가는 하나의 어플리케이션에 불과하다는 것,
브라우저 외부의 문제에 대해서는 브라우저나 웹표준이 관여할 바가 아니라는 것을 강조하고 싶다.
IE에서만 작동하는 ActiveX 보안 프로그램 + 공인인증서는 잘 구현된, 엄연한 한국의 현실인 것이다.
첨언:
한국은 '공인인증'이라는 국가차원의 개인인증서 repository 인프라를 갖추어 금융권이 공동액세스 하게 만들고, 금융거래의 주요 부분에 PK상호 인증을 하는방식의 시스템을 구축했다. SSL(=>TLS)을 실용적이고 보다 안전하게 활용하는 체계다. 혹자는 이 공인인증 시스템이 MS Windows 또는 ActiveX로만 접근가능하도록 만들어진걸로 주장하는데, 현재로서는 그렇다(그럴 수 밖에 없다)라고 처도, 통신 클라이언트는 프로토콜에 맞춰 implementation은 하기 나름이니 필요할 때 만들면 되지 않을까.
첨언2:
웹표준은 웹 인터랙션의 최소공집합일 뿐이지, 표준에 지정되지 않은 것을 금지하라고 만들어진 것이 아니다. 이를테면ActiveX는웹표준에 없을 뿐이며, 웹표준이 ActiveX를 금지한 것은 아니란 말다. '웹표준 이외의 것을 쓰면 안된다'는관념에틀어박혀있다면 새로움과 도전을 포기한 초식인간적 사고라 하겠다. 웹표준이 만들어지는 방식이야 말로 웹표준을 벗어난 다양한 도전 가운데 많은 사람들에게 공감을 받은 중립적인 것들을 정제하여 혼란이 없도록 표준화 시키는 것이기 때문이다.
