얼마 전에 모 IRC 채널에서 현업 SI에 종사하는 분과 이야기를 했었다. 발단은 내가 해외 결제가 가능한 체크카드를 만드려고 LG 카드 홈페이지에 들어가면서부터 시작됐다.
각종 보안 프로그램 등등으로 인해 어차피 Firefox에서는 안 되니까 IE 7.0으로 접속했는데, 우선 우체국 계좌를 확인하려고 우체국 인터넷 뱅킹을 들어갔더니 보안 프로그램 설치가 안 되는 것이었다. 한참을 삽질하다가 귀찮아서 다음날로 미루었다. 다음날 다시 생각해보니 인터넷 옵션에서 "신뢰할 수 있는 사이트"에 우체국을 추가하면 된다는 사실을 발견했고 다행히 계좌 번호를 확인할 수 있었다.
두 번째 했던 삽질은, 막상 신상 정보를 입력하려고 보니 nProtect 키보드 보안 프로그램 때문에 세벌식을 제대로 쓸 수 없었던 것과 주소 확인이 안 되었던 것. 세벌식의 경우는 두벌식에서 숫자·기호에 해당하는 부분들도 모두 자모로 사용하는데 nProtect의 경우는 두벌식에만 맞춰져 있어서 자모로 받아들이지 않고 모두 두벌식대로 처리해버렸던 것이다. 게다가 집주소 확인은 서버측 문제였는지 하루 동안 먹통이어서 못하다가 다시 하루가 지나서야 정상화되었다. 뭐 어쨌든 우여곡절 끝에 며칠이나 걸려서야 신청을 완료할 수 있었다. -_- (이 과정에서 우체국과 LG카드 보안 프로그램이 IE7에서 다중 탭으로 동시에 실행되면 시스템 재부팅이 되어버린다는 사실도 알았다.)
뭐 이런저런 상황이 좀 짜증이 나서, IRC에서 한탄(?)을 하다가 그분을 만났던 것이다. 대화 과정은 너무 길어서 생략하고, 전체적인 틀만 이야기하겠다.
- 은행 입장에서 보면 보안프로그램 등을 통해서라도 해킹을 막는 것이 고객을 위한 조치이기 때문에, 나와 같은 하드코어(PC관리를 잘해서 바이러스나 웜에 잘 걸리지 않는 사람들) 유저들은 그런 키보드 보안 프로그램이 필요 없다고 할지라도 어쩔 수 없이 선택해야 한다.
- 키보드 보안 프로그램의 세벌식 미지원이나 타사 보안 프로그램과의 충돌은 은행이 잘못했다기보다는 해당 프로그램들을 만든 회사들의 잘못이다.
- 인터넷뱅킹에서 정말 그렇게 보안프로그램을 써야 한다면, 아예 별도 프로토콜 만들어서 전용 통신 클라이언트를 만들지 왜 굳이 웹브라우저를 통해 쓰게 했느냐는 질문에 그분은 SI 업계에서 일하다보면 굉장히 제한적인 인터넷 환경을 쓰는 곳도 많아서(http 프로토콜 내용까지 필터링하는 곳도 있다고 함) '사용자 편의'를 위해 그렇게 된 것이라고 한다.
- 국정원에서 프로그램을 짜봤다는 어느 다른 분의 말로는, 1byte 정보 하나를 전송하는데도 스마트카드를 이용한 시간 제한 랜덤 암호화까지 걸어야 해서 암호화 알고리즘이 제대로 동작하게 하기 위해 불필요한 1023byte의 padding을 넣은 적도 있다고 했다. 인터넷뱅킹 사업을 하려면 이런 국정원 심사를 통과해야 하니 그만한 보안 조치는 어쩔 수 없다는 것.
- 무엇보다도 보안프로그램 제작사들이 소수 사용자를 모두 배려하고 있지 못한 것은 사실이라는 것. (그러나 이에 대한 구체적인 대안 등의 논의는 이루어지지 않았다.)
내가 가지는 궁금증은, 어째서 외국 은행들은 SSL 표준을 사용하면서도 해킹 피해가 나타나지 않는가? 혹시 해킹이 발생함에도 쉬쉬하고 있어서 우리가 모르는 것인가? 정부 차원에서 다양한 OS에서의 인터넷뱅킹을 지원하게 하려면 어떻게 설득해야 하며, 기술적으로는 어떻게 만드는 것이 보안도 지키면서 사용자에게 편리할 것인가? 현재 진행과정은 어디까지 왔나? 보안프로그램 제작 회사들이 세벌식 사용자 등을 충분히 배려해 줄 수 있는가? 정도이다.
중간에 나왔던 얘기 중에 우리나라가 외국에 비해 상대적으로 전자상거래가 빨리 발전하면서 인증서 관리 기관이 제한되어 있던 SSL 대신 자체 SEED 프로토콜을 먼저 만들었던 것이 오히려 나중에 발목을 잡는 결과가 되었다는 것도 있었다. SEED 프로토콜을 만든 것은 좋았지만, 그 구현(implementation)을 Windows 전용으로 했다는 것이 문제였던 것이다.
단순히 국제 표준을 지키자라고 주장하기에는 분명히 현업에서 경험하신 분의 말도 일리가 있다. 이 문제를 어떻게 해결하는 것이 가장 좋을까? 그러고보니 고려대 김기창 교수님이 진행하시던 OpenWeb 소송은 어떻게 되어가고 있나 모르겠다.