|
:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
14/12/29 10:16
보안쪽으로 잘 모르는지라 뭐라 하긴 뭐하지만..비읍시옷이 육성으로..이것도 쉴드가 되는 문제인가요?(비꼬는게 아니고 궁금해서..)
14/12/29 10:19
짧은 설명 추가는 했습니다.
국내는 사용자PC에 보안프로그램을 까는 방식 해외는 사이트에 보안프로그램을 까는 방식. 이라고 생각하면 이해가 쉽습니다.
14/12/29 10:35
이 부분이 잘 이해가 안 되는데요,
로컬 디바이스에 보안 프로그램이 하나도 없다고 가정한다면, 해외 방식대로라면 로컬 디바이스 크래킹(키버깅 같은 것들)은 어떻게 방지하죠?
14/12/29 10:41
해외는 모르겠고,
국내 같은 경우에도 은행서비스를 맥에서 이용할 경우에는 비밀번호를 화상 키보드에 클릭을 하는 방식을 사용합니다.
14/12/29 10:48
보안을 강제하는 자들의 의도를 선의로 해석하면 그런 부분까지 방지해주기 위한 정책으로 볼 수 있습니다만,
선의가 아닌 것으로 의심되는 정황이 많지요. 그리고 말씀하신등 다양한 리스크가 있기 때문에, 사용자가 평소에 접속하지 않던 환경에서 접속하면 사용자에게 보안 알람을 준다던가, 결제를 막는 등의 다양한 보안대책을 업체 측에서 계속 강구하게 되기 마련인데, 국내는 사용자에게 모든 책임을 떠넘기고 있기 때문에 통상 업체측의 대응이 매우 해이한 분위기입니다.
14/12/29 10:52
오히려 국내에서 로컬 디바이스에 대한 보안까지 금융사에게 책임을 떠넘기고 있기 때문에 이런 구조가 나오는거 아닌가요...?
사용자에게 모든 책임을 떠넘길 수 있다면 금융사에서 굳이 이 모든 보안 프로그램을 제공할 필요는 없을 것 같은데 말이죠.
14/12/29 10:56
보안 프로그램을 제공하는 것은 법으로 강제되어있기 때문입니다.
법을 강제하는 쪽의 의도는 아래 이 기사로 설명이 될 것 같습니다. http://slownews.kr/11532 수수료 챙기고, 뒷돈 챙기고, 낙하산 자리 만들고 하는 등의 의도로 의심되지요. 이 쪽은 사고에 대한 책임이 고객측이든 업체측이든 관심이 없습니다. 반면 업체측은 강제된 룰을 따름으로써, 이 외의 발생하는 모든 문제는 고객책임이다라는 입장을 취하고 있다는 거구요.
14/12/29 11:22
법령으로 강제되어있으며, 그 법을 강제하도록 하고 있는것은 금감원 출신 사람들이 은퇴를 하며 해당 보안업체의 임원급으로 옮겨가고 있습니다. 관피아라고 봐도 무방하다고 봅니다.
금융사라고 굳이 1년단위 비싼돈 들이며 사용자의 컴퓨터에 뭔가를 설치하도록 하고 싶지는 않습니다(차라리 서버쪽에 보안을 더 신경쓰고 예산 투입을 하는게 낫다고 봅니다). 거기다 그 뭔가를 설치하는것에 대한 문의를 받게 하기 위해 별도의 고객지원센터를 돌리고 있습니다 (이 부분에서 아웃소싱을 하는지 직접 하는지는 모르지만) 결국 추가적 비용이 이상한 이유로 또 발생을 하고 있죠. 거기다 한국에서 생기는 전자상거래 관련 부분에서 문제는 기업(은행)의 책임이 아닌 개인(사용자)의 책임으로 법률적 불리함을 가지고 있는 것으로 알고 있습니다 그 부분은 법쪽으로 잘 아시는 분이 좀더 풀어주시면 좋을 것 같구요. 이런 이유로, 은행은 사용자의 보안에 대해 신경써야 한다며 강제로 ActiveX관련 보안툴을 매년 비싼돈 들여 구매를 하게 되고 보안업체는 실적이 올라가며 사용자는 불편함을 미끼로 보안성(!?)을 얻고 사고가 생기면 자기의 책임이 됩니다.
14/12/29 10:18
문자 그대로 액티브X를 없애고 액티브eXe를 창조해냈네요.
역시 창조적인 미창과부의 대응책이네요. 대통령 각하. 이 문제는 단순 액티브엑스가 아니라 이권에 얽혀있는 보안업체들 윗선부터 족치셔야 하온 줄 아옵니다. 그렇지 아니하오면 액티브Y만을 창조해 낼 뿐이옵니다. 뭐, 이를 창조경제라 생각하신다면 할 말 없사옵니다만?
14/12/29 10:27
이 사람들에 대한 그알싫의 두사람의 말은 좀 와닿긴 하더군요.
물뚝심송: 이게 옳고 그르고를 떠나서 이게 없으면 이 사람들의 밥줄이 끊기는데 밥줄 끊기는 걸 그냥 두고보고 있을 사람이 어딨나. UMC: 도태된 기업은 망해야해요. 자본주의는 기업이 망함으로써 생태계를 유지한다고요. 근데 그게 우리나라에선 안된다는 겁니다.
14/12/29 10:27
유독 온라인 상거래 절차를 저렇게 번거롭게 만드는거 보면 액티브 엑스부터 내려온 '보안'이란건 진짜 보안목적이라기 보단 오프라인 유통점들 산소호흡기 용도와 더불어 무능해 빠진 IT업체들 산소호흡기인거 같습니다. n프로텍트 같은거나 만드는, 진짜 제대로 경쟁했다면 망했을 회사들은 망해야 될텐데 어찌된게 정부가 나서서 그런 회사를 살려주는지도 모를 일이구요.
14/12/29 12:55
조삼모사 만화가 생각나네요.
정부 : 고심끝에 ActiveX를 폐지하기로 했습니다 원숭 : 꺄----악! 세상에 이런 일도 다 있구나 덩실덩실 이게 웬 떡이냐 인터넷 강국 대한민국 만쉐이! 정부 : 대신 exe 직접 실행요 원숭 : 예전부터 공짜로 깔아주시는 ActiveX 모듈에 항상 감사했습니다
14/12/29 10:30
머리가 둔해서 저런 조삼모사식 술수를 쓰는 것인가 어떻게든 기업체에 부담을 주기 싫어서 저런 것인가..
이런 정책에 대해서 더 이상 생각하는 것을 그만둬야 할 때네요.
14/12/29 10:36
저런... 언빌리버블 하네요. -.-;
개인 스토리지도 클라우드화 되는 마당에 보안은 개인 디바이스로 하라는건 참... 뭐 외국 거주중이라 쓸일은 거의 없어서 다행이긴 하지만, 가끔 한번씩 쓸때마다 헬게이트가 열렸던 기억이 >_<;
14/12/29 10:39
개인 PC 보안은 이제 그만 개인이 책임지도록 합시다. -_-;
ActiveX 없앤다고 했을 때 이미 예견된 일이긴 했죠. 법 조항으로 강제하지 않는 이상 개인 PC에 프로그램 깔리는 것을 막기는 힘들어 보입니다. 이미 있던 사이트들의 방향을 전환시킬 용자가 있다면 모를까.
14/12/29 10:43
액티브 엑스 보단 한단계 발전한건 맞습니다.
OS와 브라우저가 모두 강제되던 상황에서, OS만 강제되는 걸로 바뀐거니까요. 근데 쇼핑몰들은 강제하기 전부터 이런 선택지를 이미 제공하고 있는 추세였죠. 정작 액티브엑스 금지해야 할 곳은 정부 관련 사이트들입니다. 그리고 사실 정부에서 나서서 금지하지 않아도 IE 신버전에서 액티브엑스를 지원하지 않기 때문에 어짜피 대응해야 하는 시점입니다. 생색만 내는거죠.
14/12/29 14:55
맥에서는 dmg 파일로 설치하라고 할 걸요? (맥 유저한테 듣기만 한 겁니다)
여하튼 윈도우랑 맥 모두 지원하니 OS도 강제되진 않습니다.
14/12/29 11:10
저딴 생각 하는 놈은 도대체 어디에 있는건지... 안랩 시큐리티만 봐도 혈압이 오르는데, 그 쓸모없는 걸 아예 백그라운드로 깔라고...
테이큰4 크랭크 인 하자는 도발인가요?
14/12/29 11:13
업계의 거센 반발에도 정부의 입장은 확고하다.
정부 관계자는 "업체들을 만나 일단 액티브-X만 아니면 되니 보안프로그램을 다 바꿔달라고 요구했다"고 밝혔다 그냥 할말을 잃었습니다........그냥 까라면 까야하는 세상에 살고 있는 건가요?
14/12/29 15:03
active x 의 방식대로 동작하는 exe를 배포해도 법률상 문제가 없기때문에 기존 보안 프로그램을 자동설치가 아닌 형태로 변경만 해도 된다는 점입니다.
현재로서는 배포방식이 activex 배포 방식이냐 exe 배포방식이냐의 차이만 있을 뿐이지, 그 보안프로그램이 다른 브라우저를 지원할 것인가는 관계가 없습니다. 이건 현재도 자동설치가 안되는 사용자를 위해 exe로 배포하고 있는 걸 보면 쉽게 생각하실 수 있습니다. 그 exe를 설치해봐야 ie 가 아니면 동작되지 않아요.
14/12/29 15:09
보안솔루션 자체가 IE에 종속된 플러그인이라면 유리한 님의 말씀도 맞겠죠.
근데 정부가 말하는 건 다중 브라우저 지원을 위해서 액티브X를 폐지하고 다른 걸로 대체하라는 거니까 그건 아닐 것 같습니다. 크롬, 파이어폭스에서도 되긴 될 거에요.
14/12/29 15:23
아직 자세한 기사가 없어서 모르겠는데, 예전 기사를 보면 '설치 의무' 가 폐지된다고 나와있거든요.
그래서 ActiveX 기술의 폐지가 아니라 강제 설치의 폐지라고 읽는게 좋지 않을까 해요. 그 강제설치 의무 폐지 의 연장선으로 exe 강제설치.. 라는 희대의 뻘짓을 하고있는게 아닐까 하는.. ( 분명 원래 목적은 사용자가 원하지 않으면 설치하지 않고 이용할 수 있어야 한다..의 의미였을 것으로 강하게 추측됩니다만.. ) 크롬,파이어폭스는 몇몇 솔루션이 이미 지원을 하고 있고 맥에서도 몇몇 은행이나 pg사는 dmg나 pkg를 동한 보안툴 설치도 지원을 하고 있죠. 액티브X 폐지와 별개로 타 브라우저 지원은 이미 진행되고 있으니 별 관계가 없다고 생각을 합니다만, 그래도 exe 로 통합되면 하나의 솔루션으로 다른 브라우저를 동시에 지원할 가능성은 높아지겠죠. 이번 결정에 따라 빠르게 지원을 할 가능성도 높겠구요. 뭐 그래도 일단 당장은 자동설치만 없에서 exe설치 형태로 갈것 같습니다. 대응할 시간이 있어야죠.. 물론 저는 그냥 보안툴 설치 없이도 제발 그냥 쓰게 해줬으면 좋겠습니다... 흑흑 ㅠ
14/12/29 15:28
저도 보안솔루션이니 뭐니 이딴거 싹 없어졌으면 좋겠습니다만ㅠㅠ
오히려 그런 걸 설치하지 않으면 불안하다고 말하는 사람들도 있는 게 현실이라...
14/12/29 11:18
이거 유머 아닌가요? 유게로 갑시다.
이거 때문에 또 예산은 엄청 배정받고 쳐먹었겠죠? 액티브 엑스 제거 로드맵을 구축하고... 액티브 엑스가 아닌 개인 사용자 피씨 보안 프로그램 마련도 해야하고~~ 선진국 사례도 직접 조사해야하미 미국 유럽 등도 다녀왔을거 같고~~ 아 그리고 성과보고는 액티브 액스를 성공적으로 개인의 피씨에서 제거할 수 있었다! 기존 99%사용 -> 2015년 6월 현재 20% 로 감소!!
14/12/29 11:28
사실 n으로 시작하는 그 회사의 프로그램은 말만 ActiveX지 그냥 서비스에서도 등록되어 늘상 실행되는 exe(실행파일)형태로 시작된지가 꽤 됐다고 봐야죠.. 그 회사 입장에선 우린 딱히 바뀌는거 없는데? 크크크크크 라고 할지도 모르겠다는 느낌이 들고
위에 Toby님이 올려주신 링크를 보시면 왠만한 부분들은 다 나와있고 결국은 사실상의 관피아와 영업의 힘으로 바뀌어서 정상으로 돌아가야 할 부분들이 정상적으로 돌아가지 않고 있습니다. 요약하면 은행 등의 업무를 하는 전자상거래시에 발생하는 모든 문제의 책임은 사용자쪽에 불리하도록 법이 만들어져 있으며(문제가 생김? 그거 사용자 책임여 탕탕탕), 은행은 사용자가 불리하게 책임을 지지 않도록 강제로 고객의 보안을 책임지는 보안비용을 부담(하는 조건으로 문제가 생기면 사용자 문제임, 니들 문제 아님여 탕탕탕)해야 하고 이 부분이 법으로 만들어져서 강제로 해야만 합니다. 그리고 그 보안비용으로 먹고사는 몇몇 업체가 존재하고 이 업체들은 금융감독원 출신 사람들의 은퇴코스로 이용되고 있다. 정도로 볼 수 있습니다.
14/12/29 12:10
액티브엑스 어떻게 좀 해달라고 소원을 빌었더니, '오키~ 들어줄게' 하고 전혀 다른 방식으로.
모 애니의 못써먹을 성배가 떠오르는군요..
14/12/29 12:17
액티브 X를 없애달라는 이유를 모르는 건가요?? 아니면 모르는 척 하는 건가요??
에라이 더러운 넘들~~~...진짜 로또 1등 되면 이민가든가 해야지...ㅡㅡ;;;
14/12/29 12:28
지금도 크롬 등 타 계열 브라우저를 쓰면 exe파일로 설치를 해서 사용했죠?
그렇다면 일단은 액티브 엑스가 되지 않는 브라우저를 사용하더라도 사용 자체는 가능 하다는거군요. 진짜.. 고마워 해야 하나요? 사실 먹을 거 빼고는 국내에서 물건 구매 안 한지 꽤 되었어요. 여러분 직구 하세요. 한 번 시작하면 국내에서 물건 못사요.
14/12/29 14:11
exe로 배포하는 것과 타 브라우저에서도 실행되는것과는 별 관계가 없습니다.
지금도 자동설치가 안되면 exe로 내려받아서 설치할 수 있어요.
14/12/29 12:40
기업이 잘되어 꿀을 빨게되면 그 돈을 새 기술에 투자하는게 아니라
관료조직에 잘 치덕치덕 발라두면 똥같은 기술로도 계속 더 돈을 벌 수 있습니다. 이미 전부 치덕치덕해진 상황이라 누가 획기적인 사이트내에서 보안신기술이라고 개발을 한대도 적용하긴 쉽지 않을겁니다 우리나란 꿀빠는곳에서 정부와 손잡고 신진세력을 용서하지 않는 문화거든요 크크 아직 멀었습니다
14/12/29 12:45
> 국내 - 사용자의 PC에 보안 프로그램을 설치
> 해외 - 사이트에 보안프로그램을 설치. 이 비유는 잘 이해가 안 갑니다. 국내라고 사이트에 보안 조치를 안 하는 게 아니고, 해외라고 특별히 더 뛰어난 수준의 보안이 사이트에 적용되는 게 아닙니다. 얼마 전에도 외국의 한 은행이 충격적인 수준의 보안 수칙을 적용했던 게 알려져서 놀랐던 기억이 납니다. 사용자 컴퓨터에 보안 프로그램을 설치하는 것이 대단히 불편하고 짜증 유발하는 짓거리이긴 하지만 외국보다 보안성을 높이는 건 사실입니다. 국내법상 해킹 책임을 사용자에게 책임을 떠넘기는 문제는 이것과 orthogonal하죠. 현행 보안 프로그램 체제가 정말로 단점밖에 없다면 알아서 없어지게 되어 있습니다. 편익(보안 향상)과 비용(사용자 불편함, 개발 비용, 갈라파고스)의 계산이 애매하니까 끈질기게 살아남는 거죠.
14/12/29 13:27
각종 보안프로그램 덕지덕지 깔아야 하는 인터넷 쇼핑몰과 그렇지 않은 쇼핑몰, 인터넷 뱅킹에 공인인증서와 각종 보안프로그램 설치를 요구하는 은행과 그렇지 않은 은행이 있다면 모르겠지만 법으로 이러이러한 보안체계를 구축하라고 정해져 있는 상황에서 소비자의 선택자체가 불가능한데 어떻게 알아서 없어지겠습니까.
14/12/29 13:42
공인 인증서는 법으로 강제되어 있지만, 보안 프로그램은 사용자 요청에 따라 설치하지 않는 것이 가능하며 실제로 몇몇 은행은 이를 지원합니다. 카드 결제 시에도 마찬가지고요. 카드사들이 이를 적극적으로 도입하지 않는 것은 위 기사에서도 나온 것처럼 보안 프로그램의 장점이 있다고 생각하기 때문이죠.
14/12/29 14:21
보안프로그램 설치하지 않는 은행과 카드사가 어딘지 알 수 있을까요? 맥이 주 작업 컴이다보니 은행이용 등이 여간 스트레스가 아닌데 이 기회에 진지하게 은행을 바꿔볼까해서요.
14/12/29 14:25
'몇몇 은행'이라고 한 것은 개편 전 우리 은행을 보고 한 말인데, 예전에는 우리 은행이 보안 프로그램 미설치를 지원했었습니다. 그런데 개편 후 없어졌습니다. 저도 그것 때문에 우리 은행을 썼었는데 지금은... ㅠㅠ
카드사도 역시 개편 전 애플 코리아가 보안 프로그램을 사용하지 않는 결제를 지원했었죠. 이것도 개편하면서 저 멀리... 저도 OS X를 사용합니다만 좀 포기한 상태인데, 보안 프로그램을 설치하지 않는다고 해도 어차피 공인 인증서 때문에 플러그인 하나는 깔아야 하기 때문입니다. 하나 까나 여럿 까나 귀찮은 건 비슷하더군요...
14/12/29 14:33
보안프로그램도 법까진 아니라도 제도화 수준의 권고안은 있습니다
그리고 그 끄게 하는 것 조차도 일단 한 번은 설치해야 합니다 (-_-) 밥그릇 문제와 엮여서 이게 없어지질 않아요
14/12/29 14:48
보안프로그램 설치하라는 제도는 이제 개편이 되어서 사라진 걸로 압니다.
물론 은행들이 미쳤다고 "우리는 이제부터 보안프로그램을 쓰지 않겠습니다"라고 하진 않겠지만요.
14/12/29 13:33
단점밖에 없다고 다 없어지는건지 모르겠네요. 그리고 사이트 내 보안도 철저히하고 추가로 개인 사용자 보안을 추가로 하는 거고 그로인해 피해가 현저히 줄었다면 이해할 수 도있겠지만 그건 또 아닌거 같습니다.
국내 은행은 뜬금없는 금액이나 장소에서 출금하는 걸 걸러네는 보안장치조차 없다는 뉴스를 접한적이 있습니다. 모든 나라가 이런 시스템을 적용하는지는 모르겠으나 외국에서는 저런방식의 해킹을 막을수 있는 수단으로 적용한다고 하더군요. 이런 수준이라면 저런 비유가 확실하진 않아도 대충 저런식으로 이해할 수 있는거 같네요.
14/12/29 13:48
피해가 현저히 줄었는지 아닌지 판단하는 게 어려운 것 같습니다. 보안 프로그램이 없었다면 해킹이 얼마나 더 많았을지 판단해야 하는데, 쉽지 않은 일일 거라고 생각합니다. 제가 이쪽 계열 연구를 본 적이 없습니다. (혹시 아시는 분 있나요?)
14/12/29 14:06
저도 정확한 통계나 결과는 모르지만 느끼기에는 전혀 필요없고 귀찮기만할 뿐 이라는 생각이 들기도 합니다. 은행에서 해킹당하고 개인정보 유출되고 하는걸 보면 더더욱 필요가 있나 싶으니까요. 개인 보안프로그램 설치 때문에 덜해진게 이정도일지도 모르지만 그냥 사용자의 입장에서 이렇게 생각이 듭니다. 게다가 위에 댓글들 처럼 모든 책임을 사용자에게 넘기기도 하구요...(제가 말한 사례에서도 1회용 비밀번호 생성기 사용하는 사람인데도 털렸는데 은행은 잘못없다는 식으로만 나오죠...)
14/12/29 14:15
저 또한 개인적인 추측밖에 할 수 없지만, '보안 프로그램 때문에 덜 해진 게 이 정도'라고 생각합니다. 애초에 신뢰할 수 없는 단말기(=개인 컴퓨터)로 이 정도라도 해 내는 게 개인적으로는 대단하다고 생각해요. (만일 전자 상거래가 아이패드 같은 비교적 통제하기 쉬운 단말기로만 되었다면 좀 더 편했겠죠...)
위 댓글에서도 밝혔지만, 은행에 책임을 묻는지 여부는 은행이 보안 프로그램을 사용할지 말지 결정하는 데 큰 영향을 못 줄 것입니다. 은행의 책임이 커질수록 오히려 사고가 터지는 것을 막기 위해 온갖 보안 프로그램을 덕지덕지 바를 가능성이 높거든요. (물론 그럼에도 은행의 책임이 늘어나야 한다는 데는 동감합니다. 이건 법을 바뀌서 풀 문제죠.) 이걸 소비자 차원에서 제어해 보자면 보안 프로그램을 안 설치해도 되는 다른 은행으로 넘어가서 일종의 '불매 운동' 비슷한 것을 하는 방법이 있는데, 은행을 선택하는 데 있어서 보안 프로그램 여부보다 중요한 요소가 많은지라 어려움이 많죠.
14/12/29 14:18
이런 개인 보안프로그램 강요안하는 외국의 경우 우리나라보다 많은 피해를 입는지 궁금하네요. 만약 우리나라보다 많은 비율로 피해를 받는다면 우리나라 방식이 좋다는 거일수 있겠지만 그게 아니라면 지금 방식이 별 의미없거나 대충만든 프로그램 뿌리는것일테니까요
14/12/29 14:22
저도 그래서 관련 연구를 보고 싶다고 한 것입니다. 이게 사람마다 말이 달라서 종잡을 수가 없습니다. 어떤 사람은 그게 그거라고 하기도 하고, 또 어떤 사람은 외국의 경우가 더 잘 뚫린다고 합니다.
이걸 연구하는 게 어려울 수밖에 없는 게, 보안 프로그램 말고도 보안에 영향을 미치는 요소가 많기 때문이죠. 개인의 보안 의식, 운영 체제 버전(예컨대 윈도 XP 점유율이 높으면 공격에 더 취약하겠죠), 시스템이 homogeneous한 정도(예를 들어 특정 브라우저 점유율이 높다면 그것만 타게팅하면 되니까 공격이 더 용이하겠죠) 등...
14/12/29 14:46
덜해진게 이정도... 는 맞습니다.
제가 돌아다니며 본 현실을 고려하면 이정도의 솔루션조차 없으면 더하면 더했지 덜하진 않을겁니다. 그리고 책임을 묻는지 여부는 큰 영향을 줍니다. 연간 솔루션 규모라고 해봐야 약 20억원+a 수준이 되기 때문이고, 이로 인해 생기는 보안관련으로 인한 배상의 문제가 생길때의 배상액을 고려하면 훨씬 싸다고 볼 수 있습니다. 실제로 이 책임의 회피를 위한 조항으로 이득을 보는 곳이 보안솔루션업체이고, 그 다음이 은행입니다. 그나마 돈 쓴다고 짜증은 내지만 실제 문제가 생겨서 현재 우리잘못 아님여를 충실히 하고 계신 농협은 만약 이 건이 아니었으면 보안에 대한 책임을 지지 않았다며 배상을 그 보안솔루션 비용 이상으로 내고 있을수 있습니다. 내가 잘못을 했어도 니들이 똑바로 관리를 안해서 그래 드립을 치게 되면 고객의 손을 들어줘야 하는데 그 부분을 보안솔루션 지원이라는 보험의 형태로 원천봉쇄 한 부분입니다. 당장 농협에서 그 문제가 생기고 해킹이 일어났다고 해도 농협에서 계좌 옮긴 비율이 얼마나 될지를 보면 알 수 있을듯 합니다. 어차피 나만 아니면 된다는 그것(보안의식에 대한 무관심)은 여전하게 일어나고 있습니다.
14/12/29 13:44
해외는 문제가 발생시에 해결을 해야 할 배상의 책임을 은행(기업)이 지고, 한국은 문제가 발생되면 배상의 책임을 지지 않습니다. 이것을 하기 위해 보안관련 프로그램을 설치하도록 강제조항을 만들어낸것이구요.
저 역시 귀찮은 보안카드와, OTP, 공인인증서에 대해 거부감이 존재하나 이들로 인해 그나마 상대적으로 덜 사고가 터지는 부분을 누구보다 잘 체감합니다. 컴퓨터아저씨니까요. 컴퓨터에 무지(단순하게 인터넷과 업무정도만 하시는 분들)하신 분들의 보안 개념에서는 왜 인터넷에서 카카오톡을 카카오톡 사이트가 아닌 블로그같은데서 받지 말아야 하는지, 이것저것을 설치하며 깔리는 Malware들이 왜 설치되는지에 대한 이해를 하지 못합니다. 분명 본인들이 했음에도 말이죠.. 이 부분에 있어 ActiveX등의 기존 프로그램 사용 행태가 무조건 예, 다음만 누르도록 만들어낸 것이 만든 악영향이기도 하지만, 그 악영향을 나름의 방법으로 응급조치 하는 식의 느낌인데, 중요한 부분은 책임을 거부할 수 있도록 하기 위해 최소한의 안전장치를 쓰라고 강제적으로 강요를 하는겁니다. 그리고 그 결과물은 최근의 사라진 내돈 사건으로 나왔죠. 은행은 책임을 질 필요가 없습니다. 거기다 과연 현행의 보안프로그램이 얼마나 보안성이 뛰어나냐 라는것 역시 문제인데, 과연 뛰어난가에 대한 정확한 성능검증이 되는것도 아니며 그것들이 설치된다고 OnlineGameHack류로 감지되는 온갖 Malware를 다 검색하지 못하는 것 또한 문제입니다. 사실 보안능력이 보통 말하는 해외의 모 백신들 뺨을 좌우로 후려친다고하면 인정해야 겠지만 그런것도 아니구요. 최선의 개선안은 사용자 보안의식이 강화가 되어야 하고 그걸 기반으로 은행은 최소한의 책임을 했으니 책임을 피한다가 아니라 언제나 고객의 피해를 줄이기 위해 노력을 해야 하고, 그 과정에서 가장 좋은 보안 솔루션을 채택할 수 있도록 해야 하는게 맞다고 봅니다. 현재의 n / I 같은 보안프로그램 자체의 보안능력 자체가 의문시 되기 때문에 더더욱 화가 나는거죠... (-_-)
14/12/29 14:00
위에서도 말했지만, 저는 은행의 배상 책임과 보안 프로그램은 orthogonal하다고 생각합니다. 만일 사고가 터지면 무조건 은행이나 카드사 책임이 되도록 법률이 개정된다고 하더라도 보안 프로그램은 여전히 쓰일 겁니다. 그렇게 되면 은행 입장에서는 사력을 다해 사고가 덜 터지게 해야 하니까요. 오히려 더 강화될 가능성도 있겠군요. (사실 지금도 법률상 보안 프로그램은 optional입니다.)
은행과 카드사가 플러그인을 덕지덕지 설치하는 것을 포기하게 하려면 말씀하신 것처럼 현행 보안 프로그램들의 보안성을 신뢰할 수 없다는 구체적인 증거가 제시되어야 합니다. 하지만 저는 이 부분의 연구도 별로 본 적이 있습니다. (혹시 알고 계신 분이 있다면 링크 주시면 감사하겠습니다.)
14/12/29 14:40
그냥 한글 써주시면 안되나요.. 전문용어 쓰셔서 모르겠습니다. 검색을 하도록 유도하시는건 그다지.. (....)
사실 검색을 해도 무슨 뜻인지 알아먹기 어렵네요.. 배상책임이 커질수록 은행은 보안에 더 총력을 기울일겁니다. 대신 지금처럼 무조건적으로 고객의 컴퓨터에 보안을 요구하는 플레이보다는 무료로 OTP 단말기를 제공한다거나, 최종 결제전에 지금도 시행은 합니다만 전화번호를 통해 인증, 문자메시지를 통해 인증 등을 이용하게 할 수 있어집니다. 물론 이 부분에 대해 모 보안솔루션 업체(예전 인터뷰도 갔었고 시연도 체험해보고 다 해봤습니다. 동아계열 잡지였나에도 그 회사와 함께 취재를 하며 보안이 위험하다고 기사 나온게 있을겁니다)에서는 어차피 그래봐야 얼마든지 털 수 있다면서 화면해킹 관련 이야기를 하기는 합니다만 -_-;; 문제는 법적으로 보안솔루션 탑재를 해서 고객의 보호를 한 은행이므로, 문제가 생길때 벗어날 수 있다라는 단서를 달아두고 그 보안솔루션 영업을 할 수 있도록 한 정부기관의 문제입니다. 사실 공인인증서(국내에서 사용하는)의 최상위 기관 인증도 못받고 사용하던걸 그나마 얼마전에 인증을 받아서 간신히 넘어간걸 생각해보면 더더욱 갑갑하구요. 당장 현재 보안이 취약한 이유는 공인인증서 보관의 신뢰도가 없기 때문입니다. 인터넷 조금만 검색해봐도 나오는 NPKI폴더의 위치를 파일만 카피하면 모든게 끝나고 있는데, 이 부분 자체를 너무나 취약하게 해놨다는게 첫번째 문제입니다. 그나마 Windows 7으로 넘어오며 저장위치가 바뀌었다고 하지만 어차피....... 같은 상황이죠. 얼마든지 악성 프로그램으로부터 인증서가 털리기 쉬운 상태입니다. 공인인증서를 하드디스크에 아니 다른곳에 저장하더라도 불러올때는 암호화를 통해 그때그때만 개방할 수 있는 시스템등을 개발해서 만들면 된다고 보는데 정작 그런건 하지 않거든요. (USB 보안폴더 개념처럼 해서 얼마든지 공인인증서 자체도 보호가 가능하겠지만 안쓰고 있음) 두번째 문제는 위에도 적었지만 해외에서 게임 관련 아이디와 비밀번호를 털자고 만들어둔 OnlineGameHack류의 프로그램들을 여전히 잡아내지 못하고 있습니다. 이 문제는 감염되는 순간 마비가 되는 백신들의 문제기도 하지만, 그 부분을 뛰어넘어서 더 강력하게 막아줘야 할 프로그램을 nProtect와, INISafe여야 하는데 그렇지도 못하다는 문제가 있습니다. 아이러니 하게도 NC나 넥슨에서는 강제력이 없음에도 해당 회사들의 솔루션을 일부 사용하는걸 본거 같기도 한데 그걸 보면 기술력이 딱히 까고만 볼건 아니지 않냐라는 생각도 들때가 있지만 결국 우리도 보안솔루션 클라이언트에 제공하니 문제생기면 니들문제요. 라는 것과 크게 다르지 않다고 봅니다. 최종적인 문제는 결국 사용자인데 이 부분은 ........ 그냥 답이 없습니다. 그리고 위에 언급하신 보안성에 대한 부분은 전문적으로 해외에서 가끔 나오는 AntiVirus관련 평가들에서 해줘야 할 문제인데 관련해서 딱히 평가를 받았다는 무언가를 본적이 없는것 같다는게 안타깝습니다.
14/12/29 15:21
배상의 책임을 은행이나 기업이 더 크게 지도록 한다면 더욱 많은 보안 솔루션이 사용자 컴퓨터에 덕지덕지 깔릴 겁니다. 어째서 배상의 책임이 커지면 고객의 컴퓨터에 설치를 요구하는 행위가 줄어든다고 생각하시나요? 사용자 컴퓨터에 보안 프로그램을 많이 깔면 보안에 더 노력을 기울인 셈이 되니 사업자 측에서는 포기할 리가 없겠죠.
참고로 OTP 단말기는 쓰지 않는 경우가 대부분이고, 휴대폰을 통해 인증을 하는 건 지금도 시행중인 제도입니다. 저는 개인 PC에 보안프로그램 설치하는 걸 중단했다가, 보안사고가 터졌을 경우 "그러게 왜 보안프로그램 사용을 중단해서 이 사단을 만드냐?"라는 비난에 시달릴 것이 자명하기 때문에 은행이나 기업들이 현 방식을 고수하고 있는 것이라고 봅니다.
14/12/29 15:52
책임이 생긴다. 솔루션 경쟁력에 대해 철저한 평가를 한다. 경쟁력 없는 솔루션은 죽는다.
솔루션 업체는 사활을 걸고 기술개발을 해야 하고 문제생기면 연대책임까지 고려를 한다. 보험등의 사고 발생시 유연한 대처를 위한 다른 방식이 도입된다. 외부에서 리스크를 최대한 줄이기 위해 강화된 보안품질 검사를 실시한다. 보안사고가 발생하기 쉬운 취약계층을 위한 더 안전한 거래방식을 만들거나 창구거래를 위해 은행 방문시 위험성 안내를 하는 인원을 배치한다. 혹은 계좌개설시부터 취약계층 고객에 대해서 사고가 생길수 있음에 대해 안내를 한다 등등 전방위적 대응을 고려하게 될겁니다. 지금처럼 최소한의 비용만 들이고 말지가 아니라 더 많은 돈을 투자하는 분위기가 나와야겠죠 피싱 스미싱으로 문제가 크게되자 분위기 보고 지연인출 등의 제도를 만드는 곳인데 실제 배상책임까지 주면 더 심각하게 고민하고 움직이게 되겠죠
|
||||||||||