댓글로 쓰자니 너무 길어질 것 같아 글을 씁니다. 일단 저는 전공자가 아니고, 해당 분야의 전문가도 아니기 때문에 부정확한 내용이 많을지 모릅니다. 이런 부분은 고수 분들께서 교정해 주시면 감사하겠습니다.

1. 인터넷 뱅킹의 암호화, 그리고 그에 따르는 보안 위협
현재 인터넷 뱅킹에 써먹을 수 있는 암호화 기술은 두 가지쯤 생각할 수 있습니다. 하나가 SSL이고, 다른 하나는 ActiveX 기반의 SEED 등등입니다. 뭐 상세한 기술적 논의는 잘 모를 뿐더러 여기서 하는 게 의미가 없으니 그만두고... 요지는 둘 다 안전하지 못합니다. 김기창 교수가 주도하는 http://openweb.or.kr -저도 여기 배너를 달고 있긴 합니다만- 에는 전자는 안전하고 후자는 안전하지 못하다는 식으로 얘기하는데, 천만의 말씀입니다. SSL만으로는 안전성을 담보할 수 없습니다. 대표적인 공격으로 MITM(Man in the Middle)이 있습니다. 자세한 얘기는 역시 능력과 필요성 관계로 생략합니다. 따라서 이것을 보완해 줄 플러그인-Java가 됐든, ActiveX가 됐든, Flex가 됐든-이 필요합니다.

2. 플러그인
일단 id/password 방식. 이것은 한 번 뚫리면 해커가 두고두고 재활용할 수 있습니다. 더군다나, 클라이언트의 PC에 접속하지 않고서도 id/password를 알아낼 방법은 무수히 많습니다. 그래서 대안으로 등장하는 것이 인증서죠. 쉽게 말해 인증서를 도입함으로써 한두 겹 더 보안이 두꺼워진다고 생각하면 됩니다. 또한 키로거에 대한 대책도 필요하죠. 그런데 인증서를 웹상에서 써먹으려면 플러그인이 필요합니다. 역시 여러 가지 방법을 생각할 수 있는데, 현재 국내에서는 다들 아시다시피 Windows/IE 기반의 ActiveX를 쓰고 있는 거죠. 이는 물론 브라우저나 운영체제에 종속적인 기술입니다. 그렇다면 어떤 대안이 있을까요? 일단 생각할 수 있는 것은 운영체제 차원의 플러그인입니다. 예를 들어 Java. 그런데 Java를 쓰면 완벽한 크로스 플랫폼이 되느냐? 그건 아닙니다. 물론 GNU/Linux, OS X까지는 지원하겠지요. 하지만 유닉스 쪽에 NetBSD라는 게 있는데, 여기서는 또 그게 안 됩니다. 따라서 진정한 크로스 플랫폼이 아니군요. 기각. 여기서 '왜 GNU/Linux는 지원하는데 NetBSD는 지원하지 않느냐?'라는 질문에 'GNU/Linux보다 사용자가 적어서...'라고 대답하면 현재의 '리눅스는 윈도우즈보다 사용자가 적어서...'하는 소리와 같은 꼴이 됩니다. 다른 한편으로는 브라우저 차원에서 플러그인을 쓰는 방법이 있겠죠. 예를 들어 크로스 플랫폼인 Firefox에서 Adblock이나 FireGestures 같이 플러그인을 이용하는 방법이 있겠습니다. 좋습니다. NPAPI 플러그인을 이용해서 파폭에서 인터넷 뱅킹을 만들었네요. 이제 파폭에서라면 어떤 운영체제에서도 플러그인을 이용해 인터넷 뱅킹을 할 수 있군요. 그런데 여기에는 문제가 있습니다. 브라우저 종속적이거든요. 그리고 플러그인 문제인데... 현재 파폭에서 쓰고 있는 플러그인은 XPCOM 방식입니다. 이것 또한 ActiveX처럼 클라이언트에 직접적인 영향을 미치는 기술입니다. 때문에 악성 파이어폭스 플러그인을 이용하면 마치 악성 ActiveX처럼 파일을 멋대로 지운다던가, 보안 위협을 만든다든가 하는 일이 가능합니다. 뭐 Mozilla에 해당 은행에서 만든 플러그인이 안전함을 인증받으면 되겠지만, 글쎄요... 결국 파폭 플러그인도 지금의 ActiveX처럼 무작정 설치하게 되는 날이 오면 그것은 그것대로 보안에 문제가 생기는 거죠.

3. 크로스 플랫폼/크로스 브라우저여야 하는 이유?
솔직히, 기업에서 모든 플랫폼, 모든 브라우저를 지원해야 할 이유는 없습니다. 단 정부라면 얘기는 다르겠지만요. '왜 정부에서 제공하는 서비스를 이용하기 위해 돈 주고 운영체제(Windows/OS X)를 사야 하는가?'라는 논거는 정당하다고 봅니다. 그렇다면 정부에서 무료 운영체제, 현실적으로 말하자면 리눅스에 대한 지원을 해 줄 의무는 있습니다. 하지만 이게 '모든 운영체제'와 '모든 브라우저'에 해당되는 논거는 아닐 겁니다. 아마 논거의 정당함으로 얘기하자면 리눅스에 대한 지원 정도가 쌍방 납득할 수 있는 해결책이 되겠네요.

4. 브라우저 vs 클라이언트 프로그램
인터넷 뱅킹을 포기하면 훨씬 간단해집니다. 운영체제 종속적인 프로그램을 배포하면 되지요. 인터넷 뱅킹은 골치아프니 막고, 프로그램을 통해서만 금융 서비스를 이용하는 겁니다. 가능한 현실적인 대안 중 하나입니다. 보안 면에서도 더 나을 것으로 생각하구요. 다만 GNU/Linux의 경우는 커널이나 라이브러리에 대한 의존성이 있을 거 같으니까 배포판을 한정한다던가 하면 되겠네요. 예를 들어 Gentoo나 CentOS 같은 데서 실행하려고 하면 '죄송합니다. 본 서비스는 Ubuntu 8.04 "Hardy Heron" 이상의 배포판에서만 작동합니다' 같은 문구가 나온다던가요... 모바일 기기에 대해서도 이렇게 어플을 배포하면 편하죠. 근데 문제는, 웹상에서의 접근성이 떨어지고, 무엇보다도 각 플랫폼에 맞춰 개발해야 하니까 개발비가 더욱 늘어난다는 데 있겠네요.

5. 현실적 대안
일단, 대충 살펴봤듯 기업/정부에서 모든 운영체제, 모든 브라우저에 대해 서비스를 제공할 의무는 없고, 또한 그럴 능력이 부족합니다. 더군다나 동일한 방법으로 그러는 것은 불가능하죠. 제 생각에 개발 비용도 줄이면서 많은 플랫폼을 지원하는 최선책은 NPAPI 기반의 플러그인 사용입니다. Sun, Adobe, Apple, Mozilla, Opera가 합의한 기술인데요, 지금으로서는 가장 폭넓은 플랫폼을 지원하면서도 보안성을 갖출 수 있을 것 같습니다. 이러면 나중에는 '안전한 인터넷 뱅킹을 위해서는 Firefox 4.0.1/Opera 10.5/Safari 4.3/Chrome 4.0 이상의 브라우저를 사용하시기 바랍니다'라는 창을 볼 수 있으려나요 -_-;

6. openweb에 관해
http://openweb.or.kr 은 이 분야에서 꽤나 유명한 사이트입니다. 하지만 서술하는 보안 관련 내용은 좀 부정확하고 과격한 측면이 있습니다. 제 생각에는 김기창 교수님께서는 이 쪽에 관한 법리적 근거를 마련하는 데 집중하시고, 전문적인 내용은 괜히 다루지 마셨으면 합니다만... 제 사견이니까요. 저랑 좀 노선이 안 맞음에도 불구하고 이 곳 배너를 제 블로그에 단 이유는 기본적인 취지나 동기를 존중하고 또 공감하기 때문입니다. 하지만 좀더 전문적이면서도 정확한 내용을 다루어 주었으면 합니다.