분류 전체보기 (69)
Life Story (22)
Music Story (12)
My Play (10)
Security (20)
Scrap (3)
Virtualization (1)
기타연주  Virtualization  ActiveX  srv  블루스  Gartner  마이클잭슨  가상화  악플  hijacking  hacking  전자금융  guitar  웹표준  Recording  기타  보안  전자정부  blues  security  인터넷 뱅킹  schecter SD-II  웹 접근성  Jazz  웹접근성  Schecter  jimi  구글어스  연주  인터넷뱅킹 
 오픈웹 v. 금..
└>Open Web
 ActiveX 알고..
└>日常茶飯事
 Vista ActiveX..
└>SNAIPER의 조..
 마이클잭슨 내..
└>[Noenemy]'s m..
«   2017/12   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            
+ VMblog.com -..
+ virtualizatio..
+ Virtualizatio..
+ VMTN Blog
+ Total : 72,673
+ Today : 0
+ Yesterday : 3
  

 

 

 

웹접근성 _해당되는 글 6건
2007.07.07   인터넷뱅킹 서비스 보안에 대한 짧은 생각 (2)
2007.01.25   ENTClic님 Trackback 용 포스트 (2)
2007.01.22   Trackback용 포스트 (10)
2007.01.19   짧은 생각 (4)
2007.01.09   Global E-Government - 2006 (2)

 

인터넷뱅킹 서비스 보안에 대한 짧은 생각
+   [Security]   |  2007.07.07 08:36  

몇일전에 신문기사를 보다가 보니 인터넷뱅킹이 또 문제라는 기사가 눈에 띄더군요. 기사 제목은 공인인증서가 뚫렸다는 식으로 나온 것 같은데, 내용을 들여다 보니 사실은 공인인증서 자체가 뚫린 것이 아니라, USB 키보드에 대한 키로깅 방지가 제대로 되지가 않아서 사용자의 PC에 접근한 악의적 공격자에 의해 사용자가 금융정보를 입력하는 순간 모든 정보가 Intercept 될 수 있다는 내용이더군요.

제 개인적으로는 최근에 인터넷 뱅킹에 대해 많은 생각을 하게 되는데, 사실 이러한 부분은 명확한 답을 제시하기 참으로 어려운 부분이 많은 것은 분명해 보입니다. 분명한 것은 보안성을 높이면 서비스 품질이 떨어지고, 서비스 품질을 높이면 보안성이 떨어지는 것이 사실입니다. 이 두개가 공존하는 환경을 만드는 것은 참으로 쉬운일이 아닌 것 또한 분명해 보입니다.

해외의 경우에도 이러한 사건 사고의 예외는 아니어서, OECD보고서의 Policy Brief(Oct, 2006)에 나와있는 사례에서는... 영국의 Payment Clearing Services(이거 뭐라고 번역해야 하는지... OTL) 연합회의 레포트에 따르면, 인터넷 뱅킹의 사기(Fraud)에 의한 피해액이 2005년 6월에 1,450만 파운드(261억원 정도, 1파운드를 1800원으로 계산)였으며, 6개월후에 3배 이상이라고 되어있어, 우리나라의 인터넷 뱅킹 손해액에 비해 엄청난 금액이라는 것을 알 수 있습니다. 해외의 인터넷 결재 또는 뱅킹이 안전하다고 우겨대는 분들도 있는데, 정말 그것은 착각이지요.

In the United Kingdom, the Association for Payment Clearing Services reported that bank's losses from internet banking fraud more than trebled to GBP14.5 million for the six months to June 2005.

우리나라의 경우에는 현행 법적으로 사용자의 과실이 분명한 경우(인터넷뱅킹 사용자가 자신의 ID, Password, 이체보안카드 번호 등을 공격자에게 알려주는 극단적인 경우)를 제외하고 모든 것이 전자금융을 제공하는 서비스 사업자(은행)의 책임입니다. 문제는 은행들은 일반 사용자의 PC 보안 상태가 인터넷 뱅킹서비스를 하기 위한 조건에 맞는지를 신뢰할 수 없기 때문에 사용자의 PC에 Anti-Keylogger, PC Firewall, Anti-Virus, Anti-Phishing과 같은 도구를 강제로 인스톨하게 됩니다.

물론 사용자가 허가를 해야 인스톨이 되는 조건을 거치게 되지만, 사용자가 "No"를 선택하게 되면, ActiveX를 통한 보안도구들은 안깔리게 되겠지만, 결론적으로 이러한 보안 프로그램이 안깔리게되면, 정상적인 인터넷 뱅킹 서비스는 꿈도 못꾸기 때문에 사실은 강제적 서비스라고 보는 것이 좀 더 맞다고 봅니다.

문제는 이러한 보안 프로그램들은 은행들도 별로 좋아하지 않는다는 점 입니다. 일전에 Conference에서 세션발표 후 금융권 담당자와 잠시 이야기를 하는데, 콜센터에 접수되는 불만의 최소 50% 이상은 이러한 보안프로그램 때문에 발생한다는 푸념을 하더군요.

인터넷뱅킹을 위해 사이트에 접속하면 은행에서 설치해 놓은 온갖 보안 프로그램들이 존재하게 되는데, 웬만한 지식을 가진 사람이면 다 역공학(리버스엔지니어링, Reverse Engineering)을 해 볼 수 있고, COM 이나 OCX에 대한 지식만 조금 있으면 Control을 마음대로 조작할 수도 있다는 문제점 외에도 S/W 및 OS간의 충돌 문제는 심각할 정도입니다. 몇군데의 은행을 동시에 접속해 놓으면 블루스크린이 뜰 정도라는 이야기는 어제 오늘의 이야기가 아닙니다.

그럼에도 불구하고, 은행들이 이러한 보안프로그램을 놓지 못하는 이유는 인터넷뱅킹 서비스의 존재 이유와도 같다고 봅니다. 그것은 보안이지요. 금융 서비스의 제1 원칙은 다양한 접속경로나 환경을 보장하는 것이 아니라 보안성 유지라는 원칙은 반드시 지켜져야 한다는 것 입니다. 이러한 보안성 유지를 감사(Audit)하는 곳이 금융감독원인데, 금융감독원에서는 전자금융과 관련한 가이드라인을 마련하고 이의 준거성 여부를 감사(Audit)하는 역할을 합니다.

많은 분들이 질문을 합니다. 해외의 Paypal과 같은 서비스는 우리나라와 같이 ActiveX 로 작동하는 보안프로그램이 없어도 잘 서비스 하는데, 왜 유독 우리나라는 웹 표준도 아닌 ActiveX를 이토록 고집하여 우리나라의 금융환경을 세계 표준이 아닌 대한민국의 표준으로 전락시켜버렸냐고.

자, 그렇다면 우리나라의 금융감독기준을 토대로 만약 해외 유수의 인터넷 뱅킹이나 Paypal과 같은 서비스에 대해 우리나라의 전자금융 보안을 위한 가이드라인을 적용시켜 감사(Audit)을 하면 어떤 결과가 나올까요? 제 생각에는 틀림없이 해외의 인터넷 뱅킹이나 paypal 서비스는 우리나라의 기준으로 볼 때, 분명히 불합격 판정을 받을 것이라고 봅니다. 사실 우리나라의 전자금융 감독 규정은 세계적으로 봐도 뒤떨어지지 않으며, 오히려 현실을 감안할 때 지나치게 과민한 부분이 있을 정도라고 봅니다. ActiveX 하나 없는 외국의 금융 서비스가 안전하다고 말씀하시는 분들도 많은 것 같습니다만, 안전한 서비스라는 것이 진정으로 존재할 수 있다고 생각하시는지 저는 오히려 물어보고 싶습니다. 그 어떤 서비스에도 Potential Risk는 존재할 수 밖에 없으며, 실제 해외에서의 금융사고 건수와 피해발생 규모를 비교해 볼 때 우리나라의 인터넷뱅킹 서비스는 그나마 안전하다고 말할 수 있을 정도입니다. (위의 OECD문서만 봐도 짐작 하실 수 있을겁니다)

해외의 경우에는 사용자의 PC 환경에 대해서는 사용자에게 맡기며, 사고가 발생해도 보험이나 보상 서비스를 통해서 고객의 손실을 배상하는 경우가 대부분입니다. 따라서 해외의 전자금융 사업자는 사용자의 PC의 환경을 최소한의 신뢰적인 환경으로 만들기 위해 Anti-Keylogger, PC Firewall, Anti-Virus, Anti-Phishing과 같은 도구를 인스톨 할 필요성이 없다는 점이 가장 차이가 나는 점이라고 생각합니다. paypal의 경우에는 OTP(One Time Password)를 2007년 2월에 도입한다고 할 정도니까, 인증 방식에 대해서는 국내와 비슷해지는 것도 같군요. 말이나와서 말인데, Paypal 서비스는 그들 스스로의 자기중심적 서비스로 엄청난 비판을 받는 서비스 입니다. 여기를 보시면 Paypal의 폭력적 서비스 형태를 미리 경험하실 수도 있습니다.

제가 보기에 우리나라의 인터넷 뱅킹은 정부에서 사용자의 금융사고에 대한 책임을 금융사업자가 지게 되는 현행 구조때문에 금융사업자가 좋던 싫던 사용자의 PC에 뭔가를 끊임없이 인스톨 시킬 수 밖에 없는 구조입니다. 따라서 현행 법률체계를 유지하는 상황에서 기술적인 부분만을 토대로 웹 접근성 강화와 전자금융 보안성 강화라는 두마리의 토끼를 잡는 것은... 저는 불가능하다는 결론을 내렸습니다. 정말 오랫동안 고민해 봤습니다.

제가 보기에는 정부와 금융사업자의 입장에서는 금융사고에 대한 책임을 사용자가 증명하고 책임지게 하는 해외 사례로의 변경이 가장 욕안먹고 손털수 있는 방법이라고 봅니다. 이렇게 되면, 사용자의 PC에 특별한 ActiveX 보안프로그램을 돈써가면서 깔아줄 필요성도 없고, 콜센터에 접수되는 불만의 50% 절감으로 인해 금융사업자는 상당량의 인건비 절감까지도 가능하게 될 겁니다. 물론 Anti-Keylogger, PC Firewall, Anti-Virus, Anti-Phishing 설치가 필요없기 때문에 조금만 신경쓰면 다양한 환경에서의 접속요구를 모두 받아들여지게 될지도 모릅니다.

하지만, 사용자의 PC를 인터넷뱅킹서비스를 접속하였을때, 항상 안전하게 유지할 수 있는 전문가가 인터넷 뱅킹 사용자의 몇 퍼센트나 되겠는가? 라는 질문을 스스로 던져보면, 이 방법도 아니라는 생각이 듭니다. 만약 이렇게 된다면, 제 아버지나 어머니와 같이 컴퓨터에 익숙하지 않은 대다수의 인터넷 뱅킹 사용자는 "인터넷 뱅킹을 포기하거나 위험을 감수하고라도 인터넷 뱅킹을 쓰겠다면 써라! 다만, 그에 대한 책임은 당신이 지면 된다"라고 하는 것과 같은데... 이러한 것이 과연 옳으냐는 겁니다.

또 한가지의 문제는 공인인증서의 경우에는 대체 기술로 가능할 수도 있겠습니다만, Anti-Keylogger, PC Firewall, Anti-Virus, Anti-Phishing에 대한 대책은 어떻게 세워나갈 것이냐는 문제 입니다. 그 어떤 보안전문가도 위에서 열거한 보안프로그램이 특정 OS나 브라우저 환경에서는 필요없다고 이야기 하지 않습니다. 사실은 은행이 제공해 주지 않더라도... 인터넷 뱅킹을 사용하지 않더라도 사용자는 위에서 열거한 보안프로그램을 필요로 합니다.(이젠 제발 MAC이나 LINUX이기 때문에 바이러스나 웜에 걸리지 않는다는 말도 안되는 소리 좀 그만 합시다. TCP/IP 안쓰시는 분이라면 가능할 수도 있기는 할 것 같습니다만...)

제가 생각하는 인터넷 뱅킹의 문제 해결 방식은 다음과 같습니다.

1. 자유로운 접근성 보장
==> 누구나 어떤 OS나 브라우저를 이용하더라도 인터넷 뱅킹이 가능하도록 하는 겁니다. Anti-Keylogger, PC Firewall, Anti-Virus, Anti-Phishing 프로그램이 PC에 반 강제적으로 인스톨이 된 상태에서만 인터넷 뱅킹 서비스의 이용을 가능하도록 하는 현재의 형태를 좀 바꾸어 보자는 겁니다.

다만, 금융감독기관이 권고하는 보안프로그램을 갖추지 않은 접속 형태의 경우에는 금융기관이 사고의 책임을 지지 않도록 하면 됩니다. 스스로의 PC를 지켜낼 수 있는 탁월한 능력이 있거나, 특정 OS나 브라우저를 쓰면 보안 문제가 해결된다고 믿는 사람들은 이 서비스를 이용해 인터넷 뱅킹을 사용하도록 하면 어떨까요? 물론 이때 공인인증서 환경은 기존의 ActiveX 형태이어서는 안되겠지요.
 
금융감독기관도 개인이 선택한 접속 환경에 대해서... 또한 스스로가 인터넷 뱅킹 서비스를 이용하는데 따른 역할과 책임을 분명히 명시한 상태에서 사용자의 선택을 존중해주어야 할 필요성이 있다고 봅니다. 세상이 변한만큼 법률도 좀 바꾸도록 하는 것이 어떨지 싶습니다.

2. 보안프로그램 재설치 금지
==> 저는 윈도우즈 환경에서 인터넷 뱅킹 서비스를 사용하는 사용자의 한명 입니다만, 제 PC에는 Anti-Keylogger, PC Firewall, Anti-Virus, Anti-Phishing은 물론이며, Anti-Spyware 프로그램까지 존재합니다. 하지만 이러한 보안 장치가 이미 존재해도 인터넷 뱅킹 사이트에 접속하면, 여전히 Anti-Keylogger, PC Firewall, Anti-Virus, Anti-Phishing 등의 프로그램을 깔아버립니다. 저는 필요없는데도 이러한 프로그램을 설치해야만 인터넷 뱅킹 서비스를 이용 할 수 있기 때문에 보안프로그램이 존재함에도 불구하고 재설치를 해야만 합니다. 솔직히 저도 이러한 서비스는 정말이지 짜증납니다. 요즘에 자동 업데이트 기능이 없는 보안프로그램이 있던가요? 다 있습니다. 따라서 보안프로그램의 Latest Patch 또는 Update 적용여부의 확인이 불가능하기 때문에 최신 설치본을 깔아야 한다는 논리는 통하지 않습니다.

3. 환경 변화의 수용
==> 이젠 사용자가 Microsoft사의 운영체제 또는 특정 브라우저만을 통해 접속할 것이라는 환상을 버리도록 합시다. 사실은 이게 가장 중요합니다. 어느 하나의 기업이 10년 20년씩 독점적 기술을 통해 IT 환경을 지배하는 시대가 이젠 끝나갑니다. 급격하게 사용자의 접속 환경은 변화하는데, 언제까지 윈도우와 인터넷익스프롤러를 통해 인터넷 뱅킹 서비스에 접속 할 것이라는 믿음을 지켜나갈 것인지요?

4. 차세대 인터넷뱅킹 아키텍처의 통합적 TO-BE Model의 수립
==> 최소한 PC 사용자를 위한 차세대 플랫폼에 대한 TO-BE 모델 정립을 이제부터라도 좀 통합적으로 수립하는 겁니다. AS-IS가 지금까지의 혼란이었다면, 향후에는 국내의 모든 금융사업자가 쉽게 이용할 수 있도록 세계표준에 맞는 인터넷 뱅킹 서비스의 제공을 위한 연구를 좀 했으면 합니다. 웹표준, 서비스, 보안 등 차세대 인터넷 뱅킹 아키텍처의 수립을 위한 Masterplan을 좀 가져보자는 것 입니다.

생각해보면 사용자의 PC 보안 상태... 또는 단말기의 유형이나 운영체제의 종류에 따라 접속 환경을 구성하고 보안프로그램을 필요로 하는 감독규정은 가까운 미래에 쓸모없게 될지도 모른다는 생각이 드는군요. 앞으로 인터넷 뱅킹 서비스를 이용하기 위해 접속하는 단말기의 대부분이 PC가 아닐지도 모르기 때문입니다.


신고

 
 
     ActiveX, banking, security, 보안, 웹접근성, 웹표준, 인터넷 뱅킹, 인터넷뱅킹
     0   2
BlogIcon hard drive liquidation 2008.05.23 04:23 신고
나는 합의한다 너에 이다. 그것은 이렇게 이다.
BlogIcon nude female model freepics 2008.05.23 05:25 신고
재미있는 아주 지점. 감사.

아이디 
비밀번호 
홈페이지 
비밀글   

 

 

ENTClic님 Trackback 용 포스트
+   [Security]   |  2007.01.25 01:43  

아래 글은 ENTClic님의 댓글에 대한 Trackback용 포스트
(잠좀 일찍 자 볼까 생각했더니만, 글쓰다가 보니 시간이... -.ㅜ)
=========================================================

죄송합니다. 제가 CN님의 댓글을 이제서야 봤네요. ^^

일단, 제가 말씀드렸던 부분에 대한 초점은 마징가제트가 쎄냐? 그랜다이저가 쎄냐?를 반박하기 위한 점이 아니었다는 점 아시리라 봅니다. 상대적으로 현재 좀 더 앞선 아키텍처나 기술이며, 앞으로도 계속 안전할 것이기 때문에 인증서, 키보드, 회선암호화, 바이러스에 대한 영향 평가나 대책없이 서비스가 되어서는 곤란하다는 점이 제가 말씀드리고자 하는 핵심적 내용이었습니다.

신한은행이 현재 Mac PowerPC G3 이상에 대해 서비스를 제공하고 있습니다. 이 서비스에서는 또한 동시에 ez-Plus라는 프로그램의 보안기능이 존재하고 있습니다. Mac이 안전하기 때문에 서비스 허가를 내준 것이다고 판단하신다면, 그것은 아니라는 겁니다. 금감원이 신규 서비스에 대해 보안성 평가를 안했을리가 없으며, 현존 시스템에 비해 최소한 유사한 보안기능을 제공하기 때문에 서비스 허가를 내주었을 거라고 생각됩니다. 뿐만아니라 핸드폰 결재도 사실 됩니다. 그러면, 이 부분에 대해서는 보안성 검토를 안했을 것 같습니까? 당연히 했을 겁니다. 이러한 규격을 만족한다면 당연히 허가를 내 주어야지요. 제가 말씀드리고 싶은 것은 Mac이나 Linux가 Windows에 비해 상대적으로 안전하기 때문에 허가하라는 것은 사리에 맞지 않는다는 것 입니다. 정량화된 감사(Audit), 검증 모델을 거쳐 비로소 서비스가 될 수 있는 것이지요. 현업에서 컨설팅일을 하다가 보면, 윈도우즈 기반의 서비스 형태도 엄청나게 많은 수가 '거절'의견을 받는 것을 알 수 있는데, 사실 평가기관에서는 Windows, Mac, Linux??? 솔직히 관심 없습니다. 은행이 제공해야 하는 기준에 적합한지 아닌지를 검사 할 뿐 이죠.

SSL 시스템은 충분히 강력하다구요? 예, 물론 강력하죠. 문제는 Client 사용자가 뱅킹 서비스 사용자임과 동시에 공격자일 경우에는 강력하지 못하다는 점이죠. Proxy 기반의 공격형태는 다 이러한 약점을 공격하는 것 입니다. SSL시스템은 물론 강력합니다만, 웹 기반 공격에 대한 방어는 전혀 불가능하며, 실제로 SSL 기술은 보안에서 일부분의 기술일 뿐입니다. 글쓰신 내용을 보면, 상당한 IT 기반 전문가이실 것으로 생각되며... 보통 그러잖아요? 하나의 방어대책이 무력화 될 경우를 대비해서 2~3중의 장치를 추가적으로 준비하는 것이 보통인데... 문제는 이래도 뚫린다는 겁니다. 글쎄요... 다른 대안이 필요하지 않다면, 최소한 Mac, Linux용 인증서, 키보드, 회선암호화, 바이러스에 대한 대책이 뭔지요? 아예 이런거 다 필요없다고 보시는지요? Mac이나 Linux이기 때문에 그냥 써도 된다고 하실런지요?(제가 아는 것이 다가 아닐 수가 있기 때문에 정말 궁금해서 여쭈어 보는겁니다) 마지막에 쓰신 '의지가 없는 것이다'는 정말이지 저도 공감하는 부분입니다. 도대체가 이 보수적인 집단은 선도적 입장에서 시도를 안합니다. 으휴...

또한, ENTClic님께서 몇가지를 댓글에서 언급하셨습니다만, 역시 늦게 봤네요. ^^

일단 기술에 대한 오해가 좀 있는 것 같아서 바로 잡습니다. 서버 인증서 말씀하시는 것이죠? SSL 통신은 주로 전송구간 암호화를 구현할 때 사용하고, 이는 국내의 금융, 전자정부 시스템에서 빠질 수 없는 보안 설정 중 한가지라고 봅니다. 이 부분에는 CA, RA, OCSP 등에 대한 개념이 필요한데(일단 이거는 넘어가죠... ^^), 국제공인인증서를 토대로 네트워크 회선 도청 공격(Sniffing Attack)을 막아주는데 효과적인 수단을 제공합니다. 아마 국내에서는 Verisign 또는 Thawte를 주로 이용하는데, Thawte가 좀 더 저렴하다고 해서 사실 저희 회사도 Thawte를 이용하고 있습니다. 서버 인증서와 흔히 이야기 하는 공인인증서는 다른 개념이기 때문에 구분하여 생각해 볼 필요성은 있습니다.

SSL 서버 인증서는 표준 X.509를 따르며, X.509를 지원하는 모든 서버와 당연히 호환이 됩니다. 자물쇠 그림을 클릭하여 확인 할 수 있는 내용은 CA(Certificate Authority) 인증서(루트 인증서)로 서명된 X.509 인증서를 지원한다는 의미 정도로 해석할 수 있습니다. 좀 더 쉽게 이야기하면, "국제표준을 따른다 또는 신뢰있는 제3의 기관(Root CA)이 서명했다"는 정도의 의미라는 것이죠. 따라서 '한승훈(ENTClic)'님께서 언급하신... 흐흐... (이름이 저와 같으시죠? ^^;) "자신들이 거부하고 불안정하다고 사용할것을 거부하는 미국의 인증을 정작 자신의 사이트에서는 버젓히 사용하는 곳이 바로 우리의 정부"라는 내용은 잘못된 해석이라고 봅니다. 국제표준 SSL 서버 인증 방식을 따른다는 것 뿐이고, 이를 가지고 정부의 모순이라고 정의할 수 없다는 것이죠. 참고적으로 우리나라의 Root CA는 한국정보보호진흥원(KISA)의 전자서명인증관리센터(www.rootca.or.kr)로 알고 있습니다. 사실 국내에는 SSL 서버의 수요가 그렇게 많지 않아서 SSL을 위한 서버 인증서 발급을 하는 회사가 있는지 모르겠구요. 대부분이 해외 대행업체의 리셀러 정도라고 보시면 맞지않을까 싶어요. 국내에서는 보안서버 관련해서 SSL 어쩌구 저쩌구 하느라... 2006년도에 KISA에서 공청회도 열리고 했었던 것으로 기억됩니다. (물론 Linux 등에서 SSL 같은 거 인스톨할때는 Root CA파일을(CA.crt) 개인이 걍 만들죠. 중요 사이트에서는 이런 방식 절대 못쓰죠...)

관리감독 규정에 대해서도 한말씀드리고 싶습니다. 최소한의 관리감독 규정이 뭐냐는 것은 금융감독원 홈페이지를 참조하시는 것이 좋을 듯 싶습니다. 아래 사이트를 참조하시면 될 것 같습니다.

http://law.fss.or.kr/kor/lms/index.jsp

이곳에서 '전자금융감독규정'과 '전자금융감독규정시행세칙'을 중점적으로 보시면 될 것 같습니다.

물론 '전자금융감독규정'과 '전자금융감독규정시행세칙' 어디를 봐도 MS 기반기술을 이용해서 공인인증서의 사용을 가능하게 하라는 문구는 없습니다. 공인인증서를 사용하는 목적을 크게 5가지 정도로 구분할때, 새로운 대안으로 떠오르고 있는 OpenID 역시 부인방지 기능을 제공하지 못한다는 점에서 OpenID 역시도 공인인증서를 대체할 수 있는 기반기술로써의 역할은 부족해 보입니다. 공인인증서를 쓰는데 있어 보안측면에서는 공인인증서의 이용은 당연한 것이고, 공인인증서 그 자체가 비난 받아야 하는 이유는 없다고 봅니다. 다만, 이러한 공인인증서가 철저히 MS 기반 기술하에서 구현되는 부분이 비난 받을 수 있는 부분이겠지요.

문제는 이러한 부분에 있어 철저히 왜곡된 시장논리에서 발전이 이루어졌다는 부분인데, 사실 현실에 대해서 정부만 비판하는 것도 무책임한 것이라고 봅니다. 이제부터라도 왜곡된 시장을 좀 바로잡아야 할텐데, 정부도 문제에 대한 새로운 인식과 함께, 뭔가를 좀 보여주어야 할 때가 되었다고 봅니다.


신고

 
 
     ssl, 보안, 웹 접근성, 웹접근성, 웹표준, 인터넷 뱅킹, 인터넷뱅킹
     0   2
BlogIcon 마조리카 2007.01.25 02:01 신고
에.. 왜곡된 시장을 바로잡기 위해서는 정부가 많은 부분 힘을 써줘야 하는 것이 사실입니다. 그러나 현 움직임은 그렇지 못하기에 참으로 안타까운 현실인 것이지요. 그리고 개인 정보를 다루는 사이트는 (물론 어느정도 규모가 되는) SSL을 도입하도록 하는 방침이 KISA에서 제안되어서, 법제로 정해진 것으로 알고 있습니다.(아직 강제적이지 않고 권고안인 상태일 수 있습니다.) SSL을 위한 인증서 발급을 하는 업체가 몇 곳 있었던 것 같습니다만, 그곳이 리셀러인지는 모르겠네요. 아, 그리고 맥이나 리눅스에서 백신, 혹은 키로거 같은 부분에 대한 방지책이 거의 없는 것이나 다름없습니다. 이 부분도 많이 사용안되서 기업에서는 시장논리로 참여하지 않는 것일테지만요. 실제로 윈도우보다는 적은 것은 사실이지요. 우선 공공적인 기능을 가진 곳, KISA나 이런 곳에서도 주도적으로 이끌어주어야 하는데 그렇지 않은게 현실입니다. 제가 많은 것을 알고 있지는 안지만, 그런 움직임이 있다는 것을 한번도 들어본적이 없네요. 아무튼, 급하게는 아니여도 변화하고 있다는 움직임을 좀 보여주었으면 좋겠습니다. 그리고 기업에서도 노력해서 빨리 개발되어서 실용화 될 수 있다면, 충분히 돈이 될 것이라는 것도 좀 생각해줬으면 좋겠어요.
BlogIcon Jerry 2007.01.26 16:58 신고 
예, 저도 동의합니다. 사실 기업은 시장경쟁을 위해 움직이기 때문에 기업 스스로가 변화하라고 말하는 것은 쉽지 않은 것 같아요. 그래서 정부가 이러한 시도를 하는 기업에게 뭔가 어드벤티지를 좀 주었으면 하는 것이죠. 외국에서는 ActiveX의 사용이 많이 되고 있지 않으며, 바이러스나 웜과의 구별을 하기가 힘들기 때문이라고 하는데, 사실 이거 맞는 이야기 입니다. 사실 이런 측면은... 서비스를 위한 Software Delivery 측면을 좀 더 신뢰성있게 만드는 것도 필요하다고 봅니다. 서비스를 이용하는데, ActiveX가 바이러스인지 정상적인 S/W인지를 사용자들이 판단하는 것은 솔직히 불가능하잖아요? VISTA가 구현한 것이 바로 이러한 것인데, 솔직히 이거 거의 면피용 아닐까 생각듭니다.

아이디 
비밀번호 
홈페이지 
비밀글   

 

 

Trackback용 포스트
+   [Security]   |  2007.01.22 15:32  

http://www.mediamob.co.kr/wizmusa/blog.aspx?id=129338에 대한 Trackback용 포스트.

글을 쓰다가 보니 너무 길어져서 정식 포스팅 합니다. OTL
-----------------------------------

ActiveX가 안전하다는 것은 사실 정말 웃기는 이야기조. 다만, 제가 직접적으로 지적하고 싶었던 부분은 말씀 하고자 하신 논리... "외국의 인터넷 뱅킹은 OTP를 쓰기 때문에 안전하다"는 논리는 좀 아니라는 것을 말씀드리고 싶었습니다. 말씀하신대로 "우리나라 은행이나 외국은행이나 비슷한 수준이라고 봅니다"라고 하신다면, 제목 선정에 좀 문제가 있다고 봅니다. 국내와 마찬가지로 외국 역시도 그다지 안전하다고 볼 수 없는 환경이라고 생각합니다. OTP를 인터넷 뱅킹 전체 사용자에게 제공하는 것도 사실 쉬운 부분은 아니며, 키보드 해킹에 대한 대책도 여전히 필요로 합니다.

말씀하신 씨티은행건은 OTP의 연결고리(Process)를 공격했다는 측면에 유의할 필요성이 있다고 봅니다. 피싱 사이트를 통해 OTP키를 유출하고 이를 통해 MITM(Man in the Middle) 형태로 Relay하거나 Replay 할 수 있는 점이죠. 대부분의 문제점이 그러하듯이 이러한 공격은 Cross Site Script 공격 형태와도 거의 일치합니다. 외국의 경우 Paypal 서비스가 상당한 매리트가 있는 점은 사실상 은행에서 온라인을 통해 비용을 납입하는 프로세스를 갖춘 곳이 그리 많지 않다는 점이며, 외국의 인터넷 뱅킹 적용 비율은 생각외로 그다지 높지는 않다고 봅니다.

제가 볼때는 안하는 것과 못하는 것에 대한 구분은 분명히 해야 할 필요성은 있을 것 같습니다.

"액티브엑스가 없이도, 그러니까 특정 OS와 웹 브라우저에 종속되지 않고도 서비스하기..." 와 관련해서는 대부분의 사람들이 웹 접근성의 목표를 FF(Firefox) 지원 정도로 생각하는 것 같아서 좀 안타깝습니다. 웹 접근성이라는 개념을 특정 브라우저나 OS 자원 종속 제거 및 장애인을 위한 통합적 서비스 환경이라고 정의 한다면, 이러한 환경을 제공하는 사이트는 솔직히 거의 없다고 봅니다. 웹 접근성을 태그 몇개 고치면 되는 것으로 착각하는 경우도 볼 수 있는 것 같구요. 그만큼 웹 접근성이라는 목표는 도달하기는 쉽지않다고 보는 것 입니다. 어쩌면 웹 접근성이라는 것은 도달 불가능한 이상향인지도 모른다는 생각을 가끔 하고는 합니다.

기술적인 부분을 좀 보면.... ActiveX 대체 기술... ActiveX보다 좋은 기술이 있어도 사실은 ActiveX의 기능을 모방하는 기술에 불과할거라고 생각합니다. 인증 부분에서 OpenID와 같은 기술로 대체한다? 실용화 된 사례가 국내에서 몇곳에 불과한 상황에서 ActiveX 형태로 IE 이외의 사용자를 괴롭히는 공인인증서 클라이언트를 대체하는 것도 좀 무리라고 봅니다. 기존의 SSL을 aSSL로 대체한다? 그나마 가능성이 좀 높을 것 같네요. 다른 기술은(보안 부분에 집중된) 말할 필요도 없이 대체 기술이 거의 없습니다. 제가 봤을때는 할수 있는데 안하는 것이 아닌, 못하는 것이라는 쪽에 무게를 실어주고 싶습니다.

ActiveX 형식의 보안제품을 금융권에 납품하는 업체 임원과 이야기를 해 봐도 "은행이 요구하는 기능을 납품했지만, 엄청난 사용자로 인해 업데이트시 회선 사용료를 감당해 내기 힘들다"는 의견도 있더군요. 사실 현재의 ActiveX 기반 서비스 구조는 개발자, 개발 사업자, 서비스 제공자 모두에게 스트레스를 주고 있는 실정입니다.

자, 그럼 은행과 같은 사업자는 왜 이런 ActiveX를 고집하는 것 일까요? 사실 은행에서도 ActiveX와 같은 기술 좋아하지 않습니다. 금융사업자를 관리, 감독하는 정부기관에서 최초한의 규정을 제시하고 이를 금융권은 지켜나아가야 하는데, 이 최소한의 규정이라는 것을 만족할 수 있는 것은 현실적으로 ActiveX 밖에는 없어 보입니다. 아무리 생각해봐도 완전한 대체기술은 없습니다. 향후에는 물론 존재하기를 바랍니다만. 문제는 있더라도 초기단계이거나, 대규모 서비스에 적용시키기에는 안정성과 Reference를 확보하지 못하고 있습니다. 물론 금융사업자를 관리, 감독하는 정부기관에서 제시하는 금융 서비스 가이드라인과 같은 문서에도 ActiveX를 쓰라고 직접적으로 언급하고 있는 부분은 존재하지 않습니다. 하지만, 현실적 해결방식은 ActiveX 밖에 없지요. 금융사업자를 관리, 감독하는 정부기관에서는 이미 발생된 문제나 향후 있을 문제점을 제거하기 위한 노력을 지속하기 때문에 정부기관에서 권고하는 가이드라인을 따르지 않을 수도 없으며, 결국 ActiveX로 가는 겁니다. 따라서 철학을 가진 경영진이 결정권자로 있어도 마찮가지라는 겁니다. 철학을 뒷받침 할 수 있는 기술이 현재로써는 존재하지 않기 때문입니다. (있다면, 뭔지 좀 제발 구체적으로 정확히 알려줬으면 좋겠어요.)

이 문제에 있어 사업자나 정부가 '병신'이라서 그렇다는 이야기들을 흔히 합니다. 문제는 동시에 이 문제에 대한 명확한 해결책을 어느 누구도 제시하지 못한다는 점이죠. 오로지 비판만 있을 뿐 입니다. 제시하는 대책이라고 해도 현실적으로 증명되지 못한 방법이거나, PoC(Proof of Concept) 단계가 대부분이죠. ActiveX 문제만해도 ActiveX 문제가 해결되면 웹 접근성이 보장되는 것으로 착각하는 분들도 많습니다. 심지어 FF를 지원하면, 웹 접근성에 문제가 없다고 생각하는 분들도 상당수가 되는 것 같습니다. 제가 지적하고 싶었던 부분은 바로 이러한 부분이었습니다.

현재의 시장논리는 철저히 왜곡된 부분이 존재하기 때문에 정부에서는 정당한 경쟁과 협업이 이루어지도록 유도하는 정책적 수단을 즉시 만드는 것이 필요한 것은 분명해 보입니다. 문제는 정부가 이러한 일에 대한 관심도가 너무 낮아 보인다는 점 입니다. 이 부분에 대해서는 정부가 즉각적인 비난을 피할 방법은 없어 보이는군요.

신고

 
 
     ActiveX, 웹 접근성, 웹접근성, 인터넷뱅킹, 전자정부
     0   10
BlogIcon 마차리 2007.01.22 16:51 신고
좋은 내용의 글이군요...
BlogIcon Jerry 2007.01.22 17:59 신고 
사실 이 내용도 비판적 시각에서 보면 공격 여지가 많을 것 같습니다만, 비판이라는 것 자체가 좀 더 나은 미래를 만든다고 보기 때문에 좀 용기를 내어 봤습니다. ^^
BlogIcon wizmusa 2007.01.22 17:46 신고
오해가 있는 부분이 있어 일단 댓글로 남깁니다. 결국 가치판단의 문제인데요. OTP를 써서 안전하다는 말에 확대 해석의 여지가 있는 건 인정합니다만 그 여지를 약점으로 삼는 일은 없었으면 합니다. 제 뜻이 그렇지 않음을 이미 알고계시겠지만요. 제목 선정은 "액티브엑스로 보안이 구현되지 않은 해외 인터넷뱅킹이 불안하다"라는 글에 대한 반대급부일 뿐입니다.

문제는 철학에서 기인한 것 그 이상도 이하도 아니라고 봅니다. 윈도에서의 보안이야 액티브엑스를 쓰건 말건 사실 별 상관이 없습니다. 설마 은행에서 사용자 컴퓨터를 해킹하거나 하지는 않겠지요. 하지만, 다른 운영체제를 사용하는 컴퓨터에게도 통로를 열어주어야 했다는 점은 누구도 부인할 수 없는 사실입니다.

만약 액티브엑스만이 방법이었다면 액티브엑스를 사용하지 않은 해외의 은행들은 죄다 직무유기를 범하고 있다는 것 밖에는 얘기가 되지 않잖습니까.

방법을
아주 잘 알고 있는 액티브엑스만 찾는 것과
종속되지 않은 방법을 찾아내려는 것
사이의 괴리를 사람들에게 전하고 싶었을 뿐입니다.

그리고 국내의 OTP는 벌써 현실화된 일입니다. 신한은행은 OTP 단말기를 무료로 배포하기로 했고요. 다른 은행은 어떻게든 유료로 배포하고 싶어서 눈치만 보고 있네요. 좌우지간 보안이든 뭐든 남에게 떠넘기는 모습이 보기 좋지 않네요.
BlogIcon Jerry 2007.01.22 19:07 신고 
국내의 금융 보안관리 감독규정이나 지침을 보면, 일단 문제점을 제거 하는 방향으로 가는 것을 알 수가 있는데, 문제점을 제거 하기 위한 방법과 실제 구현상에서 철학이란 것이 끼어들 자리는 없어 보입니다. 문제는 바로 이 부분이라고 봅니다.

문제점에 대한 해결은 반드시 해야 할 부분이겠지만, 땜질식 처방과 부작용은 상당하죠. 하나의 거대한 가이드라인이 만들어지고, 이러한 토대하에서 향후 금융이나 전자정부 서비스가 이루어졌으면 하는 바램을 가져 봅니다.
BlogIcon wizmusa 2007.01.22 17:50 신고
참.. 제 실수도 마저 언급하려고 합니다.
이번 피싱 건을 보니 OTP 보안도 키보드 해킹을 피할 수 없네요. 일단 표적이 된 사람의 컴퓨터에 해킹 툴을 심고 은행 거래가 발생한 것을 엿보다 잽싸게 가로채는 시나리오가 충분히 가능하겠습니다.

제발 이 사람들이 긍정적인 방향으로 사고를 확장했으면 좋겠어요. 세상이 좀 더 밝아질 텐데요. ^^
BlogIcon Jerry 2007.01.22 19:11 신고 
예, 맞습니다. 막다른 길에서 헤메이기 전에 뭔가 대책을 세우고, 현실적으로 힘들다면, 장기적인 비젼이라도 있어야 할텐데... AS-IS에 대한 대책만 있고, TO-BE는 없죠. 사실 이 부분은 많은 금융권 컨설팅을 담당했던 사람 입장에서도 솔직히 창피한 부분입니다. 저 스스로도 많은 반성을 하게 되는 요즈음 입니다.
BlogIcon ENTClic 2007.01.23 00:33 신고
전 솔직히 정부에서 요구하는 그런 최소한의 수준이 도대체 어느정도 인지가 궁금합니다.
외국과 같은 인증방식을 거절하는 이유가 뭔지 정말 궁금하거든요..본인들의 사이트는 외국인증기관으로부터 인증을 받으면서 왜 요구사항은 그렇게 높게 만들었을까요?
외국의 인증방식에 신뢰가 없다면 정부 사이트도 자신들이 입증하는 국내업체의 인증방식을 사용해야 하는 것 아닌가요?
그런데 정작 대한민국 전자정부 웹서버의 신원을 인증하는 서버인증서는 한국의 공인인증기관이 발급한 것이 아니라, 미국의 Verisign/RSA security 회사가 발급한 것입니다.
https://www.egov.go.kr/main?a=AA020InfoMainApp

정부의 모순이 전 참 이해하기가 어렵더군요..
구런데 제가 워낙 기술적으로 아는 것이 없으니 뭔가 다른 이유들이 있겠지만 저 같은 일반 유저들은 저런 모순된 모습을보면 참 많이 햇갈리는 것이 사실이에요..-.-;;
BlogIcon Jerry 2007.01.23 06:48 신고 
아~ 이 문제는 댓글 차원에서 언급하기에는 좀 힘든데... OTL

일단, 서버 인증서 말씀하시는 것 같군요. SSL 통신은 주로 전송구간 암호화를 구현할 때 사용하고, 이는 국내의 금융, 전자정부 시스템에서 빠질 수 없는 보안 설정 중 한가지라고 봅니다. 이 부분에는 CA, RA에 대한 개념이 필요한데, 국제공인인증서를 토대로 네트워크 회선 도청 공격(Sniffing Attack)을 막아주는데 효과적인 수단을 제공합니다. 아마 국내에서는 Verisign 또는 Thawte를 주로 이용하는데, Thawte가 좀 더 저렴하다고 해서 사실 저희 회사도 Thawte를 이용하고 있습니다. 서버 인증서와 흔히 이야기 하는 공인인증서는 다른 개념이기 때문에 구분하여 생각해 볼 필요성은 있습니다. 우리나라에는 서버 인증을 위한 국제공인인증서를 발급할 Root CA가 아마 없는 것으로 기억됩니다. 따라서 국내 업체의 인증방식을 이용한다는 것은 불가능하죠. 따라서 '한승훈'님께서 질문하신... 흐흐... ^^; "외국인증기관으로부터 인증을 받으면서 왜 요구사항은 그렇게 높게 만들었을까요?"라는 질문은 사실 어쩔 수 없어서 그런 것 뿐이지 외국의 인증방식을 신뢰하고 안하고의 문제하고는 거리가 멀어 보입니다. 정부의 모순이라고 정의할 수 없다는 것이죠.

기억나실 겁니다. 1.25대란때 SQL 서버가 Reverse DNS Query를 다량으로 요청하는 바람에 국제 DNS 서버에 대한 호폭주 현상으로 해외망 접속이 거의 차단된 것도 사실 2003년 당시 우리나라에 ROOT DNS 서버가 없었던 이유가 한가지 이유로 등장하기도 했었죠. 솔직히 IT에서도 국가의 힘이 중요하다고 느껴지는 것은 이런 Root 시스템이 존재하는 나라는 거의 강대국이기 때문이죠. 나라가 내 개인에게 무엇을 해주는지 사실 개인이 느끼기는 쉽지 않지만, 핵심으로 접근할 수록 중요한 것들은 거의 대부분 강대국에 존재한다고 보면 거의 맞다고 봅니다. 대한민국은 좀 더 강해져야 할 필요성이 있죠.

최소한의 관리감독 규정이 뭐냐는 것은 금융감독원 홈페이지를 참조하시는 것이 좋을 듯 싶습니다. 아래 사이트를 참조하시면 될 것 같습니다.

http://law.fss.or.kr/kor/lms/index.jsp

이곳에서 '전자금융감독규정'과 '전자금융감독규정시행세칙'을 중점적으로 보시면 될 것 같습니다.

물론 '전자금융감독규정'과 '전자금융감독규정시행세칙' 어디를 봐도 MS 기반기술을 이용해서 공인인증서의 사용을 가능하게 하라는 문구는 없습니다. 공인인증서를 사용하는 목적을 크게 5가지 정도로 구분할때, 새로운 대안으로 떠오르고 있는 OpenID 역시 부인방지 기능을 제공하지 못한다는 점에서 OpenID 역시도 공인인증서를 대체할 수 있는 기반기술로써의 역할은 부족해 보입니다. 공인인증서를 쓰는데 있어 보안측면에서는 공인인증서의 이용은 당연한 것이고, 공인인증서 그 자체가 비난 받아야 하는 이유는 없다고 봅니다. 다만, 이러한 공인인증서가 철저히 MS 기반 기술하에서 구현되는 부분이 비난 받을 수 있는 부분이겠지요.

문제는 이러한 부분에 있어 철저히 왜곡된 시장논리에서 발전이 이루어졌다는 부분인데, 사실 현실에 대해서 정부만 비판하는 것도 무책임한 것이라고 봅니다. 이제부터라도 왜곡된 시장을 좀 바로잡아야 할텐데, 정부도 문제에 대한 새로운 인식과 함께, 뭔가를 좀 보여주어야 할 때가 되었다고 봅니다.
Coderant 2007.05.04 13:11 신고
아이쿠 장문의 글을 기고하시느라 주화입마 되셨겠습니다. ㅋㅋㅋ
BlogIcon bluesman 2007.05.07 14:55 신고 
관심있어 하는 분야라서 이런저런 이야기 하다가 보니, 글이 계속 길어지는군요. ^^

아이디 
비밀번호 
홈페이지 
비밀글   

 

 

짧은 생각
+   [Security]   |  2007.01.19 02:51  

아래 내역은 drzekil님의 댓글에 대한 답글 입니다.
(답글 형태로 달아보려 했으나 내용이 하도 길어져서 포스팅 합니다. OTL)
==========
반갑습니다. 웹 접근성 향상을 위한 노력이 많은 부분에서 증대되고 있는 시점에 좋은 지적을 해 주신 점에 대해서 감사드립니다. ^^

예, 그렇죠. 네트워크상에서 상대방을 신뢰할 수 있는 방법이 없기 때문에 공인인증서와 같은 수단으로 상대방에 대한 신원 확인 또는 부인방지 등을 하는 것 이겠지요. 저 역시도 ActiveX가 완전한 해결책이 된다고 믿음을 전혀 갖고 있지 않습니다. 특정 OS로의 편중 현상을 해결하지 않으면, 이것은 언젠가는 부메랑이 되어 대한민국을 괴롭히게 될 겁니다. 웹 접근성 향상을 위한 부분에 대해서는 국가에 대해 끈질긴 압력을 지속적으로(!!!) 가해야 할 것으로 생각하며, 최근 많이 공론화 되고 있는 웹 접근성 향상 노력과 비판에 대해 개인적으로는 참으로 기쁘게 생각합니다. 국가는 역시 배고픈 자를 위해 스스로 손을 내밀지 않는 것 같습니다. 도와달라고 적극적으로 행동하고 실천할 때 도움을 받을 수 있다고 봅니다.

기업과 국가는 물론 다르겠지만, 대한민국의 전자정부의 초기 목표는 다수의 국민에게 서비스를 제공하는 것이 목표였던 것은 분명해 보입니다.

글쎄요... 복지가 발달된 외국의 경우에는 고등교육과 심지어 사교육까지 국가가 책임지는 경우도 존재하는데, 외국이 하고 있으니까 우리도 이렇게 하자고 하면 어떨지요? 장애인을 위한 배려가 없는 학교들은 장애인이 정상적인 학업을 포기하게 만들고 결국 장애인이 사회에 적응하기 힘들게 만들며, 학력이 부의 세습에까지 영향을 미치는 우리나라의 현실에서 장애인과 그의 자손은 사회적 약자의 입장을 벗어나기는 현실적으로 힘들다고 봅니다. 사실은 모두가 우리나라의 장애인 정책과 사회보장 시스템이 약하다는 것을 알고 있지요. 하지만, 우리 모두는 우리가 낸 세금으로 이러한 문제들을 적극적으로 해결하고자 노력하지 않습니다. 해당 관련 부처에서 돈을 더 쓰겠다고 하면, 재경부 같은 곳에서는 국회예산 심의 문제를 들어 난색을 표명합니다. 왜 우리는 이러한 문제들에 대해 적극적이지 못하며 때로는 이중적인 모습을 보이기도 할까요?

10%이건, 5%이건 1% 미만의 사용자에게 환경에 관계없이 서비스를 제공하기 위해서는 돈이 문제가 아니라, 하겠다는 강력한 의지와 각오가 중요한 문제라고 봅니다. 가장 적은 비용으로 다수의 정보 소비자들에게 가장 효과적인 시스템을 구축하겠다는 것이 시스템 구축을 위한 대다수의 선택이라면, 이때부터는 언론과 세금을 내는 국민들로부터 전자정부는 '돈먹는 하마'라는 욕을 각오해야 하며, 또한 MAC, LINUX도 되는데, Palm OS, Symbian 등 ARM, Intel 계열 Embedded OS는 왜 안되는가?라는 질문을 받게 될 겁니다.

좀 더 적극적으로 1% 미만의 사용자에게까지 환경에 관계없이 서비스를 제공하기 위해서는 정부와 국민의 서로 다른 이중적 사고방식에 대한 합의가 도출되어야 가능한 부분이 분명히 존재하며, 제 개인적으로 이러한 합의는 불가능하다고 봅니다. 물론 1%의 사용자에게도 서비스를 하라고 하면, 당장은 "옳소", "그렇소"라는 말을 들을수는 있어도 실제로 이러한 계획을 실천에 옮길때 정작 다수의 국민은 "미쳤다"는 이야기를 하게 될 겁니다. 정부도 물론이지만 사실 사회구성 인원들도 상당히 이중적인 잣대를 들이대는 경우를 흔히 접할 수 있습니다.

전자정부에서 제공하는 대다수의 서비스는 국민들 개인들에게 재산권을 포함한 각종 중요한 증적과 증적에 대한 증명 수단을 제공합니다. 따라서 정보보호의 의미는 전자정부가 제 1의 목표로 삼아야 하는 숙명과도 같은 것 입니다. 2005년 동아일보 1면에 실렸고, 당시 사회적으로도 상당한 파급을 일으켰던 "인터넷 민원서류 발급 중단" 사례에서는 윈도우즈 기반에 대한 한가지 서비스도 완전히 지켜지기 어렵다는 학습효과를 경험할 수 있었습니다.

글쎄요. 웹 접근성 향상. 이 부분에 대해서는 정부가 웹 접근성 향상을 위한 노력을 안하는 것인가? 못하는 것인가?에 대해서 고민을 해 봐야 한다고 봅니다만, 제 개인적으로는 노력을 안하는 것이다 쪽으로 한표 던집니다. 또한, 현재 사용자층의 다양한 요구가 증가되는 시점에서 사용자층의 다양한 요구의 대부분이 원칙적으로는 모두 맞다는 측면에 대해서는 인정하지 않을 수 없을 것 같습니다.

국가가 제공하는 서비스는 참으로 많습니다. 이러한 서비스 중에는 받아야 하는 사람이 받지 못해 심지어 굶어 죽는 기초생활보호 대상자도 존재하는 것이 현실입니다. 대단히 극단적으로 예를 들면, '재정이 넉넉하지 않은 대한민국 정부의 재정 및 경제 현실에서 1% 미만의 사용자에게까지 전자정부 서비스를 확대할 것이냐, 아니면 그 돈으로 굶어죽는 기초생활보호 대상자 수를 확대할 것이냐'는 이 극단적인 시나리오는 국가가 제공해야 하는 서비스의 대상과 범위를 다시 한번 생각하게 하는 대목이 될 수도 있다고 봅니다.

"돈 몇푼 들지도 않는 웹 표준을 지키지도 못하는 전자정부..." 뭐 이런 글을 흔히 접합니다. 솔직히 이런말 아무나 쉽게 할 수 있는 말이지요. 저는 이런 글을 접할때 몇가지 생각을 합니다. '정말로 웹 표준 준수와 웹 표준 환경에서의 보안성 확보를 추구하는데 돈 몇푼 들지 않는가?', '그 쉬운 웹 표준 준수 방법을 그 수많은 개인이 만든 홈페이지에서 조차 보기 힘든 이유는 무엇인가?', '지금도 웹 표준이라는 것은 진정 존재하는가?'.

-----------------------------------------------------------------

BlogIcon drzekil 2007/01/18 23:28
논리적이고 좋은 글 감사합니다..
제 의견을 말씀드리자면..
네트워크 상에서는 어떠한 방법을 사용하더라도 상대방을 100% 신뢰하는것은 불가능 합니다..
OS 자원에 대한 접근이라고 해봤자 양 끝단의 이야기일 뿐입니다.
네트워크의 특성상 가운데에서 가로채서 블라블라 해버리면 삐리리한 사태가 올 수 있는거죠..
액티브엑스 역시 완벽한 해결책은 되지 않습니다..

다른 이야기를 조금 해보면..
기업이랑 국가는 다릅니다.
기업은 다수를 상대로 장사할 수 있지만, 국가는 국민의 다수가 아닌 전부를 포용해야 한다고 생각합니다.
그 누구도 국가의 보호를 받을 기회를 받지 못해서는 안됩니다.
국가는 모든 국민을 보호하기 위해 노력해야 합니다.
대사관의 어이없는 행태가 욕을 먹는 이유도 그런 이유겠지요..
인터넷 접근성도 마찬가지 입니다.
10%이건, 5%이건 1% 미만이건..
서비스를 받을 기회조차 주어지지 않는다는것은 국가이기때문에 문제가 있다고 생각합니다.
국가가 너무 어이없는 행동을 하기에 분노가 치밀어 오르는것이지요..

개발자들에게 무슨 죄가 있겠습니까..
개발자들의 어려움을 잘 알고 있습니다..
단지 위에서 시키는대로 할 뿐인걸요..


신고

 
 
     웹 접근성, 웹접근성, 전자정부
     2   4
BlogIcon drzekil 2007.01.19 10:21 신고
헙.. 실수로 글을 날렸네요..ㅡㅡ
다시 써야죠..^^

먼저 제 댓글의 답변으로 글을 포스팅까지 하시다니.. 송구스럽고 감사합니다..^^

국가는 "모든" 국민에게 세금을 걷을 권리가 있습니다. "모든" 국민은 국가에게 세금을 낼 의무가 있습니다.
반대급부로
"모든" 국민은 국가에게 평등한 대우를 받을 권리가 있습니다. 국가는 "모든" 국민에게 평등한 대우를 할 의무가 있습니다.
그렇기에 잘못을 지적하고 목소리를 높이는 거지요.

더하여..
국가 차원에서 볼 때 소수의 권익이야말로 더욱 보호되어야 한다고 생각합니다.
소수인 장애인에 대해 국가가 보호하지 않으면 안되고,
소수인 극빈자들에 대해 국가가 보호하고 서비스를 제공하지 않으면 안됩니다.
저와 같은 맥 유저들은 적어도 대한민국에서는 인터넷 장애인과 같은 느낌이 듭니다.
이에 대해 분명히 국가는 잘못하고 있고 고쳐 나가야 합니다.
장애인이 비장애인처럼 활동하도록 도와야 할 정부가
비장애인이 장애인처럼 활동하도록 조장하고 있습니다.

님 덕분에 더 많은 생각을 하게 된 듯 합니다.
개인적으로 우리나라는 너무 서두르는 경향이 있네요..^^
그놈의 조급병을 고치고 좀 천천히 생각해서 좋은 정책 및 입법이 된다면 이런 어이없는 문제는 점점 사라지지 않을까 싶습니다..^^
BlogIcon Jerry 2007.01.19 12:30 신고
지금까지 맥이나 리눅스 사용자가 정부에서 제공하는 서비스에 대한 권익을 이야기 하는데 있어서 사용자들이 너무 아마추어적으로 대응해온 부분은 분명 존재하는 것 같습니다. 상당수의 스레드에서 접할 수 있는 그 대부분도 감정적이거나 나도 세금을 내는 사람인데, 내가 쓰고 있는 시스템에서 왜 안되게 하느냐...가 상당수입니다. 이런 논리는 좀 아니라고 봅니다. 내가 낸 세금에 대해 대우를 받기 위해서는 drzekil께서 말씀하신대로 명확한 사실과 증거물을 통해 잘못을 지적하고 동시에 정부를 설득해 나가는 것이 맞다고 봅니다.
주세홍 2007.01.19 14:46 신고
김국현씨의 포스팅 하나 링크 걸어 봅니다.
http://www.zdnet.co.kr/itbiz/column/anchor/goodhyun/0,39030292,39154776,00.htm
요즘은 발사후 조준 시기인가 보네요. 비스타 문제로 더욱 그러한 듯도 하구요..
BlogIcon sex toy clips 2008.05.23 05:16 신고
저에서 유사한 역사는 이었다.

아이디 
비밀번호 
홈페이지 
비밀글   

 

 

Global E-Government - 2006
+   [Security]   |  2007.01.09 14:15  

얼마전에 대한민국 전자정부와 관련된 작은 포스팅을 하기도 했지만, 사실 우리나라의 전자정부 구현방식은 많은 비난을 받기도 하지만, 그들의 전자정부 구현을 위한 의지에는 박수를 보낼만 하다고 본다.

실제로 2006년 8월달에 insidepolitics에서 발행된 자료를 보면 국가별 E-Government Ranking 순위가 발표되었는데, 대한민국이 60.3점으로 1위를 차지했음을 알 수가 있다.

1위~5위를 보면, 다음과 같다.

1. South Korea : 60.3
2. Taiwan : 49.8
3. Singapore : 47.5
4. United States : 47.4
5. Canada : 43.5
.
.
9. Japan : 41.5
.
.
18. North Korea : 32.0


위의 내역에서 중요하게 판단해야 할 부분은 1위와 2위의 차이가 2위와 3위의 차이에 비해 현격하게 편차가 존재한다는 부분이며, 두번째는 2005년에 대한민국이 26.2점으로 일본보다 낮았던 점을 생각한다면, 2006년에는 60.3점으로 엄청난 비약을 했다는 점이다.

재미있는 점은 2005년에 북한이 16.0에서 32.0으로 2배나 수직상승했다는 점인데, 북한의 E-Government와 관련된 현황이 어떤지 솔직히 전혀 몰라서 뭐라 언급을 하기는 힘들지만, 그들도 E-Government에 많은 노력을 하고 있다는 점은 좀 의외라고 본다.(개인적으로는 북한의 E-Government 시스템의 현황이 어떤지 정말로 궁금하다.)

또 한가지 주목해야 할 부분은 웹 접근성과 관련해서 그 수많은 비판을 받고 있는 우리나라의 E-Government가 사실 세계적으로는 Best Practice에 속한다는 사실이다. 욕할때는 욕 하더라도 칭찬할 것에 대해서는 칭찬하도록 하자.

우리나라는 칭찬에 너무 인색하다. 칭찬은 고래도 춤추게 한다던데, 축하의 박수 한번 쳐 주도록 하자. 짝짝짝.

위에 언급된 자료는 여기에서 PDF로 다운로드 받아 볼 수 있다.


신고

 
 
     E-Government, 웹 접근성, 웹접근성, 전자정부
     0   2
삐돌이 2007.02.07 11:56 신고
네 말씀하신 대로 전자정부 평가에서 1등을 한 점을 축하해야 할 것입니다. 하지만 본 평가에서 실시한 접근성 부문(Disability Access)의 우리나라 점수를 보시면 왜 접근성이 문제인지를 알 수 있으실 것입니다. 우리나라는 W3C WCAG 1.0 중요도 1 항목을 15%밖에 준수하지 못하는 것으로 나타났습니다. 이는 평가대상 국가들의 평균에도 미치지 못하는 점수입니다.

전자정부 서비스가 정말 좋게 제공되고 있지만, 장애인은 갈수록 어려워지는 문제를 말하는 것입니다...

참고하시기 바랍니다
BlogIcon bluesman 2007.05.01 21:02 신고 
돌이님, 블로그를 보다가 보니, 지금이 5월달인데, 2월달에 들을 남겨 주셨었네요. 제가 못 봤습니다. OTL. 예, 그렇지요. 해당 자료의 이 자료의 평가 기준 세부 내역을 연구해보면, Online Service, Publications, Databases, Privacy Policy, Security Policy, W3C Disability Accessibility1)의 6개 항목으로 점수가 구분되어 있으며, W3C Disability Accessibility(장애인 접근성) 항목은 OECD 국가 29개국(EU 제외) 중 25위로써 거의 최하위라는 것을 알 수가 있는데, 이것은 사실상 국내의 웹 서비스 수준이 양적으로는 우수하지만, 다양한 웹 접근성 확보 측면에서는 사실상 낙제점을 받았다고 볼 수가 있으며, 이는 비단 전자정부뿐만이 아니라 일반적인 국내 웹 서비스 수준을 대변하는 지표로 해석될 수 있다고 봅니다. 장애인 접근성 부분은 사실상 자료에서 밝힌 W3C 가이드라인을 충족하는 자동화 도구를 이용(Bobby 5.0) 한 것으로 알고 있는데, 사실상 해당 항목의 거의 대부분은 Web Accessibility를 의미한다고 볼 수도 있어서 이 부분은 우리나라의 전자정부가 분명한 인지를 해야 함을 의미한다고 봅니다. 양적인 것도 의미는 있겠습니다만, 이 정도에서 만족하면 않되겠지요.

아이디 
비밀번호 
홈페이지 
비밀글   

 

<<이전 | 1 | 2 | 다음>>

bluesman's Blog is powered by Daum & Tattertools

 

티스토리 툴바