2015.12.20 23:37
예전부터 엑티브엑스와 연결된 한국의 극악스러운 신분증명, 결제 시스템들은 논란의 중심이었어요.
사용자들의 원성이 대단했지만 워낙 카르텔이 단단해서인지 특별히 변화가 없다가, 시대의 변화, 기술을 관장하는 외국 회사들의 변화에 따라 어쩔수 없이 한국도 점점 그 시스템이 간소화되가고 있는 것 같아요.
그런데 여전히 그 변화가 뎌디긴하죠.
예전에 제가 제일 짜증났던건 이거였어요.
결제 한번 하려면 알수도 없는 한국 모 회사 프로그램들을 덕지덕지 깔아야 하는것...뭐 견딜만했어요.
잦은 업데이트에 비해 이전 파일관리가 영 엉망이라 자기 프로그램들끼리 신버젼과 구버젼이 엉켜, 아무리 깔아도 깔리지 않는다고 나오는 그 상태는 정말 짜증났죠. 결국 다 지우고, 다시 재부팅을 해야 겨우 결제가 가능했고요.
더 저를 폭발하게 만들었던건 결제 관련 필드를 다 채우고 나서 보안프로그램들의 업데이트가 시작되는데, 그걸 업데이트하면 관련 필드 기재사항들이 새로고침되면서 다시 써야했던거요.
보안 업데이트하면서 다 지워지고, 다시 쓰면, 업데이트 후에 익스플로러를 다시 시작해야 한다며 다시 써야하고..결국 세번을 똑같은 사항을 기재해야 결제가 가능했어요.
이 부분은 하도 원성이 심했는지 근래엔 개선되서 다시 쓸 필요가 없더라고요. 그러나 이 짓거리를 해야했던것도 불과 일여년전까지..
보안성이 낮은 엑티브 엑스나 외부 exe를 사용해서 보안프로그램을 까는 방식과 불안정한 보안프로그램들에 대해 사람들이 비판을 할때마다 꼬리처럼 따라오는 반론도 있었어요.
그러니까 외국은 이렇게 하지 않고서도 편리하게 어떤 os에서도 손쉽게 이용이 가능한데 한국은 왜 이모냥이냐.하면 전문가로 보이는 그들, 관련자들은 이런 얘기를 했어요.
<외국의 보안 시스템보다 한국의 방식이 훨씬 안전한건 사실이다. 실제 외국의 경우 관련된 금전사고도 많이 발생했고, 실제 결제와 관련된 모든 사항은 사용자 개인이 책임져야 할 일이다.하지만 한국은 은행이나 사이트가 그 책임을 떠안게되기때문에
더욱 견고한 시스템이 필수불가결하다. 불편한건 사실이지만,안전한 금융시스템을 위해서는 감내해야 할 일이기도 하다.>
관련 지식이 없는 전 그런가보다했어요. 외국에서 특별한 외부툴없이 은행도 이용하고, 페이팔도 이용하면서 어떤 사고도 본적 없지만..문제가 많다니..뭐 그럴수도 있는거군. 위험함을 알면서도 쓰는거군.했죠.게다가 그럴듯 하잖아요. 더 불편한 만큼 더 안전해야 함은
너무 상식적인 얘기니까.
그런데 시간이 지나고 스마트폰이 금융권 서비스들을 집어삼키고, 익스플로러가 엑티브엑스를 버리면서...한국에도 훨씬 간단한 결제시스템들이 도입되기 시작했죠. 알라딘부터 시작이었던가요. 간편결제라는 이름으로 카드만 등록해두고, 결제시 비밀번호만 누르면 어떤 브라우져에서든지, 특별한 프로그램없이 결제되는거요. 대형회사들 중심으로 카카오페이니 네이버페이니 뭐니 이제 이런 방식들은 거의 시장 중심으로 굳혀진것 같은데... 일부 전문가들의 얘기에 빗대자면 이런 방식은 위험성을 담보하면서 이용하는거잖아요.
그럼,
1) 분명 위태롭지만, 사용자의 요구와 편리함에 부흥하기 위해 차악적으로 시스템을 간소화 하는것이다.
2) 몇년의 시간동안 한국의 보안 시스템은 큰 변화와 발전을 거듭하여 이젠 엑티브엑스 없이 안전한 방법을 찾게 되었다. 외관상 외국과 비슷해보이지만 현재 한국의 시스템들은 훨씬 발전된 방식이다.
3) 일부 전문가들이 거짓말을 했다.
중 한가지가 될 것 같은데 뭘까요?
단순 상품결제 시스템을 제외하고 여전히 필수적으로 공인인증서를 사용하는 은행권이나 정부 시스템들은 외부 보안프로그램들을 연동해야 이용할수가 있는데요. 항간에 은행권의 경우에는 외국의 경우 온라인으로 할 수 있는 일이 제한적인 반면, 한국은 훨씬 다양한 업무를 처리할 수 있어서 현재 방식을 벗어나기 어렵다.는 얘기도 하더라고요. 정부에서는 신상정보를 다루는 시스템은 보수적으로 운용될수 밖에 없다고 얘기하고요.
이들도 차후 뭔가 이용이 더 쉬운 방법으로 개선될 여지가 있는걸까요? 정부 사이트의 경우 워낙 반발이 심하고, 주민등록번호를 대체한다는 아이핀이 삽질을 거듭하며 나온지 몇년도 되지 않아 퇴출의 길을 걷는걸 보면 뭔가 금방 바뀔것 같기도 한데...
(그 자랑하는 공인인증서와 관련해서 보안사고가 연간 2만건이 넘는데요.이러면 이걸 왜쓰는건지..)
정말 이분야의 이런 불편함들은 어떤 괴담처럼 공인인증서의 존재, 그리고 사업자선정과 관련된 은막의 결속때문에 이지경이 된걸까요?
2015.12.20 23:58
2015.12.21 00:38
1. 별도의 어플리케이션을 돌리지 않고 웹브라우저상에서 보안 관리를 하려면 공인인증서가 그나마 나은 방식인 건 사실입니다.
아무리 공인인증서 파일이 대부분 유저의 하드디스크에 무방비하게 방치돼있다지만, 해커 입장에서는 업체의 보안시스템과 개인유저의
하드디스크 양쪽 다 뚫어야 되니까요. 이것도 요즘은 별 의미가 없지만...
2. 페이팔의 보안사고는 공인인증서보다 3배 정도 많은 것으로 알려져 있습니다. 이용자 대비 어쩌고...로 들어가면 좀 복잡해지긴 하는데, 그보다 더 큰 문제는 사고의 책임을 누가 지느냐예요. 페이팔의 사고에 대한 책임은 전적으로 페이팔이 지지만, 공인인증서의 책임은 분명히 USB메모리에 저장해서 따로 보관하라고 그렇게 경고했는데도 말을 듣지 않고 하드디스크에 저장한 너님의 책임이라는 식이니까요-_-
3. 공인인증서 사업자들이 중간에서 해먹는 문제는 의견이 갈리는 부분이기도 하고,
사고에 대한 책임을 유저 개인한테 떠넘긴다는 문제는 있지만, 개인적으로 공인인증서 관련해서는 해먹을 만해서 해먹었다고 봅니다.
문제는 같은 사업체들이 같은 사업방식을 아이핀이나 샵메일로도 답습해서 날로 해먹으려고 들었다는 거고, 그런 놈들이 하는 짓이니
공인인증서가 그토록 오랫동안 독점적인 지위를 누렸던 것도 은막의 결속 때문이 아니었을까 보는 것도 충분히 합리적인 의혹 같아요.
2015.12.21 00:46
관련 주제를 파파이스 지지난주인가에서 다뤘습니다.
2015.12.21 00:51
<외국의 보안 시스템보다 한국의 방식이 훨씬 안전한건 사실이다. 실제 외국의 경우 관련된 금전사고도 많이 발생했고, 실제 결제와 관련된 모든 사항은 사용자 개인이 책임져야 할 일이다.하지만 한국은 은행이나 사이트가 그 책임을 떠안게되기때문에
더욱 견고한 시스템이 필수불가결하다. 불편한건 사실이지만,안전한 금융시스템을 위해서는 감내해야 할 일이기도 하다.>
이건 완전히 반대인데요? 한국에서는 "결제와 관련된 모든 사항은 사용자 개인이 책임져야" 하기 때문에 개인 단말에 액티브엑스 등의 보안 프로그램을 설치하도록 강요하는 겁니다. 실제로 보이스 피싱 또는 정말로 개인인증서가 해킹돼서 피해가 난 경우도 금융권이 책임을 진 경우는 거의 없죠. 오히려 외국에서 "(결제 사고 시) 은행이나 사이트가 그 책임을 떠안게 되기 때문에" 사용자 단말보다는 서버쪽의 보안에 치중하고 있습니다.
이수 님 말씀대로 한국의 문제는 금융 사고의 책임을 져야 할 은행 등 금융권이 오히려 사용자에게 그 부담을 넘기고 있다는 겁니다.
2015.12.21 01:28
우선은 제도적으로 책임을 금융권이 지게 하지 않는 다는 것에서 출발하는 것 같아요. 그러니 자연스럽게 금융권은 책임회피만 할 수 있으면 되는 방향으로 서비스를 만들고, 그 과정에서 보안 쪽 투자는 적어지고, 서비스의 퀄리티는 낮을 수 밖에 없고요. 이어지는 문제는 모든 금융서비스와 결제 서비스가 비슷하니까(간편하게 만들겠다는 경쟁이 없으므로) 사용자는 선택이란 걸 할 수가 없고 울며겨자먹기로 불편한 시스템을 쓸 수 밖에 없었고요.
개인적으로는 최근 많이 나오는 간편결제 서비스는 이런 사용자의 요구에 대한 금융권이 아닌 기업들(특히 고객들에 민감한 IT계열)의 대답이라고 생각합니다. 외국처럼 사고의 책임을 기업이 가져가는 대신에 결제를 간편하게 만들어서 고객을 유치 하겠다는 것인데, 이는 자신들이 제공하는 서비스의 신뢰도에 자신이 있으니까 가능하다고 생각해요.
그 과정에서 기술의 발전이 있었나....하면, 모바일 기기라는 꽤나 신뢰할만한 인증 수단이 추가가 되었네요.
대부분의 간편 결제 서비스들이 모바일 디바이스를 통한 인증이라는 것에 기반을 두고 있죠.
2015.12.21 05:18
두 가지 이유가 있습니다.
1. 엑티브 엑스로 보안구축하는 비용이 다른 방식에 비해 돈이 적게 듭니다.(쉽게 말해 경제적)
2. 외국과 기술력 차이가 큽니다.
온작 핑계가 다 있는데, 이 두 가지 이유 말고 다른 이유는 없습니다.
2015.12.21 05:49
2015.12.21 08:32
보안관련 국제표준이 가능하면 원클릭 결제가 가능한 아마존이나 페이팔 결제 시스템을 그냥 한국에 도입하면 됩니다.
한국도 국제표준을 따르면 되는것이죠.
한국 기술자들중에 아마존이나 페이팔의 보안시스템 구축하는데 참여하고 어떻게 사고를 방지하는지 아는 사람이 있나요?
굳이 엑티브엑스를 쓸 이유가 없는 것이죠.
2015.12.21 08:46
2015.12.21 09:44
그럼 엑티브엑스를 이용한 결제가 국제표준입니까?
2015.12.21 10:11
누가 엑티브엑스가 국제 표준이라고 했나요..? 사실 관계를 잘못 아시는 것에 더해서 허수아비 때리기까지 하시는군요. 엑티브엑스는 그냥 특정 OS에 종속된 구현 방법에 불과한 겁니다. 국제 표준은 알고리즘이나 프로토콜 등의 좀 더 상위 레벨에서 지정되는 게 일반적이구요. 이 부분들은 이미 기술들이 모두 공개 되어 있고 오픈 소스로 구현된, 즉시 사용 가능한 라이브러리들도 널려 있습니다.
우리 나라가 기술력이 안받쳐줘서 인터넷 결제 보안 구조가 그렇게 생겨먹은 게 아니라는 얘깁니다.
2015.12.21 20:02
국제표준이라는 단어의 의미를 혼동하고 계신 것 같은데요. 거칠게 이야기하자면
공인인증서는 국제표준을 만족시키는 방식인데 불편해서 국제적으로 안 쓰이는 것이고
페이팔은 국제표준을 만족시키지 못하는 방식이지만 편리해서 국제적으로 쓰인다고 생각하시면 대충 맞을 겁니다.
엄밀하게 이야기하자면, TLS니 SEED니까지 가야 되지만 그런 설명까지는 할 필요 없을 것 같고요, 저도 정확하게 설명하려면 일일이 찾아봐야 해서 귀찮아요...
2015.12.21 13:09
일단 결제 시스템 자체만 두고 보면 페이팔이나 아마존은 누구나 만들 수 있습니다. 한국에서 그렇게 못만드는 이유는 규제 때문입니다.
굳이 기술력 차이를 찾자면 fraud detection(사기 탐지?)이 아닐까 싶습니다만, 이것도 기술력 문제라기보단 아직 이쪽에 투자할 필요가 별로 없어서이겠지만요. 사기 결제로 인해서 판매자들이 감당해야 하는 비용은 분명히 미국이 높을 것 같습니다. 소비자들이 피해를 입을 확률은 더 높을 것으로 보이지만 그 증거가 있는진 모르겠습니다. 피싱 피해를 생각하면 오히려 한국이 높지 않을까 하는 생각도 드네요.
2015.12.21 12:10
2. 외국과 기술력 차이가 큽니다. === 우리가 외국기술을 따라잡지 못하고 있다는 말씀인가요? 아니면 우리가 엄청 앞서가고 있다는건가요.
2015.12.21 12:14
본문과는 핀트가 좀 다른 이야기긴 하지만,
저는 과연 그 '인터넷보안프로그램'이라는 물건들이 실제로 하는 일이 뭔지 매우 궁금합니다.
예전에 윈도우 자체 보안결함이 많았던 시절에야 그런거 커버해주는 역할이었겠지만(이것도 의심스럽긴 해요)
지금 적어도 공공연하게 알려진 보안결함은 전부 윈도우 자체 패치로 해결되고 있는 마당에
은행이나 관공서 접속할때마다 덕지덕지 깔리는 그 정체불명의 프로그램들이 도대체 무슨일을 하는가 모르겠다는거죠.
백오리피스로 키보드 타이핑한거 실시간으로 빼낼 수 있던 시절에 사용하던 물건들이 그대로 사용되고 있는 것은 아닌가.. 싶습니다.
2015.12.21 13:59
2015.12.21 21:23
흠... 역시 그랬군요..
번호 | 제목 | 글쓴이 | 날짜 | 조회 수 |
---|---|---|---|---|
공지 | 제 트위터 부계입니다. [3] | DJUNA | 2023.04.01 | 25242 |
공지 | [공지] 게시판 관리 원칙. | 엔시블 | 2019.12.31 | 43799 |
공지 | [공지] 게시판 규칙, FAQ, 기타등등 | DJUNA | 2013.01.31 | 352302 |
초기에 액티브 X로 이래저래 재미를 본 건 사실이지만 요즘은 '보안(액티브 X 설치)를 위해 보안 수준을 낮춰 주세요.' 하는 경지인지라...
사실상 타성에 젖어서 쓰고 있다 or 책임 회피용 수단 그 이상도 그 이하도 아닌 것 같아요. 문제가 생기면 '일부의 일탈적 행위'로 돌리기 쉬우니까요.
(우리 시스템엔 문제가 없지만 니 컴이 이상한거임 ㅗ.ㅗ...같은?)
이건 진짜 여담이지만 공공기관 중에서 모든 OS와 플랫폼을 막론하고 가장 편리한 접근성을 자랑하는 사이트가 다름아닌 '병무청'이라는 걸 보면
불가능해서 안 한다기 보다는 그냥 바꾸기 싫어서 안 바꾼다는 생각이 듭니다. 넵.