며칠 전에 지인과 메신져로 얘기한 내용들 중에서 왜 한국의 인터넷 뱅킹은 윈도 기반에 인터넷 익스플로러(IE)에서만 사용할 수 밖에 없게 되었을까라는 부분이 있었다. 요즘은 다양한 웹브라우저에 윈도 뿐만이 아니라 리눅스나 맥과 같은 타 OS도 많이 사용되고 있는 환경인데 인터넷 뱅킹이나 관공서, 쇼핑몰 사이트는 윈도 기반에 IE에서만 동작하는 경우가 많아서 왜 그렇게 될 수 밖에 없었나에 대한 얘기를 좀 나눴다.

개인적으로는 보안업계에서 7~8년정도 있었기 때문에 지금의 이런 현상이 나올 수 밖에 없는 배경에 대해서 어느정도는 알고 있다. 그리고 그 배경을 설명해줬는데 지인은 꽤 많은 도움이 되었다고 해서 고마워하더라(나중에 저녁이나 얻어먹어야겠다 -.-). 그래서 오늘은 그때 지인과 한 이야기를 정리해서 적어볼까 한다. 나 역시 직접적인 관계가 아닌 주변 사람들로부터 들음으로 안 내용이기 때문에 내용의 신빙성에 대해서는 장담하지 못한다. 하지만 각종 소문과 관계자들로부터 직접 들은 이야기 등을 종합해서 나름대로 풀어볼까 한다.


인터넷 뱅킹이나 쇼핑몰 사이트에 접속하기 위해서는 수많은 ActiveX 컨트롤들이 설치된다. 이유는 다양하지만 가장 큰 이유는 보안 강화 때문이다. 인터넷 뱅킹을 통해서 이체나 조회 등의 액션을 취할 때나 쇼핑몰 사이트에서 물건을 사고 결재를 할 때 돈이 오가는 상황이기에 철저한 보안 환경 기반에서 안전하게 거래할 수 있게 하기 위해서 설치되는 보안 솔루션들이 ActiveX 형태로 제공되기 때문에 필요한 ActiveX 컨트롤이 깔리게 되는 것이다.

다만 다들 아시다시피 ActiveX 컨트롤은 윈도에서만 동작되며 IE에서만 사용할 수 있다. 그래서 맥이나 리눅스를 사용하는 PC에서는 사용할 수 없으며 같은 윈도를 사용하더라도 파이어폭스나 크롬에서는 사용할 수 없다. ActiveX는 IE에 의존적인 어플리케이션 형식이기 때문이다. 그렇다면 왜 보안업체들은 ActiveX를 이용해서 보안 모듈을 만들었을까?

인터넷을 이용해서 각종 금융거래가 본격화되기 시작한 것은 2000년대 중반부터다. 본격적으로 인터넷을 통한 금융거래가 시작되면서 금융당국은 안전하게 거래할 수 있는 보안에 대한 이슈를 제기하기 시작한다. 은행의 창구에서 거래할 때에는 통장 비밀번호와 인감도장이나 자필서명이 필요하다. 그것으로 당사자임을 인정하고 거래를 하기 때문이다. 텔레뱅킹에서는 통장 비밀번호 및 텔레뱅킹 암호, 그리고 보안카드를 이용한다. 인터넷 뱅킹에서도 그런 인증 수단이 필요했고 그런 인증을 인터넷이라는 공개된 네트워크를 통해서 전송하는데 있어서 보호할 수 있는 장치가 필요했다.

그래서 정부는 인터넷을 통한 금전거래에 대해서 보안지침을 만들어서 내리는데 해킹을 통해서 거래 관련 정보가 유출되는 것을 방지하기 위한 각종 보안 규제를 담게 된다. 그 대표적인 것이 암호화 통신과 암호화 통신 위에서의 신뢰성 있는 암호화 인증 방식, 그리고 인증 정보를 입력하는 키 입력에 대한 보안 등이 그것이다. 그리고 거래에 직접적인 절차 안에서는 국가에서 인정하는 공인인증서를 이용하도록 하는 것도 지침에 포함되었다. 정부라고는 하지만 이런 보안 지침들은 대부분 국정원에서 내려주며 그 가이드라인에 따라서 은행 등의 금융권 회사에서 보안 수준을 유지하도록 보안업체에 의뢰해서 인터넷 뱅킹 서비스를 만들게 되는 것이다.

2000년대 중반에 국정원(금융위원회나 금융감독원이 지침을 내렸다는 얘기도 있지만 워낙 밀실 정치에서 나온 이야기인지라 국정원에서 지침을 내렸다는 설이 가장 유력한 것이 사실이다. 금융위나 금감원이나 국정원이나 다 똑같겠지만 -.-)으로부터 인터넷 뱅킹에 대한 보안지침이 내려오면서 은행 등은 인터넷 뱅킹 서비스를 개발하는데 보안업체들을 통해서 보안 모듈을 만들어서 공급받게 된다. 그런데 시기를 보면 2000년대 중반이며 그 당시의 대한민국의 대다수 사람들은 윈도 XP를 사용하고 있었으면 웹브라우저로는 IE6를 사용하고 있었다. 그렇기 때문에 보안업체들은 보안의 타겟을 윈도 기반의 IE 웹브라우저를 잡게 되었다.

국정원의 인터넷 뱅킹 관련 보안 가이드라인에도 어느정도 언급이 되어있지만 그 가이드라인에서 제시하는 것들이 암호화 통신과 키보드 해킹 방지 등 그 당시에는 HTML이나 자바 스크립트 등으로는 해결할 수 없는 수준의 것들이었다. 웹브라우저 안에서 웹브라우저의 영역을 벗어나는 작업을 해야만 했기 때문이다. 그렇기 때문에 ActiveX 컨트롤을 주목하게 되었으며 적어도 그 당시에 윈도 환경에서 IE6에서 사용하기에는 더 없이 좋은 방식이었기 때문에 보안업체들은 너도나도 할 것 없이 ActiveX를 기반으로 보안 모듈을 만들게 된 것이다.

즉, ActiveX를 이용한 보안모듈 제공은 적어도 그 시대에 있어서는 문제가 안되는, 오히려 환영받는 기술이었다는 것이다. 하지만 문제는 지금에 와서 웹표준이 이슈화되고 윈도 이외의 타 OS를 사용하는 사람들이 많아지면서, 또 윈도 안에서도 IE 외에 파이어폭스나 크롬과 같은 다른 웹브라우저를 사용하는 사람들이 많아지면서 ActiveX 기반의 보안 모듈이 오히려 사용성을 저해하는 요인으로 지목받고 있다는 것이다. 시대가 바뀌었는데 과거의 기술을 그대로 사용하고 있기에 생기는 문제라는 것이다.

그렇다면 시대에 맞춰서 인터넷 뱅킹 서비스를 하는 은행과 보안 모듈을 제공하는 보안업체가 타 OS나 웹브라우저를 지원하면 이런 문제가 없지 않으냐 라고 할 수도 있을 것이다. 맞다. 시대에 맞춰서 기술을 바꿔서 업그레이드를 했다면 이런 문제는 없었을 것이다. 하지만 여기에는 또 다른 문제점이 있었다.

은행을 포함한 금융권에서 인터넷 뱅킹이나 결제 관련 서비스를 만든 이후에 꽤 오랫동안 안정화 작업을 해왔다. 그리고 지금에까지 이른 것이다. 하지만 타 OS나 타 웹브라우저를 지원하기 시작하면 지금까지 안정화된 서비스에 불안정성을 추가하게 된다. 즉, 신기술을 도입하면서 생기는 안정화 작업이 계속 들어가야 한다는 것이다. 또한 이미 안정화된 상태에서 불안전 요소로 인해 서비스에 문제가 생기면 지금 은행 입장에서 고객 서비스의 거의 핵심이라고 할 수 있는 인터넷 뱅킹에 문제가 생기게 되면 이미지에 안좋은 영향을 끼치면서 또한 수익에서 큰 문제가 생긴다. 운영하는 입장이나 경영하는 입장에서는 이래저래 욕을 먹고 있더라도 잘 돌아가고 있는 서비스에 불안요소를 추가할 필요를 못느낀다는 것이다.

또한 윈도 이외의 OS 지원을 하기 위해서, 또 IE 이외의 타 브라우저를 지원하기 위해서는 추가 개발 공수가 들어간다. 비용과 시간이 들어가며 과거에 윈도 기반에 IE에서 작업해왔던 안정화 작업을 또 거쳐야 한다는 부담감이 있다. 보안업체 입장에서도 현재의 인력이나 여력으로는 ActiveX 기반으로 만든 보안모듈의 안정화 및 커스터마이징에도 빠듯하다. 그런데 따로 공수를 들여 타 OS나 타 웹브라우저를 지원할 수 있게 하기 위해서는 비용과 시간이 마찬가지로 들어가는데 그게 투자하기가 어려운 것이 사실이다. 국내에서 알다시피 아직까지 윈도 사용자가 타 OS 사용자들보다 압도적으로 많고 크롬이나 파이어폭스의 사용율이 높아지고 있다고는 하지만 IE 사용자가 훨씬 더 많은 현실에서 투자 비용 대비 수익율로 따져봤을 때 다수가 사용하는 환경 지원에 몰두하는 것이 더 이익성이 높기 때문에 개발투자를 하지 못하는 것이 현실이다. 물론 요즘은 과거와 달리 해외 시장도 같이 노리기 위해 타 브라우저와 타 OS 지원을 투자라는 명목하에 만들기도 하지만 말이다.

그렇다면 이런 얘기가 나올 수 있을 듯 싶다. 해외에서는 SSL을 이용한 보안 통신과 OTP(One time password)를 이용한 방식으로 안전하게 금융거래를 하는데 국내에서는 이런 것을 왜 도입하지 않느냐라고 말이다. 거기에는 국정원도 그렇고 국내 금융관련 담당자들의 노파심이 한몫하고 있다. SSL이나 OTP 방식은 웹브라우저에서 기본으로 제공해줄 수 있는 방식이다. 그런데 웹브라우저 자체는 국내 개발이 아닌 해외 개발, 즉 외산 제품이라는 것이다. 국정원은 보안 가이드라인을 제시하면서 국내에서 만든 암호화 방식 등 국내에서 핸들링이 가능한 범위를 제시했다. 문제가 생기면 바로 해결할 수 있어야 한다는 조건 때문에 그렇다. 하지만 SSL과 OTP 방식에 문제가 생기면 이것을 핸들링 할 방법이 없다. 그리고 2000년대 중반에는 SSL이나 OTP 방식이 대중화되지 않았을 때다. 그 때 만든 지침이 지금까지 내려져오고 있는데 이것들을 허용할 리가 있을까 싶다.

즉, 정리하면 이렇다. 2000년대 중반에 만들어진 인터넷 금융 거래 관련 보안 지침은 지금도 계속 유효하고 있으며 그 때의 환경에서 만들어진 보안 모듈과 인터넷 뱅킹 서비스들이 지금까지 안정화 작업을 거치면서 유지되어 왔기 때문에 잘 돌아가는 서비스에 대해서 위험부담을 앉으며 타 브라우저나 타 OS를 지원하는 것에 대해서 부담감을 느끼고 있는 은행권의 경영진들의 판단으로 인해 지금의 문제들이 계속 나오고 있는 것이다. 또한 국내 기술로만 해야 한다는 국정원의 보안 가이드라인이 시대에 맞춰서 바뀌지 못한 것도 지금의 문제를 만드는 데 한몫을 하고 있는 것이다.

물론 앞으로는 좀 달라질 수 있을 것이다. 웹표준 준수에 대한 사용자들의 목소리가 점점 커지고 있으며 ActiveX를 만든 MS마저 ActiveX에 대한 지원을 하지 않겠다고 밝힌 상황이다. 그리고 인터넷 뱅킹에서 모바일 뱅킹으로 점점 트랜드가 넘어오고 있는 상황에서 계속 ActiveX를 이용한 보안에만 고집할 수 있는 상황은 지나갔다. 멀티 플랫폼(멀티 OS, 멀티 웹브라우저)에서 사용할 수 있는 보안 모듈 개발을 각 보안 업체들이 시작했고 어느정도 성과를 보이고 있는 중이기에 인터넷 뱅킹도 조만간 달라지지 않겠느냐 하는 생각이 든다.

재미난 것은 ActiveX 문제는 어찌보면 해커들이 해킹을 위해서 이용한 것이 국내에서는 인터넷 뱅킹과 맞물려서 꽤나 재미나게 여론 형성이 되었다는 것이다. 사용자들은 사이트에서 설치하라고 ActiveX 설치를 제시하면 내용도 안보고 설치한다. 그런 습성이 있다. 왜? 내용을 다 파악하기에는 어렵기도 하고 귀찮기도 하기 때문이다. 이런 성향을 해커들이 이용해서 해킹 툴 설치를 ActiveX를 이용해서 하게 되는데 국내에서는 ActiveX가 보안을 위해서 사용되니 아이러니하게 골때리는 상황이 되는 것이다.

국내에서 ActiveX 문제를 얘기할 때 사용자의 동의없이 설치되는 것을 얘기한다. 하지만 인터넷 뱅킹을 예로 들어보면 사용자 동의 없이는 설치가 안된다. 물론 설치가 안되면 사용을 할 수 없기 때문에 설치할 수 밖에 없는 것이 현실이지만 어찌되었던 물어는 본다. 그리고 보안 모듈로 설치된 ActiveX가 서로 충돌나서 문제가 되는 경우가 있는데 이것은 보안업체들이 만든 보안 모듈이 서로 다르지만 보안해야 하는 영역이 비슷하기 때문에 충돌되는 것이다. 이 부분은 보안업체들이 나서서 해결해야 하는데(그래도 많이 해결은 되고 있다) 자사의 이익 우선 정책 등으로 인해 제대로 안되는 것이 사실이다. 뭐 이런 문제점을 갖고 있기는 하지만 현실은 바뀌기가 쉽지 않다는 것이 그렇다.

기술은 발전하고 사용자들의 성향은 나날이 높아져가는데 기술을 지배하려는 정책이 기술을 못따라오고 있다. 또 정책을 만드는 사람들의 마인드 역시 트랜드를 따라오지 못하고 있다. 이게 가장 큰 문제라는 생각이 든다.


ps) 서두에서도 썼지만 정확한 내용은 아니다. 이런저런 업계에서 들리는 소문과 관련된 분들의 이야기를 종합해서 나름 분석해서 쓴 글이니 틀린 부분이 있으면 얘기해주길 바란다.

크리에이티브 커먼즈 라이선스
Creative Commons License
  1. Favicon of http://fstory97.blog.me BlogIcon 숲속얘기
    2012/04/18 09:52

    액티브X시대는 아주 빠른 시일내에 끝날것으로 보입니다. 보안 인증수단이 거의 스마트폰으로 넘어오지 않을까 싶어요. n스크린 환경하에 보안인증이란 PC의 로컬환경에서의 인증보다는 USIM기반의 폰인증이나, 단말에 깔린 보안앱인증이 훨씬 용이하지 않을까 싶습니다. iPin앱버젼도 나오려나.... 트랙백하나 달고갑니다. ^^

    • Favicon of http://poem23.com BlogIcon 학주니
      2012/04/18 13:19
      댓글 주소 수정 및 삭제

      보안회사들이 각기 나름대로의 솔루션을 개비하고 있으니까요.
      그런데 과연 ActiveX가 완전히 사라질지는 의문이 -.-;

  2. 정타임
    2012/04/18 09:53

    인터넷뱅킹은 2013년 4월에 시행되는 장애인 차별 금지법을 준수하기 위해서, 모든 은행들이 어떤 OS나 브라우저에서도 인터넷 뱅킹을 할 수 있도록 개선하고 있거나 개선하게 되어있습니다.
    웹 접근성도 준수하며, 오픈뱅킹의 조금 더 발전된 형태로 말이죠.

    어제 기사를 보니, 11번가와 지마켓에서도 멀티 OS/브라우저를 지원하는 결제 시스템을 구축했다고 하더군요.

    올해를 기점으로 내년부터는 멀티 OS/브라우저를 지원하는 것이 기본(표준)이 될거 같네요.

  3. 물음표
    2012/04/18 10:49

    지마켓도 타브라우저 지원은 되던데 신용카드나 이체 결제는 역시 ㅠㅠ

  4. Favicon of http://imstory.tistory.com BlogIcon REDNAKTA
    2012/04/18 14:14

    10여년 전에는 최선의 선택이었겠죠. Windows와 IE만 있던 환경은 다양한 세상으로 바뀌었는데 ActiveX에 의존적인 공인인증서와 암호기술이 여전이 변화를 더디게 하고 있네요.

  5. 나그네
    2012/04/19 01:57

    제 생각이지만 SSL이니 OTP니 하는걸로 보안을 거는 방식을 쓰면 보안사고때 책임을 은행이 져야해서 (서버측 기술) 국내 은행들이 ActiveX 방식을 고수 하는 것도 있는거 같네요. 새로운 방식으로 추진시 은행 담당자가 모험을 해야 되기도 하고요. 그래도 모든 부하를 고객 컴터로 전가하는건 사기 아닌가 싶네요. 키보드 보안 프로그램은 거의 Hooking기술만 써대면서 무조껀 깔개하는것도 문제구요

    • 아길라스
      2012/04/19 06:18
      댓글 주소 수정 및 삭제

      SSL 을 사용하는 이유는 정보전송시 중간에 하이재킹을 당해도 데이터를 알아볼수없도록 하는 기술입니다
      (기타 다른기능도 있지만...어째든)

      즉 SSL을 사용했음에도 고객의 데이터가 노출되었다면 SSL인증을 해주는 회사(은행이아님) 가 책임져야하는 부분입니다

      은행이 책임을 져야할때는 정상데이터가 전달되었는데 잘못된 처리가 되었을때 입니다

      허나...대부분의 해킹사건은 이미 고객의 PC가 크래커의 손에 들어간 이후에 발생합니다. 이미 은행에게 잘못된 데이터를 전송해버리는것이죠
      키보드 보안이나 이런것은 은행이 고객에게 해주는 서비스의 일부분일 뿐입니다
      혹시나..허접한 해킹툴에 노출되었을시 막아주는 역활을 하지요.
      사실 고객의 PC가 해커의 손에 들어갔다면 은행이 할 수 있는것은 거의 없고...책임도 없습니다

      금은방 주인이 열쇠잃어버린 다음에 도둑이 그 열쇠가지고 금은방 털어버린후에 금은방 주인이 경비업체에게 뭐라고 할 수는없지요


      제 답변이 너무..은행편이기는하지만 OTP나 기타 본인인증 기능이 있다하더라도 고객의PC가 뚫렸다면...많이...어렵습니다

    • Favicon of http://poem23.com BlogIcon 학주니
      2012/04/19 09:57
      댓글 주소 수정 및 삭제

      ActiveX 사용 고집(?)은 정치적인 이유도 있기는 합니다.
      어찌보면 책임 회피의 방법일 수도 있고요.

      SSL은 통신 구간(고객 PC와 서비스 서버 사이) 암호화 뿐만이 아니라 서버의 적법 상태 인증도 같이 진행됩니다.
      서버 인증서 개념이라서 그렇지요. 즉, 서비스를 하는 은행은 서버쪽에만 어떻하든 신경쓰면 되는 구조입니다.
      다만 문제가 터졌을 때의 이후 대처를 하기가 어려운 것이 SSL의 한계입니다.
      (SSL을 도입하자는 쪽은 ActiveX 방식보다는 훨씬 안전하다고 주장합니다만 -.-)

      가장 중요한 것은 확실히 고객 PC 자체를 보호하는 것이겠죠.
      모든 문제는 이제는 서비스 서버 직접 해킹보다는 고객 PC 해킹을 통해서 서버 해킹을 시도하니까요.
      키보드 보안 등의 방식은 그런 고객 PC 해킹을 최소화하려는 일종의 움직임으로 보이도록 하는 효과는 있습니다.
      은행 입장에서는 적어도 우리는 이 정도의 노력은 했다라는 면죄부를 줄 수가 있지요.

      가장 중요한 것은 사용자 스스로가 해킹에 걸리지 않도록 주의하는 방법 외에는 -.-;

  6. ㅈㄸ
    2012/04/19 11:58

    개인적인 견해를 몇가지 추가하자면,

    1. 국내법 자체가 보안사고 발생시 금융회사의 책임여부를 '보안프로그램 설치' 안내 및 사용여부로 결정하게 되어 있습니다. 즉, 금융회사에서는 '책임'을 피하기 위해서 보안프로그램을 강요합니다. 현행법상 전자인증 서명을 제외한 보안프로그램은 강제사항이 아니다. 라고 알고있습니다. (가령 키보드 보안같은)

    2. 입찰 업체 선정이 '기술'이 아닌 '로비'로 결정됩니다. 이건 공공연한 사실이죠. 이때문에 '표준'따윈 없고 수많은 보안업체들이 난립하는 결과를 초래했죠. 많은 보안 업체들이 대부분은 '영업조직'으로 이루어져 있고 기술부분은 '외주'로 때우죠.

    3. 공인인증서를 통한 전자서명방식이 '우리기술' 이라서 그렇습니다. 또 전자상거래를 위한 암호화 방식 또한 '우리기술'이라서 그렇습니다. 기억에 의하면 초창기 미국 역시 안보문제로 128비트 암호화(가물가물하네요) 기술의 국외 유출을 금지했죠. 그래서 해외판 윈도우즈는 이를 지원하지 않았고 당시 IT분야에서 앞서나가려던 우리는 독자 암호화 기술을 개발했죠. 근데 나중에 미국이 이런 제한을 없애서 뭐..

    • Favicon of http://poem23.com BlogIcon 학주니
      2012/04/20 08:59
      댓글 주소 수정 및 삭제

      1번의 경우 강제사항은 아니지만 금감원이나 금융위에서 강제 비스므리하게 지시하는 경우가 종종 있다고 하네요. 그리고 인터넷뱅킹 제공에 있어서 최소한의 안전장치라는 인식도 어느정도 한몫하고 있지 않을까 싶습니다.

      2번의 경우 비단 보안업계뿐만이 아니라 사회 전반적으로 대부분 그런 듯 싶습니다.

      3번은 뭐.. -.-;

  7. Favicon of http://blog.fujixerox.co.kr/ BlogIcon 색콤달콤
    2012/04/19 16:42

    인터넷 거래와 관련해 Active X에 대한 문제점은 꽤 오래전부터 제기되어 왔던 것 같은데 여전히 발전 가능성은 보이지 않는 것 같네요. 특히 이와 관련해서 해외에서 국내 사이트 이용시에 많은 불편함이 있는 것이 사실입니다. 기타 해킹문제나 보안문제등과 맞물려 있어서 쉽사리 해결되는데 어려움이 있는 것 같습니다. 요즘 다른 웹브라우저를 사용하는 사람들도 많은데 결제시스템이 익스플로러에서만 가능해 불편한 점이 많더라구요.그와 관련해 하루빨리 개선안이 논의돼야 하지 않을까 싶네요. 잘 읽고 갑니다. 감사합니다~

    • Favicon of http://poem23.com BlogIcon 학주니
      2012/04/20 09:00
      댓글 주소 수정 및 삭제

      크로스 플랫폼이나 크로스 웹브라우징 문제는 옛날부터 지속적으로 제기되어왔던 문제입니다만 어찌보면 경제논리에 의해 묻혀버렸다는 생각이 듭니다. 윈도 + IE 사용자가 전체의 90%가 넘었을 때의 이야기니까요.