-
변화하는 IT 환경에 뒤늦게 고민하기 시작한 국내 금융권 IT 환경. 어떻게 변화를 받아들여야 할까?Security 2015. 7. 16. 10:32반응형
몇주 전 기사이기는 하지만 어쩌면 당장에 한국 인터넷 금융계에 엄청난 파장을 일으킬 수 있는 내용이 기사화되어 나왔다. 기사의 내용은 간단하다. 구글 크롬의 최신 버전과 MS 윈도 10의 기본 웹브라우저가 될 것으로 보이는 엣지 브라우저에서 더 이상의 NPAPI를 지원하지 않겠다는 것이다. 그래서 금융권 관계자들이 구글 담당자를 만나서 NPAPI 지원 제거 기간을 연장해주면 안되겠냐고 얘기하는데 구글 관계가는 어림껀덕지도 없다는 반응을 보이는 것이 기사의 내용이다. 도대체 NPAPI가 뭐길래 금융권 관계자들이 저렇게 나오는지, 또 이것이 인터넷뱅킹을 비롯하여 인터넷 금융 서비스에 어떤 영향을 미치는지 궁금해진다.
인터넷 금융 방식의 현재
많은 사람들이 알다시피 국내의 인터넷 뱅킹을 비롯하여 결제 관련 서비스를 이용하기 위해서는 MS 윈도 환경에 인터넷 익스플로러(IE)라는 MS에서 만든 웹브라우저만 사용해야만 했다. 이유는 뱅킹 및 결제 서비스를 지원하는 기능을 ActiveX를 이용한 방식으로 만들어서 제공했기 때문인데 이 ActiveX는 MS가 IE를 위해서 만든 확장 방식으로 다른 OS나 웹브라우저에서는 사용할 수 없다. 그래서 늘 크로스 플랫폼, 크로스 웹브라우저에 대한 이슈가 나올 때마나 욕을 얻어먹고 있는 것이 바로 ActiveX 방식이었다. 공인인증서를 통한 인증 및 암호화 통신, 키보드 보안 등의 기능이 대부분 ActiveX를 통해서 만들어졌기 때문이고 금융권은 그 방식을 수년동안 안정화시켜서 지금에 이르게 한 것이다.
015년 6월 30일 서울 명동 중구 포스트타워에서 진행된 구글 NPAPI 지원중단 대응방안 세미나의 질의응답 시간에 자리한 발표자들
하지만 시대가 변하고 사용자들의 인식도 달라지면서 더 이상 ActiveX를 이용한 방식만으로는 사용자들의 요구사항과 시대의 요구사항을 만족시킬 수 없다고 판단한 듯 싶다. 그래서 크로스 플랫폼, 크로스 웹브라우징이라는 개념에 맞는 방식을 찾기 시작하면서 적어도 크로스 웹브라우징은 해결해보자고 얘기가 되었고 IE 외에 크롬, 파어어폭스, 사파리 등 다른 웹브라우저에서도 IE의 ActiveX와 비슷한 기능을 지닌 확장 방식을 쓸 수 있는 방법을 찾게 되었는데 그것이 바로 과거 파이어폭스의 전신인 넷스케이프 때부터 지원되기 시작한 NPAPI 방식이다. NPAPI는 넷스케이프 플러그인 어플리케이션 프로그래밍 인터페이스의 약자로 크롬과 파이어폭스에서 지원하고 있는 방식이다. 금융권은 크로스 웹브라우징 이슈를 해결하기 위해 기존 ActiveX를 통해서 제공되었던 공인인증서를 통한 인증 및 암호화 통신, 키보드 보안 등을 NPAPI를 이용해 크롬과 파이어폭스에서도 사용할 수 있도록 만들어서 제공하기 시작했다. 이른바 오픈뱅킹이라 불리는 것들이 바로 NPAPI를 이용해서 만들어진 보안 모듈을 제공해서 인터넷 뱅킹을 제공하는 것이다.
구글과 MS의 뒤통수 까기
그런데 겨우 NPAPI를 이용해서 크로스 웹브라우징 이슈를 어느정도 해결했다고 생각했는데 갑자기 구글이 NPAPI를 지원하지 않곘다고 선언한 것이다. 물론 그 선언은 1년 전에 진행되었고 이제 1년간의 유예기간이 지났으니 이번에 업데이트 될 구글 크롬부터는 NPAPI를 사용할 수 없게 하겠다는 것이다. NPAPI를 사용할 수 없게 된다면 구글 크롬에서 더 이상의 오픈뱅킹을 통한 인터넷 뱅킹을 할 수 없게 된다.
여기에 더 문제가 되는 것은 조만간 공식 출시가 될 윈도 10의 기본 웹브라우저가 엣지 브라우저인데 엣지 브라우저에서는 공식적으로 ActiveX를 사용할 수 없게 했다는 소식에 뒤통수를 한대 더 맞은 격이 되었다. 물론 IE11도 함께 탑재가 되며 IE11은 ActiveX를 사용할 수 있지만 사람들의 성향 자체가 기본 웹브라우저를 많이 사용하지 서브 웹브라우저를 사용하는 경우가 많지 않다는 점에서 문제가 되고 있다. 과거 넷스케이프와 경쟁을 했던 MS의 IE가 어떻게 웹브라우저 시장을 천하통일했는지 그 과정을 본다면 충분히 이해할 수 있는 부분이다.
결국 금융권에서 인터넷 뱅킹 뿐만이 아니라 결제 모듈에 대한 이슈가 본격화 되기 시작하는 시기가 곧 닥칠 것이라는 얘기다. 지금까지의 인터넷 뱅킹에서 사용하고 있는 모듈들은 아직까지도 대부분이 ActiveX 기반으로 되어있으며 NPAPI를 기반으로 만든 모듈들도 최근에야 겨우 안정화 과정을 거치고 있는 중이다. 그런데 그 두가지 기반을 모두 사용할 수 없는 상황이 오게 되었으니 무척이나 난감하게 될 것으로 보인다. 지금까지의 방식으로는 대부분이 사용자 단말기에서 인증 및 보안을 처리하는 방식으로 되어있는데 그것을 사용할 수 없는 상황이며 그 방식을 바꿔야 하는데 현재 은행의 정책이나 시스템이 그렇게 되어있지 않기 때문에 정책을 만드는 것부터 시스템을 바꾸는 것까지 상당한 시간 및 비용이 들어갈 것으로 보이기 때문이다.
현재의 업계의 상황
최근 FDS(부정 사용 방지 시스템)의 도입이 급속도로 이뤄지며 해외의 많은 금융 및 결제 서비스들이 사용자 단말기가 아닌 서버에서 인증 및 보안을 처리하고 FDS 등으로 보안의 취약점 등을 커버하는 형식으로 되어 있으며 향후 국내의 인터넷 금융과 결제 시장도 그렇게 가야 할 것으로 보이는데 아직까지 그 시스템을 도입하기에는 현재의 시스템이 준비가 안되어 있기 때문에 정책을 마련하고 시스템을 구축하는데 들어가는 시간 및 비용이 천문학적으로 크다는 부담때문에 계속 구글 담당자에게 NPAPI 지원 부분을 요구하고 있는 듯 보인다. 그나마 MS는 IE11이라도 지원하니 어떻게든 되니까 한숨 돌렸다고 생각했을지도 모르겠다.
나 역시 이전에 공인인증서 관련 인증 및 보안 모듈을 만들던 회사에서 근무했으며 그 안에서 돌아가는 산업군의 모습을 봤기 때문에 왜 저렇게 목매달 수 밖에 없는지 그 이유를 얼추 알고 있다. 금융권의 기본적인 보수적 성향과 돈에 관견되어 민감할 수 밖에 없는 위치가 한번 성립된 시스템 구조를 쉽게 바꿀 수 있는 상황은 아니기 때문이다. 또 보안 모듈을 만드는 업체들이 그렇게 큰 업체들도 아니고 영세한 업체들도 많으며 하나의 모듈만 바꿔서 해결될 일이 아니라 3~4개의 모듈이 서로 얽혀있는 구조로 인해 하나만 생각할 수 없는 구조로 된 것이 문제가 되기도 한다. 앞서 얘기했듯 공인인증서를 통한 인증 뿐만이 아니라 암호화 통신에 키보드 보안 등 적어도 3~4개의 모듈이 서로 얽혀있는 구조가 현재의 인터넷 뱅킹의 모습이기 때문에 그렇다. 그리고 법적인 문제로 인해 개인정보나 인증정보의 서비스 서버 보관이 어려운 것도 현재의 상황으로 오게 된 이유가 될 수 있다. 분명 해당 업계 입장에서 볼 때에는 언론에서 얘기하듯 그렇게 쉽게 시스템을 구축하고 바꿀 수 있는 상황은 아니라는 얘기다.
하지만 바뀌어야 할 구조
하지만 분명 구조는 바뀌어야 하는 것이 맞다. 지금까지의 사용자에게 인증 및 보안의 책임을 전가했던 방식이 아닌 서비스를 제공하는 제공자가 사용자의 인증 및 보안을 책임지고 그것에 대한 문제가 생겼을 경우 그 잘잘못을 따져서 사용자의 문제였을 경우 강력한 제제를 가하고 서비스쪽 문제였을 경우 합당한 책임 및 배상을 하도록 하는 방식이 맞다고 본다. 사용자에게 인증 및 보안의 책임을 전가하다보니 사용자 단말기에 이것저것 덕지덕지 붙이는 꼴이 되었고 PC 외에 스마트폰, 태블릿 등의 스마트 디바이스를 활용하는 모바일 시대에 걸맞지 않는 서비스를 계속 제공할 수 밖에 없는 상황이 되었으며 금융권은 모바일 지원을 위해 모바일 앱을 별도로 만들어서 제공하는 등 일이 2~3배로 많아지게 되었다는 것은 이미 알려진 사실이니 말이다.
뭐 개인적인 생각이지만 일단 법부터 서비스 제공자에게 권한과 책임을 줄 수 있도록 바뀌는 것이 먼저가 되지 않을까 싶다. 국내의 금융권의 움직임은 먼저 법이 재정되고 그 다음에 움직이기 때문에 법이 먼저 선행적으로 바뀌지 않는 이상 금융권들이 먼저 자신들의 서비스를 바꿀 일은 없을 것이기 때문이다. 법이 바뀌면 그 다음에는 금융위, 금감원이 움직이고 그것에 따라서 은행권들이 움직일테니 먼저 법부터 서비스 제공자들의 권리와 책임을 분명하게 하도록 바뀌는 것이 우선시 되어야 하지 않을까 싶다.
그리고 은행권들은 지금 가뜩이나 핀테크니 뭐니 해서 전통적인 방식으로 계속 수익성이 악화되고 떨어지고 있는 상황에서 시스템 변경 및 제도 변경으로 인해 들어가는 돈을 걱정하는데 오히려 시스템 변경 및 제도 변경을 통해 새로운 수익 사업을 창출하는 노력을 하는 것이 더 좋지 않을까 싶다. 핀테크 흐름을 태울 수도 있을테고 말이지. 이제 전통적인 은행 업무를 통해 대출, 이자, 수수료 수익 등으로는 이전과 같은 효과를 거둘 수 없음이 여실히 들어나고 있으니까 말이다. 시스템 교체 및 정책 변경에 들어가는 비용을 지출, 낭비라고 생각하지 말고 투자라고 생각한다면 그 투자를 통해 어떻게 결과를 끄집어낼까를 고민한다면 좀 더 쉽게 접근할 수 있지 않을까 싶다.
보안 업체는 요구사항이 나오면 그것에 맞춰서 기획하고 설계하고 만들면 된다. 적어도 기술적인 부분에 대해서 국내 업체들의 기술이 해외 업체들보다 떨어진다고 생각하지 않는다. 요구사항이 엉뚱하니 나오는 결과물이 엉뚱할 뿐이다. 요구사항만 제대로 정리되고 기획만 제대로 된다면 그것에 맞춰서 설계하고 개발하고 유지보수할 수 있는 능력은 국내 보안업체들은 충분히 갖고 있다. 그렇지 못한 업체들은 뭐 알아서 떨어져나갈테니 말이다. 물론 기존의 유착관계 등으로 인해 신생업체들이 들어울 수 있는 기회가 적은 것은 분명히 고쳐야 할 점임은 분명하지만서도.
그냥 계속 우는 소리를 하지 말고 뭔가 위기를 기회로 바꾸는 지혜가 필요하지 않을까? 지금의 내 상황처럼.. -.-;
반응형댓글