대한민국 국민이라면 누구나 보안을 강화하기 위해 기본 보안(예: 윈도우 사용자 계정 컨트롤 UAC)을 우회해 액티브X 프로그램을 설치해야 하는 습관이 들었기에 (다양한 이유로 인해) 위조 사이트로 잘못 접속했을 경우에도 이상한 프로그램 설치를 허가하거나 민감한 개인 정보를 입력하는 문제점이 연일 터지고 있다. 초기에 웹 브라우저에 기본 내장된 두 가지 강력한 기능(사이트 인증서 검증, SSL/TLS 통신 보안)을 사용하지 않고 독자적인 액티브X 기반의 암호화 인프라에 공인인증서 조합을 사용한 대가를 치루고 있다고 보면 틀림 없겠다. 물론 2000년 1월 이전에 미국 바깥으로 수출되는 암호 관련 소프트웨어는 SSL 키 크기를 40이나 56비트로 제약해야 하는 규정이 있었기 때문에 독자적인 행보가 필요했다고 말할 수 있을지 몰라도 지금은 무려 2013년이니 13년이 흐르는 동안 다들 넋놓고 뭐했지? T_T
하지만 점점 상황이 개선되고 있고, 그 중에서 가장 주목해야 할 기술은 바로 오픈 뱅킹이다. 오픈 뱅킹은 윈도우 운영체제와 IE에서 벗어나 다양한 운영체제(리눅스, 맥OS X)와 다양한 브라우저(크롬, 파이어폭스)에서 은행 업무를 볼 수 있도록 출발한 개념인데, 보안 강화라는 긍정적인 부산물을 제공한다. 국내에서 오픈 뱅킹을 지원하는 국민, 기업, 산업, 신한, 우리, 씨티, 하나(가나다 순) 은행 사이트에 들어가면 베리사인에서 인증 받은 사이트 표식이 뜨면서 TLS를 사용한 보안 채널로 통신한다(은행마다 112비트부터 256비트까지 암호화 수준은 조금씩 차이가 난다). 물론 오픈 뱅킹을 사용하더라도 각종 보안 프로그램(키보드 보안, 백신 등)을 설치해야 하므로 결국 반쪽이 아닌가 하는 생각도 들지만, URL 입력창이 초록색으로 변하기에 접속하는 사이트 자체가 위조되지 않았다는 사실을 쉽게 확인할 수 있으므로 최소한 이런 사이트에서 제공하는 각종 (보안) 소프트웨어는 안심하고 설치할 수 있게 된다(물론 100% 완벽하지는 않다. 보안 업체에서 제공하는 소프트웨어가 감염되면... 음...). 예전에는 안전하게 은행 사이트에 접속하기 위해 함부로 이메일이나 블로그 링크를 클릭하는 대신 포털 사이트에서 검색해 들어가거나, 북마크해서 들어가거나, 외워서 들어가는 방법을 사용해왔다. 물론 일부 은행에서 제공하는 보안 안전 그림이나 문자열을 보고 정상 사이트인지를 확인하는 서비스도 나름 좋았지만, 오픈 뱅킹을 사용할 경우에는 웹 브라우저 자체에서 접속하는 사이트 인증서에 문제가 있을 경우 즉시 경고를 주므로 사이트 진위 여부를 따지는 번거로움을 많이 줄일 수 있다. 이런 사실을 인지하고 있으면, 보안을 강화해야 한다는 둥 어쩌구하면서 보안카드 입력을 요구하는 요상한 사이트로 피싱을 유도해도 한눈에 사이트 진위 유무를 확인할 수 있다. 초록색 막대가 안 뜨면 바로 브라우저를 닫으면 된다! 참 쉽죠?
단순한 UI에 접근성도 강화되고, 보안도 강화되고, 운영체제나 웹 브라우저도 골라서 선택할 수 있기 때문에 다른 은행들도 빨리 동참하도록 오픈 뱅킹 사용을 늘이면 어떨까 싶다. 사람의 습관이란 무서워서 아마 이 글을 읽고 나서도 기존 은행 사이트에 접속하게 될텐데(이런 문제점을 인식하고 있는지 국민/산업/우리은행은 아예 오픈 뱅킹으로 시작한다. 앞으로도 대다수 은행 사이트가 기본으로 오픈 뱅킹을 지원하면 더욱 좋겠지?), (심지어 IE를 사용할 경우에도) 의식적으로 오픈 뱅킹으로 접속하면 어떨까 싶다. 보안은 대부분 기술보다는 사람으로 인해 문제가 발생하므로 남에게 맡기는 대신 평상시에 스스로가 알아서 지켜야 한다는 사실을 다시 한번 명심하자.
EOB
좋은 정보 알아갑니다~!
답글삭제