2009년 3월 31일 화요일

openweb 이라.

최근에 오픈웹의 모 교수가 일으키는 운동인데…

http://openweb.or.kr/?p=1028

너무 감정적인 접근. 자기 생각에 너무 오래 취해서 과격하고 감정적인 선동을 하려 한다는 생각이 든다.

저렇게 밖에는 표현을 못하는 걸까. 소위 교수의 품격을 가진 분이.

맞는 의도도 있겠지만, 기존의 보안업체들을 다 매도하는 글들은 심히 불쾌하다.

그리고 저 사이트에는 맹신자들이 감정에 흥하여 물길을 일으키고 있어, 함부로 덧글 달아봐야 기술적인 건전한 토론이 이루어질 것 같진 않다.

게다가 주장에는 극단적인 비약이나, 일반화 오류도 너무나 많다. 난 저분이 소송에 패한것이 도리어 잘된 일이라 생각한다. 극으로 치닫는 것은 뭐든 위험하다.

현 기술체제에서 현 법률체제에서 저분의 소망을 들어줄 수 있는 유일한 길은 웹을 이용한 인터넷 뱅킹은 없애고, 전용 C/S client 를 증권사 HTS program 만들듯 만들어서 배포하고, C/S client program 을 이용하여 *인터넷을 이용한* 뱅킹을 하게 하되, 웹은 해방시켜 드리는 수 밖에는 없을 것 같다. 그리고 전용 C/S client program 에 백신 프로그램과 PC Firewall program 등을 포함시키고 사용자가 그 비용을 지불하게 하되, 기존의 PC 에 이미 백신이나 Firewall program 이 있다면 보안프로그램 설치는 skip 하게 하는 선택권을 주어야 할 것이다. 아니면 임시방편으로 ActiveX 대신 설치유도를 하는 setup.exe 를 배포했다면 만족할까?

외국 사람들은 이미 자기 스스로 자기 PC 를 지키는 훈련이 되어 있다는 비약은 도대체 무슨 근거이며 (ActiveX 를 수시로 설치하라는 학습효과를 겪지 않았기 때문에), 보안업체가 어설픈 협박으로 폭리를 취해서 배부르게 되었다는 저 비약은 또 도대체 어디서 나오는 걸까.

왜 수많은 포탈들이 고객에게 PC보안을 위한 소프트웨어를 비용을 부담하면서까지도 제공하려 하는지 왜 이해의 폭을 가져가지 않는걸까.

초기의 뜻은 좋았을지 몰라도 과도한 선동으로 이미 오픈웹 진영은 스스로 아군들을 잃고 있다고 본다.

특히 백신업체 한군데를 콕 찝어서 매도에 가까운 비방을 하는 것이 과연 인터넷의 정신에 맞는 거라 생각하는지? 너무 자기도취 되어 있는 사람 같아 보여서 씁쓸하다.

현재의 인터넷 뱅킹 보안시스템이 완벽히 안전하냐는 것에 많은 보안전문가들이 동의하지 않으나, 오픈웹이 제시한 방안대로 간다해도 현재의 보안수준보다 절대 높아지지 않으며 수준이 동일하게 유지되지도 않는다. 이 운동이 성공하여 ActiveX 를 제거하는데 성공할지는 모르겠지만, ActiveX 는 클라이언트 PC 에 효율적으로 패키지를 배포하기 위한 여러 방편중 하나였을 뿐 (또 그당시 존재했던 소위 쓸만한 기술중 하나를 택한 것일뿐) 어떠한 음모도 개입되지 않는다. 기술이 진보했으니 이를 새로운 대체물로 개선하자는 취지는 잘 묻혀서 보이지 않고 불필요한 감정의 전달만이 느껴진다.

현재의 인터넷 뱅킹 보안시스템은 완벽히 안전하지 않다. 하지만 한가지 확실한 것은 real world 의 전통적인 보안인증체제를 metaphore 로 삼아서 cyber world 에 구현하는데 그 시대의 기술로 최선의 노력했다는 점이다. 법제화는 물론이고 기술적인 부분에까지 말이다. 

예컨데 기존 offline banking process 처럼 그 개인이 실명을 가진 본인인지 확인하기 위해 offline 에서 주민등록증을 이용 실명/본인확인을 하는 것처럼, 원격에 있는 누군가에 대한 신원확인을 하는데 id, password 로는 부족하기 때문에 개인신원을 입증할 수 있는 공인인증서를 더 안전장치로 부여한 것으로 보아야지 공인인증서를 팔아먹기 위해? 라는 의미로 해석해서는 안된다. offline 상에서 clearance 가 된 상태에서 공인인증서가 부여되고, 이 부분에 공증성을 담보하기 위해 국가가 지정한 공인인증기관이 개입하게 되는 것이다.

물론 공인인증기관으로 등록되기 위해 로비가 벌어졌는가? 키보드보안이라는 완전치 않은 아이템을 은행에 공급하기 위하여 로비가 벌어졌는가? 라는 음모론적인 이슈로 간다면 이는 청문회에 회부할 일이지 기술적인 논의는 이미 벗어난 일이다.

Fraud detection infra 가 back-end 에 아무리 잘 구현되었다 한들 통계를 기반으로 하였거나 몇몇 학습 알고리즘 등에 의존한 anomaly detection 중 하나이고 이 anomaly detection 이 모든 fraud 를 detect 해낼 수도 없다. 몇번 뱅킹 거래를 하지 않은 사람의 행적을 어떻게 패턴분석을 하여 outlier 처리를 할 것인가? Fraud detection infra 가 받쳐주면 비록 유저가 인지를 못하는 실수를 하더라도 banking service provider 의 노력여하에 의해 찾아낼 수 있다는 것은 맹신이며 도리어 책임전가이다.

‘필사적으로’, ‘유언비어’, ‘강요’, ‘권유’, ‘호들갑’, ‘떡고물’… 이런 단어를 쓰며 이야기하면 어디 이게 진지한 토론의 분위기나 잡히겠는가?

보면 볼수록 씁쓸하다.