본문 바로가기
그냥

한국에서 액티브엑스가 사라지지 않는 이유

by wizmusa 2015. 9. 17.

한국의 금융업체가 액티브엑스를 고집하는 이유는 간단하다. 해킹을 막는 주요수단을 사용자의 PC에 설치했다는 핑계를 들어, 해킹이 발생하면 이용자의 과실이 원인인 것처럼 몰아가기 쉽기 때문이다. 아래 기사를 보자.


“전 재산이 통장에서 감쪽같이 사라졌다”

KBS | 2014.11.21
http://news.kbs.co.kr/news/view.do?ncd=2970810
지난주까지만 해도 통장엔 1억 2천만 원이 들어있었다. 통장 주인인 이 씨는 돈을 찾은 적이 없다. 누군가 마이너스 5백만 원까지 가능한 이 통장의 바닥까지 긁어 먹은 것이다.


(중략)


계좌 로그 기록이 담긴 농협 내부 문서를 확인했다. 사고 하루 전인 25일, 의문의 IP가 이 씨 계좌에 접속했다. 경찰 조사 결과 중국 IP로 확인됐다. 그런데 이 IP가 무슨 작업을 했는지, 어떤 정보를 빼냈는지 농협도 알지 못했다.

경찰 수사는 이 지점에서 멈추고 말았다. 누가 어떤 방법으로 이 씨 통장에서 돈을 빼갔는지 전혀 파악하지 못한 채 두 달 만에 수사는 종결됐다.

농협은 원인을 알 수 없으니 보상도 할 수 없다고 했다. 이 씨의 과실도 없지만, 은행의 과실도 확인하지 못했다는 논리다. 다시 억장이 무너졌다. "제 잘못이 하나라도 있으면 이해해요. 저는 잘못한 게 하나도 없는데 한 푼도 못 주겠다니까 너무 억울해요." 눈물이 터졌다. "전 재산인데..."


(하략)


전자금융거래법 9조는 이용자에게 손해가 발생할 경우 금융기관이 배상하게 했지만, 이용자에게 과실이 있을 때에는 이용자가 책임을 지도록, 다시 말해 배상을 받지 못하도록 한다. 이 법령을 악독하게 사용하는 한국 금융기관은 보안 솔루션을 PC에 설치함으로써 배상의 책임을 회피하는 중이다.


평범한 사람이 PC에 해박하지 못하여 이런 저런 악성코드가 깔리기라도 한 상태에서 해킹 피해가 발생하면, 금융기관은 옳다구나 하고 이용자 과실로 처리하여 배상하지 않는다. 심지어 위의 기사처럼 이용자에게 과실이 없어도 금융기관의 보안 솔루션에 과실이 없다는 이유로 배상을 거부한다. 액티브엑스 콘트롤 형태로 보안 솔루션을 강제로 설치하고는 해킹 등 금융사고가 발생하면, 할 도리는 다 했으니 무려 금융기관의 과실을 평범한 이용자 보고 규명하라고 강제하는 형국이다.


이게 바로 액티브엑스가 사라지지 않는 이유이다. exe 실행 파일 형태로 바뀌어도 상황은 마찬가지다. 형태가 어찌 됐든 이용자의 PC에 보안 솔루션을 설치했으니 해킹 피해가 발생하면 이용자가 PC를 잘못 관리했다는 논리는 여전히 적용 가능하다. 정말 끝까지 책임을 회피하는 경쟁력 순위 세계 81위의 한국의 금융기관 답다.[각주:1] [각주:2]


최근 들어, HTML5 기반에 PC에 프로그램을 설치하지 않는 인터넷 뱅킹을 표방하는 금융기관이 생기기 시작했다. 하지만, 아직도 끈질기게 공인인증서를 PC에 저장하는 방식을 고수한다. 해킹 피해가 발생하면, 한국 금융기관은 지금까지와 같이 앞으로도 이용자 PC에 설치한 공인인증서를 이용자가 소홀히 다루었는지를 우선시 할 게 뻔하다. 세계 81위의 경쟁력을 자랑하는 한국 금융기관 앞에 일개 이용자는 초라해지기만 한다.


공인인증서 자체를 악으로 볼 생각은 없다. 잘만 쓰면 OTP(일회용 암호) 인증보다 안전하거나 OTP와 조합하여 훨씬 안전한 보안 환경을 만들 수도 있는게 공인인증서라는 수단임을 잘 안다. 따라서, 한국 금융기관이 공인인증서 사용에 대한 결백함을 인정 받고 싶다면, 아주 단순한 해결책이 있음을 일깨워 드리고자 한다.


과실규명의 책임을 일개 이용자에게 지우지 말라.


단순명료하지 않은가? 이 전제만 지킨다면 천송이 코트를 중국 사람들이 살 수 있거나 말거나, 매킨토시나 리눅스에서 인터넷 뱅킹을 하거나 말거나 한국 금융기관의 신실함을 추호도 의심하지 않을 것이다. 반대로, 액티브엑스를 버리고 HTML5가 아니라 HTML500으로 간다고 해도, 변함 없이 이용자에게 과중한 규명책임을 전가한다면 어떤 수사를 갖다 붙인들 사탕발림에 불과하다. 무슨 기술이 됐든 액티브엑스와 다를 게 없다.


하나은행 고객 예금 유출…은행측 "해킹은 아니다"
아이뉴스24 | 2009.02.14.
http://media.daum.net/digital/internet/newsview?newsid=20090214172003018


바보야, 문제는 액티브X가 아니라 공인인증서야
IT동아 강일용 | 2014-03-25
http://it.donga.com/17704/


  1. "한국은 올해 81위로 가나(52위) 보츠와나(53위) 콜롬비아(63위) 캄보디아(65위) 등보다 순위가 낮다. 제조업을 포함한 한국 경제는 세계 14위의 경제 대국으로 성장했지만 한국 금융은 순위로만 보면 원조(援助) 경제 수준으로 떨어진 것이다." [본문으로]
  2. 한국의 금융기관이 여전히 대포통장을 방치하는 등 망가져 온 데에는 따로 이유가 있긴 하다. [본문으로]
반응형
저작자표시 동일조건

'그냥' 카테고리의 다른 글

문제 인정이 해결을 부른다  (0) 2015.10.16
젓가락 타령은 듣기 싫다  (0) 2015.09.15
액티브엑스가 위험할 수 밖에 없는 이유  (0) 2015.09.02

관련글

티스토리툴바