한국인이라면 TV를 보다가 맥주 혹은 소주 CF에서 모델이 얼음장 같이 차갑게 한 맥주나 소주를 입에 털어넣자마자 바로 목 구멍 뒤로 넘긴 뒤 "캬~ 바로 이맛이야" 하는 것을 본 적이 있을 것입니다.  


그리고 술이라하면 어련히 저렇게 마셔야 하는것인줄 알았습니다. 

'Miscellaneous' 카테고리의 다른 글

한번도 "진짜" 술을 마셔보지 못하는 한국인  (0) 2018.08.23
Posted by Retina_Precise

댓글을 달아 주세요


국내에서 전자금융거래 서비스를 이용하려면, 사용자(client)는 자신의 '인증서 파일(digital certificate)'을 서버에게 제시해서 자신이 'XXX'가 맞다는 것을 증명해야만 합니다. 

(공인인증서 FAQ - http://opennet.or.kr/1789 , 액티브X의 정확한 개념 설명 - http://openweb.or.kr/?page_id=1028 참조)

 

그러나 금융거래에 필요한 당사자 신원확인(authentication)을 ‘인증서’(digital certificate)로만 해야 하는 것이 아닙니다. 인증서는 오히려 이제는 낙후된 authentication 기술이라고 평가됩니다. 다양한 최신 authentication(본인확인) 기술의 채용을 차별없이 보장, 권장해야 할 정부기관 금융위원회가 ‘인증서’에 집착하면서 이러쿵 저러쿵 하는 것도 우습기는 마찬가지 입니다(certificate 보다 더 나은 authentication 기술이 많기 때문).

 

“인증(authentication)”과 “인증서(certificate)” 라는 두 단어가 우리말 번역 용어로는 ‘비슷’하긴 하지만 실제로는 상이한 뜻을 갖고 있을 뿐더러, 인증서는 무수히 많은 본인확인(인증) 기술 중 하나에 불과한 것입니다. 

(공인인증서 논란과 해법 - http://opennet.or.kr/3996 , 기술적 배경 설명 - http://openweb.or.kr/?p=57 참조)

 

게다가 한국의 클라이언트 인증서인 '공인인증서 파일'은 지구상 어떤 웹브라우저도 인식할 수 없는 위치(NPKI 폴더)에 저장되어 있기 때문에 추가 프로그램들(eg. 액티브 X)을 설치해야 이용 할 수 있는데, 이런 '잡다한 프로그램들의 설치'는 한국을 악성코드 감염률 전세계 1위 국가로 만들고 있습니다.

( 공인인증서의 허술함을 이제는 인정할때 - http://openweb.or.kr/?p=6554 , 공인인증서 진실게임 - http://opennet.or.kr/2864 참조) 








사용자가 이해하지도 못하는 잡다한 프로그램들을 "설치, 설치, 설치" 하게끔 하는 것은 사용자들의 이용 습관을 악성코드 감염에 최적화되도록 끝없이 반복 훈련 시켜주고 있는 것입니다.

이렇게 사용자의 이용 행태가 위험하게 잘못 형성되게 되면, 어떤 최신 기술을 도입해도 무용지물이라는 것이 보안의 기본 상식입니다.




즉, 한국의 결제 시스템의 진짜 문제는 단순히 '불편하다'를 넘어서 '매우 위험하다'는 것입니다. 



•인증서 암호, 다시 생각하기 - http://openweb.or.kr/?p=3988

 

•인증서 기술의 원리 설명 - http://openweb.or.kr/?page_id=38

 

위 링크의 글들을 읽어보시면 컴퓨터 관련 유용한 정보들을 얻으실 수 있을겁니다~


ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ





위 글은 2014년을 기준으로 작성되었습니다. 천송이 코트 사건 이후로 공인인증서 사용 강제 규정은 다행이 사라지게 되었지만, 한국의 기형적인 금융 보안 환경은 조금도 나아지지 않았습니다. 그 이면에는 한국 금융업자(은행, 카드사, 보험사)들의 치밀한 계산이 깔려있기 때문입니다.



"액티브 X"가 한국에서만 사라지지 않는 진짜 이유 를 알고 싶으시다면 다음 글을 꼭 참조해 주시기 바랍니다.



 "액티브 X"를 끝까지 포기할 수 없는 진짜 이유! ★ -  http://reflectiononly.tistory.com/7 








ps. 도움이 되셨다면 추천 버튼 한번 꾸~욱  :-)


Posted by Retina_Precise

댓글을 달아 주세요

  1. 홍길동 2017.05.20 17:21 Address Modify/Delete Reply

    도대체 무슨 사이트 이길래 커피빈 와이파이 첫 접속 시 이게 뜨냐 ㅅㅂ




많은 한국인들이 "액티브 X"로 인해 엄청난 고통을 겪으며 깊은 빡침을 느끼지만, 실제로 무엇이 이런 기형적인 환경을 만들었는지는 제대로 알지 못합니다.




외국에서는 찾아볼 수 없는 "액티브 X" 가 한국에서만 아직도 활개치고 있는 가장 큰 이유는 <전자금융거래법 제 9조 2항: 이용자 중대과실 조항> 때문입니다.  


( ※ "소비자가 고의성이 전혀 없이 한 행위일지라도 소비자의 중대과실이라고 볼 수 있기 때문에, 금융업체가 고객에게 보상해 주지 않아도 된다.”는 선진국에선 찾아볼 수 없는 독소조항을 슬며시 넣어둔 것입니다. )




한국 - 금융 사고 발생시 소비자 책임

-

한국의 現 금융 보안 시스템(ex. 공인인증서)은 고객에게 보안 책임을 떠넘깁니다. 전문지식이 없는 일반인이 해커로부터 자신의 열쇠(보안카드, 공인인증서 암호)를 지키는 것은 사실상 불가능한 것임을 분명히 알고 있음에도 한국 금융업자들은 고객에게 접근매체(공인인증서, 보안카드)를 던져주고 그 관리 책임을 지우는 것입니다.

즉, 3살짜리 젖먹이(일반 유저)한테 집 열쇠를 쥐어준 뒤, "열쇠 잘 관리해~ 만약에 조직폭력배(전문 해커)한테 잘못걸려서 열쇠 뺏기고 집 털리면, 너의 관리 부실 책임이야~ 알겠G?" 이러는 것과 같은 형태입니다. 

따라서 고객이 해킹(보이스피싱, 스미싱, 파밍)으로 인해 열쇠를 뺏기고 전자금융사기 피해를 당하게 되면, '고의성'이 전혀 없이 한 행동임에도 불구하고 고객의 '중대한 과실'로 책임을 돌린 뒤 손해 배상을 해주지 않습니다. 

 


선진국 - 금융회사(은행, 카드사) 책임

-

반면 "전문지식이 없는 일반인은 해커에게 속아 넘어가 자신의 열쇠를 넘겨줄 수 밖에 없고, 따라서 그것에 대해 책임을 물어서는 안된다"는 것이 외국의 보안 전문가들이 갖고 있는 기본 상식이기 때문에, 선진국에서는 소비자에게 중요 접근매체(공인인증서)를 던져주고 관리책임을 떠넘기는 한국식 보안시스템을 운용하지 않습니다. 대신, 서버(은행, 카드사)측이 빅데이터 분석 및 인공지능(AI)을 기반으로한  '이상거래 탐지 시스템 (FDS)'  솔루션을 운용함으로써 보안을 철통같이 유지하고 있습니다. 

FDS 솔루션 자체가 서버쪽에서 클라이언트들의 거래 패턴을 분석해서 고객의 신원을 정확히 파악(인증, Authentication)해야 하는 개념이기 때문에, 만약 전자금융사고가 발생하면 '고객의 과실' 여부는 조금도 따지지 않고 해당 금융업체가 고객에게 철저히 손해배상을 해주게 됩니다. 전문지식이 없어 해커에게 속수무책으로 속아 넘어갈 수 밖에 없는 일반인을 보호하는 겁니다. 



※ 참고: Zero-Liability Protection 정책 


< 미국의 경우에는 'Zero-Liability Protection'이라는 정책을 두어 소비자들을 보호하고 있다. 제도에 따르면 신용카드나 직불카드가 분실되거나 온라인 또는 오프라인 상에서 도용된 경우 이것이 고의로 행동만 아니라면 이용자는 피해를 보상받게 된다. 자세히 설명하면 카드가 분실됐거나 도용된 사실을 안지 2 이내에 신고하면 소비자는 최대 $50까지만 책임을 지며, 2일을 넘겨 신고했다 하더라도 60 이내에만 하면 최대 $500까지만 책임을 지게 된다. 소비자가 보안프로그램을 설치했는지 또는 칠칠맞게 보이스 피싱(Voice Phishing) 또는 파밍(Pharming) 사기에 당해 보안카드 번호를 몽땅 입력하지 않았는지 등은 따지지 않는다. 피해 사실에 대한 과실 증명을 소비자에게 요구하는 경우 또한 없다. >




냉장고, 빌딩 등 온갖 사물들이 인터넷으로 연결되는 사물 인터넷 시대에 해킹 기술 또한 나날이 발전하고 있습니다. 이러한 시대에 일반 개인 스스로가 자신의 열쇠(보안카드,공인인증서 암호)를 고도의 훈련을 받은 해커로부터 지켜내는 것은 어렵다, 아니 사실상 불가능하다는 것이 전세계 보안 전문가들이 모두 인정하고 있는 사실입니다.


아무것도 모르는 것이 당연한 일반 유저들에게 "너가 부주의해서 해커에게 속아 넘어갔으니 [= 네 보안카드, 공인인증서 암호를 바보같이 해커한테 전부 불러줬으니],  너가 잘못한것이다!" 이러는 곳은 한국 밖에 없습니다. 







✔︎ 결론 


국내 금융업자들은 '부정한 사용자(해커)'인지 '진짜 사용자(고객)'인지 정확히 신원확인하는 것에 크게 신경쓰지 않습니다. 그들이 신경쓰는 것은 오직 "어떻게 하면 최소한의 비용으로 우리가 법적 책임을 회피할 수 있는 시스템을 구축할 수 있을까" 입니다.


하지만 한국도 선진국들처럼 전자금융사고 발생시 고객의 '고의성' 만 없다면 '과실 여부' 에 상관 없이 금융업체가 피해를 전적으로 보상하게끔 전자금융거래법을 개정한다면, 국내 금융업자들도 어쩔 수 없이 < 액티브X 및 공인인증서 > 를 포기하고 첨단 보안 기술에 막대한 돈을 투자할 수 밖에 없게 됩니다. 


물론 비용 절감에 혈안이 되어 있는 국내 금융업자들(은행, 카드사)의 엄청난 로비로 인해 그렇게 되기는 쉽지 않을 전망입니다...(ㅜ.ㅜ)



 전자금융거래법 < 이용자 중대과실 독소조항 > 이 존재하는 이상, "액티브 X & 공인인증서" 는 한국 소비자들과 영원히 함께할 것입니다. 





✔︎ 간략히 3줄 요약


  전자금융거래법에 <이용자 중대과실 조항=독소조항>을 슬쩍 끼워놓은 뒤 “공인인증서-액티브 X" 솔루션 사용

 

--> 매년 막대한 금융사기 피해자 발생,  but 독소조항을 활용해 전부 고객의 관리부실 책임으로 떠넘김


--> 허술하지만 저렴한 “공인인증서-액티브 X" 솔루션을 계속 사용함으로써 ~ !






✔︎ (꼭 읽어봐야 할) 참고 자료


• 전자금융거래법 제9조 2항 "전자금융사고가 이용자의 '고의'가 아닌 경우에도, 금융업체는 사고 책임을 이용자에게 전가할 수 있다" - http://biz.newdaily.co.kr/news/article.html?no=10071132


• 생체보안인증? 그래 봤자 고객 책임! - http://www.ytn.co.kr/_ln/0102_201608091601056959 


• 인터넷뱅킹 털려도 보상안해준다고?... 전자금융사기 판례 들여다보니 - http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=277&aid=0003386192


• '전자금융 피해' 한국 '고객 책임'... 미국 '은행 과실' 우선 (jtbc 뉴스룸) - http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=437&aid=0000059844


• "전자금융거래법, 사실상 금융업자 보호법"... '고객과실' 독소조항으로 인해 피해자들 단 한 건도 보상받지 못해 - http://www.dt.co.kr/contents.html?article_no=2017021602100251800001





해당 글은 자유롭게 퍼가실 수 있으니 최대한 널리널리 알려주세요! 감사합니다 :-)





Tag.   #전자금융거래법   #이용자중대과실조항   #독소조항   #고객과실   #책임회피   #떠넘기기   #비용절감







Posted by Retina_Precise

댓글을 달아 주세요

  1. 브랜드미 2015.09.26 23:51 신고 Address Modify/Delete Reply

    좋은 내용 잘 보고 갑니다.ㅎ
    정말 "잡다한 프로그램들의 설치'는 한국을 악성코드 감염률 전세계 1위 국가로 만들고 있습니다."는 매우 공감되네요.
    그러다 보니 크롬을 주로 사용하고 있지만 은행업무나 공인인증서 업무를 이용할때면 익스플로러를 다시 쓰긴 하는데 그것도 정말 불편하고.ㅠㅠ
    win10 에서는 ActiveX를 없앴다고 한는데. 안써봐서 어떨지 모르겠네요.ㅎ

    • Retina_Precise 2015.09.27 00:14 신고 Address Modify/Delete

      감사합니다~
      많이 불편해도 안전하기만 하다면 그나마 괜찮은데, 한국의 現 금융보안 시스템은 불편하긴 매우 불편하면서 동시에 보안도 매우 취약하다는 것이 큰 문제이지요.
      사고 발생시 소비자에게 책임을 쉽게 전가할 수 있는 장점(?)이 있어서 계속 유지 되고있는데 하루빨리 개선되었으면 합니다!

  2. yubly 2017.01.01 22:09 Address Modify/Delete Reply

    너무 좋은 글이에여~ 감사합니다 멋집니다!

    • Retina_Precise 2017.01.04 01:56 신고 Address Modify/Delete

      네 감사합니다~ 전자금융거래법이 개정되어서 선진국들처럼 "소비자의 과실 여부"에 상관 없이 금융업자가 책임을 지도록 바뀌길 바랍니다.

  3. jackjack 2017.02.12 07:11 Address Modify/Delete Reply

    it공부하는 학생입니다. 지금까지 단지 실력이 안돼서 active x를 지킨줄 알았는데

    실상 중요한 문제는 다른거였네여.. 이런점에서 놀라고 좋은 글덕분에 구체적인 문제점을 알게되었네요.

    좋은글 감사합니다!!!

    • Retina_Precise 2017.02.12 20:59 신고 Address Modify/Delete

      기형적인 한국 보안 시스템의 근본 원인은 "금융업자들의 비용 절감" 때문입니다.

      해킹 피해가 발생해도 "고객의 중대한 과실"로 떠넘겨버릴 수 있으니 외국 기업들처럼 매년 수천억원씩 첨단 보안기술에 투자할 필요가 없는것이죠. 허술하기 짝이 없지만 비용이 거의 들지 않는 < 액티브 X 및 공인인증서 > 솔루션을 계속해서 사용하는 것이 비용절감에는 최고거든요.

      만약 전자금융거래법 < 제9조 2항:이용자 중대과실> 독소조항 을 없애버리면 국내 금융업자들도 외국처럼 비용이 많이 드는 제대로 된 보안 솔루션을 도입할 수 밖에 없게 됩니다. 안 그러면 지금처럼 하루가 멀다하고 금융사기피해가 끊임없이 발생할 것이고, 그때마다 고객에게 막대한 보상금을 지불해야 할 테니까요.

  4. 이름 2017.02.19 04:21 Address Modify/Delete Reply

    한국은 FDS 도입 불가합니다.
    FDS는 사후 탐지방식인데 이걸 도입하려면 실시간결제를 포기해야 합니다.

    • Retina_Precise 2017.02.19 21:32 신고 Address Modify/Delete

      KISA(국내 공인인증제도의 정점에 있는 한국인터넷진흥원), 미래부, 금융위, 금감원 그리고 공인인증업체들이 계속 되풀이하는 주장들이 있습니다. 그런 주장들이 참(true)인지, 거짓(false)인지를 정리해 보았습니다.

      7. “외국은 실시간 이체가 안되지만, 한국은 실시간 이체가 된다. 따라서 공인인증서 같은 ‘강력한’ 보안수단이 필요하다.”
      거짓(false)

      외국은 실시간 이체가 안된다는 것도 거짓(false)이고, 공인인증서가 ‘강력한’ 보안 수단이라는 것도 거짓(false)입니다. 거짓(false) 진술을 두개 연결한다고 해서, 그 진술이 참(true)이 되지는 않습니다.

      인터넷으로 돈을 ‘즉시로’ 간편하게 주고받는 기술로 등장한 것이 페이팔입니다. “Paypal”이란 말 자체가 친구(pal)에게 돈을 지급(pay)하는데 사용하는 서비스란 뜻입니다. 이 서비스가 워낙 인기가 있으므로 미국 은행들은 굳이 위험하고 무모한 실시간 계좌이체 서비스를 내놓을 이유가 없는 것입니다. 이제 구글은 페이팔보다 더 간편하게 친구, 지인, 가족들에게 돈을 ‘즉시로’ 송금할 수 있는 구글월렛 서비스를 시작했습니다. 이메일 첨부파일 보내듯, “돈”을 ‘실시간’으로 보내는 시절이 시작된 것입니다.

      참조: 공인인증서 진실게임 - http://opennet.or.kr/2864

  5. 2017.09.03 19:03 Address Modify/Delete Reply

    뭔가 무조건적인 비판만 들어가있는것 같네요..

    물론 우리나라가 잘하고 있다는 것은 아니고 고쳐야 할 점임은 분명합니다. 끊임없이 노력해서 바꿔야 할 것입니다.

    현 체제를 바꾸는데 드는 비용과 노력은 매우 클 것이며 한번에 바꾸는 것도 매우 힘들것입니다.

    외국은 처음부터 Active X 기술이 필요하지 않았습니다. 하지만 미국의 갑질에 의해 당시 기술력이 부족했던 우리나라는 보안 시스템을 구축하기 위해 울며 겨자먹기로 Active X 기술을 도입할 수 밖에 없었고 이미 구축된 시스템을 갈아엎는데는 많은 노력을 필요로 할것입니다.

    공인인증서 보안이 엄청 허술한것도 아닙니다. 엄청 약했다면 도입을 안했을거고 했어도 난리가 났겠지요.

    아직 바꾸지 못한 이유를 기업들의 비용절감으로 덮어씌우는 것은... 약간 섣부르다고 보는데..

    어떻게 생각하시나요? :|

    • Retina_Precise 2017.09.03 21:14 신고 Address Modify/Delete

      < 이상 금융거래 탐지 시스템(FDS)까지 최저가 낙찰로 면피 일관 - http://www.dt.co.kr/contents.html?article_no=2015043002100151800001 >

      위 기사를 읽어보시면 고객의 자산을 보호하기 위해 반드시 필요한 최소한의 예산조차 한푼이라도 아껴보고자 하는 한국 금융업자(은행,카드사,보험사)들의 "강력한" 의지를 확인하실 수 있을 겁니다.

      즉, 한국 금융업자들이 구축해놓은 FDS 솔루션은 단순히 금융사고 발생시 책임 회피(면피)하기 위한 용도이기 때문에 선진국의 페이팔, 알리바바 같은 정상적인 기업들이 사용하는 제대로된 FDS 솔루션과는 비교하기 힘든 처참한 수준입니다.

      결국 금융사고 발생시 그 피해는 고스란히 한국 소비자에게 돌아오게 됩니다. 실제로도 한국에서는 매년 최소 수천명의 금융사기피해자가 발생하고 있지만, 전부 고객의 관리부실 책임으로 떠넘긴 뒤 보상해 주지 않고 있습니다.

  6. 김찬욱 2017.11.14 21:58 Address Modify/Delete Reply

    맞는 말씀이십니다.

  7. 먹튀 검증 2018.08.04 12:40 신고 Address Modify/Delete Reply

    잘보고갑니다~