본문 바로가기

웹 표준

"액티브 X" & "공인인증서"에 대한 기술적 해설!


국내에서 전자금융거래 서비스를 이용하려면, 사용자(client)는 자신의 '인증서 파일(digital certificate)'을 서버에게 제시해서 자신이 'XXX'가 맞다는 것을 증명해야만 합니다. 

(공인인증서 FAQ - http://opennet.or.kr/1789 , 액티브X의 정확한 개념 설명 - http://openweb.or.kr/?page_id=1028 참조)

 

그러나 금융거래에 필요한 당사자 신원확인(authentication)을 ‘인증서’(digital certificate)로만 해야 하는 것이 아닙니다. 인증서는 오히려 이제는 낙후된 authentication 기술이라고 평가됩니다. 다양한 최신 authentication(본인확인) 기술의 채용을 차별없이 보장, 권장해야 할 정부기관 금융위원회가 ‘인증서’에 집착하면서 이러쿵 저러쿵 하는 것도 우습기는 마찬가지 입니다(certificate 보다 더 나은 authentication 기술이 많기 때문).

 

“인증(authentication)”과 “인증서(certificate)” 라는 두 단어가 우리말 번역 용어로는 ‘비슷’하긴 하지만 실제로는 상이한 뜻을 갖고 있을 뿐더러, 인증서는 무수히 많은 본인확인(인증) 기술 중 하나에 불과한 것입니다. 

(공인인증서 논란과 해법 - http://opennet.or.kr/3996 , 기술적 배경 설명 - http://openweb.or.kr/?p=57 참조)

 

게다가 한국의 클라이언트 인증서인 '공인인증서 파일'은 지구상 어떤 웹브라우저도 인식할 수 없는 위치(NPKI 폴더)에 저장되어 있기 때문에 추가 프로그램들(eg. 액티브 X)을 설치해야 이용 할 수 있는데, 이런 '잡다한 프로그램들의 설치'는 한국을 악성코드 감염률 전세계 1위 국가로 만들고 있습니다.

( 공인인증서의 허술함을 이제는 인정할때 - http://openweb.or.kr/?p=6554 , 공인인증서 진실게임 - http://opennet.or.kr/2864 참조) 








사용자가 이해하지도 못하는 잡다한 프로그램들을 "설치, 설치, 설치" 하게끔 하는 것은 사용자들의 이용 습관을 악성코드 감염에 최적화되도록 끝없이 반복 훈련 시켜주고 있는 것입니다.

이렇게 사용자의 이용 행태가 위험하게 잘못 형성되게 되면, 어떤 최신 기술을 도입해도 무용지물이라는 것이 보안의 기본 상식입니다.




즉, 한국의 결제 시스템의 진짜 문제는 단순히 '불편하다'를 넘어서 '매우 위험하다'는 것입니다. 



•인증서 암호, 다시 생각하기 - http://openweb.or.kr/?p=3988

 

•인증서 기술의 원리 설명 - http://openweb.or.kr/?page_id=38

 

위 링크의 글들을 읽어보시면 컴퓨터 관련 유용한 정보들을 얻으실 수 있을겁니다~


ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ





위 글은 2014년을 기준으로 작성되었습니다. 천송이 코트 사건 이후로 공인인증서 사용 강제 규정은 다행이 사라지게 되었지만, 한국의 기형적인 금융 보안 환경은 조금도 나아지지 않았습니다. 그 이면에는 한국 금융업자(은행, 카드사, 보험사)들의 치밀한 계산이 깔려있기 때문입니다.



"액티브 X"가 한국에서만 사라지지 않는 진짜 이유 를 알고 싶으시다면 다음 글을 꼭 참조해 주시기 바랍니다.



 "액티브 X"를 끝까지 포기할 수 없는 진짜 이유! ★ -  http://reflectiononly.tistory.com/7 








ps. 도움이 되셨다면 추천 버튼 한번 꾸~욱  :-)