흔히 공인인증서가 NPKI 폴더에서 파일로 복사할 수 있는 것에 대해 공인인증서의 보안 문제를 비판하곤 하지만, 그에 대한 대안으로 (김기창 교수 주장처럼) 브라우저나 OS에 있는 인증서 저장 기능을 제시하는 건 올바른 대안 제시가 아니라고 생각한다. (물론 그렇게 하는 게 좋다. 하지만 그 점은 보안 때문이 아니라 편의성이나 OS 공통 인터페이스 사용이라는 문제에서 접근해야 할 것이다.) 얼마나 어려운가 차이는 있겠지만 결국 복사되는 건 마찬가지이기 때문이다. 아니 애초에 데이터 형태로 키를 만들어서 거기에 집어 넣는 것부터가 복사가 아니던가?
인증서를 공인했든 공인하지 않았든 컴퓨터에 들어 있는 한 모든 인증서는 같은 비판에 직면하게 될 것이다. 인증서의 복사를 근본적으로 막는 방법은 스마트카드나 TPM과 같이 인증서 자체를 하드웨어에서 읽지 못하게 만드는 것 뿐이다. 하지만 그게 우리가 원하는 미래인지는 모르겠다. 발급에 일정 비용이 반드시 필요하고 온라인에서 발급하는 건 불가능해질테니까.
애초에 인증서를 온라인에서 발급하는 것도 문제이다. 특히 재발급의 경우는 그렇다.지금까지 발생했던 온라인 금융 해킹에서 공인인증서 시스템을 우회했던 방법은 모두 개인정보를 취득한 다음 인증서를 재발급한 경우 아니던가? 하지만 마찬가지로 인증서의 오프라인 발급이 우리가 바라는 미래인지는 의문이다. 인증서를 잃어버리는 일은 너무도 흔하게 발생하니까 비용은 말할 수 없이 증가할 것이다.
그러면 공인인증서 시스템의 포인트를 어디로 잡을 수 있는 걸까? 저울질을 해 보자. 공인인증서 및 관련되어 설치해야 하는 액티브엑스의 불편함으로 인한 비용은 보안을 생각하면 감수할 만한 것이고, 인증서 복사를 근본적으로 막는 방법이나 인증서 허위 재발급을 막는 비용은 보안 위험을 감수하고서라도 감수할 수 없는 비용인가? 이 두 가지 저울질의 차이점은 후자의 경우 비용이 금융기관의 부담으로 돌아온다는 것이다. 오프라인 창구 업무가 말도 안 되게 늘어날 것이고 전에 없던 하드웨어 원가도 들어간다.
보안 회사들 역시 상식적이라면 문제에 대한 대응 방법으로 하드웨어 토큰 사용이나 재발급을 막는 걸 주장했을 것이다. 단지 금융 회사들은 직접적인 비용 부담 때문에 받아들이지 못했을 것이다. 그래서 대안은 사용자 컴퓨터에 백신과 방화벽을 설치하는 것과 같이 컴퓨터 보안을 강화하는 장치를 잔뜩 추가한 것이다. 그나마 PC에서는 하드웨어 토큰을 사용할 수도 있는데 스마트폰에서는 그것도 안 된다. 스마트폰에서 동작하는 백신 앱도 아주 제한된 일밖에 하지 못하고 심리적인 안정을 줄 뿐이다. (이제부터 안심할 수 없게 됐다면 죄송.)
부디 기본으로 돌아갔으면 좋겠다. 진짜 보안을 고려했다면 애초에 이 정도로 불편해지지도 않았을 것이다.
2014년 3월 7일 금요일
2007년 2월 25일 일요일
만국 공통
직접 들은 말들 모음:
혹시 "한국 차들은 속도 안지켜", "한국 여자들은 왜 그래", "한국 공무원들은 하여간 느려터졌어"라는 말을 들은 적이 없는지? 혹시 이렇게 "한국 xxx은..."이라는 말들을 너무 자연스럽게 받아들이는 건 아닌지?
길에 돈이 떨어져 있어도 안 줍고, 객관식 문제 답을 모르면 비워둔다고? 어떤 문제이든 "문화적 차이"를 그 원인으로 돌리면 그 문제는 아주 간단해 진다. 문화는 그냥 현실이니까, 그리고 우리나라가 오래동안 그렇게 해 온 현실이니까, 더이상 원인을 탐구할 필요도 없고 그 문제를 해결할 방법도 마땅치 않다. 이렇게 문제의 원인을 간단하게 만들기 위해, 사람들은 흔히 "한국에서는", "한국 사람들은", "외국에서는" 이라는 말을 외국의 현실과 제대로 비교해 본 것도 아니면서 너무도 손쉽게 사용한다. (그게 근거없는 한국 비하이든, 근거없는 외국 비하이든 간에...)
천만의 말씀이다. 돈도 주워가고, 객관식 문제는 당연히 찍는다. 과연 "선진국에선" 엘리베이터에서 닫힘 버튼을 안 누를까? 인간은 어디에 살든 그렇게 크게 다르지 않다.
이탈리아인: 역시 여기에서도 제한속도 60이면 70으로 달리는 군. 나도 이탈리아에서 그정도로 달려.
아르헨티아인: 역시 다 제한속도보다 빨리 달리는 구나.
미국인: 제한속도보다 느리게 달리면 벌금 매기지 않아?
독일인: 아 여자친구랑 쇼핑 같이 하면 짜증나. 사지도 않을 거면서 여기저기 구경만 하고.
미국인: 그건 나도 그래. 어쩔 수 없어. 싫어도 같이 해 줘야 돼.
일본인: 근데 이거 정부기관이 처리하는 거라서 좀 느릴거야. 정부라는 건 느려터졌거든.
대만인: 우리 정부도 느려.
한국인: 당연히 한국 정부도.
일본인: 정부는 세계 어디에서나 다 느려.
혹시 "한국 차들은 속도 안지켜", "한국 여자들은 왜 그래", "한국 공무원들은 하여간 느려터졌어"라는 말을 들은 적이 없는지? 혹시 이렇게 "한국 xxx은..."이라는 말들을 너무 자연스럽게 받아들이는 건 아닌지?
길에 돈이 떨어져 있어도 안 줍고, 객관식 문제 답을 모르면 비워둔다고? 어떤 문제이든 "문화적 차이"를 그 원인으로 돌리면 그 문제는 아주 간단해 진다. 문화는 그냥 현실이니까, 그리고 우리나라가 오래동안 그렇게 해 온 현실이니까, 더이상 원인을 탐구할 필요도 없고 그 문제를 해결할 방법도 마땅치 않다. 이렇게 문제의 원인을 간단하게 만들기 위해, 사람들은 흔히 "한국에서는", "한국 사람들은", "외국에서는" 이라는 말을 외국의 현실과 제대로 비교해 본 것도 아니면서 너무도 손쉽게 사용한다. (그게 근거없는 한국 비하이든, 근거없는 외국 비하이든 간에...)
천만의 말씀이다. 돈도 주워가고, 객관식 문제는 당연히 찍는다. 과연 "선진국에선" 엘리베이터에서 닫힘 버튼을 안 누를까? 인간은 어디에 살든 그렇게 크게 다르지 않다.
2007년 2월 15일 목요일
클라이언트 컨트롤과 보안
액티브엑스 보안에 관한 행정 자치부의 답변 중에서 가장 문제가 되는 부분:
외국에서 보안상의 문제가 심각하지 않아서 PC에 대한 제어가 불필요한 게 아니다. 우리와 그들의 차이점은, 아무리 머리를 굴려도 PC를 "완벽히" 제어할 방법이 없다는 걸 그 사람들은 알고 있기 때문이다. (기술적으로 제어하기 어려우니 DMCA같은 법으로 제어하려고 하긴 하지만..)
보안 업체들은 분명히 불가능하다는 걸 잘 알고 있었을 텐데 왜 불가능하다고 말하지 못하고 현재와 같은 가짜 보안으로 눈가림을 한 것일까? 아니면 정부가 괜히 완벽하다고 오해한 걸까?
○ 완전한 안전성, 보안성을 확보하기 위해서는 민원인 PC에 대한 완벽한 제어, 위변조 방지 장치 등을 갖추어 놓아야 함
○ 외국에서는 이러한 보안상의 문제가 심각하지 않으므로 민원인 PC에 대한 제어 등이 필요치 않으므로 유사사례가 있을 수 없음
○ 외국에서는 이러한 보안상의 문제가 심각하지 않으므로 민원인 PC에 대한 제어 등이 필요치 않으므로 유사사례가 있을 수 없음
외국에서 보안상의 문제가 심각하지 않아서 PC에 대한 제어가 불필요한 게 아니다. 우리와 그들의 차이점은, 아무리 머리를 굴려도 PC를 "완벽히" 제어할 방법이 없다는 걸 그 사람들은 알고 있기 때문이다. (기술적으로 제어하기 어려우니 DMCA같은 법으로 제어하려고 하긴 하지만..)
보안 업체들은 분명히 불가능하다는 걸 잘 알고 있었을 텐데 왜 불가능하다고 말하지 못하고 현재와 같은 가짜 보안으로 눈가림을 한 것일까? 아니면 정부가 괜히 완벽하다고 오해한 걸까?
피드 구독하기:
글 (Atom)