Open Web

오픈웹 소송의 ‘법리적’ 의미

youknowit — Thu, 22 Oct 2009 10:38:36 +0000

약 3년 가까이 소요된 오픈웹 소송은 원고 패소로 결론이 났습니다. 이 소송은 인터넷 기반의 어떤 서비스를 제공하는 자를 상대로 해서, 이용자가 선택한 특정 이용환경에서도 서비스를 제공해 달라는 요구를 한 것입니다. 법원은 서비스 제공자에게 그러한 “법률적” 의무를 지우는 것은 적절하지 않다고 판단하였습니다. 법원의 이러한 판단은 인터넷을 기반으로 이루어지는 다양한 서비스의 기술적 특성을 고려해 볼때, 법 제도와 법원의 [...]

오픈웹 소송 상고심 판결

youknowit — Sun, 20 Sep 2009 14:06:56 +0000

대법원에 상고한 오픈웹 소송의 판결 선고 기일이 9월24일(목) 오후2시 대법원 2호법정에서 있을 예정입니다. 대법원(http://www.scourt.go.kr) 나의 사건 검색 기능을 이용하시면 확인하실 수 있습니다. (사건번호는 2009다28998, 당사자는 금융결제원을 입력하시면 됩니다)

“한국형” 보안 기술의 취약점

youknowit — Wed, 05 Aug 2009 18:01:46 +0000

문제의 핵심은 “전자서명”에 있는 것 같습니다. 공무원들과 보안업체 종사자들은 전자서명이 부착된 거래가 더 안전하다는 “확신”을 가지고 있고, 지난 10여년간 한국웹은 바로 이 확신을 지탱해 주기 위하여 모든 이용자들이 ActiveX를 덕지 덕지 설치해 왔습니다. 그러나, 과연 이 “확신”이 기술적, 논리적 근거가 있는 것인지를 꼼꼼히 살펴 볼 필요가 있습니다. 첫째, 외국에는 이런 확신이 없습니다. 외국이 전자서명 기술을 몰라서, 전자서명 [...]

금융권의 오해

youknowit — Sat, 01 Aug 2009 13:57:12 +0000

지난 10여년 간 “우물 안 개구리” 식의 기술 선택을 고집해 온 금융권 (및 그들에게 보안 솔루션을 판매해 온 보안업계)의 반복된 주장은 7.23.자 시사저널에 잘 요약되어 있습니다 (http://www.sisapress.com/news/articleView.html?idxno=49587): 금융권에서는 ‘보수적으로 움직일 수밖에 없다’라고 강변한다. 전자금융거래법에 따르면 개인용 침입차단시스템과 키보드 해킹방지 시스템을 설치하도록 지시했다. 하지만 그런다고 해킹이 원천 봉쇄되는 것은 아니다. 한 지방은행 IT 부서 책임자는 “보안 문제로 [...]

오픈웹 소송 상고이유서

youknowit — Tue, 02 Jun 2009 00:27:07 +0000

항소심 판결은 http://lawlec.korea.ac.kr/up/appellate_judgment_kim.pdf 에 있습니다. 텍스트 버전은: http://openweb.or.kr/uploads/appellate_judgment_kim-utf8.txt (snowall 님께서 수고해 주셨습니다. 고맙습니다. http://snowall.tistory.com/1359 ) 5월22일 제출된 상고이유서는 http://lawlec.korea.ac.kr/up/2nd_appeal_kim_brief_pub.pdf 에 있습니다. 텍스트 버전은 여기: http://openweb.or.kr/uploads/2nd_appeal_kim_brief.txt 상고이유서는 5월25일에 금융결제원에 송달되었으므로, 곧 금융결제원의 답변서가 제출될 것입니다. 답변서를 받는 대로 게시하겠습니다.

금융권에 드리는 제안

youknowit — Mon, 18 May 2009 05:54:50 +0000

은행 거래의 절반 가량은 이미 온라인으로 이루어지고 있습니다. 앞으로 온라인 영업 부문의 중요성은 더욱 늘어날 것입니다. 은행 등 금융권은 과연 이 트렌드에 대처하는데 필요한 ‘역량’을 갖추고 있는지요? 큰 구도를 이해하고, 장기적 비전과 전략을 수립하는데에는 ‘경영학/인문학 배경’의 기획 인력이 생각해 낼 수 있는 수준의 막연한 플랜 만으로는 역부족일 것입니다. 금융권은 무엇보다도 분리 발주 능력을 스스로 갖추어야 한다고 [...]

국민은행 초기화면을 소개합니다!

youknowit — Tue, 05 May 2009 00:53:58 +0000

4월부터 국민은행의 초기 화면이 바뀌었습니다. 초기화면 한복판에 “대형 플래시”를 틀어대는 국내 은행들의 천편일률적 행태와는 확연히 다릅니다. 국민은행 초기 화면 중앙에 제시되는 세개의 메인 이미지는 고작 6k bytes 남짓되는 매우 작은 사이즈의 jpg 파일입니다. 그러나 시각적으로는 이 세개의 메인 이미지가 “시선집중” 효과를 가집니다. 이 이미지별로 국민은행은 주요 메세지나 마케팅 포인트를 배치합니다. 웹사이트 네비개이션은 크게 두 곳의 메뉴바(menu bar)로 [...]

오픈웹 논란에 대한 단상

youknowit — Sat, 02 May 2009 04:22:06 +0000

4월 한달 간 오픈웹에 대한 논란이 뜨거웠습니다. 그 배경과 저의 단상을 적어 봅니다. 배경 오픈웹이 MS IE 외의 웹브라우저나 윈도우 외의 운영체제에서도 온라인 뱅킹 등을 할 수 있게 해달라는 요구를 제기하는 것이라고 여겨오셨던 분들은, 2월18일부터 오픈웹에 등장하기 시작한 문제제기(안전한 온라인 뱅킹을 위하여)가 보안업체의 “영업/경영 판단”에 집중하자, 큰 혼란을 겪은 듯 합니다. 그동안 파이어폭스 용 “금융보안 플러그인”을 열심히 개발하여 [...]

Safe Bank 제안 이유

youknowit — Wed, 29 Apr 2009 02:57:19 +0000

국내 인터넷 뱅킹 보안의 기술적 선택은 다음과 같이 정리할 수 있습니다: (공인)인증서 개인키와 암호가 유출 안되면, 사고가 아예 발생하지를 않고(부인방지 기능이 필요 없고), 개인키와 암호가 유출되면(사고발생 가능성이 생기면), 인증서는 부인방지 기능을 발휘하기 어렵습니다. 키보드 보안 프로그램 키보드 보안 프로그램을 설치해도, 고객 개인키를 공격자가 복사해 가는 것을 막을 수는 없고, 다른 사이트(포털, 블로그, 쇼핑몰 등)에서 고객이 키보드로 입력하는 값을 보호해 줄 수도 [...]

Safe Bank 를 소개합니다!

youknowit — Tue, 28 Apr 2009 07:10:47 +0000

저는 보안 전문지식이 없습니다. 그러나, 약간의 법률 지식은 있고, 분쟁이 어떤 형태로 발생하며, 당사자들이 어떤 식으로 주장을 내세우며, 법원이 어느 부분을 주목하는지에 대해서는 비교적 더 많이 생각해 볼 기회가 있습니다. 제가 이해하기 어려웠던 부분은, 은행의 배상책임을 덜기 위하여 인증서 사용을 “강제”할 수밖에 없다는 주장이었습니다. 이 주장은 기본적으로 “법률적” 이유를 동원하여, 보안 기술적 선택을 설명하는 구조를 가지고 [...]

이탈리아 인터넷 뱅킹, 어떻게 하나?

youknowit — Sun, 26 Apr 2009 05:27:46 +0000

NamX 님께서 수집해 주신 “세계 34개국 은행 사이트 디자인 비교 조사” 중, 지중해 5개국 편에 수록된 이탈리아의 은행들의 “로그인 페이지”를 둘러 보았습니다. 주소는 다음과 같습니다. https://www.bpmbanking.it http://www.intesasanpaolo.com https://hb.mps.it/PaschiHome/LOGIN2.0/RTLOGIN/ASPX/RTLoginOTP01.aspx https://online.unicreditbanca.it/login.htm https://www.webank.it https://ibbweb.tecmarket.it/tmibbwebsecurity/05188/login.aspx?lang=it-IT 공통점은 물론, 프랑스 은행들의 경우와 같습니다. https 접속을 합니다(산 빠올로 은행의 경우, 시작 페이지는 http 접속을 하고, 그 페이지에 아이디와 비밀번호를 입력하는 창이 있으나, 확인을 누르는 순간 https 로 접속하게 됩니다). 로그인을 위하여 [...]

프랑스의 인터넷 뱅킹, 어떻게 하나?

youknowit — Sat, 25 Apr 2009 13:25:27 +0000

지난 며칠 동안 NamX 님께서 정말 소중한 작업을 해 주셨습니다. 세계 각국 은행 사이트들의 첫페이지 디자인을 비교할 수 있도록, 관련 자료를 수집하시고, 링크 뿐 아니라, 스크린 샷 썸네일까지 만들어 주셨습니다. 은행 사이트가 고객들에게 무슨 서비스를 어떻게 제공해야 하는지에 대한, 대단히 원론적이지만, 엄청나게 중요한 성찰의 기회를 주신 것으로 저는 생각합니다. 지금껏 별 반성 없이 타성적, [...]

(공인)인증서가 과연 어느 정도 유용한가?

youknowit — Fri, 24 Apr 2009 15:07:49 +0000

(공인)인증서는 두가지 기능이 있습니다. 하나는 보안접속을 하는 기능입니다. 다른 한 기능은 거래 내역을 서명하는 기능입니다. 보안접속만 하면 된다면, 아예 플러그인이 필요 없습니다. 보안접속만이 문제된다면 웹브라우저에 당연히 포함된 모듈(프로그램)로 구현하면 됩니다(https 접속: 익명 사용자 SSL/TLS 접속이건, 사용자 인증 SSL/TLS 접속이건 간에). 그러나, 거래 내역을 전자서명하는 기능은 별도의 플러그인이 필요합니다(액티브X가 되었건, 서명된 자바 애플렛이건, 파이어 폭스 확장이건 [...]

영국의 인터넷뱅킹, 어떻게 하나?

youknowit — Wed, 22 Apr 2009 03:24:32 +0000

우리 금감원 공무원분들께서는 “외국에 비하면 한국의 인터넷 뱅킹이 앞서간다”고 생각하십니다. 그 분들이 생각하는 “외국”은 “미국”이고, “앞서 간다”는 이유는 미국의 경우 계좌 이체를 위해서는 Off-line 을 통한 확인 절차가 있기 때문입니다. 그러나, 외국이 미국만 있는 것은 아니므로, 영국의 인터넷 뱅킹을 간략히 소개하겠습니다. 바클레이즈 로이즈 RBS (Royal Bank of Scotland) HSBC UK 핼리팩스 코옵 뱅크(Cooperative Bank) 등을 둘러보았습니다. 먼저, 영국의 은행들도 한국과 마찬가지로 계좌이체, 공과금 [...]

중국은행은 어떻게 하나?

youknowit — Tue, 21 Apr 2009 09:02:33 +0000

중국은행(Bank of China)의 웹 주소는 https://ebs.boc.cn 입니다. 중국은행은 MS IE 웹브라우저에서만 인터넷 뱅킹을 제공한다는 점에서는 한국의 은행들과 비슷합니다. 그러나, 아래에서 보듯이 한국의 은행들과는 매우 중요한 차이가 있습니다. 첫째, 접속은 https 로 합니다. RC4알고리즘으로 128bit 키길이로 암호화하여 교신합니다. 암호화 프로토콜은 SSL3/TLS1 을 사용합니다. (IE6.0 으로 접속가능한지는 테스트 해보지 않았습니다. 혹시 IE6.0 을 사용하시는 분은 접속이 가능한지를 댓글로 알려주시기 [...]

DDoS 공격을 당했습니다.

정태영 — Mon, 06 Apr 2009 10:33:34 +0000

안녕하세요. 저는 openweb이 돌고 있는 서버의 주인 되겠습니다. 뭐 제목 그대로 어제 저녁 UDP Flood attack을 통한 DDoS 공격이 있었습니다. 시기적으로 오픈웹과 관련이 있을거라는 생각이 많지만 뭐 증거는 없으니 더 긴 얘기는 하지 않기로 하죠. 누군가가 UDP를 통해 굉장히 많은 트래픽을 유발시켰고, 덕분에 호스트웨이에서 제 서버를 차단시켜버렸습니다. 어떤 상황인지 체크하기 위해 잠시 풀어줬던 동안 다시 한 [...]

보안업체가 해명해야 할 한국인터넷 뱅킹의 특이점

youknowit — Wed, 01 Apr 2009 02:43:51 +0000

많은 분량의 지엽적 논의를 담은 댓글에 묻혀서, 몸통과 줄기가 가린 듯 합니다. 보안업체 관계자들은 다음과 같은 “기본적 의문점”에 대하여 해명하시면 좋겠습니다. 1. 한국 인터넷 뱅킹 보안의 ‘특이점’ 외국의 인터넷 뱅킹에 관하여 제가 아는 한에서 말씀드립니다. 먼저, 가장 확실한 차이점은, 한국처럼 “아무 설명도 없이” 플러그인을 내려주고, 보안경고창이 뜨도록 설계된 외국의 은행은 없습니다. 이것은 상식을 벗어난 것입니다. 둘째, 언제나 최신 웹브라우저로 [...]

씨티은행이 내 컴퓨터에 설치하는 프로그램 ㅠㅠ

youknowit — Mon, 30 Mar 2009 11:44:46 +0000

씨티은행이 내 컴퓨터에 설치하는 프로그램은 하루가 다르게 바뀌는 군요. 약 열흘 전에는 이런 프로그램을 설치하였더랬습니다. 그런데, 오늘은 좀 다르군요. “XSafe” 와 “웹 가속기”는 슬그머니 빠졌네요. 왜 그랬지요? 뭔가 캥기는 것이라도… 아니면, 이 두 프로그램은 원래 포함돼서는 안되는 것인데, “실수로” 제 컴퓨터에 한번 설치해 봤나요? 아니면, beta 또는 alpha 버전인데, 실제로 VIP 고객들에게 배포하기 전에 “테스트 차원에서” 저같은 [...]