Purengom's Monologue

이미 수차례에 걸쳐서 안심클릭을 비롯한 카드의 온라인 결제 체계가 허술하다고 말씀드렸습니다. 오만가지 키보드보안에, 해킹방지에 암호까지 해봤지만 결국 오늘 일제히 보도된바와 같이 뚫리고 말았지요.

사실 한국버추얼페이먼트(인터넷 안전결제를 만든 업체;BC카드 국민카드 등)한테 돈을 받아먹었는지, 일제히 안심클릭을 까고 있지만, 안심클릭(3D-Secure)가 뚫린것은 아닙니다. 사실 안심클릭을 쓸때 이래저래 깔라고 하는게 많아서 그렇지 안심클릭 기술 자체는 세계적인 표준으로, 비자카드,마스터카드, JCB인터내셔널 등 거의 대부분의 국제카드사가 제공하는 기술입니다.

물론 완전한 기술이라는 것을 의미하는 것은 아닙니다. '와~ 세계적인 카드사가 미는 기술이니까 킹왕짱!' 이란거 아닙니다. 여러가지 장단이 있고, 이에 대한 기술적인 상세에 관해서는 Wikipedia의 3D-Secure 항목을 참조해주십시오.  

여하튼 제가 하고 싶은건 이겁니다. 아무리 철통같은 보안책을 만들어봐야, 사용자가 무경계, 무자각이라면 대책이 없다는 것입니다.  이 사건에 관해서 YTN의 경우, 해킹에 의해서 노출당했다고 하고 있고, SBS의 경우에는 좀 현실적으로 '해킹 사이트'에 의해 노출되었다 라는데요(즉 한마디로 피싱입니다).

즉, 한마디로 해킹설과 피싱설으로 나뉘는데요. 둘 중 어느 하나가 됐던 안심클릭 자체의 문제는 아닙니다. 한발 더 나아가서, 사용자가 주의를 가했다면 전혀 발생하지 않았을 인재(人災)라는 것입니다. 왜 그럴까요?

우선 해킹설을 봅시다, 차라리 모든 국민에게 공짜 백신을 줘라에서도 언급했다시피, 일단 대다수의 국민들이 백신을 제대로 깔지도 않고 있고, 깔아놓고도 검사 조차도 안하는 경우가 태반입니다. 그저 결제나 은행 접속시에 나오는 백신이나 방화벽 하나만 믿고 앉아 있는게 현실이죠. 태반이 P2P 등을 통해서 정체가 불분명한 프로그램들을 다운받아서 아무런 의심없이 실행하고, 웹에서 받는 파일이 과연 안전한것인지, 설치하는 ActiveX가 정당한것인지, 접속하려는 사이트가 안전한 사이트인지 조차도 따지지 않습니다. 그러다보니 해킹툴 한둘 묻어서 오지 않는게 이상한 상황입니다.

그냥 깔라면 까는게 버릇이 되어 버렸습니다. 이건 사실 IT 및 금융업계의 탓도 적지 않습니다. 뭐든 하려면 일단 '깔아야 하니까' 그냥 진위 여부고 나발이고 없이 그냥 노란 줄이 나오면 '이 컴퓨터에 모든 사용자를 위해 설치'를 클릭하고 예를 눌러 설치를 하라고 세뇌를 시키고 있습니다. 사이트 인증서나 보안 서명 같은건 하지 않는 업체도 수두룩하고, 하더라도 이걸 확인하라고 당부하는 업체 또한 한군데도 못봤습니다.

피싱설도 여기에 연장선상입니다. 해외의 금융업체 사이트를 가면 화면에 이런게 나옵니다. 혹시 보신적 있는지 모르겠습니다. 없으신 분이 아마 구할은 될겁니다. 왜냐면 우리나라에서 이걸 하는 금융기관은 저 역시 한군데밖에 못봤기 때문입니다.

이게 뭐냐면 바로 사이트인증서 표시입니다. Verisign이라는 서버 인증서 회사가 '이 사이트는 이 회사의 사이트가 맞습니다'라고 인증해주는거죠. 다시 말씀드리지만, 이걸 하는 국내금융기관은 현 시점에서 발견하기로는 HSBC은행 뿐입니다(캡처한 사이트는 HSBC 은행 인터넷 뱅킹입니다). 이런 안전장치가 IE7 이후 버전을 비롯한 최신 브라우저에 기본으로 내장되어 있습니다. 물론 IE6에는 없습니다. 사실 그 버전이 나올때는 피싱 이라는 단어 자체가 존재도 안하던 시절입니다. No IE6를 개발자만 편하자고 외치는게 아닙니다. 제발 새 버전 까세요.

그리고 앞서서도 V3D Secure(안심클릭)이 완벽하지 않다고 하고 있는데 그 중요한 이유중 하나가 안심클릭 정보가 상점 혹은 은행 사이트가 아닌 별도의 사이트(기술적인 용어로 ACS 서버라고 합니다)를 통해 입력되는데, 그 주소가 경우에 따라(우리나라는 안그렇습니다만), 카드 회사 혹은 은행 주소가 아니라 피싱의 우려가 있다는 것입니다.

기본적으로 통장 비밀번호나 집 대문 잠금장치의 비밀번호를 아무대나 흘리고 다니지 않듯이, 자신이 인터넷으로 무언가 중요한 금융 정보를 사용한다면 적어도 자신이 믿을 수 있는 사이트에서 입력하고 있는가? 라는 기본적인 생각은 해야합니다. 특히, 안심클릭의 경우 본인확인메시지가 있습니다. 제가 아는 지인의 경우 이 메시지를 입력은 하라고 하니까 입력은 하는데 귀찮으니 딱 한글자 치고 말았더군요. 하지만 저는 말이 안되는 문장을 적어 놨습니다.

 
이게 피싱 방지용 이거든요? 간단하게 말해서 카드사에 안심클릭을 등록했을때 자신만이 알만한 문장을 입력해 두고 나중에 안심클릭창이 뜰때 이게 정말 카드사 안심클릭 창인지 확인하라고 만들어 둔겁니다. 카드사가 해킹되지 않은 이상, 본인이 카드사에 입력해둔 문장이 뜰리는 없으니까요. 만약 정말 그게 나왔는데 피싱이다 싶으면, 이땐 안심클릭 문제가 아니라 금융회사가 해킹당한 케이스니 정말 난리입니다만. 어찌됐던 이 또한 알려주는 회사가 없습니다. 그냥 치라고 하니 '아 이거 뭐야 짜증나게' 하고 대충 대충 치고 넘어가지 않을 수가 없는겁니다.  더불어, 이 역시 확인하는 개인은 극히 소수에 불과하죠.

즉, 모든것을 요약하면, 안심클릭 보안이 문제가 아니라, 사용자가 바보같을 정도로 무자각하기 때문이며, 그를 일깨울 금융업체가 할 짓을 태만히 하고 있기 때문입니다. 언론은 뭐하는겁니까? 정말 돈먹은겁니까?  

덧. 뉴스데스크를 보니 보안장치를 추가하겠다는군요. 또 뭘 할겁니까... 또 뚫린다니깐요. 아, 그리고 수사결과, 카드사 잘못이면 보상이 되지만 본인 취급소홀이면 보상 못받는데요. 인터넷 카드 결제 자유화, 할 수 있어! 에서 분명히 말했죠? 카드정보가 뚫릴지언데 비밀번호 '따위'가 노출 안될리가 없고, 그럴때는 카드사는 배째라 할거라고...  

Posted by 푸른곰

아이러니 하나, 전철로 오는 길에 나는 아이폰으로 일본 아마존에서 CD를 주문했다. 좋아하는 아티스트의 신규 앨범을 주문을 했다. 절차는 간단했다. 접속해서 사고자 하는 앨범을 고르고, 로그인 한다음 미리 입력된 주소지를 선택하고, 미리 입력된 카드를 선택하고, 주문을 확인하라고 한다. 결정 버튼을 누르면 주문 완료다. 결제는 발송전에 된다. 발송 준비에 들어가기 전에는 얼마든지 캔슬이나 정정이 가능하다. 시간은 넉넉잡고 1분이 안걸린것 같다.

어처구니 없지만, 일본에서 CD를 구매하는것 보다 한국에서 CD를 사는것이 더 어렵다. 그것이 만약 비 IE 브라우저거나, 모바일 환경이라고 감안하면, 한국에서는 거의 불가능에 가까우므로 '쨉'이 안된다. 한국에서 한국 CD를 사는것보다 일본 CD를 사는게 훨씬 편리한 엽기적인 광경. 전세계 어디를 가도 카드로 결제할때 비밀번호 입력하고 인증서 요구하는 엽기적인 광경은 없다.

아이러니 둘, CGV에서 영화표를 구매했는데, 여기서는 카드 번호와 비밀번호만 입력하면 결제가 가능하더라. 알고보니 CGV는 파이어폭스등 비 IE 기종에서 결제가 가능한 몇 안되는 사이트라고 한다.

아이러니 셋, 동생녀석이 대학 수시 입학 원서를 작성하기 위해서 카드를 써야 했는데 골치가 아파왔다. 비씨카드를 쓰는데, 결제를 하려면 ISP로 복사를 해주어야 하기 때문이다. ISP로 복사해주고 암호까지 알려줬는데, 글쎄 메모리를 잃어버렸다. 근데 황당한건, 하도 시달렸던것인지 접수 사이트에서 '뒷구멍'격으로 카드번호와 유효기간과 비밀번호 만으로 결제가 가능하도록 만들었던것. 니미.  

이 사례를 보면 한국의 이른바 '안심클릭'과 '안전결제(ISP)'가 얼마나 쓸데 없는 것인지 알수 있다. 없어도 잘 결제 된다. 왜 만든거냐?  모바일 웹의 도래는 이제 Windows와 x86/64 기반의 결제 시스템의 한계를 시험하고 있다. 카드 결제는 법으로 비밀번호를 입력하도록 강제되어 있는데, 제발 그것좀 없애면 안되나?

 혹자는 물을지 모르겠다. 카드 비밀번호를 해서 안전한거 아닌가요? 안전할 수 있다. 단, 어디까지나 암호가 유출되지 않았을때의 경우이다. 왜냐, 사용하는 카드사 약관을 보시길, 인터넷으로 결제한 물건은 암호를 입력하기 때문에, 사고시 면책 받을 수 없다. 즉, 다시 말해서 현금서비스와 마찬가지로 비밀번호가 누설되어서 정상적으로 결제된 거래는 회원의 책임이다. 비밀번호로 결제를 만들면서 이런 뒷구멍(?)을 만들어 놨다.

내가 10여년전 겪었던 일이다. 인터넷으로 카드로 누군가가 사용했다. 은행에 따지자, 조사를 하더니 결국은 카드사가 금액을 물어내야했다. 지금도 해외에서는 그런식으로 대처한다.

 해외에서는 이렇게 처리한다. 부정 거래를 탐색하고, 부정거래가 발생할 경우에도 회원에게 책임을 묻지 않는다.  어디가 나을까, 카드번호와 암호를 묻는 것과 카드번호만 묻는것, 얼핏보면 전자가 훨씬 안전해보인다.... 다만, 단서 조항이 있으니까 문제다. 비밀번호가 누출이 되었을때 책임을 지지 않기 때문에, 차라리 암호를 묻지 않고 카드번호만 묻는 편이 훨씬 안전한 아이러니가 존재한다. 카드번호가 누출될 보안 상황에서 비밀번호가 누출되지 않으리란 보장을 누가 하는지 모르겠다.

좌우지간... 누가 IT 선진국이라고 했는지는 모르겠으나, 카드 결제시 보안 확인으로 인해서 모바일 커머스를 몇년은 늦춰놓았다 해도 과언은 아니라고 생각한다.

Posted by 푸른곰

악어의 눈물

고객님의 정보를 보호하기 위해서가 명분이다. 안심클릭이나 인터넷 안전 결제(ISP)의 대의 명분은 그렇다. 그거에 대한 내 생각은 하나다. 염병하고 있네. 내 말이 믿기지 않는다면 지금이라도 당신이 사용하는 신용카드의 약관을 살펴보시기 바란다. 살다보면 카드를 잃어버리는 것은 다반사라고 생각한다. 카드에는 보통 일반인이 지갑에 휴대하는 것 이상의 많은 금액을 사용할 수 있기 때문에 보통 분실시 정지를 할 수도 있고, 분실 신고 전에 도용된 경우에는 그에 대해서도 보상을 받을 수 있다.

그러나 약관에 따라서 극히 드문 경우를 제외하고는 보상받을 수 없는 손해가 있다. 바로 비밀번호를 누출해서 생기는 손해이다. 요컨데 암호로 본인을 확인하는 현금서비스 등의 거래의 경우에는 본인이 사용한것으로 간주하기 때문에, 분실 신고 이전의 피해에 대해서는 보상해주지 않는 것이다. 실제로 여기에는 본인 혹은 가족에 대한 위력 행사에 의한 강박으로 인한 경우 같은 드문 경우를 제외하면 보상이 되지 않는다.

그런데 안심클릭이나 인터넷 안심결제(ISP)라는 물건이 생기면서 여기에 인터넷으로 구매한 경우도 포함되는지는 알고 계시는가 모르겠다.  

제22조(비밀번호 관련 책임)
카드사는 현금서비스 및 카드론, 전자상거래 등 비밀번호를 이용하는 거래시 입력된 비밀번호와 카드사에 신고된 비밀번호가 같음을 확인하고 조작된 내용대로 현금서비스 및 카드론, 전자상거래 등 거래를 처리한 경우, 도난, 분실 기타의 사고로 회원에게 손해가 발생하더라도 책임을 지지 아니합니다. 다만, 저항할 수 없는 폭력이나 자기 또는 친족의 생명신체에 대한 위해로 인하여 비밀번호를 누설한 경우 등 신용카드 회원의 고의 또는 과실이 없는 경우에는 그러하지 아니합니다.

다시 말해서, 당신이 쓰는 비밀번호가 어떤 이유에서든 누출이 되었고, 이를 이용해서 결제가 이뤄지면 당신은 일체의 항변을 할 권리가 없다는 것을 의미한다. 진짜 고객을 보호하겠다는 작자들이 이런 조항을 걸고 장사하는건 상식밖의 이야기다.

키를 가로 채는 방법은 여러가지가 있다. 알려줄수도 있고, 엿 볼수도 있다. 또 채갈수도 있다. 안심클릭등에 사용되는 비밀번호는 퍽 엄격한 룰로 알파벳과 숫자를 조합하여 사용하여 8자 이상 적게 되어 있지만서도 경우에 따라서는 적지 않은 사용자들이 금융사이트나 기타 사이트 등에서 사용하는 암호와 같게 하는 경우가 있을 것이다. 심지어 어떤 사람은 공인인증서와 안심클릭 그리고 일반 사이트 로그인 암호가 하나로 일치가 되는 경우도 보았다.

이 경우에는 대책이 없는 것이다. 일전에 '차라리 전국민에게 공짜 백신을 뿌리라' 라고 일갈하면서 말했지만 이렇게 일반 사이트와 암호가 같은 경우에는 금융사이트 이외의 사이트에서 누출이 되면 대책이 없고, 또 공인인증서나 ISP 인증서는 '공인인증서, ISP 인증서, PC에 저장할 필요가 있을까?'에서 말한것 처럼 정해진 위치에 저장되니만큼, PC에 대한 항시 보안이 이뤄지지 않는다면 얼마든지 쉽게 복사할 수 있다. 그래서 나는 항시 PC에 방화벽 소프트웨어를 설치해야 한다는 것이고 금융사이트에 접속할때만 방화벽을 까는 것으로 부족하다는 것이다.

좌우지간 기존의 경우, 그리고 해외에서 경우 신용카드 사기(credit card fraud)가 발생했을 경우 일반적으로 회원에게는 Zero Liability가 적용되는것이 기본이다. 본인이 사용하지 않은 금액에 대해서는 일체 물을 필요가 없다. 물론 그로 인해서 범인을 잡기 위해서 노력하고 있고, 못잡으면 카드사가 손해를 감수한다. 그리고 그것을 방지하기 위해서 노력하고 있다.

사실 우리가 흔히 '안심클릭'이라고 알고 있는 V3D Secure라는 프로그램도 인터넷에서 좀더 본인확인을 하기 위한 프로그램의 일환이지 '이것을 실행함으로써 이것을 쓰는 것은 무조건 본인' 이라는 등식을 위해서 만든것이 아니다.

다 좋다고 치자. 카드 번호를 당신은 얼마나 타인에게 알려주는가? 카드번호야 영수증 부본이나 홈쇼핑을 통해서도 누출될수는 있다. 하지만 카드 뒷면에 있는 CVV2코드(서명 부분의 세자리 코드)는 얼마나 알려주는가? 아마 이걸 알려줄 정도의 사이라면 가족이나 이에 준하는 사이일 것이다. 이 경우, 물건이나 서비스를 구매한 경우, 카드 회원 본인 주변 사람밖에 없다. 지갑을 뒤져서 메모했다는 얘기니까. 그 경우에는 물건 받거나 가입시 입력한 주소만 대조해보면 금방 꼬리가 잡힌다. 이 나라는 구멍가게 회원가입할때도 본인 실명을 걸지 않으면 가입이 안되는 나라 아닌가?

그럼에도 누출이 된다면 그건 웹사이트와 카드사 사이의 보안 트랜잭션에서 누출이 일어나거나, 아니면 컴퓨터에서 키로거 등에 의해서 유출이 되는 것이다. 보안 트랜잭션에선 그렇다치자, 컴퓨터에서 안심클릭이나 ISP 비밀번호를 하나 더 입력하면 무슨 차이인가? 카드번호가 누출되는데 비밀번호는 누출안될까? 무슨 용가리 통뼈라고 그걸 자신할 수 있는지 이 분야에 근무하시는 분의 태클 정말 기대하지 마다 않는다.

그럼 이 사상누각의 상황에서 카드사는 우리는 잘못되면 책임없다고 발뺌하고는 해주는건 쓰잘때기 없는 키보드 보안프로그램 하나가 달랑 끝이다. 그나마 이것도 없으면 소송당할까봐 그런것이다. 은행에서 왜 그렇게 열심히 보안 프로그램을 깔아대느냐? 어떤 멍청한 고객이 해킹 피해를 자신의 PC 관리 소홀에 두지 않고 정보 누출을 막도록 '설계하지 않은' 은행에 물었고, 법원은 그에 대한 안전책을 마련 못한 것을 인정해주는 바람에 돈을 토해내라고 했다는 모양이다.

참 불편하다. 이 안심클릭인지 뭔지 때문에 말이다. 나는 알라딘의 애용자였다. 이유인즉슨, 당시 예스24에서는 한번 결제를 완료하면 주문에 더할 수도 뺄수도 없는데, 알라딘은 미국이나 일본의 아마존처럼 발송작업 전에 승인을 냈다. 따라서 발송작업전이라면 얼마든 주문을 변경할 수 있었기 때문이었다. 뭐 그것도 안심클릭과 ISP 도입으로 끝났다. 미국이나 일본을 비롯한 전세계 아마존은 아직도 그런 시스템을 유지중이다. 주지하시다시피 그네들은 1-click 주문으로 바스켓에 넣으면 묶어서 배송해준다. 이런 편리한 시스템이 사라져버렸다.

가끔 해외 사용자들이 도대체 카드 어떻게 쓰는건지 모르겠다고 할때 난감할때가 있다. 제각각이라서 할말이 없다. 그냥 '해외 카드' 엇비슷한걸 찾아보세요. 하는수 밖에 없다. 그 사람들 태반이 그냥 카드번호와 유효기간 CVV와 소지인 이름 적는걸로 해결하던 사람들인데 안심클릭인지 나발인지 공인인증서인지 뭐신지 하나도 모르겠다는것이다.

하여간 쥐한마리 잡자고 온 외양간을 다 태워먹어야 정신을 차린다고. 사용자들에게 보안 프로그램 잘 깔게 하고 수상쩍은거 받지 말라고 주의주는게 귀찮다고 이런식으로 일처리를 하는게 온당키나 한건지 궁금하다. 곰.

PS. 안심클릭이니 ISP니 하기 전에, 결제시 주문자 우편번호와 카드 청구지 우편번호, 전화번호를 맞춰보는 시스템을 도입하는거 생각해본적이 있나 생각해볼 일이다. 그건 전세계적으로 널리 사용되는 카드사기 방지 알고리즘이기 때문이다.

Posted by 푸른곰

풀 브라우징이 되는 기계들이 하나둘 늘고 있습니다.  풀 브라우징이 실현이 되면 어떤 일이 될까 한번 시뮬레이션 해봅시다.

약속 장소를 향하는 대중 교통을 웹으로 검색한다(1) 가는길에 블로그와 메일, 뉴스를 검색한다(2). 장소 근처에서는 정확한 위치를 지도로 확인한다(3). 도착해서 친구와 만난다. 얘기가 흐르다 영화까지 흐른다. 어떤 영화가 좋을까 웹으로 리뷰나 블로그를 참고해 탐색한다(4). 그리고 예매한다(5).

서점에 가서 책을 보고 맘에드는 책을 장바구니에 넣는다(6). 그리고 주문한다(7).

간단히 그 자리에서 세금이나 공과금을 조회하고(8) 납부한다(9).

집에 돌아가는 전철에서 장을 본다(10)

회사에서든 바깥에서든 상관없이 주식 투자나 은행 업무를 본다(11)

... 뭐 대충 이정도 생각납니다만. 하나도 안되는군요... 일단 IE가 아니면 플래시 범벅인 메뉴가 열리지도 않는 경우가 있으니까... 후후.

역시 그 다음 문제는 안심클릭과 인터넷 안전결제(ISP), 공인인증서라는 전세계에 유례가 없는 악제도(惡制度) 3총사군요... 없어져버렸으면 좋겠네요... ㅡㅡ;

Posted by 푸른곰