HTML5 + 클라우드, 이게 정답일까? ....해결하려는 문제 인증/지불/서명/피싱

인터넷 뱅킹, 쇼핑 등에 사용되는 Active X 같은 플러그인 이슈와 
HTML5, 클라우드 등의 대안에 대해 생각해 보고
제가 대안이라고 생각해낸 스마트채널에 대해 소개해 보려고 합니다 .

현재 국내 인터넷 응용 서비스 구조

현재 국내에서 웹브라우저를 통해서 뭔가 복잡한 응용을 제공하는 시스템의 구조는 대충 이렇게 되어있습니다.

<플러그인 + 로컬크리덴셜 스토리지>

범위를 조금 축소해서 생각해보면, 인터넷 뱅킹, 증권, 쇼핑, 전자 정부에서, 인증, 지불, 전자서명, 메시지 암호화 
보안이나 결제관련 기능들은 특히 그러합니다. 

Active X로 상징되는 플러그인으로 클라이언트를 구현하고,  응용에 필요한 공인인증서, 신용카드 등의 크리덴셜을 
로컬 스토리지에 저장하는 구조로 되어있습니다. 
한마디로 플러그인+로컬크리덴셜 구조라 할 수 있습니다. 

이 구조의 문제는 서비스 제공자 마다 플러그인을 깔다 보니(국민은행 따로, 우리은행 따로..), 
그리고 요구되는 클라이언트 응용 기능이 다양하다 보니
웹사이트 하나 들어 가서 뭔가 해보려고 하면 플러그인을 여러 개 깔아야 한다는 것과
공인인증서등 필요한 크리덴셜을 로컬 스토리지에 저장해 두어야 한다는 것입니다. 

윈도우에서 IE만으로 인터넷을 이용할 때는 이런게 별로 문제가 되지 않았죠.. 약간 귀찮다는 정도.. 
그래서 더욱 이러한 구조가 많이 확산된 것 같습니다. 

PC환경의 다변화

윈도우에서도 IE의 독점이 끝나고 크롬, 파이어폭스, 사파리 같은 브라우저의 종류가 다변화되고
OS도 리눅스, 맥OS 등으로 다양해 지면서.. 문제가 불거지기 시작했습니다.

<다변화된 PC환경>

ActiveX라는게 IE를 위한 플러그인 방식인데, 크롬, 파이어폭스 같은 애들은 각기 다른 플러그인 방식을 갖고 있다는 것이죠..
그래서 은행에서 크롬 브라우저를 위한 플러그인을 제공하지 않으면 크롬 이용자는 그 은행에서 인터넷 뱅킹을 이용할 수 없게 되는거죠. 그걸 극복하려고 윈도우용 크롬 플러그인을 만들어 제공하기 시작했는데, 문제는 이게 리눅스에서 돌아가는 크롬에서는 또 적용이 안되는 겁니다. 맥으로 가도 마찬가지이고요.. 

이 문제 때문에 소송도 하고, 더 근원이 된 보안 3종 세트 특히 공인인증서 자체를 쓰지 말자는 얘기도 나왔고, 
외국에서는 이렇게 안하니까.. 우리나라는 갈라파고스 다 이런 얘기도 나오게 됩니다. 
특히 스마트폰, 아이패드 등이 많이 보급되면서, 이런 문제가 더욱 불거지게 됩니다. 

이러한 문제를 해결하고자 많은 노력 들이 있었는데, 
오픈 뱅킹이라고 하여 웹페이지 자체는 표준 HTML로 만드는 것입니다 
다른 기능은 대체로 웹표준 만으로 구현이 가능한데, 인증, 전자서명을 위한 플러그인들은
브라우저/OS버전별로 만들어 제공하는 건 여전합니다.

그리고 크리덴셜이, 각 디바이스 별로 저장/관리 되어야 하는 부분은 여전합니다.  

멀티 디바이스와 사용환경의 다변화

최근에는 PC환경의 다양화를 넘어서, 노트북이 거의 PC만큼 보급되었고, 스마트패드, 스마트 TV 같은 새로운 디바이스 들에서도 인터넷을 하게 됩니다. 
스마트 냉장고, 스마트카에서도 웹브라우징을 할 수 있게 되었구요.
최근의 디지털 사이니지가 많이 보급되고 있고, 현재는 그냥 광고를 보여주는 정도지만, 앞으로는 여기서도 웹브라우징을 하며 여러가지 일들을 할 수 있게 될 것입니다. 
이러한 멀티 디바이스 환경에서 종래의 플러그인/로컬크리덴셜 구조를 사용하면 이렇게 되겠지요..

<멀티 디바이스 환경에서 플러그인+로컬크리덴셜?>

이용자 입장에서는 디바이스마다 플러그인 설치 (최초1회라도), 크리덴셜 설치 및 관리 (갱신, 삭제) 등을 해야하는 불편이 있습니다. 
서비스 제공자는 각 플랫폼 (브라우저+OS)별로 플러그인을 만들어 제공해야 하겠지요.
스마트 TV만해도 LG, 삼성이 OS가 다릅니다. 
또한, 각 디바이스는 종류가 다른 만큼 이용하는 UX도 각각 입니다.
눈앞에 있는 디바이스는 키보드나 터치로 한다고 해도, 스마트 TV 같은건 터치로 할 수 없는 거죠.
그래서 비밀번호 하나만 입력하더라도, 각기 다른 UX가 되어버립니다.

각 디바이스에 중복 저장되어 있는 크리덴셜은 이는 곧 보안의 취약성이 증가함을 의미합니다. 
하나의 기기가 침해될 가능성이 1%라면 10개에 기기에 중복 저장된 크리덴셜이 하나라도 침해될 가능성은 10%가 됩니다. 

한편, 기존에도 있었던 문제로, PC방과 같이 내 PC가 아닌 곳에서도 인터넷을 사용하는 경우가 많습니다. 
이때는 나의 관리 범위를 떠난 PC방 PC에 어떤 악성코드가 설치되어 있는지 참 찝찝하지요.
물론 개인의 PC에서도 현존하는 백신등의 수단으로 모든 악성코드를 다 방어할 수는 없습니다만..
PC방 PC에서 플러그인을 설치하고, USB 등에 저장된 크리덴셜을 읽어서 뱅킹이나 증권 등을 한다는건 참으로 불안한 일입니다. 

일단 여기까지 쓰고 대안에 관련해서는 다음 포스팅에서 다루겠습니다. 
(대안으로 HTML5 + 클라우드 솔루션에 대해 생각해 본 뒤, 제 나름의 솔루션을 제시할 겁니다..
기다리기 뭐하시면 요기를  보시면 중간 얘기 건너 뛰고 결론 나옵니다.^^)

3줄로 요약하면..

- 인터넷 뱅킹/쇼핑 등에서  인증, 지불, 전자서명을 하기 위해 플러그인+로컬스토리지 방식이 쓰이고 있다. 
- 브라우저가 다양화 되고 OS가 다양화 되면서 플러그인이 문제가 되고 있다.
- 스마트TV, 스마트패드 등 1인이 사용하는 디바이스가 복수화 되면서, 플러그인 문제 뿐 아니라 로컬 스토리지도 문제가 되고 있다. 





덧글

  • windily 2012/10/02 15:48 # 답글

    정말 지옥이네요. 뭔가 단일화된 인터페이스가 만들어져야 할텐데 말이에요. ㅠ_ㅠ
  • 최대선 2012/10/02 16:04 #

    여러가지 대안들이 있을 수 있습니다.
    다음 글에서는 다양한 대안들 (HTML5 , 클라우드 포함)을 살펴보고
    ETRI의 대안도 제시해 보려합니다.
    실은 그 대안은 이미 포스팅 했습니다. ^^ http://decisive.egloos.com/5693576
  • 리눅스사용자 2012/10/03 04:54 # 삭제

    최대선님, 그건 대안이라 보기 어렵죠. 기존 방법은 스마트폰 없이도 가능한 방법인데, 최대선님의 방법은 플러그인을 스마트폰으로 대체하여 스마트폰 없으면 뱅킹을 할 수 없네요. 스마트폰과 웹서버간의 보안 채널은 어떻게 하실건지요. SSL을 사용하지 않는다면 서버측에 별도의 프로그램이 필요하겠군요.

    제게 더 좋은 대안이 있습니다.

    1. 전자 서명 프로그램
    사용자가 원하는 프로그램을 설치하여 사용하듯이, 자신이 원하는 전자서명 프로그램을 시장에서 선택할 수 있게 제도를 바꾸고 관련 명세와 프로토콜을 100% 완전 공개하면 간단하게 해결됩니다.
    그러면 회사, 단체, 개인들이 전자서명 프로그램을 만들어서 출시를 할 것이고 개인은 그 제품들 중에 자신이 원하는 것을 설치하여 사용하면 됩니다.

    2. 보안 접속 프로그램은 웹 브라우저에 내장된 기술인 HTTPS로 교체하고,(플러그인 불필요)

    3. 개인 방화벽은 MS윈도에 내장되어 있으므로 그걸 사용하면 됩니다.(플러그인 불필요)
    그리고 개인 방화벽을 강제하는 이유가 암호와 공인인증서 파일 유추을 막기 위해서인데,
    80번 포트(http 포트)로 유출되는 것은 막을 방법이 없습니다. 따라서 개인 방화벽은 인터넷 뱅킹에 보안과는 관련이 없으므로 강제해서는 안 되겠습니다. 필요한 사람은 개인적으로 자신이 원하는 것을 시장에서 선택하여 설치하면 됨.

    4. 키보드 보안 프로그램은 화상 랜던 키보드로 교체(플러그인 불필요)

    5. 백신 프로그램은 개인적으로 자신이 원하는 것을 시장에서 선택하여 설치하면 됨.(플러그인 불필요)

    전자 서명 프로그램 1종만 있으면 됨. 우리가 크롬, 파이어폭스, 오페라 브라우저를 선택하여 설치하듯이 시중에서 추시된 전자 서명 프로그램을 소비자가 선택할 수 있어야 합니다.

    이렇게 간단한데 그걸 일부러 안 하고 있는 거죠. 왜 그럴까요?
  • 다져써스피릿 2012/10/02 18:14 # 답글

    사용자들이 쓰는 OS라던가 환경이 다양해지면서 플러그인 아키텍쳐는 한계에 부딪혔죠 확실히. 플래시나 실버라이트 같은 플러그인만 보더라도 맥OS 같은 비주류OS를 쓰면 "윈도쪽에 비해서 개발사이클이 느려 상대적으로 완성도가 떨어지는 플러그인들을 울며 겨자먹기로 계속 써야하느냐, 과감하게 포기하고 쾌적하게 즐길 수 있는 다른 방법을 추구할거냐" 하는 갈등에 직면하게 되더라구요. 저는 후자를 선택했구요.
  • 최대선 2012/10/03 11:44 #

    반갑습니다.

    말씀하신 "과감하게 포기하고 쾌적하게 즐길 수 있는 다른 방법" 은 어떤 건가요?
댓글 입력 영역