기본 콘텐츠로 건너뛰기

오픈 뱅킹 - 접근성과 보안성의 딜레마

언제부터인가 은행들의 마케팅 용어 중 가장 많이 등장하는 용어 중 하나가 오픈 뱅킹이 되었다.

많은 사람들에게는 아직도 낯선 오픈 뱅킹이란 어떠한 운영체제나 어떠한 브라우저에도 구속되지 않고 은행 서비스를 인터넷에서 이용할 수 있도록 하는 것을 말한다.

당연한 것처럼 여겨지는 이 말은 아직도 대한민국에서는 현재진행형인 사건이다.

대한민국에서는 아직도 윈도우와 인터넷 익스플로러가 아니면 제대로 된 은행 서비스를 이용할 수 없는 것이 현실이다.

우리은행을 필두로하여 기업은행, 농협 그리고 최근의 국민은행과 같은 몇몇 은행들은 파이어폭스와 리눅스를 지원하기 시작했지만 이것은 말 그대로 궁여지책에 가깝다.

맥에서 파이어폭스를 사용한다면 제대로 된 서비스를 이용할 수 없는 반쪽짜리나 마찬가지인 이런 서비스에라도 만족하며 살아야하는 것이 작금의 대한민국 오픈뱅킹 서비스의 현실이다.

대한민국에서 오픈뱅킹이 어려운 이유는 여러가지를 들 수 있다.

MS에 종속된 브라우저와 운영체제 시장과 술상무들의 개드립으로 얼룩진 보안시장 그리고 IT와 보안에 대한 무지를 자랑스럽게 여기는 정보와 금융원 등..

어떤 특정 기술에 대한 종속이 얼마나 많은 부조리함을 드러내는지 우리는 이러한 현실을 통해 배웠지만 그에 따른 해결책은 자본이라는 명목아래 아직도 어렵기만 하다.

그나마 이러한 오픈뱅킹에 대한 발걸음이 시작될 수 있었던 장차법과 아이폰을 필두로 한 디바이스 시장의 변화가 고마울 따름이다.

또 다른 이유로는 보안을 들 수 있다. 국내에서는 은행 서비스의 이용을 위한 보안으로 공인인증서, 방화벽, 키보드 보안, 인터넷 보안 등 여러 액티브 엑스를 강제하고 있다. 이것은 여러 논란이 있지만 대체로 강제 조항쯤으로 인식하는 분위기이다.

그나마 반가운것은 6월 이후에는 공인인증서가 아닌 다른 본인 인증에 대한 시스템을 도입할 수 있게 되었다는 소식 정도..

사실 공인인증서도 여러 논란이 있지만 우리 나라의 공인인증은 실제적으로 공인인증이라 말하기 힘든 부분이 너무 많다.

최근 모 금융업체의 차세대 프로젝트(오픈 뱅킹) 서비스를 바라보며 여러 생각이 들었다.

멀티 브라우징을 지원하기 위한 시스템 업그레이드임에도 불구하고 개발자들은 HTML5와 CSS3에 대해 알지 못했다.

PC와 모바일 사이트를 별도로 개발하는 것만 보아도 정말 답이 없어보였다.

분명 멀티브라우징을 지원을 목표로 하는 프로젝트인데 운영체제는 윈도우만 지원한단다.

장차법에 대해서도 알지 못했다.

장애인들에 대한 고려는 없었다.

더 재미있는 것은 HTTPS 프로토콜이 아닌 일반 프로토콜로 서비스가 제공되고 인터넷 보안은 여전히 플러그인과 액티브 엑스에 의존하고 있다는 것이다.

최근의 오픈 뱅킹 서비스를 보면 시대에 따라 법률에 따라 별다른 고민없이 강제로 떠밀려서 어쩔 수 없이 한다는 느낌을 선뜻 지우기가 참 힘들다.

그들에게 장애인들과 사회적 약자들에 대한 좀 더 깊은 이해를 바라는 것은 무리인걸까? 보안도 중요하지만 지금의 보안을 위한 장치들이 정말 제대로 된 보안을 제공하고 있는 것일까? 웹접근성을 높이는 것이 정말로 보안에 취약해지는 것일까?

개발자만 탓할건 아닌 것 같다. 경영진을 포함한 기획자들부터가 장애인들에 대한 그리고 웹 접근성에 대한 이해가 전혀 없다.

물론 테스터들도 마찬가지다. 내가 만나본 웹 서비스 테스터 중 많은 경우 장차법이나 웹 접근성에 대하여 제대로 알고 이해하는 사람은 많지 않았다.

많은 테스터들이 그저 주어진 명세서대로 기능이 정상적으로 동작하는지에 대한 것만 테스트하는 기계의 부속같은 작업에서 벗어나 좀 더 멀리 보고 좀 더 깊이 고민하는 테스터들이 되었으면 한다.

물론 오픈 뱅킹은 아직까지는 법적 강제력이 없다.

장차법에 따르면 '장애인 차별금지 및 권리 구제 등에 관한 법률 제 17조 금융상품 및 서비스 제공에 있어서의 차별 금지' 조항이 2008년 4월 11일부터 적용으로 되어 있지만 실제적인 오픈 뱅킹 서비스는 같은 법 '21조 정보통신, 의사소통에서의 정당한 편의 제공 의무'에 해당하여 2013년 4월 11일부터 적용되기 때문이다.

즉, 장애인을 위한 서비스는 2013년까지 유예기간이 있는 셈이고, 이것을 지금 고민할 필요성을 많은 은행들이 피부로 느끼지 못하고 있는 것 같다. 물론 준비는 하고 있겠지만... 이것이 결코 짧은 시간내에 이룰 수 있는 것인지에 의문이 든다.

보다 많은 은행들에 고용되는 개발자들과 테스터들이 이에 대하여 좀 더 진지하게 고민했으면 하는 바램이다. 그리고 무엇이 진정 제대로 된 보안인지에 대해서도 고민했으면 하는 바램이다.

그냥 갑갑한 마음에 적어본 포스트로 몇몇 내용들은 사실 여부에 논란이 있을 수 있음을 알고 있습니다. 관련 의견이 있으신 분들의 댓글은 열렬히 환영합니다.

댓글

  1. 승은 신14/7/11 17:33

    현재도 얼마든지 바꿀 수 있는 보안방식인 ActiveX방식에 대해 사용자 불편이나 보안문제를 문제시하는 핑계는 이미 물건너간 상황으로 보아집니다. 좀더 사용자 편의를 고려하는 고민을 조금만 더 하면 될걸로 보여집니다..장애유형별로 필요한 요소의 고려도 조금만 더 고민하면 해결되는 문제인데...

    답글삭제

댓글 쓰기

이 블로그의 인기 게시물

프로젝트의 3요소 - Project Management

프로젝트는 예산, 일정, 품질 3가지 요소로 이루어진다고 볼 수 있다. 물론 위 3가지 요소 외에도 개발 범위, 팀워크, 자원 조달 등 여러가지 요소들도 고려해 볼 수 있지만, 가장 중요한 요소를 꼽는다면 예산, 일정, 품질일 것이다. 위에서 말한 여러가지 요소들은 프로젝트를 계획하여 완료하는 순간까지 복합적으로 작용해서 프로젝트의 성과를 제한하게 된다. 위의 요소들을 잘 통제한다면 성공적인 프로젝트가 되는 것이고 그렇지 못한다면 실패하거나 사라지게 될 것이다. 프로젝트 관리란 그런 면에서 제한된 자원을 가지고 목적한 바를 제한된 기간내에 최소의 비용으로 완수할 수 있도록 하는 것으로 정의할 수 있을 것이다. 이것을 도식화 한다면 아래와 같은 그림으로 표현할 수 있을 것이다. 위의 그림에 보는 것처럼 일정과 품질, 예산은 우리의 프로젝트가 목적하는 바를 달성하도록 하기 위해 상호 연관되어 작용하게 된다. 우리가 접하게 되는 많은 방법론들의 가정에는 위의 요소들을 어떻게 관리할 것인가에 대한 기본적인 가정들이 설정되어 있다. 조직에서 어떤 특정한 방법론을 도입한다는 것은 그런 가정에 동의하는 것이고 그러한 철학을 받아들인다는 것이기 때문에, 방법론을 채택하기 전에 조직의 근본 문제와 문화에 대해 점검해 볼 필요가 있다. 그리고 위의 요소들 외에 고려해 볼 사항은 위의 요소들은 변동성과 불확실성을 내포하고 있다는 것이다. 특히 비용과 예산, 목적은 프로젝트를 진행하면서 가변할 가능성이 매우 큰 요소들이다. 대부분의 방법론은 이러한 변동성에 대한 안전장치들을 가정해서 세워져 있다. 변동성의 측면에서 위의 요소들을 다시 살펴본다면 아래와 같이 가정할 수 있다. 위의 그림을 일부 해석해 본다면 일정이 늘어난다면 비용은 늘어나게 된다. 범위가 변경되어도 비용은 늘어나게 된다. 범위와 일정은 상호 의존적이 된다. 만약 위 3가지 요소의 변동성을 통제하지 못하게 된다면 프로젝트는

코디에서 클라우드 저장소 연동해서 비디오 라이브러리 생성하기

저희 집에는 TV가 없습니다. 모니터만 있지요.. 몇년 전까지만 해도 IPTV를 이용했지만.. 자주 보는 것도 아니고.. 비용도 비용인지라.. 그냥 TV를 없앴습니다. 사실은 기레기 시키들 보기 싫어서 KBS 수신료 내는거 싫어서 그냥 TV를 없애버렸습니다. 대신에 스마트폰에서 OTT 서비스 실행해서 크롬캐스트로 전송해서 보고 싶은 프로그램만 봤었는데 슬슬 불편해서 고민고민하다 그냥 질렀습니다. TV 보는 것도 불편했지만 다른 이유는 PC에 저장된 동영상을 보고 싶을 때 매번 PC를 켜야하는 것도 불편하더라고요. 저희 집 컴이 이제 10년이 넘어서.. 부팅 부터가.. ㅠㅠ 그래서 오피스 365 월결제를 끊으면 원드라이브 1테라를 사용할 수 있습니다. 이 원드라이브에 제가 가지고 있는 영화 200여편을 몽땅 올렸는데.. 원드라이브에 있는 영화를 스마트폰에서 실행해서 크롬캐스트로 전송하는 것도 불편하더군요. 어쨌든 이런 저런 이유로 너무 불편해서.. 지금은 사라진 TELEBEE 의 미박스 3에 글로벌 롬을 올려서 싸게 판다는 정보를 입수하고 그냥 질렀습니다. 싸다고 하는데 싼지는 모르겠지만.. 크롬캐스트 울트라보다는 싸더라구요. 넷플릭스를 이용하지는 않지만 조건만 맞으면 4K도 재생되고 국내 AS도 된다고 해서 질렀습니다. 관련 정보는 네이버 카페 [Eddy Lab] UHD 미니 PC 포럼 에서 보실 수 있고, 지금도 구매가 가능한지는 모르겠지만 MiBox3-EddyLab 에디션 안드로이드 셋탑 에서 구매하실 수 있습니다. 안드로이드 셋탑은 질렀는데.. 국내 IPTV처럼 친절하게 설정되어 있는 셋탑이 아닌지라 처음 켜보고 뭐부터 해야할지 참 막막하더라구요. 우선은 중요한건 TV를 편하게 보고 싶은것과 원드라이브의 영화를 편하게 감상하는 것이기 때문에 여기에 중점을 두고 네이버 카페와 구글을 하염없이 떠돌아다녀보니.. 코디라고 하는 앱이 가장 정보가 많다는 것을 알게되었습니다. 그래서 우선 무작정 코디를 설치했습니다. 코디

웹 애플리케이션의 보안 취약점을 찾기 위한 통합 침투 테스트 도구 - OWASP Zed Attack Proxy

웹 애플리케이션의 보안 취약점을 테스트하기 위해 그동안 Paros 란 프로그램을 사용해 왔었는데, 안타깝게도 이 프로그램이 업데이트가 되지 않은지 너무 오래돼서 최신의 보안 취약점 검사에는 한계가 있어 이번에 다시 한번 열심히 검색해서 제 나름 기준으로 꽤 좋은 도구를 하나 찾아서 소개해볼까 합니다. 분명 국내에는 저보다 더 능력이 되시는 많은 보안 테스터분들께서 더 좋은 도구를 가지고 테스트를 하시리라 믿습니다만.. 구글에서는 어찌 된 것이 아무리 검색해도 한글로 된 자료를 찾기가 참 어렵습니다. 아마 오늘 제가 소개해 드리는 이 프로그램도 제가 최초가 아닐까? 조심스럽게 생각해 봅니다. 그리고 저도 아직까지 이 프로그램의 모든 기능을 전문적으로 사용하고 있지 못하기 때문에 관련된 자료나 방법을 아시는 분은 같이 공유해주시면 고맙겠습니다. 오늘 소개해드리는 프로그램은 제가 OWASP 홈페이지를 검색하면서 찾아낸 도구입니다. 이 프로그램은 Paros에서 갈라져 나온 프로그램으로 기본적인 사용방법은 Paros와 거의 똑같습니다. 다만 Paros에는 없는 여러가지 기능들이 포함된 정말 종합선물세트와 같은 프로그램입니다. 이 프로그램이 무엇이냐? 바로 OWASP Zed Attack Proxy 라는 프로그램입니다. 이 프로그램에 대한 자세한 내용은 https://www.owasp.org/index.php/ZAP 에서 보실 수 있습니다. 프로그램 소개에는 한국어도 지원한다고 하지만 제 경우에는 아무리 해도 한국어로 나오지는 않네요. 프로그램을 다운로드 하셔서 설치하시고 Weekly Release도 같이 설치하시기 바랍니다. Weekly Release는 zip 파일의 압축을 해제하셔서 설치 디렉토리업 덮어쓰기 하시면 됩니다. 설치를 다 하셨으면 이제 이걸 쓰는 법을 알아보겠습니다. 우선은 브라우저에서 프록시 설정을 해주셔야 합니다. 프록시를 설정하시는 방법은 프로그램에서 F1을 누르셔서 도움말을 실행하신 후에 Getti