* 질문은 질문 게시판에 올려 주세요 / 각종 정보는 유용한 정보 게시판에 올려 주세요 / 홍보는 무조건 삭제 조치 합니다.
--------------------------------------------------------------------------------------------------------------------
http://jjangse.tistory.com/22
에서 좋은 글을 보고 퍼왔습니다.
많
은 분들이 이 글들을 읽으시면서 공인인증서에 대한 궁금증을 많이 푸셨으면 합니다.
블로그에 있던 글이라 반말이긴
하지만 한번 읽어보세요-
시리즈의 마지막 편입니다.
========================================
반가워.
이제 3편이야.
오늘 이야기할 것은 IT덕후들이 제안하는 신개념 전자금융 제안이야.
여러가지 안이 있어.
이중 하나만이라도 시행되면 개인적으로 나는 만족해.
물론 그중에서 고르라면 또 있겠지만.
크게 두가지 제안으로 나뉘게 되지.
1. 아예 인증서 의무화 조항을 폐지하는것과,
2. 인증서를 쓸려면 제대로 쓰라는 것이겠지.
두번째부터 읊어볼께.
공인인증서를 쓰려면 제대로 쓰라는것. 이게 제대로 시행되려면 어케 해야 할까.
먼저 급선무는 크로스플랫폼, 크로스브라우징을 지원해야해.
기술적 군더더기고 뭐고 간에 일단 맥유저든 리눅스유저든 다 쓸수는 있게 해야할거 아냐?
이미 5대 브라우저의 최신버전들은 전부 인증서 관리를 지원한단 말이야.
그런데 왜 뭐하러 굳이 액티브x기반으로 인증서를 발급받아야 하냔 말이야.
표준화된 방법으로 인증서를 발급할 수 있게 인증발급방식을 전환하라 이거야.
매번 액티브액스를 업데이트 하는 수고도 덜어지게 되거든.
그리고 아무나, 아이폰이든 맥이든 리눅스든 5대 브라우저의 최신버전만 사용한다면,
누구나 인증서를 발급받을수 있어.
왜 굳이 먼길로 돌아가서 특정플랫폼만 가능하게 하는거지?
둘째로, 현재의 공인인증서의 발급재발급 절차에도 문제가 있어.
1편에서 언급했듯 인증서방식은 완벽하단 말이야. 절대 우회할수 없어.
그렇다면 아주 타이트한 방법으로 인증서를 발급하는게 필요해.
내 생각에는 인증서라는걸 제대로 쓴다면 최소한 대면발급해야해.
"최소"한 이야.
더 빡세게는 지문인식, 홍채인식, 유전자감식까지 해서라도 인증서를 발급해야해.
비현실적이라고?
숫자카드, 보안카드라고 불리는 비번카드도 대면발급만을 시행하는데 이건 현실적인가?
특히 인증서는 대면발급을 했다면,
이후 인증서로 접근하는 사람은 대면발급했던 사람이라는 확신이 생긴단 말이야.
매번 로그인할때마다 매번 대면하고 있는걸로 간주해도 무방해.
인증서방식은 완벽하거든.
인증서방식은 그 인증서를 발급하는 절차를 매번 거치는 것과 동일한 수준의 신뢰도를 확보해주기 때문에,
1년에 한번정도씩만 대면하는 절차를 강제규정해야 인증서가 인증서 답게 쓰이고 있는 거라는 거지.
그래야 인증서라는 매개체를 쓰는 의미가 있잖아?
앉은자리에서 주민번호만 입력하면 발급되는 방식이라면 그냥 차라리 매번 주민번호를 요구하란 말이야.
1편에서 말했듯 의미 없는 짓이니까.
셋째로 인증서를 발급받았을때 그 인증서 자체에 관한 관리도 중요하겠지.
이 인증서 자체를 도둑맞을수 있으니까.
이걸 막는 방법은 놀랍게도 처음 제시한 브라우저 인증기능을 사용하면 해결돼.
브라우저 인증서 관리 기능은 브라우저 자체에 인증서를 녹여놓게 되거든.
하드디스크자체를 뽑아가지 않으면 인증서만 빼내는게 불가능해져.
그럼 하드디스크를 도둑맞으면 어떡하느냐 라고 말할지는 모르겠어.
아예 컴퓨터가 도난당하면? 이라고 물을지는 모르겠어.
근데 그 상황까지 염두에 둘거면 아예 지문인식을 하는 수 밖에 없잖아?
본인의 몸에 지니고 있는 어떠한 인증방식을 사용하는 수밖에.
그래서 인증서는 본인이 발급받을때 비밀번호도 설정하는 거지.
위의 모든것을 다 보정한다면 난 인증서 의무화를 해도 상관없어.
어쩌면 저렇게만 한다면 하는게 더 나을지도 모르지.
보안성은 완벽해 지거든.
그리고 저위의 사항을 전부 보정하고 인증서를 사용하면,
그 이외의 모든 보안성 관련 군더더기들을 다 안써도 되거든.
숫자쓰인 보안카드 그딴거 필요없어.
대면해서 발급받고 컴퓨터를 도둑맞지 않았으면 인증서 로그인 만으로도
서버측에선 본인과 대면하고 있다고 봐도 무방하단 말이야.
지금은 인증서 로그인을 하고도 계좌비번도, 주민번호도, 숫자카드도 요구하잖아?
이건 지금의 인증서를 못믿고 있다는 반증이야.
암호학개론만 공부해봐도 인증서가 저런 숫자카드보다 훨씬 강력한 보안체계임을 알수 있는데
인증서에 추가 보안 시스템을 만든다는 자체가 이 인증서는 의미가 없다는 뜻밖에 안되거든.
여튼 쓸려면 위의 사항을 다 보정하고 제대로 쓰면 좋겠다는게 내 첫번째 주장이야.
두번째 주장은?
그냥 공인인증서 의무화 조항을 폐지하는거야.
그러면 공인인증서와 사설인증서, 그리고 무 인증서의 3가지 거래형태중에
소비자가 고르게 되겠지?
그지?
그러면 서로 경쟁하게 되고 더 완벽한 보안을 이루면서도 편리한 방법을 사용할 수 있게 되지 않겠어?
시장이라는 곳이 그렇게 이뤄지지 않겠어?
내 예상에는 인증서 강제조항을 폐지해도 곳곳에서는 인증서를 계속 쓸거야.
그치만 써도 지금처럼은 안써.
지금의 인증서는 확실히 의미가 없거든.
위에서 말한 타이트한 방법의 진정한 인증서 수준의 보안이 필요하다면
인증서를 쓸거야. 국방이나 첩보등의 강력한 보안이 필요한곳은 말이지.
그리고 수천만원 이상의 이체거래 등도 인증서를 쓰게 강제하겠지. 위의 타이트한 방법으로 말이야.
그 이외의 경우는? SSL이나 그런 브라우저 기본 보안체계로만 운영될게 뻔해.
전세계적인 추세이기도 하고, 대면해서 인증서를 발급해야 할만큼 빡세지도 않아.
결정적으로 폰뱅킹은 인증서 없이도 이체거래 잘만 하거든?
우리엄마도 폰뱅킹을 쓰는데 폰뱅킹은 해킹의 위험이 없나?
결코 인증서를 쓰지 말자는게 아니야.
"의무" 화 할 필요는 없다는 거고, "의무"화 하려면 제대로 구축해놓고 "의무"화 하라는거야.
여기까지 시리즈물을 마칠께.
막연하게 알고 있었거나 잘 모르던 사람들한테 도움이 되었으면 좋겠어.
첫댓글 백번 옳은 이야기 입니다. 문제나 공인인증서 제도를 폐지해도 은행에서 그놈을 계속 쓸거란 말이죠. 손해는 절대 보지기 않겠다는 자기방어적 경영방식이 바로 대한민국 기업제도(은행)라는 걸..
의무화가 풀리면 은행들도 두손들고 환영할겁니다.
공인인증서, active-X 개발, 유지비용이 어마어마 하거든요.
우리나라 보안시장의 대부분이 active-X 시장입니다.
일년에 몇억씩 들어가는 유지보수, 개발 비용이
공인인증서 의무화만 풀리면 1/10 수준으로 떨어질거라고 합니다.
그래서 보안 업체들은 죽어라고 정부에 로비하는거구요.
하지만 이제 없어져야 하지 않겠습니까? ...
active-X 는 득보다 실이 많은 방식입니다.
ㅡㅡ
잘 봤습니다. ^^