Open Web

오픈웹 소송 상고이유서

youknowit — Tue, 02 Jun 2009 00:27:07 +0000

항소심 판결은 http://lawlec.korea.ac.kr/up/appellate_judgment_kim.pdf 에 있습니다. 텍스트 버전은: http://openweb.or.kr/uploads/appellate_judgment_kim-utf8.txt (snowall 님께서 수고해 주셨습니다. 고맙습니다. http://snowall.tistory.com/1359 ) 5월22일 제출된 상고이유서는 http://lawlec.korea.ac.kr/up/2nd_appeal_kim_brief_pub.pdf 에 있습니다. 텍스트 버전은 여기: http://openweb.or.kr/uploads/2nd_appeal_kim_brief.txt 상고이유서는 5월25일에 금융결제원에 송달되었으므로, 곧 금융결제원의 답변서가 제출될 것입니다. 답변서를 받는 대로 게시하겠습니다.

금융권에 드리는 제안

youknowit — Mon, 18 May 2009 05:54:50 +0000

은행 거래의 절반 가량은 이미 온라인으로 이루어지고 있습니다. 앞으로 온라인 영업 부문의 중요성은 더욱 늘어날 것입니다. 은행 등 금융권은 과연 이 트렌드에 대처하는데 필요한 ‘역량’을 갖추고 있는지요? 큰 구도를 이해하고, 장기적 비전과 전략을 수립하는데에는 ‘경영학/인문학 배경’의 기획 인력이 생각해 낼 수 있는 수준의 막연한 플랜 만으로는 역부족일 것입니다. 금융권은 무엇보다도 분리 발주 능력을 스스로 갖추어야 한다고 [...]

국민은행 초기화면을 소개합니다!

youknowit — Tue, 05 May 2009 00:53:58 +0000

4월부터 국민은행의 초기 화면이 바뀌었습니다. 초기화면 한복판에 “대형 플래시”를 틀어대는 국내 은행들의 천편일률적 행태와는 확연히 다릅니다. 국민은행 초기 화면 중앙에 제시되는 세개의 메인 이미지는 고작 6k bytes 남짓되는 매우 작은 사이즈의 jpg 파일입니다. 그러나 시각적으로는 이 세개의 메인 이미지가 “시선집중” 효과를 가집니다. 이 이미지별로 국민은행은 주요 메세지나 마케팅 포인트를 배치합니다. 웹사이트 네비개이션은 크게 두 곳의 메뉴바(menu bar)로 [...]

오픈웹 논란에 대한 단상

youknowit — Sat, 02 May 2009 04:22:06 +0000

4월 한달 간 오픈웹에 대한 논란이 뜨거웠습니다. 그 배경과 저의 단상을 적어 봅니다. 배경 오픈웹이 MS IE 외의 웹브라우저나 윈도우 외의 운영체제에서도 온라인 뱅킹 등을 할 수 있게 해달라는 요구를 제기하는 것이라고 여겨오셨던 분들은, 2월18일부터 오픈웹에 등장하기 시작한 문제제기(안전한 온라인 뱅킹을 위하여)가 보안업체의 “영업/경영 판단”에 집중하자, 큰 혼란을 겪은 듯 합니다. 그동안 파이어폭스 용 “금융보안 플러그인”을 열심히 개발하여 [...]

Safe Bank 제안 이유

youknowit — Wed, 29 Apr 2009 02:57:19 +0000

국내 인터넷 뱅킹 보안의 기술적 선택은 다음과 같이 정리할 수 있습니다: (공인)인증서 개인키와 암호가 유출 안되면, 사고가 아예 발생하지를 않고(부인방지 기능이 필요 없고), 개인키와 암호가 유출되면(사고발생 가능성이 생기면), 인증서는 부인방지 기능을 발휘하기 어렵습니다. 키보드 보안 프로그램 키보드 보안 프로그램을 설치해도, 고객 개인키를 공격자가 복사해 가는 것을 막을 수는 없고, 다른 사이트(포털, 블로그, 쇼핑몰 등)에서 고객이 키보드로 입력하는 값을 보호해 줄 수도 [...]

Safe Bank 를 소개합니다!

youknowit — Tue, 28 Apr 2009 07:10:47 +0000

저는 보안 전문지식이 없습니다. 그러나, 약간의 법률 지식은 있고, 분쟁이 어떤 형태로 발생하며, 당사자들이 어떤 식으로 주장을 내세우며, 법원이 어느 부분을 주목하는지에 대해서는 비교적 더 많이 생각해 볼 기회가 있습니다. 제가 이해하기 어려웠던 부분은, 은행의 배상책임을 덜기 위하여 인증서 사용을 “강제”할 수밖에 없다는 주장이었습니다. 이 주장은 기본적으로 “법률적” 이유를 동원하여, 보안 기술적 선택을 설명하는 구조를 가지고 [...]

이탈리아 인터넷 뱅킹, 어떻게 하나?

youknowit — Sun, 26 Apr 2009 05:27:46 +0000

NamX 님께서 수집해 주신 “세계 34개국 은행 사이트 디자인 비교 조사” 중, 지중해 5개국 편에 수록된 이탈리아의 은행들의 “로그인 페이지”를 둘러 보았습니다. 주소는 다음과 같습니다. https://www.bpmbanking.it http://www.intesasanpaolo.com https://hb.mps.it/PaschiHome/LOGIN2.0/RTLOGIN/ASPX/RTLoginOTP01.aspx https://online.unicreditbanca.it/login.htm https://www.webank.it https://ibbweb.tecmarket.it/tmibbwebsecurity/05188/login.aspx?lang=it-IT 공통점은 물론, 프랑스 은행들의 경우와 같습니다. https 접속을 합니다(산 빠올로 은행의 경우, 시작 페이지는 http 접속을 하고, 그 페이지에 아이디와 비밀번호를 입력하는 창이 있으나, 확인을 누르는 순간 https 로 접속하게 됩니다). 로그인을 위하여 [...]

프랑스의 인터넷 뱅킹, 어떻게 하나?

youknowit — Sat, 25 Apr 2009 13:25:27 +0000

지난 며칠 동안 NamX 님께서 정말 소중한 작업을 해 주셨습니다. 세계 각국 은행 사이트들의 첫페이지 디자인을 비교할 수 있도록, 관련 자료를 수집하시고, 링크 뿐 아니라, 스크린 샷 썸네일까지 만들어 주셨습니다. 은행 사이트가 고객들에게 무슨 서비스를 어떻게 제공해야 하는지에 대한, 대단히 원론적이지만, 엄청나게 중요한 성찰의 기회를 주신 것으로 저는 생각합니다. 지금껏 별 반성 없이 타성적, [...]

(공인)인증서가 과연 어느 정도 유용한가?

youknowit — Fri, 24 Apr 2009 15:07:49 +0000

(공인)인증서는 두가지 기능이 있습니다. 하나는 보안접속을 하는 기능입니다. 다른 한 기능은 거래 내역을 서명하는 기능입니다. 보안접속만 하면 된다면, 아예 플러그인이 필요 없습니다. 보안접속만이 문제된다면 웹브라우저에 당연히 포함된 모듈(프로그램)로 구현하면 됩니다(https 접속: 익명 사용자 SSL/TLS 접속이건, 사용자 인증 SSL/TLS 접속이건 간에). 그러나, 거래 내역을 전자서명하는 기능은 별도의 플러그인이 필요합니다(액티브X가 되었건, 서명된 자바 애플렛이건, 파이어 폭스 확장이건 [...]

영국의 인터넷뱅킹, 어떻게 하나?

youknowit — Wed, 22 Apr 2009 03:24:32 +0000

우리 금감원 공무원분들께서는 “외국에 비하면 한국의 인터넷 뱅킹이 앞서간다”고 생각하십니다. 그 분들이 생각하는 “외국”은 “미국”이고, “앞서 간다”는 이유는 미국의 경우 계좌 이체를 위해서는 Off-line 을 통한 확인 절차가 있기 때문입니다. 그러나, 외국이 미국만 있는 것은 아니므로, 영국의 인터넷 뱅킹을 간략히 소개하겠습니다. 바클레이즈 로이즈 RBS (Royal Bank of Scotland) HSBC UK 핼리팩스 코옵 뱅크(Cooperative Bank) 등을 둘러보았습니다. 먼저, 영국의 은행들도 한국과 마찬가지로 계좌이체, 공과금 [...]

중국은행은 어떻게 하나?

youknowit — Tue, 21 Apr 2009 09:02:33 +0000

중국은행(Bank of China)의 웹 주소는 https://ebs.boc.cn 입니다. 중국은행은 MS IE 웹브라우저에서만 인터넷 뱅킹을 제공한다는 점에서는 한국의 은행들과 비슷합니다. 그러나, 아래에서 보듯이 한국의 은행들과는 매우 중요한 차이가 있습니다. 첫째, 접속은 https 로 합니다. RC4알고리즘으로 128bit 키길이로 암호화하여 교신합니다. 암호화 프로토콜은 SSL3/TLS1 을 사용합니다. (IE6.0 으로 접속가능한지는 테스트 해보지 않았습니다. 혹시 IE6.0 을 사용하시는 분은 접속이 가능한지를 댓글로 알려주시기 [...]

DDoS 공격을 당했습니다.

정태영 — Mon, 06 Apr 2009 10:33:34 +0000

안녕하세요. 저는 openweb이 돌고 있는 서버의 주인 되겠습니다. 뭐 제목 그대로 어제 저녁 UDP Flood attack을 통한 DDoS 공격이 있었습니다. 시기적으로 오픈웹과 관련이 있을거라는 생각이 많지만 뭐 증거는 없으니 더 긴 얘기는 하지 않기로 하죠. 누군가가 UDP를 통해 굉장히 많은 트래픽을 유발시켰고, 덕분에 호스트웨이에서 제 서버를 차단시켜버렸습니다. 어떤 상황인지 체크하기 위해 잠시 풀어줬던 동안 다시 한 [...]

보안업체가 해명해야 할 한국인터넷 뱅킹의 특이점

youknowit — Wed, 01 Apr 2009 02:43:51 +0000

많은 분량의 지엽적 논의를 담은 댓글에 묻혀서, 몸통과 줄기가 가린 듯 합니다. 보안업체 관계자들은 다음과 같은 “기본적 의문점”에 대하여 해명하시면 좋겠습니다. 1. 한국 인터넷 뱅킹 보안의 ‘특이점’ 외국의 인터넷 뱅킹에 관하여 제가 아는 한에서 말씀드립니다. 먼저, 가장 확실한 차이점은, 한국처럼 “아무 설명도 없이” 플러그인을 내려주고, 보안경고창이 뜨도록 설계된 외국의 은행은 없습니다. 이것은 상식을 벗어난 것입니다. 둘째, 언제나 최신 웹브라우저로 [...]

씨티은행이 내 컴퓨터에 설치하는 프로그램 ㅠㅠ

youknowit — Mon, 30 Mar 2009 11:44:46 +0000

씨티은행이 내 컴퓨터에 설치하는 프로그램은 하루가 다르게 바뀌는 군요. 약 열흘 전에는 이런 프로그램을 설치하였더랬습니다. 그런데, 오늘은 좀 다르군요. “XSafe” 와 “웹 가속기”는 슬그머니 빠졌네요. 왜 그랬지요? 뭔가 캥기는 것이라도… 아니면, 이 두 프로그램은 원래 포함돼서는 안되는 것인데, “실수로” 제 컴퓨터에 한번 설치해 봤나요? 아니면, beta 또는 alpha 버전인데, 실제로 VIP 고객들에게 배포하기 전에 “테스트 차원에서” 저같은 [...]

씨티은행은 ‘함정 프로그램’ 배포를 중단하기 바랍니다.

youknowit — Sat, 28 Mar 2009 23:47:41 +0000

한국 씨티은행 은행장 귀하 서울 중구 다동 39 (우: 100-180) 2009.3.27.자 후속 문의/요청에 이어 다음과 같이 요청하오니, 신속히 처리해 주시기 바랍니다. 1. 귀측 제공 ‘보안프로그램’의 실상을 고객에게 정확히 안내하기 바랍니다. 귀측 고객 상당수는, 귀측 제공 ‘보안프로그램’이 상시로 자기 PC를 보호해 준다고 믿고 있습니다. 고객들이 그렇게 오해하고 있다는 사실을 귀측도 알고 있습니다. 귀측 제공 ‘보안프로그램’은 고객이 한국씨티은행 사이트를 벗어나는 순간 어떠한 [...]

“은행 및 금융기관 사이트 액티브X 없애주세요” 서명 동참 부탁드립니다.

youknowit — Sat, 28 Mar 2009 13:19:02 +0000

은행 및 금융기관 사이트 액티브X 없애주세요 라는 다음 아고라 이슈 청원에 많이 동참, 서명해 주시기 바랍니다. 은행이 고객PC에 무슨 프로그램을 강제로 깔겠다면서, 그 프로그램이 고객PC에서 무슨 일을 하는지를 정직하게 안내하지 않는다면, 사리에 맞지 않겠지요. 자기 컴퓨터에 무슨 프로그램을 깔겠다면서 “예”를 하라는데, 뭔지는 알아야 하지 않겠습니까?

한국씨티은행의 ‘궤변’

youknowit — Fri, 27 Mar 2009 17:58:59 +0000

어제 소개해 드린 한국씨티은행의 답변은 보안업체 관계자와 법률가가 머리를 맞대고 열심히 노력한 흔적은 보이지만, 결국은 자기 꾀에 넘어간 것 같습니다. 한국씨티은행은 해당 조항 단서(”다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능”)의 “해제 가능 주체는 금융기관으로 해석해야 할 것”이라는 주장을 펴고 있습니다. 이 주장에 터잡아 한국씨티은행은 고객이 동의하는 경우 보안프로그램을 해제되게 하는 것도 가능하고, 해제 못하게 [...]

한국씨티은행에 대한 후속 질문

youknowit — Fri, 27 Mar 2009 06:08:10 +0000

한국 씨티은행 은행장 귀하 서울 중구 다동 39 (우: 100-180) 귀측 2009.3.26.자 회신 감사드립니다. 다음과 같이 후속 문의/요청 드리오니, 신속히 처리해 주시기 바랍니다. 1. 전자금융 감독규정 시행 세칙 제29조 제2항 제3호 귀측 회신의 요지는, 위 시행세칙 규정은 “본인이 동의하는 경우에는 보안프로그램 해제 가능”이라고만 되어 있을 뿐, “본인이 동의하는 경우에는 보안프로그램 해제를 가능하게 해야 한다”는 취지가 아니라는 것으로 보입니다. 따라서, [...]