웹표준? 인터넷 뱅킹? 누구 잘못일까요?

최근 오픈웹의 소송이 최근 폐소했다는 기사가 나왔고 한동안 말이 좀 있다가 다시 사그라든 요즘, 나는 좀 다른 식의 접근을 좀 해보고 싶다.

오픈웹의 소송 취지는 내가 알기로는 IE 이외에 모든 브라우저와 플랫폼(리눅스와 OSX)에서도 동작가능한 전자정부와 인터넷 뱅킹등의 기본 정보 접근권을 달라는건데, 나는 약간 축소해서 보겠다.

좋다. 모든 플랫폼은 그렇다고 치자. 일단 윈도에서 IE를 제외하고 다른 브라우저에서 인터넷 뱅킹이 안되는 이유는?
예상가능한 이슈는 가장 핵심은 "공인인증서"이다. 아닌가? 공인인증서 이외에 다른 이슈가 큰게 있는가? Channy's Blog 등에서 지켜본 결과는 SSL 이외에 공인인증서에 논점이 집중되어 있다고 보는데. 내가 잘못 이해하고 있다면 어쩔 수 없고.

일단 사용이 가장 까칠한 부분이니까 여기부터 짚고 넘어가자.
(다들 알고 있는데 모르는척 하는건지, 아니면 모르고 있었는지는 모르겠지만.)
내 PC의 파이어폭스에서 "about:plugins"를 한번 실행해보자. 재미있는 사실 하나가 있다.
사용자 삽입 이미지

위의 화면에서 재미있는 문구가 하나 보이실거다. 뭐냐고?
"npINISAFEWeb60" 이게 뭘까요? 바로 이니시스에서 만들어낸 INISafe 공인인증서 모듈이다. 앞의 "np"는 Netscape Plugin이라는 접두어니까 재끼고. 누가 공급했는지도 알겠지?

증거를 하나 더 보여준다.
http://bank.kbstar.com/XecureObject/xecureweb_001.js
이건 XecureWeb이라고 소프트포럼에서 나온 놈인데, 은행이나 금융권에서 이니텍 아니면 모두 소프트포럼꺼럴 사용하고 있다. 해당 스크립트는 국민은행꺼다.
위의 스크립트를 조금만 뜯어보면, 다음과 같은 내용을 찾을 수 있다.
if( IsNetscape60() )
{
errCode = document.XecureWeb.nsIXecurePluginInstance.LastErrCode();
errMsg = document.XecureWeb.nsIXecurePluginInstance.LastErrMsg();
}
else
{
errCode = document.XecureWeb.LastErrCode();
errMsg = document.XecureWeb.LastErrMsg();
}
얼라? XecureWeb 스크립트에 웬 넷스케이프? 뭐가 좀 이상하지?
XecureWeb은 분명 공인인증 모듈인데 웬 넷스케이프 관련된 에러 처리가 포함되어 있지?


이제 먼가 좀 느끼시는가? 사실상 그렇다. 알고 있으면서도 모른척했거나, 아니면 관심이 없었거나.
"이미 오래전에 파이폭스에서도 (기술적으로) 인터넷 뱅킹은 가능했다."
내가 이 사실을 발견한 것만해도 벌써 2년이 다되어 간다. 모 증권사에는 Xecure 관련 문제가 있어서 내가 직접 작업해준적도 있다. 물론 꽁수를 썻지만.(사실 부끄럽게 생각한다.) 그때 발견한 내용이다.

하지만, 왜 우리는 아직도 파이어폭스에서 지긋지긋한 웹표준 논쟁을 하고 있을까? 분명 Xecure에서 사용할 수 있는 준비는 되어 있는디.
국민은행을 접속해보았다. 파이어폭스로.
사용자 삽입 이미지

뭐 결과야 여러분들이 예상하는 그대로.
위에 포함된 문구.
인터넷 브라우저가 인터넷익스플로러가 아닌 경우 보안모듈이 정상작동되지 않습니다.
고객님의 정보보호를 위하여 로그인을 제한하오니 양해해 주시기 바랍니다.
말은 바로하자. 보안모듈이 정상동작하지 않는게 아니지. 뭐가 제대로 동작안할까?


자. 이제 잘못과 죄에 대해서 이야기해보자.
국민은행과 같은 웹상의 인터넷 뱅킹을 위해서 뛰어드는 관계자를 정리해보자.
1. 이니텍이나 소프트포럼 같은 보안 관련 업자
2. 키보드 보안이나 바이러스월을 제공하는 보안 솔루션 업자
3. 웹을 실제로 개발하는 웹 에이전시
4. 그리고, 국민은행과 같은 클라이언트
5. 정보보호나 기타 프로젝트를 평가하는 감리자.
그거 이외에 몇몇 솔루션 업체들도 엮여 있다. CRM이라던지. 트랜잭션 처리 같은. 보통은 backend이거나 그닥 소비자 입장에서 중요한 핵심은 아니까 재낀다.

이제 이야기해보자.
1. 이니텍이나 소포. 아예 잘못이 없다고 말하기는 힘들지만, 그래도 최근에 노력하는 모습은 보인다. "집행유예"
2. 안철수 바이러스 같은 백신 업체. 내가봐서는 무죄다. 윈도용 이외에 만들 이유도 별로 없을 뿐더러, 앞으로 논의할 죄값에 의해 면죄가 가능하다고 본다. 물론, 약간의 책임은 있다.

3. 이제 중요한 웹 에이전시.
국민은행과 같은 홈페이지를 국민은행이 직접 개발했다고 믿는 사람은 없지? 그렇다. 보통은 SI에게 넘겨주고 다시 에이전시에 넘겨준다. (참고로 나는 국내에서 꽤 알려진 웹에이전시에서 근무했었다.)
에이전시는 이제 홈페이지 디자인을 하고, 기간계 연결을 하고, 열심히 덕지덕지 웹 페이지를 개발한다. 이른바 "개노가"다.

주여, 이들에게 죄를 물어야 하나이까? 내가 봐서는 돌던지기는 힘들다. 그렇다고 아무 죄가 없다는 것은 아니다. "죄 없는 자, 그에게 돌을 던지라."
왜냐고? 그들은 계약에 의해서 움직인다. 매우 짜디짠 예산에 속박되어 있다. 알잖아, 국내의 MM에 의한 단가 산출 방식. 갑 - 을  - 병 - 정. 다단계 구조.

물론, 그들이 잘못이 없는 것은 아니지만, 약한 죄값을 받을 필요는 있다.

4. 그럼 발주한 국민은행과 같은 금융권.
그들이 이번 사태의 진정한 주역이며, 주범이다.
"제가 개발한거 아닌데요." 그렇게 주장해도 소용없다. 니덜이 발주낼 때, "웹표준" 준수를 조건에 내걸었어야 한다. 계약 사항을 준수 못하는 업체는 아예 입찰도 안받으면 된다.
그럼 자연히 에이전시들은 관련 인력들 확충하고 난리를 치면서 첫 1~2년은 그렇다고 치고, 3년 넘어가면 적응했을 거다.

하지만, 니덜이 한건 무엇인가?
국민은행.(미안하다. 자꾸 앂어서.) 내가 자주 쓰는 은행이라 그렇다.
"국민은행 홈페이지 개편" (2008년 1월 11일, 국민은행 공지)

▶ www.kbstar.com 온라인금융서비스의 웹2.0 신 트렌드 주도
▶ 피싱 예방을 위한 개인화 이미지 적용
▶ 시각장애인을 위한 음성정보서비스 등 정보화 소외계층 이용편리성 증대

KB국민은행(은행장 강정원)은 1월 13일(일) 고객의 사용 편의성 향상과 최적화된 개인화 서비스가 가능하도록 홈페이지 (www.kbstar.com) 를 전면 개편한다고 11일 밝혔다.

금번 홈페이지 개편으로 kbstar.com은 ‘금융섹션’, ‘My KB’ 등 새로운 서비스를 선보임으로써 온라인금융서비스의 웹2.0 트렌드를 주도할 것으로 보인다

좋것다. Web 2.0 트랜드 주도해서. 좋것다. 음성 정보 제공해서. 그래서 시각장애인들이 어지간히도 좋아하겠다.
그래서 한게 뭘까요? 홈페이지를 "플래쉬로 떡칠"한 것을 Web 2.0이라고 말하는 당신.

그렇게 떠들고 다니지만 않았어도, 모든 죄를 받지는 않았을 것이다만, 어쩔 수 없다.

당신이 모든 죄를 뒤집어 써야 한다.

참. 바이러스 보안 솔루션 문제. 이건 니덜 정책의 문제다. 사용자가 선택할 수 있는 문제들 왜 "의무"로 떠넘기니? 그래서 안철수 연구소는 면죄부를 받을 수 있다고 보는 거다. 위에서 그렇게 만든거니까.

5. 프로젝트를 감리 또는 관리 감독한 기관의 책임.
금융은 모두 금융감독원의 관리/감독을 받게 되고, 전산 프로젝트도 모두 감리 등의 절차를 거친다.
보안 모듈에 대해서 모든 지침도 여기서 떨어지는거고.
당신들은 무죄라고 생각하나? 그렇지 않다. "책임 방관"에 대한 책임은 지셔야한다. 분명 현실로 대응가능한 방안이 있었지만, 어떤 행동도 취하지 않았다.
알면서 모른채했다면 "방관자"이며, 몰랐다면 "업무 방기"가 될 것이다.


이야기가 매우 길었다.
결론적으로 말해보자.
금융권은 다음과 같은 조치를 취해야한다. 그래야 그래도 면목이 서는 거다.
1. 리눅스는 바라지도 않는다. 윈도 파이어폭스에서 실행은 되게 해라.
2. 플래쉬 떡칠하고 저희는 웹 2.0이니 웹표준이니 준수했단 이야기 하지마라. 그건 어디에도 안맞는 말이다.
3. 앞으로 발주낼때 제발 이 부분에 대한 부분을 집어 넣어라. 그거 하나만 넣으면 된다.
"본 프로젝트는 W3C에서 제공하는 웹표준에 근간해서 개발한다."
이거 안지키면 검수 안시키면 되잖아?

웹표준. 누가 죄인인지 이제 좀더 명확해졌나?

참, KLDP에서 이런 문제에 대해서 이미 인지가 있었군요.



Trackback 3 Comment 11