국민은행 입금계좌보호 시스템이 뭔가 했더니…

By | 2006년 10월 31일

[2006-10-30] 파이낸셜뉴스 – KB국민銀 입금계좌번호 보호 프로그램 출시

아침에 경제지를 보다가 국민은행에서 입금계좌번호 보호 프로그램을 출시했고, 이로 인해 보안이 더 향상되었으며 별도의 프로그램 설치 없이도 이용이 가능하다고 침이 마르도록 기사를 써놨길래(뭐 보도자료 보고 썼겠지만) 뭔가 해서 들어가봤습니다.

역시 보안프로그램 한바탕 깔리는 건 여전하고(그럼 그렇지), 이체 화면에 가니 아래처럼 나오더군요.

저렇게 나오면서 키보드 입력이 원천봉쇄되었습니다. -_- 이젠 키스트로크 감지 방지용 프로그램으로도 모자라서 마우스로 다 하게 만드는군요. 아, 사람 완전 맛갑니다. 이건 인터넷 뱅킹 하는 사람을 편하게 하겠다는 건지 불편하게 하겠다는 건지 도저히 종잡을 수가 없네요.

저번에도 한번 말했지만, 우리나라 금융계쪽은 보안 보안 보안 노래를 부르다 못해 사람 노이로제 걸리기 딱 쉽게 만듭니다. 뭐 Check가 일상화된 미국하고 비교하긴 뭣하지만, 도대체 인터넷 뱅킹 한번 하려면 깔리는 보안 애드온이 몇개인지 -_-; 보안카드도 못 믿어서 두번씩 넣게 만들고, 아흐.

만의 하나를 방지하기 위해 도입한 것인지는 충분히 이해하고 있고 우리나라 금융 활동에서 보안을 철저하게 하는 건 필요하고, 또 중요하다고도 생각하지만, 솔직히 너무 심해요. 결국 사용자들을 못 믿는다는 얘기 밖에 되질 않는데, 저렇게까지 해서 사고 또 터지면 인터넷 뱅킹 전면 폐지하는거 아닌가 모르겠습니다. 창구 수수료는 그대로, 아니 그대로 받으면 양반이겠죠, 더 받으면서요. -_-

저처럼 키보드 사용 비중이 높은 사람은 어떻게 하라고… -_-; 안 그래도 이체나 대출 납입 화면에서 마지막 필드까지 다 입력하고 TAB키 누르면 엉뚱한 곳으로 포커싱 날아가서 내용 싹 다 무시되는 것도 열받는 상태인데 말입니다. 킁.

Author: 너른호수

2004년부터 모 포털 사이트 알바로 시작한, 취미로 하던 웹질을 직업으로 만든 일을 굉장히 후회하고 있는 이메일 서비스 운영-기획자 출신 앱 PM(?)-SI 사업PM. 메일쟁이로 지낸 15년에 치여 여전히 이메일이라면 일단 관심이 갑니다. 버팔로이자 소원이자 드팩민이고, 혼자 여행 좋아하는 방랑자. 개발자 아님, 절대 아님, 아니라고!

28 thoughts on “국민은행 입금계좌보호 시스템이 뭔가 했더니…

  1. aromi

    오.. 역시 국민은행이군요. 할말을 잃게 만드는..
    계좌번호 입력보다는 비밀번호 입력과 보안카드 입력, 공인인증서 패스워드 입력에 적용해야 하는게 아닐까 싶은데요.
    이럴바엔 증권사 HTS처럼 은행의 인터넷 뱅킹도 전용 프로그램 설치해서 쓰도록 하는게 더 낫겠어요.

    Reply
  2. Joel

    웅… 국민은행뱅킹 쓰는데… OTL
    이체 한번하는데 너무 오래걸리겠네요. 계좌번호를 몽땅 마우스로 치려면…

    Reply
  3. Pingback: 불친절한 개발자 wiz:]

  4. 보안..

    위에 댓글 다신 분들은 은행 보안프로그램의 체계를 너무 모르시네요
    은행 보안프로그램의 최약점은 개인 이용자의 pc에서 해킹당하는 것을 막을 근본적인 해결책이 없다는 데서 시작됩니다.
    아무리 완벽한 보안프로그램을 이중, 삼중으로 깔아도 기본적인 방화벽 조차 없는 개인 PC에서 키보드에 입력하는
    비밀번호(보안카드도 마찬가지)를 해킹하는 것에는 속수무책!!!
    기껏해야 원격으로 해킹방지, 키보드해킹방지 프로그램을 지원하고 있지만
    심지어 키보드해킹방지프로그램으로 암호화하는 내용도 개인이용자 PC에서는 복호화해서 가로챌 수 있다는게 근본 한계입니다.
    결론은 언젠가는 아주 드물겠지만 해킹에 의한 사고는 날 수 밖에 없고, 은행은 내년부터는 해킹대비 보험에 의무가입하도록
    되어 있습니다. 따라서 은행들이 개인 이용자 PC에 대해서는 근본적 해결책이 없다는 걸 알면서도 이런 저런 고육지책을
    쓰는 것이죠…증권 HTS???\
    증권사의 보안프로그램은 은행들 쓰는 보안프로그램보다 훨씬 강도가 약합니다.
    전용프로그램에는 비밀번호 입력 안하나요? 개인 PC에서 입력하는 비밀번호는 다 똑같이 해킹됩니다.
    참고로, 증권, 보험 등은 은행에 비해서 보안투자비용이 비교도 안됩니다. 은행하면 한 1-2년 뒤에 똑같이 따라하는 정도…
    다만 어차피 헛점이 있는거라면 말씀대로 너무 지나치게 불편함을 주기보다는 보험처리 등의 방법으로 해결하고
    일년에 한번 있을까 말까한 해킹에 대해 너무 민감하지 않았으면 하는 바램은 저도 마찬가지입니다.

    Reply
    1. 너른호수 Post author

      은행을 비롯한 금융사들이 이런 문제에 대해 민감하게 반응할 수 밖에 없고, 그래서 말씀하신 것처럼 고육지책을 쓸 수 밖에 없다는 것도 이해하지 못하는 바는 아닙니다.
      그러나 말씀하신 것처럼, 그 ‘고육지책’이라는 것 자체가, 보안 수준의 향상보다 이용자가 느끼는 불편함쪽으로 무게 중심이 쏠리게 되면 이용자로써는 도대체 인터넷 뱅킹을 왜 써야하는가- 라는 의문점에 도달하게 되죠. 단순한 수수료 비용이 싸다는 이유만으로 더 불편하고, 그것으로 인해 금융 업무 처리상에 있어 이용자들이 체감할 수 있는 업무상 효율이 상대적으로 떨어지게 된다면 선택의 폭은 더욱 좁아지게 됩니다. 더군다나 지금처럼 플러그인이 보안 강화보다는 ‘브라우저 킬러’로의 역할을 더 충실하게 수행하는 상황에서는 말이죠.
      최근 몇년간 은행권들이 인터넷 뱅킹, 텔레뱅킹의 비중을 높이면서 지점 창구를 대폭 줄이고 있고, 덕분에 인터넷 뱅킹, 텔레 뱅킹을 사용하지 못하시는 분들의 불편이 더욱 가중되는 마당에, 그나마 쓰던 사람들도 인터넷 뱅킹 불편해서 못 쓰겠다고 창구로 몰리면 과연 해당 은행에 대한 만족도가 높아질 것인지 모르겠습니다.
      제 생각으로는 지금 현존하는 보안 툴에서 한두개 더 붙이고, 사용자 더 불편하게 한다고 해서 사고율이 더 낮아질 수는 없다고 봅니다. 사고의 가장 큰 원인은 사람에게 있으니까요. 열 포졸이 한 도둑 못 잡는데, 포졸을 20명으로 늘려봤자 동네 분위기만 엄해지고 도둑 잡는 확률은 동일하거나 상승해봤자 아주 미미한 정도일겁니다.
      해킹대비 보험 가입이 의무화되어서 가입해야한다는 얘기를 보고, 그동안 은행권들이 얼마나 보험처리를 통한 방법보다는 이용자들의 불편을 가중시키는 보안 프로그램을 붙여가면서 될 수 있는 한 책임의 소재를 자사로 돌리지 않기 위해 안간힘을 써왔는지 어렴풋이 알 듯 합니다.
      다만, 금융사와 어떤 형태로던 관계가 있으신 듯 한데, 글 말미에 남겨주신 말씀이, 앞으로 무언가 달라지지 않을까- 하는 일말의 희망을 가지게 해주시는군요. 뭐 제 착각일 수도 있지만.
      장문의 글 감사합니다.

      Reply
    2. 너른호수 Post author

      그런데 사실 저 국민은행의 입금계좌 보호 시스템은 정말 에러라는 생각 밖에 안 듭니다.
      맘 먹고 덤비면 마우스 좌표라도 분석해서 하겠습니다.

      Reply
  5. ㅂㄹ

    그래서. 은행이라고 손해를 볼 수 없으니까. 유저가 “참을만한” 불편함과 안전성 사이에서 줄타기를 하고 있으니까 이쁘게 봐달라?
    이보세요. 말로만 선진국 따라가지 말고 (특히 수수료만) 기본적으로 좀 믿고 시작하자는 것도 따라가면 안되겠습니까?
    개인 PC 허술한거 누가 모릅니까? 그래서 당장 먹기좋은 떡으로 보여서 activeX 컨트롤로 떡칠해서 ‘일부’의 불평불만분자 외의 모두가 ‘은행에서는 보안프로그램도 백신도 무료로 제공하니 백신이 필요하면 그리로 가세요’ 라는 말이 나올 정도로 과다한 서비스를 제공해주니 졸라 감사해야겠네혐?
    보안카드만 쓰다가, “한국내 공인” 인증서를 위한 프로그램 강제 설치를 의무화하고, 설치하지 않거나 설치할 수 없는 유저는 아주 일부니까 trade-off 대상이 되어 버리고, 애초에 ‘일부’를 빼놓고는 다 되니까 이거띄우고 저거띄워서 시간이 좀 걸리더라도 보안을 위해서니까 입닥치고 써야겠네혐?
    한국내 많은 은행들이 “수수료 영업과 자동화를 통한 비용절감만을” 따라하고 싶어하는 선진국 은행에서는 적어도 기본적으로 ‘일부’를 줄이기 위해 노력합니다. 하긴 대~한민국이 비정상적으로 ‘일부’가 적긴 하네요. :3 고객을 그렇게 못믿으면 대체 왜 허용을 한겁니까. 남들 다 하니까? 있어야 하니까? ㅆㅂ 이뭐병.. 누군 몰라서 말 안한 줄 압니까. 과다한 서비스 제공하다가 나중에 Vista처럼 개발자들 뒤통수치고 등쳐먹는 사양 변경이 생기면 그땐 어떻게 할겁니까. 그때도 유저한테 프로그램 설치하든지 아님 못쓰는거지 ㅇㅁㅂ 할겁니까? 당장 답이 안나오는데 어떻게 할건데요?
    아 썅. 주인장이 물었나 안물었나 확인하러 올지 안올지도 모르는 낚시바늘 하나땜시 내가 낚여서 퍼덕대야하나… 가뜩이나 이 블로그 주인도 사실 대해에서 고기를 낚는 원양어선 선장ㄴ.. (읍읍)
    ps. 호수횽. 다음 단계는 아마 레이어 좌표바꿔서 랜덤화할걸? 혹시 모르지. 번호배치를 좌우로 아님 세로로 길게 배치할지도 ㄲㄲㄲ

    Reply
  6. aromi

    ‘보안..’님 금융권에 계신가본데, 저도 금융권 관련 업체에서 인터넷 관련업무 개발하는 사람으로 “사용자 PC의 보안을 서비스 회사가 책임지라”는 금감원 보안지침 정도는 압니다.
    HTS 이야기는 사용자를 불편하게 할 바에는 차라리 전용 프로그램을 배포하라는 비꼼일 뿐입니다.
    여담이지만, 증권사의 HTS는 지금 당장은 보안에 다소 취약한 부분이 있지만 제대로 구성한다면 웹페이지보다 훨씬 더 안전하게 만들수도 있습니다. (가드캣이라도 올린다던지; ) 오히려 웹페이지쪽이 IE의 보안강화로 인해 스크립트로 접근 불가능한 특정 기능을 우회하여 사용하려고 보안홀을 만드는 경우도 있고, jsp나 javascript 등 여러 언어가 동시에 사용되는 웹페이지 특성상 개발자의 숙련도 미숙으로 보안홀이 생기는 경우도 있습니다. 또한 맥쓴 같은 IE의 DLL을 끌어 만든 사용자 정의 브라우져의 확장기능 혹은 파폭 등의 확장기능도 위험할수 있습니다. 이런저런 가능성을 따지면 웹페이지는 그다지 안전한 플랫폼이 아닙니다. 그런다고 점점 사용자를 불편하게 하는것보다는 차라리 전용 프로그램을 배포하는게 더 나을지도 모르죠.
    언급하신 보험가입도 보험사 입장에서는 뻥뻥 뚫려서 보험금 지급이 일어나는것을 원치 않을 것이므로(질병위험이 있는 사람-고혈압 등-의 보험가입이 제한되는 것처럼) 사용자의 불편은 줄어들지 않을것으로 보입니다.

    Reply
    1. ㅂㄹ

      반농담 반진담으로 가드캣은 추천안합니다..
      (….이거 나 아는 사람들은 대체 어떻게 받아들일 말일까….)
      역시 검증된 엔프로텍트나.. orz
      ps. 진지하게 받아들이시면 골름..

      Reply
    2. 너른호수 Post author

      aromi – 보험을 빠끈하게 적용하느니 차라리 이용객 늘리면서도 보안강화를 명목으로 어떤 녀석들이 나타나게 할지 걱정부터 앞서는군요;; 이러다가 계좌 이체 한번 할때마다 지금까지의 모든 인증 방법 + 핸드폰 본인 인증 + 신용카드 본인 인증 + 기타 등등 이렇게 되는거 아닌가 모르겠네요. -_-;
      ㅂㄹ – 엔프로텍트가 내 브라우저 잡아먹은게 몇번인데.. orz

      Reply
  7. Joel

    오늘 테스트해봤는데요… 자주쓰는계좌에(그곳은 키보드로 입력가능!) 등록시킨 다음에 이체하고나서 계좌를 지우는 게 더 빨랐습니다. (…)

    Reply
  8. astraea

    OTP 가 그나마 가장 확실한 보안 대책 같아보이는데 말이죠
    왜 그런 비용은 아까워하는지,,쩜쩜

    Reply
    1. astraea

      신한은 도입한다고 들었어요
      연말까지 otp 무료 보급한다고
      신한이 시작했으니 다른 은행도 따르길 기도해야죠;;
      하지만 hsbc 처럼
      otp 만으로도 충분해 보임에도
      멋진 금감원 지침이 변하지 않는한
      activex 등의 압박은 계속될듯;;;

      Reply
  9. ㅂㄹ

    HSBC OTP쓰는데 XecureWeb도 같이 씀. XecureWeb 세션 초기화 -> 아이디 패스워드 OTP -> 로그인 -> 이체 -> 마지막단계에 OTP 입력..
    ㅈㄴ 이뭐병인게 한국어 상태가 아닌 윈도우에서는 첫화면까지만 볼 수 있고 타기능 클릭하면 뭐 에러나는지 에러페이지만 덩그러니.. ㅆㅂ 그래도 외환은행 페이지는 타국어 윈도우에서도 잘 동작하는데…
    제일 나았던 은행 페이지가 금감원 지침인지 뭔지 덕분에 제일 ㅈㄹ같이 바뀌었음 ♬ ㅠㅠ

    Reply
    1. astraea

      네,,저도 들었어요
      제일 보편적으로 이용 가능했던 HSBC 가
      멋지구리한 금감원 지침 덕분에-_-;;

      Reply
  10. N.S.Dolti

    은행 서비스를 이용할 때 마다 제일 뭔저 생각나는 축약형 표현이 바로 ‘이뭐병-_-;;’입니다..ㅡ.,ㅡ;

    Reply
  11. ㄱㄴ

    되네요….
    입금계좌보호 시스템은 키보드 입력을 마우스 입력으로 바꾼것 외 또 있습니다.
    두두둥~.. 비밀 공개…
    input Element의 이름을 랜덤으로 바꿔주는
    기발(?)한 방법도 있는것 같습니다.
    글구 신한은행 OTP는 계좌 잔액 5000만원 이상 고객만 무료~
    OTP 가격이 무지 비싼것 감안하면 아직 멀었지 않나 생각합니다…..
    언제쯤 잘 될런지…..

    Reply
    1. 너른호수 Post author

      신한은행 OTP는 신청 고객 모두에게 12월말까지 무료로 줍니다. 이벤트 기간 종료 후에는 15,000원에 판매한다고 하더군요. OTP가 약 2년간 사용가능한 것으로 알고 있는데 무료로라면 말할 것도 없고 15,000원의 가격도 그다지 부담은 없군요.
      5천만원 이상 이체 고객에게는 권장 및 의무사항이라는 것을 잘못 해석하신 듯 합니다. 이체 한도가 5천만원 이상인 신한은행 인터넷뱅킹 고객이 OTP를 발급받지 않을 경우 이체 한도가 강제로 5천만원으로 조정된다고 하는군요.

      Reply
  12. 김현철

    음… 항상 모바일 뱅킹으로 결제 또는 이체하는 저로서는 무슨말인지 하나도 모르겠습니다.^^;;

    Reply

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다