본문 바로가기

I Think

온라인뱅킹과 인증서와 주민등록번호의 삼각관계



인증서는 보안카드를 가지고 있고 주민등록번호 비밀번호 계좌번호 등을 입력하면 받을 수 있다. 온라인 뱅킹을 해킹하려면 기본적으로 주민등록번호와 비밀번호 계좌번호 등은 어떤 수를 쓰든 알아내야 한다. 각종 '비밀' 번호들이 해킹으로 뚫린 후라면 보안카드만 있으면 인증서도 받을 수 있기 때문에 최종 보호막은 보안카드이며, 보안카드가 뚫리면 인증서는 무용지물이 된다.

보안을 위한 방어막을 두 개를 둔다면 두개는 서로 의존성이 없어야 두 개를 쓰는 의미가 있는 것이다. 인증서는 보안카드가 있으면 바로 받을 수 있는 것이기 때문에 보안카드와 함께 쓰는 것은 넌센스일 뿐이다. 인증서를 창구에서만 usb카드로 복사해 준다면 의미가 있겠지만 지금 처럼 온라인에서 보안카드와 각종 번호들만 알면 받을 수 있는 것이라면 보안카드와 함께 쓰는 것은 아무의미 없는 짓이다.

그렇게 의미가 없는 것을 하나 더 두고 “방어막 하나 보다는 두 개가 더 안전 않느냐?” 라고 반문 한다면, 그 사람을 우리는 뭐라고 불러야 할까?   굳이 오른쪽의 네모를 마우스로 긁어 보지 않아도 우리는 답을 알 수 있다.   답: 바보

인증서는 보안카드가 있으면 발급받을 수 있는 보안카드에 종속된 방어 수단이다. 외국에서 보안카드를 안쓰는 이유가 되겠다. 아주 간단하고 단순한 이유이다.

그럼 인증서는 어느짝에도 쓸모가 없는 것일까? 인증서의 의미는 은행의 서버를 사용하지 않고도 개인인증을 할 수 있게 해줄 수 있다는데 의미가 있다. 

여기서 또 하나의 문제를 생각해보지 않을 수 없다. 우리니라는 식별번호인 주민등록번호를 비밀번호로 오용하고 있다.

성인 인증이나 제한적 본인 인증, 암호화된 메일 확인 등의 개인인증은 비밀번호로 인증되어야 함에도 불구 하고 식별번호인 주민등록번호와 이름만 넣으면 본인임을 믿어 준다. 이 무슨 얼토당토 않은 상황인가? 비밀번호를 신분증에 떡 하나 박아주나? 주민등록번호는 비밀번호니까 감추고 이름만 쓰면 동명이인과 어떻게 구별을 하나? 특허증이나 토지등기나 회사 등기부등본 뽑을때 주민등록번호 가리기를 선택 할 수 있는데, 그러면 나와 동명이인인 사람이 내 등기부등본 가져가면 내 땅이나 회사를 그 사람것으로 인정해 줄 것인가?  

아니다 주민등록번호는 식별번호로 만들어진 것이지 비밀번호가 아니다. 온라인이고 오프라인이고를 불문하고 국가가 존재하고 행정이란것이 이루어지려면 중복되지 않는 개인식뱔번호가 필요한 법이다. 그래서 우리니라엔 주민등록번호가 있고 미국엔 사회보장번호인지 난 본적도 없지만 그런 번호가 있는 것이다. 어느 나라에도 그런 번호가 없을 순 없다. 

그런 번호를 업애려면, 출생신고할때 이름이 겹치지 않도록 중복확인 하는 절차를 만들면 된다. 그러나 김부릉이라는 우리에겐 아이 이름을 자기 마음 대로 지을 자유가 있기 때문에 중복되지 않는 식별자가 필요한 것이다. 번호로 안하고 아이디를 짓도록 해도 된다. 웹사이트 가입할때 처럼 출생신고시에 아이디 지어서 중복확인 해보고 신고하면 되는 것이다.

다만 우리나라는 주민등록시스템이 전산화되기 이전에 출생신고를 받으면서 제대로 못해서 주민등록번호의 중복자가 몇 십만명이나 된다고 하니, 그 분들이 다 돌아가시기 전에는 주민등록번호 만으로도 개인식별자가 되기에는 문제가 있을것이다. 주민등록 시스템은 이름과 주민등록번호의 이중키를 채택하고 있을 것이고 앞으로도 상당기간 그렇게 쓸 것이다.

다시 인증서이야기로 돌아가서, 성인인증이나 제한적 본인인증, 보안이메일 확인 암호, 비밀번호 분실확인 등에 쓰이는 주민등록번호 대신 인증서를 쓴다면 은행창구 직원이 얼굴 확인하고 나눠준 보안카드로 받은 보안인증서라는 은행이 만든 개인인증 인프라를 공공부문이나 상거래나 일반웹사이트에서 사용하게 되는 것이다. 인증서 대신 은행의 보안카드를 쓴다면 은행의 서버를 이용해야 하지만, 은행들이 돈 모아 만든 금결원에서 받은 인증서만 있으면 은행 서버를 경우하지 않고도 국세청사이트에도 로그인 할 수가 있는 것이다. 몇몇 정부 사이트에서 은행용 공인 인증서를 로그인시 사용하는 것은 공인인증서를 개인인증수단으로 사용하는 예가 되겠다.

다만 그 실행방식이 액티브엑스를 쓰는 방식이라 큰 문제가 되고 있는 것이다. 브라우저에 내장된 인증서 관리 기능을 쓴다면 그리 나쁘지 않은 방법이라고 볼 수 있다. 아이폰의 사파리웹브라우저에서도 인증서는 사용가능하다고 하니 설치가 좀 번거로운것을 빼면 현재와 같은 큰 무리는 없지만, 컴퓨터에 익숙치 않은 사람들에게도 과연 그럴지는 의문이다.

그리고 성인인증이나 제한적 본인인증 보안메일등은 그 자체가 별 의미가 없다고 본다. 성인인증이란건 손바닥으로 하늘을 가리려는 짓임이 뻔한 의미 없는 짓이고, 포탈사이트에 왠 실명인증인가 등기부등본 떼러 포탈 들어가나? 청구서를 뭐하러 암호화하고 난리인가? 그거 시청앞에 대자보로 붙어도 별 상관없다. 리눅스나 맥 사용자들이 그깟 청구서 보러 윈도우즈를 구동해야 하나? 스마트폰에선 볼 수도 없다. 그노무 빌어먹을 액티브엑스로 만들어져 있기 때문이다.

이 쯤에서 이 모든 쓸데없는 조치들이 이뤄진 기저의 원인을 고민해 보지 않을 수 없다. 도대체 왜 우리나라만 이런걸까? 여기서 부터는 상당히 내 주관적인 추측이 되겠다. 

내가 사는 아파트의 담장에는 철조망이 추가로 둘러쳐져 있다. 그 담장옆을 따라 걷다보면 마치 얼굴에 철조망이 걸릴듯하여 위협을 느끼게 된다. 눈에 보기에도 상당히 지저분하고 거슬리기까지 한다. 얼마전엔 철조망을 치기 위해 와이자 형태로 기둥마다 박아 놓은 철구조물에 형광색 페인트를 칠했다. 누군가 길을 걷다가 거기에 걸려서 다쳐 항의를 했거나 했나보다.

그 철조망은 어떤 의미가 있는 것일까? 도둑을 막아주나? 도둑이 뻔히 열린 넓은 출입구를 세개나 두고 훔친 물건을 힘들게 들고 뭐하러 담을 넘나? 그냥 대포차타고 버젓이 출입구 통해서 주차장으로 들어와 물건 챙겨서 타고 나가면 되지 어느 미친놈이 담을 넘어다니겠는가? 출입문을 밤에라도 잠근다면 내가 말을 안한다. 24시간 열어두면서 왜 담에 집착을 하나?  이건 이성적인 판단으로 한 조치라고는 도저히 생각할 수 없다. 단지 기분만 낸 것일 뿐이다. 철조망 안친것 보다는 뭔가 도난방지에 힘쓴 것 같은 기분을 낸 것이다. 이른바 생색내기 행정과 같은 것이다. 몇몇 공무원들은 의미도 없는 일을 행사성 일을 벌여서 자기가 놀지 않고 일을 하고 있음을 알리고 싶어 한다.

문제는 이런것이 어느정도 통한다는 것이다. 우리네가 얼마나 감정적으로 판단을 하는가를 보여주는게 아닌가 싶다. 국제 스포츠 경기 결과가 나올때 마다 한번 지기라도 하면 감독을 잡아 먹을 듯이 욕하고 바로 잘라버리기 일쑤에다가 2002년 월드컵처럼 잘한다 싶으면, 온국민이 난리가 나지만 그 이후 축구는 금새 시들해졌다. 

좌뇌형 우뇌형인간 이야기를 많이 하는데, 그래서 우리나라에는 우뇌형, 그러니까 감정적인 판단을 주로 하는 사람들이 더 많지 않은가 하는게 내 생각이다. MBTI 성격유형에도 네가지 성격구분 기준 중에 판단을 이성적으로 하느냐 감성적으로 하느냐에 따라 성격을 구분하는 기준이 있다. 나라마다 MBTI유형의 분포가 다르다고 한다. 다들 하는 이야기 처럼 이탈리아와 우리나라 사람들의 성격이 비슷하다고 하는데 두 나라 사람들의 행태가 비슷한 점이 매우 많다. 이탈리아 사람들의 운전습관에 대한 풍자 동영상이 얼마전 인터넷에 유행한적이 있었는데, 딱 우리나라 사람들 운전습관과 비슷했다. 

그래서 나라별 성격 유형의 분포에는 차이가 존재하는 것 같다. 나라별 차이에도 또 많은 차이가 있어서 다른 나라와 크게 다르지 않은 나라가 있을 테고 또 많이 튀는 나라가 있을 것이다. 거기엔  생각의 지도라는 책에서도 설명하려 했듯이 서양과 동양의 차이도 분명히 존대한다. 

우리나라 사람들이 인정이 많아서 좋다는 외국 사람을 많이 본다. 감정적인 판단을 많이 한다는 것은 그런 장점도 있다. 예술적 감성이 뛰어나거나 창의력이 뛰어난 면도 있다. 신바람 경영이라는 말에도 우리나라 사람들의 감성적인 편향을 감지 할 수 있다. 신바람이 나면 좀 힘든것도 잊고 놀라운 창의력을 발휘하며 일을 해낸다는 이야기일 것이다. 

그러나 그 이면에 깊이 생각하지 못하고 기분상 하나더 끼워 넣으면 보안에 더 좋을 것이라는 착각에 온나라가 빠져 있다거나, 주민등록번호가 식별번호인지 비밀번호인지 구분도 못하고 쓰고 있는 현실이 있다.

성격유형인 MBTI는 타고나는 것이지만 고정된 것은 아니라고 한다. 자신의 판단 기준이 너무 감정에 치우친다면 이성적인 판단을 하려고 노력하고 훈련한다면 충분히 이성적인 판단을 내릴 수 있다는 것이다. 좌뇌를 써서 일을 할때는 좌뇌를 쓰고 우뇌를 써야 할때는 우뇌를 쓰는 것이 전환스위치 넘기 듯이 간단한 것은 아닐테지만, 인간이 스스로를 잘 알고 창의력을 발휘할때와 이성적 판단력을 발휘할때의 사고의 방향을 잘 제어 한다면 이 나라는 좀 더 제대로 된 세상이 될 수 있지 않을까?