아무래도 이번 공인인증서 문제는 방향을 잘못 잡은거 같습니다.

공인인증서가 털린 사례는,

공인인증서 자체가 해킹 당한게 아니라,

공인인증서 보관을 잘못해서 털리는거죠.

집열쇠 가지고 다니기 귀찮다고, 대문옆 화분 및에 숨겨두고 다니면서,

나갔다가 집에오니 도둑이 열쇠를 따고 들어왔다며,

열쇠쟁이 불러다 불량 자물쇠랑 열쇠 준거 아니냐고 난리치는거랑 같은 꼴입니다.

그나저나

기사에는 마치 공인인증서 '금지'인 것처럼 표기를 했던데,

'자율'이라는 말씀이군요?

그렇다면 그나마 좀 다행... 일까요?

그러면 사실상 똑같겠네요.

대안이 되는 보안이 없는데,

어떻게 함부로 치울까요?

그리고

'다른 방법'이요?

ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

웃은거 죄송합니다만,

이건 정말 웃어주고 넘어갈 문제라서 죄송합니다.

지금 하는 보안도

돈 아깝다며 철저하게 안해놓는 통에

서버가 털리고, 저급 쓰레기 보안툴만 까는 실정에,

다른 방법을 도입한다구요?

'액티브X금지, 공인인증서 금지'

이런식으로 '금지'로 하지 않는한은

절대로 공인인증서 안치웁니다.

잘해봐야 '외국카드 결제 가능'일겁니다.

그나마도 결제사고 터지고 소송먹고 도로 접을 가능성이 높아요.

왜 안치우겠습니까?

공인인증서수준의 보안을 제공하려면,

그만한 돈을 또 더 들여야됩니다.

공인인증서보다 '획기적으로 뛰어난' 수준이 아니면, 돈을 굳이 더 들일 이유가 없습니다.

그러니 내국인 상대로는 풀어주지 않을겁니다.

설사 하더라도, 결제사고 줄줄이 터지고 소송 먹고 도로 공인인증서 올릴걸요?

'자율'인 이상은 그렇게 됩니다.

추가 비용 지출없이 그만한 보안 시스템 만들기도 쉽지 않으니까요.

제가 자주 말하지만,

공인인증서가 악성코드를 불러오는게 아니라,

사용자가 다른곳에서 악성코드 묻혀와서는 털리는겁니다.

피싱이 저절로 되는거 봤습니까?

뱅킹전용으로 은행사이트만 들어가는데 피싱 되던가요?

결코 아니죠.

각종 불법사이트에서 프로그램 받다가, 야동받다가 걸려서 오는 겁니다.

악성코드와 바이러스의 원흉은 따로 있는데,

공인인증서 치운다고 답이 나오나요?

그나마 은행권은 낫습니다.

OTP나 하다못해 보안카드라도 있죠.

근데 쇼핑몰은...

진짜 암담합니다.

카드정보 다 유출됐고,

얼마전 여기 자게에도 소액결제 수십 만원어치 당한 분도 있는 마당에,

이제 '빗장'을 풀어제낀겁니다.

누가 수백만원짜리 물품 결제하고 튀면?

그건 누가 책임질까요?

지금까지는 공인인증서 덕분에 그게 불가했습니다만,

이젠 됩니다.

보상받는다?

애초에 

'보상받을 일이 안생겨야' 좋은거 아닌가요?

애초에 공인인증서가 그러자고 나온겁니다.

공인인증서가 털릴수는 있어도,

없을때보다는 백번 낫습니다. 천번만번 낫습니다.

정말 부디,

공인인증서 기본세팅하고,

요구하는 사람만 풀어주는 형태로 갔으면 좋겠습니다.

풀어줄때는 공인인증,본인인증 다 하고 풀어주기로요.

적어도 그래야 '비교'라도 되지 않을까요?

아무리봐도 외국은 몰라도,

우리나라는 결제사고가 줄줄이 터질게 빤히 보이는데,

제발 제껀 공인인증서 안풀어주길 간절히 바랍니다.

공인인증서가 제공하는 "본인이 거래한 것이라는 책임증명" 기능을 믿고

지금까지 금융회사들이 보안에 별로 돈 많이 투자하지 않아도 되었는데

이제는 그렇게 안이하게 넘어갈 수는 없을겁니다.

외국 어느 나라에서도 금융거래 할 때 공인인증서를 쓰도록 강제하는 나라가 없어요.

어디까지나 자율이고 

뚫리면 기업이 망하던말던 알아서 책임지는거죠.

우리나라 기업을 뚫려도 책임안져도 되게끔 "무조건 공인인증서를 쓰도록 해"놓았으니

뚫려도 책임안지는데 보안에 돈을 왜 투자합니까?

그러니 뻥뻥 뚫리죠.

앞으로 돈 들이면 더 좋은 방법 도입할 수 있습니다.

우리나라 금융회사들이 돈 들이기 싫어서 안하는 거지 방법이 없는게 아니죠.

외국에 있는 금융회사들은 보안 대충대충 하다가 까딱하다가는 회사망하게 생겼는데 돈 안들일까요?

덩치도 크고 보유한 돈도 국내금융회사 보다 많은데...

수요가 있는데 공급이 없겠습니까?

불편하면 무조건 다 풀어제끼면 되나요?

그러면 백신은 무슨 소용인가요?

백신도 진짜 불편한데, 백신 왜 깔죠? 없으면 참 편하고 좋은데요.

금융기관이 공인인증서 쓰는건

단순히 '회피'용도가 아닙니다.

그게 이유라면, 공인인증서 고도화다 뭐다 기타 여러부분에서 업데이트 할 이유가 없습니다.

회피만이 목적이 아니라,

사고 발생 자체를 줄이자는 겁니다.

역설적으로 그것을 위한 액티브X가 악성코드를 불러들이는 꼴이 됐지만,

적어도 공인인증서의 보안 자체는 성공한 셈입니다.

사용자가 아무데서나 막 Yes맨이 되어서 악성코드 다 긁어올 줄은 몰랐던게 문제일뿐이죠.

현재 공인인증서는 2048비트 보안입니다. 

모르던 사람은 자릿수 보면 뭔 뻘소린가 싶을 정로 감이 안올수도 있습니다.

2^2048승입니다. 계산 되시나요?

128비트 SSL만 주구장창 외치는 분들은 정작 이건 모르데요.

겨우(?) 2^128승을 그렇게 찬양하는 분들이, 정작 2048비트는 못 믿으시겠다는군요.

실제로 공인인증서 피해는 대부분이

정말로 '관리소홀'이기 때문에 그런 결과가 나오는겁니다.

공인인증서가 해킹된게 아니라, 공인인증서가 '유출' 된거죠.

혹은 공인인증서 재발급이 가능한 수준의 개인정보가 털린거구요.

게다가 근래 금융기관 털린 유명사례는

공인인증서 문제와는 '100% 관계없습니다.'

서버에 암호화없이 보관하던 정보를 복사해가고,

KT처럼 무작위 대입 가능한 일련번호로 개인정보 조회를 허가해서 털리고,

메모리해킹등으로 웹페이지 자체 해킹으로 계좌번호 바꿔치기등을 하고...

공인인증서의 책임이 없다는 얘기가 아니라,

공인인증서 없이 그 어떤 보안 수단이 있더라도,

똑같이 발생했을 사건들이라는겁니다.

(특히 메모리 해킹의 경우 더 취약할 수밖에 없어집니다. 그나마 공인인증서나 보안툴이라도 안깔아주면...

작년 메모리 해킹 사건도, 보안 제대로 안하고 취약한 은행 2곳에서 벌어진 사건이라더군요. 다른 곳은 '못했다'고 범인이 진술했다고 들었던거 같네요.)

그런데 뭔가 하는 '액션'은 있어야하고, 선거도 다가오니까,

'옳다구나' 싶은겁니다. '꺼리'를 찾은것 뿐이죠.

그리고 윗 댓글에도 말했지만,

'다른 보안' 도 쉽게 못씁니다.

2048비트 보안 할만한게 또 뭐가 있을까요?

있다한들 '추가비용'들여서 만들어야됩니다. 사오거나.

그러느니 욕 좀 먹어도 차라리 공인인증서 유지하는게 낫습니다.

줄소송으로 난리 치느니 그게낫죠.

게다가 지금 나오는 얘기는

보안을 얘기하는게 아닙니다.

그냥 '카드결제만 되게 해라' 이게 답니다.

보안을 강화하거나 동등 수준 유지는 전혀 없이

'외국인들이 물건 못사니까 30만원 이상결제는 공인인증서로 제한하는 현행방침을 없애고,

카드 결제 무제한으로 만들어라' 이겁니다.

그에 대한 대책은 누구도 내놓지 않았습니다.

이런데 전혀 걱정이 안되시나요?

공인인증서를 유지하고 안하고는 각 업체가 알아서 할 일입니다.

소비자가 공인인증서 쓰기 싫어하는데 매출에 타격이 온다면 업체가 그걸 계속 써야 할 이유는 없겠죠.

지금도 공인인증서 번거롭게 생각하는 사람 많습니다.

방법을 정해 주지 않은 이유는 정해주면 그 방법만 쓸까봐

그래서 그 방법 뚫리면 또 이렇게 될까봐 안정해주는거지요.

2048비트 보안을 하던 안하던 공인인증서 체계가 이미 뚫렸는데요 뭐

아예 재발급을 받아버리는데 2048비트가 무슨 소용인가요?

암호 넣을 필요없이 그냥 새로 하나 만들면 그만입니다.

너무나 상세한 개인정보가 털려서

지금이라도 공인인증서 재발급받아서 카드결제해버리면 막을방법 있나요?

외국인 카드결제무제한이 된다고 하더라도

카드사 또는 물건 판매자가 책임질 일이지 소비자가 뭐가 걱정인가요?

정말 어떻게 될지 모르겠군요.

결국 털려봐야 사람들이 정신들을 차릴건지...