리눅스 데스크톱 사용자들이 리눅스를 쓰는 데 가장 큰 불편함으로 꼽는 것 가운데 하나가 인터넷 뱅킹이 안 된다는 것이다. 새삼스러운 이야기도 아니지만 우리나라에서는 마이크로소프트의 윈도우즈와 익스플로러가 설치돼 있지 않으면 인터넷 뱅킹을 전혀 쓸 수 없다. 결국 두 개의 운영체제를 설치해 멀티 부팅을 하거나 아예 다른 사람의 컴퓨터를 빌려 쓰는 수밖에 없다. 리눅스를 쓴다는 것은 그런 불편함과 불이익을 감수하는 것이다.
그런 리눅스 사용자들에게 정보통신부 산하 우정사업본부와 한국소프트웨어진흥원이 공동으로 리눅스 뱅킹 시스템을 개발하고 있다는 소식은 가뭄 끝에 단비만큼이나 반가웠을 것이다. 그게 지난해 8월의 일이다. 우체국 계좌만 있으면 리눅스에서도 인터넷 뱅킹을 할 수 있다는 것이었다. 정통부는 내친김에 5년 안에 리눅스 사용자를 5% 수준까지 끌어올리겠다고 큰소리를 치기도 했다.
그런데 최근 들려온 소식은 그런 기대를 산산조각으로 무너뜨렸다. 지난해 12월에 개발이 끝나 석 달의 시범 운영을 끝내고도 정식 오픈이 마냥 늦춰지고 있던 가운데 국가정보원의 보안 적합성 평가 결과 최종적으로 부적합 판정을 받은 것으로 확인됐다. 흔히 금융기관의 보안 적합성을 금융감독원에서 평가하는 것과 달리 정부 부처 소속인 우체국은 국정원에서 평가를 하도록 돼 있다.
국정원이 문제 삼은 부분은 이번에 개발한 시스템이 키보드 해킹에 취약하다는 것, 그리고 바이러스를 막을 백신 시스템이 없다는 것이었다. 그러나 소프트웨어진흥원은 이런 지적에 대해 억울하다는 입장이다. 공개소프트웨어지원센터 김태열 팀장은 “보안이 아니라 어플리케이션의 부족이 문제의 핵심”이라고 지적했다. 시스템이 취약하다기 보다는 우리나라의 온라인 뱅킹의 보안 기준이 상대적으로 까다롭기 때문이라는 이야기다.
윈도우즈에서 인터넷 뱅킹에 처음 접속하면 키보드 해킹 방지 프로그램과 백신 프로그램이 자동으로 설치되고 접속할 때마다 인터넷으로 업데이트를 확인한다. 그런데 리눅스에서는 아예 키보드 해킹 방지 프로그램이라는 게 없다. 우리나라뿐만 아니라 세계 어느 나라에도 없다. 백신 프로그램 역시 안철수연구소 등에서 리눅스용 제품을 내놓기도 했지만 사용자가 워낙 적은 탓에 전혀 업데이트가 안 되고 있는 상황이다.
만약 우체국이 국정원의 보안 적합성 평가를 통과하려면 이런 보안 프로그램들까지 모두 자체적으로 개발해야 한다는 이야기다. 막대한 개발 비용을 감안하면 사실상 불가능한 일이라고 할 수 있다. 더 본질적으로는 사용자가 적고 시장이 충분히 크지 않기 때문에 이런 응용 프로그램들을 개발해봐야 개발 비용을 뽑을 수 없기 때문이기도 하다. 리눅스에서도 인터넷 뱅킹을 쓸 수 있도록 하겠다는 야심찬 계획은 그렇게 물거품이 됐다.
“이번에 개발된 시스템도 보안에 특별한 문제는 없었다고 봅니다. 다만 국정원이 요구하는 보안 수준에 미치지 못했을 뿐입니다. 리눅스의 문제라기보다는 리눅스 사용자 기반의 문제, 그리고 소프트웨어 환경의 문제라고 보는 게 맞습니다.” 역시 김태열 팀장의 이야기다. 우체국 뱅킹 사업은 현재 전면 중단된 상태다. 추가 예산 지원도 없고 예산이 있다고 해도 국정원의 기준을 맞출 방법이 없는 상황이다.
한편 농협에서도 지난해 12월부터 리눅스 뱅킹을 지원하고 있지만 농협의 경우는 와인이라는 에뮬레이터를 돌려서 리눅스 안에 윈도우즈 운영체제를 띄우는 방식이다. 리눅스 서버를 별도로 관리하는 방식이 아니기 때문에 엄밀하게 말하면 리눅스 뱅킹을 지원한다고 보기 어렵다. 특히 리눅스의 다중 사용자 모드에서는 심각한 문제를 일으킬 가능성도 있다는 지적이다.
신한은행은 2004년 5월 매킨토시 운영체제에서도 인터넷 뱅킹을 쓸 수 있도록 하는 시스템을 개발했는데 역시 사용자가 많지 않은 것으로 알려졌다. 신한은행의 경우는 웹에서 실행되는 게 아니라 별도의 프로그램을 내려 받아 구동시키는 방식인데 파일 용량이 지나치게 크고 업데이트가 안 되기 때문에 그때마다 전체 파일을 내려 받아 다시 설치해야 한다는 불편함이 있다.
이번에 우체국이 개발한 시스템은 이런 불편함을 개선했지만 안타깝게도 용도폐기될 위험에 놓여있다. 한때 리눅스와 맥 사용자들을 중심으로 프리뱅크 운동이 확산되기도 했지만 여전히 요원한 꿈으로 남아있다. 프리뱅크 운동이란 모든 운영체제에 인터넷 뱅킹을 지원하는 은행으로 예금 계좌를 옮기겠다고 선언한 것인데 워낙 사용자가 적은데다 과거 사례를 돌아보면 이들의 기대수준을 만족시키기도 결코 쉽지 않았다.
결국 사용자가 적기 때문에 응용 프로그램이 개발되지 않고 거꾸로 보면 응용 프로그램이 부족하기 때문에 사용자가 없는 악순환이 계속되고 있다. 문제는 이런 상황이 계속되면 마이크로소프트 종속이 더욱 심해진다는 데 있다. 시장 조사업체 IDC 통계에 따르면 2004년 기준으로 윈도우즈의 점유율은 99.1%인 반면, 리눅스는 0.3%밖에 안 된다. 우리나라의 윈도우즈 점유율은 다른 나라들과 비교해서도 매우 높은 편이다.
이정환 기자 top@journalismclass.mycafe24.com
우려했던대토
키보드 해킹 방지, 방화벽, 백신에서 걸리는군요ㅠㅠ
일정한 보안 기준을 주고, 그걸 통과했는지 검증/인증하는 프로그램들을 배포하며, 웹 브라우저의 플러그인이 이 프로그램들과 협업하도록 하는 프레임웍이 필요할 것 같습니다. 사실 ‘키보드 해킹’ 이니 ‘백신’ 이니 하는 기준들이 리눅스 컴퓨팅 환경에서 온당한 기준들인지부터 먼저 검토되어야겠지요.
위엣분 말씀에 대해서 잘 몰라서 그런 건데요, 키보드 해킹 방지나 바이러스 백신을 리눅스에 깔면 보안상 취약성이 더 유발되는 게 정말인나요? 리눅스에도 바이러스 백신이 몇가지 있다고 들었는데 그런걸 깔아서 보안성 취약성이 더 유발된다면 만드는 사람은 왜 만들고 쓰는 사람은 왜 쓰는 건지… 리눅스에서는 바이러스 걸려도 백신 깔아서 치료하지 말고 그냥 감염된 채로 써야 한다는 말씀인지 궁금해서 답글 달아 봤습니다.
리눅스는 윈도우즈와 다르게 다중 사용자 운영체계입니다. 아무나 쉽게 접근할 수 있는 윈도우즈와, 커널부터 보안개념이 있는 리눅스와는 보안에 관한 개념이 다르다고 할 수 있습니다. 리눅스는 바이러스가 걸리게 될 가능성이 극히 희박하고, 따라서 백신이 거의 필요하지 않습니다. 리눅스에 백신을 깔아야 한다면 root권한으로 깔아야 한다는 것이 되고, 일반 유저는 백신을 깔 수 없다는 것입니다. 백신이나 키보드 보안 프로그램 깐다고 루트권한이 필요하다면, 그것을 까는 순간 시스템은 루트권한을 백신이나 키보드 보안프로그램에게 주게되는 것이고, 잘못 설계된 백신/키보드 보안 프로그램이 리눅스에 악영향을 줄수 있는 것이죠.
그 전에, 리눅스에서 동작하는 키보드 후커나 바이러스가 일반 PC에 설치될 가능성이 얼마나 있을까요?
제가 보기에는 0%에 가깝다고 생각합니다만.
신중한건 좋지만 명분보다 실리를 우선시하면 좋겠네요.
전에 신문 기사에서 세계적으로 리눅스 유저가 증가하는 추세에 우리나라만 감소하고 있다는 걸 본 적이 있습니다. 바로 이런 것 때문에 유저들이 꺼리는 게 아닐까요?
보안도 중요하지만… 난감하네요.
리눅스용 농협 인터넷 뱅킹을 써 본 적이 있어요.
레드헷용으로만 만들어져서
Debian을 쓰는 저는 쉽게 설치할 수 없었어요.
설치파일을 대폭 수정을 해서 겨우 설치를 했긴했는데…
WINE을 설치한다는 말도없이 설치해버려서 기존의 WINE과 엉켜버렸습니다.
거기다 방화벽 관련 명령어가 Redhat과 달라서
프로그램이 방화벽을 설정하지못했고 결국 실행에 실패했지요.
결국 아무것도 제대로 되지않고 WINE만 엉켜버렸습니다. ㅠ.ㅠ