며칠 전 보도를 보니, SKT가 샵메일을 본격적으로 밀어붙이기 시작했다고 합니다. 보도의 해당 부분을 인용하면, “SK텔레콤은 이번 샵메일 서비스 상용화를 맞아 SK플래닛, SK브로드밴드, SK증권 등 관계사들과 함께 신입 및 경력사원 채용 시 제출하는 성적증명서, 졸업증명서 등을 샵메일 기반 전자문서로 받기로 했다. 향후 SK그룹 전 계열사로의 확대도 검토하고 있다”는군요.
SKT가 내놓은 샵메일 서비스 웹사이트의 주소는 www.docusharp.com 입니다. 해당 사이트에 접속을 시도하면 서버인증/암호화 접속(https 접속)으로 변환되도록 사이트가 설계되어 있는데, 윈도우에서 파이어폭스 웹브라우저를 이용하거나, 리눅스 운영체제를 이용하는 유저들은 다음과 같은 경고를 접하게 됩니다.
“보안성과 신뢰성”을 핵심 기능으로 구비하고 있다는 샵메일 서비스를 제공하겠다면서 공개한 자신의 웹사이트가 이런 문제가 있다는 것도 모르고 있는 분들이 운영하는 샵메일 서비스! 믿음이 가십니까? 이런 문제가 있다는 것을 알면서도 이런 사이트를 걸어놓고 있다면, 그야말로 더 큰 문제입니다. 현재의 인터넷 보안 기술에서 그래도 가장 중요한 신뢰 메카니즘(서버인증/암호화 접속 프로토콜)이 제공하는 가장 심각한 수준의 경고를 유저들이 “가볍게 무시하도록” 교육/훈련/세뇌 시키겠다는 발상이기 때문입니다. 이래가지고 무슨 ‘보안’을 제공하겠다는 건지요?
또 다른 샵메일 사업자인 한국무역정보통신(KTNET)이 운영하는 www.docuon.co.kr 웹사이트도 다음과 같은 경고창이 뜨고 있습니다. 그 기술적 이유는 다른 곳에서 이미 여러번 설명드렸습니다만, 한국에서 “보안” 관련 서비스를 제공한다는 업체(특히, 인증서를 다룬다는 업체; KTNET은 공인인증기관 중 하나입니다)들의 “초보적 인식 수준”은 정말 납득하기 어려운 점이 많습니다.
기술력으로 당당하고 떳떳하게 전세계를 상대로 경쟁하는 것이 아니라, 기술을 소상히 알 수도 없는 관공서와 공무원에게 빌붙어 국내용 “강제 규정”으로 쉽게 돈벌이 해보겠다는 발상으로 일관하는 한, 이런 불행한 사태는 계속될 것입니다.
국내의 보안 업계가 진정으로 “신뢰”를 회복하려면, 강제 규정과 공무원에 빌붙으려는 발상부터 버리는 것이 필요할 것입니다.
[ps]
이른바 “안심”메일 (www.ansimmail.co.kr , 코스콤 샵메일), 이른바 “안전”등기메일(www.safepost.co.kr , 프론티어솔루션 샵메일), 한국정보인증 샵메일 (www.onlinepost.co.kr) 등도 모두 마찬가지 문제를 안고 있습니다.
[21조넷 성명] 계엄령 망상에서 못 벗어난 류희림 방심위원장은 즉시 사퇴하라
12월 3일 밤. 계엄군이 시민에게 총구를 겨누던&nb...
취업준비생을 볼모로 잡고 샵메일 삐끼질을 해보겠다면서 접속오류가 대문짝만하게 나는 서버인증서를 걸어두고 있는 SKT의 자세는 정말이지 막장까지 갔다는 생각입니다.
요즘 유행(?)하는 “이걸 보고 피가 끓지 않으면 대한민국 국민 아닐걸요”라는 표현은 이럴 때에나 사용하시는 것이 어떨지 …
이 한국은 정부에서 밀어준다고 제3자 인증이 필요없다고 뻐기니 이따구 일이 벌어나지
샵메일 자체는 윈도우+IE+공인인증서 아니던가? 비번찾기프로그램 몇번 돌리면 뚫리는데다가 돈없어서 리눅스쓰는 학생들은 취직하지 말라 이거네
정리하면 이슈가 2가지인데, 섞어놔서 일단 샵메일을 나쁜놈으로 몰아가고 있는데요.
1. SKT가 샵메일 밀어부치기
2. 샵메일 관련 사이트들이 믿지못할 ssl인증서를 root 인증서로 사용.
뭐. 개인적으로도 샵메일은 나쁜넘으로 인식하고 있어서 1번은 공감합니다만, 2번은 논란의 여지가 있습니다.
문제를 제기한 사이트들의 ssl 인증서는 kisa(한국 인터넷 진흥원)에서 발급한 것인데, 문제가 되는 플랫폼(모질라 및 리눅스)에는 kisa인증서를 root인증서로 취급하지 않는다는 것입니다.
그외 (Windows, android, iOS) 플랫폼의 _최신버전_ 에서는 _정상적으로 동작_합니다.
뭐.. kisa가 제대로 일 못한것이긴 한데, 샵메일 나쁜넘이라는 것과는 직접적인 관련이 불구하고, 논점을 흐리는게 아닌가 생각되어서 안타깝습니다.
ganadist/ “신뢰할 수 없는 연결”이라는 대문짝만한 경고를 “무시”하고 접속하세요… 이게 과연 보안 전문가가 일반 유저들에게 할 말인가요? (어떤 이유로 그런 경고가 뜨는지는 이미 제가 본문에 적은 글과 본문에 링크 건 글에 설명된 내용을 ganadist 님께서 사실상 반복하신 것이고요)
그리고, 기술적으로 좀더 정확히 말씀드리면, 문제가 된 서버인증서는 KISA가 발급한 것이 아니라, KISA의 하위 인증기관으로 영업하는 한국정보인증, 한국전자인증 등이 발급한 것입니다. 루트인증기관인 KISA가 제3자 검증을 안받고 있으니 이런 위험천만한 일이 발생하는 것입니다.
“보안경고를 무시하고 OK하세요”라는 안내보다 더 “위험”한 것은 없습니다. 소프트웨어 몇개 설치하면 “보안”이 튼튼하게 된다고 생각하신다면, 큰 착각입니다.
그리고, ganadist님께서는 “문제가 되는 플랫폼”이라는 표현을 쓰셨는데…
1. KISA를 루트인증기관으로 신뢰하지 않는 모질라/NSS가 문제인가요,
2. 모질라/NSS의 루트인증기관 검증 절차를 7년째 통과 못하고 있는 KISA가 문제인가요,
3. 이런 경고가 뜨는 듣보잡 서버인증서를 걸어놓고선, 유저들에게 보안경고 개무시하고 그냥 접속하라는 태도를 취하는 몰상식 샵메일 사업자가 문제인가요?
모질라/NSS의 검증절차도 통과 못한 주제에 루트인증기관 행세를 하겠다고 나서는 업체는 한국 외에는 있을 수가 없습니다. 한국은 보안기술을 전혀 모르는 관공서가 믿으라면 믿어야 하고, KISA는 바로 여기에 기대어 “국내에서만” 통하는 완장을 두르고 루트인증기관 행세를 하고 있습니다(접속오류가 나건말건). 이게 바로 문제의 핵심입니다.
그리고 안드로이드 플랫폼에서 도큐온과 안심메일은 서버인증서 오류가 납니다. 그 이유는 KTNET과 코스콤이 서버인증서 설치방법 자체를 잘 몰라서 그런 것입니다(두군데 모두 공인인증기관).
네이트의 사이월드는 ie8 이외는 제대로 지원안해요.
sk가 web과 서비스에 대한 인식이 너무 뒤떨어지고 있는 듯 하네요.
SK면 관련 계열사가 손에 꼽힐 정도로
대형 고객정보 해킹으로 뚫렸던 곳 아닌가요?
보안기술적인 문제는 차치하고도 일반 샵메일 유저들에게는 귀찮고도 번거로운 일이 많습니다. 매년 공인 인증서 갱신하듯 샵메일 계정을 매년갱신 및 관리해주어야 합니다! 더욱 큰문제는 이 제도가 샵메일 유저들에게 편익을 제공하기보다는 대량고지의무를 가지고있는 기업이나 우월적 지위의 관공서나 대기업의 이익을 도모한다는데 있습니다. 공인메일이라는 미명하에 내가 수신한 샵메일은 열람하지 않더라도 내가 수신한것으로써 법적해석을 가능하게하여 이에대한 분쟁요소를 내재하고 있습니다
좋은 제도는 결코 한편에 치우치지 않습니다. 불특정 다수의 많은 사람들이 편리를 느낀다면 그때 제도를 정비해도 늦지 않습니다. 설익은 제도가 강요되는듯한 비즈니스모델은 결단코 생명력이 길지 않습니다