다음에서 청구서를 메일로 받아주는 좋은 서비스를 하고 있습니다.
그런데 한가지 불편한점은 청구서를 확인할때마다 ActiveX로 주민번호중 일부를 입력하는 본인 인증을 해야 한다는 것이죠.
불편하게 왜 그런것일까요..?
보안적인 사항이므로 아무나 못보게 할려고?
과연 메일 청구서를 아무나 볼 수 있는지 한번 살펴보죠.
제가 KTF 유저이므로 KTF를 예제로 흐름을 적어겠습니다.
그런데 한가지 불편한점은 청구서를 확인할때마다 ActiveX로 주민번호중 일부를 입력하는 본인 인증을 해야 한다는 것이죠.
불편하게 왜 그런것일까요..?
보안적인 사항이므로 아무나 못보게 할려고?
과연 메일 청구서를 아무나 볼 수 있는지 한번 살펴보죠.
제가 KTF 유저이므로 KTF를 예제로 흐름을 적어겠습니다.
- KTF에 회원가입할때 이메일주소를 적는다.
- 만약 회원가입때 안했다면 로그인 혹은 콜센터에 전화해 메일 주소를 바꾼다.
- 다음사이트에 로그인을 한다.
- KTF 요금 청구서가 도착한것을 확인한다
- 청구서를 클릭하면 ActiveX를 사용하여 주민번호중 일부를 입력하라고 한다.
- 입력하고 나면 청구서를 볼 수 있다.
내가 말한 메일주소
1번과 2번 항목에서 이미 본인 인증이 끝났고, 본인의 의사에 의해서 메일주소를 알려준 것 입니다.
저는 여기서 인증에 관한 모든것이 다 해결되어졌다고 생각합니다.
나만 볼 수 있는 메일함
해당 메일주소는 아무나 접근해서 볼 수 있나요?
아니죠. 메일주소로 로그인을 한 유저만이 신청한 청구서 메일을 볼 수 있습니다.
이 정도면 충분하지 않나요?
실제 세상(real world)보다 덜 귀찮아야 되지 않을까요? 반대로 더 귀찮다면 정말로 그것이 고객에게 가치를 주는것일까요?
실제 세상에서는 이런식으로 재차 본인인증을 하지 않습니다.
우편으로 청구서를 받을 경우를 생각해보죠
1번과 2번 항목에서 이미 본인 인증이 끝났고, 본인의 의사에 의해서 메일주소를 알려준 것 입니다.
저는 여기서 인증에 관한 모든것이 다 해결되어졌다고 생각합니다.
나만 볼 수 있는 메일함
해당 메일주소는 아무나 접근해서 볼 수 있나요?
아니죠. 메일주소로 로그인을 한 유저만이 신청한 청구서 메일을 볼 수 있습니다.
이 정도면 충분하지 않나요?
실제 세상(real world)보다 덜 귀찮아야 되지 않을까요? 반대로 더 귀찮다면 정말로 그것이 고객에게 가치를 주는것일까요?
실제 세상에서는 이런식으로 재차 본인인증을 하지 않습니다.
우편으로 청구서를 받을 경우를 생각해보죠
- KTF에 가입 혹은 회원정보(콜센터) 변경을 통해 주소를 알려준다.
- 회사에서 Print를 하고 우체국으로 보낸다.
- 우리집 우편함에 청구서가 있는것을 확인한다.
우편으로 받는것은 이메일로 받는것보다 더 노출의 위험이 있습니다.
안그래도 안전한데 귀찮게 하면서까지 본인인증을 해야 하는 걸까요?
그리고 이 본인인증또한 무의미한것인데 말이죠...
(유사한 이유로 AIG보험에서는 해약환급금 테이블을 이메일로 못주고 팩스로만 준다고 하더군요. 사실 팩스가 보안적으로 더 노출되어 있는거 아닌가요?)
more..
이메일이 우편보다 보안상으로 안전한것은 너무나 자명한 일이죠.안그래도 안전한데 귀찮게 하면서까지 본인인증을 해야 하는 걸까요?
그리고 이 본인인증또한 무의미한것인데 말이죠...
(유사한 이유로 AIG보험에서는 해약환급금 테이블을 이메일로 못주고 팩스로만 준다고 하더군요. 사실 팩스가 보안적으로 더 노출되어 있는거 아닌가요?)
'웹[기술|표준|접근] > 생각' 카테고리의 다른 글
| UX를 악용하여 낚시하는 UI를 너무너무 사랑하는 오픈마켓 (3) | 2010/01/27 |
|---|---|
| 다음 이메일 청구서, 정말로 재인증이 필요할까? (4) | 2008/07/04 |
| 오픈웹 소송 판결 선고기일 안내 (0) | 2008/07/04 |
| 웹 접근성 향상 캠페인 (0) | 2008/07/01 |
| 웹 표준 경진대회 (2) | 2008/05/22 |
| Martian Headsets (0) | 2008/04/15 |
댓글을 달아 주세요
자신들이 책임을 지지 않고 사용자에게 책임을 전가하기 위한 수단인 거죠. 덕분에 개개인의 보안에 대한 인식은 점점 더 떨어지게 되고요.
2008/07/09 23:29 [ ADDR : EDIT/ DEL : REPLY ]제가 쓰는 카드사에선 보안 메일을 받지 않고 그냥 메일 내용에 카드 사용 내역이 나오는 옵션이 있어서 잘 쓰고 있습니다.
2008/11/18 11:43 [ ADDR : EDIT/ DEL : REPLY ]확실히 html 파일을 첨부해서 보내면 임시파일로 하드에 저장되기 때문에 문제이긴합니다만...
청구서를 보내는 입장에선 어떤 메일 프로그램을 쓰던지 (혹은 어떤 웹메일) 간에 보안적인 문제가 발생하면 귀찮아지니 그렇겠지요.
몇몇 사용자들이 다른 브라우저를 사용해서 못 이용하더라도, 혹은 매우 번거롭더라도 회사입장에선 그건 그것에 비해 큰 문제가 아니니까요^^
하지만 **카드사 처럼 사용자에게 충분한 설명과 선택권을 주는 곳도 있답니다.
오, 거기 참 좋은 카드사네요!!
2008/11/18 15:57 [ ADDR : EDIT/ DEL ]말씀하신
"몇몇 사용자들이 다른 브라우저를 사용해서 못 이용하더라도, 혹은 매우 번거롭더라도 회사입장에선 그건 그것에 비해 큰 문제가 아니니까요^^"
는 저는 조금 다르게 생각합니다.
이런 메일을 보내는 행위자체가.. 고객들에게 내역서를 보내주기 위함이라고 생각하기 때문에요..
그렇기 때문에 못보는것은 원래 목적에서 벗어나는 아주아주 잘못된 행위라 생각하며
매우 번거롭게 보게 된다면.. 이건 기획을 아주아주 잘못한 것이라고 저는 생각합니다.
조금 얘기를 더 밖으로 끄집고 나가자면...
실제로 우리나라 태반의 웹 사이트들이 이와 비슷한 안일한 생각으로 디자인하고 기획하고 개발하고 있는것같아 무척이나 아쉽고 한탄스럽습니다.
왜 UI, UX(여기서 ui, ux는 javascript, html, css 같은 것를 말하는것이 아니라. HCI와 비슷한 레벨에서의 의미입니다.)등을 고려하지 않는지.. 개탄스러울 뿐입니다.
아니 UI, UX등은 몰라도.. 쉽고 직관적으로 만들어야 하는데.. 그냥 있는 컨텐츠, 없는 컨텐츠 다 덕지덕지 붙여놓고 "짜잔!" 하고 있으니... 너무너무 아쉬울 뿐입니다.
(쓰다보니 얘기가 흠..ㅎㅎ)
편하면 좋은 것이긴 한데, 이메일 자체로 보안성이 보장되지는 않습니다. 명세서 발행 업체 메일 송신 서버와 메일 수신 서버 간의 통신에서 메일 탈취가 될 수 있고, 메일 수신 서버와 사용자 간의 통신에서 메일 탈취가 될 수 있습니다. 또한 실제 세계가 아니라 전산망이라는 특성상 우편 명세서를 배달하는 우편 트럭을 터는 것보다 더 많은 양의 대량 탈취가 가능합니다. 따라서 보안 대책을 강구하는 것은 당연합니다.
2011/11/27 11:00 [ ADDR : EDIT/ DEL : REPLY ]문제는 거기에 들어간 보안 대책이 실은 보안성이 전혀 없다는 것입니다. 주민번호 뒷자리가 암호이며 이용자가 수동 변경할 수 없다는 것이 문제입니다. 따라서 공격자는 숫자 6자리+α(7자리 중 1900년대 출생자는 맨 앞자리가 1 또는 2이므로), 즉 기대값 100만 번의 컴퓨터 계산만으로 보안 명세서를 볼 수 있습니다. 이는 요새 파는 싸구려 데스크탑 컴퓨터로도 순식간에 가능한 수준입니다.
요금 내역을 보호하려다 요금 내역은 물론이요 주민번호마저 노출시키는 셈이죠.