철도공사/바로타 로그인 및 결제 방법 개선 요
Posted: 2005 08 13 17:01 18
다음과 같은 글을 철도 공사 웹 사이트 (http://www.korail.go.kr)의 사이트 오류 신고 양식을 통해 보냈습니다. 아래 글에서 언급한 대로 현재 기차표 예약 시스템은 파이어폭스로 쓰는데 별 무리가 없지만, 결제는 ActiveX를 쓰는 탓에 인터넷 익스플로러로 윈도우즈에서만 가능합니다. 아래에 언급한 대로 이것은 두 가지 문제점이 있음을 뜻합니다. https를 쓰지 않고 그냥 로그인을 하는데에서 발생하는 보안 문제가 그 첫째입니다. 둘째는 공인 인증서 등을 사용하지도 않으면서 굳이 ActiveX를 써서 결제를 해야 할 이유가 전혀 없는데(쓸데없이 이 결제 모듈을 만드는데 예산 낭비를 한 셈입니다), 그렇게 하고 있는 것이 두번째 문제입니다.
다른 분들도 비슷한 글을 보내서 시정을 촉구해 보면 어떨까 해서 제가 보낸 글의 전문을 아래에 보였습니다. 철도 공사 웹 사이트는 비교적 문제점 지적에 대해 응답이 다른 곳에 비하면 빠른 편이었던 것으로 기억합니다. 이것도 여러 사람이 지적하면 당장은 아니더라도 비교적 빨리 고쳐지지 않을까 기대해 봅니다.
참, 제가 글을 쓰면서 잊고 언급하지 않았는데, 행자부 등에서 추진 중인 정부 기관 웹 사이트의 상호 운용성 및 접근성 개선 작업도 같이 언급해 주면 좋을 듯 합니다. 물론, 철도 공사는 이제 '공사'로 정부 기관은 아니지만, 완전히 민영화된 것이 아니라 '공사'이므로 이런 사실을 언급하면 약간 더 '자극'이 될 수 있을 것입니다.
다른 분들도 비슷한 글을 보내서 시정을 촉구해 보면 어떨까 해서 제가 보낸 글의 전문을 아래에 보였습니다. 철도 공사 웹 사이트는 비교적 문제점 지적에 대해 응답이 다른 곳에 비하면 빠른 편이었던 것으로 기억합니다. 이것도 여러 사람이 지적하면 당장은 아니더라도 비교적 빨리 고쳐지지 않을까 기대해 봅니다.
참, 제가 글을 쓰면서 잊고 언급하지 않았는데, 행자부 등에서 추진 중인 정부 기관 웹 사이트의 상호 운용성 및 접근성 개선 작업도 같이 언급해 주면 좋을 듯 합니다. 물론, 철도 공사는 이제 '공사'로 정부 기관은 아니지만, 완전히 민영화된 것이 아니라 '공사'이므로 이런 사실을 언급하면 약간 더 '자극'이 될 수 있을 것입니다.
안녕하세요?
현재 철도 공사 및 바로타 홈 페이지에서는 사용자 로그인을 위해 입력하는 사용자 이름과 비밀 번호를 http를 통해서 전송하고 있습니다. 하지만, http는 전송 내용을 암호화하지 않기 때문에 비교적 손쉽게 비밀 번호를 '훔쳐'낼 수 있습니다. 사용자 이름과 비밀 번호를 암호화해서 전송하는 인터넷 표준 프로토콜인 https (secure http)를 사용하도록 웹 사이트를 수정해 주실 것을 요청하고자 합니다. 비밀 번호 유출 등 여러 가지 보안 상 문제점 때문에 전세계적으로 대부분의 전자 상거래 웹 사이트에서는 https를 써서 사용자 로그인을 처리한다는 점에도 유의해 주시기 바랍니다.
아울러 결제 시에 사용하는 ActiveX를 사용하는 방법도 인터넷 표준인 https로 변경해 주실 것을 부탁드립니다. 현재 철도 공사/바로타의 인터넷 예매 시스템에서는 결제 시에 윈도우즈 상의 인터넷 익스플로러에서만 쓸 수 있는 ActiveX를 사용하고 있습니다. 이로 인해 윈도우즈에서 다른 웹 브라우저를 쓰는 이(예를 들어, 최근에 유럽의 상당수 국가에서 20% 이상 점유율을 달성한 firefox나 opera [1])나 윈도우즈나 아닌 다른 운영 체계 사용자(최근 한국 소프트웨어 진흥원에서 보급에 전력을 기울이고 있는[2] 공개 운영 체계인 리눅스나 맥 오스, 각종 유닉스)들은 표 예약 및 조회만 가능하고 결제는 불가능합니다. 공인 인증서 등을 사용하지도 않는 기차표 예매에서 [3] 표준 https를 사용하지 않고, 별도의 ActiveX 모듈을 써야만 결제가 가능하도록 할 이유는 전혀 없다고 생각합니다.
이 두 가지 문제점은 멀지 않은 장래에 철도 공사가 영어 웹 사이트를 개설해서 (외국에 거주하면서 한국 관광을 위해 방문을 원하는) 외국인들이 직접 기차표를 예매할 수 있도록 할 경우에도 꼭 시정해야 합니다.
이런 문제점을 시정해서 철도 공사 기차표 예약/예매 시스템이 보다 많은 시민들이 편한 방법으로 쓸 수 있는 곳으로 만들어 주실 것을 부탁 드리면서, 또 그렇게 해 주시리라고 믿고 미리 감사 드리면서 글을 맺습니다.
신정식 드림
[1] http://www.spreadfirefox.com/?q=node/view/14607
[2] http://www.kipa.or.kr http://www.oss.or.kr
http://www.software.or.kr/kipahome/kipa ... index.html
[3] 공인 인증서를 쓴다고 해도 ActiveX 대신 Java나 Netscape plugin 등을 써서 대부분의 브라우저와 운영 체계에서 사용 가능하게 충분히 만들 수 있습니다. 우체국 온라인 뱅킹 시스템은 하반기에 이런 방법으로 리눅스 및 맥 오스에서도 사용 가능하게 개선될 것이라고 합니다.