NamX 님께서 수집해 주신 “세계 34개국 은행 사이트 디자인 비교 조사” 중, 지중해 5개국 편에 수록된 이탈리아의 은행들의 “로그인 페이지”를 둘러 보았습니다.
-
- 밀라노 은행(BPM)
-
- 산 빠올로 은행 로그인
-
- 시에나 은행(MPS)
-
- 우니 크레딧
-
- 웹 뱅크
-
- 베로나 은행(BPV)
-
- 산 빠올로 은행 OTP 등록
주소는 다음과 같습니다.
https://www.bpmbanking.it
http://www.intesasanpaolo.com
https://hb.mps.it/PaschiHome/LOGIN2.0/RTLOGIN/ASPX/RTLoginOTP01.aspx
https://online.unicreditbanca.it/login.htm
https://www.webank.it
https://ibbweb.tecmarket.it/tmibbwebsecurity/05188/login.aspx?lang=it-IT
공통점은 물론, 프랑스 은행들의 경우와 같습니다.
- https 접속을 합니다(산 빠올로 은행의 경우, 시작 페이지는 http 접속을 하고, 그 페이지에 아이디와 비밀번호를 입력하는 창이 있으나, 확인을 누르는 순간 https 로 접속하게 됩니다).
- 로그인을 위하여 고객이 별도의 프로그램을 자기 컴퓨터에 설치하도록 요구하지 않습니다.
- 파이어폭스, 사파리, 오페라, 크롬에서도 정상 접속됩니다.
스크린 키보드를 사용하는 곳은 위의 은행 들 중에는 없었습니다. 그러나, 산 빠올로 은행 등은 OTP 생성기를 사용합니다. 고객이 최초 거래를 시작할때, OTP 등록을 하는 과정을 담은 스크린 샷이 마지막에 있습니다. https 로 접속한 페이지에서, 고객은 은행이 대면관계에서 부여한 암호를 입력하고 OTP 생성기에 나타난 암호를 입력하면, 등록이 완료됩니다. 키보드 보안 프로그램 설치를 권유/강제하는 곳은 없습니다.
이탈리아 은행들은 대부분 id와 비밀번호를 한 페이지에서 입력하도록 하고 있습니다.
그러나, 시에나 은행은 server-generated OTP 방식을 사용합니다. 즉, 고객은 은행과 거래를 틀때, 자신의 email 주소나 휴대폰 번호를 은행에게 알려주고, 로그인에 필요한 “일회용” 비밀번호는 은행이 그 메일주소나 휴대폰으로 전송해 주는 방식입니다.
별도의 OTP 생성기를 배포해야 하는 부담을 덜기 위한 선택입니다.
그리고, 웹뱅크(http://webank.it)는 1999 년에 “인터넷 전용 은행”으로 출범한 곳으로 보입니다. 젊은 사람들 취향에 맞추어 디자인 되어 있다는 점이 눈에 뜨입니다. 특히 모바일 뱅킹을 강조하는 곳 같습니다.
이탈리아 은행들 홈페이지 “디자인”은 대부분 simple 합니다. 이탈리아 사람들의 디자인 감각이나, 취향이랄까…
하긴, simple하기로 치면, 이것 보다 더 simple 할 순 없겠지요 
https://ms-class-action.net/class/safebank/
기술적으로 훌륭합니다. 보안업계 관계자가 보더라도 부정할 수 없을 것 같습니다.
램덤 이미지 스크린 키보드가 사용되었군요. <— 이게 결국 server side generated OTP(one time password) 와 다를 게 없지요.
키로거의 영향을 받지 않습니다.
OTP 는 one time password 일회용 패스워드 입니다.
굳이 전용 무선 단말기를 사용할 필요가 있겠습니까.
왜 사람들은 전용 무선 단말기를 사용하여 돈이 많이 들어가는 방법을 택합니까.
위에 처럼 간단하면서 단순하면서 보안 수준이 더욱 높은 방법들이 있습니다. 교수님께서 좋은 데모를 주셨습니다.
당장 국내 은행에 적용해도 보안 수준이 높이지는 효과가 생깁니다.
어느 누구도 이러한 기술적인 사실을 부정하기 어려울 것입니다.
위의 기술로 안티 키로거(키보드 보안 프로그램)를 빼버릴 수 있습니다. 그러면 남은 것은 보안세션을 만들어주는 액티브X 프로그램인데…이는 ssl 로 교체하면 됩니다.
결국, 기술적으로 부족한 것이 없는데…
문제는 돈과 책임입니다.
구멍난 고무 튜브를 구멍 안 나는 방식으로 통채로 바꾸려고 하니… 돈이 들어가고, 애초에 왜 현재의 방식을 선택했냐는 비난과 정치적 책임 때문에 못 바꾸는 것 아닙니까.
이게 구조적으로 문제가 있는 현행 인터넷뱅킹을 계속 땜방하면서 어떻게든 계속 사용하려는 “심오한 어떤 이유”입니다. 아닙니까?
가만 놔둬도 주체들 스스로가 바꾸어 싶어할 것 같습니다.
땜빵하면 할수록 유지비용이 새로 도입하는 비용을 넘어서게 될 것이니까요…
왜 위피가 폐지되었다고 생각하십니까. 시대는 변하고 있습니다.
변화에 적응하지 못하면 도태되어 시장을 외국에 빼앗기게 될 것입니다.
제 생각에는 더 장사가 잘 될것 같습니다.
위의 보안기술을 솔루션으로 만들어서 전세계에 팔아먹을 수 있거든요.
시장이 한국에서 전세계로 넓어집니다. 단점이 있다면 외국에서도 국내 시장에 들어올 수 있습니다. 경쟁이 치열해 지겠죠.
일반인 입장에서는 우수한 보안환경에서 뱅킹을 한다는 장점이 있습니다.
외국에 그러한 시스템이 없다면 교수님께서 논문, 특허를 내서 회사 차리는 것도 나쁠 것 같지는 않습니다. 보안세션 내에서 암호화를 한 번 더해도 되고(메모리 암호화)…방법은 무궁무진합니다. 이미지를 클릭하면 입력칸에 이미지(text 말고)로 표시되는 방법도 있고요.
그야말로…키로거, 마우스 로거 원천봉쇄됩니다.
국내에서 과도기 적으로… 보안세션 액티브X + “서버가 생성하여 한 번만 기억하는 OTP(랜덤 이미지 키보드 등)”을 사용하여, 먼저 키보드보안프로그램(안티 키로거)을 빼버리는 것이 좋을 것 같습니다. 이런 방식을 사용하면 보안카드도 필요없습니다. 보안카드도 없앱시다.(사용자의 생일 등의 개인정보를 물어보고 램덤 이미지 키보드로 입력하는 방법으로 대체할 수 있거든요.)
은행측에서는 장기적으로 획기적으로 비용이 절감이 됩니다.
먼저 먹는자가 임자입니다.
관련 정보와 기술에 대해서는 제가 끊임없이 힌트를 주었으니…
아마 어디선가…어느 누군가가…연구에 이미 착수했을 지도 모르겠군요.
저는 컴퓨터업에 종사하는 사람이 아니니 제가 직접 하고 싶지는 않고…. 인내심을 갖고 기다려 보겠습니다.
아…그리고..빼먹은게 있는데…
무선 단말기 OTP를 사용한다고 해서 무조건 보안수준이 높아지는 것은 아닙니다. 값비싼 무선 단말기 방식의 OTP도 없앱시다.
위의 값싼 기술로 대체할 수 있습니다.
제발…삽질 좀 하지 맙시다.
조금만 더 생각하면 됩니다.
“콜럼버스의 달걀” 자꾸 놓치지 맙시다.
http://k.daum.net/qna/view.html?qid=3ZX0q
우리나라에서 사용하는 OTP 단말기…무선 방식이 아닌가요?
…
만약 알고리즘으로 key-gen 하는거라면..더 문제가 있겠군요.
하드웨어 해킹은 소프트웨어보다 쉽잖아요.
뜯어서 firmware 빼내면 끝나는거…아닌가.
저는 OTP를 사용하지 않아서 잘 모르니…
우리나라 OTP가 어떤 방식인지… 누가 좀…가르쳐주세요.
이것도 파고들면 기술적인 허점이 존재하는 거 아닌가..궁금하군요.
그죠…
통계의 허점이죠.
그러게 해석을 잘해야 되는데…
아전인수 식으로.. 자기한테 유리하게 해석하니…
그런 일이 황당한 결론이 발생하네요.
예를들어…
(변수 var) 사용자 중에 익스플러로 이용자가 99%다.
그래서 1%인 파이어폭스를 지원할 수 없다…
이런 결론이죠.
변수 var = 정부 홈페이지, 은행 홈페이지, 학교 사이트, 각종 쇼핑몰 사이트 등…
감사합니다. 잘 보았습니다.
정부관계자를 비롯해 외국이라면 미국 일본밖에 모르는 사람들이 수두룩한데 좀더 넓은 곳으로 눈을 돌릴 수 있기를 바라는 마음 간절합니다.
아놔 국제 왕따 대한민국 웹환경..ㅋㅋㅋ 빡친다.
외국보다 좋은 인터넷뱅킹 환경…
뭐…?? 외국은 사고가 더 많아???
통계자료 해석도 제대로 못하고..
우리나라는 돈 흐름이 적고, 인구 수가 적어서
단순하게 돈 액수로만 비교하면 안 되잖아요.
http://www.gartner.com/it/page.jsp?id=565125
이 자료 보고 외국이 우리나라보다 뱅킹 사고가 더 많다고 단정지을 수 없습니다.
멍청한 놈들…학교 다닐때 공부는 제대로 했나 몰라.
그런 교만하고 자만한 사람들이 만든 시스템은 정말 정말…
천년 만년 지속될 수 있는 훌륭한 시스템입니다.
그런데 국내 뱅킹 사고는 왜 자꾸 증가할까요.
그건 너무 훌륭한 시스템이라 그래요.
하드 시리얼 왜 가져가고,, mac addr 은 왜 가져가나요…
너무 훌륭한 시스템이라..
천년 만년 유지하기 위해서 가져가는 거 다 압니다.
우리 누나는 ActiveX란 단어를 모릅니다. ActiveX를 설치해야 하는 사이트는 “ActiveX 컨트롤을 설치하려면 여기를 클릭하십시오.”라는 경고줄이 나오는데도요. ㅠㅠ
그리고, 인터넷 뱅킹이랑 상관없고 글 내용과도 상관 없지만 생각난 김에 씁니다. 저는 이런 것들 때문에 우리나라 인터넷이 짜증납니다.
1. 회원가입 페이지를 보면 이메일 입력 부분을 [ ]@[ ]로 해놔서 @ 앞부분에 id를 쓰고 도메인 부분은 목록에서 ‘직접 입력’을 클릭하고 입력해야 함(GMail을 쓰는데. 목록엔 거의 없기 때문에).
2. 주소 입력은 검색 버튼을 클릭해서 뜨는 팝업창에 검색해서 입력해야 함.
3. 비밀번호에 특수문자를 쓸 수 없거나 길이 제한이 작음.
4. 휴대전화나 공인인증서 등으로 본인 확인을 해야만 가입이 가능한 곳도 있음.
5. 처음 사이트에 접속하면 마구 뜨는 팝업창들.
6. 주소 고정을 위해 쓰는 프레임.
7. 세로가 200픽셀은 넘어보이는 엄청나게 큰 플래시 메뉴. 이런 메뉴를 쓴 사이트들은 메뉴 배경을 보통 초원 따위로 해놓는데. 다른 페이지를 들어갈 때마다 배경이 다시 그려져서 산만.
8. 본문 드래그, 우클릭 막기.
9. 스크롤을 할 때마다 오른쪽에 따라다니는 퀵 메뉴(즐겨찾는 메뉴).
10. 페이지 하단의 이용약관, 연락처, 주소, 저작권 등을 이미지 파일 하나로 만들어 놈.
11. 그 밖에도 “글자”들을 쓸데없이 이미지 파일로 만들어 놓는게 많음(주로 제목).
더 생각 안나네요.
인터넷뱅킹 안해도 공인인증서 발급 가능
http://www.zdnet.co.kr/ArticleView.asp?artice_id=20090330102607
뱅킹 사이트가 아닌데도 공인인증서를 요구하는 사이트들이 있던데. 그런 사이트들을 이용하려면 쓰지도 않을 인터넷뱅킹을 신청해야 했는데. 우체국에서 해준다네요.
하드웨어 해킹이 소프트웨어 해킹 보다 쉽다라..
공감 할 순 없겠군요.
개념있는 개발자 라면 말처럼 쉽게 펌웨어 빼도록 놔두진 않겠죠.
또 ssl도 sniffing이 다 가능하답니다.
activex 는 구조적으로 아주 치명적인 단점을 가지고 있죠.