문제의 핵심은 “전자서명”에 있는 것 같습니다.
공무원들과 보안업체 종사자들은 전자서명이 부착된 거래가 더 안전하다는 “확신”을 가지고 있고, 지난 10여년간 한국웹은 바로 이 확신을 지탱해 주기 위하여 모든 이용자들이 ActiveX를 덕지 덕지 설치해 왔습니다.
그러나, 과연 이 “확신”이 기술적, 논리적 근거가 있는 것인지를 꼼꼼히 살펴 볼 필요가 있습니다.
첫째, 외국에는 이런 확신이 없습니다. 외국이 전자서명 기술을 몰라서, 전자서명 기술은 한국의 보안업체들만 구현할 줄 알아서, 외국은 보안이 허술해도 괜찮아서 그렇다고 생각하십니까? 한국이 “IT 강국”이라서 ㅎㅎ? 그것은 아니라고 저는 생각합니다.
둘째, 실제로 전자서명을 추가로 요구하면 과연 더 안전할까요? 엉성하고 막연하게 “그래도 없는 것 보다는 조금이라도 낫지 않겠는가”라는 식으로 얼버무릴 것이 아닙니다. 꼼꼼하게, 논리적으로 그리고 기술지식에 근거하여 따져보아야 합니다.
아래에서 언급할 키보드 보안이 만일 없다고 가정한다면, “전자서명만을 추가한다고 해서” 더 안전해 지는 것은 아닙니다. 왜그런가 하면,
- 쇼핑고객의 컴퓨터가 이미 뚫렸다면, 인증서 개인키 파일과 개인키 암호 또한 이미 유출되어, 공격자가 그것을 확보하여 고객의 전자서명을 마음껏 만들 수 있으므로, 금융기관이 전자서명을 아무리 요구해 본들 헛발질에 불과합니다.
- 쇼핑고객의 컴퓨터가 뚫리지 않았다면, 고객이 입력하는 정보또한 유출되지 않습니다(교신 암호화가 제대로 이루어진다면). 따라서 전자서명을 추가로 요구하는 일은 무의미한 “옥상옥”에 불과 합니다.
- 전자서명이 “보안”에는 별 도움이 되지 않지만, 은행이 “책임”을 면하는데는 그래도 도움이 좀 될 거라고 한발 물러서시는 분들이 이제는 많이 생겼습니다. 전자서명에 대하여 그동안 가져왔던 거의 종교적 확신이 흔들리는 분들이라고나 할까요. 그러나, 은행이 책임을 면하는데 전자서명이 별 도움이 되지 않는다는 점은 지난 포스팅에서 이미 설명드렸습니다. 실제로 은행이 “전자서명이 되어 있다는 이유로” 사고 거래의 책임을 면하는데 성공한 사례도 제가 알기로는 없습니다. 있으면 댓글로 알려주시기 바랍니다.
셋째, 전자서명에 더하여 키보드 보안까지 강제하면 더 안전해 질까요? 여기서도 꼼꼼히 따져볼 필요가 있습니다. E2E 키보드 보안 어쩌구 하면서, 그것이 무슨 만병통치약인 것처럼 떠들고 있지만, 실은 별 근거가 없습니다. 그 이유는,
- 쇼핑고객의 컴퓨터가 이미 뚫렸다면, E2E 보안을 아무리 강제해도, 인증서 개인키 파일 자체의 유출을 막을 방법은 없습니다. 인증서 암호 또한 (비록 금융사이트에 접속해 있는 동안에는 E2E 보안 플러그인이 작동하므로 개인키 암호가 유출되지 않지만) 고객이 다른 웹사이트에 접속해서 이런 저런 카페나 블로그, 이메일 계정 등에 로그인 암호를 입력할 때, 그 입력값은 고스란히 노출됩니다. 대부분의 고객들은 다양한 계정의 로그인 암호와 인증서 암호를 동일하게 지정해 두기 때문에 결국 인증서 암호까지 이 방법으로 유출되는 경우가 많고, 이것은 금융기관이 E2E 보안 아니라, 무슨 별의별 수를 써도 막을 길이 없습니다.
- 쇼핑고객의 컴퓨터가 뚫리지 않았다면 E2E 보안은 처음부터 쓸데 없는 짓입니다. 공격자는 입력값을 가로채 갈 수 없습니다.(교신 암호화만 제대로 하면 됩니다)
- 즉, 고객의 컴퓨터가 뚫린 상태건, 뚫리지 않은 상태건 간에, E2E 키보드 보안은 별 쓸모가 없습니다. E2E 보안 솔루션을 열심히 개발하여 판매하시려는 업체분들께는 매우 죄송합니다. 금융기관들은 여전히 이 제품을 계속 구입하고 있으니, 당분간은 계속 파실 수 있을 것입니다,
넷째, 고객 컴퓨터가 뚫렸는지를 검사하고 그 취약점을 틀어막기 위해서는 “본격적인 정품 안티바이러스 프로그램”을 자발적으로 설치하도록 권장하는 수 밖에 없습니다. 그러나,
- 고객의 자발적 설치를 못믿겠으며, 확인할 수 없다는 이유로 현재 금융권은 강제 설치를 시도합니다.
- 그러나, 강제 배포하는 “슬림화된 안티바이러스 플러그인”은 메모리 해킹 툴을 간략하게 몇초동안 스캔하는 빈약한 기능 정도 밖에 없고, 그것마저 금융 사이트를 벗어나면 꺼집니다. 따라서 이 플러그인도 별로 쓸데는 없습니다 (보안 업체 분들께는 죄송합니다만, 그런 프로그램을 아무리 팔아본들, 고객의 컴퓨터가 안전해 질 가능성은 없습니다. 만일 안전해 졌다면 7.7 DDoS 사태 같은 일은 일어나지 않았겠지요.)
- 금융기관들은 이제라도 이용자들에게 본격, 정품 안티바이러스 프로그램(상시로 작동하는 제대로된 정직한 제품)을 무료로 내려받을 수 있는 곳을 제발 좀 안내해 주시기 바랍니다. 여기에 있습니다. http://www.boho.or.kr/pccheck/pcch_02.jsp?page_id=2 이런 훌륭한 제품들이 있다는 사실을 왜 안내해 주지 않고 잠자코 계십니까? 그렇게 하는 것이 금융기관 영업에 도움이 됩니까?
결국, 외국이 모두 채용하는 방식(국내 보안업체들이 무조건 위험하다고 목청 높여 반복 주장해왔던 방식)은 ActiveX를 덕지덕지 처바르는 “한국형” 결제 방식보다 결코 허술한 것이 아니라고 저는 생각합니다. 즉, 국내 방식이 결코 더 안전한 것이 아닙니다. Amazon.com, 외국의 Ebay 사이트 등이 제공하는 “엄청나게 간단해 보이는” 솔루션이 한국의 “엄청나게 번거로운” 솔루션 보다는 더 안전하다고 저는 생각합니다. 유저들에게는 매우 번거롭고, 해커들은 손쉽게 비집고 들어올 수 있는 방식이 바로 한국의 보안 솔루션 이라고 저는 생각합니다.
해커들에게 제일 부담스러운 것은 본격적인 정품 안티바이러스 제품입니다(실시간 감시 기능이 “상시” 작동하는). 금융사이트에 접속해 있는 동안만 잠시 켜지고, 그 사이트를 벗어나면 자동으로 꺼지는 “강제 설치 안티바이러스 플러그인”은 해커들에게는 웃음거리 밖에 안됩니다.
금융기관 한 곳이라도 이상 설명드린 내용을 본격적으로 검토했으면 좋겠습니다. 현재의 (전자서명+키보드 보안+안티바이러스 플러그인) 방식의 결제가 사고거래 방지에 결국에는 별 도움이 되지 않는 기술적 이유는 분명히 있습니다.
외국의 보안 전문가들이 기술을 몰라서 전자서명을 안하고, E2E 보안 플러그인을 아예 개발조차 하지 않고, ActiveX 를 사용하지 않는 줄 아십니까?
외국의 금융거래는 허술하게 대강하기 때문이라고 진짜로 믿고 계십니까?
지난 10여년간 한국에서만 해 온 괴상한 방식이 기술적으로도 취약했고, 논리적으로도 허술했다는 점을 언젠가, 누군가는 인정하고, 그것을 폐기하고 선진적 방법으로 전환할 것입니다. 과연 누가 그일을 먼저 시작하느냐가 문제일 뿐이라고 저는 생각합니다…
제 책(“한국웹의 불편한 진실”)에 관한 서평과 인터뷰 등이 꽤 긍정적으로 나와서 다행입니다.
http://column.inews24.com/php/news_view.php?g_serial=432327&g_menu=043301
http://www.hani.co.kr/arti/culture/book/368941.html (8월1일자 한겨레 북섹션 full page 로 다룸)
http://bloter.net/archives/15694 (8월5일자 인터뷰)
제 책이 서적 판매 전문 사이트인 Yes24.com 에서 현재 주간 베스트 8 이군요…
http://www.yes24.com/24/Category/BestSeller?CategoryNumber=001001003&SumGb=02
제 자랑을 하려는 것이 아니라, 전반적인 분위기와 담론 형성의 추이를 말씀드리고 싶어서 소개했습니다.
지난 10여년간 세계 어느 곳에서도 하지 않는 방식으로 지급결제를 해 오면서, “한국은 IT강국이라서 그렇다”고 온국민들(99% MS IE 사용자^^)에게 둘러대 오신 국내의 보안업체/금감원 분들…
외국의 보안전문가들은 과연 한국의 보안을 어떻게 평가할까요? 한마디로 stupid, 그야말로 stupid …
뒤늦게 알게 되어 소송에 참여하고 싶습니다. 지금 원고인단에 추가될 수 있나요?
교수님 책 샀습니다. 온라인의 성과가 오프라인에서도 나타나고 책으로도 연결되었으면 좋겠습니다.
누가 뭐래도 오픈웹은 올바른 길을 가고 있으며, 우리 사회의 정보 평등을 위한 최첨단에 서 있다는 사실을 누구도 부인할 수 없습니다.
반드시 공인인증서 소송에서 승리하고 인터넷에서 폭넓게 이용되는 라이센스에 대해서도 다루어 주셨으면 감사하겠습니다.
다시 한번 책 내신 것 축하드립니다.
관련 법 개정에 대해서는 여전히 관심이 없으십니까?
교수님이 말씀하시는것들…법 개정이 우선이고 가장 효과가 좋을텐데요.
인터넷에서 이리저리 요란만 떨어봐야 소용도 없구요.
페이게이트 소송처럼 보안 프로그램 강제 설치 법안에 대해 무효화하는 소송을 하시는게 낫지 않을까요?
저는 개인적으로 TV뉴스들도 문제라고 생각합니다..-_-;
금융권 보안사고가 나면 TV뉴스들이 무조건 금융권이 문제이고..
개인PC가 문제라는 식으로만 말하고 있으니..
그럼 안되죠.. 기술적으로 이래서 문제다라고 꼬집어 줘야죠…-_-;;
예를 들어 ActiveX가 문제여서 DDoS사고 따위가 났다..
금융권 사람들이 ActiveX만 만사OK라고 생각하는게 잘못됐다..
이런…
아아, 교수님. 차라리 지금의 한국의 인터넷 뱅킹이라는 존재 자체가 영락없는 ‘위험의 화신’이라는 사실을 적극 홍보하면서 인터넷 뱅킹 안 쓰기 및 퇴출 운동을 본격적으로 명문화해서 전개하는 쪽이 훨씬 낫습니다.
은행도 은행이지만 무엇보다도 “편하기만 하면 뭐라도 OK!”라는 저 등신꼬레안들의 마인드가 지금의 한국의 인터넷 뱅킹을 너무나도 견고하게 지지해 주고 있거든요(너무나도 심하게 의존하고 있거든요).
“편하기만 하면 뭐라도 OK!”라는 마인드로 인터넷 뱅킹에 너무나도 심하게 의존하는 저 등신꼬레안들에 대하여 우리들은 좀 더 강경해져야 됩니다.
정말 궤변이네요. 공인인증서는 관리만 확실히 한다면 가장 확실하고 안전한 인증 수단 입니다. 구축 비용 측면에서도 OTP 보다 훨씬 저렴하죠. 궤변이라는 것은 2Factor 인증의 본질적인 장점을 전혀 무시한채 뚤렸다면, 안뚤렸다면 같은 초딩적이고 자극적인 문구만으로 본질을 심각히 왜곡하고 있습니다. 구글에서 fishing banking, fishing paypal 등으로 검색해 보세요.. BOA, PAYPAL, CITI 등등이 피싱에 의한 피해로 심각한 사회적 몸살을 앓고 있습니다. 법적으로 강제하는 정부의 강력한 의지 덕분에 그나마 한국의 온라인 뱅킹 시스템이 안전한 편입니다.
아래 페이지 참고해 보세요..
http://news.softpedia.com/news/Bank-of-America-Phishing-Campaign-in-Circulation-116675.shtml
피싱에 대응하기 위해서..
이메일 조심해라..
정상적인 주소인지 확인해라..
더 한심한것은 피싱에 의한 피해가 발생한지 십년이 지났는데도 지금도 피싱의 의해 피해가 계속 발생하고 있다는 점입니다. 당하는 사람만 바보인거죠.
.
qk / 정말 이게 궤변이라고 생각하십니까?
님이 제시하신 논거가 오히려 이것이 궤변이 아님을 뒷받침하는 것 같습니다만??
그러고보니 논거라고 제시한 것이 논제의 초점을 심각하게 벗어난 것으로 보입니다.
혹시 SSL의 취약성을 말하고 싶으신 건가요?
공인인증의 장점이 있다고 하더라도 그게 제대로 운영돼야 하는데 절대 그렇지 못하죠. (소송을 괜히 하는 게 아니지요.) 지금처럼 플랫폼 접근성도 심각하게 제한하는 식이라면 차라리 없애버리는 게 낫습니다.
그리고 글의 내용이 뭐가 궤변인지 이해할 수가 없군요. (혹시 제가 무식해서?)
2Factor 인증을 제공함으로써 보안적으로 얼마나 안전하게 되는것은 전혀 고려하지도 않은채 플래폼 의존성만을 강조하기 싶어 엉터리 논리로 무용지물이라는 하는 것이 궤변이라는 것입니다. 보안에 대해 논의하려면 최소한의 지식은 있어야 겠죠. 현재 외국 온라인 뱅킹의 최대 보안 이슈는 피싱입니다. 공인인증서나 OTP 같은 2Factor 인증을 해야만 궁국적으로 대응이 가능하다는 것입니다. 공인인증서는 외국에서 이미 궁극적으로 안전한 인증수단으로 공인되어 있습니다. 단지 인프라를 구축하기가 어려운거죠. 이미 구축된 기막힌 인프라를 때려치라니, 활용함에 있어 문제가 있으면 개선을 해야죠. 외국보안 관계자들이 제일 부러워 하는것이 한국의 PKI 인프라 입니다. 외국 보안업체들은 피싱에 대해 할 수 있는 말은 단 하나.. “알아서 조심해라” 입니다.
플래폼 접근성만 집착하지 말고
다 방면에서 검토를 하여 올바른 방향으로
나아가기를..
2 Factor 인증이 필요한 이유..
http://www.boannews.com/know_how/view.asp?page=1&gpage=1&idx=1485&numm=1158&search=title&find=&kind=03&order=ref
공인인증서의 혜택
http://www.fnn.co.kr/content.asp?aid=3efae4d55fcf40bfb085ff7b4a1fcb03
과거에 오픈웹에서 소송을 했던 내용을 살펴보시면 보시면, 공인인증서 그 자체보다도 플랫폼에 구애받지 않아도 되도록 구현되어있던 것을 외면하고 왜 굳이 한 플랫폼에 구애받는 것을 선정했는지 이유를 밝히라고 요청한 바 있습니다.
즉, 원래의 논점은 브라우저의 기본 기능을 놔두고 왜 공인인증서를 쓰느냐 가 아니고, 공인인증서를 쓰는데 왜 굳이 플랫폼 의존적으로 결정했느냐 였습니다. 여기서 공인인증서 쓰지 않아도 되지 않냐라는 이야기가 나온 것이고요.
현재 한국의 인터넷 뱅킹이 더 위험하다는것은 어디까지나 운영체제에 보안 구멍을 뚫어놓고 시작하는 행태를 두고 이야기하는 것이지 인증서를 사용하는 방식 그 자체가 더 나쁘다는 말은 아닐 것입니다.
그리고 피싱 메일 자체는 그 목적과 피해범위가 광범위하므로 피싱메일에 대한 방어 대책은 별도로 세우는 것이 맞다고 생각되네요.
한가지 궁금한것은 외국 보안 관계자들이 제일 부러워하는 것이 한국 PKI인프라 라고 하셨는데, 주로 대상은 미국인가요? 저는 일본에 있습니다만 결재쪽 처리할때 한국을 부러워하는 소리는 단 한번도 들은적이 없어서 여쭤봅니다. (한국의 케이스는 참고정도는 합니다.)
아 보안 관계자라면 실제 사업자와는 관계없는 보안 프로그램 업체쪽을 말씀하시는것일지도…..
이해하겠습니다. 원래는 오픈웹의 방향도 공인인증서를 사용하는 유럽 국가들처럼 다양한 플랫폼 지원을 요구하는 것이었으나 모바일 인터넷용을 지원하기 위해 별도로 이를 구현해야 하는 문제도 있어 이미 플랫폼에 구애받지 않고 널리 쓰이고 있는 SSL을 사용하자는 쪽으로 방향전환(?)이 있었습니다. 제 생각에도 지금까지 관련자들(?)의 행태로 볼 때 전자로 갈 경우 시장성 등등 이런저런 핑계대면서 미적거릴 것 아닙니까?
Email 에 대한 피싱은.. RFC4871 과 RFC5617 로 해소될 수 있습니다.. IETF 에서 Email 에 대한 전문가들이 모두 모여서 만든거라서.. 믿을 수 있습니다..
실지 구현 진척현황과 좀 더 세부적인 정보는..?
dkim.org 에서 확인 할 수 있습니다..
전략을 바꿔보는것은 어떻습니까? 지난 몇년동안 오픈웹이 굉장히 고생을 많이 한것을 알고 있습니다. 그런데 그 노력에 비해 성과는 상대적으로 미미해 보입니다. 소송을 통해 한꺼번에 해결하려는 전략은 논란의 여지도 많을뿐더러 가능성도 크지 않고 고생하시는 분들의 에너지 소비도 커 보이네요.. 지금의 이런 전략을 유지해야 한다면 소송과 함께, 동시에 쉽게 할 수 있는 작은 일을 찾아서 성취해 나가면 좋을 것 같습니다. 다른 사람들의 참여도 많이 유도할 수 있고요. 일례로 현재 핸드폰 요금, 초고속 인터넷 요금 고지서 html 보려면 activeX 설치해야 합니다. IE 에서밖에 안되는데,, 인터넷 뱅킹도 좋지만, 이런 단순한 것들을 먼저 해보는것은 어떨지요,,,
qk// 여기에 쌓여있는 수많은 글들을 좀 읽어보시고 글을 쓰시던가요.. 주장하시는 바는 이미 수도없이 논의되었던 내용들입니다.
기존에 논의되어 나온 결론을 뛰어넘을 수 있는 얘기를 하실 것 아니시면 그냥 글을 좀 읽어보시고 생각해보세요..
안당해보셨겠지만…. 이체 해놓고 안했다고 우기는 사람이 생각보다 많습니다.
다행히 법원에서 전자서명을 인정하고 있기에 은행입장에서는 참으로 안전한 수단이라 할수 있습니다. ^^
공인인증서를 통한 “인증” 은 사용자를 식별하므로 안전한 인증 수단이 되지만…
공인인증서를 통한 “전자서명” 은 사용자가 한 행위를 부인 방지하는 것이므로… 사용자 보다는 은행입장에서 안전한 거래 수단이 됩니다. ^^
실무자님 공인인증서가 사실상 부인 방지 효과가 없다는 것은 여기서 수 없이 많이 논의되었던 것 입니다.
인증서 파일과 패스워드만 유출되면, 다른 사람이 쉽게 인증서로 로그인 할 수 있게되죠.
PC가 이미 다른 사람 손에 장악된 상태라면, 패스워드 뿐만 아니라 파일 또한 손쉽게 입수 할 수 있게 되죠.
차라리 OTP나 보안카드가 공인인증서 보다 부인방지에 있어서는 좀 낫지 않나요?
http://openweb.or.kr/?p=1329
를 한번 읽어보십시오.
저는 외국(터키)에서 살고 있는 사람입니다. 이곳에서도 인터넷뱅킹이 활발하게 이루어지고 있고 은행들도 여러가지로 보안에 대체하고 있습니다. 현재 저는 우분투를 사용하고 있습니다. 터키의 은행및 정부기관들의 홈페이지 이용에 전혀 문제가 없습니다. 인터넷 뱅킹도 보안의 큰 문제 없이 잘 사용되고 있습니다. 저도 물론 windows를 멀티부팅으로 사용하고 있습니다. 한국에서의 인터넷뱅킹과 한국의 사이트를 위해서 입니다. 안철수연구소도 파폭으로 로그인을 할 수 없으니…
제가 전문가는 아니지만 사용자의 한 사람으로 한국의 이러한 인터넷 사용 환경이 이해가 되지 않습니다. 오픈 웹에 대해서 적극 지지 합니다. 멀티부팅 하지 않고 지냈으면 좋겠는데요. ^O^
근데 중요한건 악성코드가 미리 설치되어서 메모리를 후킹할경우 키보드 보안을 깔았다고 해도 방법이 없습니다. 내리거나 작동 못하게 할수도 있고, 그렇지 않더라도 키입력이 아닌 메모리 공간을 확보해서 비밀번호를 알아내고자 한다면 의미 없습니다. 이에 대해 이잡듯이 대응할수 있을지도 모르지만, 그것또한 해커가 자작해서 쓴다면 효과 없구요. 보안업체는 한둘이지만 해커는 많으니… 실제로 TV 시사프로그램에서도 그러한 시도가 나왔기도 하구요.
그리고 부인방지효과가 없다는건 당연한 얘기기도 합니다.
위에서 말했듯이 공격자가 사용자 컴퓨터에 침입해서 키를 접수할경우 의미가 없어지거든요.
이걸 줄이는 가장 좋은 방법은 리눅스처럼 운영체제 차원에서 외래 소프트웨어를 깔때 확인을 하고 깔고 ActiveX같은 웹에서 외부 프로그램을 바로 실행하는 기능은 지양해야 합니다. 굳이 웹에서 할수 없는 일을 하고자 할때는 자바 애플릿같은 가상 머신을 통하는게 맞구요.
이번 애플의 미디어 이벤트를 보니, 잡스가 iTunes에서 80억개의 노래가 팔렸고, 10억개의 사용자 계정(Accounts with credit card)에 대해 자랑하네요.
http://blog.naver.com/wayne0714/70068978770
근데 트랙백을 하려니 안되네요..
저도 PayPal이나 해외 사이트에 신용카드 여러개 등록해 놓고 쓰는데 로그인후에는 키보드 두드릴 필요도없이 마우스 클릭 세번으로 결제가 끝납니다. 인증서도 필요없고 카드번호 적을 필요도 없습니다. SSL만으로 처리하죠.
페이팔: https://www.paypal.com/kr/cgi-bin/...
citibank는 .com에서는 https(SSL) 로 결제하지만 .co.kr 에서는 ActiveX 난리법석을 떨어야 하죠. ActiveX 깔면서 PC까지 다운된 경우도 있었습니다. MS사 IE가 아니면 접근도 할 수 없고.
씨티은행 미국: https://online.citibank.com/
씨티은행 한국: http://www.citibank.co.kr … “이 소프트웨어를 설치하시겠니까? … ” 선택이 아닌 것에 왜 묻는 것이며 반드시 예를 누르라는 안내는 왜 필요한지?
금융과 무관한 관공서인데 접속하면 키보드 보안 ActiveX 부터 깔기 시작하는 곳도 있습니다. 정부가 좀비PC를 양산해서 DDOS 공격 자초하는 격이죠. DDOS 대책으로 백신안깔린PC 포탈 접근 막겠다는 뉴스까지 있더군요. 당시 백신업체 대표가 뉴스 앵커와 인터뷰하길래 그 업체 홈페이지를 방문했더니 빈 화면에 “OK”만 적혀 있더군요. 백신업체 서버까지 해킹당한 모양인데 며칠간 그 상태였어요.
금결원은 ActiveX 안 쓰면 보안이 더 좋을텐데. 보안이나 표준 이전에 사용자의 선택권이나 결정권은 더 근본적인 문제이거나 상위이지 않을지?
아직은 갈 길이 정말 멀죠! 무엇이 문제인지 인지 시키는데 많은 노력이 필요 할 듯 하네요! 특히, 정책에 관여하는 분들이요. 제 생각에는 어떠한 보안 프로그램보다 안전한 것이 SSL입니다. 256비트만 암호화 해도 해독하기 위해서 평생을 바쳐도 모자라니까요. 되려 AxtiveX는 프로그램을 설치 후 헛점을 분석한 후 역 이용을 하면 처절하게 난도질 당하니까요! 왜 많은 사용자들이 검증을 한 안전한 것을 이용하지 않고 버그리포트 제대로 받지도 않는 ActiveX를 쓰게 하는지 모르겠습니다.
전자서명도 은행이 책임 회피용 밖에 안됩니다. 프로그램을 허술하게 만들어 놓고 그 피해는 고객에게 돌리기 위한 수단이죠! 저는 정말 다양한 브라우저와 다양한 OS 사용자가 늘어 나면 날 수록 안전해 진다고 생각합니다. 물론 그렇다는 것은 아니지만 해킹피해자들이 원도우즈 사용자가 피해가 클듯 하기도 하구요!
전자 서명과는 관계없는 질문입니다만…
1. ActiveX 보안 모듈의 키로깅 방지 기능을 지속적으로 잘 강화한다.
2. 은행 비밀 번호를 다른 사이트에서 사용하지 않는 별도의 것으로 쓴다.
-> 안티 바이러스 소프트웨어가 없는 상황이라고 하면요, 이 두개가 만족되면 없는 것 보다 좋은 상황 아닌가요? 적어도 은행 거래할 때만은 안전해 지는것 같은데요.
전에 피싱 이야기가 나와서 생각났습니다만,피싱 메일에 가짜 은행 첫페이지를 만들어놓고 백도어를 만드는 액티브 엑스를 설치해 준 후 원래의 은행 사이트로 리다이렉트 하면 사용자가 눈치채기 힘들것 같습니다. 현행 은행들이 첫페이지부터 액티브 엑스 설치를 요구해도 아무도 이상하게 생각하지 않을테니까요.
그 다음은 설명하지 않아도 될 것 같습니다. 한마디로 내뜻대로 내 마음대로 이니까요. 비스타는 한국의 인터넷 뱅킹을 위한 보안 레벨이라면 별 문제없을테고.
결국 피싱에 잘못 걸리면 금융거래 이외의 다른 개인 정보도 통합해서 유출되겠죠.
그리고 그런 경우는 사이트 주소를 확인하지 않은 사용자 잘못이 되겠죠 -_-; (사용자와 범인 사이에 민사로 풀게 될 것 같네요.)
문화가 그렇게 된 건 어떻게 해결해야 할까요…
보안을 강화했으나 보안에 취약해진…
많은 기대하고 있습니다.