“국내용” 보안 기술/정책의 실상

2009.12.28 글쓴이 youknowit

“IT 강국” 한국의 전자금융 보안 기술 및 정책의 실상입니다 — 믿을만 한지는 여러분께서 판단하시기를

1. 공인인증서 “쇼를 하라!”

공인인증서 “암호입력 쇼“는 구수한 유머 감각으로 국내 이용자들에게 타자 연습 기회를 제공합니다. 프로그램을 짜신 분은 분명히 그 내막을 알고 있을 것도 같은데… 정말 왜 그러시는지는 잘 모르겠습니다.

국제 시장에 진출하시면 대박을 터트릴지도…

2. two-factor 인증 “쇼를 하라!”

Two-factor 인증은 식지(識知)수단, 즉 알고 있는 것(자신만이 아는 비밀번호)과 소지(所持)수단, 즉 가지고 있는 것(자신만이 가지고 있는 인증서, OTP생성기, 보안카드 등)을 두가지 모두 사용하여 본인 확인을 하는 것을 말합니다. 두가지 접근 수단 중 어느 하나가 뚫리더라도, 다른 하나가 유출되지 않으면 안전합니다.

인증서를 사용한 인증이 two-factor 인증의 대표적 경우라고 흔히 설명합니다. 인증서 암호는 식지 수단(knowledge-based means of access)이고, 인증서 파일 자체는 소지 수단(possession-based means of access)이라는 것이지요.

그러나 이 설명은 중요한 전제가 충족되어야 합니다. 인증서 파일을 “해당 이용자만이 소지하는 상황”이 합리적 수준에서 보장되어야 합니다. 보안토큰에 설치된 인증서는 공격자가 복제해 갈 수 없으므로 이 요건을 충족합니다.

그러나 국내의 공인인증서는 아무나 마구 복제 가능하기 때문에 소지 수단으로 인정받기 어렵습니다. 따라서 인증서 암호(식지 수단)만이 사실상 거의 유일한 관문입니다. 국내 보안업계가 키보드보안에 올인하는 이유도 여기 있습니다. 키보드보안은 식지수단(암호)의 유출을 막아 보자는 것일 뿐이고, 소지수단(인증서 파일)의 유출은 이미 기정사실화하는 것입니다. 은행 접속 중에만 잠시 작동하고 꺼지는 방화벽 따위의 보안프로그램으로 인증서 파일(소지수단)의 유출을 막을 수 없다는 점은 보안업계 스스로 인정합니다.

키보드보안에 필사적으로 매달린다는 사실 자체가, 국내용 공인인증서를 이용한 인증은 무늬만 two-factor 인증일 뿐, 사실상은 식지수단(암호)에만 의존한 single-factor 인증이라는 점을 반증합니다.

아! 참, 이용자의 컴퓨터가 완벽하게 안전하면, 국내용 공인인증서를 이용한 인증도 two-factor 인증이 됩니다. 이용자 외에는 아무도 그 파일에 접근 못하니까요. 하지만 보안업체가 항상 주장하는 것이 이용자의 컴퓨터는 이미 뚫린 것으로 전제해야 한다는 것이므로, 업체 스스로의 주장에 의하더라도, 국내용 공인인증서는 two-factor 인증을 제공하지 못합니다.

“Two-factor 인증 쇼”일 뿐입니다.

[이용자 컴퓨터가 뚫리지 않은 상태라면 키보드보안 프로그램은 아예 필요 없습니다. 키로거(key-logger)가 이미 몰래 설치되어있는 상태라고 전제하니까 키보드보안이 필요하다고 난리를 치는 것이지요. 키로거가 설치될 지경이면 인증서 파일은 이미 내것이 아닌 상태입니다 - 하드에 저장되어 있건, USB에 저장되어 있건]

3. 키보드보안 “쇼를 하라!”

키보드보안 프로그램을 정면 돌파하려는 공격자는 없고, 그럴 필요도 없습니다. 은행 외의 여러 사이트에서(이때는 키보드보안이 물론 작동하지 않습니다) 이용자가 입력하는 비밀번호는 공인인증서 비밀번호와 일치하는 경우가 대부분입니다.

보안 업계에 근무하는 어떤 분은 “패스워드는 몇가지의 조합을 바꿔 가면서 3~4가지 써야 한다”고 주문하십니다. 즉, 인증서 암호를 다른 여러 계정 암호와 같게 해두면 키보드 보안 프로그램은 무용지물이라는 점을 스스로 인정하십니다. 보안전문가처럼 패스워드를 서너개씩 바꾸어가며 인터넷을 이용하는 분이 몇 %되는지는 모르겠으나, 그렇게 똑똑하지 못한 대부분의 보통 이용자들에게 키보드 보안은 쇼에 불과합니다.

계좌이체 비밀번호 4자리를 보호하는 기능은, 스크린 키패드를 사용하거나, 계좌이체 비밀번호 대신에 금융 PIN 6자리 중 매번 random 하게 세자리를 입력하도록 요구하는 방법(외국의 여러 은행들이 사용하는 방법)을 채택하면 됩니다.

키보드보안 프로그램 설치를 강제하는 외국의 은행은 없습니다. 그 은행들이 모두 바보라서 그렇다고 생각하시나요? 외국은 인터넷 뱅킹이 한국 만큼 활발하지 않아서? 외국은 해킹이 한국만큼 극심하지 않아서? 외국은 IT 강국이 아니라서? 외국은 사고가 터지면 은행이 무조건 오리발 내밀고 고객이 다 뒤집어 쓰기 때문에? ㅎㅎㅎ

키보드보안 프로그램을 기필코 팔기 위한 영업 사원의 왕성하고 집요하고 터무니 없는 상상력은 감탄할만 합니다.

4. 안티바이러스 프로그램 “쇼를 하라!”

은행 접속 중에만 잠시 켜졌다 꺼지고 마는 독특하고 괴상한 “보안” 프로그램을 강제 설치하기 위해서, 이용자가 자기 컴퓨터를 보호하려고 스스로 설치한 본격 안티바이러스 프로그램(상시 작동)의 “실시간 감시 기능을 끄라”고 안내 합니다.

국내 은행은 이용자가 스스로 설치한 본격 안티바이러스 프로그램을 무력화 시키라고 안내합니다.

국내 은행은 이용자가 스스로 설치한 본격 안티바이러스 프로그램을 무력화 시키라고 안내합니다.

외국에서 이런 일이 벌어졌다면 소송 당하기 딱이지요. 그저 모르는게 약…

5. 웹페이지 소스 보안 “쇼를 하라!”

국내 은행들 중에는 이른바 “웹페이지 소스 보호”를 한답시고 마우스 오른쪽 클릭이 안되게 해 둔 곳이 꽤 있습니다. 심지어 ‘국가정보원 IT보안인증 사무국’ 홈페이지도 그렇게 해 두고 있습니다.

마우스 오른쪽 클릭을 못하게 해두면 웹페이지 소스를 못열어 볼 것이라고 생각하는 수준의 인력은 컴맹 이용자들과는 대화가 통하는 분이긴 하겠지만, 한마디로 부끄러운 수준의 인력입니다. 이런 페이지를 납품 받아 걸어두고 있는 은행이나 그런 페이지를 설계한 분들이나…

웹페이지 소스를 이용자가 접근할 수 없게 하면서 페이지를 모니터 화면에 나타나게 할 수 있다면 그것은 기술이 아니라 기적입니다.

6. 보안접속 “쇼를 하라!”

1990년대에는 미국 외에서 사용되는 웹브라우저의 보안접속 능력이 현저히 낮았기 때문에(40bit), 별도의 보안접속 프로그램이 필요했습니다. 그래서 그 당시 국내/국외 업체들은 모두 128bit 보안접속 별도 플러그인/프로그램을 개발하였습니다. 그러나 2000년 2월 부터는 전세계에서 사용되는 웹브라우저 자체가 128bit 보안접속 기능을 구비하였으므로 별도의 보안접속 프로그램은 더 이상 필요 없는 상품이 되었습니다. 외국 보안 업계는 그때부터 보안접속 플러그인 사업을 모두 접었습니다.

하지만 국내에서는 아직도 보안접속용 별도 플러그인 장사를 계속하고 있습니다. 보안 기술 지식이 전혀 없는 국내 고객(은행 등 각종 서비스 제공자)들에게 왕창 바가지를 씌우는 것입니다 (“128bit 보안접속 플러그인 해프닝” 참조.) 주요 웹브라우저는 현재 256bit 보안접속을 기본으로 제공합니다.

“IT강국 한국산 보안접속 플러그인” 외국에 좀 파실 수 없나요? 제발 수출해 버렸으면 좋겠습니다.

7. SSL 취약점 발견, “쇼를 하라!”

국내에서는 이른바 “SSL 취약론”이라는 것을 주기적으로 내세우는 분들이 계십니다. 보안 기술 칸퍼런스 같은 행사에 사람들을 불러놓고 https 보안접속의 취약점을 공략하는 방법을 실제로 보여 주신다면서 “시연”하는 형태로 SSL 취약론이 제기되는데, 이런 행사가 있을때 마다, 국내의 “보안 매체”라는 곳에서는 “SSL 취약점 발견”이라면서 대대적으로 보도합니다.

요컨대, 전세계가 사용하는 https 보안접속은 위험하니까 국내 업체가 판매하는 보안접속 플러그인을 구입하라는 것입니다.

부탁이 있습니다. 국제 칸퍼런스에서 제발 좀 발표해 주십시오. 한국도 한번 IT/보안 기술에서 떠봅시다.

영어가 모자라면 구글 코리아 관계자에게라도 설명해 주십시오. 구글이 그렇게 위험한 https 보안접속으로 전세계 이용자들에게 서비스를 하는 사태를 그냥 한국에서만 알고 있기는 좀 그렇잖습니까? 그리고 전세계의 은행들에게도 좀 알려 주시고요.

사족같지만, 국내 업체가 판매하는 보안접속 플러그인도 실은 SSL 프로토콜(옛날 버전)을 사용합니다. 스크린샷1, 스크린샷2 대략 황당…

8. 대칭/비대칭 암호화 “쇼를 하라!”

얼마전까지 한국의 금융 보안 정책의 총 책임을 맡고 계셨던 금융감독원 김인* 부국장님께서 어떤 학회 발표에서 “확신을 가지고” 다음과 같이 말씀하신 것을 제가 직접 들었습니다:

“웹브라우저가 수행하는 https 보안접속은 대칭 암호화 방식이지만, 공인인증서는 비대칭 암호화 방식을 채택하고 있다. 비대칭 암호화 방식이 대칭 암호화 방식보다 더 안전하므로 공인인증서는 반드시 필요하다”

그러나, 웹브라우저건 국내 업체가 판매하는 별도 플러그인이건 간에, 보안 접속은

  1. 공유키를 비대칭 암호화 방식(흔히 RSA 방식)으로 암호화해서 상대방에게 전달하고
  2. 이렇게 전달된 공유키를 사용해서 교신 내용을 대칭 암호화 방식(AES, RC4, SEED, ARIA 등)으로 암호화해서 전달하고 복호화해서 해독하는

구조를 취합니다.

요컨대, 보안접속은 모두 비대칭암호화(키교환) 단계 + 대칭암호화(메세지 교환) 단계로 구현됩니다. 국내업체들이 판매하는 플러그인도 다르지 않습니다. 국내 기술진이 개발한 SEED 나 ARIA 알고리즘도 대칭 암호화에 사용되는 블록 Cypher 입니다.

도대체 어느 업체의 영업사원이 김인* 전임 부국장님께 저런 헛소리를 해댔는지는 모르겠지만, 지금까지 금융감독원의 보안 정책은 자기도 잘 모르는 보안 기술 용어를 함부로 공개석상에서 “자신있게” 늘어 놓는 수준의 공무원이 결정하고 집행해 왔습니다. 그 후임자께서는 좀 달랐으면 합니다.

참고로, 전자서명법(공인인증서는 이법에 근거한 것입니다)에는 보안접속에 대한 언급은 한마디도 없고, 공인인증제도의 기술적 총책임을 맡고 있는 KISA 에서도 보안접속은 공인인증 제도와는 무관하다는 점을 확인하고 있습니다.

공인인증과 보안접속을 마구 뒤섞고, 대칭/비대칭 암호화 기술이 뭔지 전혀 이해하지도 못한 김인* 전임 부국장님의 발언은, 90년대 후반 (공인인증 제도가 도입되기 전)에 사설인증과 보안접속 기능을 마구 섞은 통합 플러그인을 개발하여 지금까지 팔고 있는 국내 보안업체 영업사원의 황당무계한 sales talk가 그냥 재방송되는 것입니다.

대칭 암호화, 비대칭 암호화, … 아무것도 모르는 청중(고객/공무원) 앞에서 폼 잡고 쇼 하기는 좋은 용어지요…

9. 보안경고창 “쇼를 하라!”

한국 국민들에게 너무나 친숙한 보안경고창!

보안경고창

보안경고창

일본 IT업계에 근무하시는 hirameki 님이 지적하셨듯이, 한국 국민은 이제 파블로프의 개가 되었습니다. 보안경고창이 뜨면 무조건 “예”를 누르도록 훈련받았기 때문입니다. 만일 “아니오”를 누르면 다음과 같은 경고(서비스를 이용할 수 없다)와 권고(예를 누르라)를 받습니다.

행정정보 공동이용 사이트 https://www.share.go.kr/index_ssl_www.html

행정정보 공동이용 사이트 https://www.share.go.kr/index_ssl_www.html


우리은행

우리은행



하나은행

하나은행: 1288 bit 암호화가 아니라, 128 bit 겠지요 :)

국민카드

국민카드

한국 국민들은 “보안경고창”이 “보안 프로그램 설치 여부를 묻는 창”이라고 오해하고 있습니다. 보안업체들이 이렇게 전국민을 집요하고 교묘하게 오도한 사례는 세계에 유례가 없습니다.

Categories: 공인인증서, 보안, 인터넷 뱅킹 | Tags: , , | 9 comments  오픈웹 구독 메일로 받기

3 Pingbacks/Trackbacks

  • 황하준

    보안업체 관계자라면 ‘아 18… 뒷골 X낸 땡기네…’ 하면서 페이지 닫아버리겠군요… ㅋㅋㅋㅋ

    뒷골 땡긴다고 악플 달아봐야 어쩔 겁니까… 자기들 스스로가 만들어 낸 사태이니 자신들이 응당 책임을 져야 마땅하지요…

    이런 보안업체 직원들이 아이폰을 접한다면 요즘 유행하는 ‘아이폰 탈옥’을 ‘아이폰 갖고 감옥(현실세계의 교도소입니다)에서 탈출하는 것’이라고 해석한다고 해도 과언이 아니겠군요… ㅋㅋㅋ

    뭐 벌써 불편한 심기에 못 이겨 돌아가신 분들도 계실지는 모르겠지만, 만약 그런 분이 계신다면 삼가 명복을 빌겠습니다.

  • http://unipro.tistory.com unipro

    배탈이 났는지 속이 쓰리고 아파서 힘들었는데, 교수님의 글을 읽으니 속이 시원하네요.
    개발자의 한 사람으로써 보안업체에 계신 분들께는 미안하기는 하네요.
    그러나 이 바닥이 워낙 변화가 심하잖아요. 새로운 기술과 환경에 옛날의 것이 사라지는 것은 어쩔 수 없잖아요. 새로운 치즈를 찾아서 언제든지 떠날 준비를 해야죠.

  • http://blog.naver.com/fstory97 숲속얘기

    딴것보다 자꾸 이렇게 우리만 혼자가면 경쟁력을 잃을텐데 말이죠. 그게 더 걱정입니다. 각종 보안을 덕지덕지 붙히면 확률적으로 헛점과 비용과 오류도 늘지만 해킹의 확률은 줄겠죠. 최고의 보안은 두명의 개발자가 개발하는거라는 우스개 소리도 있으니..
    일부의 밥그릇 보호를 위해 전체의 경쟁력을 잃어버리는 일은 좀 그만했으면 좋겠습니다. 이전 최초의 은행때는 SSL표준 이전이었다니 그렇다고 봐주겠지만, 이번 결정은 영 아닌것 같습니다. 이번 결정은 또 얼마나 많은 비용과 유저들의 불편함을 감수시키는걸까요? 보안에서는 가용성도 중요하다고 하던데… 그건 너무 뒷전인것 같습니다.

  • http://mystictales.net 경민

    보안 프로그램을 많이 깔아서라도 보안이 된다면 좋겠지만, 그런 보안 프로그램 대부분이 그다지 의미 없는 삽질이란게 문제입니다.

    가정 1, 보안 프로그램이 작동할 정도로 컴퓨터에 심각한 보안적 위험이 있을 경우…
    이 상황이라면 이미 보안 프로그램이 동작하기 전에 대부분의 중요한 정보들은 빠져나간 상태라고 봐야 합니다.
    그나마 키보드로 암호를 치는 정도가 남아 있지만 이것도 본문에 언급했다시피 사이트마다 암호를 다르게 쓰지 않는 이상은 이미 유출됬다고 봐야 하겠지요.

    가정 2, 보안적 위험이 없을 경우…
    보안 프로그램은 놀고 있습니다.
    문제도 없는데 뭐 하고 있겠습니까…
    쓸데없이 컴퓨터 자원이나 낭비하고, 시스템만 불안정하게 만들고 있겠지요.
    특히 키보드 보안 계통은 OS 레벨까지 조작하느라 시스템을 정말 불안정하게 만듭니다.
    거기다 은행별로 호환도 안되서 은행 사이트 두세군데 열면 각각의 보안 프로그램이 서로 싸우다 다운되기도 합니다…[...]

    참고로, 공용 PC도 아니고, 불법 다운로드 사이트를 이용하지도 않고, 액티브 엑스를 함부로 깔지 않고, USB 메모리 관리(바이러스 걸린 공용 PC에서 메모리를 쓸 경우 메모리에 바이러스가 전염됩니다)만 잘 한다면 가정 1의 사태로 갈 일은 없습니다.
    특히 가장 골치아픈 문제가 액티브 엑스를 함부로 까는 일인데, 이걸 가장 부추기는 것 역시 보안 프로그램입니다.
    경고 뜨면 ‘예’ 누르라고 항상 말하다 보니 정말 위험한 프로그램의 경고마저도 습관적으로 ‘예’를 누르게 되는거죠.

  • http://youthink.me 고영혁

    마지막… 파블로프의 개가 너무도 와닿습니다. 저도 이미 충실한 개가 되어 있었다는. 첨에는 반발심리도 생기고 했지만, 전자상거래와 인터넷뱅킹이 활성화되면서 이런 것들이 없으면 뭐 아무것도 못하게 되니… 군소리없이 클릭 하고 멍하니 화면보며 기다리는거죠. 리붓도 군소리 없이 기다리고.

  • http://kuaaan.tistory.com kuaaan

    공인인증서를 분실했을 경우에 재발급받기 위해서는 ID와 패스워드, 그리고 보안카드 번호만 있으면 됩니다. 이를 다시 얘기하면, 공인인증서의 보안수준은 ID+패스워드+보안카드를 합친 수준밖에 안된다는 얘기지요. 이 세가지만 알아내면 타인의 공인인증서를 재발급받을 수 있으니까요.
    이걸 알았을 때.. 참 허무하더군요. ㅎㅎ

  • Pingback: 금감원의 스마트폰 보안 정책 « Open Web

  • Pingback: 인증서 로그인과 부인방지 « Open Web

  • Pingback: [링크] 은행 ActiveX 정말 싫다 | 웹으로 말하기

«

»