해외 인터넷뱅킹 보안현황 조사보고서

2010.02.26 글쓴이 youknowit

최근 금융보안연구원에서 “해외 인터넷뱅킹 보안현황 조사보고서”를 발표하였습니다. 오픈웹에 게시되었던 보고서 전문은 금융보안연구원의 요청으로 내렸습니다. 정확한 fact를 널리 알리는 것이 모두를 위하여 도움이 된다고 생각하지만, 누군가 내리라고 했나보죠. ㅋㅋㅋ

저는 내렸습니다만, 손바닥으로 하늘을 가리려는 시도는 요즘 세상에는 무의미 하겠네요. 구글 docs에 있는 자료의 링크

어쨋건, 이 보고서는 미국, 영국, 네델란드, 호주, 싱가포르, 중국, 말레이지아의 여러 인터넷 뱅킹 서비스의 보안 해법을 조사하고, 정확하게 소개하고 있습니다. 요점을 정리하면,

  • 암호화 교신은 웹브라우저로 한다(SSL/TLS 로 수행되는 https 접속)
  • OTP (일회용 비밀번호)를 사용한다.
  • 키보드보안, 안티바이러스, 개인방화벽 액티브액스 플러그인 설치를 강제하지 않는다.

이 모든 나라들의 보안전문가들이 모두 틀렸고, 오로지 공인인증서/ActiveX 강제 방식만이 옳다는 견해는 설득력이 좀 없다고 생각합니다. 공인인증서를 사용하는 방법도 허용하고, https + OTP 방식도 허용하는 것이 합리적이고 중립적인 해결방법이라고 생각합니다.

중소기업 옴부즈만 제도가 있습니다. http://homin.go.kr/ 중소기업의 사업에 장애를 초래하는 불합리하고 부당한 규제를 지적하고, 그 개선을 정부에게 촉구하는 역할을 수행하는 독립 기구입니다. 기업 호민관(Tribune)이 바로 이 역할을 합니다. (트위터 id @minhwalee ) 아시겠지만, 호민관은 로마시대에 평민들의 이익을 수호하고 국정수행의 불합리한 측면을 견제하는 역할을 수행하였습니다.

기업호민관실에서는 금융위원회의 경직된 규제(금융거래에 공인인증서를 반드시 사용하라는 규제) 때문에 여러 기업들이 겪는 고충과 국제경쟁력 약화 실태를 지적하고, 앞으로는 (1)현재대로 공인인증서를 사용하거나, (2)세계 각국의 은행들이 안정적으로 사용하고 있는 https+OTP 방식을 사용하거나 선택할 수 있도록 규제를 개선하도록 건의할 예정입니다.

이 건의는 조만간 관계 장관회의에 상정될 예정입니다. 관심있게 지켜봐 주시기 바랍니다.

Categories: 인터넷 뱅킹, 인터넷 쇼핑, 정책제안 | Tags: , , , | 9 comments  오픈웹 구독 메일로 받기

One Pingback/Trackback

  • ar5k4u

    여기 글을 읽다가 문뜩 생각이 났는데 키보드 해킹방지 대신 키보드 가상배치 입력 방식을 하면 같은 비번이라도 입력할때 마다 키보드 입력 값이 변경될거 같은데요!

    어떤 방식이냐면 화면에 랜덤한 키보드 배열을 보여 주고 그 배열에서 내가 입력하고자하는 비번을 입력하죠! 내 키보드는 엉뚱한 키를 입력하지만 시스템에서는 랜덤하게 생성된 키보드와 월래 입력값을 비교하여 그 입력값을 알아내죠! 은행서버가 해킹당하지 않는 이상 사용자의 키보드 해킹을 불가능하지 않을까요?

    • tomyun

      키보드 해킹 방지를 위한 가상 키보드 솔루션들은 이미 몇몇 은행이나 증권사 등의 결제 홈페이지에 도입되어 있는 것으로 압니다. 아마 계좌번호 입력하는 폼 등에서 선택적으로 띄울 수 있을 겁니다.

      하지만 문제는 이런 솔루션 역시 ActiveX 플러그인으로 구현되어 배포된다는 점이겠죠. 그리고 오히려 화면 상에서 정보가 노출될 수 있기 때문에 그 효용성과 보안성도 검증해봐야 할 것 같구요.

      • ar5k4u

        키보드 배열만 화면상에 노츨되는거라 문제 없어 보입니다. 그리고 내 월래 비번이 1234인데 화면에 뿌려진 가상키보드 모양대로 1234를 입력하면 실제는 7463이 입력되어 전송되죠! 그러면 시스템은 랜덤한 가상키보드 패턴의 키값으로 복원을 하죠! 옆에서 지켜봐도 어려울 것으로 보입니다.

  • http://openweb.or.kr youknowit

    OTP 를 사용하면 키보드해킹시도를 무력화할 수 있습니다.

  • http://noneway.tistory.com noneway

    MS가 자사홈피를 통해 제시한 액티브X “대안과 제안”

    유효한 디지털 서명이 있더라도 ActiveX 컨트롤을 설치하는 데는 신중해야 합니다. ActiveX는 웹 검색 기능을 향상시킬 수 있는 반면 보안상 위험 요소가 될 수도 있으므로 해당 컨트롤 없이 웹 페이지가 작동한다면 사용하지 않는 것이 가장 좋습니다.

    …. 중략 …

    ActiveX는 사용자에게 더 많은 가능성을 열어 준 기능입니다. 그러나 그 발표로부터 10년이 지난 지금 인터넷은 당시에는 생각하지 못했던 악성 소프트웨어로 보안 위협을 겪고 있습니다. 이는 마이크로소프트도 기술 개발 당시에는 예측하지 못했던 문제로, 스파이웨어나 바이러스 등 인터넷을 통해 사용자의 PC를 파괴할 위험성을 지닌 프로그램이 이 ActiveX에 의존하고 있습니다.

    MS는 2002년부터 점차적으로 포괄적인 ActiveX의 권한을 축소해 왔습니다. 인증 받지 못한 ActiveX의 실행을 막았으며, Windows Vista에서는 보호모드를 마련하여 컴퓨터 내의 특정 영역만 사용할 수 있도록 하였고, 관리자 권한도 제약을 두었습니다. 이 제약은 모두 향후 예측할 수 있는 모든 잠재적 보안 위협에 대응하기 위한 방향이고, 더 안전한 OS로 완성하기 위한 MS의 노력과 방향성에 관련 업계는 세계적으로 동의를 보내고 있습니다.(해설: 한국 은행들이 보안의 적인 액티브X를 설치하기 위해서 비스타의 보호모드를 끄라고 강요한 이유가 여기에 있음, 한마디로 강도 잘 들게 열어놓으라는 양아치 짓인 겁니다.)

    …. 중략 …

    ActiveX 사용에 대한 대안과 제안

    ActiveX를 보안과 같이 시스템 레벨에서 사용하는 것은 지양되어야 합니다.
    128bit SSL을 비롯한 표준화된 인증 체제, 그리고 암호 발생기 등 다양한 보안 솔루션을 국가적 차원에서 열린 자세로 수용하여, 다양한 플랫폼에서 기 구현되고 검증된 인프라를 활용하도록 하는 것이 바람직합니다.

    전문-> http://www.microsoft.com/korea/windows/compatibility/activex.mspx

  • http://openweb.or.kr youknowit

    MS 사 페이지의 글자 크기가 좀 “째째하군요”. MS IE에서는 글자가 좀 크게 보이나요?

    • youngdragon

      부분적으로는 마찬가지네요 ㅋ
      어떻게 작성했길래 그런지…?

  • Pingback: 스마트폰 뱅킹, 제도적 카르텔 선결해야 :: Channy’s Blog

  • mnhwale

    김교수님
    대단한 노력을 하시는군요, 이민화 호민관입니다. 한국의 인터넷 발전 역사에 한 축을 그으시기 바랍니다. 저도 힘이 닫는데까지 힘을 보태지요.

«

»