EMI v Comerica 은행 사건

2010.03.17 글쓴이 youknowit

mumyoung 님께서 3.11일에 적은 댓글에 언급하신 바 있습니다만, 2009.11.17. 미국 미시간 주 법원에 제기된 Experi-Metal Inc. v. Comerica, Inc. 사건을 소개합니다.

Experi-Metal, Inc. (EMI)는 Comerica Bank 의 기업 고객입니다. 코메리가 은행은 일회용 비밀번호 생성기(OTP 토큰)로 접속 고객을 인증합니다. 2009.1.22. EMI의 경리 직원은 코메리카 은행이 발송한 것처럼 보이는 이메일을 받고 그 이메일에 안내된 대로, 이메일에 제시된 링크를 클릭하여 연결된 사이트(코메리카 은행 처럼 보이는 피싱 사이트)에서 회사의 계정 정보와 OTP토큰에 표시된 비밀번호를 입력하였습니다.

공격자는 그 즉시 이 직원이 입력한 OTP암호로 코메리카 은행에 접속하여 그날 오전 7:30부터 로그인 상태를 유지하면서 오후 2:02까지 총 85회에 걸쳐 러시아, 에스토니아, 스코트랜드, 핀랜드, 중국 및 미국 내의 여러 은행들에 있는 공격자의 계좌로 이체하는 거래를 실행하였고, 그 결과 EMI 의 계좌에서 합계 $560,000 가 빠져나갔습니다.

코메리카 은행은, EMI와 같은 회사에서 경리를 취급하고, 회사 계좌의 접근 수단을 관리하는 인원이라면, 피싱 메일에 링크된 사이트가 코메리카 은행사이트가 아니라는 점을 쉽게 알수 있었음에도, OTP 암호를 입력해 준 것은 잘못이라고 주장하며 배상을 거부했고, EMI는 은행이 그 동안 주기적으로 고객에게 은행 로그인 링크가 포함된 안내 이메일을 발송해 왔으므로, 고객이 이메일에 링크된 사이트를 별 생각 없이 믿도록 “유도”해 왔으니, 은행의 잘못이라고 주장하여 팽팽히 맞서다, 소송으로까지 간 사건입니다.

법리적으로 여러 복잡한 내용이 있으나, 두가지 점만 지적합니다.

첫째, 이 사건은 OTP 기술의 문제가 아니라, 코메리카 은행의 보안설계가 허술해서 생긴 문제라고 생각합니다. 7시간 가까이 공격자가 로그인 상태를 유지하며 85회의 이체 거래를 반복 수행할 수 있었던 이유는, 코메리카 은행이 최초 로그인때에만 OTP 암호 입력을 요구하고, 매 이체거래에는 더 이상의 인증(OTP 암호 입력)을 요구하지 않는 방식으로 설계되어 있었기 때문입니다. 소송이 제기된 이유도 코메리카 은행의 보안 설계가 통상의 합리적 수준에 못미쳤다는 판단을 받을 가능성이 있기 때문이지, OTP가 허술하기 때문은 아닙니다.

둘째, 그동안 금감원은 미국에는 타행이체에 사흘씩 걸린다는 주장을 끊임 없이 해 왔으나, 이런 주장은 EMI v. Comerica 에서 보듯이 사실이 아닙니다. 이 사건의 사고거래는 아침 7:30경에 시작되었고, EMI사는 오전 10시30분 경에 이상 징후를 파악하고 코메리카 은행에 거래 중단을 요청하였다고 주장하고, 코메리카 은행은 정오경에 자신들이 이상징후를 파악하였다고 주장하지만, 어쨋건 이체 거래는 2시까지 계속되었고, 실시간 타행 이체된 부분을 되돌릴 수 없어서 분쟁이 발생한 것입니다.

Categories: 보안, 인터넷 뱅킹 | 19 comments  오픈웹 구독 메일로 받기

  • mongmong

    교수님께서 해당 사고의 자세한 내용을 조사해보셨네요.읽어보니 첫번째 지적내용처럼 OTP 기술의 취약성 때문에 생긴 사고가 아니네요. mumyung 이라는 양반은 고작 근거로 들이댄다는게 한글뉴스기사 검색되는 걸 뭣도 모르고 들이밀은 꼴이군요. 보안전문가인척은 혼자서 다 하더니 원문글 찾아서 영어 읽어볼 실력도 못되나봐요.

  • mongmong

    여기 오픈웹에서 반박글 적는 보안업계관계자 여러분…
    “너희 비전문가들이 보안기술에 뭘 알어?” 이딴 드립이나 치시지 말고, 김교수님이 올린 이글처럼 일반사람들도 쉽게 이해할수 있게 제대로 된 반박글하나 올려보세요. 말로만 전문가입네 하면서 기존 플러그인방식 보안기술이 왜 SSL + OTP 보다 기술적 우위가 있는지 처음부터 끝까지 소상히 한번 설명해보세요. 정말 전문가라면 일반 사람도 쉽게 이해할 수 있게 설명해줄수 있는게 진정한 전문가 아닙니까?

  • mongmong

    그리고 보안업계 내부메일링리스트 운영자 양반 보시오. (볼런지는 몰겠지만..)
    1. 공인인증서 헤프닝글에 엉뚱한 SSL strip 개발 자랑글이 보이길래 좀 시비조로 자랑하냐고 따진거
    2. SSL strip 툴 공개하면 정말 범죄왕이 될만큼 무적의 기술이 궁금해서 클라이언트 인증를 써도 정말 무적의 해킹기술인지 냐고 물었더니… 답변도 안해주고

    저 2가지가 메일링리스트에 강퇴당할만한 이유인것임? 기분 나쁘게 했다고 해서 강퇴라니… 원..

    오픈웹에서 고작 댓글하나 삭제당했다고 메일링리스트 죽네 사네 마네 드립칠때는 언제였던가..

  • skonmeme

    레퍼런스가 없으셔서 찾아보다가 http://www.krebsonsecurity.com/2010/02/comerica-phish-foiled-2-factor-protection/ 링크를 하나 찾았는데, 고소장(?)과 답변서(?)가 올라와 있더군요.. 참고하시라고 댓글 답니다.

    신기한 것은 제가 겪어본 은행들.. 그래봐야 3개뿐이지만, 모두 타행이체할 때에 3일이 걸렸습니다. 이체되기 전에 은행에 연락해서 얘기를 나눌 수가 있지요..
    기업이라서 뭔가 다른 서비스가 있는 것은 아닐까라는 생각도 드는군요.. 이 놈의 미국이라는 나라야 말로 별거 아닌 서비스 추가하고 돈받는 나라라서요..

    • ori

      원래 금융거래, 특히 국제금융거래의 경우는 영업일 2일 이후 결제가 보편화되어 있습니다. 우리나라도 내국인 원화 이체를 제외한 대부분의 거래 (특히 증권이나 선물거래)는 모두 2영업일 기준의 결제를 사용합니다. 시차와 현금의 경우 준비할 시간 등의 여러 가지를 고려하여, 예전부터 이게 관행이었고, 지금도 그냥 이어지고 있습니다. 덕분에, 많은 거래에 추심을 적용할 수 있는 장점도 있고, 이 시스템이 복장 터진다는 사람도 있죠.

      미국의 경우 일반적으로 동일 은행의 경우는 실시간 이체를 제공하기도 합니다. 그러나, 자유로운 외환 거래를 해 본 적이 거의 없는 한국의 입장에서는 원화의 실시간 이체가 보편적인 상황이지요.

      그런데 많은 거래의 경우 (보이스피싱과 같은 악성 거래의 경우는 특히) 최소한 몇 분에서 몇 시간의 추심 시간만 주어진다면 사고의 확률을 상당히 낮출 수 있습니다. 하지만, 추심이 이어지는 경우 거래 자체의 효율성을 떨어뜨리기 때문에, 효율에 목숨 건 한국적 인 정서는 결코 맞지 않는 상황이겠지요.

      금감원은 외국의 경우 실시간 통신이 기술적으로 불가능해서 하지 않는다는 사실을 강조하는 듯 하군요. 하지만, 2 영업일 이후 결제하는 것은 국제 관행일 뿐입니다. 그렇다면 똑같이 공인인증서를 사용하는 주식거래에서는 왜 2일 이후에 입금할까요.

      • skonmeme

        개인적인 의견일 뿐이지만, 국내 금융거래에도 2시간에서 4시간 정도의 추심 시간이 있었으면 합니다.

        이 정도 시간이라면 오류를 확인할 수 있는 정도의 시간이라고 생각되고, 불편이 있기는 하지만, 크게 지장이 없을 것으로 판단됩니다. 물론 실시간 금융거래에 익숙해져있는 대다수 국민들은 불평을 하겠지만, 시간이 조금만 지나면 익숙해질 거라고 봅니다.

        사실 실시간 거래를 필요로하는 분야에 대해서는 신용카드, 직불카드와 같은 사후 결재가 되는 시스템을 이용하면 될 것이라고 생각합니다. (핸드폰 결제도 있고요..)

        사실 이정도의 추심시간만 있다면 그 지저분한 보안시스템이 크게 필요하지도 않습니다. 실시간에 올인해야하는 작금의 사태가 더 이해가 안갑니다.
        빨리빨리가 꼭 좋은 것은 아니지 않습니까?

  • http://openweb.or.kr youknowit

    미국에서 타행이체에 사용되는 은행 간 결제 메카니즘은 Fedwire 와 CHIPS 등이 있다고 알고 있습니다.

    http://www.ffiec.gov/ffiecinfobase/booklets/wholesale/02.html 참조.

    이 메카니즘은 모두 실시간 결제를 수행합니다(real-time gross settlement system). 그러나, 개인들이 이 메카니즘을 직접 사용하는 것이 아니라, 은행들이 이 메카니즘을 이용하여 개인/기업 고객들의 이체 요청을 수행합니다.

    즉, 은행은 고객의 이체 요청을 받고, 아무 점검 없이 막바로 Fedwire나 CHIPS에 이체 지시를 날려보낼지(좀 바보같은 선택), 일정한 점검을 마치고(위의 skonmeme님의 지적과 같이) 이체 지시를 보낼지 판단하는 것입니다.

    일단 은행이 결제 지시를 Fedwire 등에 전자적으로 보내면 되돌릴 수 없고, 실시간으로 거래가 수행됩니다.

    한국에서도, 은행들은 고객의 이체 지시를 전자적으로 받고 (기계적으로, 무조건) 은행 간 결제 메카니즘으로 그 지시를 마구 날릴 것이 아니라, 필요한 점검을 거친 다음 결제 메커니즘으로 보내는 것이 좋다고 생각합니다.

    은행들 간에 보다 자유로운 기술 경쟁이 가능한 상황이 오면, 우리 나라 은행들 중에도 보다 합리적 선택과 판단을 하는 곳이 나오겠지요. 미국의 은행들은 아마도 한국의 은행들이 왜 고객의 이체 요청을 ‘즉각적으로’ 은행간 실시간 결제 시스템으로 집어넣는지 납득하기 어려울 것입니다. 한국 시스템이 ‘선진적’이라고 생각할지 어떨지는 모르겠습니다.

  • mumyoung

    쓰레드와는 상관없는 질문이라 죄송합니다.
    오픈웹이 ActiveX 방식의 문제점을 지적하고 이에대한 대안을 제시하고 있는데.. ActiveX 방식이 지금 문제점이 있다고는 누구나 공감하고 있습니다.
    여기에 대해서 만큼은 이견이 없죠..

    오픈웹이 제시한 대안과는 상관없이
    정부 관계자들이 지금 ActiveX 에 대한 문제를 인지하고 있고 금감원이나 키사에서 나름 해결책을 준비하고는 있는지요?

    • http://hyeonseok.com 신현석

      준비중이다…라고 하면 될 것 같습니다.

      액티브엑스라고 해도 즉각적으로 대체할 수 있는 기능이 있고 공인인증과같이 여러기관에 걸쳐 이해관계가 복잡한 기능도 있습니다. 이런 경우는 시간이 더 소요되겠죠. 하지만 문제는 충분히 인지하고있고 개선을 고민하고 있습니다. 손놓고 있는 것은 아닙니다…만 언제쯤 납득할 정도록 해결이 될지는 아직 불투명하네요.

  • mumyoung

    그렇군요.. 답변 감사드립니다.

    그렇다면 당장 오픈웹의 주장대로 인터넷 뱅킹 방식을 바꾸라고 하는 것 보다는 ActiveX 문제를 해결하고 웹 표준을 지킬 수 있는 구체적인 대안을 정부가 먼저 제시해 보라고 건의해 보는것도 좋을 것 같은데요.. ActiveX 문제를 해결해서 다양한 웹 접근성을 보장하는 방법이라면 오픈웹서도 반대할 이유는 없을 것 같습니다. 일단 정부가 문제점을 개선할 의지는 있다고 하니밀실암약, IT 갈라파고스, 보안업체의 비 도덕성등등은 정부의 의지를 먼저 확인해 보고 예기해도 늦지 않을 것 같은데요..

  • ori

    인터넷 뱅킹에서 ActiveX를 걷어내느냐 마느냐는 어떻게 보면 다가오는 전자상거래의 새로운 패러다임과 비교해 봤을 때 매우 지엽적인 문제입니다. 한국의 많은 제도나 법령은 (굳이 그것이 IT와 연관성과 무관하게도) 미래 시장이 나아갈 방향과는 맞지 않습니다. 길게 보면 지금 일어나는 ActiveX 논쟁도 결국 예전 한글 코드를 놓고 내는 조합형/완성형 논쟁과 크게 다르지 않을 것이라 생각됩니다. 문제는, 지금 한국의 많은 제도는 스스로 변화하는 패러다임에 산업이 뛰어들 수 없게 하는 큰 장벽을 치고 있다는 것이죠.

    간략한 예를 들자면, 앱스토어나 아이튠즈는 서버가 어느 나라에 있는지 사업자등록이 어디에 되어 있는지와 무관하게 전 세계 사용자들은 쓸 수 있습니다. 앞으로 5년 정도 후에는 거의 대부분의 미디어는 디지털화가 될 것이며, 그 미디어를 사고 파는 시장이 현재 오프라인의 “Atom” 시장보다 훨씬 큰 “BIT”의 시장이 되겠지요-네그로폰테가 이미 10년 전에 한 말입니다.

    시장이 돌아가기 위해서는 필수적인 것이 금융/결제이며, 이 두 가지 수단은 한국에서는 글로벌 스탠다드가 아닙니다. 결국 이에 관한 파생적인 상품을 형성하는 것이나, 시스템을 만드는 모든 것들은 국내용으로 한정됩니다. 그러나, 국내의 내수 시장 규모상, 이들 서비스를 국내용을 제작할 경우, 수지타산이 맞지 않죠. 이러한 제도가 산업의 글로벌화를 정면으로 막고 있는 셈이 됩니다.

    사실상 “Atom”의 시장에서도 결국 FTA체결이 된 역내 통합이 될 가능성이 높다는 것이 현재의 추측이고, (극단적으로 옥션이 아닌 이베이에 주문을 하면 옥션이 배송을 대행해 주는 것이죠) 이러한 세상이 그리 멀지 않은 미래에 나타날 것입니다. 실제 보안이라는 것을 핑계로 산업의 발전 방향에 전봇대를 꽂는 행위가 됩니다.

    보안이라는 측면은 기술적인 측면으로 모든 측면을 다 완벽히 처리하는 도깨비 방망이는 아닙니다. 정부나 정부로부터 시작해서 시장이 생긴 보안 업체는 가급적 이런 도깨비 방망이를 주문하겠지만, 어떤 보안도 취약성이 충분히 존재하고 있고, 사용자의 컴퓨터가 악성 코드에 의해 탈취된 상황이라면 극단적으로 어떠한 방법으로도 거래의 안전성을 지켜낼 수 없습니다. 다만 현재의 방법이 최고의 도깨비 방망이인 양 세뇌하고 있는 것 뿐입니다. 보이스피싱은 범죄를 경찰이 잡으러 다니는 것과 마찬가지로, 이러한 범죄도 결국 경찰이 잡아야 할 일이지, 보안 업체가 도깨비 방망이를 만들어야 하는 상황이 아닙니다. 모든 보안의 기본은 상식적인 레벨의 위험성만 지켜내면 되는 것입니다. 은행에 최고로 안전한 금고를 갖다 놓아도 탱크로 은행벽을 뚫고 들어가면 무용지물이기 때문입니다.

    현재 뱅킹이나 카드는 인터넷에 한해 너무 과도한 규제를 가하고 있습니다. 실제로 실물 마그네틱 카드의 안전성은 30년 동안 거의 변한 게 없는데도 사용되고 있습니다. 실물 마그네틱 카드는 윈도우로 운용되는 VAN사의 단말 POS를 해킹하면 하루에도 수백만 건의 복제 카드를 만들어 낼 수 있습니다. 그리고 그 카드를 갖고 실제 실물 결제가 가능한 수준입니다. 음식점에서 거의 보안적으로 방치되어 있는 이 POS들이 과연 인터넷 거래에 비해 엄청난 안전성을 지닌다고 생각되나요? 많은 POS에서 인터넷 익스플로러를 띄워 인터넷을 할 수 있는 상황인데도 말입니다.

    보안이라는 것이 옛날 공산당이 싫어요 시절처럼, 반대파에게 “그것은 보안성이 약해” 한마디로 빨간 칠을 할 수 있습니다. 어떤 보안 방식을 선택할 것인지는 일정 수준 이상의 기술 상황에서는 자유 의지에 맡겨야 합니다. 한국 시스템이 세계 최고라는 이상한 논리에 의해 글로벌 스탠다드를 버렸을 때, 결국 일어나는 일은 정말 먼 길을 돌아 글로벌 스탠다드로 가는 것입니다. 예를 들어, 모바일 WIPI 플랫폼을 강제해서, 결국 한국에는 세계 수준급의 앱스토어 개발 회사가 거의 나오지 못하게 한 것과 마찬가지 결과가 나오게 됩니다. 그렇다고 WIPI로 돈 벌었던 회사가 있던가요? 피쳐폰에 들어간 브라우저조차도 이제 오픈 소스 기반의 오페라로 가려는 상황입니다. 그런데, WIPI보다 지불 결제 부분은 더 심각한 폐해가 되죠. 왜냐면 모든 산업을 다 걸고 넘어지게 됩니다. 현재 소프트웨어나 컨텐츠 산업은 이미 서구권과 엄청난 격차가 벌어지고 있고, 이것이 융합되면 결국 모든 무역에서 상당히 저급한 시스템을 쓰는 나라로 전락할 것입니다. 모든 브라우저에서 금융거래를 하는 방법은 공인인증서를 자바애플릿으로 처리하는 방향으로 가면 되지 않느냐는 사고 방식이 그 발전을 정면으로 막게 되는 것이지요.

  • mumyoung

    장황하게 말씀하셔서 무슨말인지 정확히 잘 모르겠지만..페이게이트 같은 회사가 전자지불 사업을 할 수 없는 형태의 웹표준이라면 의미가 없다는 말씀같네요.

    그렇지만 사업을 하고 말고는 웹표준 성과에 대한 부산물이지 본질이 되어서는 안된다고 생각합니다..

    왜냐하면 ActiveX와 MS 독점 문제는 인터넷 뱅킹 뿐만 아니라 전자민원, 게임, 증권, 포털 등등 우리나라 인터넷 모든 인터넷 환경의 문제이기 때문에 인터넷 뱅킹만으로 한정해서 웹표준을 논할수는 없습니다.

    소수의 사용자가 리눅스같은 비 MS환경에서 웹 평등을 누려야 한다가 본질 아닌가요? 리눅스에서 쇼핑도 하고 게임도 하고 증권도 하고,,

    정부의 규제를 철폐하고, 시장의 자율에 맏겨 글로벌 스탠다드 환경에 맞는 사업을 할 수 있게 해야 한다가 오픈웹의 본질은 아닌것 같은데요.

  • http://openweb.or.kr youknowit

    오픈웹은 정부의 불합리한 규제, 자유로운 기술 진보/경쟁을 가로막는 규제를 철폐하고 시장의 자율과 글로벌 스탠더드 환경에 맞는 사업 환경을 보장해야 한다는 주장을 핵심으로 하고 있습니다.

    단순히 리눅스 이용자도 인터넷 뱅킹하게 플러그인 뿌려주세요라는 내용은 결코 아닙니다.

    플러그인 사용을 “강요하지 말라”는 것이 오픈웹의 입장입니다. (플러그인을 사용하려는 업체는 사용하고, pure web 방식으로 서비스하려는 업체는 그렇게 할 수 있도록 허용하여, 공정한 기술 경쟁이 이루어져야 한다는 것입니다)

  • mumyoung

    사업 환경의 보장이라…
    PURE웹 방식으로 사업을 하는것이 근본적인 목적이라면 결국 웹표준, 웹평등이라는 구호는 CUSTOMER 가 아닌 BUSINESSMAN을 위한 표준이고 평등이네요….

    많은 사람들이 오픈웹 주장의 본질에 오해하고 있습니다. 그래서 무수한 반론과 논쟁이 벌어지는데,, 교수님께서 다시한번 정리하실 필요는 있을 것 같습니다.

    솔직히 누가 무슨사업을 하건 관심 없습니다.
    ActiveX 문제가 해결되기만 희망할 뿐입니다.

    • pighair

      주욱 그동안 리플을 봤는데 난독증이 있으신게 아닌가 싶습니다.
      바로 윗 교수님 리플은 업체가 하고 싶은 대로 구축하여 운영하게 하고 선택은 사용자에게 맡기자, 는 건데 businessman을 위한 표준이고 평등이라뇨.
      오픈웹 주장의 본질을 오해하는 건 무명님 같습니다만.

  • http://openweb.or.kr youknowit

    Pure web 방식으로만 사업 하라는 것이 아니라, Pure web 방식을 쓰건, 플러그인/앱 방식을 쓰건, 사업자가 합리적으로 판단할 수 있도록 허용하라는 것입니다. 정부가 어느 한쪽 편만 들지 말라는 것입니다.

    그래야 고객도 선택할 수 있을 것 아니겠습니까?

    사업자가 자유/선택권이 없다면, 어떻게 접속고객이 자유와 선택권을 누릴 수 있나요?

  • Kyeongmin

    전자 지불 회사의 주 업무는 쇼핑몰에서 결제된 내역을 각 카드사등으로 연결하는 역할을 합니다.
    개인(고객)과 쇼핑몰 사이의 통신 방식이 바뀐다고 해서 그 업무가 바뀌는 것은 아니죠.
    물론 개인과 쇼핑몰 사이의 보안을 위한 프로그램을 추가적으로 제공할수도 있겠지만 그게 전자 지불 회사의 주 역할인건 아니지요.

  • totheworld

    코메리카은행도 SSL을 썻는데 왜 피싱을 당했을까요?

    SSL을 써도 피싱당할 수 있습니다.

  • http://openweb.or.kr youknowit

    차이가 있습니다.

    국내 방식은 (플러그인 설치 단계에서) 플러그인 게시자 명칭에 근거해서 유저가 판단해야 하고, SSL 방식은 웹브라우저 주소창에 나타나는 주소가 은행 주소와 다른지에 근거해서 유저가 판단해야 합니다.

    어느 것도 완벽하지 않은데, 굳이 공인인증서만 “강제”하는 것이 이상하다는 것입니다.

    “강제”하지만 말아주세요.

«

»