빗나간 공인인증서 옹호론

2010.04.05 글쓴이 youknowit

최근 ZDNet 에 꽤 길게 2편에 걸쳐서 게재된 칼럼은 공인인증서의 보안 효능을 옹호하는 내용을 자세히 담고 있습니다. 차분한 논의 태도는 돋보이지만, 현행 전자금융거래의 안전이 과연 공인인증서로 지켜진 것인지에 대해서 제가 품는 의문은 여전히 해소되지 않은 듯 해서 간략히 제 생각의 일단을 적어볼까 합니다.

해당 칼럼의 저자는 공격이 이루어질 수 있는 구간을 네가지로 분류하여 (1)키 입력값 가로채기 (2)익스플로러 브라우저에 플러그인 형식으로 탑재된 BHO (Browser Helper Object) 영역 값을 가로채는 악성코드 (3) 네트워크 상에서 평문으로 전송되는 내용을 가로채는 스니퍼 형태의 공격 (4) 개인 PC를 조종할 수 있는 백도어 권한을 가진 공격자에 의해 콘텐츠가 조종되는 유형의 백도어형 악성코드로 나누어 설명합니다. 현재의 보안 대응책은 이 각 경우에 상응하는 대응책을 제공하고 있다는 주장이 그 칼럼의 핵심 내용입니다.

그러나 공격자는 이러한 여러 구간 중 가장 취약한 구간만을 공격하면 됩니다. 보안은 그것을 구성하는 연결 고리 중 가장 약한 고리가 제공하는 수준에 그칩니다. 공격 패턴을 크게 두가지로 나누어 보겠습니다: (1) 유저 PC를 침입하는 공격, (2) 유저 PC를 침입하지 않고 하는 공격 (네트웍 스니핑, 프록시, 피싱 등)

1. 유저 PC를 침입하는 공격

유저 PC가 침입된 상태라면(해당 칼럼 저자는 이런 PC가 매우 많다는 점을 거듭 강조하고 있습니다), 공격자는 가장 쉬운 공격 방법을 택할 것입니다. 즉, 인증서 파일을 복사해 가고(어디 있는지는 알겠지요), 유저가 은행 외의 웹사이트에서 입력하는(이때는 키보드 보안 플러그인이 작동하지 않습니다) 암호들을 모두 가로채가면, 많은 경우 그 암호들 중 하나는 인증서 암호와 일치합니다. 물론, 모든 경우에 100% 일치하지는 않겠지요^^ 하지만 100% 성공율에 못 미치는 공격가능성이므로 무시해도 된다는 논리는 성립하기 어려울 것입니다. 특히 이런 공격(파일 복사, 입력값 수집)은 자동화된 스크립트로 행해질 수 있으므로 대량, 무차별 공격이 가능합니다. 일일이 해당 유저가 금융거래 할 때를 기다려서 그 광경을 직접 모니터해야 가능한 공격과는 비교할 수 없이 큰 파괴력이 있습니다. 공격도 ‘채산성’이 맞아야 이루어집니다. ‘반타작’만 해도 충분히 위력적인 공격이 될 수 있습니다.

칼럼의 저자는

  • 이른바 보안 플러그인들이 은행 사이트에 접속하지 않는 동안에는 작동 안한다는 사실,
  • 대부분의 유저들은 몇 안되는 암호를 돌려가며 여러 계정암호와 인증서 암호로 사용하고 있다는 사실,
  • 인증서 개인키 파일과 인증서 암호에 대한 공격은 유저가 은행 사이트에 접속해 있지 않은 동안에 자동적으로 대량, 무차별적으로 이루어질 수 있다는 사실을

고려하지 않고 있다고 생각합니다.

인증서 개인키와 인증서 암호가 유출되면, 유저와 공격자는 동등한 지위에 있습니다. 더 이상 인증서는 어떠한 보호수단도 제공하지 못합니다. 공인인증서 옹호론자들께서 인증서 개인키 유출 시나리오를 상상하기 싫어하는 이유는 여기에 있습니다. 그러나 외면한다고 해서 그 위험이 없어지는 것은 아닙니다.

한국의 인터넷 뱅킹 안전은 인증서가 지켰다기 보다는 보안카드(낮은 수준의 OTP입니다)가 지켰다고 생각합니다. 인증서가 그렇게 안전하면 보안카드(OTP)를 사용하지 말고 인증서+보안 플러그인으로만 인터넷 뱅킹을 감행할 수도 있었겠지요. 과연 그런 선택을 할 은행이 있을까요?

2. 유저 PC를 침입하지 않는 공격

HTTP접속을 한 상태에서 서버가 내려주는 플러그인을 설치해야만 가능한 국내의 보안 대비책은, 플러그인을 설치하는 단계가 가장 취약한 고리로 작용합니다. 유저가 아직 플러그인을 설치하지 않은 단계에서는 어떠한 보안도 없습니다. 이 상황에서 유저는 플러그인 설치 여부를 결정해야 하는 ‘부담’을 안고 있습니다. 문제는 대부분 국내 유저들은 이것을 아예 ‘부담’으로조차 생각하지도 않도록 (잘못) 훈련 받았다는 점입니다.

악성 코드의 설치인지, 보안플러그인의 설치인지를 유저가 판별할 능력이 있다고 기대하는 것은 무리입니다.

뱅킹, 쇼핑 거래에서는 플러그인 사용이 사실상 금기시되다 시피한 외국의 경우에는 피싱 등의 공격이 많이 발달되어 있지만, 한국에는 그런 공격이 비교적 적습니다. 그 이유는

  • 금융거래에 인증서를 사용하기 때문에 피싱 공격’만’으로는 공격자가 목적을 달성할 수 없기 때문이라고 흔히 설명하지만,
  • 플러그인 설치단계에서 ‘가짜 플러그인’을 내려주는 공격이 성공할 확률이 매우 높고, 그런 공격으로 인증서개인키/인증서 암호를 입수하기가 상대적으로 쉽기 때문이기도 할 것입니다.

가짜 플러그인을 사용한 공격은 물론 유저 PC를 침입하는 공격입니다(따라서 위의 항목에서 설명했어야 하겠지요). 그러나 보안플러그인을 설치하는 것은 유저 PC를 침입하는 것이 아니라고 하므로, 그것과 같은 패턴으로 이루어지는 공격을 이 항목에서 제시하였습니다.

인증서를 사용하여 거래하면, 피싱공격만으로는 공격을 완수할 수 없다고는 하지만, challenge-response 방식의 OTP를 사용할 경우(보안카드가 그렇습니다)에도 피싱 공격’만’으로 공격자가 목적을 달성하기는 어렵습니다. 이점에서는 둘다 차이가 없지만, 인증서 개인키/인증서 암호를 빼내가는 것은 OTP수단을 탈취하는 것보다는 쉬울 것입니다. SSL strip 공격을 언급하시는 분들도 계시지만, 그 공격이나 Plugin strip 공격이나 난이도의 차이는 별로 없을 것입니다.

여러 사정을 종합하여 고려한다면, 인증서가 우월하냐 OTP가 우월하냐를 가려보겠다는 논의는 무의미 하다고 생각합니다. 둘다 훌륭한 기술이고, 어떻게 전체 시스템을 설계, 운용하느냐에 따라 무용지물이 될 수도 있고, 매우 강력한 보호를 제공할 수도 있습니다. 따라서, 공인인증서만을 강제하는 현행 규제는 별 설득력이 없어 보입니다. 사업자가 스스로 합리적으로 판단하여 선택할 수 있도록 하는 것이 옳다고 생각합니다.

외국과 한국의 사고거래 규모를 비교할 수는 없습니다. 그 이유는, 국내의 사고거래 규모가 신뢰성 있게 조사된 적이 아예 없기 때문입니다.

Categories: 보안 | Tags: , | 59 comments  오픈웹 구독 메일로 받기

  • darkhi

    보안카드를 낮은 수준의 OTP로 본다면 지금 사용되는 OTP는 강화된 보안카드로 봐야 합니다.
    공인인증서와 보안카드는 그 운명을 같이해온 산물인데
    공인인증서에 대하여 이야기 하면서 보안카드를 분리하여 이야기할 수는 없는 것 같습니다.

    유저 PC가 침해당한 경우
    보안플러그인조차 설치되지 않은 상황이 설치된 상황보다 더 나은 상황(안전한)일 수는 없겠죠.

    유저 PC를 침입하지 않은 공격의 경우의 예로
    가짜 플러그인 설치를 들어 주셨는데
    플러그인이 설치되었다면 유저 PC가 침해당한 것이므로
    유저 PC를 침입하지 않은 공격이라고 보기 어렵습니다.

    OTP는 훌륭한 방안입니다.
    인증서도 훌륭한 방안입니다.
    그것을 같이 사용하고 있는 국내 환경은 개방측면에서는 폐쇄성이 있지만
    보안 측면에서는 훌륭한 대안입니다.
    (저도 키보드보안 솔루션 설치될때마다 짜증이 납니다. 설치 안할 수 있는 선택권을 주었으면 좋겠다고 생각합니다.)

    국가적으로 관리되고 있는 전자금융을 사업자가 독단적으로 판단하여 시행하는 것 보다는
    국가적으로 다른 대안을 제시하여 겸행하는 것이 옳을 듯 싶습니다.

    • Kyeongmin

      공인인증서와 보안카드는 전혀 별개의 보안 수단입니다.
      서로 독립된 형태로 운영되는 보안 수단이지요.
      외국에서는 공인인증서가 없기에 보안카드로만 보안을 합니다.
      지금은 OTP로 바뀌어가고 있지만요.

      • Richard Im

        별개가 아니고 함께 사용됨으로서 있을 수 있는 해킹에 대해서 차단시킬 수 있는 기능을 추가 하는 것입니다.
        현관만 있는 집과,

        대문+현관+방문

        이 있는 집을 비교하시면

        어떤 집이 들어가기 쉬울가요?

        물론, 인증서를 사용하든 보안카드를 사용하든 같은 방식으로 적용하였다고 가정하면 말입니다.

        그리고 OTP 정말 사용해 보셨어요?
        불편한것도 있지만,

        OTP에서 생성하는 난수값은 어떻게 생성되는지 검증이 되나요???

        우리나라에서 사용하는 OTP는 출처도 잘 모르는 외국에서 OTP 값 생성하는 알고리즘을 사온 것도 많다는데, 이게 표준은 있는 것인지, 표준이 있으면 표준을 지킨 것인지 알수가 없는 상황아닌가요?

        외국거면 그냥 이게 표준인가요??

  • ar5k4u

    과연 설치된 플러그인이 보안적으로 안전한 프로그램인가요?
    PC가 침입당한 상태에서 은행의 플러그인을 이용한 해킹이 발생되면, 키주고 들어 오세요 하는 것과 같을 것입니다.

    사이트 접속을 위해 내려받기 설치는 없애야 한다고 생각합니다.
    말씀하신대로 습관해 되서 악성 프로그램을 선별력이 없어 진다고 봅니다.
    지인들의 컴퓨터를 간혹 열어보면 엄청한 광고프로그램에 각 종 악성프로그램이 설치되어 있습니다.

    이러한 컴퓨터로 금융업무를 본다면 보안프로그램들이 무슨 의미가 있겠습니까?

    한번은 실험삼아 은행 뱅킹에 접속 테스트를 한 적이 있습니다.
    악성코드가 설치된 상태에서 통과가 되더군요
    물론 그 은행에서 요구하는 악성코드가 아닐 수 있겠지만,
    항상 새롭게 변형되고 있는 악성코드에서 대응능력이 얼마나 좋은지 의문이 들더군요!

    플러그인 설치가 없으면 악성코드 설치할 기회도 줄어 들고
    브라우저 보안능력 향상도 요구가 더 될 것으로 보입니다.

    • darkhi

      모든 플러그인을 악성코드의 감염위협 하에 본다면 FF나 IE의 플러그인 사용자체가 위협이 될 수 있다고 봅니다.
      보안 플러그인의 설치 자체가 위협이 되는 것이 아닌 플러그인 사용에 대한 전체적 위협 요소는 이 토론의 범주에 포함되지 않는 것 같습니다.
      그러한 사용자 인식 개선 건은 별도의 보안인식교육이나 인식 개선 운동으로 해결되어야 할 문제이며, 현 기술적 토론의 범주가 아니라고 생각됩니다.

      • ar5k4u

        제가 이야기하는 플러그인은 사용자가 원해서 가져 설치하는 플러그인이 아닌 강제설치 프로그램입니다. 이 은행에서 설치한 프로그램이 완벽 무결한 보안성을 가지고 있느냐하는 것입니다. 자체버그를 말하죠!

      • Richard Im

        내용에 동감합니다.
        플러그인을 사용자들이 많이 사용하게 된 것은 웹상에서 많은 자료들을 다운받고 하다보니 생겨난 현상입니다.,

        예를 들어서 PC에 깔려 있는 VGA 카드나 사운드 카드 등의 드라이브를 업데이트 하거나, 자료실에서 자료를 받을 때 플러그인 방식으로 다운을 시킵니다.

        대부분 사설로 운영되는 특별한 자료등을 다운받다가 악성코드 등에 감염되는 경우가 많습니다.

        전 오페라 브라우저를 자주 사용했는데, 자료실에서 파일을 받을려면 플러그인이 지원되지 않아 다운을 받을 수가 없어
        다시 IE 로 접속해야 하는 번거로움이 많았습니다.

        초고속망이 잘 갖추어져 있어서 Active X를 이용하면 100Mb 이상의 멀티미티어 자료들도 금방 다운 받을 수 있는 것이 한국의 실정이다 보니 관련 기술은 아마도 세계 최고 이지 않을까 생각됩니다만,
        만약, 문제가 있어 이런 방식을 사용하지 않는 다면 엄청난 불편함이 있을 것입니다.

        블러그나 카페, 그리고 기타 수 많은 홈페이지에서 이러한 이유로 대부분 IE만 지원하는 것에 대해서는 왜 아무런 언급이 없는 것인가요? 이것때문에 사용자들이 플로그인에 무감각해 진 것인데 말입니다.

        문제의 본질은 여기에 있습니다.

        그리고 이런 문제가 왜 OTP와 연관되어야 하는 것인가요?

        간략하게 보면 정말 희안한 결론이 되어 버린 거 같아요.

    • Richard Im

      플러그인과 내려받기 문제에 대해선 동감합니다. 하지만, 이게 없으면 직접 CD를 사와야 하기 때문에 실시간으로 프로그램 설치를 할 수가 없습니다. (보안 프로그램을 의미하는 것이 아님)
      따라서, 브라우저 만드는 업체에서 표준화되고 안전한 프로그램 배포 방식을 만들어 주어야 한다고 생각합니다.

      플러그인이 없다고 악성코드가 없어지는 건 아닙니다. CD, DVD, USB 등의 모든 매체를 통해서 설치가 되면 똑같은 상황에 처해지는 것이기 때문이지요.

  • misari

    근대 이전의 전쟁을 보면 공성전이 많죠.
    성을 쌓고 성 밖에서 공격하는 수 많은 적들을 성 안의 소수 병력들이 막아낸 경우를 우리는 역사를 통해서 잘 알고 있습니다.
    하지만, 성 안에 침투한 말 한마리(트로이안 목마)를 막지 못해서 트로이는 멸망하게 되었죠. 트로이 목마 안에 숨어있던 그리스 특공대가 성문을 열었기 때문이었음을 알만한 사람은 다 압니다.

    플러그인 설치는 마치 성문을 열어두고 이미 성 안에 들어온 적들(위해한 플러그인들)을 성 안의 병사들(보안 플러그인들)이 막아내는 것과 마찬가지로 매우 어렵고 불리한 방식입니다.
    애초에 성문을 함부로 열지 않는 것이 훨씬 안전하죠.

  • Kyeongmin

    공인인증서..랄까 어쨌든 공개키/개인키 기반의 암호화를 사용한 보안 방식에 대한 불만 자체는 없습니다.
    효과적인 암호화 기법인건 확실하니까요.
    다만, 인증서를 쓰기 위해서 다른 프로그램을 설치해야 한다는 것이 문제라고 생각됩니다.
    다른 프로그램을 쓰지 않으면 인증서 자체를 쓸 수 없다고 한다면 어쩔 수 없겠지만 전혀 그렇지 않지요.
    ssl이나 https 프로토콜 자체가 인증서 기반의 보안을 쓰는 프로토콜입니다. 단지 개인 인증서가 아닌 서버 인증서를 주로 쓰지만요. (물론 개인 인증서를 쓰게끔 하는 방법도 있습니다.)
    이런 기능을 이용하면 아무런 플러그인 없이도 인증서 기반의 보안 혜택을 받을 수 있음에도 우리나라는 무조건 ActiveX, 또는 전용 클라이언트라는 특정 유저만 쓸 수 있는 방법을 고집하고 있는 것이죠.

    • Richard Im

      https 사용시에 사용자는 서버 인증서를 확인할 수 있는데, 웹상에서의 서버 실체와 도메인네임등을 증빙하여 주는 것입니다.
      조그마한 자물쇠 모양인데, 대부분 사용자들이 확인을 하지 않지요. 확인만 한다면 피싱을 많이 줄일 수 있을텐데요.

      문제는 https 일 경우 사용자는 서버를 확인 할 수있는데 서버는 client 확인을 하지 않는다는 것입니다.

      client가 접속하면 해커든, 정상사용다든 무조건 random으로 암호화 통신을 할 수 있는 https를 형성하여 줍니다.

      따라서, client 가 누구인지 확인이 필요한데 이때 우리나라에서는 대면확인이 된 공인인증서를 사용하는 것입니다.

      다만, 브라우저에서 client를 확인할 수 있는 별도의 기능이 없어 추가적인 S/W 설치가 되어야 하는데 이를 위해서 설치될 S/W를 다운로드 시켜야 하고 이때 사용자가 편리하게 다운 받을 수 있도록 Active X를 사용하는 것입니다.

      IE외의 브라우저에서는 이러한 다운로드 기능이 자유롭지 않기 때문에 다른 브라우저에는 이러 다운로드 기능이 구현되어 있지 않는 것이 국내의 상황입니다. 아마도 그래픽카드 등의 드라이버를 IE이외의 다른 브라우저를 통해서는 다운받아 설치가 어려운 것입니다.

      이게 문제의 본질입니다.

      아마도 여기 오픈웹 사이트는 다양한 브라우저를 지원하려다 보니 글쓸때에도 이렇게 불편하게 되어 있고 이미지 올리는 것등의 흔히 사용되는 일반 블러그 기능을 구현할 수 없었을 겁니다.

      이렇게 불편한 웹은 정말 처음입니다. 글을 쓰는데도 막 화면이 올라가고 .. 참고 이미지는 아예 올리수 없고 …링크걸어야만 하구…
      여기선 자료 못 올리고 링크걸러야 하는 게 의무사항인가 본데 이것 좀 풀어주세요.
      왜, 이미지지나 참고자료는 못 올리게 하는 거죠??

      자료 올리는 것은 비표준이고 링크 걸어야 하는 것이 표준인가요??

      정말 사용자의 편이성과 웹표준을 이야기 하려면 여기 홈페이지부터 모법적으로 해 놓아야 본보기기가 되지 않을까요?

      ..아마 은행이 이렇게 되어 있으면 난리 나겠죠??? ActiveX를 사용하지 않으면 바로 이런 문제가 있는 것인데, . 엄청난 비용과 시간과 기타 등등이 필요합니다.

      그런데 왜 갑자기 OTP를 사용해야 한다고 하는건지 그리고 갑자기 OTP가 가장 안전하니까 OTP로 바꿔야 한다고 하니,희안한 거죠.

      결론적으로 실제의 본질은 브라우저 만드는 회사에 항의해서 표준화를 시켜 안전하게 파일, 자료 , S/W등을 다운로드 받을 수 있는 방법을 반들어 달라고 해야 합니다. 그리고 표준방식으로 해서 특정 브라우저에서만 사용되지 않게 말입니다.

      브라우저를 만드는 외국인들이 표준을 만들수가 없고 경쟁을 하다 보니 S/W 등을 다운로드 시키는 방식이 제 각각인걸..
      왜 자꾸 우리나라 업체와 국가기관과 은행에게 해결하라고 하며 OTP를 사용 해야 한다고 하는지…미스테리 입니다.

      • http://openweb.or.kr youknowit

        1. 웹브라우저에 클라이언트인증서 사용 기능이 이미 있습니다. 공인인증서도 웹브라우저가 인식할 수 있는 위치에 저장되었더라면 별도 플러그인이 필요 없이 클라이언트 인증에 사용될 수 있었을 것입니다.

        2. OTP 가 최상이다는 주장은 제기한 적이 없습니다.

        3. 모두 OTP 로 바꾸라는 주장을 제기한 적도 없습니다.

        4. 공인인증서 사용을 강제하지 말고, 사업자가 인증방법을 스스로 결정할 수 있도록 허용하라는 주장을 제기해 왔고, 지금도 그 주장을 제기하고 있습니다.

        • Richard Im

          1. 브라우저에서 클라이언트 인증서 사용 기능은 전자서명이 아니라,SSL세션을 맺기 위해서 생성시키는 random 키 대신에 인증서를 이용하는 기능인 것으로 알고 있습니다.

          2. 말씀하신 ” 한국의 인터넷 뱅킹 안전은 인증서가 지켰다기 보다는 보안카드(낮은 수준의 OTP입니다)가 지켰다고 생각합니다” 와 “인증서 개인키/인증서 암호를 빼내가는 것은 OTP수단을 탈취하는 것보다는 쉬울 것입니다”에 대한 내용을 보고 OTP더 좋다라고 주장하시는 것으로 저에게 그렇게 보였습니다.

          OTP는 Identity 기능을 제공할 수 있고 SSL은 기밀성을 제공할 수 있지만, 위변조 방지와 부인방지의 기능을 제공하기에는 부족한 면이 있다고 생각합니다.

          3. SSL+OTP를 이야기 하시면서 SSL+인증서(전자서명) 등의 모델도 있는데 공인인증서가 문제가 있다고 지속적으로 강조하시는 것이 OTP로 바꾸자는 것이 아니었나요?

          4. 추천하시는 NIST의 가이드라인
          Level3 에서 처럼 우리나라 은행에서도 인증서 + OTP의 2 factor 인증을 사용하고 있습니다. 그런데 공인인증서사용을 강제하지 말라고 하시면서 SSL+OTP를 거론 하신 것은 논리가 좀 벗어나 보입니다.

          * 처음엔 ActiveX의 보안성 문제를 거론 하시는 줄 알았습니다.

          *SSL과 국내 보안 업체의 자체 보안 프로토콜의 표준문제로 전환이 되는 거 같았구요.

          * 그러다 공인인증서가 문제가 있다고 하시면서 OTP를 거론 하십니다.

          * 그리고 결국은 공인인증서 사용을 강제하지 말고 스스로 결정할 수 있도록 허용하라고 주장을 하시어

          * 결국엔 스마트폰에서 OTP를 사용하도록 정책 변경을 하게 하시고

          * 그런데 보니까 페이게이트가 관련성이 있네요.

          * 페이게이트는 과거에 Verisign인증서를 사용하여 Payment를 하던 회사인데, 갑자기 OTP로 수단을 바꾼 듯 하고…..

          문제의 본질은 저도 공감을 하고 잘 지적을 하셨는데 결론을 이끌어 가시는 방향이 지적하신 문제와는 거리가 다른 방향으로 가고 있는 듯 합니다.

          표준인 것도 문제라 하시고
          표준이 아닌 건 또 표준이라 하시고

          저만 해석을 잘못 하고 있나요?

        • Richard Im

          2. 제가 잘못 말씀 드렸네요.
          “OTP가 인증서보다 더 안전하다고 OTP로 바꿔야 한다고 하니,희안한 거죠.”로 정정합니다.

          NIST가이드라인 소개글에서
          하드웨토큰->OTP->소프트웨어토큰(인증서) 순으로로 정의 하셨네요..

  • mylinux03

    결국 정부나 기업이나 이상한 방향 쪽으로..
    IETAB와 비슷한 방식..

    http://news.mt.co.kr/mtview.php?no=2010041314472519889&type=1

    http://www.wizvera.com/sub_sol/verain.php

    IETAB의 한단계 더 나아가
    다른 운영체제에서 사용가능

  • Richard Im

    대부분 은행에 대한 보안 문제가 거론이 되고 있는 듯 합니다. 그만큰 대한민국의 뱅킹 서비스가 세계적으로 월등히 많은 사용자를 갖고 있기 때문이 아닐까 생각합니다.
    자꾸 은행에 대해 이야기가 나오니까 잠깐 외국 사례를 살펴 보면
    은행간의 외화를 결제할 때(SWIFT)와 Global Trading 시스템(Identrust)에서는 인증서 사용이 의무화 되어 있습니다.
    국내 은행 역시 국내 은행간 외화를 결제 할때에는 의무적으로 적용되어야 합니다.
    이러한 의무 사항은 국내에서 만든 것이 아니고 전 세계의 은행 연합인 SWIFT 사에서 결정하여 운영하는 정책입니다.
    이때에 사용하는 브라우저 및 OS 등도 정해져 있습니다.

    이러한 이유는 브라우저와 OS 등을 모두 지원할 수있는 application을 만들기 위해서 많은 시간과 비용이 투자되어야 하며
    만약 그런 비용이 창구 운영하는 것보다 좋은 장점이 없고 지금처럼 문제 거리만 많다고 하면
    온라인 서비스를 모두 제공하지 않고 옛날처럼 창구에서 줄을 서고 은행 업무를 보아야 할지도 모른다는 것입니다.

    다만 과거와 같지 않게 IE를 주로 사용하던 국내 환경이 변해서 이러한 사용자 환경을 고려하지 못했다는 것이 지적을 받아야 할 것 같습니다.
    IE의 사용자들이 다른 브라우저로 이동하게 된 주된 요인도 취약점 보안을 하다 보니 IE가 자꾸 무거워 지게 되어 성능상의 기능이 저하되는 원인 중의 하나였던 것도 사실입니다.

    즉, 좀더 거시적으로 생각해 보면 MS 도 그렇고 애플사도 그렇고 또 다른 Global 업체들도 가장 큰 고민거리가 인터넷상에서의 보안 문제가 아닐까 생각이 됩니다.

    그 좋은 본보기가 , MS에서 PC의 보안성이 문제가 되니까 이러한 부분을 반영하여 VIsta를 출시했는데 사용자의 반응이 좋지 않았던 것과 다양한 브라우저들이 초기에는 가볍게 만들어졌다가
    버그 패치도 있지만 취약점에 대한 지속적인 패치로 인해 자꾸 무거워 진다는 면에서 볼때 근간적으로 인터넷이라는 것 자체가 편리함을 주면서 오픈된 것이기 때문에 취약점을 내포하고 있는 양면성을 갖고 있기 때문이라 생각합니다.

    가장 좋은 것은 모든 사람들이 보안적인 위협을 하지 않는 다면 인증서든 OTP든 또 다른 무엇이든 필요가 없으니까 사용자는 쾌적하게 인터넷을 통해 여러가지 일들을 편리하게 할 수 있을 테니까요.

    하지만 현실은 그렇지가 않아, 집에서 도둑을 예방하기 위해 원래 있던 열쇠에다 이중 삼중으로 비싼 자물장치를 구입하고 더 나아가 경제적인 여유가 되는 사람은 CCTV에 사설경비업체 서비스까지 받곤하는데, 그런 개념에서 보면
    왜 열쇠를 2개, 3개 만들거나 비밀번호를 외우고 다녀야 하며 이사를 가면 다시 다 구매해서 새롭게 설치를 하여야 하는 등의 불편함을 자초하느냐 하는 것입니다.

    인터넷 상에서의 PC는 현관과도 같은 것이라고 생각합니다. 단지, 인터넷 상의 현관문을 어떻게 잠금장치를 마련할 것인가가 가장 문제인 듯 한데, 어떠한 방식이 좋느냐 하는 것은 여러 의견이 있을 수 있다고 봅니다.
    그러한 방식의 견해 차이로 인해 만약 문제가 발생이 된다면 문제의 책임은 누가 질 것인가 입니다.
    사용자는 편리함을 요구하고, 서비스 제공자는 문제 발생 원인을 제거하려다 보니 점점더 보안성을 요구하게 되고….
    서로 상반된 입장은 어쩔수가 없을 거 같네요.

    그럼 이야기 화재를 바꾸어서 OTP에 대해서 그럼 우리는 얼마만큰 잘 알고 있느냐 하는 것입니다.
    분명한 사실은 OTP의 ramdom 값을 생성하는 알고리즘도 결국에는 인증서를 만드는 것과 같은 비슷한 알고리즘 형태를 취해서 만들어지는데,
    국내에서 사용하는 OTP의 실체 대부분은 이러한 부분이 특허도 있고 기술적인 사항도 있고 하여 외국에 로열티를 주고 사서 공급한다는 것입니다.
    보안적인 측면에서는 이러한 random 값을 생성하는 알고리즘과 생성된 random 값의 분배를 어떻게 안전하고 효율적으로 사용할 수 있을 까 하여 고안된 것이
    인증서 이고 OTP는 그런 일부의 기술을 사용한 것이라고 볼 수 있을 듯 합니다.

    따라서, 현재로서는 OTP의 값을 생성하는 알고리즘의 안정성을 검증할 수 있는 방법이 국내에는 없는 것으로 알고 있습니다.
    그나마 공인인증서는 전 세계적으로도 하지 못하는 일을 KISA에서 하고 있습니다.

    즉, 관련 S/W 및 절차 등을 심사 하고 형상관리까지 하고 있습니다. 물론 일반 보안 업체들을 모두 할 수 있는 상황은 아니지만
    그런 체계까지 갖추어 져 있는 앞선 서비스 기반을 갖고 있다는 것입니다.

    어쨌거나, 가장 중요한 것은 PC의 안정성 확보를 할 수 있는 방안이 어떤 것이 있을 까 하는 부분입니다.

    저는 개인적으로 PC의 환경은 너무나도 보편적으로 알려져 있기 때문에 완변한 보안은 힘들다는 것이고 그런한 방안이 지속적으로 모색되어야 한다는 것인데,
    사실상 너무 어렵지 않나 생각이 듭니다.

    악성코드 던 모든 간에 해커에게 PC가 장악이 되면 인증서든 OTP든 안전하다고 하기는 어렵기 때문입니다.
    그래서 2 factor. 3 factor 형태로 여러 잠금 장치를 하게 되는 것이구요..

    정말 사용자가 편하면서도 안전하고 서비스 제공자가 필요한 환경도 모두 만족할 수 있는 그런 것을 찾아야 하는 것이 큰 과제 입니다.

    • ori

      > 그나마 공인인증서는 전 세계적으로도 하지 못하는 일을 KISA에서 하고 있습니다.

      전 세계적으로 “못” 하는 것인지 “안”하는 것인지 구분한다면 “안” 하는 것입니다. 한국의 보안 기술이 월등한 게 아니라, 거꾸로 글로벌 스탠다드적인 시각으로 봤을 때, 한국이 매우 희한한 일을 하고 있는 것입니다.

      기네스북에 올라가는 모든 일들이 다 훌륭한 일이라고 생각하는 우를 범하는 것이 현재 한국의 체계입니다. 1시간에 햄버거 1000개를 먹어치우는 능력을 갖추었다고 해서, 그것이 전 세계에서 아무도 하지 못하는 훌륭한 일이라고 말할 수는 없지요.

      보안은 결국 행위로 귀결되기 때문에 기술적으로 막을 수 없습니다. 사기꾼을 막는 법과 제도가 있다고 해서 사기꾼이 근절되지 않는 것과 같은 원리입니다. 이것을 기술적으로 막을 수 있다고 생각하는 것이 한국의 관료들인 듯 합니다.

      • r2n

        보안의 기본적인 역할은 해킹을 기술적으로 막는 것이 아니라, 해킹을 어렵게 하는 것입니다. 완벽한 보안을 달성할 수 있다고 생각하는 보안전문가는 없습니다. 현대 암호학의 원리조차 해독을 어렵게 하는 것이지 해독을 불가능하게 하는 것이 아니죠.
        기술이란 인간이 만든것이어서 어떤 방식으로도 완벽히 막는 것은 불가능합니다. 공인인증서가 개인 PC를 완전히 해커로부터 막아줄 수는 없습니다. 그러나 해킹을 좀 더 어렵게 해줄 수는 있습니다. 만약, 공인인증서가 허술하게 관리되어 제 기능을 충실히 하지 못한다면, 좀 더 단단히 관리해서 제 역할을 할 수 있게 하는 것이 올바른 방향일 겁니다.
        반대로 그것을 걷어내자는 논리는 아귀에 맞지 않는 것이죠. 자동차의 안전벨트를 생각해보죠. 법적으로 안전벨트 착용을 강제하고 있지만, 안전벨트를 착용하고도 사망하는 운전자들이 있습니다. 안전벨트가 사망사고를 완벽하게 막아주지 못한다는 것이죠. 그렇다면 안전벨트를 더욱 안전하도록 만들어야합니까, 아니면 안전벨트가 인명손실을 완벽히 막아주지 못하므로, 그것을 운전자들이 선택적으로 착용하도록 해야합니까? 꼭 대답해주시기 바랍니다.

        • ori

          공인인증서를 안전벨트에 비유한 것은 논리비약이니 안전벨트가 필요하다는 답을 한 것이 공인인증서가 꼭 필요한 것과 무슨 관계가 있는지요?

          안전벨트에 비유했으니, 거기 비유해서 이야기하자면, 현재의 정부지침은, 엄청나게 많은 안전벨트, 에어백 제조 회사가 있음에도 불구하고, 꼭 A 라는 회사에서만 제조된 안전벨트(그것도 국제 호환이 되지 않는)를 쓰지 않으면 자동차 제조를 원천적으로 금지하겠다는 발상입니다. PKI 보안을 걷는 것이 아니라, 비표준을 우격다짐으로 사용하게 하는 정책을 걷어버리자는 것이죠.

          정말 PKI 기반의 암호 수준을 강제하여 보안성을 추구하고 싶다면, 정책 상 최소 보안 수준은 현존하는 PKI 표준에 준하면 되는 것입니다. 정부가 나서서 솔루션을 만들라 하고, 그 솔루션을 팔 수 있는 과점 업체를 지정하는 것이 답이 아니라는 겁니다. 거래 당사자를 국가가 공인해야 할 필요도 없고, 적절한 절차의 공증만 거치면 됩니다. 금융거래를 위해 인감증명 수준의 증빙이 최소한 비슷한 형태의 자동화기기인 ATM에서는 일어나지 않습니다. 최소한 유럽식의 IC 승인이라도 내 주는 게 맞는 오프라인 카드거래는, POS의 로그만으로도 1초만에 복제 카드를 양산할 수 있는 허술한 시스템 기반 하에서 운용됩니다.그러나 보안 취약성이 다분한 이런 부분은 전혀 잡을 생각이 없고, PKI 표준이 이미 웬만한 금융거래를 지원하는 데 큰 무리가 없으며, 그 원리상 한국의 공인인증서와 완전히 동일하지만 최소한 한국에서는 공인인증서 이외의 모든 방법은 전부 보안상 불완전한 것이라고 합니다.

          정부 지정 업체에서 만든 (이번에 문제가 된 것과 같은) 소프트웨어 기반의 PKI (게다가 단일 키 알고리듬은 AES 수준의 엄밀한 검증을 거치지 않은 SEED) 하에서 일어나는 비표준 프로토콜이, 국제표준으로 생각되는 많은 PKI 방식에 비해 안전벨트와 같이 비유할 만큼 월등한지요. 그리고 그 월등성은 민간 기업에서 정부가 그보다 더 월등한 방식을 도입하지 못하게 발목을 잡을 만큼 세계 암호학계의 혁신적인 수단입니까? 제대로 된 암호학 랩 하나조차 없는 한국 현실에서 말이죠? 현재와 같은 시스템은 안전벨트이긴 안전벨트인데 그 벨트의 끝부분이 과연 자동차에 묶여 있을지가 의심스러운 안전벨트입니다. 그래서 한국적인 이러한 방식을 전 세계에서 당연히 표준으로 도입하지 않는 것이죠. 아 물론, 국제협력기금의 수혜를 받은 일부 개발도상국은 이런 시스템이 들어가기는 합니다.

          • r2n

            교묘하게 답변을 피하시네요. 정부가 A사에서 제작하는 안전벨트만 쓰겠다고 했습니까? A사가 어딘가요?

          • r2n

            생각해보니, A사는 MS를 말씀하시는군요.
            현재로서는 안전벨트가 A사(MS) 것밖에 없습니다. B,C,D 자동차 회사도 있지만, B,C,D 크롬, 파폭, 사파리에서는 키보드 보안을 제공하지 않으며 백신 기능이 없습니다. 백신이 아니고 SSl과 OTP로는 사용자 정보를 탈취할 가능성이 있는 백도어를 막을 수는 없습니다.

          • r2n

            영국이나 미국, 브라질 등의 금융기관 사용자를 노리는 백도어를 직접 분석한 적있습니다. 아직 한국의 뱅킹을 노리는 악성코드는 못봤습니다. 국내 뱅킹 거래금액은 세계 최대 수준으로 해커들에게 좋은 먹잇감인데도 왜 공격하지 않을까요? 소용이 없기 때문입니다. 악성코드를 만드는 것도 시간과 노력이 필요한데, 백신과 키보드보안이 강제로 설치되는 대한민국을 공격할 노력이면 다른 국가의 뱅킹 시스템을 공격하는 것이 더 노력대비 기대치가 크기 때문이죠.
            키보드보안 걷어내면 대한민국은 바로 공격 타겟입니다.
            http://minjang.egloos.com/2584264
            읽고 생각해보시기 바랍니다.

          • ori

            키보드보안과, 백신이 공인인증서랑 무슨 관련이 있습니까? 또한, 사용자 PC가 점령되어 있으면 이들 소프트웨어 같이 무력화시키는 것이 어렵다고 생각하나보네요. 이들 소프트웨어 무력화는 생각보다 어렵지 않습니다.
            아주 단순한 무력화 방식과 조금 지능적인 방법이 있는데, 모두가 사용자 컴퓨터를 다른 방식으로 점령한 다음 이루어지는 시나리오입니다.
            오히려 키보드가 없는 환경에서 키보드보안 솔루션이 없으니 거래를 못한다고 하는 코미디 연출자들이 문제겠죠. 키보드 후킹이 문제면 마우스를 적절하게 사용하는 것이 일반적인 방법입니다만

            또한, 비표준 시스템과 검증할 수 없는 솔루션을 걷자는 것인데 이게 왜 답변의 회피일까요? 항상 공인인증서의 비표준성과 PKI 와 차이가 없음에도 서드 파티 솔루션 (더구나 폰용으로는 아예 서명용 패스워드를 입력하는 순간 화면 보면 볼 수 있죠)을 강제하고, 이러한 비표준성과 불합리성을 이야기하면 키보드 보안과 백신으로 빠져나가는 사람들이 있네요. 진정한 회피는 이러한 것이지요.

          • r2n

            논리적인 접근이 틀렸습니다. 보안이란 더 어렵게 하는 것이라 말했습니다. 계속 그것이 가능하다고 주장하시는데, 나는 불가능하다고 한 적이 없습니다. 이런식의 주장은 당신이 보안에 대한 개념이 부족하다는 것을 의미합니다.

            다시 설명드리죠. 보안프로그램 무력화 시킬 수 있습니다. 그러나 시간과 노력이 많이 들어 보안프로그램이 없는 것보다 해킹이 더욱 ‘어렵습니다’
            아무런 노력 없이 보안프로그램 무력화 시킬 수 있습니까?

          • ori

            은행을 이야기하면서 왜 카드를 갖고 예를 드시는지요. 제가 저런 류의 신용카드는 거의 대부분 평문 거래 기록을 갖고 있는 POS에서 나간다고 위에서 언급해 드렸습니다만. 평문 거래 기록의 POS에서 카드 기록이 유출되고, VISA와 같이 해외사용이 가능한 카드가, 외국 쇼핑몰에서 사용되는 사고가 현재도 비일비재합니다. 한국의 온라인 쇼핑몰이 카드 보안 및 공인인증서 처리를 아무리 해도, 이미 유출된 카드 정보로는 다른 나라에서 고액을 결제할 수 있고, 대부분의 크래커들은 실제 외국에 있죠. 유출된 카드 정보가 한국에서 긁히지 않았다고 해서 안전한 것일까요?

            은행 거래를 안전하게 할 수 있는 방법은 그 어떤 것도 (공인인증서 포함) 절대적인 것이 없습니다. 그러나 가급적이면 모든 기기에서 운용될 수 있는 표준적인 방법과 프로토콜을 만들어 보는 것은, 은행업무가 일상 행위로 적용되었을 때 당연한 것입니다. 무조건 1999년에 만든 한 가지 방법만이 인간이 만들어 낼 수 있는 최선이라고 우기는 것이 오히려 더 말이 안 되는 것이지요.

          • r2n

            결국 정부와 기관이 원하는 것은 국제 표준을 지키지 않고서라도 더욱 안전한 금융거래를 가능하게 하는 것입니다. 해외사례가 표준기술이 충분히 안전하지 않음을 말해주기 때문입니다. 내가 링크해준 위 링크는 읽었습니까?

          • ori

            저는 지금 하고 있는 국내 사례가 더 위험한 방식이라고 계속 말하고 있는 중입니다. 보안을 망각하고 PKI 만 생각하고 있다는 것이지요.

            현재 일어나는 대부분의 보안 침해가 결국 인터넷 뱅킹이나 카드가 이루어 놓은 사용자 습관 때문입니다. 그럼에도 불구하고 PKI의 일부 원리는 구현될 수 있겠지요.

          • r2n

            POS 얘기는 잘 알겠습니다.

          • ori

            그러나, 지금 형태의 악성 코드의 광범위한 (특히 한국발 좀비)의 대부분의 원인은 Buffer Overflow 등의 OS 결함이라기보다는 사용자들의 습관 때문입니다. 일전의 DDoS 역시 파일 다운로드 업체의 ActiveX 가 야기한 것이듯이 말입니다. 이런 상황을 만든 것은 현재 한국의 금융감독기관의 책임이 실질적으로 매우 크다는 생각입니다.

          • r2n

            국내 환경이 더욱 위험하다는 것은 이해가 안되는군요.

          • r2n

            ActiveX 끄면 취약점을 줄일수는 있지만, 원천적으로 차단은 불가능합니다. ActiveX 컴포넌트의 취약점을 이용한 공격말고도, pdf, usb, e-mail, 메신저 등의 감염경로도 있으니까요.

            처음엔 해외는 공인인증서를 ‘안’사용한다라고 하시더니, 점점 국내 기술이 국제표준보다 떨어진다는 논리를 전개하니 이상하군요. 공인인증서 필요합니까, 불필요합니까?

          • ori

            실제 한국의 많은 사이트 보안이 엉망 5분 전입니다만, 미국의 해킹 빈도에 비해 훨씬 낮은 빈도를 보이고 있습니다. 실제 얼마 전 문제가 된 개인정보 유출업체 상당수는 개발시점부터 문제가 있었던 업체가 몇 개 됩니다. (이미 해커들의 밥이었던 업체도 있습니다) 그럼에도 불구하고 별로 이슈가 되지 않습니다.

            한국적인 보안의 문제는, 은행, 정부, 공공기관에서 무분별하게 동일한 PKI 방법을 ActiveX로 해대는 바람에, 모든 국민이 자연스럽게 인터넷의 보안을 해제하고 AciveX를 깔아 쓰는 것이 보편화되어 있습니다. 특히 카드사나 통신사는 보안 메일이라고 해서 특정 첨부 파일을 열지 않으면 내역을 볼 수 없는 메일을 보냅니다. 이건 어떻게 보면 거의 범죄 수준입니다. 왜냐면 송신자가 누군지 모르는 SMTP 프로토콜을 기반으로 이런 짓을 태연히 하면, 모든 국민은 해커가 보내는 똑같이 생긴 메일에도 반응합니다. 이런 까닭에 한국의 공공 PC와 컴퓨터를 잘 모르는 개인 PC는 이미 좀비의 천국이 되어 버렸습니다.

            그리고, 키보드보안이나 백신의 무력화가 어렵다고 생각하시는데, 시스템 크래킹 입장에서는 매우 간단한 작업입니다. 키보드 후킹이나 메모리 후킹에 대해서 건별로 계속 문제에 대응하다 보니 (실제로 컴퓨터 구조적으로 윈도우 시스템과 같은 레벨에서는 사용자의 의지로 모든 것을 할 수 있고, 악성 코드가 System Account를 획득하기 때문에 악성 코드를 막는 프로그램 죽이는 것은 그렇게 큰 장벽이라고 불릴 만큼의 문턱이라 생각되지 않습니다.) 오히려, 보안 카드의 랜덤 번호를 추측하고 스니핑하는 것이 더 어렵고 더 큰 인내를 필요로 하는 작업입니다. 공인인증서만으로 금융거래를 했다면 이미 사고건수가 엄청났을 수도 있습니다. 개인적으로 오픈웹의 의견에 동조하는 것 중 하나가 한국의 인터넷 뱅킹은 보안카드가 막아 왔다는 사실일 것입니다. (카드사는 어차피 비즈니스 로직이 다릅니다, 부정거래 사용을 잡아내는 방식도 다르죠)

            한국의 금융사고나 보안사고가 잘 안나는 것은 업계에서도 매우 특이한 현상으로 보고 있지, 한국이 특별히 보안이 잘 되어서라고 보는 사람은 많지 않습니다. 예전에 모 기관의 국정원 보안 심사를 통과한 홈페이지를 담당자 앞에서 아무런 사전 정보 없이 날려 버린 일이 있습니다. 그런데, 그 기관은 2년간 그 시스템을 사용하면서도 한 건의 보안 사고도 없었다고 하더군요. 한국의 침해 자체가 적은 것은 한국이 마약사범이 거의 없는 것과 마찬가지로 아주 특수한 상황 같습니다. 실제 돌아가고 있는 상황이 정말 황당 그 자체인 경우가 많습니다. 그럼에도 그런 곳에서조차 사고가 잘 나지 않습니다. 그것이 근거가 되어 한국 인터넷 뱅킹이 완벽하다는 결론이 나는 것이 정상이 아니라고 봅니다.

          • ori

            보안은 “약한 고리” 를 끊는다는 측면에서 실례 하나 더 언급해 드리면, 얼마 전 일어난 사고 중 하나는 윈도우 기반의 POS 단말에서 인터넷 카드 승인을 처리하는 시스템에 악성 코드가 있었습니다. 이 악성 코드는, 사용자의 의지에 의해 설치되는 것이었구요. 근본 원인은 POS 단말기 자체가 컴퓨터이기 때문에 여기서 인터넷 서핑을 한 까닭입니다. 이걸 ActiveX에 길들여 놓은 금융감독기관 탓이 아니라고 말할 수 있을까요? 설렁탕집 주인아저씨가 ActiveX가 뭔지 어떻게 알겠습니까? 다만 인터넷 뱅킹에서 잔뜩 패키지로 설치하다 보니, 웬만한 ActiveX는 그냥 설치하게 하는 것이지요. 한국을 털어가기 위해서는 아직 인터넷 뱅킹이나 카드 거래를 털지 않아도 ActiveX로 습관화된 수많은 털어 갈 대상들이 존재합니다. 이들을 다 털고 난 뒤에, 아마 인터넷 뱅킹을 직접 터는 수준이 되겠지요. 보안은 PKI가 아니라 습관이며 학습입니다.

          • ori

            마지막으로 말씀드리면

            >이런식의 주장은 당신이 보안에 대한 개념이 부족하다는 것을 의미합니다.

            죄송합니다. 저 보안 및 시스템 설계로 밥 먹고 삽니다.

        • r2n

          백신,키보안 무력화하면 뱅킹이 접속이 안되죠. 백신, 키보안 실행된 상태로 로그인할 수 있어야 무력화인데, 쉽게 가능하지 않다는 것입니다.
          어떻게 하는지 아시면 언론에 왜 제보하시지 않습니까?? 백신, 키보안의 무용성을 주장할 수 있는 근거인데 말이죠.

          국내에서 금융사고가 적은 이유가 왜 그런지 모른다는 얘길하시는 군요. 키보드 보안 때문인지, 공인인증서 때문인지, 보안카드 때문인지, 아니면 키보드 보안에 공인인증서에 보안카드를 동시에 써서인지 모르는 상황이군요. 이 상황에서 보안은 보안카드가 막아주는 것 같다. 다른 건 치우자라고 이해해도 되겠습니까?

          • ori

            백신, 키보드보안은 은행이 의무적으로 제공하는 것 까지는 강제하지만, 사용자가 그것을 쓸 지 여부는 선택사항이라 언론 제보 거리가 안됩니다. 둘 다 설치하지 않아도 인증서 프로그램만 설치하면 최소한 제 거래은행 두 개는 로그인 잘 됩니다.

            아마 이게 규정인 걸로 알고 있어서 제보해도 기사거리 안될 겁니다.

          • r2n

            ActiveX 사용을 지양하자는 의견은 이해할 수 있습니다. 그러면 왜 ActiveX를 안전하게 사용할 수 있도록 사용자들을 학습시키자는 운동을 하지 않습니까? 그게 문제의 본질에 대한 해결방안 아닌가요?

          • ori

            머릿속에서 RSA 연산을 수행하지 않는 한 안전하지 않은 지 알 수 있는 방법이 없기 때문입니다.

          • r2n

            어디 은행인지 알려주세요. 제가 내드리겠습니다. 좋은 일 하시는 셈 치시죠?

          • r2n

            국내에서 금융사고가 적은 이유가 왜 그런지 모른다는 얘길하시는 군요. 키보드 보안 때문인지, 공인인증서 때문인지, 보안카드 때문인지, 아니면 키보드 보안에 공인인증서에 보안카드를 동시에 써서인지 모르는 상황이군요. 이 상황에서 보안은 보안카드가 막아주는 것 같다. 다른 건 치우자라고 이해해도 되겠습니까?

            -> 이것 답변 부탁드립니다.

      • Richard Im

        4월 29일 발표 Agenda 중 하나 입니다.

        ■보안 업체가 공격자를 감시하고 막아준다지만, 보안업체는 누가 감시하나? (“Who watches the watchers?”)

        전 외국에서 인증서를 국가기관 혹은 민간에 적용하려고 하다 실패한 사례를 보아 왔습니다.
        정확히 “안” 하는 이유는 “못”하기 때문이며 PC를 통해서 뱅킹을 우리나라 처럼 많이 하지 않기 때문입니다.
        그리고 스탠다드 라는 것 자체도 상당히 주관적인 것입니다.

        스탠다드, 표준을 말씀 하시지만 그것은 모두 문제라고 지적하시는 국내의 보안업체들과 같은 보안업체들이 만든 것입니다.
        왜, 우리나라에서 사용하는 것도 우리가 만들면 스탠다드가 아니고 외국에서 만들면 스탠다드 입니까?

        우린 무조건 외국인들이 만든거 쫒아서 해야만 하는 무슨 특별한 의무사항이나 이유가 있나요?

    • r2n

      무슨 일을 하시는지는 상관이 없지요. 보안프로그램 무력화가 가능하다고 안쓰는 것이 낫다는 주장은, 위에서 말했듯이 안전벨트가 완벽하지 않다고 쓰지말자와는 주장과 다르지 않기 때문에 그것이 틀렸다고 말했습니다.

      • ori

        다른 방법이 많다고 말씀드리지 않았습니까? 굳이 비표준으로 하는 것은 게으름의 표상일 뿐이지, 보안의 강화가 아닙니다.

        • r2n

          게을러서 비표준으로 굳혀진 기술이라하면 혹시 무엇을 말씀하시나요?
          미국암호 수출규제로 만들었다가 2005년에 국제표준으로 제정된 SEED? 외국에는 없는 백신? 키보드 보안?

  • http://openweb.or.kr youknowit

    오픈웹은 은행 간의 교신을 문제 삼는 것이 아니라, 고객과 은행 간의 교신에서 은행이 고객 인증을 어떻게 할지에 관한 논의를 하고 있습니다.

    • Richard Im

      가장 안전하다고 외국에서도 판단을 했기 때문에 은행간 거래에 인증서를 의무적으로 사용한다는 것을 말씀 드리는 것입니다. 안전성이 요구되므로 고객과 은행 간에도 그러한 방식을 사용하는 것인데, 어떻게 여기에서는 꺼꾸로 OTP만 사용하면 모든게 스탠다드 이고 안전하고 …이런 논리가 펼쳐지고 있는지 ..답답하네요.

      표준을 자꾸 이야기 하시니,,
      OTP 사용하는 것이 웹표준이고 Global Standard인가요???

      그리고 그렇게 OTP가 좋은 거면 외국에서 PKI 인증서 보다 OTP가 안전하다고 되어 있는 Standard 문서를 보고 싶네요.

      IETF 문서들을 보면 웹상에서의 취약점 개선방안을 대부분 ID -> Preshared Key -> 인증 서로 발전시키고 있습니다.

      인증서 사용하는 것이 비표준이 아니고
      외국 사용자들이 별로 사용하지 않으니까, 말씀 하시는 브라우저에서 인증서 사용 할 수 있는 기능을 구현해 놓지 않고 있기 때문에 마치 표준이 아닌 것처럼 되어 진건 아닐까요??

      브라우저 만드는 업체에게 항의 하심이 좋을 듯

  • http://openweb.or.kr youknowit

    인증서도 인증서 나름이겠지요. 하드웨어 토큰방식이 더 우월한 것은 분명하지만, 소프트웨어 토큰 형태의 공인인증서는 OTP 와 대등한 수준의 안전을 제공할 뿐입니다.

    • Richard Im

      대등한 수준의 안전이라는 근거 자료 부탁드립니다.

    • Richard Im

      OTP는 Identity를 제공하므로 이체전문이나 카드결제 내역을 증빙자료로 하기 위해서는 과거 은행 창구에서 전표에 도장이나 사인을 했던 것처럼 OTP값을 이용해서 해쉬를 만들든지 무언가 S/W가 필요하겠네요.

      잘 아시겠지만, 법원에서는 이런 전자적인 증빙자료는 반드시 합당한 기술적인 검증자료를 제출하여야만 인정받을 수 있으니까요..

      ActiveX 문제가 된 것은 인증서 자체 라기 보다는 그런 부인방지를 위해 필요한 전자서명 데이타를 만드는 S/W의 다운로드 였다고 봅니다.

      OTP에서는 그런 기능이 없는데 어떻게 대등하다고 하시는 지와 그런 기능을 보완하기 위해서는 결국 S/W가 있어야 하는데, 어떻게 온라인으로 사용자가 원할때 즉시 다운로드 시켜 설치 할 수 있도록 하실 지 궁금합니다.

      정답을 제시하여 주시면 이렇게 문제가 될 것도 없고 아마 모든 국내 보안업체 뿐만 아니고 모든 웹서비스를 하는 업체들이 멀티브라우저를 문제와 ActiveX 문제를 해결하기 위해서 원하는 바 일 겁니다.

  • plzsayok

    논의의 방향부터가 이상하군요.
    지금 이 오픈웹의 가장큰 모토는 “강제조항폐지”입니다.

    강제해야하는 이유를 설명좀 해주세요.

    • Richard Im

      NIST에서도 가이드라인에 포함되어 있습니다. 그리고 “빗나간 인증서 옹호론” 자체가 말씀 하신 부분의 취지와 벗어난 근거 예시를 하고 있어서 이에 대한 댓글을 올린 것입니다.

      OTP가 말씀 하신 것 처럼 인증서와 대등한 수준이거나 그 이상의 안전성을 확보 하고 있어 관련 표준 등이 있으면 그렇게 변화하는게 맞겠지요…또, 다른 그 무엇이 있으면 그것도 고려를 해야 하구요.

      그런데 제 의문점은 웹표준에서 시작한 논의가 마치 OTP를 사용하면 웹표준에 맞고 인증서를 사용하면 안전하지도 않으면서 웹표준이 아닌 것처럼 논의가 되고 있다는 것입니다.

    • r2n

      국가는 기본적으로 국민의 재산과 안전을 책임질 의무를 갖습니다. 강제가 무조건적으로 싫다고 반대한다면, 법체계 또한 존재해야할 이유가 없습니다.

      컴퓨터 표준을 제정하는 단체가 대부분 서구에 있는 탓에 표준기술은 대부분 서양국가 환경를 기준으로 제정되는 것이 당연합니다. 대한민국같이 특수한 환경에 노출되어 있는 작은 나라는 굳이 고려할 필요가 없겠지요.

      대한민국은 세계 최대 수준의 온라인 현금 거래가 이루어지는 국가입니다. 더구나 PC 보유율 1위, 전세계 인터넷 사용률 1위, 인터넷속도 1위입니다. 국외사례를 아무리 조사해봤자 소용없습니다. 우리와 같은 환경에 노출된 국가가 어디 있습니까?

      이러한 상황에서 국내 뱅킹 환경은 표준과 동떨어져 폐쇄적으로 갈 수 밖에 없습니다. 불편하고 아니꼽지만, 그게 안전하기 때문입니다.

      • Richard Im

        NIST에서 레벨을 4개로 정의한 내용이 메인페이지에 올라와 있네요. 보니까 우리나라 금감원에서 정의한 것도 거의 비슷합니다.

        외국에서 만들면 표준이고 우리나라에서 만들면 규제고 강제성이 있어 문제고…뭐 그런 차이가 있나 보네요.

        그런데 희안하게 OTP는 우리나라에 와서 변형이 되었는데도 그건 또 표준인가 봅니다. 참 희안해요.
        어느나라에서 어느 부분을 떼어갔고 와서 조립하였는지 그리고 어떻게 값을 생성하는지, 표준이 있는지, 있으면 지켰졌는지 등등….그 태생도 모르고 사용되는 국내의 OTP는 무조건 안전하고 표준이라니 금테라도 둘렀나 봅니다.

        또 Glbal 표준을 만드는 RSA, Verisign 에서 제공하는 OTP는 사용이 안되니 참 미스테리 입니다.

      • r2n

        오해가 있을까봐 정정합니다. 국외사례를 조사해봤자 소용없다는 표현보다, 국외 환경에 최적화된 표준을 국내에 적용하는 것은 위험하다는 표현이 낫겠네요.

        • Richard Im

          외국인들은 파란눈동자를 갖고 있고 동양인은 검은눈동자를 갖고 있습니다.

          외국에서는 파란눈동자가 표준이겠지만, 동양에서는 검은눈동자가 표준이 되어야 하겠지요.

          쌀밥이 비표준이고 빵이 표준인가요??

          중요한 건 얼마만큰 잘 우리것으로 만드느냐 일 것입니다.

          • http://pamsoo.tistory.com/ pamsoo

            동양에서는 검은눈동자가 표준이라고 하더라도, 검은눈동자만 강제해서는 안됩니다.

  • plzsayok

    말이 이상하신데요, 우리가 특수한것과 강제해야 하는 것은 별개입니다. 우리가 특수하다는 것을 지금 말씀주시는 전문가분들 잘 알고 계시네요. 그러면 강제 안해도 할거 아닙니까?

    강제의 이유는 시장에 맡겼을때 시장실패가 일어나서 시장참여자 전원이 자신에게 유리한 행보를 보여도 전체 이득량이 역행한다는 것을 보여주셔야죠. 사고가 나면 떠안는 은행, 직간접적으로 어느정도 피해를 보는 고객이 있는 상황에서, 자유롭게 풀면 비번도 없이 이름만 쓰면 이체가 가능하게 변하기라도 할거란 말인가요?

    이부분을 납득시켜주세요.

    자유롭게 풀어두는것과 우리의 특수성은 별개입니다.

  • plzsayok

    그리고 국가가 생명재산을 보호할 의무가 있지만 그 전에 각 개개인이 자기 재산을 보호할 의무가 있습니다. 상식선에서는 말이죠. 웹뱅킹의 보안이 허술함에도 이용해놓고 국가탓을 하면 안된다는 겁니다. 자기집 문 안잠가놓고 경찰은 뭐하는 거냐 그럴수는 없어요. 그러면 법으로 집자물쇠강제조항이라도 만들어야 한다는 뜻이신가요? 놔둬도 스스로의 재산은 지킵니다. 왜 강제해야 하는지를 알려주세요.

  • plzsayok

    우리나라가 그렇게 특수하면, 뱅킹어플리케이션으로 뱅킹하면 됩니다. 증권거래는 전부 어플리케이션으로 씁니다. 왜 뱅킹은 이렇게 변태적으로 웹에 얹어놓죠?

«

»