한국의 인터넷 뱅킹

2009.03.29 글쓴이 youknowit

2009.3.29. 게시된 이 글의 원문(“한국 인터넷 뱅킹 – 이제 상식을 되찾기 바랍니다”)은 보안업체 종사자 분들의 심기를 건드리는 것이었습니다. 그 후 약 1주일 동안 오픈웹에서는 매우 격렬한 댓글 논쟁이 진행되었습니다(182개의 댓글이 달렸더랬습니다).

원래의 글에 사용된 과격한 언사는 매우 잘못된 것입니다. 저의 미숙함을 반성합니다. 저로 인하여 불쾌감을 느끼신 분들께 공개적으로 사과의 말씀을 드립니다.

이제 약간의 시간 간격을 두고, 그 글에 개진된 논점을 정리하여 기록으로 남기고, 새로운 마음으로 오픈웹을 reboot 하고자 합니다. [2009.4.10.]

ActiveX

ActiveX 는 프로그래밍 플랫폼의 일종일 뿐, 그 자체가 무슨 프로그램인 것은 아닙니다. 액티브X는 프로그램을 담는 틀(framework)에 해당하고, 이 틀에 담긴 어떤 프로그램(A)은 다른 어떤 프로그램(B)과 연동되어 호출, 작동, 제어될 수 있으므로 그 프로그램(B)의 이용경험을 더욱 풍부하게 해주는 것입니다.

막상 액티브X에 담기는 프로그램 자체는 보안과 관련이 있을 수도 있고, 보안과는 무관한 프로그램일 수도 있습니다. 오히려 대부분의 경우, 액티브X는 보안과는 무관한 맥락에서 사용됩니다. 따라서, “액티브X가 보안을 위한 것”이라는 속설은 부정확한 용어 구사입니다. ActiveX 라는 ‘틀’에 담긴 어떤 프로그램이 보안에 도움이 되는 부가프로그램일 수는 있지만, 보안을 위한 그런 부가 프로그램을 무작정 ActiveX 라는 틀에 담아서 배포하는 것은 모순적일 수 있습니다. 액티브X가 보안 위험을 초래할 잠재성이 큰 기술이라는 사실은 MS사 스스로도 인정하고, 그 배포과정을 점진적으로 더 까다롭게(user intervention을 더 많이 요구하는 방식으로) 변경시키고 있습니다.

(공인)인증서

인증서의 용도는 다양합니다. 그 중 일부는 보안과 직접 관련이 있고, 다른 일부는 간접적, 우회적 관련성만이 있을 뿐입니다.

서버인증서(ssl certificate)는 보안접속(https 접속)에 필요하므로, 보안과 직접 관련이 있습니다. 국내 공인인증기관들도 서버 인증서를 발급합니다. 국내 보안업체들이 판매해 온 보안접속 플러그인도 결국에는 SSL 서버인증서를 사용하여 보안접속을 합니다.

개인 인증서(user certificate)는 서버에 접속하는 고객의 신원을 확인하는 용도에 사용될 수도 있고(authentication), 이 경우에는 보안과 직접적 관련이 있으나, 거래 내역을 고객이 전자서명하게 함으로써, 그 거래를 고객이 나중에 부인할 수 없도록 하는 용도(non-repudiation)에 사용될 경우에는 보안접속(교신의 기밀성 확보 및 침입 방지)과는 무관합니다.

개인 인증서를 신원확인 용도로 사용할 경우, 인증서 로그인을 하게 되는데, 이것을 구현하는데 필요한 서명 모듈은 주요 웹브라우저에 이미 내장되어 있습니다(서버가 던져주는 난수값을 접속고객이 자신의 개인키로 서명해서 서버에 전송하는 기능을 말합니다). 따라서 “인증서 로그인”을 위해서라면, 별도의 웹브라우저 플러그인을 사용할 이유나, 기술적 필요는 없습니다(구글에서 “client certificate authentication”으로 검색하면, ssl 서버를 어떻게 설정하면 접속고객으로 하여금 인증서 로그인을 하게 할 수 있는지를 설명해 둔 페이지들이 다수 있습니다). 국내 보안업체들이 판매하는 별도의 플러그인도, 공인인증서 로그인은 대체로 이와 같은 방법을 채택하고 있습니다. 따라서 “인증서 로그인” 용도의 별도 플러그인을 사용할 기술적 필요는 없습니다.

반면에, “거래 내역 서명”에 필요한 모듈은 웹브라우저에 포함되어 있지 않으므로, 별도의 프로그램이 필요하며, 이 프로그램은 웹브라우저 플러그인(파이어폭스 확장, ActiveX, 웹킷 확장, NPAPI 플러그인, 서명된 자바 애플렛 등) 형태로 호출, 구동할 필요가 있습니다.

개인 인증서는 “클라이언트 인증서”라고도 하는데, 이때 클라이언트는 클라이언트 머신(컴퓨터 자체)을 이야기하는 것이 아니라, 접속 고객(user)을 의미합니다. 모든 뱅킹 고객들이 이미 발급받은 공인인증서가 바로 클라이언트 인증서(user certificate)입니다.

암호화 교신

안전한 수준의 암호화 교신을 하려면 “별도의 프로그램이 필요하다”는 주장은, 웹브라우저 자체가 128bit 이상의 암호화 교신 기능을 구비하게 된 2000.7부터는 기술적 근거가 없습니다. 암호화 교신 기능만을 놓고 볼 때에는 주요 웹브라우저들이 당연히 구비하고 있는 https 접속이 현재로서는 가장 널리 그 안전성이 공개적으로 검증된 해법이며, 모든 나라에서 민감한 교신에 사용되고 있습니다(SSL3/TLS1).

국내 일부 보안업체들이 판매하는 보안접속용 부가프로그램 역시, SSL 접속(익명 SSL 세션/인증 SSL 세션)을 하기 위한 것입니다. 이런 부가프로그램은 진작에 걷어내고, 웹브라우저가 당연히 제공하는 SSL 보안접속기능을 사용하는 것이 옳습니다.

물론, 이미 사용에 적절하지 않은 것으로 평가되는(deprecated) SSL2 프로토콜로 https 암호화 교신을 할 경우, MITM 공격에 취약하게 됩니다. 그러나, MS IE7 부터는 SSL2 가 아예 비활성화되었고, MITM 공격에 대한 취약점은 SSL3/TLS1 프로토콜에서는 보완되었습니다. 웹서버가 SSL3/TLS1 를 강제하고, 고객이 최신 버전의 웹브라우저를 사용하면, MITM 공격은 현실적으로 불가능합니다. 파이어폭스, 오페라 등은 SSL2를 아예 제거하였습니다.

다만, 클라이언트 컴퓨터가 공격자에게 장악당하거나, 서버의 세팅이 제대로 되어 있지 않을 경우, https 접속은 여러 위험에 노출되지만, 별도 프로그램을 사용한 암호화 교신의 경우에도 클라이언트나 서버가 허술한 상태라면, 대체로 마찬가지 위험이 수반됩니다.

SSL strip 이라는 공격은 고객들의 부주의한 행태(웹브라우저 주소창을 꼼꼼히 확인하지 않는 user behaviour)에 의존한 것입니다(SSL3/TLS1 을 직접 공략하는 것이 아니라). 그러나, https 교신을 하는 SSL서버가 고객에게 인증서 로그인까지를 요구하여 접속을 개시하는 경우에는 이 공격은 아예 불가능하고, 서버가 EV SSL 인증서를 채택할 경우에는, 서버만이 인증서를 사용하고 고객이 인증서 로그인을 하도록 요구하지 않더라도(즉, anonymous SSL session 이더라도) SSL strip 공격이 성공할 가능성은 상대적으로 낮습니다.

물론, 한국의 현실은 아직 IE6 사용자가 많습니다. 그렇다고 해서 XP/IE6 를 영원히 사용하라고 안내할 수는 없을 것입니다(온 세상이 모두 vista/IE8로 진행하고 있는데 한국만 옛날 버전에 머무는 것은 사리에 맞지 않을 뿐 아니라, 뭔가 문제가 있긴 있다는 점을 보여 줍니다). 은행 서버들이 SSL 접속을 채택하고, SSL3/TLS1 프로토콜만을 사용하게 되면, 모든 고객들이 보다 안전한 최근버전 웹브라우저로 업그레이드 하게 만들 수 있습니다. MS IE 6.0 을 사용하는 고객은 다음과 같은 안내 창을 접하게 될 것입니다: “MS IE 6.0 이하는 지원하지 않습니다. 보다 안전한 최근 버전의 웹브라우저로 업그레이드 하시기 바랍니다.”

“Netscape 는 지원하지 않습니다”라는 안내창에 비교하면, 최근버전 웹브라우저를 사용하라는 안내는 전세계 누가 보더라도 수긍할 수 있는 바람직한 안내일 것입니다.

컴퓨터 이용 습관/행태

관리자(Administrator) 권한으로 컴퓨터를 일상적으로 사용하는 것은 무모하고 위험합니다.

키보드 보안프로그램의 사용을 강제하기 위하여 대부분의 국내 은행들은 고객에게 관리자 권한으로 컴퓨터를 사용하도록 강요하는데, 이런 정책은 일면 보안에 도움이 되는 측면도 있으나, 다른 한편으로 그보다 더 큰 보안 위험을 모든 이용자에게 강요하게 됩니다. 아예 로그인 단계에서 OTP 를 사용할 경우, 키보드 보안프로그램은 사실상 유용성이 없어집니다.

“보안경고창이 나타나면 반드시 ‘예’하라”는 권유는, 사용자들의 컴퓨터 이용 행태/습관 자체를 전반적으로 위험하게 만듭니다. 서비스를 설계하는 분들은 웹브라우저 플러그인을 가급적 사용하지 않고 서비스를 제공하도록 설계하는 것이 바람직합니다. 어쩔 수 없이 플러그인을 사용해야 할 경우에는, 플러그인 배포 전 단계에서 미리 사용자들에게 충분히 그 사실을 설명할 필요가 있습니다(예를 들어 중국은행이 이렇게 하고 있습니다).

웹브라우저의 다양성은 플러그인 사용을 최소화함으로써 구현되어야 하는 것이지, 더 많은 플러그인을 웹브라우저 별로 배포하려는 것은 옳지 않습니다.

금융기관이 주는 ‘보안프로그램’

은행 제공 보안프로그램은 은행사이트를 벗어나는 순간 고객을 무방비 상태로 빠트립니다. 보안업체와 은행은 이 점을 고객들에게 정직하게 안내해야 합니다.

금융권 관계자들은 “HTTP 교신에 기초하여 액티브X로 보안을 도모하려는 방식”이 안전하다고 생각하지만, 이 방법은 매우 쉽게 우회 공략이 가능합니다. 거래내역 서명을 위한 플러그인을 불가피하게 사용해야 할 경우, 교신은 https (SSL3/TLS1 프로토콜 사용)로 하고, 그 위에서 전자서명용 플러그인을 구동하는 것이 옳습니다.

은행에 접속해 있는 동안에만 실행되는 안티바이러스, 개인 방화벽 프로그램이 과연 유용성이 있는지는 냉정하게 재검토해 볼 필요가 있습니다.

더 나은 보안을 위하여

국내 금융권이 사용하는 “액티브X over HTTP” 방식이 세계 각국의 금융권에서 사용되는 “SSL + OTP” 방식보다 우월한지, 열악한지를 따지는 것은 별 의미가 없다고 생각합니다. 각 나라마다 특수한 사정이 있고, 보안/이용자 편의/호환성/접근성/고객 지원 비용/서비스의 유연성/확장가능성/자유로운 경쟁 보장/다양한 디바이스 지원/안전성에 대한 객관적 검증가능성 등 무수히 많은 고려 요인들을 종합적으로 평가하여 결단할 문제라고 생각합니다.

오픈웹은 그동안 “ActiveX 만을 사용하고, 다른 어떤 대안도 제공하지 않는 서비스 제공 행태”에 대하여는 단호하고 분명하게 반대 입장을 취해 왔습니다. 그런 행태는 다양한 소프트웨어들 간의 자유로운 경쟁과 소비자의 선택권을 원천적, 일방적으로 말살하기 때문입니다. 웹브라우저 소프트웨어 선택권은 user 에게 있어야 하는 것이지, 서비스 제공자가 user 의 선택권을 일방적으로 말살하는 것은 옳지 않다고 생각합니다.

그러나, “보안 기술적 측면”에만 국한 할 경우, ActiveX 에 대한 오픈웹의 입장은 이 글의 첫부분에 서술한 것 이상도 이하도 아닙니다.

물론, 보안업계 관계자 분들도, 그동안 국내 은행들이 사용해 온 “ActiveX over HTTP” 만이 절대선이라는 입장은 채택하지 않을 것입니다. 보안에 관한 한, 어느 것도 절대선이 될 수는 없습니다. 다른 해법들이 가지는 장점을 최대한 수용, 추가하여 개선, 변화, 진화하는 노력을 기울일 필요가 있습니다. 예를 들어, 국내 주요 포털사이트들도 다양한 보안 대비책을 채용하고 있습니다. 야후 코리아의 로그인 사이트는 클라이언트 컴퓨터가 자신만의 씰(seal)을 로그인 페이지에 나타나도록 설정할 수 있게 합니다. 피싱 공격에 대한 훌륭한 대비책입니다. 다음(Daum)은 로그인 페이지에서 EV ssl 인증서를 채택하여 https 접속을 하고 있습니다. 이 방식은 현재 알려진 대부분의 공격을 현실적으로 매우 어렵게 만듭니다. 이렇게 모두들 빠르게 진화하고 있습니다.

보안업체와 은행들 또한 영원히 ActiveX 라는 ‘틀(framework)’에 안주하여, 고객들에게 MS IE 만을 계속 쓰라고 권유하실 계획은 없으실 것입니다. 모바일 뱅킹을 아예 포기할 은행은 없지 않겠습니까? 그렇다고, 데스크톱 따로, 모바일 디바이스 따로 시스템을 이중으로 구축할 경우 경쟁력이 과연 있겠습니까? 미국의 와코비아 은행 등은 단 하나의 웹페이지로 모든 기기에서 온라인 뱅킹을 지원합니다.

PC에서만, 그것도 윈도우에서만, 그것도 MS IE 에서만 인터넷뱅킹을 하라는 입장은 “오픈”웹이 수용하기 어려운, 편협하고 배타적인 입장입니다. “인터넷”의 근본에 어긋나는 입장이라고 생각합니다.

“인터넷”은 특정 기업이나, 특정 소프트웨어나, 특정 디바이스를 위한 것이 아닙니다.

  • http://no 지나다가…

    글 잘 읽었습니다.

    댓글 잘 안남기는 편인데 댓글 남기는 이유는 블로거뉴스 추천이 이상한지 추천을해도 별 반응이 없네요.
    다른 분의 블로그쪽 글 추천은 이상없는데 오픈웹 글만 추천시 추천이 안되는군요.

  • http://www.pageoff.net 봄눈

    나열해 주신 항목 하나 하나에 동감을 표시합니다. 아울러 마지막 ‘아직도 한국이 “IT 강국”이라고 생각한다.’라는 부분에서 부끄러워 차마 얼굴을 들 수 없을 지경입니다.

  • 맥러버

    한국웹 너무나도 폐쇄적입니다. 주민등록번호 사용, 아이핀, 웹표준, 엑티브엑스, 엄청나게 무거운 제작방식. ㅋㅋ 문제투성이입니다.

  • 팬더곰

    제가 보안에 관련된 업체 담당자는 아니지만 https 가 보안에
    취약하다는 말은 이치에 맞지않을수도 있지만 틀린말은 아닙니다.

    https 로 데이터를 주고 받게 되면 데이터가 암호화 되는데, 이때 웹사이트 자체가 보안에 취약할 경우 https 를 통해 80포트를 통한 웹공격을 시도할 경우 관리자가 확인할 방법이 어렵다는 점을 이야기 하는 것 일것입니다.

    즉 사이트에서 https 를 사용하기 전에 기본적인 웹보안에
    대한 필수 방어 처리를 해두어야 https 서비스를 할경우 안전할수 있습니다.

  • http://bluecity.tistory.com 푸른도시

    실제 ActiveX를 이용한 보안이라는것은 은행이나 금융업체의 책임 회피식이라는것은 누구나 알고 있는 사실입니다. 또한 이러한 ActiveX가 점철되게 된것은 정부가 앞장서서 떡칠하기에 바빳기 때문이지요.

    이전에도 말씀드렸지만 중소업체에서 아무리 좋은 솔루션을 가져가도 입찰에서 탈락되는 현실인데 누가 좋은 솔루션을 제안하겠습니까? 당장 먹고살기도 힘든판에.

    결국은 그것이 반복되어 작금의 현실이 된것입니다.

    이제부터라도 바로 잡을 생각은 않고 당장 현실에서 편하(?)기 때문에 회피하다가는 몇년내에 IT 후진국으로 거듭나리란것은 자명한 일입니다.

    이제는 법원에 맡겨서 될일이 아닌것 같습니다. 뭔가 캠페인이나 다른 방향으로 모두에게 알리는 방향으로 선회를 해야 하지 않나 싶습니다.

    요즘보면 법원이라는게 가진자의 편이란게 극명하기 때문이지요. 이처럼 사람들을 위한다는 말도 안되는 편쪽에는 절대 안선다는거지요.

  • 흠.. 질문이요..

    음.. 그럼 인터넷 뱅킹을 할때 모든 고객이 4,400원 결재 하고 공인인증서 만들어서 사용해야 하는데… 여기 계신분들은 그럴용의가 있으신가요? 많은 고객들이 원치를 않아서…

  • http://dgtgrade.egloos.com NamX

    보안 접속(비밀 통신)만이 보안의 전부는 아니지 않나요?

    사실 HTTPS 통신만을 하는데 있어서 굳이 “공인” 인증서를 사용할 필요가 없습니다. HTTPS(HTTP over SSL) 라는 것 자체가 애초에 서로(서버/클라이언트)의 “자격” 증명을 하는 것이 아니라(!) 말 그대로 “통신 보안(암호화)”을 위한 것이니까요.

    그러나 (은행 등의) 서버 측에서 “공인” 인증서를 사용하는 것이 “그 외” 인증서를 사용하는 것과 다른 점은 해당 서버가 “공인된(공인 기관으로부터 자격을 증명 받은)” 서버라는 점도 추가 되지요.

    마찬가지로 클라이언트 측에서 “공인” 인증서를 사용하는 것은 내(클라이언트)가 나임을 “공인” 하는 것이지요. 이는 서버 측에서 볼때는 클라이언트를 믿는 효과가 있겠고, 클라이언트 측에서 볼 때는 다른 사람이 함부로 자신이라고 사칭 하는 것을 방지하는 효과가 있겠습니다.

    이 또한 보안의 일부라고 생각합니다만. …

  • 팬더곰

    그렇죠. MamX 님의 말에 덧붙인다면, 개인이 공인 인증서를
    사용함으로서 불필요한 인증에 관련된 개인의 중요 정보를 주고받지 않고도 내가 나임을 인증하기 위한 방법으로 개인 인증서가 사용된다고 볼 수 있습니다. 어떠한 데이터가 오간다는것은 보안의 노출을 수반하게 되니까요.

    ActiveX 가 보안을 위한것이라는 말은 분명 오류가 있습니다. ActiveX는 단지 인터넷 상의 프로그램의 설치와 배포의
    편의를 위해서 있는것이고, 은행이 서비스의 보안을 강화하기 위해 보안강화를 위해 소프트웨어를 쉽게 설치하게 하기 위해 이를 사용한 것 뿐입니다.
    (물론 이는 보안 업체가 제안을 했겠지요.)

    채석장에서 사용하는 폭탄을 만들었으나 이를 가지고 사람을
    죽이는데 사용하는것을 가지고 폭탄 자체의 잘못을 따진다면
    뭔가 석연치 않은것이라 생각하는데, 요즘 사람들의 이슈가
    너무 ActiveX로 맞추어져 있는듯 하여 좀 답답해 지는군요.

    다만 저도 은행별로 비슷한 소프트웨어를 버전별로 설치하는어처구니 없는 현상은 좀 정리가 되어야 할것으로 생각합니다.
    정통부에서 나서든, 은행별 보안 소프트웨어를 좀 정리하는 방안에 대해서 논의한다면 좋을텐데 말입니다.
    물론 이런 발상도 사용자 위주의 생각일테고, 은행별로 보안 체계가 틀려야 더 보안에 걸맞는 것일지도 모르겠지만 말입니다.

  • T. K.

    ActiveX 컨트롤을 물고 늘어지는(?) 건, 이게 MS 윈도우 종속적이라 그에 의존할 경우 필연적으로 타 OS 이용자의 접근을 제한하게 되는 결과를 가져오기 때문이기도 하죠.

  • VongZa

    흠.. 질문이요..님// 여기서 이야기하고 있는 것과 공인인증서의 유료화나 범용공인인증서 사용과는 관계가 없습니다. 여기서 문제삼고 있는 것은 공인인증서의 사용이 거의 대부분의 경우 MS의 IE에서 밖에 안되는 것과 보안 수준을 높이는 효과가 거의 없고, 오히려 보안 구멍을 만드는, 게다가 역시 IE에서만 구동되는 각종 가짜(?) 보안 프로그램에 대한 것입니다.

  • http://hiphapis.net hiphapis

    뷸렛팅하신 하나하나 모두 너무 공감이 가네요.

  • 시은

    다 그 잘난 금융보안연구원이 죽일놈입니다 -_- 금융보안연구원이 시키는대로 밖에 할 수 없는게 현실인걸요.

  • 수호

    은행 고객관리 메일에 엑티브 X 는 쓸때 없는 짓이라고 메일을 아무리 보내봐도… 대답이 없어요. 몰라서 그러는 건지 알고도 묵인하는 건지~ 언제쯤 정신들을 차릴까요?

  • http://openweb.or.kr youknowit

    메일 내용에 고객의 계좌 내역이 포함되어 있는 경우에는, 보안이 필요한 것은 맞습니다.(예를 들어, 카드 이용대금 명세서)

    그러나, 이런 식으로 고객에게 계좌 내역을 담은 메일을 보내는 것 자체가 상식 밖입니다. 인터넷 뱅킹이 존재하는 이유가, 언제 어느때고 고객이 자기의 거래 내역이 궁금하면 로그인하여 확인할 수 있도록 하기 위한 것입니다.

    쓸데 없이 이 메일 트래픽이나 발생시키는 일을 하면서, 이런 것도 “솔루션”이라고 하나 납품하면 업체에게는 돈이 떨어지는 것이지요.

    계좌 내역도 없고, 단순히 “공지사항” 안내메일을 보내면서 activeX를 마구 쓰는 곳도 있습니다. 대표적인 경우가, 우리은행이 “은행영업시간 변경안내”를 하면서 첨부 파일에 ActiveX 를 걸어두는 경우입니다.

    고객이 첨부파일을 클릭하면 “다짜고짜로” 이 프로그램을 설치하시겠습니까? 라고 보안경고창이 뜹니다.

    이것은 그야말로 바이러스 유포 수법과 완벽하게 동일합니다. 메일 내용은?

    “9시부터 4시까지로 영업시간이 바뀌었습니다…”

    이것이 무슨 대단한 비밀정보인가 보죠?

    금융권 보안의 황당 개그는 끝없이 계속됩니다.

  • http://www.dynasys.kr 최준열

    오늘 어떤 네덜란드 바이어와 한국 기업인들의 통역을 하는데 네덜란드 바이어가 노트북으로 웹 브라우저를 조작하면서 어떤 사이트에 들어가더라도 “어도브 플래시 플레이어를 설치하겠냐”는 메시지에 전부 아니오, 아니오를 클릭하더군요.

    저는 그 사람이 컴맹이라서 어도브 플래시를 모른다고 생각했습니다. 근데 어떤 제품 정보 사이트에 들어가더니 제품 정보가 전부 빈 칸으로 나오자 (플래시라서) “이거 플래시라서 지금 안 나오는거야”라고 말하더군요.

    어도브 플래시가 제품 정보를 표시하는데 필요한 거라는 걸 알면서도 계속 아니오를 고집하는 거였습니다.

    국내 은행들의 ActiveX 인터넷 뱅킹처럼 네덜란드 주요 은행의 인터넷 뱅킹이 구현되었다면 해당 서비스들은 바로 망했을 겁니다.

    근데 생각해 보니 한국 유저들이 “무조건 네,네를 하라”는 지시에 별 불만이 없이 따르고 있는 것도 사실이라는 생각이 드네요. -_- 사용자들이 현행 서비스에 큰 불만이 없다는 것도 많이 작용하고 있다고 생각됩니다.

  • 시은

    당연히 윈도우즈 업데이트는 하나도 안 했다. 업데이트하면 컴이 조금 무거워지는것 같아서…

    …라는 글이 http://oravy.tistory.com/104 에 보이는군요 ^^
    물론 저 분을 탓하는건 아니고, 대한민국 유저의 의식이 그렇다 이겁니다. 거기에 AcitveX를 덕지덕지 깔아주시니.. 당연히 느리죠….

  • http://oravy.tistory.com/ 하수

    못보던 유입경로에 링크 따라서 들어왔더니, 저기 시은님이 범인 ㅠㅠ;;
    몇 년째 원도우 데이트 안 하고 잘만 쓰는데.
    XP Pro SP1에 IE6으로 말이죠.
    몰라서 업데이트 안 하는 게 아닙니다. 저 정보처리기사인데…
    악성코드 실시간 감시 프로그램들은 안 쓰시나봐요?

  • T. K.

    정보처리기사가 별건가요? 전 총 5일 공부하고 땄는데…

  • http://oravy.tistory.com/ 하수

    ㅎㅎ 이런 태클 있을 듯해서 다시 들어와보니 역시나.
    머리가 좋으신가봐요? 전 기계 출신이라 어렵게 땄는데.
    하여간 전 업데이트 하나도 안 하고도 울타리라는 프로그램으로 실시간 악성코드 감시만으로 몇 해 동안 잘 쓰고 있습니다. 잘 쓰고 있는데 왜 신경 안 쓰냐고 그러시는지.
    아무 에러가 없는데 신경을 왜 쓰나요?
    참고로 전 바이러스 백신은 실시간으로 안 켜둡니다.
    오로지 울타리 프로그램 하나만으로 걱정없이 쓰고 있습니다.

  • T. K.

    정보처리기사는 사실 그쪽 부분과 큰 연관이 없음을 말씀드리고자 한 것인데 비꼰 격이 되어버렸군요. 죄송합니다. 화내지 않으시고 대해주셔서 고맙습니다. 이제 쓸데없는 소리는 자제토록 하겠습니다.

  • T. K.

    저도 울타리를 비롯해 Ad-aware와 comodo 등 각종 프로그램들을 다 돌리고 이상없는 줄 착각(?)하며 살고 있습니다. 전 SP3에 IE8이 깔려 있지만(IE 거의 안씀. 주로 불여우) 의문을 갖자면 MS의 보안패치도 과연 얼마나 신뢰할 수 있을지 모르겠습니다.

  • http://openweb.or.kr youknowit

    “업데이트를 하면 컴퓨터가 조금 무거워진다”… 흠…

    새로운 학설인듯.

  • mountie

    통상 보안취약점과 패치를 함께 발표합니다.
    패치가 전파되기 전까지 설명된 보안취약점을 역으로 공격하는 “제로데이” 공격도 존해하고
    지금까지 발표되었던 보안취약점을 다 묶어서 하나의 피씨에 대해 돌아가면서 모두 공격해보는 방법들도 많이 사용됩니다.
    최소한 이미 알려진 보안취약점을 패치하지 않는것은 자신의 PC를 무방비 상태로 두는거나 마찬가지입니다.
    해커가 관심없어서 멀쩡할수는 있지만 관심있으면 알려진 보안취약점이 패치되었는지 여부를 먼저 체크해보지요.
    보안 패치는 꼭 할것을 권장합니다.

  • T. K.

    아, 물론 전 윈도우 업데이트 꼬박꼬박 합니다. (구차한 변명?)

  • wwhitefly

    날잡아 윈도우 미는 날이 따로 있습니다.
    제발…

  • 김종문

    교수님글들을 보면서 어서 빨리 웹표준이 잘되길 바라고 있습니다.
    그런데 글들중 외국사례를 많이 표현하시던데 외국은 한국보다 간편하게 인터넷뱅킹을 쓸수 있고 Activex도 없다고 하시는데..
    외국 인터넷뱅킹 사례가 한국보다 좋은점을 잘 정리해주시면 Activex를 싫어하는 대다수 사람들에게 많은 공감을 일으켜서 한국과 외국의 장/단점 비교가 쉬워지니 더 좋을것 같습니다. ^^

  • http://openweb.or.kr youknowit

    제가 아는 한에서 말씀드립니다.

    먼저, 확실한 점은, 한국처럼 “아무 설명도 없이” 플러그인을 내려주고, 보안경고창이 뜨도록 설계된 외국의 은행은 없습니다. 이것은 상식을 벗어난 것입니다.

    둘째, 언제나 최신 웹브라우저로 업그레이드 하라는 안내를 합니다. 고객이 “MS IE 6.0 을 계속 사용”해 주기를 바라는 외국은행은 결코 없습니다.

    셋째, 어떠한 별도 프로그램도 설치할 필요가 없습니다. https 와 일회용 비밀번호로 보안을 유지합니다. 인증서 로그인을 하는 경우에도 별도 프로그램 없이 웹브라우저에 기본 장착된 클라이언트 인증서 authentication 기능을 사용합니다. 다만, 거래내역 서명까지를 하는 은행의 경우, 별도 플러그인을 “미리 설명하고” 고객이 내려받아 설치하도록 합니다.

    넷째, 페이지가 가볍습니다(파일사이즈가 작습니다). 한국에서 영국 은행 거래를 아무 불편없이 할 수 있습니다. 플래시? 거의 없거나, 아주 작은 사이즈입니다. 영국에서 한국 뱅킹? NO, NO, NO.

    다섯째, 은행이 고객에게 이메일을 보내지 않습니다. 이것은 매우, 매우 중요합니다. 피싱 공격은 대부분 “은행을 가장하고 이메일을 보낸 다음, 이메일에 제시된 링크를 이용자가 클릭하면 은행과 완벽하게 동일한 외관을 가진 사이트(주소창의 주소를 자세히 보면 엉뚱한 주소이지만)로 연결되도록 하는 방법을 취하기 때문입니다. 따라서 은행이 나에게 이메일을 보냈다면, 그냥 지웁니다. 한국? 말을 맙시다. 시도 때도 없이 이메일을 보내고, “첨부파일”까지 뽀나스로 곁들일 뿐 아니라, 첨부파일을 클릭하면 ActiveX를 설치하라고 합니다. 해커/한국은행이 일란성 쌍생아가 아닌가 의심이 들 정도…

    여섯째, 은행이 고객에게 안티바이러스, 키보드보안, 방화벽을 설치하라고 “강요”하는 곳은 없습니다. 본격 안티바이러스 프로그램을 고객이 스스로 “하나” 선택하여 사용하는 것이 좋다고 권유하고, 그 장점을 설명하고 (내려받을 수 있는) 리스트를 제시 합니다.

    일곱째, 관리자 계정의 암호를 설정하고, 일반 이용자 계정을 하나 만들어, 평상시 뱅킹 등 컴퓨터 사용은 일반이용자 계정으로 하는 것이 안전하다고 안내합니다. 한국? 로꾸꺼 입니다.

    여덟째, 파이어폭스, 사파리 등의 웹브라우저는 기본으로 지원합니다. 운영체제 또한 윈도우, 맥, 리눅스 가리지 않습니다. 리눅스에서 파이어폭스 계열 웹브라우저로 인터넷 뱅킹이 가능한 외국 은행 리스트 참조. 한국? MS 자매 뱅크?

    아홉째, 제가 아는 한 온라인 뱅킹 수수료는 없습니다. 온라인 뱅킹의 이유가 인건비를 획기적으로 줄이고, 여타의 코스트를 줄이는 것이라고 고객에게 선전하면서, 고객들이 가급적 온라인 뱅킹을 이용하도록 유도합니다(수수료 없다는 점을 부각)

    열째, 모바일 풀브라우징 기능이 있는 휴대폰에서, 당연히 됩니다. 데스크 톱이나 똑같습니다.

    한국 인터넷 뱅킹? 쪽팔리는 것은 쪽팔리다고 정직하게 말해야 합니다.

  • http://dgtgrade.egloos.com NamX

    해외의 경우 그렇다고 보안성이 그렇게 높은 상태는 아닙니다.

    우리도 해외와 유사하게 가자! 하고 주장하시는 분들께서는 아래의 실제 피해 규모에 대해서 어떻게 생각하는지 궁금하네요.

    미국의 경우:

    Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3 Billion Lost to These Attacks
    http://www.gartner.com/it/page.jsp?id=565125

    - 2007년 미국 (일반) 성인들의 피싱 피해는 32억 달라다.
    - 같은 기간 360만 미국인이 피싱 공격을 당해 실제로 돈을 잃었다.
    - 피해자의 47%는 직불 카드, 32%는 신용 카드, 24%는 은행 계좌

    이 정도면 피해를 감수 하고 갈만한 건가요?

  • http://snowall.tistory.com snowall

    NamX님 // 혹시 같은 기간의 한국쪽에서의 피싱이나 인터넷 금융거래와 관련된 피해 통계를 구할 수 있나요?
    그냥 숫자만 보기보다는 비교해 보는 쪽이 나을 것 같습니다.

  • http://dgtgrade.egloos.com NamX

    저도 찾아 봤는데 국내 인터넷 피싱 피해 규모 자료는 찾기 힘들었습니다.

    참고로 국내는 인터넷 피싱 등은 별로 문제 안 되고(최소한 언론에서는), 중국발 (서버) 해킹 및 보이스 피싱이 문제가 많이 되죠? 국내 보이스 피싱 피해 규모는 다음과 같습니다.

    http://www.boannews.com/media/view.asp?idx=13199&kind=1

    2008년 12월: 지난 3년간 1093억으로 추정된다.

    그리고 물론 서버를 해킹 하는 것으로 인한 해외/국내 피해 사례는 여기서는 논외겠지요? 그건 관심 없어서 조사 안 해 봤습니다~

    참고로 국내 인터넷 뱅킹 사용자 규모는 다음과 같습니다.

    http://www.mt.co.kr/view/mtview.php?type=1&no=2008102909441998548&outlink=1

    - 2008년 3/4분기: 19개 금융기관에서 5070만명.
    - 3분기중 이용규모는 2251만건, 22조원.

    다른 분들도 국내/해외 인터넷 뱅킹 관련 이용 규모/피해 규모 자료 보강 해 주시면 “현실적인” 논의에 도움이 많이 될 것 같습니다~

  • kim

    키보드 후킹으로 키스트로크를 가로채는 보안 문제는 어떻게 대응하죠?
    물론 clean 한 컴퓨터에선 그럴일이 없겠지만요.

  • Yi Jong

    사견입니다만…

    제가 알기로는 국내 은행에서 인터넷 뱅킹 사고가 발생하더라도 그 사건이 공개되는 경우는 거의 없는 걸로 알고 있습니다. 고로 실제 사고가 있었는지, 몇차례나 있었는지, 있었다면 어떤 부분이 뚫린 건지, 문제의 개선은 어떻게 이루어지는지 등등의 정보가 하나도 없습니다. 신문기사도
    http://www.dt.co.kr/contents.html?article_no=2009021202010660739002나,
    http://www.dt.co.kr/contents.html?article_no=2009022402010151739002 처럼 모호하기 짝이 없는 얘기만 늘어놓고 있습니다.

    위에 인용한 첫번째 기사 내용 중 약간 인용해보면..

    “피해자 A씨는 “우리은행은 경찰 신고를 미뤄달라고 요청한 후 시스템에는 이상이 없다고 하다가 경찰 신고 후에야 구체적인 이체 내역을 알려줬고 금융감독원에 민원을 제기한 데 대해서는 철회를 요구했다”고 말했다. 또 “금융감독원 역시 수사가 끝나면 민원을 제기하라는 반응을 보였다”며 불만을 제기했다.

    이에 대해 우리은행은 “사건 접수 후 가능한 조치를 모두 취했으며 은행 시스템에 침입흔적이 없는 것으로 보아 사고의 원인은 피해자의 관리 소홀일 것으로 추정된다”고 밝혔다. 또 금융감독원은 수사결과가 나와야 대책을 마련할 수 있다는 입장을 밝혔다.

    그러나 이처럼 명확한 원인규명 없이 사건을 덮는 사례가 늘면 유사한 사건이 일어나는 빌미가 될 수도 있다는 주장이 제기되고 있다. ”

    제가 보기엔 은행에서 별별 프로그램을 다 깔아주고, 고객이 직접 컴퓨터의 보안 문제를 관리할 수 없도록 “무조건 예하세요. (관리자 계정를 사용하시고, 다른 보안 프로그램은 쓰지마세요 등등…)”라고 한 다음 문제가 생기면 배를 짼다..는 것 정도를 행간에서 읽을 수 있군요. 허허…

  • http://dgtgrade.egloos.com NamX

    예… 저 또한 추측이지만 아무리 관련 사고를 덮는다 하더라도 그 누적 규모가 수백억 이상씩 되기 시작 하면 마냥 덮고 쉬쉬 하면서 버티기는 힘들지 않겠습니까? 수백억~수천억 규모라면 자료가 있는데 제가 못 찾았거나, 아직 피해 규모가 그 정도가 안 될 것이라고 봅니다.

    최소한 보이스 피싱과 같이 신고된 피해 규모 및 추정 피해 규모 등이 언론에 아주 조금이라도 노출 되지 않겠습니까? (위에 썼듯이 보이스 피싱의 경우 현재 년간 수백억 수준)

    32억 달라… 환율을 1,000원으로 보더라도 3조2천억이죠. 그것도 클라이언트 측의 사고만 말이죠. 뭐. 1인당 소득 수준으로 나눠서 보면 우리나라의 경우 2천억 정도에 해당 하는데요.

    그리고 토론할 때 우리가 과거의 자료를 갖고 있다면 미래에 대해서도 마냥 “생각대로”가 아니라 과거에 “실제로” 어떤 일이 일어났는지를 보는 것 또한 중요하다고 봅니다.

    상상한 것과 같은 보안 사고 발생시 은행이 배를 짼다… 이에 대해 과거의 자료를 알고 하는 얘기인지요?

  • http://dgtgrade.egloos.com NamX

    또한 은행이 사용자에게 보안 프로그램을 강요 할 수는 없다 주장은 곧 보안 사고 예방에 대한 사용자의 책임을 강화 해야 한다는 것과 일맥상통 하는 것이라고… 저도 그렇게 생각하고, 이곳에서도 그렇게 얘기 되고 있는 것으로 이해하고 있었습니다만.

    그런데 제가 신기하게 생각하는 것은 세상에 수요자 스스로 수요자의 책임을 강화해야 한다고 얘기하는 것을 그 동안 다른 어떤 경우에도 본 적이 없는 것 같아서요. … 흠… 다른 어떤 경우가 그런게 있었을까요?

    • VongZa

      은행에서 다 챙겨서 해주는 건 좋은데요, 그게 왜 꼭 보안상 문제가 있는 플러그인 방식이어야 하며, 왜 필요 없다는 사람에게까지 강제하느냐가 문제라고 생각합니다.

      • Kazian

        그 필요없다는 사람이 문제가 일어나면 은행한테 책임을 넘기기 때문입니다.
        과거 키 스트로크 방지 툴을 안 깔아도 인터넷 뱅킹을 사용할 수 있었을 때, 사용자와 언론이 어떻게 행동했는지 보시면 아실듯 합니다.
        07년 외환은행건이니 검색하면 나올듯 합니다.

        • VongZa

          외환은행 사고는 2005년 6월 3일 이네요… 2007년이라고 하셔서 찾느라 힘들었습니다. ^^;;

          외환은행 사건은 사용자 잘못 아닌가요? 사용자PC에 키로깅 프로그램이 설치되어서 그렇게 된건데, 자기 집에 누군지도 모르는 사람을 (속았던 어쨌던) 직접 들여앉혀놓고, 나중에 도둑맞았다고 집지은 시공사나 건설회사 탓하는 거나 마찬가지라고 생각합니다. 추측입니다만, 외환은행에서도 배상 안하면 이미지 안좋아질까봐 울며 겨자먹기로 배상한거라고 봅니다. 은행탓만하고 근본적인 문제는 고칠 생각을 안하는 잘못된 사용자와 잘못된 언론 때문에요. 그리고 그 잘못된 사용자 및 잘못된 언론을 만드는데에는 은행은 물론이거니와 금감원, 금결원등 여러 기관과 보안업체(힘들게 일하시는 분들을 비난할 생각은 없습니다)도 일조했다고 생각합니다.

  • Yi Jong

    NamX//
    수요자 스스로가 수요자의 책임을 강화하는 것에 대해서는 제공자가 “강요”하는 서비스가 기능상 충분하지도 않고, 오히려 불편과 위험을 가중시키기 때문에 “자구책”을 마련하는 것이라고 볼 수 있지 않을까 싶습니다.

    • http://dgtgrade.egloos.com NamX

      기능상 충분하지 않고 => 예. 충분하지 않고 문제는 많죠. 그건 무슨 보안 솔루션이든 그렇습니다만.

      오히려 불편을 가중 => 예. 모든 보안 솔루션은 태생적으로 불편을 가중 시킬 수 밖에 없고요.

      위험을 가중 => 핵심적으로 이 것의 근거가 무엇인지요? 단순히 ActiveX 라는 이유로? 요리사가 칼 들면 밥 먹으로 온 손님이 위험 해 지는 건가요?

      • VongZa

        ActiveX가 보안상 문제가 있어 사용을 자제해 달라는 MS의 이야기로 충분히 근거가 되지 않을까 합니다.

        • http://dgtgrade.egloos.com NamX

          예… ActiveX가 보안상 문제가 되지요.

          그런데 웹에서 프로그램(.exe) 다운로드 받을 때 마다 경고도 뜨지요? 요즘에는 웹에서 받은 거 실행 할 때도 한 번 더 뜨던데요. 그렇다면 모든 프로그램은 보안상 문제가 있다고 봐야 하는 거겠지요?

  • K

    네.. 그래서 은행이 제공하는 모든 프로그램들의 베포를 중단하고 https 환경으로 하자고 강력히 요구해야 합니다.
    이렇게 되면 모든 브라우저에서 사용 가능하게 됩니다. ^^

  • http://channy.creation.net Channy

    우선 가트너의 자료를 정확하게 살펴 볼 필요가 있겠습니다.

    32억 달러는 실 수치가 아니라 4,500명 정도의 설문조사를 한 결과를 토대로 한 추산입니다. 설문조사자의 3.3%가 피싱 이메일을 통해 실제로 평균 천달러 정도의 손해를 봤다는 것을 기초로 한겁니다.

    그리고 이들중 64%가 돈을 되돌려 받았습니다. 그럴 수 밖에 없는게 50%이상이 신용카드나 직불카드번호를 탈취해 신용 구매를 한 경우여서 우리 나라 처럼 직접 계좌에서 돈을 빼가는 상황이 아닙니다. 대부분 Fraud Detection이나 신고를 통해 되찾게 되죠. 되찾지 못하는 경우라도 이게 카드사에서 보험으로 대개 처리를 해 줍니다.

    해외 피싱의 문제는 사회 공학(이메일)을 통해 아무 링크나 눌러서 신용카드 정보를 입력하는 것 때문인데요. 이 때 사람들이 SSL 서버가 있는지 혹은 정상적인 건지 아닌지도 모르게 생깁니다.

    그래서 최근에 웹 브라우저에 색상을 단다거나 EV cert를 추가하고, 피싱 필터를 제공하고, 아예 정상 발급된 인증서가 아니면 아예 접속도 안됩니다. 사회 공학적 신용카드 정보 탈취는 보안하고 하등 관계 없는 문제라 2차 피해를 막기 위해 Visa3D나 Master 인증 등이 더욱 도입되고 있는 실정입니다.

    국내 온라인 신용카드 도용 사건 옛날에 엄청 많았구요 VISA3D와 ISP 도입하고 나서 거의 줄었습니다. 카드사가 2차 인증하는 시스템이 그만큼 중요합니다.

    사회공학적 피싱을 통한 신용카드 정보의 탈취를 해외 뱅킹 사례와 연결 지을 수는 없을 것 같네요. 일본 뱅킹이 어떻게 이루어 지고 있는지는 아래 댓글을 참고하시구요. 통상적인 피싱으로 이 정도를 뚫긴 쉽지 않을 겁니다.
    http://openweb.or.kr/?p=1061#comment-23998

    저는 SSL 방식으로 인터넷 뱅킹이 되더라도 공인 인증서 같이 자신의 신원을 금융기관에 제시할 오프라인 증명이 필요하다고 봅니다. 그게 USB토큰이든 OTP든 모바일 OTP든 말이죠.

    문제는 온라인 방식만 고집하는 현재는 공인 인증서 저장하고, 보안카드 캡쳐해서 PC에 올려 놓는 지금 상태로는 해커가 PC를 장악하게 되면 속수 무책이 된다는 겁니다.

    PC가 장악되는 것을 방지하는 것도 입 아프지만 키보드 해킹 방지나 AV가 우선이 아니라 웹 브라우저나 운영 체제가 업그레이드 되고 보안 업데이트가 지속되는 것이 먼저죠. 그리고 다양한 플랫폼을 통해 해킹 비용을 낮추어야 하구요.

    현재와 같은 방식으로 획일된 고정 시스템(win xp+ie6)을 고집하고 있으면 아무리 AV가 날고 기어도 위험할 뿐이죠.

    어쨌든 한국과 해외의 해킹 공격 패턴은 매우 다릅니다. 해외는 악성 코드(키로거)로 PC 장악을 해 데이터를 뚫기가 힘들기 때문에 값싼 피싱을 쓰는 거구요. 한국은 이게 워낙 쉽기 때문에 (중국애들 게시판에 activex나 악성 코드 심는게 식은 죽먹기라) 문제가 된다고 생각합니다.

  • http://dgtgrade.egloos.com NamX

    1. 피싱에 의한 피해가 어떻게 공인인증서/키보드 해킹 방지/AV 등의 문제와 관련이 없을 수 있는지 그것이 더 신기하군요.

    2. 저건 2007년 자료였는데요. 그러니까 1.5년 사이에 해외 상황이 나아졌다고요? 뉴스들 찾아 보십이오. 해외에서의 피해는 계속 증가하고 있지 결코 감소하고 있지 않습니다.

    3. 해외의 PC는 해커가 장악하는 일이 드물다는 것은 무엇을 근거로 하시는 얘기인지요?

    4. 그래서 미국의 win xp+ie6 점유율은 얼마나 되나요? 어쨌건 절반 이상 아닌지요?

    5. 해커가 PC를 장악했다. … 그것에 대해 브라우저나 운영체제 업그레이드 하는 것이 어떻게 보안 대책이 될 수 있나요?

    6. 다양한 플랫폼을 통해 해킹 비용을 낮춘다.(아마 높인다를 잘 못 쓰신 듯 한데 아무튼…) 해킹 비용을 높이기 위해서 서로 합심하여 남들 안쓰는 운영체제를 쓰기라도 해야 한다는 말씀이신지요?

    • VongZa

      1. 웹페이지에서 제공되는, 특히, 반드시 예를 누르라고 안내하는 각종 플러그인 프로그램이 일반 사용자의 보안의식 수준을 낮게 만들어 피싱피해 확대에 도움을 줄 수는 있을 것 같습니다만… (^^;;) 피싱은 사회공학기법이라 공인인증서 및 해당 사이트에 접속했을 때만 잠시 구동되는 각종 보안프로그램과는 관계없이 피해를 당할 수 있다고 생각합니다.

      4. 미국에서 Win XP + IE6의 점유율은 잘 모르겠습니다만, 세계적으로 봤을 때, OS에 관계없이 IE6의 점유율은 찾아본 곳 중에 제일 높은 곳이 26%였습니다.

      5. 브라우저나 운영체제를 업그레이드 하면 적어도 기존에 알려진 보안취약점은 패치가 되겠죠. 플러그인 프로그램 설치에 대한 경고라던지, 잘못된 인증서에 대한 경고 등 사용자가 여러가지 위협에 당하지 않게 하는 장치들도 추가가 될 것이구요. 이런 것들이 피싱에 당하거나, 해커가 PC를 장악하는데 걸리는 시간을 좀 더 길게 만들어 주지 않겠습니까?

      6. 남들이 안쓰는 운영체제를 사용하자는 게 아니라, 한가지 플랫폼에 고정되어 있는 것이, (고정될 수 밖에 없는 구조가) 위험하다는 의미로 받아들여야 할 것 같습니다.

      NamX님께서 말씀하시고 싶으신게 뭔지 잘 모르겠습니다. 외국의 상황도 안전한 것은 아니니 그냥 하던대로 하자라는 말씀은 아닌 것 같고, 무조건 외국의 상황만 가져다가 비교하기 보다는 뭔가 좋은 대안을 만들자는 것인가요?

      • http://dgtgrade.egloos.com NamX

        아… 댓글 자꾸 안 올라가서 짜증납니다. 그만 써야 할 듯 ? –;

        1.
        저는 우리나라에서 피싱 공격을 잘 안 받는 이유가 바로 그 이상한 메일과 공인인증서 등 때문이라고 생각합니다.

        1) 이상한 메일과 은행이 보내는 메일이 구분 가능합니다.
        2) 혹 이상한 메일에 낚여서 사이트에 가더라도 공인인증서를 요구하는 은행 사이트와 아이디/패스워드 요구하는 피싱 사이트와 구분이 됩니다.
        3) 혹 또 아이디/패스워드 줬다 하더라도 피싱 사이트에서 할 수 있는 일이 별로 없습니다.

        4. 26%? 에이~~~

        http://en.wikipedia.org/wiki/Usage_share_of_web_browsers

        5. 음… 그러니까 nprotect, v3 등은 보안에 도움이 안 되고 해가 되지만 브라우저나 운영체제 업데이트는 꽤 도움이 된다는 그런 얘기인거죠?

        예. 제 주장은 제가 보기에 적어도 보안(안정성) 면에 있어서 우리나라가 그나마 상황이 좋은 건데 자꾸 상황을 오도 하고 있는 것 같다는 것입니다. 따라서 해외가 하는 것을 따라 하는 것은 오히려 보안을 해치는 것인데… 차라리 보안을 해치더라도 접근성을 높이자! 고 주장하면 솔직하다고 볼 수 있겠습니다만… 물론 저는 그 주장에도 동의하지 않게습니다만.

        • VongZa

          1. 듣고보니 말씀하신 측면도 맞는 것 같습니다만, 공인인증서 로그인을 꼭 특정 플랫폼에서만 가능하게 만들어 놓는 것은 문제라고 봅니다.

          4. 위키피디아에서 브라우저 버전별 정보는 없는 건지, 제가 못찾는 건지 모르겠습니다. 제가 찾아본 사이트는 아래와 같습니다.
          http://www.w3counter.com/globalstats.php
          http://www.statowl.com/web_browser_usage_by_version.php?limit%5B%5D=ie&limit%5B%5D=firefox&limit%5B%5D=safari&limit%5B%5D=chrome&limit%5B%5D=opera&limit%5B%5D=netscape
          http://www.w3schools.com/browsers/browsers_stats.asp
          http://marketshare.hitslink.com/browser-market-share.aspx?qprid=2

          5. 보안 프로그램도 도움이 되죠. (사이트에 접속했을 때만 잠깐 실행되는 보안 프로그램이 실질적인 도움을 줄 수 있을지에 대해서는 부정적인 생각을 가지고 있습니다.) 다만, 브라우저나 운영체제를 업데이트하는 것이 더 근본적인 방법이라고 생각합니다.

          말씀하신 대로 우리나라의 특이한 상황 덕분에 피싱의 위협은 그렇게 크게 느끼지 못하고 있는 것 같습니다. 하지만, ActiveX로 도배된 사이트는 접근성의 문제를 떠나서 봐도, 보안이나 안정성이 높다고 말하기는 힘들 것 같습니다.

        • http://channy.creation.net Channy

          “예. 제 주장은 제가 보기에 적어도 보안(안정성) 면에 있어서 우리나라가 그나마 상황이 좋은 건데 자꾸 상황을 오도 하고 있는 것 같다는 것입니다. ”

          아마 이건 정말 관점의 차이인것 같습니다.

          우리 다 개발을 해 봤으니 제가 한가지 예를 들어볼께요.
          Tomcat 1.0에 어떤 기능이 없어서 레거시로 패치를 붙여서 잘돌아갔습니다. 그런데 2.0이 나와서 그 기능 만큼 좋은게 나왔어요. 그래서 기존 패치를 2.0에 적용하니까 어떤 디펜던시 때문에 안돌아가는 겁니다.

          그럼 1.0의 패치를 쓰는 게 좋나요. 어떻게든 해결해서 2.0 혹은 앞으로 3.0을 쓰는 게 좋은가요? 그건 각자의 취향의 차이겠죠.

          이야기를 다시 바꾸어서…
          현재 인터넷 뱅킹 시스템이 적어도 새로운 OS나 웹 브라우저 업그레이드를 저하하는 건 인정하시죠? 저도 불편해서 xp 다운그레이드해서 씁니다. 일반 사용자들은 ie7, ie8갔다가 ie6 돌아오고 firefox는 아예 엄두도 못내죠. (보다 훌륭한 보안 기능을 탑재하고 있는데도 말이죠.)

          그냥 activex나 악성코드가 자연스럽게 깔리는 상황에서 av 프로그램이 뱅킹쓸때만 열심히 막아주고 다른 사이트는 뚫리든 말든 신경안쓰면서 업글은 못하는 그런 상황이 좋은지 아니면 해외 처럼 이런것이 자유로운 시스템이 좋은지 기호에 따라 선택할 문제 같아 보이네요.

        • http://channy.creation.net Channy

          IE6의 유럽 평균 점유율은 15% 미만이구요. 전세계적으로는 22% 정도 됩니다.
          http://gs.statcounter.com/#browser_version-ww-monthly-200807-200903
          http://gs.statcounter.com/#browser_version-eu-weekly-200904-200913

        • http://openweb.or.kr youknowit

          NamX/
          Please excuse me for writing in English. Your replies were somehow filtered by Akismet. I reinstated some of them.

          Regarding emails sent by banks in Korea, the problem is this:

          Let’s say I am an attacker. I design a webpage which looks EXACTLY like Wooribank. I also deploy an ActiveX control which looks like signer-plugin, but it actually read the client’s private key and certificate and send both of them to me when the customer supplies corect password and click OK.

          When innocent customers click the link (or an attachment file) I sent out in an email, the customers will see what looks exactly like Wooribank homepage. The customers will be asked to install my ActiveX (I ask them to click “YES” when the security warning appears).

          Now I can RECEIVE the unsuspecting customers’ private key, certificate as well as private key password.

          All this, I can do with an HTTP connection because all Korean banks use HTTP connection.

        • http://dgtgrade.egloos.com NamX

          youknowit/

          피싱 사이트 개발 비용이 엄청나게 (정말 엄청나게) 증가할 것입니다. 수지 타산이 안 맞죠.

          id/pw+ssl 피싱 사이트 1,000개 만들때 저거 1개 만들 수 있을 지 궁금하네요.

          생각대로 가능할 수는 있겠으나, 그래서 그런 일이 실제로 얼마나 일어났는지? 현실성이 중요하다고 보니다만.

  • http://dgtgrade.egloos.com NamX

    1. 번에 대해 설명이 부족 한 듯 하여 추가하면…

    우리나라에서는 피싱이 근본적으로 힘듭니다. 왜냐면 1) 이 곳에서 그렇게 싫어하는대로 금융기관 등에서 “이상한 형태의 이메일”을 보내고 있고, 2) 로그인 시에 id/pw를 사용하지 않고 공인인증서를 사용하고 3) id/pw 얻는다 하더라도 별로 할 수 있는 일이 없기 때문입니다.

  • http://dgtgrade.egloos.com NamX

    아… 열심히 쓴 댓글 두개가 날아 갔는데요. 무슨 문제인지? –;

    그럼 그 댓글들은 언젠가 올라오길 기다려보고.

    Channy 님의 주장은 그러니까… 사회 공학적 피싱에 의한 피해는 기본적으로 보안과 무관한 문제이며… 카드 번호 만으로 결재가 가능해서 피해를 입는 것은 보상/보험 등으로 해결 하면 된다? 이렇게 정리할 수 있는 것인가요?

    그 주장에 대해 저는 동의하기 매우 어렵네요.

    • http://channy.creation.net Channy

      제 이야기가 어떻게 그렇게 요약되는지 잘 모르겠는데…

      NamX님이 애초에 해외 피해사례가 이정도인데 우리가 똑같이 가자는거냐라고 제시한 자료잖아요.

      해외의 피싱은 주로 이베이나 페이팔 타겟으로 되는데 우리 나라는 그렇게 타겟 되는 대상이 없습니다.

      우리 나라는 신용 카드가 대개 visa3d와 isp로 결제가 되잖아요. 카드번호 수집해도 온라인에서는 쓸모가 없습니다. 피싱이 비용 대비 효용이 없다는 이야기입니다.

      게다가 해외의 신용카드 피싱 문제를 국내 혹은 해외 인터넷 뱅킹과 연관지어 피해 규모를 똑같이 볼 수 없습니다. 예를 들어 우리가 actvex를 걷어내어 ssl로 한다고 해서 해외와 같은 피싱 피해를 입을거라는 건 상상속에 있는 이야기라는 거죠.

      해외 인터넷 뱅킹이 어떻게 이루어지는지 이미 moutie님 댓글을 보셨을 거고 그런건 피싱으로 “쉽게” 뚫리지가 않습니다.

      제 주장은 ssl 기반 으로 가더라도 오프라인 장치나 부인 방지를 위한 다양한 장치로 해외에서 빈번한 피싱 피해는 막을 수 있다는 겁니다.
      (해외 피싱 피해는 거의 대부분 신용카드 번호와 cvv로만 결제가되는 레거시 때문에 그런겁니다.)

      • http://dgtgrade.egloos.com NamX

        예… 아까 말씀하신 일본의 방식 같은 그런거 … 예를 들어 SSL + OTP + 패스워드 변경 등등으로 해 봅시다.

        제 생각에는 키로거 설치하고 며칠 지나면 뚫릴 것 같은데요?

        일단 거기에는(기술적인 면에서) 공감 하시는 건지 궁금 합니다.

        • http://channy.creation.net Channy

          OTP가 keylogger에 어떻게 뚫립니까? 기존에 은행에다가 부여한 Seed로 매번 만드는 암호코드인데… 그걸 재사용 못하는데.

          SSL+OTP+패스워드로 끊나는게 아니잖아요. 사용자들에게 이제 activex 함부로 깔지 말고 백신 프로그램도 사서 깔고 하는 보안 계도도 해야죠. 국민들이 학습된게 쉽게 바뀌겠어요?

          그리고 막말로 지금은 비 IE 사용자를 위한 접근성을 개선해 달라는 거니 모든 은행이 다 그렇게 할 필요도 없습니다. 한 곳만 그렇게 해주면 됩니다.

          지금은 아예 그런 정책적 선택조차 못하잖아요. 그걸 제도적으로 가능하게 하기 위해 금융당국이나 정부가 제도 개선하고 보안 업체가 위험하다고 떠벌리고 다니지도 말라는 이야기입니다.

        • http://dgtgrade.egloos.com NamX

          OTP MITM과 같이… 피싱 없이도 keylogger + 간단한 백그라운드 프로그램 (사용자의 OTP 입력 submit 지연…) 정도 만으로도 뚫을 수 있을 것 같은데요… 아닌가요?

          보안계도의 필요성에는 어느 정도 공감합니다만, 그런다고 사용자들이 정말 계도 될 것이라고 생각하지는 않습니다.

          은행의 접근성 개선은 비용이 크게 발생하지 않는다거나, 인터넷 뱅킹을 공공 서비스로 본다는 사회적 합의가 있다면 저도 찬성 하겠습니다. 그런데 아직 우리 사회에서는 그러한 합의가 어려울 듯 합니다. 예를 들어서 인터넷 뱅킹 이전에… 일단 인터넷 회선 조차 수익성을 이유로 설치가 안 되는 곳조차 있는데요.

          • youknowit

            NamX/
            I am genuinely curious to see how you can by-pass SSL/TLS.

            I set up a most basic authentication requirement at https://ms-class-action.net/class/bank/

            If you are ready to demonstrate how an attack can be made, please let me know. I shall then attempt to login at the time you designate (I will also let you know my ip address) and try to make a transfer of 1000KRW.

            You can then do what you can and show us that you have successfully changed the amount to 100,000KRW.

            Once you show us that this basic authentication can be easily broken, we shall set up a more sophisticated authentication and see how things go.

          • http://dgtgrade.egloos.com NamX

            SSL은 피싱/키로거 방식의 MITM 대해 현재의 ActiveX+공인인증서 방식에 비해 취약하다고 얘기한 겁니다~~~

            그리고 그 방법에 대해서는 너무나 많은 기술 자료들이 웹에 널리고 널려 있으니 제가 굳이 다시 말씀 드릴 필요는 없겠네요~

          • mountie

            Client Cert enabled SSL의 경우라면 구조는 기존 ActiveX방식과 비교하여 취약하다고 볼 수 없겠는데요.
            Man In The Middle Attack이 가능한 구조는 일반 Server Side SSL인 경우이고
            ClientCert가 활성화된 SSL Session이라면
            ActiveX+공인인증서 방식처럼
            클라이언트측의 공인인증서가 필요하며
            단 ActiveX의 경우 \\Program Files\NPKI folder등에 저장하는데 반해
            Client SSL의 경우 공인인증서를 브라우저내장 KeyStore에 두는것이 다른점이지요.

            저장위치나 접근방식의 안정성에 대한 논의는 뒤로 하더라도.

          • http://dgtgrade.egloos.com NamX

            mountie/

            죄송합니다만, 저장위치나 접근방식의 안정성에 대해 지금 논하면 안 될까요? –;

            은행들, 심지어 뉴스/신문에서조차 공인인증서는 USB에 넣고 다니라고 할 정도로 “공인인증서는 USB에~”가 강조되고 있는 상황인데요…

            말씀 하신 방식에서도 브라우저가 그거 잘 해 주려나요?

          • dasony

            저장위치에 대한 부분은 KeyStore 사용에 어려움을 가질 분들을 위해 ActiveX 또는 Application 기반으로 관리툴을 제공하면 되지 않을까요. USB에 있는 Client Certificate로 로그인할 수 있도록 하는 플러그인을 개발하면 되겠지요. 파폭이나 리눅스 등 “마이너” 제품 사용자는 불편함을 감수하면 되니까요. 핵심이 되는 부분은 표준으로 하고, 사용자 편의나 추가적인 보안은 그 겉에 감싸주는 방향으로 가는 것이 옳다고 생각합니다. 최고의 보안은 누리지 못하더라도, 아예 사용하지 못하는 일은 없을테니까요.

          • mountie

            저장위치를 비교해봅시다.

            1. 공인인증서가 보안1등급 보안 USB에 저장된 경우.
            보안 USB를 읽기 위해서는 Driver가 필요합니다.
            보안 USB를 USB Port에 넣으면 Driver(OS별로 다양하게 존재하죠)를 거치고 PKCS#11 device로 인식됩니다.
            이것을 브라우저에서는 Browser KeyStore에 올려서 Client SSL구성시 사용될 수 있도록 제공합니다.
            ActiveX에서도 이걸 읽어들여서 보안세션을 생성합니다.
            동일한 수준의 보안을 제공하지만 브라우저 확장성에서는 브라우저 내장 KeyStore에서 다루는것이 훨씬 유리합니다.
            보안 USB에서는 Private Key는 절대 Export되지 않는 구조가 일반적입니다.

            2. 공인인증서가 일반 USB에 저장된 경우
            기존 ActiveX에서 사용되는 저장형태는 Private Key와 Public Key를 분리하고 Private Key는 SEED로 암호화합니다.
            이걸 ActiveX에서 읽어들여 사용합니다.

            일반 USB의 공인인증서 저장포맷은 PKCS#12(.pfx)가 타당합니다.
            이때 Private Key는 3DES로 암호화할 수 있고 이건 전자서명법에서 허용하는 2개의 암호 알고리즘(SEED, 3DES)중 하나입니다.
            일반 USB에 공인인증서가 PFX format으로 저장된 경우에는

            Client SSL Session을 위해서 유저가 브라우저의 KeyStore로 불러들인 이후 나머지 과정은 동일하게 사용할 수 있겠지요.

            FormSigning을 위해서는 Sign할 대상이 정해지면 서명할 KeyPair을 유저가 명시적으로 지정하는 과정(인감 도장 꺼내기)을 거쳐 전자서명을 할 수 있습니다.

            절차는 거의 동일하다고 생각됩니다.

            PFX 포맷으로 저장하는 방식은 기존 ActiveX Control에서도 지원합니다.
            대부분 인증서 복사(*)하기를 사용하는데 인증서 내보내기(*)를 사용하면 3DES로 개인키가 암호화된 PFX file이 생성됩니다.

            3. 공인인증서가 Program Files\NPKI folder에 저장되는 경우
            는 기존 ActiveX 방식에서만이죠.
            가장 문제되는 부분이 여깁니다.
            여기 접근하기 위해서 보안 강화된 모드에서는 관리자 권한이 필요합니다.
            폴더이름이 너무 유명하여 공격자가 PC에 침입하면 먼저 뒤져보는 곳도 여기지요.
            브라우저 내장 KeyStore의 경우는 이런 경우에 대한 충분한 시험 및 테스트를 거쳐 안전하게 보호됩니다.

            이 경우의 안전성은 더 말할 필요가 없다고 생각합니다.

          • 일반유저

            NamX님 그냥 논의를 하지않는게 좋을듯합니다 어차피 여기서 오해가 풀리더라도 최종 금결원이나 금감원에서 바꾸지않는다면 그것은 그냥 타자연습한거에 지나지않습니다

          • http://dgtgrade.egloos.com NamX

            mountie/

            만약 그렇게 하는 경우,

            현재 브라우저들이 USB에 있는 인증서를 KeyStore로 올릴 때, “반영구적으로 저장” 하지 않고 “메모리에만 올리는” (또는 최소한 디스크에 넣었다가도 사용후에는 지우는 정도로) 방식을 지원 하나요? 잘 몰라서 드리는 질문입니다.

          • 일반유저

            NamX님 전문가라매요 님이 더 잘알듯싶네요

          • mountie

            보안1등급 USB는 PKCS#11 표준을 지원하는 장비입니다.
            PKCS#11은 물리적으로 Private Key를 보호하기 위한 세계적 표준입니다.
            매우 많은 소프트웨어들에서 지원합니다.
            제가 언급한 브라우저 내장 KeyStore뿐 아니라 기존 ActiveX도 이 표준에 맞춰서 접근하지요.
            인증서의 Private Key는 USB 밖으로 나가지 않습니다.
            지울 필요가 없습니다.
            USB를 뽑는게 지우는겁니다.

            나머지 경우는 그냥 일반적인 이해범위내이고
            브라우저 내장 KeyStore의 안전성에 대해서는 브라우저 관계되신분들이 구체적 도움이 필요하군요.

          • 일반유저

            그래서 님이 말한게 안전하다는 말이네요 이상한점은 여기에 영어로 글을 다는 분이 계시던데 왜 그런가요? 혹시 외국인입니까?

          • 제로원

            왜 댓글을 지우십니까.. 심히 기분이 나쁘네요..

          • 이미지복구솔루션

            제로원//님 님 글이 사라졌습니까?

          • http://dgtgrade.egloos.com NamX

            mountie/
            음. HSM 기본이 temporary load 인가 보군요. 생각해 보니 당연한데 우문이었던 듯 하네요.

            그런데 말씀 하신대로 HSM은 지금도 ActiveX UI를 통해 쓰고 있는 것이긴 한데요.

            현재 방식의 경우 로그인 화면에서 “쉬운 UI”에서 공인인증서 선택 해서 암호 넣으면 끝나잖아요?

            IE/FF 등이 제공하는 UI가 일반 사용자들이 쓸 수 있을까요? … 어렵지 않을까 싶은데… 흠…

          • dasony

            mountie님이 안돌아오시네요. 저는 HSM이나 PKCS#11은 안써봐서 모르겠습니다만, PKCS#1은 공인인증서나 마찬가지로 인증서 목록에서 선택하면 끝나던데요. 정 어렵다고한다면 윈도/IE용으로라도 activex 등으로 ui wrapper를 만들면 되지 않을까요? 파폭이나 리눅스 진영에서는 정 불편하면 알아서 적당한 ui를 만들어 낼 것이고요. ^^;

          • http://dgtgrade.egloos.com NamX

            mountie/

            아, 그리고 이 사이트 기능이… 토론하기 참 어려운데… 암튼 얼마 전에도 플러그인 방식 vs. SSL 방식에 대해 바로 여기서도 얘기가 오간 적이 있습니다.

            http://openweb.or.kr/?p=1073#comment-24111

            참고 하시고요~

          • 이미지복구솔루션

            NamX님도 수고하십니다 편안한 밤되세요

        • http://channy.creation.net Channy

          피싱 이야기 하다가 갑자기 키로거 이야기하시니 ㅎㅎ

          사회적 합의 원하지도 않습니다. 선택 가능하게만 해달라는 거죠.

      • http://dgtgrade.egloos.com NamX

        webroot 쪽에서 나온 전세계 Spyware 감염율 통계입니다.

        논의에 참고가 되길 바라며, 여러분들께서 이러한 통계들을 찾아 주시고 올려주시면 논의에 많이 도움이 되리라 생각 합니다.

        http://www.webroot.com/resources/stateofspyware/excerpt.html

    • http://dgtgrade.egloos.com NamX

      아니요.

      피싱으로 하면 OTP 더 쉽게 뚫습니다. OTP 취약성 관련하여 제일 자주 나오는 예가 그 얘니까요. 말씀 분명히 하셔야 합니다. 분명히 여기서 얘기하는 SSL+OTP 만으로는 보안이 확실하지 않으며 AV, 키로깅 방지등 또한 분명히 필요한 솔루션이라는 것을 분명히 말씀 해 줏셔야 합니다.

      그렇지 않다면 이곳에서 현재의 보안 시스템의 창과 방패에 대해서 이해가 부족하여 여러가지 오해가 발생 하고 있다고… 저는 그렇게 이해 하고… 그만 접겠습니다.

      • http://channy.creation.net Channy

        그렇게 이야기하면 인터넷 상에서 입력하는 거 중에 안뚫리는게 어디있습니까? 저도 SSL이든 AV든 키로깅 방지등 이게 다 분명히 필요한 솔루션이라고 생각합니다.

        단지 IE를 통해야만 하는 activex 같은 방식으로 강제적으로 배포하거나 실행하지 말라는 겁니다. 그래야 선택 가능하지 않겠습니까?

        • http://dgtgrade.egloos.com NamX

          예. 그럼 AV, 키로깅 방지 (공인인증서까지?) 등의 필요성에 대해서 서로 같은 의견인 것 같네요.

          그런데 왜 ActiveX로 강제로 배포/실행 하냐? 저는 스스로 컴퓨터를 관리할 줄 모르는 90% 이상 대다수의 사용자들을 위해서 그런다고 생각합니다. Channy 님 의견은 다음 중 무엇인가요?

          1) 그 대다수 사용자들에게도 그걸 강제로 해서는 안 된다.

          2) 그러나 컴퓨터를 스스로 관리할 줄 아는 사람들에게까지 그렇게 해선 안 된다.

          감사합니다.

          • mountie

            2007년도에 개인적으로 금감원에 민원을 제기한적이 있습니다.
            시행세칙 29조에 적혀있는 “유저 선택권”을 제가 사용하고 있는 은행에서 부여하고 있지 않는데 불법이 아니냐는 내용이었고
            금감원의 답변은 유저선택권의 부여 여부는 전자금융업자가 알아서 결정할 일이라고 답변주었습니다.
            즉 은행같은 전자금융업자가 맘먹으면 유저의 보안프로그램 이용 선택권을 부여할 수 있다는 것으로 이해하였습니다.

            유저는 우리가 생각하는것 이상으로 훨씬 똑똑하고 능동적입니다.
            또한 인터넷 뱅킹등의 전자금융 서비스 이용의 보안에 대해서도 매우 민감합니다.
            더 낳은 보안방식을 선택할 기회를 부여한다면 유저는 은행에서 제시하는 보안방식들과 자신이 알고 있는 보안방식을 조합하여 최선의 선택을 할것이 분명합니다.

            위의 질문에 대해서는 저는 2번입니다.
            우리가 지금 이야기하는 것은 현재의 인터넷 뱅킹이나 공인인증 체제를 깨부수자는 것이 결코 아닙니다.
            조화로운 공존을 모색한다면 유저의 선택권을 확장하고 활성화하는것이 국가 전체적으로는 보다 더 안전할 수 있다는 믿음이 있습니다.

          • 일반유저

            금감원은 은행들이 필요에 의해서 만든 단체일뿐입니다 공기업이 아닙니다 그래서 금감원이 은행에 강제하면서 금감원은 은행에 강제한적이 없다고 발뺌할 근거를 다 만들어놓고 하는거라서 더 짜증납니다 ActiveX를 쓰라고한거는 금감원입니다 은행은 그거보고 썻고요 은행이 업체에게 그렇게 말했고요 업체는 자신들의 짭잘한(사기?) 이익을 위해서 악용하였고요

          • T. K.

            ‘일반유저’님// 말씀하신 은행들이 만든 단체는 금융’결제’원입니다. 오픈웹의 민사소송 상대도 거기고요. mountie님께서 민원을 제기하신 금융감독원은 정부기구가 맞습니다.

          • http://dgtgrade.egloos.com NamX

            예. 2번으로 답 하셨다면 다음 질문이 있습니다.

            일단 그런(스스로 보안을 관리할 수 있는) 사용자는 아무리 크게 잡아도 10%도 안 된다는 점은 동의 하시리라 믿고요… (성인의 10%면 최소 2백만 이상인데… 당연히 안 되다고 동의 하시리가 믿고요…)

            다음 질문은…

            1) 은행을 공공 서비스라고 생각 하시나요?

            2) 만약 은행이 공공 서비스라면 리눅스+파폭 정도 지원해 주면 되나요? 아니면 어떤… 우리나라에 딱 100명이 쓰는 듣보잡 OS가 있다고 할 때 그것도 지원해줘야 하나요? 지원 안 해줘도 된다면 리눅스를 지원해야 하는 근거는 무엇이고, 그걸 지원 안 해줘도 되는 근거는 무엇일까요?

            그냥 이건 질문입니다. 서로 이런 “배경 인식”, “가치관” 등의 차이를 알기 위한 질문이고요. 이걸 알아야 토론 진행이 효율적일 것 같아서~

          • http://dgtgrade.egloos.com NamX

            아, 그리고 mountie 님은 2번이라면… “지금의 체계를 깨 부수자는 게 아니다…” 예 저도 그렇게 이해 하겠습니다만, 여기 youknowit 님 포함하여 다른 많은 분들의 주장은 다소 다른 것 같습니다만… “조화롭게” 보다는 “깨 부수자”에 분명 가깝게 들립니다. 겉으로만 그런 건지… 제 오해인지…

          • 일반유저

            그렇나요? 금결원이 은행들이 만든거였네요 아무튼 그 은행은 ActiveX아니면 보안이 안되는줄알아여 ㅉㅉ

  • http://dgtgrade.egloos.com NamX

    테스트… 왜 댓글이 안 올라갈까요???

    이것만 올라가면 대략 난감. ㅋ

  • http://dgtgrade.egloos.com NamX

    위 1번에 대해 질문 나올 것 같아 부가 설명 드립니다.

    제 생각에 우리나라에서 피싱 피해를 입을 수 없는 이유는 Channy 님 생각과 전혀 다릅니다.

    1) 일단 메일을 받았을 때 피싱 메일과 은행 메일이 다릅니다. 이 곳에서는 그 메일을 무지 싫어하지만.

    2) 여하튼 메일을 클릭 해서 피싱 사이트로 갔다 하더라도, 우리나라에서는 피싱 사이트와 금융권 사이트가 구분 가능합니다. 피싱 사이트는 id/pw 를 요구하지만 금융권 사이트는 보통 공인인증서로 로긴 하기 때문입니다.

    3) 마지막으로 피싱 사이트에서 id/pw 얻어봐야 그 다음으로 할 수 있는 일이 없습니다.

    저는 이것이 공인인증서 등이 피싱을 방지 한다고 봅니다만… 그렇지 않은지요?

    • youknowit

      NamX said: “우리나라에서는 피싱 사이트와 금융권 사이트가 구분 가능합니다. 피싱 사이트는 id/pw 를 요구하지만 금융권 사이트는 보통 공인인증서로 로긴 하기 때문입니다.”

      You are too honest… Attackers are not.

      • http://dgtgrade.egloos.com NamX

        제가 다른 글에서 밝혔듯 피싱 사이트에 공인인증서를 요구하는 것은 피싱 사이트 개발 비용이 매우 증가하게 된다는 뜻입니다. 그 댓글에 대해 답 주시면 감사하겠습니다.

        • youknowit

          Please excuse me for writing in English. I am staying at a place where I cannot have access to Korean Input Method (I cannot install it to the computer I am allowed to use.)

          An attacker does NOT have to provide a plugin which has the cryptographic functionality or signing capability. All that is needed is this:

          1. POST the password entered by the user
          2. POST the certificate AND the private key chosen by the user.

          The server (the attacker) will receive the user’s certificate, private key and private key password. In return, the server (the attacker) will simply give an error message, saying “Wooribank [or whatever bank] is currently experiencing a techinical problem. Please try again later.”

          How expensive or difficult is it to write up an ActiveX plugin which “looks like” a signer plugin, but actually does no more than simply “send (POST)” the password, the certificate and key files to the server (attacker)?”

        • http://dgtgrade.egloos.com NamX

          해당 ActiveX Plugin은 최소한 USB에서 공인인증서 정도는 읽어줘야 하겠죠?

          일반(흔한) 피싱 사이트의 경우 id/pw+ssl의 경우에 사용자와 은행의 통신을 가로채서 은행과 통신을 하면 됩니다만, 위 플러그인은 은행과 통신을 할 수 없겠죠?

          그럼 은행과 통신조차 못하는 플러그인이라면 사용자로부터 그 이상 무엇을 얻어낼 수 있나요? 결국 최종적으로 돈은 어떻게 빼낸다는 시나리오인지요?

        • youknowit

          1. Phishing sites do not aim to “intercept” signals between a client and a bank. Phishing sites merely pose as a bank and receive the information keyed in by a client. The attacker then uses the information to login as the client.

          2. Korean banks require more than certificate login. For money transfer, banks require a combination of OTP (“Bo An Card” numbers) from the client. So, in reality, an attacker needs to know the particular client’s “Bo An Card” details as well as the certificate and private key password.

          3. Key-loggers cannot get the “Bo An Card” details either (unless the attacker monitors the client’s “Bo An Card” input data over a very, very long period to reconstruct the full combination of a client’s Bo An card).

          4. I think that forcing bank customers to install anti-keylogging software is largely a pointless exercise because key-logging alone is not a realistic means of guessing the Bo An Card” combination of a particular client.

        • http://dgtgrade.egloos.com NamX

          1.
          피싱 사이트가 착한 놈(고객)나쁜 놈(크래커)으로 통신을 끝낸 후 나쁜 놈은행 통신을 할 수도 있지만 이 방법 만으로는 말씀 하신 보안 카드 문제를 뚫기 어렵습니다.

          따라서 피싱 사이트 제대로 만들어서 돈 빼내려면 착한 놈나쁜 놈은행으로 통신 하도록 해야 합니다.

          단순 id/pw+SSL 조합의 경우 이게 비교적 쉽습니다만, 공인인증서 용 ActiveX 등이 중간에 끼기 시작하면 문제가 상당히 복잡해지죠.

          데스크탑까지 따고 들어가지 않은 상황에서는 가능할지, 불가능할지는 아직 정확히 모르겠고… 여하간 분명 비용 차이는 크다고 봅니다만.

          2.
          키로거의 경우 말씀 하신대로 1주일에 한 번도 이체를 하지 않을 대부분의 사용자를 대상으로는 별 효과를 보기 어렵겠습니다.

          그러나 하루에 10번 이상씩 그런 일을 하는 사람들의 경우 충분히 짧은 시간 내에 보안 카드 내용을 아주 많이 알아낼 수 있으리라고 생각합니다.

        • http://dgtgrade.egloos.com NamX

          방금도 댓글 하나가 날아갔어요. 흑. 다시 씁니다. TT

          3.
          youknowit 님께서 주장하시는대로 공인인증서를 쓰는 대신 아이디+패스워드 체계를 쓴다면 그야 말로 피싱도 필요 없고 키로거 만으로 손쉽게 아이디+패스워드 조합을 얻어낼 수 있겠습니다. 그런데 어찌 키로거 방지 소프트웨어가 불필요하다는 주장을 하시는지요? 그건 보안카드에 한해서 하시는 얘기인지요?

        • http://openweb.or.kr youknowit

          Yes, I agree with you that “id/pass over ssl” is not a safe solution.

          My point is that “certificate + ActiveX plugin” is not a safe solution either. It is just as easy to break it.

          The additional safeguard is provided by OTP (Boan card is a kind of OTP). How easy or difficult to reconstruct Boan card combnation, does not depend on whether certificate is required or not.

          Open Web’s position is simply that certificate+ActiveX do not provide any superior protection compared to SSL. In fact, certificate+ActiveX present far more potential dangers because users are required to install programs offered by the server (hostile or benign), and users will acquire a habit of saying “Yes”.

          SSL does not require installation of ANY additional software. Users can thus develop a habit of saying “No” to any attempt of a server to install a program on a client’s workstation.

        • http://openweb.or.kr youknowit

          My position is that “SSL is a better alternative”. I do not mean that “ID/password over SSL” is sufficient.

          I think “OTP+SSL” is a satisfactory solution.

          Whether to use a certificate has no relevance to “connection security”. Even if a certificate is used, it is just as easy to get around it.

          OTP is not as easy to get around.

        • http://dgtgrade.egloos.com NamX

          0.
          방금 전 토론에서는 분명 공인인증서+ActiveX 방식이 최소한 피싱을 어렵게는 한다는 결론이 나왔습니다. 그런데 그것이 “do not provide any superior protection” 이렇게 주장하시면 안 된다고 생각 합니다.

          제가 다른 댓글에서 말했듯 해외의 피싱 피해 규모는 우리에 비해 어마어마 합니다.

          1.
          OTP 또한 OTP MITM 방식에 취약하다는 얘기가 나온지 이미 오래입니다만… 그 문제는 어떻게 풀어야 하는지요?

          2.
          Yes 문제에 대해서는 앞서 다른 댓글에서 얘기한 대로 답 부탁 드립니다. 여기서 다시 쓰면 다음과 같습니다.

          1) Fireforx, Google Chrome, Adobe Acrobat 다운로드 안내 페이지에도 “Save”, “Run” 강요 한다.

          2) Setup.exe 방식등 다운르도 방식으로 바꾸더라도 “노란줄” 뜨고 “Yes” 눌러야 한다.

          3) 결국은 사실 웹에서 받은 어떤 프로그램이건 “Yes” 눌러야 한다.

          4) 어느 사이트건 사이트 가입 하려면 “Yes” 습관적으로 눌러야 한다.

          3.
          키로거를 통한 아이디+패스워드 얻어내기에 대해 답을 하지 않으셨습니다. 왜 키로거 방지 소프트웨어가 도움이 되지 않는지요?

        • http://openweb.or.kr youknowit

          0. My position is that “certificate+ActiveX” does not make it any more difficult for an attacker. If anything, “certificate+ActiveX” method makes it even more easier for an attacker to have a fuller access to a client machine because, clients are required to say Yes to installation of a program offered by a server (hostile or not).

          1. “Certificate+ActiveX” does not make MITM attack any more difficult, either.

          2. Please refer to this comment.

          3. Anti-keylogger is useful only to the extent that it makes it more difficult for an attacker to snatch id/password. But if password is implemented using OTP, there is no point in having anti-keylogger.

          Additional security is provided by OTP. You do not need ActiveX control to implement OTP.

          “Boan Card” provides a kind of OTP. Usually, a Boan Card has 32 entries. Two entries are required for each transaction. There are 32X31 possible combinations (order matters). I do not see how an attacker can guess the full combination of Boan Card entries merely by monitoring 20 or 30 instances. Moreover, an attacker which relies only on a keylogger will have no idea about which two entries are requested for a given transaction. You need actually to see the screen.

        • http://dgtgrade.egloos.com NamX

          1. 저는 youknowit 님도 이미 공인인증서가 피싱 사이트 개발 비용을 증가 하게 하는데 대해 동의한 줄 알았는데 어느 부분에 공감을 못 하는 건지요? 무슨 근거로 공인인증서가 있더라도 피싱 사이트 개발 비용이 동일하다는 건지 알수 없군요.

          2. ActiveX로 하더라도 노란줄 뜰 때 Yes 누르기 전에 설명할 수 있습니다. 교수님께서야 말로 실제로 화면을 보실 필요가 있는 것 같습니다만…

          3. 그렇다면 말씀하신 id/pw+ssl 방식이 로그인 때부터 OTP를 사용하는 것을 말씀 하신 것이군요? 저는 이체 등을 할 때 OTP를 쓰는 걸 말씀 하신 줄 알았는데… 음… 아무튼 간에 OTP든 보안카드든 “프락시 피싱” 방식의 MITM에는 대책 없습니다. 단 몇 번 만으로도 보안카드 조합을 금방 알아 낼 수 있죠. 왜냐면 보안카드 몇 번째 엔트리를 입력하라고 요청이 오고 가는 것을 다 볼 수 있끼 때문입니다.

          저는 같은 질문을 계속… 여러번 반복 하고 있는데 제 질문을 이해를 못 하신건지… 제가 이해력이 부족한 건지. 아무튼 저는 시원한 답을 듣지 못 한 것 같네요.

        • http://openweb.or.kr youknowit

          1. A “hostile” ActiveX which poses as a genuine signer ActiveX plugin is easy, inexpensive and quick to make. It only needs to read the certificate+private key and POST them with the password. It need not decypher the private key. You will receive the files (certificate + private key) and the password for the private key from the victim.

          2. I prefer the Bank of China’s method. It can provide much more complete explanation and information.

          3. Anti-keyloggers cannot provide protection for MITM attack. Are you suggesting that anti-keyloggers can reduce the risk of MITM attack?

          “Certificate+ActiveX over HTTP” does not reduce the risk of MITL attack, either. It is so easy to make a “fake” activex plugin which only POSTS the files and the password value typed in by the client.

          My position is that “client certificate authentication + OTP over SSL/TLS” is the superior solution. You don’t need ActiveX to implement “client certificate authentication” (web-browsers already have this capability) or OTP.

          ActiveX should be ditched altogether: it does not provide any added security and it only “increases” the risk by requiring the clients to install new program offered by a server.

        • http://dgtgrade.egloos.com NamX

          죄송하지만… 또… 제가 납득하기 어려운 답변이시군요. 제가 똑같은 얘기를 너무 여러 번 하게 하시는 것 같아서… 제가 설명을 잘 못 하는 건지… 아무튼 이제 이 부분 얘기는 지쳐서 그만 하렵니다. 제가 youknowit 님과 의견 일치를 보지 못 하고 끝내서 매우 아쉽네요. –;

      • http://dgtgrade.egloos.com NamX

        그리고 토론의 자리에서 “You are too honest…” 이런 언행, 게다가 그 근거도 설명이 없는… 그런 말은 삼가해 주시기 바랍니다. 불쾌 합니다.

        이 사이트에서 토론을 하고 싶은 생각이 있는 건지요? 그저 본인의 주장만 하고 싶으신 건지요? 토론을 하고 싶은 생각이 없으시다면 저는 불청객이니 떠나도록 하지요.

        참고로 제가 올린 몇 가지 질문들에 별로 답을 듣지 못 한 것에 매우 섭섭해 하고 있습니다. 가능하다면 지금이라도 답 주시면 감사하겠습니다. 여러가지 있지만 대표적으로 다음 3가지에 대해서만이라도 부탁 드립니다.

        1. FF/Chrome/Adobe 등의 Yes 강요 문제
        2. 공인인증서와 피싱 사이트의 관계 문제
        3. 해외의 피해 사례 문제

        뭐, 저 또한 youknowit 님께서 답을 해 주실 의무가 있는 건 아니라고 생각합니다. 그저 제가 섭섭하다는 것.

    • http://channy.creation.net Channy

      NamX님,

      왜 한국에서는 피싱이 안되고 외국에서는 잘되냐? 외국에선 바로 피해가 가는 ‘신용카드/직불카드번호’를 쉽게 얻을 수 있어서 입니다. 그게 피싱 피해가 많은 이유죠.

      하지만 외국에서도 은행에서 돈을 빼가는 피싱은 쉽지 않습니다. 여러 가지 안전 장치가 있기 때문이죠. 우리 나라의 공인 인증서도 비슷한 역할을 한다는 건 인정합니다만, 신용카드 ‘피싱’ 피해 기사를 가지고 해외 인터넷 뱅킹 역시 엄청난 문제가 있는 것 처럼 이야기하시면 안된다는 이야기를 하고 싶습니다.

      솔직히 저보고 국내 인터넷 뱅킹 피싱 사이트 만들라면 금방 만들겠습니다. 공인인증 ui 껍데기 activex 콘트롤만 하나 만들면 금방이거든요. 사람들 은행 사이트라 생각하고 바로 설치할거고 인증서 공개키가 npki 디렉토리에 있기 때문에 그것만 읽으면 인증서가 뭐가 설치됐는지 다 보여 줄 수 있고 사용자가 그 중 하나 골라 암호 넣으면 마치 이체 결과가 나오는 것 같은 웹 페이지만 호출 하면 되거든요. 보안 카드 번호는 여러번 실패한 거 처럼 돌면서 몇번만 조합하면 다 얻어 낼 수 있습니다. 공인 인증서는 activex가 saving해서 저한테 보내 줄 수 있구요. 그럼 보안 카드, 인증서, 인증서 비밀 번호 다 얻어낼 수 있습니다.

      만약 이런 악성 activex 하나만 깔리면 모두 뚫리는 건 식은 죽 먹기죠. 문제는 악성 코드가 쉽게 안깔리는 환경을 만들어야 한다는 겁니다. 그게 악성 코드 방지 프로그램으로 막는게 아니라 뭐든지 할 수 있는 activex 플러그인이 쉽게 깔리는 환경을 막는게 근본 해법이라고 이야기 하고 싶습니다.

      지금 당장 Anti-virus 프로그램 배포를 중단하자는 게 아닙니다. 우선 비 ie/비윈도우 사용자에 대한 결합성을 없애서 뱅킹 접근성을 높혀주고 점차로 진행하는 로드맵을 짜자는 것이죠.

      우리 나라도 포털/게임 사이트 id/pw 같은 건 쉽게 피싱이 가능할 겁니다. 하지만 그것 보다는 키로거나 악성 코드로 수집하는 게 더 쉽습니다. 포털/게임 사이트 id/pw로 할 수 있는 경제적 이익 정말 많았습니다. 세이클럽에 계셔 봤으니 id로 캐쉬 도용, 아이템 거래 이런 거 잘 아실 거 같구요.

      해커든 은행이든 정부든 사용자 pc가 쉽게 침해 받는 환경은 결코 바람직 하지 않습니다.

      • 일반유저

        따라서 우리나라는 잘못된 보안의식을 가지고 있다가 되겠습니다 외국처럼해도 우리나라가 하는방식보단 훨씬 안전하다가 되겠어요

      • 외국해커

        우리나라에 공인 인증서가 안뚫리는 이유는 중국 해커들이 언어적 장벽으로 조런 activex 콘트롤 안만들기 때문인듯. 보안적 장벽이라기 보다는 언어적 장벽 ㅋㅋ 곧 나올 것 같은 예감이…

        • 일반유저

          우리나라에서 공인인증서 뚤렸답니다 저번에 은행보안사고 못 보셧어요? 멍청한사람이 자신의 pc에 공인인증서를 저장해 놧다가 그것마저 크래커에 의해서 해킹당해서 금융보안사고 낫다네요

      • http://dgtgrade.egloos.com NamX

        가짜 ActiveX를 통해서 사용자의 공인인증서와 비밀번호를 얻는 것까지 성공했다 하더라도 그 로그인 이후에 이체 화면까지 가는 동안 어떻게 사용자를 속이는 것에 성공하고, 여러번의 이체 시도까지 하도록 하겠습니까?

        그러려면 해당 피싱 사이트가 실제로 은행 사이트와 통신 하는 수 밖에 없는데 그것이 공인인증서와 ActiveX를 통한 통신을 할 경우에 단순히 SSL을 통해 통신 하는 것 보다 개발 비용이 엄청나게 클 것이라는 것은 쉽게 상상 가능 하겠습니다만…

        • 일반인

          그것은 MITM 과 유사한 공격으로 가능할 수 있습니다.
          즉, 개발비용이 ssl의 경우보다 엄청나게 크지 않고 비슷하다는 말입니다.

          • http://dgtgrade.egloos.com NamX

            어떤 MITM 방식을 말씀 하시는지요?

            일단 현재는 피싱과의 관계에 대해서 논의 중이라는 점 말씀 드리고요.

            여튼 님께서 주장하는 MITM은 PC측? 아니면 프락시 형식? 아니면 단순 피싱? 상세히 설명해 주시면 고맙겠습니다.

            PC측 말씀이라면, 예. 그래서 AV가 필요하고 Anti-Keylogger가 필요하다는 말씀이 됩니다만.

      • http://dgtgrade.egloos.com NamX

        그리고 하나 더 질문 드리자면 계속 신용카드와 인터넷 뱅킹을 구분하여 얘기 해야 한다고 주장 하시는 이유는 국내에서 신용카드 결제에 사용되는 공인인증서 및 ActiveX 시스템은 여기서 논의 되고 있는 “보안”의 영역에서 다루고 있지 않는 사항인지요?

        또한 같이 본 가이트너 자료에 따르면 은행 계좌에서 돈을 빼간 경우도 상당한 비율이긴 했습니다만…

        • http://channy.creation.net Channy

          NamX님 주장에 따르면 해외에서도 ActiveX를 쓰면 피싱이 현격이 줄텐데 걔들은 바보라서 안그러는 건가요?

          신용카드에 있어 우리 나라가 해외와 다른 점은 activex 때문이 아니라 우리 나라가 통제 국가(?)라 해외와 달리 전 신용 카드사 서버가 카드번호+유효기간+(CVV) 이외에 2차 인증을 하고 있기 때문입니다. 다 까라면 까는 상황이 뭐 나쁘다는 건 아닙니다.

          BC/국민은 ISP를 나머지 카드사는 visa3d를 쓰는데 이들이 ssl 방식을 이용한다는 사실은 알고 계시죠? ISP의 경우 activex dependant하기 때문에 activex는 배포를 원활하게 하기 위해 브라우저 콘트롤에 껍데기를 씌운 것에 불과합니다. 이또한 간단한 activex 껍데기를 통하면 피싱은 어렵지 않겠죠.

          왜 해외 해커가 우리 나라에서 피싱으로 돈을 안뜯느냐 하면 피싱 보다 좀비 PC를 만들어 스팸메일 보내는 게 돈 뜯는거 보다 쉬워서 그런겁니다. 또한 개인 정보 수집해서 돈 받고 파는 게 더 쉽구요. 경제적 효과가 입증 되면 국내에서 카드든 뱅킹이든 뚫리는 건 쉽죠.

          • http://dgtgrade.egloos.com NamX

            Channy: “해외… 걔들은 바보라서 안 그러나요?”

            이 부분에서 할 말을 잃었습니다. 이런 말씀이 지금 기술적 토론을 하는 자리에서 할 말씀입니까?

            예. Channy 님 말씀대로 신용 카드사들끼리 다 까라면 까는 상황이라 오직 그 이유로 안전하다고 합시다. (저는 그것때문에 훨씬 더 안전해진다는 것에 당연히 동의합니다.) 그리고 그게 나쁘다는 건 아니라는 말씀이죠? 저는 그와 똑같이 현재 우리나라 사용자들은 정부가 까라면 까는 (물론 저는 절대 이런 거친 말투로 표현하고 싶지 않습니다만, Channy 님 표현을 계승하자면) 상황으로 가고 있어서인지, 아니면 보안업체 때문인지, 은행 때문인지 몰라도 어쨋건 해외와 다른 상황인데, 훨씬 더 안전하다는 겁니다. 최소한 그건 인정하고 얘기를 해야 한다는 겁니다.

            그럼 정부가 국민 상대로 그렇게 까라고 하는게 좋은거냐? 그건 또 다른 문제로 논의해야 하는 거고요.

            마지막으로 자꾸 국내도 뚫리는 거 “쉽다” “쉽다” 하시는데 물론 완벽한 보안 시스템이란 것은 없습니다만, “비교적 쉽다”, “비교적 어렵다”는 것은 구분을 해야지요.

          • http://dgtgrade.egloos.com NamX

            그리고 Visa3d건, ISP건 우리나라에서는 30만원 이상은 공인인증서 사용 의무가 있지 않습니까?

            카드번호/유효기간/CVV 그건 모두 텍스트 데이터고, 말씀 하신대로 ActiveX와도 별 관계 없죠.

            그러나 결국 30만원 이상은 공인인증서+ActiveX 체제라는거. 이게 핵심 아닌지요?

          • http://channy.creation.net Channy

            결론적으로…

            NamX님은 국내 “공인인증+AV”을 ActiveX로 제공하는 방식이 해외의 “SSL 방식+OTP+ 2차 비밀번호 (일반계정이용+Standalone AV)” 보다 안전하다는 의견을 가지신 걸로 알겠습니다.

            저는 기본적으로 그 두 방식의 보안 비용은 비슷하다는 생각이구요.

            단, 저는 ActiveX 방식 혹은 관리자 계정으로 이용을 사실상 강제하는 것 때문에 국내에서 Vista 나 최신 웹 브라우저 업그레이드가 어려운 상태이고 이는 장기적으로 보안 비용을 훨씬 높일 것이라는 생각입니다.

            금융 거래 보안은 어느정도 막고 있는지 몰라도… 다른 한편으로 국내 좀비 PC 비율이 해외에 월등히 많은 것도 이런 원인 중 하나니까요. 또한, 결국 이것은 금융 거래 보안에도 해악을 끼칠 것이라고 생각 합니다.

            이쯤해서 입장차만 확인하고 토론을 끝내는 게 좋겠네요 ^^

          • 일반유저

            답변해봐야 손가락이나 사람 열받기만 더 하겠습니까? 보니 알바이거나 악덕업체관계자같네요 특히 NamX요

          • http://channy.creation.net Channy

            일반유저님,
            NamX님은 국내 초기 인터넷 서비스 도입 시 훌륭한 기술을 선구적으로 사용했던 개발자 중 한 분입니다.

            비록 의견차가 있다고 해서 함부로 사람을 깔고 뭉게는 건 좋지 않은 습관입니다. 이런 것 때문에 오픈웹이 욕먹을 수 있다는 것도 기억하세요.

            기술적 토론이 중요한 이유는 서로간의 입장차를 확인하면서 쟁점을 도출해 내고 향후 문제점 보완에도 도움을 주기 때문입니다.

          • 일반유저

            진짜에요? 그러면서 저런 이상한소리를 하시는건 뭔가요? 진짜 개발자라면 어느정도 공감은 되도록 말하셔야지 왜 이렇게 말이 안 통합니까? 그 님이 위에 시키는 사람에 의하여 세뇌가 되었나봅니다

          • http://dgtgrade.egloos.com NamX

            아니요.

            제 의견을 오해 하시고 계셔서 정리 해 드립니다.

            현재의 방식 “SEED+공인인증+OTP+AV+Anti-Keylogger”가 최소한 “id+pw+SSL+OTP” 보단 낫다는 얘기입니다.

            말씀 하신 “SSL+OTP+2차비밀번호+AV”까지 가면 많이 유사해 지지요. 하지만 여전히 (1) AV는 관리자 권한으로 돌아야 하며, (2) 그 AV는 누군가 깔아야 합니다.

            그리고 Win Vista 비율은 국내 인터넷 뱅킹 방식과 별로 인과 관계가 없어 보입니다. 통계를 보십시오. 주로 잘 사는 – 돈 많은 나라들이 Vist 보급율이 높습니다. 우리 보다 못 사는 나라치고 Win Vista 비율이 우리보다 높은 나라 찾기 어렵네요.

            국내 좀비 PC 비율이 해외에 비해 월등히 높다는 것 또한 근거가 무엇인지요? 근거 자료 부탁 합니다.

            저는 지난 번에 아래와 같이 전 세계 “감염” PC 비율에 대한 근거를 올렸습니다만…

            2006년, 각국의 SpyWare 감염 비율, webroot:
            http://www.webroot.com/resources/stateofspyware/excerpt.html

            몇 가지 발췌:
            - Webroot spyware scan data shows that 89 percent of consumer PCs are infected with spyware. U.S. home computer users are infected with an average of 30 pieces of spyware on their PCs.
            - A Bank of America customer lost almost $90,000 when a Trojan horse captured his password and login information. Bank of America denied responsibility and has refused to reimburse the customer for his loss.
            - This increase in Internet spyware infections suggests that although home computer users are adopting anti-spyware programs, they are choosing inadequate programs to protect their computers or not keeping their programs up-to-date.

          • 일반유저

            저는 백신안쓰고 운영체제최적화시키고 디스크조각모음한뒤에 Returnil Virtual System을 사용합니다 좋은거죠? 방화벽은 코모도방화벽3.0을 사용합니다 방화벽기능만요 공유기써서 공유기방화벽도 같이씁니다 공유기도 보안에 신경써서 해놨구요 키값을 찾기 매우 힘들게 하기위해서 금방금방키값을 바꿔 무선랜카드와 연결하는 보안기술을 사용하고있어요

          • 일반유저

            말씀해주신것에서 ActiveX만 사뿐히 빼주시면 보안위협이 훨씬 줄어들꺼같네요

          • http://channy.creation.net Channy

            결국 오픈웹이 제안한 솔루션은 PC 사용자의 보안 수준을 같이 올려야 합니다.

            기존 방식은 수년간 우리가 Win98->WinXP->Vista 진화 과정에서 놓치고 있는점이라고 생각하구요. 기본적으로 Root가 활성화 안되어 Linux나 맥 사용자가 늘도록 하지 못하는 이유중 하나입니다.

            우리집 같은 경우 제가 관리자 권한으로 깔고 아이들이 일반 계정으로 사용합니다. 회사나 학교에서도 그렇게 관리하면 아주 편리할 것이구요.

            그리고 각국 상위 좀비 PC 비율은 아래를 보시면 최신 데이트를 볼 수 있습니다. 각국 인터넷 사용자수와 대비해 백분율로 보면 한국(1.3%)이 1위로 2위인 프랑스(0.7%) 보다 월등히 높습니다.

            http://www.ciphertrust.com/resources/statistics/zombie.php
            http://en.wikipedia.org/wiki/List_of_countries_by_number_of_Internet_users

            물론 zombie PC가 activex로만 생기는 건 아니지만 천5백만명이 인터넷 뱅킹 하면서 실시간 Acitvex가 깔린 나라치고 1위라면 activex 기반 AV의 효용성이 얼마나 안 좋은지 이야기 하는 것입니다.

          • 일반유저

            기본적인 깨끗한 프로그램만 설치해놓고 ActiveX가 하나도 없는상태에서 물론 디스크조각모음까지해주고 Returnil Virtual System써주면 아주 좋습니다 은행ActiveX가 설치되도 재부팅하면 싹 사라집니다 아주좋죠? 항상좋은 안정성 및 보안과 쾌적하고 성능좋은 컴퓨터를 계속 사용할 수 있게됩니다 Returnil Virtual System 추천해요

          • 일반유저

            Channy님 그냥 개인pc보안은 개인책임으로 돌리는게 어떨까요? 그냥 은행은 자신들의 서버보안만 책임지면 될꺼 같습니다 계속 개인pc를 감시할려고하고 손댈려고하니까 문제가발생하는겁니다 그냥 클라이언트보안은 손때시는게 좋을꺼같습니다

          • http://dgtgrade.egloos.com NamX

            Channy/
            예. openweb 전체 이용자는 아니더라도… 이제 Channy 님과 저 둘의 생각은 거의 다 확인 한 것 같습니다.

            맞습니다.

            1) 사용자들이 알아서 AV 깔고… 관리하고… 그렇게 할 거라면,
            2) 그리고 소수를 위한 개발+지원 비용을 사회적으로 감당할 수 있다면, (또는 공익적 비용(세금?)으로 처리할 수 있다면)
            3) 은행과 사용자의 책임을 공평하게 할 수 있는 분위기가 된다면,

            저도 Channy 님 주장에 동의할 수 있습니다.

            그러고보니 엊그제도 서로 확인 했던 듯 한데 그 부분에 중요한 생각? 가치관? 이상? 현실 인식?의 차이가 있는 듯 합니다.

            좀비 PC 통계 감사합니다. (그런데 지금은 그 사이트 php 오류 나서 안 보입니다. –;) 아무튼 그 통계에서는 한국이 1위군요. 그리고 제가 말씀 드린 또 다른 전세계 “감염” 통계가 있고요. 현재 사용자들이 쓰고 있는 AV, 방화벽 등의 효용성은 그 둘 사이의 무언가겠죠.

            그러나 “감염” 통계의 경우와 달리 “좀비”의 경우에는 그와 다른 요소도 크게 작용한다고 봅니다. 국가별 PC 수 * 인터넷 속도 / 인터넷 가격 하면 그것도 거의 우리나라가 Top 3 수준이잖아요? “좀비”에게 그건 매우 중요한 조건이 되리라고 봅니다. 그렇다고 “좀비” 많은게 뭐 괜찮은 상황이란 건 당연히 아니고요. ^^

          • http://channy.creation.net Channy

            은행들이 공인 인증 activex 모듈 배포한 원죄가 있어서 쉽게 손은 못 뗄거구요. 그냥 그 비용으로 otp나 무료로 주고 (신한은행을 일시적으로 무료로 줬었어요.) 뱅킹 3년 이상한 사용자에게 안랩 AV 나 한카피씩 사줬으면 좋겠네요. ㅋㅋ

          • 일반유저

            뭐여? 그 허접 안랩 AV는 줘도 안써요 카스퍼스키나 비트디펜더 정도면 모를까요

  • Yi Jong

    NamX//
    제 댓글에 다신 반론에 대해 저도 각 항에 대해 재반론을 써봅니다.

    1. “기능상 충분하지 않고 => 예. 충분하지 않고 문제는 많죠. 그건 무슨 보안 솔루션이든 그렇습니다만.”
    네. 보안은 강화될 수록 사용성이 떨어진다는, 즉 불편해진다는 건 너무나 당연한 사실입니다. 결국 사용자 입장에서 보면 이 “보안”을 취함으로써 생기는 “불편”이 감수할만한 것인지가 관건입니다. 극단적인 예를 들자면 보안 강화하겠다고 인터넷 뱅킹할 때마다 주민등록증 스캔해서 보내고 지문찍으라고 하면 아무도 안할 겁니다. 즉 “보안”에 대한 “불편”이 합당한 수준이냐는 문젭니다.

    이 부분에서 현재 우리나라의 온라인뱅킹 시스템은 (적어도 제 기준에서는) “보안”의 강도에 비해 “불편”의 수준이 너무 높다고 봅니다.

    2. “오히려 불편을 가중 => 예. 모든 보안 솔루션은 태생적으로 불편을 가중 시킬 수 밖에 없고요.”
    위에서 언급한대로입니다. 모든 보안 솔루션은 태생적으로 불편합니다. 다만 그 불편함이 실질적인 “안전”으로 연결되는가의 문제입니다. 다시 말씀드리지만 제가 보기에는 불편한만큼 안전하지 않다고 보고 있습니다.

    3. “위험을 가중 => 핵심적으로 이 것의 근거가 무엇인지요? 단순히 ActiveX 라는 이유로? 요리사가 칼 들면 밥 먹으로 온 손님이 위험 해 지는 건가요?”
    저는 ActiveX 자체에 대해서도 좀 불만이 있긴 합니다만, 현재 논의 중인 문제에 대해서는 ActiveX 라는 제공 형식보다 오히려 금융권 및 보안업체 등 서비스를 제공하는 제공자들의 태도가 더 큰 문제라고 생각합니다.

    ActiveX를 쓰든 모질라/파이어폭스의 플러그인을 사용하든 별도의 인터넷뱅킹 어플리케이션을 사용하든 지금같은 태도로 접근한다면 바뀔 게 하나도 없습니다.

    • http://dgtgrade.egloos.com NamX

      진심으로 궁금해서 여쭤 보는데요.

      그 태도는 어떤 태도를 말씀 하시는 건가요? ActiveX 문제가 아니라면 말이죠.

      • Yi Jong

        몇가지 문제들이 중첩되어 있고, 당연히 ActiveX를 사용함에 따라 때문에 생기는 문제도 포함되어 있습니다.

        http://openweb.or.kr/?p=1073
        http://openweb.or.kr/?p=1061
        http://openweb.or.kr/?p=989

        등의 이전 포스트와 포스트의 댓글을 통해 지적된 내용들을 읽어보시면 됩니다.

        • http://dgtgrade.egloos.com NamX

          예… 다 이미 읽어본 글들입니다만.

          제가 이해력이 부족하여 그런지 몰라도… 말꼬리 잡겠다는 건 아니고… 짧게 답 부탁 드립니다.

          그러니까 그 “금융권 및 보안업체 등 서비스를 제공하는 제공자들의 태도”는 어떤 태도를 말씀 하시는지요?

  • 일반인

    자…보세요…
    국내 인터넷 뱅킹 뚫리는 시나리오입니다.
    프락시 형식이든, 단순 피싱이든, spoofing 방식이든…
    진짜고객이 공격자 컴퓨터에 접속했습니다.
    공격자는 진짜 고객에겐 서버이자 은행, 은행에겐 클라이언트입니다.
    여기까지 전형적인 ssl의 MITM 공격과 같습니다. 굳이 MITM을 사용할 필요까지도 없지요.
    이메일 같은 것을 통한 단순 피싱으로도 여기까지 가능합니다.

    그리고 나서 액티브X 설치할 단계이죠. 공격자(가짜은행)이 해킹용 키로거, 해킹용 안티바이러스 액티브X를 설치합니다.(진짜고객이 YES 버튼 누르죠.) 안티바이러스 프로그램은 이것을 잡지 못합니다. 왜냐? 은행이 진짜고객 컴퓨터의 보안수준을 낮추도록 해왔으니까요. 액티브X는 막강한 권한(관리자 권한)을 가지고 안티바이러스 프로그램을 무력화합니다.
    (이 부분 동의하지 못한다면 실제 은행에서 안티바이러스, 안티 키로그를 배포하는 정당성이 사라집니다.)

    진짜고객은 별 의심없이 설치를 하고, 계좌이체를 하기 위해 여러 정보를 입력합니다. 입력한 정보는 공격자가 설치한 액티브X를 통해 공격자 컴퓨터에 전송됩니다.(인증서 포함)
    공격자는 전송받은 정보를 이용하여 은행 사이트에 접속합니다. 이제 공격자가 진짜 고객으로 변하게 되는 것이죠.

    이것이 진짜고객, 공격자, 은행과 실시간으로 이루어집니다. 프로그램 개발은 쉽습니다.
    장애물이 있다면 “보안카드”입니다.

    최초 공격에서는 보안카드 때문에 거의 실패로 돌아갑니다.

    하지만 그 이전에 키로거가 심어져 있다면 보안카드의 모든 숫자를 언제가 알게 될 것이고,
    그 때 공격하면 100% 성공하게 됩니다.

    은행권에서는 요새 키로거로 인해여 OTP를 도입한다고 하는데 그 경우 MITM의 공격에 속수무책입니다.
    손쉽게 100% 뚫립니다. 왜냐하면 OTP의 갱신주기가 1분 미만이기 때문이죠.

    왜 그런지는 아래 시스템 구성을 보세요.
    공격자 컴퓨터에 진짜 고객을 응대하는 서버를 구동하고
    그 서버를 통하여 진짜 고객으로부터 전송받은 정보를 공격자의 웹브라우저를 통해서 자동으로 은행에 접속하여 진짜고객이 하는 과정을 프로그램에서 처리해 주면 됩니다. 해당 프로그램은 쉽게 제작이 가능합니다.
    유닉스에서 | (파이프), >(리다이렉션) 같은 것을 생각하면 왜 쉽게 제작이 가능한 지 이해하실 수 있습니다.

    요약하자면, 인터넷뱅킹 계정은 홍길동 계정이고,
    컴퓨터 앞에 친구가 앉아 있고, 홍길동이가 친구에게 인터넷뱅킹을 시키는 방법입니다.
    진짜고객과 공격자와 접속이 되어 있고 가짜 액티브X가 동작하고,
    공격자와 은행이 접속이 되어 있고 진짜 액티브X가 동작하고…이런 상황입니다.

    쟁점이 있다면
    가짜 액티브X가 진짜 액티브X를 어떻게 잘 피해갈 수 있으냐인데…
    (무조건 잡을 수 있다고 주장한다면 위부분에서 말씀드린 해킹용 액티브X가 진짜 안티바이러스, 안티키로거를 무력화시키는 것에 동의하게 됩니다.)
    정 힘들다면, 한 컴퓨터에 가상머신 설치해서 통신하면 됩니다.
    그것도 힘들다면 단순무식하게 컴퓨터 옆에 하나 더 설치해 놓고
    공격자 컴퓨터1은 가짜 고객과 접속하고, 컴퓨터2는 은행과 접속하고,
    컴퓨터1과 컴퓨터2가 서로 통신하면 됩니다.
    프로그램 구현은 절차적인 것이라 쉬으며, 시간이 오래 걸리지 않습니다. 다시 말해서 비용이 별로 들어가지 않습니다.

    ssl 과 국내 인터넷 뱅킹도 MITM 과 같거나 유사한 방식으로 해킹이 됩니다.

    • http://dgtgrade.egloos.com NamX

      6.
      그리고 가짜 ActiveX와 진짜 ActiveX 간의 문제에서 PC 2대를 언급 하시는 건 참… 기술적 이해가 부족하신건지… 잠깐 실수 하신 건지 이해하기 어렵네요.

      만약 가짜 ActiveX 로 피싱 한다치면, 그 가짜 ActiveX 는 “나쁜 놈” 서버에서 돌아가는 거 아니지 않습니까?

      무슨 말씀이신지… 컴퓨터 1, 2는 왜 나오는지…

      • 일반인

        일부러 그렇게 썼고 더 자세히는 못 씁니다.

    • 일반유저

      ActiveX가 왜 나쁜지 절실히 보여주는 글이네요 저도 전문성이 있었으면 좋겠습니다 악덕업자들 좀 발라주게요 그래도 악덕업자는 악덕업자일뿐입니다 그래 키배에서 져봐야 또 다른 컴맹한테 달라들겠죠 그래서 또 사기치고 특히 공무원을 꼬셔서 사기치겠죠 저런문제가 생기는 근본적인 이유는 바로 ActiveX가 권한이 막강해서 생기는문제입니다 왜 컴퓨터할때는 유저계정을 써야 하는지 많은 사람들이 이해를하고 그렇게 써야하는데도 알면서도 그렇게 쓰지못합니다 왜냐? 유저계정에서는 은행에서 배포하는 ActiveX가 동작하지 않거던요 은행에서 배포하는 ActiveX는 작동방식이 악성코드와 하나도 다를게없어요

    • http://dgtgrade.egloos.com NamX

      7.
      컴퓨터 1,2 언급 하시는 것에… 걱정이 되어 답 한 번 더 답니다.

      영화 “공공의 적” 재밌게 보신 분들은 많이들 기억 하실텐데요.

      어떤 양아치 고딩이 형사 강철중에게 아주 위협적인 자세로 그러죠.

      “요즘 고딩 무섭거든요?”

      그러자 강철중이 그 녀석 머리 딱! 때리면서 그러죠.

      “그 고딩이 커서 어른이 된게 나다”

      라고…

      님께서 얘기하시는 “막강한 권한을 가진 ActiveX” 말인데요. 예. 그 권한으로 “벌써”~~~ 깔려 있는게 AV이기 때문에 그 다음 들어오는 “막강한 권한을 가진 나쁜 놈”을 잡을 수 있는 겁니다.

      • 일반유저

        누구를 바보로 아시나? ActiveX를 이용해서 AV를 충분히 무력화시킵니다 방화벽도 무력화됩니다 물론 방어율높은 방화벽이면 쉽게 지지는 않지요 은행에서 쓰는 ActiveX는 백신무력화시키는것을 옛날부터 사용했기에 백신들은 ActiveX의 그러한 행동에 길들여져(예외설정)해놔서 그냥 꼼짝없이 당할 확률이 높다는겁니다

        • http://dgtgrade.egloos.com NamX

          예. 나쁜 ActiveX가 준비안된 AV를 충분히 무력화 시킬 수 “있습니다”. 그러나 좋은 AV라면 그 이전에 방어 할 수도 “있습니다.”

          결국 창과 방패의 싸움인 것은 당연한 얘기입니다. 그러나 님 얘기처럼 AV가 근본적으로 그런 악성 ActiveX를 막을 수 있다면 모순이 생긴다거나 한 그런 관계는 아닙니다.

          @ 님 바보로 알지 않습니다. 제발 서로 “바보” 이런 단어 쓰지 맙시다.

          • 일반유저

            외국에는 창을 창으로 막지않고 방패로 막는다던데 그게 더 좋은거같네요 ActiveX를 쓰면 컴퓨터에 충돌이 발생하고 지저분해지고 보안설정도 약하게 바꿔버리는 파렴치한게 많은데 이제 ActiveX를 빼버리는게 옳지않나요? ActiveX때문에 64비트 운영체제의 보급을 막는다네요 64비트에는 ActiveX가 안된다고 아는데 64비트에도 ActiveX가 됩니까? 뭐 비스타 64비트는 64비트 ie랑 32비트 ie가 있기는하지만 우리나라에서 윈도우에서 유저계정 못쓰는거 아시죠? 왜? 은행 ActiveX 때문에요 보안위협을 조장합니다 은행ActiveX가 다 그렇게 만듭니다

  • http://dgtgrade.egloos.com NamX

    아… 이렇게 반복 되는 내용을 계속 답하려니 좀 지칩니다만.

    1.
    AV가 있으면 일단 피싱 사이트든 피싱 메일이든 그 단계에서 걸러질 확률은 올라갑니다.

    2.
    AV가 있으면 그 ActiveX가 설치 되어 AV를 무력화 하기 전에 AV가 그 녀석을 잡을 수 있습니다.

    3.
    공격자가 은행과의 통신내용을 엿보아서 (피싱 사이트에서건, PC에서건) 보안카드의 “엔트리 번호”와 “입력 내용”을 같이 알지 않으면 (이 부분 youknowit 님 주장과 같이) 30*30 조합을 알아내는 건 쉬운 일은 아닙니다.

    4.
    OTP MITM 잘 알고 있습니다. 제 댓글에서 계속 OTP도 완벽하지 않다고 얘기하면서 그거에 대해서는 어떻게 할거냐고 하지 않습니까?

    5.
    말씀하신 대로 “단순 파이프” 개념의 프락시 피싱은 비용이 얼마들지 않습니다. 그게 제가 주장하는 바와 동일한데요?

    문제는 공인인증서+ActiveX 체계에서의 그 파이프를 어떻게 제작해서 로그인부터 이체까지의 과정을 속일 수 있으며, 그 개발(크랙) 비용은 얼마나 되는가입니다.

    • 일반유저

      피싱사이트나 피싱메일 거르는 백신은 거의 본적이 없습니다 있다고해도 외산성능뛰어나고 이름난 백신정도나 가능하겠죠 그런데 그게 피싱사이트인지 백신은 거르기 힘들거던요 왜? 진짜 사이트로 갈려는건지? 아니면 피싱사이트인지 기술적으로 알기 힘드니까요 NamX님 다 해킹가능합니다 자꾸만 ActiveX와 윈도우전용기술을 좋아하지마세요

      • http://dgtgrade.egloos.com NamX

        AV가 피싱 사이트 구분 왜 못 합니까… IE 주소창 쳐다 보고 있으면 되는데요. 이곳의 많은 분들께서 별로 안 좋아 하신는 그 “관리자 권한”이 있기 때문에 그 정도는 쉽게 됩니다.

        해킹 다 가능한 거 압니다. 지금 여기서 그 정도 수준의 얘기를 서로 할 필요는 없지 않습니까?

        그리고 ActiveX의 속성 중 윈도우 전용이라는 면은 싫어하지 좋아하지 않습니다.

        그런데 왜 ActiveX 쓰냐? 는 얘기는 너무 반복 되는 듯 하니 안 하겠습니다~ 그 부분은 아래 사이트 참고 하세요~

        http://xeraph.egloos.com/4902688

        • 일반유저

          그냥 해당은행에서 자신의 은행 주소를 고객이 기억하고 있으라고 알려주면됩니다 어차피 피싱사이트라도 주소를 똑같이는 못만들죠

    • 일반인

      NamX님 안티 바이러스와 해킹 프로그램은 원리가 똑같습니다.

      • 일반유저

        네 그래서 악성코드의 특징을 고스란히 가지고 있는게 백신이죠 그래서 저는 백신안씁니다 방화벽은 쓰지만요

        • 일반인

          그래도 안티바이러스 프로그램이 있는 것이 좋아요.
          원리만 같은 거죠. 하는 일은 다릅니다.

          • 일반유저

            뭐 저는 코모도방화벽3.0을 쓰고 있어서 백신이 그렇게 필요가 있을까?라는 생각이 들기도 하고요 중요한거는 저는 소프트웨어로 방식으로 동작하는 하드보안관을 사용하기때문에 백신을 사용할수가 없습니다 백신업데이트마저도 되돌려버리니까요

  • mountie

    제가 은행이라고 생각하고
    현재의 IE전용 인터넷 뱅킹을 Cross Browser로 확장하는 방안들에 대해서 생각해봤습니다.

    일단 은행 인터넷 뱅킹에서 사용되는 클라이언트에 적용되는 보안요소는 대충 다음사항들이 포함된다고 생각합니다.

    공인인증서 Handling, 키보드보안, 안티바이러스, 개인방화벽, 세션보안, 부인방지

    1. 공인인증서를 SSL Client Certificate로 이용
    - 대부분의 브라우저들마다 SSL Client Certificate와 Private Key를 보완하는 KeyStore가 내장되어 있습니다.
    - 브라우저에 내장된 KeyStore는 국내에서 보안 1등급의 요소중 하나인 보안 USB와도 자연스럽게 호환됩니다.(PKCS#11 표준준수하는 보안 USB)
    - 제한된 유저 권한에서도 안전한 접근방법이 브라우저별로 마련되어 있습니다.

    * 이렇게 공인인증서 기반의 SSL Client Certificate를 이용하여 로그인하도록 한다면 기존 ActiveX이상의 보안성이 확보되면서 표준에 기반한 구성이기 때문에 다양한 브라우저 호환성을 확보할 수 있습니다.
    * 이걸로 세션보호나 피싱방지(Proxy방식포함 종류에 관계없이)를 다 커버합니다.

    2. 키보드 보안
    - 키보드 보안이 꼭(*) 필요한 경우에만 솔루션을 적용합시다.
    - 유저가 키 입력을 할 필요도 없는데 키보드 보안을 광범위하게 적용하는것은 낭비입니다.
    - 단순히 정보만 조회하려고 사이트 접근하려는데 처음부터 키보드 보안솔루션을 적용하는것은 정말 넌센스입니다.(금감원사이트 http://www.fss.or.kr 한번 접속해보세요)
    - 키보드 보안방식중에서도 국민은행에서 취하고 있는 스크린키보드 등은 정말 훌륭한 대안이라고 생각합니다.(유저가 키 입력자체를 안해도 되는 가장 안전한 키보드 보안방식이라고 생각합니다.)

    3. 안티바이러스 및 개인방화벽
    - 유저선택권을 활성화해야합니다. (금감원에서는 최소한 은행이 유저선택권의 활성화 여부를 결정할 수 있도록 허용하고 있습니다.)
    - 대다수의 일반 유저들은 은행에서 제공하는 개인보안 프로그램을 서비스(*) 받게 하되
    - 은행에서 제공하는 것이 필요없는 유저들은 자신의 것을 유지할 수 있도록 놔둡시다.
    - 대다수의 유저들은 안티바이러스 프로그램을 쉽게 구해서 설치할 수 있습니다.(무료 든 유료든)
    - 대부분의 OS에서 개인방화벽기능이 내장되어 있으며 필요시 유료 개인방화벽을 사용할 수도 있습니다.
    - 제한된 유저권한에서만 인터넷을 사용하겠다는 정책을 취하는 유저는 개인보안프로그램을 포함하여 어떤 프로그램도 관리자 권한 없이는 설치가 불가능합니다.

    4. 부인방지
    - 이게 참 민감한 이슈인데 법에서 공인인증서를 사용하라고 하는 가장 중요한 이유가 부인방지를 위해서라고 생각합니다.

    4.1 이체 비밀번호에 대한 부인방지 역할 부여
    - 인터넷 뱅킹 신청시 이체 비밀번호에 대하여 부인방지 효과를 사전에 약정하도록 할 수 있습니다.
    - 유저는 자신이 알고 있는 비밀번호를 입력하여 이체에 동의(*)한다는 내용을 사전에 약속하는 방식입니다.
    - 이체 비밀번호외에 공인인증서를 SSL Client Certificate로 이용하여 로그인한 이후 하는 행위에 대해서 부인방지를 사전에 약정할수도 있습니다.

    4.2 OTP
    보안카드나 OTP는 모두 부인방지에 탁월한 효과가 있습니다.
    공인인증서 기반 Client 인증이 활성화된 SSL 보안세션하에서는 피싱 걱정없이 안전하게 OTP를 사용할 수 있습니다.

    4.2 기타 바이너리 플러그인들.
    * CAPICOM on IE platform.
    * 기존 민간보안업체의 ActiveX Plugin
    * JSS on Firefox
    * 기타
    - 좀 위험(*)한 주장인데
    - 위의 다른 대안들이 함께 사용될 경우
    - 꼭 필요한 경우에 한하여 제한적으로 사용가능하다고 봅니다. (지금처럼 Site-wide하게 다 이용하도록 강요하는 형태가 아닌)
    - 예를 들어 은행에서는 당장 ActiveX를 개선하기 어렵다면 MSIE platform을 이용하면서 실제로 이체까지 하려는 유저에 한하여 binary plugin을 사용하도록 제시하는것은 기술적으로 어렵지 않습니다.)
    - 유저가 iPod Touch를 사용하며 은행 사이트에서 계좌내역만 조회하려고 할때 부인방지가 요구되지는 않지요.

    • mountie

      그리고 하나 빠트렸는데
      클라이언트와 은행서버간에 주고받는 메세지 구조도 표준화가 필요하고
      W3C에서는 XML Signature(XMLDsig)를 권고하고 있습니다.
      메세지 구조를 표준화하는 경우 클라이언트 솔루션과 서버 솔루련간의 관계를 분리할 수 있고 지금처럼 클라이언트 솔루션과 서버 솔루션이 한세트로 사용될 이유도 없을것 같습니다.

    • mountie

      이렇게 되면 보안업체입장에서 어떤 변화가 생기는지 살펴보면

      1. 공인인증서를 브라우저 내장 KeyStore에서 관리하면 기존에 만들어둔 공인인증서 핸들링하는 프로그램의 시장이 사라집니다.

      2. 키보드 보안 방식중 스크린키보드가 일반화되면 기존 어렵게 만든 키보드 보안 프로그램 시장이 사라지거나 좁아집니다.

      3. 안티바이러스 프로그램을 유저가 선택할 수 있게 되면 은행을 대상으로 영업하기가 아주 어려줘집니다.

      4. 개인방화벽 운영방식을 유저가 선택할 수 있게 되면 은행을 대상으로 영업하기가 아주 어려워집니다.

      5. 전자서명툴중 CAPICOM이나 JSS등의 무료 툴 사용이 활성화되면 기존에 만들어둔 ActiveX Control기반 솔루션의 판매 시장이 좁아집니다.

      6. 오픈웹의 주요 주장중 하나가 공인인증기관이 가입자 설비 제공 의무가 있다는 것이고 (최소한 1심에서는 법원에서 그부분은 그렇다고 인정하고 있습니다.) 공인인증기관에서 가입자설비를 제대로 배포하기 시작한다면 보안업체들의 영업대상은 공인인증기관만으로 범위가 좁혀집니다.

      7. 전자서명시 서버와 클라이언트간의 주고받는 메세지 포맷을 표준화(W3C XMLDsig 등)하는 경우 서버와 클라이언트 솔루션을 함께 판매할 수 없어 역시 시장이 좁아집니다.

      —————
      오픈웹 주장대로라면 기존 보안업체들이 타격을 받을 수 밖에 없는 구조이고 조화로운 공존을 모색하더라도 기존의 메이저 업체의 역할이 그대로 유지되기는 아주 어려운 상황입니다.

      조화로운 공존을 위해서 고민해봐야할 사항이 많군요.

      • 일반유저

        아 그래서 업체가 망하기싫어서 무조건 싫어하는거네요 결국 자기네들의 이기심으로 인해 고객pc는 더러워지고 보안위협은 증가한다

      • youknowit

        I disagree with you on 6.

        The security solution providers can actually have a bigger market for server-side authentication solution. More websites can adopt certificate authentication once the accredited CAs begin to distribute a standardized signer plugin. Various security solution providers can compete in the server-side solution market. They will all share the client plugin; but the server side solutions can and will be designed independently. That is where the real competition can take place.

        • 일반유저

          다양한 경쟁이 필요하죠 지금 업체들이 핑계는 자신은 경쟁하기싫거나 밥줄이 끊어져서 이유없이 싫어하는겁니다

        • mountie

          예. 정리가 덜 되어서 빠트린 부분이 있군요.
          서버측 경쟁 활성화를 위해서 필요한 구조를 생각해보면
          클라이언트와 서버간의 데이터 송수신 구조를 분리(decoupling)할 필요가 있고
          세션 유지를 위해서는 (SSL or Client Cert enabled SSL)을 이용하면 별도의 솔루션은 별 필요없고

          Application Layer의 안전한 데이터 송수신을 위해서는
          W3C 권고안인 XMLDSig(XML signature)나 XMLSec(XML Encryption)를 사용한다면 서버측은 완전한 경쟁이 가능하다고 봅니다.

          http://www.safenet-inc.com/products/pki/luna_XML.asp 이런 장비
          http://kldp.net/forum/forum.php?forum_id=3775 (좀 오래된 OpenSigner)
          http://www.openoces.org/

          모두 XML messaging을 지원하지요.
          국내 보안업체들이 달려들면 어마어마한 새로운 시장이 열릴 수 있겠다는 희망이 보입니다.
          국제 경쟁력도 강화할 수 있겠고…

          • mountie

            오탈자가 있어서 정정합니다.
            XMLSec -> XMLEnc 입니다.

  • dasony

    보안에 대해 잘 몰라서 몇가지 질문해봅니다.

    1. SSL+OTP보다 SEED+공인인증+OTP+AV+Anti-Keylogger가 안전한건 너무나 당연한 사실입니다. 하지만 SSL+PKCS+OTP와 SEED+공인인증+OTP 간에 비교해야하지 않나요? SSL+PKCS+OTP위에 AV와 AntiKeylogger를 못할껀 또 뭐가 있습니까? (물론 bypass method가 있어야하겠지만요) 그렇다면 SSL+PKCS가 과연 SEED+공인인증서보다 못한 점이 무엇인지 궁금합니다. 물론 알려진 보안 문제는 SSL이 더 많겠습니다만, 그건 사용자가 더 많으니 당연한 것이겠지요. SEED+공인인증서방식이 특별히 근본적으로 더 좋은 점이 있나요?

    2. 피슁사이트를 하나 생각해봤습니다. 은행에 접속하면 가장 먼저 나타나는 “보안프로그램을 설치중입니다” 페이지를 따라합니다. 그리고 해당 페이지에서는 은행에서 사용하는 보안프로그램(안티키로거+AV)과 동일한 CLSID로 더 높은 버전넘버를 매긴 ActiveX들을 우르르 설치합니다. 적당한 이름으로 Sign해야겠고, 해당 ActiveX들은 실제 보안프로그램 ActiveX들의 인터페이스를 어느 정도 따라해야겠습니다. 그 후 은행사이트로 포워딩해줍니다. 그렇게하면 은행 사이트에서 해당 가짜 보안프로그램들을 확인하고 실제 보안 프로그램이 설치되었다고 가정하지 않을까요? 그러면 악의적인 코드를 담은 가짜 보안프로그램에서는 사용자의 인터넷뱅킹 정보를 유유히 수집하면 됩니다. 제가 빠뜨린 method가 있을진 모르겠지만, 이미 admin 권한의 악성 코드를 설치해버렸으니 딱히 걸릴 일이 있을지 모르겠습니다. 어떤가요?

    • 일반유저

      다른나라에서는 아마 https와 ssl을 같이쓰며 화면에 보안숫자나글자를 보여준뒤 그걸 타이핑하게 되어 있습니다 PKCS는 무엇이죠?우리나라가 하는방식을 하자면 고객의 pc는 너무많음 프로그램들을 설치하게됩니다 뭐 신뢰가 되는것도 아닙니다 ActiveX로 배포한다면 실행파일보다 더 위험하고 피싱사이트는 우리나라에서만 한정된 문제가 아닐듯합니다 어떤 보안을 하던지 피싱사이트는 다 만들 수 있을겁니다 국내는 보안위협이 심각하다고 아시면될겁니다

      • dasony

        1. ActiveX 지양해야하는 것은 저도 잘 알고 있고요, 보안업계 쪽에서 굳이 SSL 방식이 불충분하다고 하시는 이유가 무엇인지 궁금해서 여쭌겁니다. 순수하게 보안의 입장에서 알고리즘 자체에 어떤 차이가 있는지 궁금한것이고요.
        2. 현재 인터넷뱅킹이 ActiveX 설치를 강요하기때문에, 제가 말씀드린 피싱사이트에서 ActiveX를 설치하도록 유도하는 것이 더욱 쉬울 것이기 때문에, 우리나라에만 해당하는 일입니다. 그리고 현재의 AV+안티키로거가 피싱사이트나 키로거 등 클라이언트 PC가 점령당하는 경우의 피해를 조금이나마 막을 수 있다는 장점을 가지는데, 위와 같은 경우 전혀 소용이 없지 않나 싶어서 제안해본 것입니다.

        • 일반유저

          SSL방식이 불충분하다고 하시는 이유는 저만의 생각인데 보안업체가 만약 그것만으로도 충분하다고 한다면 자신들은 밥줄이 끊기겠죠? 그러니 없는 취약점도 있다고 우기는거라고 생각해요

    • http://dgtgrade.egloos.com NamX

      여기서 또 뵙습니다~ 그럼 앞으로 잘 부탁 드립니다.

      1.
      AV, Anti-Keylogger 등이 없는 경우와 있는 경우를 비교한 이유는 여기서 그 둘에 대한 무용론이 나와서요.

      2.
      SSL+PKCS vs. SEED+공인인증서는 지금 저~기 위에 mountie 님과 논의 중이니 그 쪽으로~

      3.
      가짜 ActiveX 관련 피싱 방법에 대해서는 다른 스레드에서 대강 다 얘기했던 듯 하지만… 그게 워낙 여기저기 흩어져서 논의 되어서 다시 찾기는 저도 힘들겠습니다. –;

      그런데 말씀 하신 방법은 사실 피싱이 아닌데요? –; 그건 차라리 그냥 “나쁜” 프로그램을 그냥 PC에 심은 것과 가까운 상황인 듯 합니다. “피싱 사이트”의 정의 범주에 벗어날 듯.

      • http://dgtgrade.egloos.com NamX

        아. 다 아실듯 하니.. 사족입니다만,

        그래서 그게 “피싱”이 아니고 그냥 “나쁜 프로그램 심기”가 되면 이는 아시다시피 AV로 풀어야 하는 문제가 됩니다~ 그건 뭐… 너무 뻔한 얘기들이니 논외로~

        • 일반유저

          다른나라에서는 AV를 설치하라고하는 은행이 없다아닌가요? 이상하게 님말을 들어도 어째 맞는것같기는 하지만 왠지 모를 찝찝함이있네요 우리나라만의 이상한문제 이제는 짜증납니다 공무원들이 컴퓨터보안의 개념이 없어서 그런가봐요 왜 다른나라는 그런거 다 알고있고 신기하게 뭐로 해야 좋다는것을 다 알던데 우리나라만 모릅니다

        • dasony

          제 이야기의 핵심은 이 나쁜 프로그램이 인터넷뱅킹 접속 시 AV의 실행을 원천적으로 차단해버리기 때문에, 인터넷뱅킹 사이트의 AV가 무력화된다는 이야기였습니다. 기존에 설치되어있는 AV가 있다면 당연히 문제가 없겠죠. 그런데 기존에 설치되어있는 AV가 있다면 인터넷뱅킹에서 AV를 제공할 이유도 없고요 ^^;;

          • 일반유저

            무슨소리인지 이해가안됩니다 나쁜 프로그램이 인터넷뱅킹 접속 시 AV의 실행을 원천적으로 차단? 그럼 AV의 자기보호기능이 무력화 된다는소린가요? 그렇다면 기존에 설치된 AV도 마찬가지 무력화 된다는소리인데 아무런 상관이 없는듯보입니다 은행에서 배포할것도 마찬가지 무려과된다는 소리네요

          • dasony

            기존 설치되어있는 AV를 무력화할 수 있을지는 기존 실행 중인 AV와의 싸움이 됩니다. 아마 어렵겠죠. 그런데 어차피 인터넷뱅킹에서 AV를 배포하는 것은 사용자 컴퓨터에 제대로 된 AV가 없다는 전제하에 시작하는 것이기 때문에 기존에 설치된 AV는 아무런 의미가 없습니다.

            AV의 실행을 원천적으로 차단한다고 할 때 말씀드린 AV는, 인터넷 뱅킹 접속시 실행되는 AV를 의미합니다. 이 AV는 인터넷 뱅킹 접속 중에만 실행되기때문에, 접속 이전에 AV 실행 또는 설치를 막아버리는 프로그램을 설치/실행할 수 있다면, AV는 의미가 없어집니다. 전에 인터넷뱅킹 AV 무용론이 나온 이유 역시 이 때문일 것이라고 생각합니다.

          • 이미지복구솔루션

            은행에서 배포하는방식이 잘 못되었다는거네요

      • dasony

        1. 예 그건 이해합니다. 그래서 좁혀서 질문드린거고요.
        2. 위에서 이야기하고 있는건 KeyStore니 OTP니 하는 다양한 문제들이 나오고 있어서요. 그냥 순수하게 SSL 대 SEED의 차이를 대한 이야기도 나왔었나요? 애플리케이션 레벨에서 암호화를 한다 외에는 잘 모르겠군요. (이건 mountie님께서 XMLSec 등을 제안하셨죠) 하여튼 더 찾아보도록 하겠습니다.
        3. 뭐 피싱을 가짜 사이트를 통해 “정보를 얻는 것”으로 정의한다면 범주를 벗어나긴하겠네요. 가짜 사이트를 만들어서 속인다에 집중을 해서 편의상 피싱이라고 불렀습니다. 기존에 나온 가짜 ActiveX는 가짜 공인인증서 로그인 프로그램(XecureWeb)등을 대체하는 것을 말씀하시는 건가요? 뭐 조금 다른 것 같긴 하지만 당시 논의된 것을 찾아보도록 하겠습니다. 리플 검색이 안되어서 아쉽네요. 포럼이나 게시판을 만들었으면 하는 바람입니다.

        • 일반유저

          궁금한점이 있습니다 앞으로 64비트 운영체제가 늘어나면 ActiveX는 자연히 사라진다아닙니까? 64비트에서 ActiveX는 없습니다

          • 일반유저

            만약에 64비트에서 ActiveX가 안되는데 계속 국내에서 ActiveX만 쓸경우 이번엔 진짜로 외국에서 소송들어올지 모릅니다 특히 인텔이랑 마이크로소프트나 뭐 에이엠디도 있네요 하드웨어회사랑 소프트웨어회사가 전부다 우리나라에 소송들어올지도 모릅니다 왜? 니들때문에 64비트 하드웨어랑 64비트 운영체제랑 64비트 프로그램을 못 팔아먹는다고요

          • dasony

            Windows x64를 말씀하시는 것이라면 32비트 애플리케이션은 transparent하게 실행 가능합니다. 즉 64비트 윈도에서도 기존 애플리케이션/ActiveX 모두 “일반적으로는” 잘 돌아갑니다.

          • 일반유저

            이럴수가 ㅠㅠ 안되 ActiveX는 사라져야되 이런 비스타도 64비트 ie랑 32비트 ie가 있기는하지 그러니 다시말해서 마이크로소프트에서 ActiveX를 막지않는다면 우리나라는 계속 ActiveX를 쓴다는결론이네요

          • T. K.

            ‘일반유저’님// 답답하신 심정 충분히 알겠으니…조금만 진정하시고 지금까지의 논의들을 조금만 시간 내셔서 차분히 읽어봐 주실 것을 부탁드리고 싶네요.
            영어로 글을 올리신 분은 교수님으로 자세한 사정은 모르나 현재 한글을 쓰실 수 없는 상황이라 하셨습니다.

          • 일반유저

            흠 우분투 리눅스 9.04 베타 버전은 한글 입력이 안되던데 혹시 그 문제가 아닐지 생각이나네요 차분히 읽으면 이해가될까요? 저는 사회의 폐해를 한두번 본게 아니라서 의심의 여지가 충분히있습니다

  • RVSM

    언제까지 ActiveX만을 쓸까? 공무원을 풍자한 만화가 생각나네 공무원 : ActiveX가 있네~~~~ 그런데 뭐가 문제라는거지?????? 이런 황당한 공무원이 있다니 없어서 문제가 아니라 있어서 문제라는걸 왜 모르는걸까요?

  • 이미지복구솔루션

    전자정부는 나온지 얼마 안된것같네요 전 오래된줄알았는데 우리나라가 이상한 보안을 쓴다고해서 다른나라보다 보안위협이 더 적은건 아니잖습니까?

  • 이미지복구솔루션

    오픈웹사이트에 문제가 있는거 같아서 올립니다 파이어폭스3를 쓰면서 보안에 관련된 부가기능(NoScript)를 사용하면 리플을 달수가 없습니다 이거 시정해주세요 아니면 왜 그런지 답변을 부탁합니다 파이어폭스3에서 보안강화를하니 글을 못달게됩니다 오픈웹사이트에서

  • http://blog.naver.com/fstory97 숲속얘기

    결론은 결정권은 금감원과 금결원에게…
    사실상 유저는 무슨 암호화 기술을 쓰는지 관심없죠. 편하고 안전하면 됩니다.
    웹표준보다는 웹접근성 측면에서 접근해야 될 이슈같습니다.
    근간에는 웹표준이 상당히 차지하고는 있겠지만 말입니다.
    defacto와 dejure 표준 모두 무시할 수는 없습니다.

    근데.. 이 사이트 왜이리 느리죠. ㅜㅜ

  • Jack

    외환은행.. 올 9월 말에 MAC Safari에서 인터넷뱅킹 가능하다고 하네요.원래 목표는 6월 말이었는데.. 좀 늦어진다고 합니다.