:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
13/04/25 17:16
문제가 많죠, 금융 앱스토어 훼이크인 fLneapps.co.kr 을 통해 상황의 심각성을 알렸더니.. 주소 확인하라는 뻘 멘트나 달아놓고..
마켓을 통해 앱이 공급되는건, 구글이 책임지고 사용자가 이용하는데 필요한 악용의 권한활용을 거의 막아두는 상태인건데, KB만 해도 자체 사이트를 통한 다운로드 배포를 합니다. 구글을 거쳐서 검수받고 하기에 찜찜한 뭔가가 있는거라고밖에 말을 할수가 없는거죠.. 항상 문제로 지적되는 부분은 공인인증서 자체가 갈라파고스를 유도하고 있다는 점입니다. https를 활용하면서 인증을 하는 과정에서 별도의 플러그인이 없어도 되는 상황인데, ActiveX를 이용해서 혹은 윈도우용 특정 보안 프로그램을 설치시켜서 플러그인을 작동시켜 공인인증서를 강제로 돌아가게 한다는 점입니다. 거기다 NPKI폴더만 접근해서 빼낼수 있으면 공인인증서는 언제나 빼갈 수 있다는 취약점도 존재하죠, 뭐 백업이나 다중으로 사용할때 편리하기도 하지만.. 당국의 법규, 보안쪽 상황에서 진두지휘를 하는 학교에서 자기들 밥줄 챙기기(교수가 학생들 취업내보내는데 있어...), 그 법규를 통해 이득을 챙기는(대표적으로 I사의 n....)의 삼위일체가 아주 그냥 안드로메다로 보내고 있습니다. 그렇게 불안한 보안이면, 애플과 구글에서 앱스토어 결제는 어떻게 하고 있는건지.. 해외에서 그렇게 잘 되는 페이팔은 인증서 없이도 굴러가는지.. 여전히 답이 없는 상황입니다. 참고로 한국의 공인인증서는 속칭 족보가 없습니다.... 해외에서 이 인증서를 발급해준 기관이 인증서를 발급하는 기관이다라고 인증을 못해줍니다. ...
13/04/25 17:36
글 내용과는 약간 동떨어지지만 또 하나 웃긴 정책중 하나가 루팅폰에서 금융거래를 막는건데, 보안 위협 때문이라고 합니다.
그런데, 이 루팅폰에서 금융거래를 막기 때문에 루팅폰 사용자는 루팅 상태에서도 금융거래를 할 수 있게 여러가지 우회 방법을 찾아다니게 되죠. 실제로 찾아보면 변형앱도 많이 돌아다닙니다. 문제는 이게 루팅 자체보다 훨씬 위험하다는 것이죠. 저러한 정책이 일관성을 가질려면, 윈도우 비스타 이상에서 UAC가 해제되어 있으면 금융 거래도 되지 않아야 하고 리눅스에서도 관리자 권한으로 로그인 되어 있으면 금융 거래가 불가능 해야죠. 그런데 금융권에서는 소위 '보안 프로그램' 때문에 PC환경에서는 오히려 UAC 해제를 권장하고 있죠. 한쪽은 보안 장치를 해제해야 하라 하고, 한쪽은 보안 장치 풀었으니 보안 문제 때문에 거래 막는다고 하고, 일관성이 전혀 없는 정책이죠. 참 UAC가 뭐냐면, 사용자 계정 컨트롤이라고 하고 윈도우 비스타 이상에서 실행되는 보안 장치입니다. UAC가 실행되어 있으면 관리자 권한으로 프로그램을 실행하기 전에 무조건 사용자에게 묻게 되어 있습니다. UAC 활성화 만으로도 윈도우의 보안 위협은 대폭 줄어드는 아주 강력한 보안 장치죠. 조금 과장하자면 이걸 풀라는 건 스마트폰에서 루팅을 권장하는 것과 다를 바가 없는 행위입니다.
13/04/25 17:40
근데 더 웃기는 사실은 저 앱스토어에서 앱을 다운로드 받게 되면 APK파일 이기때문에
사용자가 인증되지 않은 APK를 설치하도록 보안옵션을 변경하게 됩니다. 이것 부터가 악의 시작이 되는거죠.. 이게 무슨 -_- 그리고 말씀하신대로, 정작 PC에서는 루팅과 같이 모든 권한을 쓸 수 있도록 풀어야 잘 돌아가게 해놨습니다 이건 또 무슨...
13/04/25 17:43
사실 PC가 스마트폰과는 비교할수 없을 정도로 보안 위험성이 높은데 정작 PC는 잠금장치를 풀어라고 하니까.. 개그인거죠. 스마트폰은 루팅폰이라도 폰에 비밀번호를 저장해놓지 않는 이상 비밀번호까지 탈취하는건 쉽지 않은데 말이죠...
13/04/25 18:05
그와중에 금융 앱스토어 관련해서 또 하나 올라온게 있네요...
http://opennet.or.kr/2200 피싱은 모든 인터넷 사이트들이 당하고 있다, 구글에 등록하려 했으나 거부당했다..... 도대체 뭘 심으면 거부를 당하나 -_-
13/04/25 18:14
스토어 형식 앱이기 때문이죠. 이런 앱들은 구글 정책상 등록이 불가능합니다. 그나저나 해명도 가관이군요.. 특히 이부분.
앱 설치시 "알 수 없는 출처" 체크 관련해서는 안드로이드 OS는 "구글Play" 이외에서도 다른 경로(알수 없는 출처)를 통하여 앱 다운로드를 허용하고 있으며 보안이 강화된 스토어를 만들어 금융앱을 제공하기 위하여는 사용고객이 환경설정 메뉴에서 "알 수 없는 출처" 다운로드 허용을 체크 하여야만 설치가 가능하게 되어있습니다. 이에 금융앱스토어 앱 설치완료 후에 고객에게 "알 수 없는 출처" 허용체크를 해제하도록 권고하고 있습니다.
13/04/25 18:22
개발자의 테스트용이기도 한 부분인데.. 저걸 열어둔다는건 그냥 지옥이죠... 그나마 루팅 풀지 않고 쓰는 상태면 뭐.. 설치할때 권한 잘 체크하고 보는수밖에..
13/04/25 18:42
각 은행사가 플레이스토어에 뱅킹앱 등록해 놓고, 금융앱 스토어는 해당 스토어 링크해주는 정도면 구글에서 거절하지도 않을 텐데 말이죠.
24시간 감시를 한다는 http://www.flneapps.co.kr 에서는 APK 제공이 아니라 스토어로 가는 링크 하나 넣으면 되는데.. 아니면 알 수 없는 앱 체크 하지 말고 ADB로 설치하는 방법도 있는데.
|