:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
15/03/23 13:32
Active X가 있는 이유는 인터넷상에서 실행하기 어려운 프로그램을 Active x라는 문을 통해서 한다는건데, 이게 보안문제가 많아서(해킹 프로그램을 실행해 버릴수도 있으므로) 다른나라에서는 폐지하는데, 우리나라에서는 도리어 exe파일로 배포를 시켜버리니.... 끌끌끌..
15/03/23 13:39
SI업계에서 일하고 있는 사람인데.. 제가 알고 있는 보안 지식은 다 잘못된건가 하는 의문이 듭니다..
개인정보등 중요 정보를 취급하는 웹페이지에서는 SSL 서버인증서를 설치하고 https 통신하라고 가이드를 하는데, https 통신만해도 네트웍구간에서 패킷이 털려도 그걸 해독하는게 사실상 불가능해서 보안 대책으로는 충분하다고 알고 있는데.. 그것만 가지고는 부족하다고 느끼는걸까요? 저같은 보안전문가가 아닌 일반 프로그래머는 모르는 뭔가가 있는걸까요.. 그렇다면 진단같은거 나와서 https 통신 쓰면 보안쪽에선 ok 해주는 전문가들은 가짜 전문가들인가요.. 개인 PC에 설치된 해킹툴이 무섭다면 백신 같은거 별도로 배포해 주면되지 왜 SSL 인증서만 있으면 해결될 문제를 자꾸 뭘 깔아서 해결할려고 하는지 이해가 안갑니다..
15/03/23 13:51
그냥 저런거 의무로 연에 얼마 기부하듯 지불하면, 이후로 생기는 모든 보안사고의 책임은 해당 회사가 질 의무가 없고 사용자의 책임이 됩니다.
기술적으로 안전한건 필요 없고 덕분에 얼마를 벌어가는 누구들과 그 과정에서 그렇게 방향을 만드는 누구들, 그걸 잘 이용해먹는 누구들이 있으니까요. 모 은행에서 돈 빠져나갔지만 결국 사용자 과실 방향으로 가고 끝났다는걸 생각해보시면.. 거기다 사용자(20~40)대 층까지야 불편한데서 끝이지만 그 이상 연령대에서는 그나마 없는것보다 낫단 생각을 가끔 합니다. 그 중간과정의 브레이크덕에 사고가 날게 막히기도 하니까요.. 당장 이게 https 수준으로 보안레벨 방향이 확 틀어지면 n... 등의 보안회사들은 폐업준비 해야 할테고, 제도를 그리 만들어오셨던 분들이 추가적으로 부수입(?)을 올릴만한 건수가 줄어들겁니다. 물론 국민은 행복할것도 같은데..
15/03/23 14:08
설령 사고 터졌을 때 과실 여부 상관 없이 은행이 100% 무조건 책임지도록 법이 바뀐다고 해도, 보안 프로그램이 보안을 높인다는 사실은 변하지 않습니다. 오히려 그럴수록 기를 쓰고 보안 프로그램을 깔아댈 겁니다. 보안 프로그램을 없애고 싶으면 책임론만으로는 부족합니다.
15/03/23 15:25
법이 바뀌면 좀더 제대로 된 검증된 솔루션을 도입할테고, 제대로 된 비용을 지불하더라도 그런 방향으로 가야죠. 현행은 그냥 솔루션업체가 어디 있으니 이거중에 하나 설치해서 쓰시오 라는게 문제라면 문제입니다.
사고에 대한 리스크에 대해 보안솔루션 업체와 관련업계가 전부 긴장을 해야 할 상황이 자연적으로 오면 좀더 안전하고 편안한 툴들이나올수 있지 않을까 생각해봅니다. 현재의 보안솔루션은 기능이 부족하다보단 기능이 뭔지는 모르겠는데 자꾸 이것저것 깔게 하니 짜증이 난다가 사용자들의 주된 입장이죠.
15/03/23 15:34
저는 애초에 이 분야 파이가 별로 커 보이지 않아서... 누구도 부인 못할 정도로 괜찮은 솔루션이 나오면 은행이 안 쓸 리가 없죠. 법이 문제가 아니라 그냥 돈도 안 되고 다들 관심도 없어서 더 좋은 대안이 안 나오는 것 같습니다. 요구 조건과 제약이 너무 협소해서 다들 고만고만한 것밖에 못 만들고 있어요.
15/03/23 14:37
ActiveX로 설치해도 윈도우 재시작을 요구하는 경우가 꽤 있을 겁니다.
속 터지지 않으려면 일단 무시하고-_- 그냥 해보는 센스가 필요하죠.
15/03/23 13:44
[카드사들은 액티브X 폐지에 이어 내달부터는 보안프로그램이 아예 필요없이 아이디(ID)와 패스워드(PW)만으로 결제 가능한 간편결제를 시작한다.] 는 왜 인용하지 않으셨는지요?
개인적으로 한국 온라인 뱅킹에서 지금과 같이 백신, 방화벽, 키보드 보안 3종 프로그램을 의무 제공하는 건 올바른 방향이라고 생각하고 있습니다. 그동안의 온라인 뱅킹 사고 자료를 봤을 때 이상거래시스템(FDS)에만 모든 걸 맡겨버리는 것이 옳다고 생각하시나요? 현재 한국 법률에도 맞지 않고, 그런 방향으로 진행되어서도 안된다고 봅니다. 우리네 할머니, 할아버지 들에게 백신과 방화벽과 키보드 보안을 설명하고 거래 전에 이를 항상 확인하며 업데이트도 잊지 말도록 할 수 있는 방법이 있다면 재고해 보도록 하겠습니다.
15/03/23 14:05
온라인 뱅킹 관련 해서 너무 기업 입장에서 바라보시는 거 같네요.
백신 방화벽 키보드 보안의 책임을 개인이 질 필요가 없습니다. 한국 법에 맞지 않는다 ? 그럼 법을 바꿔야죠. 비정상 적으로 유저에게 책임전가하는 한국이 비정상 입니다. 보안은 서비스 제공 기업이 하는 것 입니다. 일반 유저는 클릭클릭 클릭해서 돈주고 사기만 하면 그만입니다. 누가 계정을 뺴돌리거나 크랙해서 사이트를 불법이용 했다면 도용당한 유저를 조지는게 아니라 기업과 국가가 나서서 해킹당한 유저를 보호하고 범법을 지른 애를 잡아 넣어야 하는거고. 시스템이 뚫린 기업을 조사해야 맞는 것입니다.
15/03/23 14:06
뭔가 크게 착각하고 계시는 것 같은데, 한국에서는 보안의 책임을 기업이 지기 때문에 의무 제공하는 겁니다.
다른 나라에서는 개인이 지기 때문에 제공하지 않는 것이고요. 법이 바뀌면 기업들은 욕 쳐먹으면서 돈 들여서 보안 프로그램을 제공할 이유가 없지요. 그리고 당연하게도 개인이 책임을 지는 나라들의 경제 대비 온라인 뱅킹 사고 금액이 우리 나라보다 훨씬 큽니다.
15/03/23 14:10
뭔가 착각을 하는게 아니고
법취지를 잘못 알고 계시는거 같네요. 제가 약 2천 500만 개인정보 가지는 싸이트에서 보안담당자로 일했는데. 그전에는 N사 시스템 엔지니어 였습니다. 보안의 책임을 기업이 지는게 아니라 이만큼만 하면 너네 책임 없어가 우리나라 법입니다. 그래서 기업이 무슨짓 하나요 방화벽 놔두고 접근제어 걸고 web DMZ 설정 , DB trust zone 이동 하면 법적 책임 끝이죠 그리고 보안 어플을 깔라고 합니다. 우린 이렇게나 헀는데 니들이 PC관리 못해서 뚫리는거임 개인이 책임 지세요. 우리는 모르겠으니... 이거란 말입니다. 정말 모르고 저보고 착각하신다고 하시는 건가요 ?? 보안 책임을 기업이 지기 때문에 보안프로그램을 설치한다고요 ? 어느기업이 그럽니까 ?
15/03/23 14:21
오픈웹의 김기창 교수에 따르면 보안 프로그램을 설치해도 은행의 책임이 없어지지 않습니다.
"공인인증서를 사용하고 보안프로그램 설치를 강제해 두면, 사고가 터져도 은행이 책임을 면한다는 규정은 어디에도 없습니다. 사고가 터지면 대부분의 경우 은행이 갚아줘야 합니다. 보안프로그램 설치가 은행의 면책에 도움이 된다는 주장은 무수히 반복되었지만(누가 퍼트렸는지 모르겠지만), 근거도 없고 사실도 아닙니다." http://openweb.or.kr/?page_id=1258 http://openweb.or.kr/?page_id=895
15/03/23 14:29
이게 사실 교수님 말이 맞을 수도 있지만.
또 재판으로 가면 그게 또 아 닐 수도 있습니다. 예전 방통위 지금 은 보안을 미래창조과학부 에서 하는걸로 아는데. 금융권 보안 표준안이 있습니다. 제가 이니텍(이니시스)이란 회사에서 증권사 및 은행 프라이빗 망 운영 해봐서 조금 알고 있는데. 그 표준안에 준하게 시스템 설계하면 법적 면책 근거는 생깁니다. 거기다 재판에 들어갔을 때 회사측에선 법령에 없더라도 키보드 보안도 했도 뭤도 했고 뭤도 했습니다. 이게 뚫린거면 천재 지변 입니다. 수준으로 변론하고 재판은 유야 무야 큰 일 없이 넘어가죠. 큰회사 개인정보 훌훌 털렸을 때도 담당자인 저는 똥줄이 탔지만 정작 법무팀은 아이스 커피 마시면서 야 재판가면 100% 우리가 이겨.. 이게 현실입니다.
15/03/23 14:38
김기창 교수가 근거로 들고 있는 법령,
http://www.law.go.kr/admRulLsInfoP.do?admRulSeq=2000000085366 은 은행에만 해당하는 것으로 보입니다. 카드사도 은행으로 취급되는지 모르겠는데, 아마 아닐 것 같습니다. 카드사는 카드사 나름대로 면책 규정이 있을 것 같군요.
15/03/23 14:39
결국 고객 잘못이 아닌건 맞지만 니들(기업) 잘못도 아니니 니들도 무죄 땅땅땅!!! 이거란 말씀이신거죠???
ADT캡스 설치했는데 도둑이 들어 털렸을 때 ADT캡스에게 책임을 물을 수 있는가??? 와 유사한 건가요??
15/03/23 14:51
비슷한 것 같습니다. 제가 이해하는 현 상황은, 집이 털렸을 때 관련 법령에 의거 은행에 책임을 묻게 되므로(은행의 면책은 사용자가 자기 집이 허점투성이라는 것을 미리 알고도 대처하지 않았을 때로 한정된다는군요), 사용자가 불편하든 말든 은행이 집에 온갖 자물쇠를 덕지덕지 발라 놓은 상황으로 이해하고 있습니다.
저는 그래서 은행의 책임을 물으면 물을수록 통제는 심해지리라고 예상합니다. 아예 법령으로 자물쇠를 금지해 버리면 모르겠습니다만, 그렇게 하기엔 아무리 허접한 자물쇠이더라도 보안 기능이 조금은 있긴 하니까 법으로 막아버리기도 애매하죠. 사용자들이 덜 빡센 은행으로 바꾸는 것도 한 방법이지만, 한국의 모든 은행이 이러고 있는 상황에서 이동하기도 딱히 마땅치 않고요.
15/03/23 15:26
저도 근거한 자료를 보았고, 김교수님의 의견은
[공인인증서를 사용하고 보안프로그램 설치를 강제해 두면, 사고가 터져도 은행이 책임을 면한다는 규정은 어디에도 없습니다. 사고가 터지면 대부분의 경우 은행이 갚아줘야 합니다. 보안프로그램 설치가 은행의 면책에 도움이 된다는 주장은 무수히 반복되었지만(누가 퍼트렸는지 모르겠지만), 근거도 없고 사실도 아닙니다.] [전자금융거래에서 발생한 사고로 고객에게 손해가 생긴 경우, 개인 고객인 경우에는 금융기관이 그 고객에게 “고의나 중대한 과실(잘못)”이 있다는 점을 입증하면, 금융기관이 배상책임을 면하고, 그렇지 않으면 금융기관이 배상해야 합니다.] 라고 금융기관이 직접 입증해야 함을 피력하신 것으로 이해하였습니다. 하지만, 실제로 고의 해킹을 금융기관이 입증하는 것이 쉽지 않다는 점, 특히 개인 고객의 경우, 증거 조작 혹은 인멸의 가능성이 있어 실제 판례를 보아야 하겠죠. (키로거가 미리 깔려 있다는 점을 개인고객이 미리 알고 있다는 것을 금융기관이 입증하기 쉽지 않겠죠. 반대로 고의 해킹을 당하고 그 보상을 요구할 수도 있을테니까요.) 반대로, 김교수님이 언급한 [대부분의 경우 은행이 갚아줘야 합니다] 라는 문구의 근거를 못 찾겠더군요. 아래 스나이퍼님의 의견 혹은 보안업체 법무팀의 의견은 김교수님 의견에 완전히 반하는 형태라 조심스럽기는 합니다. 특히, 아래 KBS 뉴스 링크에 나온 최근 사건에 의하면 실제 금융기관이 문제를 입증하고자 노력하고 있지 않다고 개인 고객의 불만사항을 뉴스화 시킨 내용이니까요.
15/03/23 14:52
헐... 보안 일을 하신다니 더더욱 이해가 안 가네요.
그러면 하나만 물을께요. 몇년간 해외에서 ZeuS가 엄청 설쳤는데, 우리나라에서는 조용했던 이유가 뭐라고 생각하세요?
15/03/23 15:12
떠보다니요? 그대로 설명해 드렸잖아요.
저는 백신 의무 제공이 필요하다고 글을 썼고, 그에 대한 대표적인 근거가 ZeuS니까요. ps. 아, 이제 이해했는데 업계 일하신다는 거 떠본다는 뜻이군요. 그런 거 안해요.
15/03/23 14:12
그리고 뱅킹 책임 개인이 진다고 하셨는데.
패스워드 유출 건 빼고 보안취약점 으로 개인 계정 털렸을 때 개인이 책임진 사례 있으면 가져와 보시길 바랍니다.
15/03/23 14:29
http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=2970810
사례라면 이게 아닐까요? 분명 사용자 책임은 아닌데 보상을 안해주니 결국 사용자가 책임 진 거라 할 수 있겠네요
15/03/23 14:32
제가 말한건 외국 사례 입니다.
그리고 이 사례는 국내 기업이 발벗고 원인 찾고 보상해줘야 하는데 그냥 모르쇠 우린 문제 없다 하고 있는거라 업체에 문제가 있다는 사례입니다. 개인이 책임지는 사례가 아니라 ;;
15/03/23 15:20
착각은 .. 모루님이 하고 계신것 같네요.
1. 우리나라는 '내가 안한 거래' 가 나오면 (요컨데 폰뱅킹으로 290만원씩 다 뜯어간다거나..) 은행책임 0 입니다. - 우리나라는 기본적으로 과실책임주의이기 때문입니다. 과실이 없으면 책임이 없죠. 2. 은행은 형식적으로 '우리 다 제공했으니까 책임없어. 이용자 과실과실' 우겨댑니다. 3. 그런데 이용자가 잘못한건 딱히 없죠.. 그러나 다 뒤집어 씁니다.. 물론 뱅킹사고 금액자체를 어떻게 보느내에 따라다르지만, 외국은 '실시간 송금' 의 개념이 별로 없어 '사고액' 자체는 커도 손해가 커지진 않습니다..
15/03/23 15:46
전자금융거래법에 "해킹(정보통신망 등에 침입해 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고)에 대해서는 전자금융사업자 등이 이용자에게 손해를 배상하도록 함"이 명시되어 있습니다. 해당 사안은 무과실 책임입니다.
15/03/23 17:13
그 전자금융거래법 보시죠.
제9조(금융회사 또는 전자금융업자의 책임) ① 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다. <개정 2013.5.22.> 1. 접근매체의 위조나 변조로 발생한 사고 2. 계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고 3. 전자금융거래를 위한 전자적 장치 또는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고 ②제1항의 규정에 불구하고 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 경우에는 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다. 1. 사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우 2. 법인(「중소기업기본법」제2조제2항에 의한 소기업을 제외한다)인 이용자에게 손해가 발생한 경우로 금융회사 또는 전자금융업자가 사고를 방지하기 위하여 보안절차를 수립하고 이를 철저히 준수하는 등 합리적으로 요구되는 충분한 주의의무를 다한 경우 우선 2항의 1호를 계약안하는데는 아예 없습니다. 제가 2번을 왜 이야기 했냐면, 저 '중대한 과실' 의 범위가 너무 은행이 좋게 되어 있거든요. 애초에 저런 해킹은 '말그대로 제로에서 뭔가 빼간사건(로그인도 제대로 안하고 정상적인 거래내역이 없음에도 뭔가 금액이 확 빠져있다거나)' 이 되야 가능한거고, '이용자가 정상적인 거래를 한 것' 처럼 보이는 상황에서는 다 2항의 1호가 적용됩니다. 정상적인 거래로그가 있다는게 이용자의 고의(돈을 송금하려는 고의)나 중대한 과실(보안카드등이 유출된 과실) 이 있다고 추정하니까요. 문제는 저런 덕지덕지 프로그램을 두면 저게 안생기나요?
15/03/23 17:44
저런 덕지덕지한 프로그램이 수많은 악성 프로그램을 막아왔다는 건 주지의 사실인데요.
위에도 적었지만 해외에서 널리고 널린 ZeuS가 우리 나라에서는 이름도 낯선 이유가 뭐겠습니까? 금감원 입장은 덕지덕지한 프로그램을 스마트하게 바꿔보자는 거고, 반대하는 입장은 아예 날리자는 건데 저는 그게 전혀 올바른 방향인 것 같지가 않거든요. 그리고 2항 1호가 대부분 적용된다고 하셨는데, 고객이 인지하기 어려운 경우, 즉 악성코드가 비밀번호나 보안카드 번호, 공인인증서 비밀번호 등을 중간에서 가로챈 다음 이체 금액과 계좌를 변조해 은행으로 전송하는 경우는 100% 보상이 됩니다. 보상이 안 되는 경우는 대부분 피싱이나 파밍 사이트에 걸렸을 때죠.
15/03/23 13:48
어차피 ActiveX기반으로 설치가 되어도 서비스탭에 장착되어 작동하시는 n........ 같은 경우도 있기 때문에 사실상 exe형태로 한다고 해서 크게 달라질건 없습니다.
달라지는 점이 있다면 그나마 ActiveX기반이던 시절에는 아주 특별하게 n같은 친구들 아니면 해당 사이트를 이용안하면 실행이 안됐는데, 이제는 그냥 늘상 상주되어 실행될 수 있다는 문제점이 생기게 될거라고 보고 있습니다. 간단하게 해당 사이트에 접속하는지를 확인해서 프로그램을 실행하라고 권한을 줘야 함. 그럼 그 권한을 줄만한 프로그램이 컴퓨터 켜짐과 동시에 실행되어야 함 같은 상황인데. 문제는 그 권한을 프로그램에게 준다는거 자체가 웃긴거고. 지속적으로 컴퓨터에서 돌아가고 있는거라는거라 이건 뭐 -_-
15/03/23 14:34
해당 사이트에서만 돌아갈지, 계속 상주하고 있을지의 여부는 그냥 그렇게 개발을 했나 안했나의 차이일 뿐이 아닐런지요... 말씀하신 n 뭐시기가 그렇게 돌아가고 있고, 다른 프로그램들도 마찬가지죠.
아마 웹 사이트에서 설치된 프로그램을 실행하는 방법은 기존 ActiveX와 똑같을겁니다. 아마 기존 모듈을 그대로 쓸 테니, 웹사이트에서 PC에 설치된 ActiveX 컨트롤을 호출하겠죠.
15/03/23 15:30
걱정되는 부분은 모바일쪽에서(정확히는 안드로이드) 생겨나는 피싱이나 관련이 허용되지 않은 앱의 설치를 허용하는 보안레벨 해제 문제같은 케이스인데, 아마도 이런 부분들을 위해 사용자 계정 컨트롤(UAC)를 끄도록 유도할것 같아서 그것도 영 찝찝하네요.
15/03/23 15:37
그래도 여태 끌고 온 결재 모듈&보안 프로그램을 버릴리가 없죠. 다시 만들 인센티브가 없기 때문에-_- 그냥 쓰던거 그대로 깔아서 쓰게 만들거 같습니다.
일반 사용자들의 수준을 생각해보면, exe 설치랍시고 기존에 쓰던게 아닌 다른걸 밀어넣을 수가 없을거 같아요.
15/03/23 13:49
뉴스 내용을 보면은 추가 설치 없이 아마존 처럼 가능하다 써놓고 실행파일로 설치 하는 것이 신기술인 것 마냥 설명해놨는데 추가 확인이 필요해 보입니다.
15/03/23 14:18
이게 바로 보안책임을 본인들이 지기 싫어서 그런거죠. 그냥 소비자들에게 책임을 떠넘기는거에요
액티브x는 우리가 제공하는 프로그램을 깔았는데 이거 안깔았으면 너네책임이야 이거죠..
15/03/23 14:35
제가 말씀드린 법령은 은행에만 적용되는 것입니다. 본문이 금융권 관련이길래 제시해 봤습니다.
http://www.law.go.kr/admRulLsInfoP.do?admRulSeq=2000000085366 흠, 적어 놓고 보니 카드사도 은행인지 모르겠군요. 아마 아닐 것 같습니다. 그러면 카드사는 법이 따로 적용될 수 있겠군요.
15/03/23 14:48
전자금융거래법은 여신기관(카드사 등)도 적용됩니다.
http://www.law.go.kr/lsEfInfoP.do?lsiSeq=160153#AJAX
15/03/23 14:58
제2조제3호를 보시면,
3. "금융회사"란 다음 각 목의 어느 하나에 해당하는 기관이나 단체 또는 사업자를 말한다. 가. 「금융위원회의 설치 등에 관한 법률」 제38조제1호부터 제5호까지, 제7호 및 제8호에 해당하는 기관 나. 「여신전문금융업법」에 따른 여신전문금융회사 다. 「우체국예금·보험에 관한 법률」에 따른 체신관서 라. 「새마을금고법」에 따른 새마을금고 및 새마을금고중앙회 마. 그 밖에 법률의 규정에 따라 금융업 및 금융 관련 업무를 행하는 기관이나 단체 또는 사업자로서 대통령령이 정하는 자 라는 항목이 있는데, 각 법에 따라 지칭하는 금융회사가 정해집니다. 은행은 은행법으로 정해진 업체구요. 여신전문금융회사는 신용카드업, 시설대여업, 할부금융업 또는 신기술사업금융업을 하는 업체입니다.
15/03/23 15:01
그런데 제가 올린 기본 약관을 보면, 처음부터 끝까지 쿨하게 '은행'이라고만 일관하고 있습니다. 그래서 궁금했던 것인데, 이것은 이 기본 약관 자체가 은행법 하위라는 얘기가 아닐지요?
15/03/23 14:30
액티브X도 웹 브라우저를 통해서 설치한다는것만 빼면, 따로 설치 프로그램을 내려받는것과 다르지 않습니다. 설치 방법만 바뀐거라, 좋아지지도 않았지만 별로 나빠지지도 않은거죠.
15/03/23 14:37
정부 및 기관이 언플해가면서, 현재까지의 한국 인터넷 보안 체계를 손보겠다고 했는데
이게 기존의 방법과 큰 차이가 없다면, 오히려 퇴보했다고 봐야 하지 않을까요.
15/03/23 14:39
exe설치방식이 오히려 퇴보한 점도 있습니다. 요즘 인터넷 익스플로러는 전자서명이 되어있지 않은 ActiveX 컨트롤은 설치나 실행을 차단하니까요... 오히려 exe 설치방식은 이런 점을 우회할 수 있죠.
그래도 하는 척이라도 하는게 전보단 좀 낫지 않나요? 게다가 기사 내용을 더 보면, '이어 내달부터는 보안프로그램이 아예 필요없이 아이디(ID)와 패스워드(PW)만으로 결제 가능한 간편결제를 시작한다.' 라고 하니까요.
15/03/23 15:51
간편결제 자체는 전보다 조금 나아진 것 같지만, 정부가 나서서 갈수록 갈라파고스 형태로만 가는 것 같아 개인적으로는 우려스럽네요. ㅠ
15/03/23 14:55
간편결제가 나와봐야 알 것 같은데..
아마존 등 해외쇼핑몰에서 결제하면, 비자나 마스터카드 등 카드사에 관계없이 페이팔이나 홈페이지 자체에서 동일한 형태의 보안 및 결제방식을 제공합니다. 그런데 삼성카드 등, 일부 카드사만 따로 간편결제를 시행한다고 하니.. 이게 어떤 방식인지 모르겠네요. ID와 PW만 입력해서 결제가 가능하도록 하는 게 문제가 아니라, 그 과정에서 보안을 책임지는 것이 중요할 텐데요.
15/03/23 15:09
제가 퇴보했다고 보는 건, 테크니컬한 면도 있지만
정부의 역할이 시대를 거스른다고 생각하기 때문입니다. 전 정부가 금융관련 보안에 대해 제도 및 규제를 마련해 주고, 실제 시행은 시장과 업체에 맡기되, 보안이 뚫리면 법안에 근거하여 엄격하게 다스리면 보안 문제가 해결될 것으로 보거든요. 그런데 정부는, ActiveX를 없애야 된다느니, 핀테크를 해야 한다느니 하면서 오히려 상황을 복잡하게 만들어 가고 있어요. 정부의 특성 상, 쉴새없이 변해가는 금융과 IT를 따라가며 통제할 수 없는데두요. 그러다보니 계속 기형적이고, 임시방편적인 방안들만 나오는 것 같습니다.
15/03/23 15:16
님은 EXE로 대체되는 것에 대한 부정적으로 보여지는 변화는 몇줄만 읽고도 빠르게 내리시고
간편결재로 대체되는 긍정적인 변화는 기다렸다가 결과를 보고나서 해야하는 것으로 인식하고 계신겁니다. 그게 옳은 자세라고 생각되지도 않고요
15/03/23 15:23
근데 사실 부정적인 건 긍정적인 것보다 좀 더 적극적으로 반론을 제시할 필요가 있어 보입니다.
긍정적인 변화와 부정적인 변화 둘다를 똑같은 무게로 바라보는 것도 그렇게 바른 자세라고는 보이지는 않네요.
15/03/23 15:32
긍정적인 변화와 부정적인 변화를 병행시행한다는것을
같은 정량으로 바라본다고 해석하며 타인의 말을 돌려주려고 하시는것이야말로 옳은 자세는 아니겠죠.
15/03/23 15:35
Love&Hate 님// 아뇨 병행시행한다고 해서 둘다의 결과를 기다렸다가 같이 판단해야 한다는 자세가 옳은 자세가 아니라고 말씀 드리는 겁니다.
둘중 어느 하나라도 부정적인 변화라고 생각된다면 그쪽을 먼저 반응하는게 보다 적극적이고 바른 자세라고 생각한다는 이야기입니다. 님이 위에 이야기한 "그게 옳은 자세라고 생각되지도 않고요"라는 말에 대한 반론입니다.
15/03/23 15:38
병행시행이라는 것은 선택권을 주는 행위입니다.
그것은 긍정과 부정을 같은 정량으로 바라보는 행위라 볼수 없겠죠. 이 말씀에 대해서 이해하시리라 봅니다. 한사건에 부정적일것이라 생각되는 면에대해서 먼저 반응할수 있습니다. 부정적인 방법과 긍정적인 방법을 병행시행하는것은 그것과는 분명히 다른 경우입니다. 다른 경우를 들고와서 상대의 말을 돌려공격하는 행위가 옳지 않다는겁니다.
15/03/23 15:44
Love&Hate 님// 저도 보안쪽 전문가가 아니니까 일반론적인 이야기를 하는 것입니다만 부정적인 것과 긍정적인 것 두가지를 선택권이라는 명분으로 동치할 수 없다고 생각합니다. 어떠한 경우라도 부정적인 변화가
예상되는 경우라면 선택지로 둬서는 안되겠죠. 물론 그게 정말로 부정적인 변화로 예측이 가능해야겠지만 부정적인 변화라고 주장하는 본인의 생각에 따라 두가지 선택권을 병행시행하더라도 그걸 선택권으로 보지 않고 부정적인 변화에 집중하는 것이 잘못된 자세라고는 생각하기 어렵습니다. 물론 위에 댓글 다신분이 실제 어떤 생각인지 정확히는 모르겠습니다만 Love&Hate 님의 댓글에 위화감이 느껴져서 댓글 달아봤습니다.
15/03/23 15:47
Love&Hate 님//
1. 전 'exe'와 '간편결제' 두 건에 대해, '악'과 '차악'이라고 생각합니다. '부정적'과 '긍정적'인 측면이 아니라요. 자세한 이유는 제 아래 댓글을 보시면 될 것 같습니다. 2. 이 경우는 '병행시행'이라는 것 자체가 현행유지 내지 퇴보입니다. 다양한 금융기관이 존재하는데, 결국 어떤 곳은 exe를 쓰고 어떤 곳은 간편결제를 쓰는 거거든요. 저처럼 여러 개의 금융기관을 사용하는 사람이면, 기존과 마찬가지로 보안프로그램이 PC에 깔리는 걸 막을 수가 없겠죠. 각 금융기관이 결제 절차에 대해 통일성을 갖지 못 한다는 점에서, 외국의 유사 업체와 비교했을 때 경쟁력이 떨어지는 것도 마찬가지일 거구요.
15/03/23 15:55
분수님//
부정적인 결과를 예상시키는것을 선택지로 남겨둬서 안될이유는 없습니다. 선택지는 선택지거든요. 세상일이 긍정 부정으로 딱 떨어지는게 아니라는것 아실겁니다. 그런 이유입니다. 그리고 충분히 성급한 판단이고 객관적이지 못한 자세 맞습니다. 이미 판단을 내려버렸으니 같은 관점에서 안봐지는거죠.
15/03/23 16:15
Love&Hate 님// 글쎄요. 부정적이니 결과를 예상하는 걸 개개인이 선택하는 거야 개인선택의 결과니 안될 이유가 없습니다만 보안이라는 명목으로 행하는 절차를 그렇게 모든 것에는 다 이유가 있다는 식으로 퉁치면
안 될 듯 싶습니다만... 세상일은 그렇습니다만 보안이라는 측면에서 보면 그러면 안되겠죠. 미라클양님이 판단을 내림에 있어서 그게 충분히 논리적이냐 아니냐가 중요한 것 같은데 충분히 성급한 판단이라고 하신 그 병행시행에 대해서 저 역시 부정적이라 논의가 이어지긴 어렵겠네요. 그럼 수고하세요.
15/03/23 15:30
앞서 말씀드린 대로, '간편결제' 등의 방안 자체가 기형적이라고 생각하고 있습니다.
정부가 직접 나서서 보안에 대해 개입하고 있는데, 그게 기껏해야 카드사가 개별적으로 나서서 만드는 '간편결제'가 현재로서의 최선책이라니요. 해외 쇼핑몰에서 페이팔/카드결제 식으로 결제방식을 나누는 경우는 있죠. 하지만 '보안을 위해 프로그램 덕지덕지 깔래 / 일부 카드사로 간편하게 결제해 볼래' 이런 건 정상적이지 않다고 봅니다. 전 개인적으로 독재에 찬성하지 않지만, 앞선 글의 싱가포르 사례처럼, 통제와 억압으로 좋은 결실을 얻어내었다면 재평가의 여지는 있겠지요. 하지만 정부의 엄포와, 이로 인해 각 금융업체에서 부랴부랴 주먹구구식의 대안을 내놓는데, 어찌 좋게 평가할 수 있을까요.
15/03/23 16:02
읽어도 뭐가 기형적이고 문제라는건지 모르겠습니다.
보안프로그램의 필요에 의해 EXE로 존속시키고 결재의 편의성을 위해 보안프로그램이 필요없도록 가맹점과 협의중인건데요. '카드사가 나서서 만드는' 이라는 표현도 모르겠네요.
15/03/23 14:49
아무리 생각해도 exe가 더 위험해 보이네요.
액티브엑스는 최소한의 무결성 검증이라도 윈도우에서 해주지만 exe는 유저가 받아서 설치하면 그냥 깡으로 깔리는거 아닙니까? 설치페이지 해킹해서 다운로드 경로만 바꾸면 줘털리겠네요 후덜덜
15/03/23 15:13
다른건 다 떠나서 EXE로 하는건 더 위험합니다.
차라리 ActiveX가 보안적으로 더 좋으면 좋았지(그렇다고 좋은건 아닙니다.) 이제 사용자들은 EXE 설치도 확인도 안해보고 할껍니다. EXE로 설치되면 많은 부분의 보안의 허점을 뚫을 수 있을꺼니깐요. 그리고 ActiveX를 통한 해킹기술은 EXE도 동일하게 적용 가능합니다. 피싱사이트로 인한 EXE 설치 피싱에 걸릴경우 좀비피씨만 되는게 아닙니다. 더 큰 문제를 야기할 수도 있습니다. 그동안은 조그마한 구멍을 뚫었다면, 이번에는 모든 창문과 대문을 열어 줄 수 있을 꺼 같네요.
15/03/23 15:33
보알못이라서 질문합니다.
혹시 액티브 액스는 장점은 없나요? 개인정보 털리는 건 이 이슈랑 관계가 없는 것 같고 해외직구를 자주하다 보니 해외에는 해킹으로 인한 카드결제도용사례가 종종 있거든요. 그런데 국내에서는 그런 소식은 잘 안 들려서 혹시 보안 측면에서 액티브 엑스의 티끌만한 잇점이 있나 해서요. 그리고 결제툴 제공하는 업체가 몇 개 안 되지 않나요? 정부 주도로 설치 빈도 높은 결제수단의 통합결제설치파일 등을 배포하는 등의 방법은 너무 위험할까요?
15/03/23 15:42
사실 절차가 복잡해지면, 보안이 강화되긴 하죠. ActiveX 방식을 떠나, 많은 보안 절차를 거치는 탓에, 국내에서 시스템을 통한 해킹은 외국에 비해 적은 편일 겁니다.
비유를 하자면, 튼튼한 문 1개로 방어할 것인가, 누더기 문 여러개로 방어할 것인가의 문제인 것 같은데요. 당장은 누더기 문 여러개로 방어하는 게 덜 뚫리겠지만, 새로운 기술(문을 더 튼튼하게 만드는 기술)이 생기고, 새로운 이용자가 생기면, 누더기 문을 유지하고 개선하는 건 추가적인 비용이 들 테니까요.
15/03/23 16:10
사실 근데 안전하기 이를 데 없어 보이는 페이팔 계정도 해킹을 당하거든요.
다만 페이팔은 다양한 구제수단을 마련함으로서 안전한 결제수단이라는 이미지를 많이 구축한 것 같구요. 개인적으로 보았을 때 이런 최첨단 IT 인프라가 마련된 곳에서 이런 덜떨어진 결제방식은 각종 업체들이 보았을 때는 거의 노다지나 다름 없다고 생각 하거든요. 이렇게 사용자요구가 엄청난데 정부가 언제까지 기존의 방식 + 미봉책 만으로 버틸 수 있을지 궁금하기도 하구요. 그래서 이렇게 버텨온 것에는 일말의 장점이라도 있지 않았을까 하는 의문을 제기한 것이구요.
15/03/23 16:41
장점은 분명히 있습니다. 복잡한 만큼, 정보가 조금 유출된 정도로는 결제에 구멍이 뚫리지 않거든요.
페이팔 같은 경우, ID와 PW만 유출되면 잘못된 결제가 이루어질 수 있죠. 페이팔이 잘 하더라도, 동일한 ID와 PW를 쓰는 다른 업체가 뚫린다면, 페이팔까지 같이 뚫리는 거니까요. 국내 업체는 훨 낫죠. 보통 쇼핑몰의 ID/PW, ISP비밀번호, 공인인증서 및 비밀번호(금액이 클 시) 까지 요구하니까요. 하나 정도 뚫리면 영향이 없습니다. 다만, 이렇다보니 책임까지 분산되죠. 개인이 카드를 사진찍어 핸드폰에 넣어다니다 유출되도, 기업이 주민번호/ID/PW가 해킹되도, 결과적으로 별 일 없으니까 괜찮다고 생각하는 거죠. 그런 점이 정부/업체/개인을 결제 절차에 보수적이게 만들고, 글로벌 트렌드에 뒤쳐지게 하게 만들 수 있는 거죠. 보안 체계가 구축되지 않은 상태에서 전자상거래를 급속하게 쌓아올리기 위해, 정부와 금융/IT업계는 많은 노력을 해왔습니다. 사실 우리나라 인터넷 구매는 국내 사용자 기준으로 편하고 안전합니다.문제는 그런 환경에서 외국과 보조를 맞추려니, 이제는 변화가 필요한 것이구요.
15/03/23 15:57
정상적인 기준으로 볼때 장점이라면 MS의 인증을 받아 신뢰할만한 제공자의 프로그램만을 실행시킬 수 있고, 해당 페이지를 이용할때만 프로그램이 돌아가며, 웹브라우저를 껐을때 모든 관련 동작이 종료됩니다. 인데요..
현실은 인증을 받기 싫으니 그냥 검증되지 않은 사용자의 ActiveX 관련 자료를 설치하게 만들고 있고(특히 갑사들 입찰 사이트...), 해당페이지를 이용하지 않으나 프로그램이 백그라운드에서 돌아가고(n.....) 웹브라우저를 꺼도 돌아가고 있습니다. 정부 주도로 통합결제 파일을 만든다고 하면 그 안에 못들어가는 업체는 죽으란거고, 이후에 그 안에 들어가려고 할때 기존의 업체들의 반발이 엄청날거라.. 가능하면 이런 부분에선 정부가 완전히 공평하게 뭘 해줄게 아니면 손 안대는게 정답이라고 봅니다.
15/03/23 16:01
음 마지막에 언급한 건 완전 정부 주도로 인가하여 해당프로그램 아니면 결제가 불가능한 수준이 아니라
높은 빈도 상위 10개 사이트의 10개 프로그램 등을 통합하여 배포하면서 결제가 가능한 사이트 목록 등을 공시하여 사용자편의를 좀 높일 수 있지 않을까 해서요. 뭐만 결제하려고 하면 페이지 새로고침에 스트레스가 커서.. 그리고 결제툴 같은 경우에는 이미 정부에서 인가가 떨어져야 적용이 가능하지 않나요?
15/03/23 16:06
상위 10개가 아닌 사이트는 그럼 뭐 어떻게 해야 하는가.. 라고 보셔도 됩니다.
결국엔 그 뭔가에 끼지 못하는 사이트(몰이든, 은행이든 등등...)거나 제공하는 솔루션 회사들은 허들을 못넘었을때 의도치 않은 격차가 생겨버리는거죠 사용자의 편의를 고려하면 나쁜 방안이 아니나, 위에도 설명드린것처럼 웹브라우저가 켜지든 꺼지든 돌아가는 원치 않는 프로그램이라는 점에서 그 경우는 거의 최악의 케이스급으로 생각합니다.
15/03/23 16:17
상위 10개 라는 표현은 그냥 막연한 수준의 것이었구요.
그러니까 저는 보안을 완전한 사적 영역으로 보는 것이 아니라 정부가 안전하고 빠르고 접근하기 쉬운 웹 환경을 만들어 가는데 있어서 일정부분의 공공 영역이 존재한다고 보아서요. 저도 입으로 들어가는 것 이외에는 거의 해외직구를 애용하다 보니 웹 환경이 이렇게까지 될 때까지 정부는 무엇을 하고 있었나 하는 의문도 들고 해서 제시했던 하나의 예시구요. 당연히 저 같은 골수 문돌이가 1분도 안 되는 시간에 내 놓은 것이 좋은 해결책 일 리가 없겠지요.
15/03/23 16:07
기사내용이 잘 이해가 안가네요
액티브X를 대체해서 exe를 만들어 냈고 26일부터 시행한다는데 내달부터는 이게 필요없는 시스템을 또 시행한다고 나옵니다 한달도 안가서 필요없어질 exe를 왜 만드는건가요? 제가 이해를 잘못한건지 기사가 애매하게 쓰여진건지..
15/03/23 16:36
전 Active-X를 exe로 전환한다고 해서 문제된다는 주장을 이해하기가 어렵습니다.
다들 아시겠지만 현재 이 분야에서 나름 강성이 OpenWeb이고, OpenWeb에서 주장하는 바를 가장 완성도 있게 실현한 곳이 우리은행 오픈뱅킹이죠. 물론 크롬 등의 브라우저에서 원활하게 돌아갑니다. [OpenWeb: 우리은행 오픈뱅킹의 의미 (http://openweb.or.kr/?p=3059)] 당시 오픈웹이 극찬했던, 다른 은행 사이트들과 차별화된 점은 다음과 같습니다. 1. SSL 암호화 사용 2. Flash 사용 안함 3. 보안 프로그램 필수 아닌 권장 4. Active-X 사용 안함 우리은행은 무슨 수로 보안 프로그램을 Active-X를 통하지 않고 권장 배포할 수 있었을까요? 당연하게도 exe 입니다. 우리은행이 하는 건 괜찮고, 정부가 하면 욕하는 건 무슨 논리인지 모르겠어요.
15/03/23 16:42
링크 내용을보면 exe를 설치해야한다는 말이 보이지 않습니다. 본문 4번의경우 [금감원도 보안3종세트에 대하여 유저가 원하면 “미설치할 수 있다는 의미”라고 공식적으로 민원회신 하였습니다.] 라는 부분도 있고 리플들을 더 읽어보면 [암호화 프로그램은 국내규정상 어쩔 수 없이 설치해야 된다더군요. 설치하자마자 지워도 뱅킹에는 문제가 없답니다.] 와 같이 없어도 되는 이야기만 나옵니다.
우리은행도 안하려고 하고있고, 정부가 하도록 강요하는 글로밖에 안보이는데, 다른글을 링크로 하신건지요;
15/03/23 16:51
exe 설치는 오픈뱅킹에 접속해 보시면 확인해 보실 수 있습니다.
제가 말하고자 하는 바는 보안 프로그램을 제공하려면 active-x나 exe를 통할 수 밖에 없다는 거죠. active-x는 악의 축이고 exe로도 안된다는 건, 결국 보안 프로그램을 선택적으로도 제공할 수 없다는 뜻입니다. 그게 올바른 길인가? 글쎄요, 온라인 뱅킹 피해액 규모를 보면 전혀 그렇지 않다고 말하고 싶군요.
15/03/23 16:56
원문을 찾아서 말씀드려야하나 수업이 급해 올려주신 블로그에서 발췌합니다.
우리은행측은 nProtect 등을 사용하지 않고 순수 웹 방식으로 제공하려고 했지만 감독 기관의 제지를 받아 어쩔 수 없이 nProtect, XecureWeb 등을 설치하게 했다고 합니다. 우리은행측 최종 목표는 플러그인 없이 웹만으로 인터넷 뱅킹 서비스를 제공하느 것이라고 합니다. 우리은행의 목적은 순수 웹으로 해결하는 것이고, 정부 제지로 어쩔수 없이 하는 것입니다. 은행판단은 웹만으로 충분하다는것이죠.
15/03/23 17:06
먼저, 리눅스에서 오픈뱅킹에 접속해 보면 ubuntu/fedora 용 보안 프로그램을 깔아달라고 하는 내용이 나옵니다.
MAC 에서는 조금 다른데(설치가 잘 안되네요.) 브라우져마다 조금 다를 수 있지만, 아마 전체 설치 항목이 있는 것으로 보아 pkg 몇 개는 깔아야 하나 봅니다. (그런데 제 기억에 최초에 우리은행 오픈뱅킹이 열였을 때에는 dpkg 설치가 없었던 것으로 기억하는 데 아닌가요?) 하지만, OpenWeb 이 상기 링크에서 주장하고 싶은 점은, [IE에서 액티브액스를 사용해야만 ‘안전’한 거래가 가능하다는 주장] [천문학적인 돈이 든다] 는 기존 보안 업체들의 주장에 대한 반증 정도일 뿐, 우리은행이 ActiceX 에서 exe 로의 이동이 충분하다거나 하는 다른 측면은 잘 모르겠습니다. 다만, exe 문제에서 사람들이 반응하는 점은, [ActiveX 없애서 "천송희코트" 를 중국에서 구매할 수 있게 하겠다]는 대통령의 말씀을 exe 로 전환하는 것이 무슨 문제를 해결할 수 있는지 모르겠고, 이른바 조삼모사 아니냐는 측면이었죠. 이에 대해서, 일단 뱅킹은 ActiveX 에서 exe 변경으로 브라우져 의존성을 없애는 것으로 온라인쇼핑은 기사에서 언급한 바와 같이 별도의 설치가 필요없는 구매 방식을 내어 놓는다고 하니 좀 더 지켜 보아야 할 것 같긴 합니다. 다른 대안이 있는 지에 대해서는, 우리은행이 시도하고 있는 그리고 타 해외 기관이 채택하고 있는 ssl 기반 방식이 상대적으로 N사 방법에 비하여 얼마나 문제가 될 수 있는 지는 보안 전문가 분들이 판단해 주시겠죠.
15/03/23 17:22
OpenWeb에서 최종적으로 주장하는 바는 보안 프로그램 권장도 없는 것이지요.
하지만 금감원이 이를 불가하다고 밝히고 있고, 제 생각 또한 그러합니다. 그렇다면 보안 프로그램을 배포해야 하는데 어떻게 하느냐? 에 있어서 기존에는 Active-X로 제공해 왔습니다만, Active-X는 익스플로러에서만 실행할 수 있다는 치명적인 약점이 있어 브라우저에 대한 소비자의 권리 박탈에 가깝다는 문제가 있었죠. 이를 우리은행은 exe로 제공하는 방식으로 우회했고, 이를 통해 브라우저 종속성이 사라졌으니 OpenWeb에서도 이를 반긴 것이지요. Active-X에서 exe로의 전환은 적어도 브라우저 종속성 측면에서는 "더 나아졌다."라고 판단할 수 있습니다.
15/03/23 17:35
exe 전환이 [더 나아졌다]고 해석하실 수 있다는 점은 이해하지만,
그것이 최선인가? 에 대한 답은 동의하기가 어렵네요. 직접적인 질문으로, 다른 대안, 특히 OnlyWeb ssl 기반 방식이 기존의 exe 방식에 비하여 어떠한 보안 약점을 가지고 있는 지를 공유할 수 있다면 좀 더 쉽게 논의가 될 것 같습니다. 금융기관이 불리할 수도 있을 것으로 예상되는 법적인 책임 문제, 서버 구축을 위한 비용 문제는 뒤로 미뤄두고, 보안 측면에서만큼은 대부분의 방식이 거의 대동소이하다고 이해 했었는데, 제가 보알못이라 더 큰 약점이 있다면 이에 대해서 말씀해 주시면 좋을 것 같습니다. 우리나라에서 ZeuS 봇으로부터 안전한 지역이었다면, 그리고 복잡한 인증 절차가 도움이 되었다면, 복잡한 인증 절차를 그대로 웹에서 구현한다면 비슷하지 않을까 하는 일감이 듭니다만...
15/03/23 17:54
SSL은 EXE와 전혀 관계가 없습니다.
인증 방식: SSL, 공인인증서 ... 보안 프로그램: 키보드 보안, 백신, 방화벽 .... 보안 프로그램 전달 방식: Active-X, EXE 문에 비유해서 좀 풀어보자면 인증 방식은 열쇠냐, 전자키냐 같은 거고요, (따라서 필수) 보안 프로그램은 문의 재질, 경보기, 외부인 확인유리 같은 부가적인 보안 장치고, 우리나라 금감원 입장은 최소한 철문에 경보기는 달려있어야 해~ 라는 겁니다. 반대하는 입장은 내가 무슨 문을 하건 뭘 달던 니가 무슨 상관이냐, 철문 달아준다고 와서는 도둑놈이 몰래 종이문 달아놓고 가면 어떻게 하냐는 거죠. 그리고 전달 방식은 온 세상 철문을 익스플로러가 독점해서 달아주고 있었다고 보시면 됩니다. 참고로 제가 언급했던 ZeuS는 나무문짝 달아놓은 집마다 족족 뜯어내고 탈탈 털어간 놈입니다.
15/03/23 18:33
말씀해 주신 내용은 잘 알겠습니다만, 보알못이긴 해도 Web알못은 아니라...
제 질문은 과연 보안 측면에서 얼마나 큰 차이가 있느냐는 질문입니다. 비교 상대는 (제가 설명이 부족했나 봅니다.) 별도의 보안 프로그램을 아예 사용하지 않거나, 혹은 필요하다면 시스템 환경에 의존적이지 않은 방법 (flash, 자바, ActiveX(IE의 경우에만) 등등) 금융기관의 인증서만 다운받은 ssl 기반의 OTP 를 부가한 2차 비밀번호 설정방식을 사용한, OnlyWeb 방식 과의 비교이겠죠. 제가 보알못이라 좀 더 진보한 방식이 있겠지만, 일단 OnlyWeb 방식이라 함은 제가 아는 범위에서는 위와 같습니다. 제가 알기로 상기 방식을 채택하고 있는 은행에서도 문제가 많은 것으로 들어서 도찐개찐이지 않을까 생각은 듭니다. 우리은행 오픈뱅킹 사례에서도 나와 있듯이, 별도의 보안프로그램이 없이도 큰 문제가 없다고 하는 은행 의견이 있다는 점은, ActiveX 방식이든, exe 방식이든 SSL+OTP 방식이든 유출 가능성은 대동소이하지 않냐는 질문이죠.
15/03/23 18:48
SSL은 아예 층위가 다른 내용이고요,
말씀하신 건 결국 보안 프로그램을 OTP가 대신할 수 있냐 없냐의 문제인데 1. RSA(보안업체)에서 OTP 핵심정보 유출되면서 국내 OTP 생성기 110만개 가량을 교체해야 했음. 2. 편의성 문제로 개인 의무화 반쯤 포기 ("그거 귀찮아서 어떻게 들고 다님? 모바일 시대에 가당키나 함?" 쯤 됩니다.) 3. OTP 전문 피싱 사이트 개설 등등 해서 일단 현재까지는 OTP가 보안 프로그램을 완전히 대체한다는 건 무리가 아닌가 싶습니다.
15/03/23 21:16
저도 SSL + OTP 정도면 괜찮다고 생각합니다. 하지만 완벽한 해결책은 아닌 것이, OTP가 설정되었다고 하더라도 키로그를 막을 수는 없습니다. 이런 공격을 생각해 볼 수 있겠죠:
1. 사용자가 OTP 비밀번호 123456을 입력 2. 해커가 키보드 입력을 가로채어, 자신의 컴퓨터에서 OTP 비밀번호를 먼저 입력. 그리고 사용자 컴퓨터는 틀린 비밀번호를 치게 됨 3. 사용자는 OTP 비밀번호가 틀렸다는 응답을 받게 됨. 비밀번호는 ****로 나오니까 우리는 비밀번호가 진짜로 틀린 것인지, 아니면 해커가 조작한 것인지 구분하지 못합니다. 비밀번호는 으레 잘못 입력하곤 하는 것이니까, '아, 내가 실수했나보다'할뿐이죠. 4. 해커의 결제 성공! 더 가능성 높은 해결책은 오히려 공인 인증서쪽에 있습니다. 사실, 솔루션도 이미 나와 있습니다! '보안 토큰'이라는 게 그것인데요. 찾아 보니 우리 은행은 이미 지원합니다. https://sccd.wooribank.com/ccd/Dream?withyou=CTCER0030 http://blog.naver.com/yuri5374/220203343964 이 방식은 공인 인증서를 [별도로 마련된 특수한 하드웨어], 보통 USB로 연결되는 카드에 저장하는 것입니다. 이 카드는 일반 USB 카드와 달리 공인 인증서를 빼낼 수가 없습니다. 자체적으로 계산 기능이 탑재되어 있어서 전자 서명을 자기가 알아서 수행합니다. 이론상 완벽하죠. 다만 가격이 비싸다는 것이 흠입니다. OTP 3천 원도 비싸고 불편하다고 일반 대중은 잘 안 쓰려고 하는데, 가격은 10배 비싸고 OTP보다 훨씬 더 불편한 물건이라서... 만일 법으로 저런 장치가 의무화된다면 보안상으로는 더할 나위 없이 좋겠지요. 비용이 좀 들긴 하겠지만요. 그 날이 오기 전까지는 은행도 울며 겨자 먹기로 보안 프로그램으로 버티려는 유횩을 안 느낄 수가 없습니다.
15/03/23 17:41
컴알못인데 늘 궁금했던게 아마존에서 킨들 이북 결제할 때 보면 그냥 기본 카드 정보 입력해 놓은 상태에서 그냥 버튼 하나만 누르면 결제가 완료되더군요...그런데 너무 간단하니까 오히려 무슨 보안 프로그래 안 깔아도 괜찮은 건지 오히려 걱정이 되기도 하더군요...그런 사이트들은 어떻게 보안을 유지하는 것인지 궁금하긴 하네요...
15/03/23 18:12
뭐..... 인터넷 태동기에 쌓아놓은 짓거리들을 한번에 메꾸긴 어렵죠....그래도 참 안타깝네요. 저걸 결정하는 사람들이
저정도로 새대가리는 아닐것인데...
15/03/23 19:19
제가 해커라면..
호스트 변조 후 피싱 사이트를 통한 exe 류의 파일 배포 호스트 정상화 요렇게 가면 좀비류들 꽤 많이 만들 수 있겠네요.exe 만쉐!
15/03/24 10:18
근데 [카드사들은 액티브X 폐지에 이어 내달부터는 보안프로그램이 아예 필요없이 아이디(ID)와 패스워드(PW)만으로 결제 가능한 간편결제를 시작한다.]
라고 하는데 exe로 바꾸는 짓은 왜 하는거죠..? 한달만 액티브x 더 쓰고 바로 그냥 간편결제로 가버리면 되는거 아닌가요?
15/03/24 17:25
일단 저런 보안 프로그램이 어느 정도는 도움이 된다는 점은 인정해야 합니다.
저거 없어도 괜찮다고들 하시는데.. 사실 진짜로 없었으면 훨씬 더 쉽게쉽게 뚫렸죠. 보안 프로그램이 아무 쓸모가 없다.. 라고 생각하기 때문에 불평이 나오는건데.. HTTPS만으로 충분하다는건 너무 지나친 의견입니다. HTTPS는 어디까지나 네트웍 상의 패킷에 대한 보안만 제공하는건데.. 키보드 보안 프로그램으로 막을 수 있는 방식의 키로거 방식의 해킹을 HTTPS가 막을 수 있나요? 완전 별개잖아요.. 물론 저도 패킷 암호화 프로그램을 추가로 까는건 참 삽질스러워 보이긴 한데 그외의 보안 프로그램들은 그래도 나름 의미가 있다고 생각합니다.
|