|
:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
15/07/14 09:51
하드웨어 장치에 개인 정보를 박아넣으면 그 하드웨어는 어떻게 버려야하는 거죠?? CPU도 하드처럼 쉽게 썼다 지웠다 가능한 건가요?
15/07/14 09:53
이번 개발에서 한국정보인증은 인증 인프라를, 인텔은 하드웨어 플랫폼을, 플라이하이는 솔루션을 각각 담당했다. 인텔의 하드웨어 기반 개인정보보호기술인 'IPT(Identify Protection Technology)'를 활용해 PC의 CPU 칩에 공인인증서를 저장한다.
인텔에서는 쓰라고 만든거 써주니 땡큐해할 문제고, 크게 뭐라 하긴 그렇네요. 인증서를 불러오는 방식이 별도의 이상한 Addon만 안쓴다면야 찬성하고 싶은데요 -_-; 실제 인텔 플랫폼 설명 페이지에 가봐도 온라인 뱅킹 데모 관련내용은 있네요(2013년 꺼라는건 함정) http://ipt.intel.com/Home
15/07/14 13:59
문제가 되는거야 뭐 예나 지금이나 국제 표준인 SSL 인증서가 아닌 SEED 기반의 공인인증서 라는게..
CPU에 공인인증서를 저장하겠단 얘기는 별도의 이상한 Addon을 무조건 쓴다는 얘기가 되겠죠.
15/07/14 14:06
그 부분은 우려되는 부분이기도 한데 일단 기사상에 나온 짤방(!?)을 보면 Windows에서도 IPT와 관련한 인증을 지원하는게 아닐까 일단은 보여집니다.
저도 공인인증서와 관련한 ActiveX및 Add-on에 대해서라면 누구보다 싫어하고 만악의 근원이라고 하루종일 욕을하라면 할 수 있는 사람이긴 한데, 중간에서 하드웨어 플랫폼을 지원한 인텔이 바보짓 하도록 그냥 내버려두진 않았지 않겠나 봅니다. 아래에 댓글로도 적었지만 인텔의 CPU의 특정 부분에 접속을 하는데 내부코드를 전부 오픈하지 않는이상 그것에 마구잡이로 가능한 기술력이 국내에 있을지도 의문이나 만약 있다고 하면 기존의 ActiveX와 같이 관리자 권한을 다 풀어야만 인터넷이 가능할테니 인텔이 협조를 하진 않을거라고 봅니다. 결국 접속가능한 별도의 API같은 뭔가가 있을것인데 결국 OS에서 같이 가야하니 MS와도 협력관계가 있지 않을까 예상이 됩니다. 실제적인건 해당 회사가 기술백서를 한글로 공개해준다면 보고 생각해봐야겠습니다만.. (...)
15/07/14 12:13
아니, 꼭 웹 브라우저를 이용해서 다 구현할 필요가 있는지부터 모르겠어요. 그냥 전용 클라이언트 만드는 게 낫지 않나 싶을 때가 한 두 번이 아니던데...
15/07/14 12:54
정부만 문제로 볼께 아니라 이거 국내 업체로는 대안이 없는 수준아닌가요?
한글도 모르는 바보가 아닌 이상 해외 보안 사례도 충분히 분석을 했을 것이고, 당장 이걸 도입하면 엄청난 칭찬 세례가 올 것 본인들도 알꺼라고 봅니다. 그래도 안하는거면 뭔가 있는거죠.. 이것도 아니라면 정말 노답 그 자체겠지만..
15/07/14 12:54
비밀번호 자리수좀 그만 늘렸으면 좋겠어요.
영문 4자리 => 영문 6자리 이상 =>영문, 숫자 포함 6자리 이상 => 영문, 숫자, 특수문자 포함 10자리 이상... 대체 이걸 어떻게 외우라는건지..거기다가 그걸 또 자주 변경하래요. 참내.
15/07/14 12:59
+연속된 숫자는 불가.....
근데 웃긴건 몇몇 은행 사이트들은 가입시 비밀번호 조건하고, 비밀번호 변경시 비밀번호 조건이 달라요. 어려운 비번으로 가입하고, 비번 변경으로 쉬운 비번으로 변경가능......!
15/07/14 13:05
기본적으로 개인의 탓으로 돌리고 싶어 하니까요.
비밀번호 정책 바꾸는건 간단하기도 하고, 우리는 이만큼 했다 라고 생색 낼 수도 있구요 크크; 이러면 잘 못외우는 사람들은 어디다가 적어놓습니다. 그러다 그게 털리면 개인탓으로 몰겠죠 크크.. 어디 한번 해킹으로 털릴때마다 자릿수가 늘어나는 마법;
15/07/14 13:21
비밀번호를 단순하게 설정한건 개인의 탓이 맞습니다. 가장 기초적이고 중요한 보안 수단이 비밀번호인데 복잡한 비밀번호도 싫다 이것도 싫다 저것도 실하다는건 아니라고 봅니다.
15/07/14 14:12
제가 불만인건 권고사항이 너무 자주 바뀐다는 겁니다. 그리고 공공 기관 조차도 권고 레벨이 제각각이고 통일되어 있지도 않아요.
차라리 정책을 동시 시행하게 해서 한꺼번에 바꾸게 한다던지 하면 좋겠네요. 그리고 우리나라는 외국처럼 비밀번호 하나로만 진행하는 프로세싱도 딱히 아니지 않나요? 상대적으로 쓸데없이 깔아야 될건 많고 보안절차도 복잡 합니다. 차라리 비밀번호 정책 완전 빡세게 해도 좋으니 외국처럼 비번 하나만 있었으면 좋겠습니다. 뭔 결제 하나 하는데 원래 요구하던 것도 엄청 많으면서 권고 사항도 점점 늘어나니, 비밀번호가 기초적이고 중요한 보안 수단이라는건 알고있습니다만 어느정도 불만도 나올 수 있다고 봅니다.
15/07/14 15:30
비밀번호 하나만으로 보안이 되기는 어렵죠. 비밀번호에 대한 권고사항이 바뀌는건 비밀번호를 그만큼 단순하게 설정한 사람이 많았기 때문이고요. 가장 기초적이고 중요한 보안수단인 비밀번호 정책은 어쩔수 없는 부분이고, 또한 당연한 거 부분입니다. 추가적인 보안수단은 논외로 하더라고요. 비밀번호 정책이 복잡하다고 불만을 가진다는건 집 열쇠 아무나 가져가라는 것과 다를 바가 없습니다.
15/07/14 16:09
비밀번호 하나로 왜 안되는지 궁금하네요.. 아마존 이용해봐도 사용자가 알아야 될건 비밀번호 하나 뿐이던데요? 카드는 한번 등록하면 끝이구요.
사용자 입장에서 추가적인 보안수단이 논외가 될수가 없죠. 공인인증서나 설치할 플러그인만 봐도 이나라의 보안 체계는 사용자한테 요구하는게 너무 많다고 생각합니다. 위에도 말씀드렸지만 저는 단순히 비밀번호가 복잡한것이 불만이 아닙니다. 비밀번호 이외에도 이것저것 많이 요구 하면서 그럼에도 권고사항이 너무 자주 바뀌고, 레벨이 너무 제각각인게 불만입니다. 비밀번호 복잡하게 설정하는게 불만이다로 오해하지 말아 주셨으면 좋겠네요..
15/07/14 17:22
2차 보호수단이 필요한 이유가 비밀번호 관리를 그만큼 안하기 때문이죠. 또한 비밀번호 관리도 제대로 안하면서 보안사고는 시스템 탓하는 분들도 너무 많고요(대표적인 사례가 아이핀입니다) 그렇기 때문에 서비스 제공자 입장에서도 이것저것 들러붙는 거죠.
15/07/14 13:20
그런데 비밀번호가 그만큼 중요합니다. 지나치게 심하게 제약을 거는건 문제긴 하지만, 사실 단순한 비밀번호 쓰면서 해킹 당했다고 뭐라하는 경우도 왕왕 있지요. 단순한 비밀번호는 해킹 도구가 없어도 무작위 때려 맞추기 공격(브루트포스) 나 사전 공격에 굉장히 취약하니까요.
15/07/14 13:39
그건 여러가지 해킹 피해 경험이 쌓이면서 가장 해킹하기 어려운 조건으로 진화한 겁니다.
이건 우리나라 뿐만 아니라 외국도 점점 그렇게 바뀌고 있어요.
15/07/14 13:10
근데 윈도우 10에서도 사용할 수 있자나요 지원 하지 않는다는 거는 브라우저 엣지의 경우에 그런거고
IE 11도 같이 사용되는 걸로 아는데요 물론 액티브X는 좀 사라져야 하지만요
15/07/14 13:15
유게에 올렸는데 여기에 먼저 올라왔었네요. 유게글은 지우도록 하겠습니다. 전 아직도 공인인증서라는 것이 왜 필요한지 모르겠고 인텔 기술이라면 AMD CPU에는 어떻게 적용되는 것인가 그것도 궁금하고 공인인증서 따위에 목숨 거는 행태도 싫네요
15/07/14 13:37
유게글에 달았던 댓글도 없어졌네요~
플라이하이는 예전엔 이니텍, 안랩에서 일하시던 분이 올해 4월 중순에 연 법인이네요. 뭔가 국내 보안 전반을 책임지는 일인데, 4월에 연 회사가 잘할수 있을지, 4월부터 개발을 시작한게 아니라면, 동종업계에서 쓰던 기술을 가져와서 하는건지, 왠지 모르게 궁금하네요.
15/07/14 13:50
왠만한 베이스 기술은 인텔에서 API등을 제공했겠죠. 단순하게 OS영역에서 CPU의 특정 부분에 뭔가를 인식가능한 기술인 만큼 접속가능한 뭔가를 제공했을거고 구현이 크게 어렵진 않았을거라고 봅니다.
오히려 이게 인텔을 빼고 놓고 보면 뭐하는 ...... 삽질이냐고 신나게 깔것 같습니다만 인텔조차도 오히려 제발좀 쓰라고 권장하는 기술의 느낌이라 (덕분에 AMD도 비슷한 뭔가를 제공 못한다면 원래도 크게 높지 않던 점유율이 ..) 재미있어보입니다. 지원하는 범위가 샌디브릿지 이후 코어들인거 같은데, 쓰려면 억지로 업그레이드 해야 하는 창조경제 효과가 나올까 싶기도 합니다. 기술이 어려운것 보다는 기술을 어떻게 바꾸느냐에 대해서 윗분들 설득하는게 더 어려운게 이바닥이죠. 이니테크, 엔프로텍트 등등 다니는 그 회사의 개발 엔지니어들도 외부 포럼들 참석하고 ActiveX이야기 나올때마다 까이고 그 부분에 대해 그 회사 다닌다며 수줍게 이야기 하시는 것들도 많이 포럼에서 봤는데 사실 그분들이 실력이 없다가 아니라 결국 그렇게 해야 돈을 버니까 회사에서 요구하는 그쪽에 치우친 뭔가를 하고 있는 환경이 문제라고 볼 수 있습니다.
15/07/14 13:38
내용도 잘 모르고 일단 까는 것 같은 댓글이 굉장히 많네요...
액티브 X 관련해서는 백 번 깔 수 있지만, 이건 그것과 다른 내용인데... 위에 Tiny 님이 설명해주셨네요. 보안 자체는 어떻게 해놔도 뚫릴 가능성이 아예 없어지는 건 아니지만 그 뚫리는 정도의 차이가 있고 공인인증서 시스템 자체는 이런 면에서 아주 나쁘지는 않습니다. 액티브 X 통해서 돌아가는게 문제죠.
15/07/14 14:00
사실 '공인인증서' 라는 개념 자체도 좀 문제가 있긴 있습니다. 그 부분 때문에 비판하는건 아닌 것 같긴 한데...
인증서라는게 사실 비대칭키부분이 중요한거지 국가가 공인해주냐 아니냐는 크게 중요한 문제가 아니거든요. 근데 국가부터 시작해서 온갖 기관과 회사들에 거기서 떨어지는 콩고물을 먹고있는 상황이죠. 제가 회사생활을 Signkorea 자회사 비슷한데서 시작했는데 공인인증서란게 봉이 김선달이 대동강물 팔아먹는 것보다 훨 낫더군요. 무에서 유를 창조하니... 솔루션을 아무리 개발해봐야 그냥 알아서 생성되는 인증서 팔아먹는 것보다 돈을 많이 벌 수가 없어서 기술연구소가 아무리 발버둥쳐봐야 찬밥 취급이라 2년도 못다니고 이직했죠. 비트코인은 채굴이라도 해야되지만 공인인증서는 만드는데 1초도 안걸리는데 몇십만원씩 받아먹으니 뭐 공짜로 풀리는 인증서가 더 많긴 하지만, 유료 인증서 몇십만원 하는게 근본적으로 뭐가 다르거나 기능이 추가된게 있느냐? 그럴리가 없습니다. 형태 같은게 표준으로 다 정해져 있으니까... 고객에 관한 정보를 좀 더 자세하게 입력하거나 하는건 있어도 결국 중요한 부분은 하등의 차이가 없죠. 국가가 대동강물 사용권을 맘대로 만들어서 기업에 넘겨주니 '대동강물 회사'에 '대동강물 병 회사' '대동강물 유통 회사' '대통강물 홍보회사' 등등 온갖 회사들이 국민들의 주머니를 털고있는거죠...
15/07/14 14:02
공인인증서 자체가 문제입니다.
표준기술을 사용하지 않았기 때문에 ActiveX 등의 외부 프로그램을 통해서만 돌아갈 수 있거든요. 표준만 썼어도 브라우저에서 자체 지원을 하는데 말이죠.
15/07/14 18:42
내용 잘 봐도 까고 싶어지는데요.
공인인증서의 가장 큰 문제 중 하나가 종속성인데, 1. 하드웨어 플랫폼은 인텔. 다른 CPU는 이 기능을 쓸 수 없겠네요. 2. 솔루션 개발은 플라이 하이. 이거 OS X에서 돌아갈까요? 안 돌아갈 것 같은데 말입니다.
15/07/14 13:54
여기에 관련된 이익집단이 한둘이 아닌데
고작 5년임기인 대통령이 그냥 지나가듯이 한 말 가지고는 박멸이 안되죠 전담팀 구성해서 임기내내 지속적으로 관리해도 사라질까 말깐데
15/07/14 17:20
이 주제에 대해 기술적으로 토론하는게 아무 의미 없어진지 몇년 됐죠
이건 그냥 정치적 카르텔에 관한 얘기라고밖에는 생각할 수 없는 주제입니다
15/07/15 10:45
금융결제원으로 돌아갑니다.
이름만 들어서는 공기업같죠? 사기업.. 이라고 보기는 어렵지만, 비영리 사단법인입니다. 뭐 비영리 답지 않게 수익사업은 맹렬히 하고 있지만요.. https://plus.google.com/102962969752955862255/posts/ZyzxCzFqHEe
|
||||||||||