우체국 리눅스 인터넷 뱅킹 소식

purple의 이미지

디지털 타임즈에 기사가 났습니다.

http://www.dt.co.kr/contents.htm?article_no=2006011702010760600002

보안 강화와 배포판 지원 문제로 예상보다 늦어졌다는군요. 이르면 이번주에 시범 서비스에 착수하고 다음달 중순 경 정식 서비스를 시작할 수 있을 것 같다는 기사입니다.

환상경의 이미지

드디어 가시화 되는군요 ^^

==================================================================
정체된 일상.... 계기를 만들어야 하는데........
BLOG : http://khmirage.tistory.com/

Fe.head의 이미지

Quote:

국내ㆍ외의 다양한 리눅스 배포판을 지원할 수 있도록 해야 하는 것도 준비기간이 예상보다 일정이 늦어지게 된 이유"라고 덧붙였다.

어째 불안하네요.

농협과 비슷한 프로그램이 아닐까하는..

고작 블로킹 하나, 고작 25점 중에 1점, 고작 부활동
"만약 그 순간이 온다면 그때가 네가 배구에 빠지는 순간이야"

세이군의 이미지

fe.practice wrote:
Quote:

국내ㆍ외의 다양한 리눅스 배포판을 지원할 수 있도록 해야 하는 것도 준비기간이 예상보다 일정이 늦어지게 된 이유"라고 덧붙였다.

어째 불안하네요.

농협과 비슷한 프로그램이 아닐까하는..


기사 하단에 이런 말이 있습니다.
Quote:

특히 리눅스 사용자가 별도의 윈도 에뮬레이터(윈도용 프로그램을 리눅스 PC에서 사용할 수 있도록 해주는 도구)를 통하지 않고도 곧 바로 서비스를 이용할 수 있도록 구현된다는 점에서 더 큰 관심을 받아왔다.

이렇다면 농협과는 다르게 가는 것이 맞겠지요.
이한길의 이미지

그렇다면 우체국 통장 만들러 가야겠는데요..흐흐..
농협껀 쓰고 있는데 인터넷 뱅킹이 리눅스에서 영 껄끄러워서..
안하고 있던 중입니다...ㅎㅎ

----
먼저 알게 된 것을 알려주는 것은 즐거운 일이다!
http://hangulee.springnote.com
http://hangulee.egloos.com

dgkim의 이미지

우체국에서 얼마전에 인터넷 뱅킹 신청을 하고, 치약을 받았었는데....

channy의 이미지

저번에도 제가 말씀 드린 바 있지만...

파이어폭스 기반 인터넷 뱅킹 솔루션입니다. 따라서 파이어폭스에서만 가능합니다. 다만 플러그인에 네이티브 코드가 들어있기 때문에 배포판 마다 컴파일을 해야 합니다. 그래서 지원하는 배포판 갯수가 있는 거구요. 아마 6개 정도 될 거라고 하더군요.

맥용과 윈도우용은 한번만 하면 되니 명실 상부한 크로스 플랫폼 인터넷 뱅킹 시도를 해보는 거죠. 사실 이게 정답은 아니지만...

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

정태영의 이미지

드디어 xpcom 으로 xecureWeb 플러그인이 나오는건가요? zdnet 에 예전에 올라왔던 테크기사를 보시면 리눅스용 xecureWeb 얘기가 있었던 기억이 나는군요

하여튼 적어도 현재보다는 더 상황이 좋아질 거라는 점에 기대가 되네요

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

jongwooh의 이미지

channy wrote:
저번에도 제가 말씀 드린 바 있지만...

파이어폭스 기반 인터넷 뱅킹 솔루션입니다. 따라서 파이어폭스에서만 가능합니다. 다만 플러그인에 네이티브 코드가 들어있기 때문에 배포판 마다 컴파일을 해야 합니다. 그래서 지원하는 배포판 갯수가 있는 거구요. 아마 6개 정도 될 거라고 하더군요.

맥용과 윈도우용은 한번만 하면 되니 명실 상부한 크로스 플랫폼 인터넷 뱅킹 시도를 해보는 거죠. 사실 이게 정답은 아니지만...

배포판이라기보다 아키텍처(OS와 프로세서 pair) 마다 달라야 하는것 아닌가요? 배포판마다 다르다면 같은 x86 리눅스라도 레드햇,데비안용 불여우마다 플러그인 컴파일이 달라져야 한다는 소린데.

(어쨋든 x86 리눅스에서 된다는 이야기는 *BSD에서도 에뮬레이션 바이너리를 써서 가능하다는 소리)

you must know the power of dark side.

tinywolf의 이미지

젠투 포티지에 올려달라~~

ㅡ_ㅡ;

dgkim의 이미지

현재, 서버측에선 인터넷뱅킹 플랫폼으로 뭐가 사용되고 있나요?

소프트웨어 배부 및 설치는 클릭킹으로 가능한 것이면 좋겠다는 생각을 해봅니다.
(not tar.gz)

자바애플릿 같은 걸로는 안 되는지.. (XPCOM이 더 효과적인지 모르겠습니다만)

나는오리의 이미지

channy wrote:
저번에도 제가 말씀 드린 바 있지만...

파이어폭스 기반 인터넷 뱅킹 솔루션입니다. 따라서 파이어폭스에서만 가능합니다. 다만 플러그인에 네이티브 코드가 들어있기 때문에 배포판 마다 컴파일을 해야 합니다. 그래서 지원하는 배포판 갯수가 있는 거구요. 아마 6개 정도 될 거라고 하더군요.

맥용과 윈도우용은 한번만 하면 되니 명실 상부한 크로스 플랫폼 인터넷 뱅킹 시도를 해보는 거죠. 사실 이게 정답은 아니지만...

6개라면 어떤 배포판일까요?

부요(여?), 아시아눅스, 우분투, 래드햇, 페도라, 데비안 정도 예상해봅니다.

이한길의 이미지

dgkim wrote:
자바애플릿 같은 걸로는 안 되는지.. (XPCOM이 더 효과적인지 모르겠습니다만)

제가 이런 생각이 들었는데.. 애플릿으로 인터넷 뱅킹이 어떤가에 대한건 말이 없어서 제가 아는게 없어서 엉뚱한 생각을 하나 했습니다..

사실은 어떤가요?

가능하다면 jdk1.1로 컴파일하면 jdk를 따로 설치하지 않아도 ie에서도 잘 되고 다른 어느 플렛폼에서도 브라우저에 자바 플러그인만 가능하다면 될텐데요..

혹시 보안에 문제가 있는건 아닐까 하는 생각을 조심스럽게 해봅니다..

----
먼저 알게 된 것을 알려주는 것은 즐거운 일이다!
http://hangulee.springnote.com
http://hangulee.egloos.com

hys545의 이미지

이한길 wrote:
dgkim wrote:
자바애플릿 같은 걸로는 안 되는지.. (XPCOM이 더 효과적인지 모르겠습니다만)

제가 이런 생각이 들었는데.. 애플릿으로 인터넷 뱅킹이 어떤가에 대한건 말이 없어서 제가 아는게 없어서 엉뚱한 생각을 하나 했습니다..

사실은 어떤가요?

가능하다면 jdk1.1로 컴파일하면 jdk를 따로 설치하지 않아도 ie에서도 잘 되고 다른 어느 플렛폼에서도 브라우저에 자바 플러그인만 가능하다면 될텐데요..

혹시 보안에 문제가 있는건 아닐까 하는 생각을 조심스럽게 해봅니다..


그런데 1.1로만 컴파일하면 보안에 문제가 있을수 있습니다.
1.5로 버젼업하는동안 보안업데이트도 있었기 때문입니다.
그리고 현재 1.5는 대부분의 플랫폼에서 사용가능한데.굳이 1.1로 컴파일해야하는 이유가 있는지 궁금

즐린

ssomai의 이미지

hys545 wrote:
이한길 wrote:
dgkim wrote:
자바애플릿 같은 걸로는 안 되는지.. (XPCOM이 더 효과적인지 모르겠습니다만)

제가 이런 생각이 들었는데.. 애플릿으로 인터넷 뱅킹이 어떤가에 대한건 말이 없어서 제가 아는게 없어서 엉뚱한 생각을 하나 했습니다..

사실은 어떤가요?

가능하다면 jdk1.1로 컴파일하면 jdk를 따로 설치하지 않아도 ie에서도 잘 되고 다른 어느 플렛폼에서도 브라우저에 자바 플러그인만 가능하다면 될텐데요..

혹시 보안에 문제가 있는건 아닐까 하는 생각을 조심스럽게 해봅니다..


그런데 1.1로만 컴파일하면 보안에 문제가 있을수 있습니다.
1.5로 버젼업하는동안 보안업데이트도 있었기 때문입니다.
그리고 현재 1.5는 대부분의 플랫폼에서 사용가능한데.굳이 1.1로 컴파일해야하는 이유가 있는지 궁금

1.5가 대부분의 플랫폼에서 사용은 가능하지만, 내장이 되어 있지 않아
클라이언트 쪽에 jdk를 추가로 설치를 해야 합니다.
(1.1은 모든 브라우저에 내장되어 있기 때문에 바로 사용된다는거죠.)

하지만 1.1버젼은 제생각에도 hys545님말대로 보안에 문제가 있을거라 생각합니다...

이한길의 이미지

ssomai wrote:
hys545 wrote:
이한길 wrote:
dgkim wrote:
자바애플릿 같은 걸로는 안 되는지.. (XPCOM이 더 효과적인지 모르겠습니다만)

제가 이런 생각이 들었는데.. 애플릿으로 인터넷 뱅킹이 어떤가에 대한건 말이 없어서 제가 아는게 없어서 엉뚱한 생각을 하나 했습니다..

사실은 어떤가요?

가능하다면 jdk1.1로 컴파일하면 jdk를 따로 설치하지 않아도 ie에서도 잘 되고 다른 어느 플렛폼에서도 브라우저에 자바 플러그인만 가능하다면 될텐데요..

혹시 보안에 문제가 있는건 아닐까 하는 생각을 조심스럽게 해봅니다..


그런데 1.1로만 컴파일하면 보안에 문제가 있을수 있습니다.
1.5로 버젼업하는동안 보안업데이트도 있었기 때문입니다.
그리고 현재 1.5는 대부분의 플랫폼에서 사용가능한데.굳이 1.1로 컴파일해야하는 이유가 있는지 궁금

1.5가 대부분의 플랫폼에서 사용은 가능하지만, 내장이 되어 있지 않아
클라이언트 쪽에 jdk를 추가로 설치를 해야 합니다.
(1.1은 모든 브라우저에 내장되어 있기 때문에 바로 사용된다는거죠.)

하지만 1.1버젼은 제생각에도 hys545님말대로 보안에 문제가 있을거라 생각합니다...

보안에 문제가 있다면 주로 어떤 문제인가요? 단지 API문제만은 아닌가 봐요?

----
먼저 알게 된 것을 알려주는 것은 즐거운 일이다!
http://hangulee.springnote.com
http://hangulee.egloos.com

hys545의 이미지

이한길 wrote:
ssomai wrote:
hys545 wrote:
이한길 wrote:
dgkim wrote:
자바애플릿 같은 걸로는 안 되는지.. (XPCOM이 더 효과적인지 모르겠습니다만)

제가 이런 생각이 들었는데.. 애플릿으로 인터넷 뱅킹이 어떤가에 대한건 말이 없어서 제가 아는게 없어서 엉뚱한 생각을 하나 했습니다..

사실은 어떤가요?

가능하다면 jdk1.1로 컴파일하면 jdk를 따로 설치하지 않아도 ie에서도 잘 되고 다른 어느 플렛폼에서도 브라우저에 자바 플러그인만 가능하다면 될텐데요..

혹시 보안에 문제가 있는건 아닐까 하는 생각을 조심스럽게 해봅니다..


그런데 1.1로만 컴파일하면 보안에 문제가 있을수 있습니다.
1.5로 버젼업하는동안 보안업데이트도 있었기 때문입니다.
그리고 현재 1.5는 대부분의 플랫폼에서 사용가능한데.굳이 1.1로 컴파일해야하는 이유가 있는지 궁금

1.5가 대부분의 플랫폼에서 사용은 가능하지만, 내장이 되어 있지 않아
클라이언트 쪽에 jdk를 추가로 설치를 해야 합니다.
(1.1은 모든 브라우저에 내장되어 있기 때문에 바로 사용된다는거죠.)

하지만 1.1버젼은 제생각에도 hys545님말대로 보안에 문제가 있을거라 생각합니다...

보안에 문제가 있다면 주로 어떤 문제인가요? 단지 API문제만은 아닌가 봐요?


http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
보면 버젼 올라갈때마다 버그 업데이트하고 보안도 향상시킵니다.

즐린

lazylady의 이미지

channy wrote:
저번에도 제가 말씀 드린 바 있지만...

파이어폭스 기반 인터넷 뱅킹 솔루션입니다. 따라서 파이어폭스에서만 가능합니다. 다만 플러그인에 네이티브 코드가 들어있기 때문에 배포판 마다 컴파일을 해야 합니다. 그래서 지원하는 배포판 갯수가 있는 거구요. 아마 6개 정도 될 거라고 하더군요.

맥용과 윈도우용은 한번만 하면 되니 명실 상부한 크로스 플랫폼 인터넷 뱅킹 시도를 해보는 거죠. 사실 이게 정답은 아니지만...

저도 이게 정답이 아니라고 생각합니다. 정답에 가까운(표준 공개 기술을 사용한 안전한 인터넷상의 거래?) 방법을 미국등에서는 사용하고 있는 것 같은데.. 어떻게 가능한거고 우리 나라에서는 안하는 이유가 뭔가요? 혹시 인증서를 강요하는 법 때문?

건축과 다니면서 프로그램 공부하는 이상한 사람;;

tinywolf의 이미지

lazylady wrote:
혹시 인증서를 강요하는 법 때문?

아마도 이것 때문일듯...

ㅡ_ㅡ;

lacovnk의 이미지

미국 비자 인터뷰 계정? 신청 사이트는 SSL로 잘도 하던데.. 비교적 저가라 그런가? (2만원 채 안했던 것 같음)

음. 그럼 난 외국에 결제한건가? 오오~

alee의 이미지

tinywolf wrote:
lazylady wrote:
혹시 인증서를 강요하는 법 때문?

아마도 이것 때문일듯...

이 법안을 만든 사람은 대체 인증서가 왜 필요한지 생각이나 해 보고 만든 것인지 모르겠습니다. 아마 그냥 “그런게 있으면 보안이 더 잘 된다더라. 그런데 본인이 직접 신청해야 한다더라.” 정도의 생각으로 법안이 만들어진 것 같습니다.

현재 인증서를 발급받으려면 은행에 한번 방문해서 신청을 한 다음 “인터넷을 통해서” 발급을 받습니다. 게다가 인증서가 삭제되거나 해서 없어진 경우에 주민번호와 인터넷 뱅킹 이체 비밀번호 등 몇 가지를 입력하면 기존 것을 삭제하고 “인터넷을 통해서” 새 인증서를 발급받을 수 있습니다. 즉, 그 때 필요한 몇 가지 정보만 알고 있으면 누구든지 타인의 인증서를 폐기하고 새로 발급받을 수 있습니다.

이래가지고서는 인증서를 사용하는 것이나 주민번호와 인터넷 뱅킹 이체 비밀번호를 직접 사용하는 것이나 별로 다를 바가 없습니다. 이렇게 인증서가 제 역할도 못 하도록 제도를 만들어 놓고 대체 왜 인증서 사용 강제 법안을 만들어 놓았는지 모르겠습니다.

물론 법안의 취지는 좋습니다. 그렇지만 그 취지가 살아나려면 발급 방법을 완전히 바꿔야 한다고 생각합니다. 인증서라는 것은 결국 온라상에서 사용하는 신분증 입니다. 따라서 그 의미가 있으려면 여권이나 주민등록증처럼 발급해야 합니다. 구청 “인증서과” 에서 비즈니스카드만한 CD에 담아서 주면 딱 좋지 않을까 생각합니다.

지리즈의 이미지

alee wrote:
물론 법안의 취지는 좋습니다. 그렇지만 그 취지가 살아나려면 발급 방법을 완전히 바꿔야 한다고 생각합니다. 인증서라는 것은 결국 온라상에서 사용하는 신분증 입니다. 따라서 그 의미가 있으려면 여권이나 주민등록증처럼 발급해야 합니다. 구청 “인증서과” 에서 비즈니스카드만한 CD에 담아서 주면 딱 좋지 않을까 생각합니다.

자본주의 사회에서 적절한 범죄율이라는 것이 있는데,
이정도 범죄율은 감수해야 한다라는 논리입니다.

만약 경찰 1명을 운영하는데, 일정 비용이 필요한데,
처음에는 경찰 고용수가 늘어나는데로 비례해서
범죄율이 줄어들다가, 서서히 그 범죄율하양폭이 줄어듭니다.

예를 들어 범죄율을 20% 19.9%로 줄이기 위해 국가가
추가로 지출해야 하는 돈이 100만원이라면,
1%에서 0.9%로 줄이는데 드는 비용은 20->19.9%때
비용의 만배정도가 드는 식이죠.

인증서의 보안관리도 철저할 수록 좋지만,
철저하다는 것 역시 비용이라, 어느 정도 위험부담은
감수하면, 사회는 상당히 많은 비용을 절약할 수 있습니다.

그리고, 이러한 위험으로 부터 발생한 사고에 대해서는
보험처리나 다른 보상처리를 해주는 것이
사회전체적으로는 비용이 절약되는 것이죠..

제 생각으로는
인터넷 뱅킹에서 거래액 제한도 있고,
인증서가 금융거래에서 그 의미를 갖는 점,
그리고, 그 기간이 1년인것 등으로 미루어,
비용대비 안정성은 현행 제도 정도에서 무난한 것 같습니다.

There is no spoon. Neo from the Matrix 1999.

alee의 이미지

지리즈 wrote:
alee wrote:
물론 법안의 취지는 좋습니다. 그렇지만 그 취지가 살아나려면 발급 방법을 완전히 바꿔야 한다고 생각합니다. 인증서라는 것은 결국 온라상에서 사용하는 신분증 입니다. 따라서 그 의미가 있으려면 여권이나 주민등록증처럼 발급해야 합니다. 구청 “인증서과” 에서 비즈니스카드만한 CD에 담아서 주면 딱 좋지 않을까 생각합니다.

자본주의 사회에서 적절한 범죄율이라는 것이 있는데,
이정도 범죄율은 감수해야 한다라는 논리입니다.

만약 경찰 1명을 운영하는데, 일정 비용이 필요한데,
처음에는 경찰 고용수가 늘어나는데로 비례해서
범죄율이 줄어들다가, 서서히 그 범죄율하양폭이 줄어듭니다.

예를 들어 범죄율을 20% 19.9%로 줄이기 위해 국가가
추가로 지출해야 하는 돈이 100만원이라면,
1%에서 0.9%로 줄이는데 드는 비용은 20->19.9%때
비용의 만배정도가 드는 식이죠.

인증서의 보안관리도 철저할 수록 좋지만,
철저하다는 것 역시 비용이라, 어느 정도 위험부담은
감수하면, 사회는 상당히 많은 비용을 절약할 수 있습니다.

그리고, 이러한 위험으로 부터 발생한 사고에 대해서는
보험처리나 다른 보상처리를 해주는 것이
사회전체적으로는 비용이 절약되는 것이죠..

제 생각으로는
인터넷 뱅킹에서 거래액 제한도 있고,
인증서가 금융거래에서 그 의미를 갖는 점,
그리고, 그 기간이 1년인것 등으로 미루어,
비용대비 안정성은 현행 제도 정도에서 무난한 것 같습니다.

문제는 현행 제도에서는 인증서를 써도 그냥 아이디와 패스워드로 인증하는 것 정도의 보안 이상은 거의 기대할 수 없다는 점입니다. 앞에서도 말했듯이 인증서는 온라인상의 신분증 입니다. 그런데 패스워드만 알면 누구든지 온라인으로 남의 신분증을 발급받아서 쓸 수 있도록 되어 있다면 그냥 패스워드를 사용하는 것과 대체 무슨 차이가 있지요? 단지 절차가 약간 번거로워진다는 것 외에는 전혀 차이가 없습니다.

100의 비용을 투자해서 100의 이익을 얻을 수 있다고 해서 그 절반인 50을 투입하면 50의 이익을 얻는 것은 아닙니다. 인증서의 경우 50만 투자할 경우 얻는 것은 50이 아니라 거의 0 입니다. 이런 경우에는 투자를 하려면 100을 다 하고, 아니면 아예 처음부터 투자를 안 하는 것이 낫습니다. 50만 투자하는 것은 그냥 길바닥에 50을 버리는 것과 같습니다.

지리즈의 이미지

alee wrote:
문제는 현행 제도에서는 인증서를 써도 그냥 아이디와 패스워드로 인증하는 것 정도의 보안 이상은 거의 기대할 수 없다는 점입니다. 앞에서도 말했듯이 인증서는 온라인상의 신분증 입니다. 그런데 패스워드만 알면 누구든지 온라인으로 남의 신분증을 발급받아서 쓸 수 있도록 되어 있다면 그냥 패스워드를 사용하는 것과 대체 무슨 차이가 있지요? 단지 절차가 약간 번거로워진다는 것 외에는 전혀 차이가 없습니다.

100의 비용을 투자해서 100의 이익을 얻을 수 있다고 해서 그 절반인 50을 투입하면 50의 이익을 얻는 것은 아닙니다. 인증서의 경우 50만 투자할 경우 얻는 것은 50이 아니라 거의 0 입니다. 이런 경우에는 투자를 하려면 100을 다 하고, 아니면 아예 처음부터 투자를 안 하는 것이 낫습니다. 50만 투자하는 것은 그냥 길바닥에 50을 버리는 것과 같습니다.

제가 전에 지갑안에 주민등록증(코팅으로 싸여있는 구형)이
들어가지 않아서 귀퉁이를 조금 짤라냈습니다.
이 것으로 여권신청을 하려 하는데,
주민등록증이 손상되었다면서, 다른 신분증을 내라고 하더군요.
그래서, 운전면허증을 제시하고, 여권을 발급받았습니다.
그런데, 그 운전명허증은 그 짤려진 주민등록증을 제시해서 받은 것입니다.
본질 적으로 위변조는 막을 수 없습니다.
절대로 해킹되지 않는 시스템이 없듯이요.

단 가능성의 문제이고, 그 가능성을 줄이는 것인데,
그 가능성을 줄이기 위해서는 비용이 들어 갑니다.

따라서 필요에 따라서 적절한 비용 수준의 보안을 선택할 수 있지요.

실제로 인증서 허위발급이나 혹은 위변조로 인해 발생한
은행 거래 사기 사건이 몇건이나 되나요?

제가 알기로는 위변조는 없는 것으로 알고 있고,
인증서 허위발급으로 인한 인출사기건도 없는 것으로 알고 있습니다만...

ps)
사실 은행거래의 특징상 모든 것이 세밀하게 기록에 남죠...
아무리 대포계좌를 이용해서 교묘히 인출해 나간다고 해도,
추적당하면, 대부분 잡힙니다.

또한, 이런 피해를 입은 사람에게는 보험으로 보상이되죠.

인증서관리는 현행 수준이면 충분한 것 같습니다.

There is no spoon. Neo from the Matrix 1999.

alee의 이미지

1. 주민등록번호
2. 인터넷뱅킹 아이디 및 패스워드
3. 통장 비밀번호 및 자금이체 비밀번호
4. 보안카드

1~4 번을 이용해서 가능한 보안의 수준에 1~4를 사용하면 발급받을 수 있는 인증서를 추가하는 것이 보안에 대체 무슨 도움이 되지요? 여기에 대한 반박을 해 주세요. 제 머리로는 절차가 약간 번거로워지는 것 외에 도저히 어떤 도움이 되는지 생각해 낼 수가 없습니다.

말씀하신 내용에는 전부 다 동의합니다. 저 역시 현행 수준의 인터넷 뱅킹 보안이 부족하다고는 생각하지 않습니다. 그런데 현행 수준의 보안을 유지하는 데에 인증서가 기여하는 것은 전혀 없다는 것이 문제입니다. 인증서를 빼도 현행 수준의 보안은 그대로 유지가 됩니다. 왜냐하면 현 제도에서 인증서는 전혀 제 역할을 못 하도록 사용되고 있기 때문입니다. 1~4만 알면 인증서는 인증 사이트 접속해서 그냥 발급받으면 그만입니다.

atie의 이미지

alee님의 지적은 이것과 같으니 거기에 답이 있을 겁니다.

----
I paint objects as I think them, not as I see them.
atie's minipage

alee의 이미지

atie wrote:
alee님의 지적은 이것과 같으니 거기에 답이 있을 겁니다.

이와 비슷한 내용의 글을 본 기억이 있어서 제기한 의문입니다. 그 답으로 제가 생각해 본 것이 바로 인증서를 여권과 비슷한 방식으로 발급하는 것입니다.

지리즈의 이미지

alee wrote:
1. 주민등록번호
2. 인터넷뱅킹 아이디 및 패스워드
3. 통장 비밀번호 및 자금이체 비밀번호
4. 보안카드

1~4 번을 이용해서 가능한 보안의 수준에 1~4를 사용하면 발급받을 수 있는 인증서를 추가하는 것이 보안에 대체 무슨 도움이 되지요? 여기에 대한 반박을 해 주세요. 제 머리로는 절차가 약간 번거로워지는 것 외에 도저히 어떤 도움이 되는지 생각해 낼 수가 없습니다.

말씀하신 내용에는 전부 다 동의합니다. 저 역시 현행 수준의 인터넷 뱅킹 보안이 부족하다고는 생각하지 않습니다. 그런데 현행 수준의 보안을 유지하는 데에 인증서가 기여하는 것은 전혀 없다는 것이 문제입니다. 인증서를 빼도 현행 수준의 보안은 그대로 유지가 됩니다. 왜냐하면 현 제도에서 인증서는 전혀 제 역할을 못 하도록 사용되고 있기 때문입니다. 1~4만 알면 인증서는 인증 사이트 접속해서 그냥 발급받으면 그만입니다.

은행에 방문하지 않고, 인터넷에서 그냥 인증서가 발급가능한가요?

제가 알기로는 인터넷 뱅킹을 가능하게 하려면,
은행에 방문해서 본인확인 절차를 거치도록하는 것이
의무화되어 있는 것으로 알고 있습니다.
(여기서 철저하게 본인확인 절차를 거치지 않더라도,
반드시 CCTV같은 것에 얼굴이 노출이 됩니다.)

디지털 인증서를 가지고 있고,
디지털 인증서를 통해서 인증을 받는 방식은
확연히 2번보다는 매우 안전합니다.
왜냐하면, 아이디 패스워드가 노출되더라도,
인증서까지 훔쳐야 하니깐요.

결국 1~4번에서 2번(아이디 및 패스워드)을 대체하는 것입니다.

분명 언급하신 1~4번보다는 한단계 더 안전한 것은 분명합니다.

아무런 역할을 하지않지는 않죠.

또한 인증키 방식의 인증은
패스워드를 인증을 제공하는 업체가 가지고 있을 필요가 없습니다.

패스워드 자체가 인증키 내부에 포함되어 있으니깐요...
시스템 운영상으로 보안이 높아집니다.

물론 언급하신 것처럼 여권처럼 정부에서 해도 좋죠.

하지만, 수익자 부담원칙에 어긋날 가능성도 높은데다가,
1년에 한번 구청에 발급받으로 방문하는 것도,
사용자들에게는 불편합니다.

적어도 인증서가 없는 것보다는 안전한 것은 분명한 일이고,
편의나 여러 모로 지금 현행체제는 상당히 합리적이다는 판단입니다.

ps.
애초에 4번 보안카드는 없었던 은행도 있었습니다.
물론, 개인의 보안의식이 그다지 철저하지 못했기 때문에
안전성을 보다 높인다는 취지는 좋았지만,
개인적으로는 4번은 오버가 아닌가 하는 생각도 해봅니다.

There is no spoon. Neo from the Matrix 1999.

지리즈의 이미지

기억을 더듬어 보니,
1. 주민등록번호
2. 인터넷뱅킹 아이디 및 패스워드
3. 통장 비밀번호 및 자금이체 비밀번호
4. 보안카드

면 인증서는 발급이 가능하군요...

그런데, 2번은 거의 안 사용하지 않나요?

저는 인터넷 뱅킹 개설 당시 작성했던 신청서를
아직도 안전한 곳에 보관하고 있습니다.
왜냐하면, 어떤 아이디와 어떤 패스워드를 사용했는지
저도 기억을 못하기 때문입니다.

그리고, 이를 통해서 은행사이트에 로그인한 기억도 없습니다.
단, 인증서 발급받을 때만 사용했겠죠.

저걸 다 노출한다면 어쩔 수 없습니다.

구청에서 인증서를 개설한다고 하더라도,
저기다 2번을 인증서 및 인증서 비밀번호로 고쳐써 넣으면,
똑같다는 생각입니다.

물론 구청에서 인증서를 발급받는게 보다 안전한 것은 사실이지만요.

There is no spoon. Neo from the Matrix 1999.

alee의 이미지

지리즈 wrote:
기억을 더듬어 보니,
1. 주민등록번호
2. 인터넷뱅킹 아이디 및 패스워드
3. 통장 비밀번호 및 자금이체 비밀번호
4. 보안카드

면 인증서는 발급이 가능하군요...

그런데, 2번은 거의 안 사용하지 않나요?

저는 인터넷 뱅킹 개설 당시 작성했던 신청서를
아직도 안전한 곳에 보관하고 있습니다.
왜냐하면, 어떤 아이디와 어떤 패스워드를 사용했는지
저도 기억을 못하기 때문입니다.

그리고, 이를 통해서 은행사이트에 로그인한 기억도 없습니다.
단, 인증서 발급받을 때만 사용했겠죠.

저걸 다 노출한다면 어쩔 수 없습니다.

구청에서 인증서를 개설한다고 하더라도,
저기다 2번을 인증서 및 인증서 비밀번호로 고쳐써 넣으면,
똑같다는 생각입니다.

물론 구청에서 인증서를 발급받는게 보다 안전한 것은 사실이지만요.

기억이 확실하지 않아서 모두 다 적은 것이지만, 인증서 재발급 받을 때 2번은 필요 없었던 것으로 기억합니다. 2번이 아니라 아마 통장 계좌번호가 아니었나 생각되네요.

정태영의 이미지

지리즈 wrote:
기억을 더듬어 보니,
1. 주민등록번호
2. 인터넷뱅킹 아이디 및 패스워드
3. 통장 비밀번호 및 자금이체 비밀번호
4. 보안카드

면 인증서는 발급이 가능하군요...

인터넷 뱅킹 아이디 및 패스워드와 보안카드 이 두가지만 있으면 발급 가능합니다 :)

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

지리즈의 이미지

정태영 wrote:
인터넷 뱅킹 아이디 및 패스워드와 보안카드 이 두가지만 있으면 발급 가능합니다 :)

이게 맞는 것 같습니다.

뱅킹아이디 /패스워드를 간수를 잘해야 겠네요...^^

하여튼..

제 생각은
뱅킹아이디/패스워드만으로 로그인하는 것보다는

1.안전하면서 편리를 제공할 수 있다는 점...

또한 정부기관에서 인증키 발급을 하도록하는 것에 대해서는

1.인증키 위변조 혹은 인증키 허위 발급으로 인한 금융사기건이 단 한건도 없었고, 앞으로도 그 가능성이 희박해 보인다는 점
2.거래은행에서 발급받음으로서 수익자 부담원칙에 준한다는점,
3.거래은행에서 발급받음으로서 사용자들에 편의를 제공한다는 점

등의 이유를 들어서 현행 제도를 지지합니다.

ps)
통장에 통장비밀번호를 적어 놓고 잃어버린다면?

There is no spoon. Neo from the Matrix 1999.

alee의 이미지

1. 뱅킹아이디와 패스워드로 로그인 하는 경우

뱅킹아이디와 패스워드를 빼돌리면 뚫립니다.

2. 뱅킹아이디와 패스워드로 인증서를 받아서 로그인하는 경우

뱅킹아이디와 패스워드를 빼돌려도 뚫리고, 인증서를 빼돌려도 뚫립니다.

안전 면에서 그냥 아이디와 패스워드를 쓰는 것 보다 더 못하면 못했지 결코 더 안전하지 않습니다. 또 그 덕분에 ActiveX 플러그인이 사용되는 등 사용 면에서도 전혀 더 편리하지 않습니다. 물론 이 부분은 좀 주관적일 수 있다고 생각합니다.

지리즈의 이미지

통장은 통장비밀번호, 통장만으로 인출이 가능합니다.
그렇다고 해서 현행 통장제도가 문제가 있다던가,
아니면 보안에 헛점이 있다는 말이 나오지 않습니다.

모든 보안의 헛점의 무게를 동일한 잣대에서 놓고 보면,
헛점이 없는 제도는 없고, 또한 제도의 안정성을
정확히 평가할 수 없습니다.

일단은 인증서는 스니핑하기가 기술적으로
아이디/패스워드보다는 쉽지 않다는 전재조건하에 사용합니다.
(인증서를 배앗길 수 있다는 가정하라면,
모든 인증서를 사용하는 인증방식은 그 유효성이 의미가 없습니다.)

뱅킹아이디/패스워드는 인증서를 발급받을 때만
사용하지 그 외에는 실제 금융거래에는 거의 사용되지 않습니다.
뱅킹 아이디/패스워드를 안전하게 보관하지 못한다면,
보안은 아무런 의미가 없습니다.
(통장비밀번호를 적어 놓은 통장을 잃어버리는 것과 동일합니다.)

실제로 SSH같은 경우를 보아도,
그 라인이 암호화되어 있음에도 불구하고, 인증키 인증을 지원합니다.
단지, 로그인의 편리를 위해서가 아니라,
인증키를 가짐으로서 한층 강화된 보안을 가질 수 있기 때문입니다.

또한, ActiveX의 사용은 온라인뱅킹의 제도의 문제가 아니라,
기술적 구현의 한계일 뿐입니다.(사실상 구현의지의 부재)
ActiveX만이 우리 나라 온라인뱅킹을 구현할 수 있는 유일한 기술이라고 생각해서는 안됩니다.

제 생각에는 alee님께서 한가지 간과하고 계시는 점이 있다면,
모든 보안적 접근을 오프라인적인 면에서만 생각하시는 것 같습니다.

실제로, 온라인 뱅킹의 최대의 적은 온라인(해킹)입니다.
인증키 방식은 이러한 온라인 침해로 부터 금융거래를 보호하기 위해서 강구된 것이지,
사용자가 패스워드/뱅킹 아이디를 오프라인에서 누출시키는 것을 고려한 된 것은 아닙니다.
물론 고려하면 더 좋지만, 그것은 곳 비용과 편의가 희생이 따른다는 것은 자명한 일입니다.

패스워드/아이디가 오프라인에서 누출될
확율은 그것을 관리하는 본인에게 전적으로 달려 있다고 생각합니다.

통장번호를 적은 통장을 잃어버린 사람이 인출사고를 당했다고 한다면, 사람들이 어떻게 생각할까요?

중요한 온라인 뱅킹의 아이디와 패스워드를 노출시킨다면,
이것 또한 비슷한 것이라 생각합니다.

There is no spoon. Neo from the Matrix 1999.

alee의 이미지

자꾸 이야기를 다른 쪽으로 끌고 가시는 것 같은데 다른 점에서는 저 역시 지리즈님의 의견에 모두 다 동의합니다. 다만 한 가지, 현재의 제도로는 인증서가 아이디와 패스워드를 직접 사용하는 것 보다 나을 것이 별로 없다고 생각한다는 점에서만 다를 뿐입니다.

제 이야기는 온라인/오프라인 모두에 해당되는 이야기 입니다. 만약 아이디/패스워드를 빼낼 수 있는 해킹 툴이 있다면 그 툴로 기간 만료된 인증서를 다시 발급 받을 때 아이디/패스워드를 빼내면 그만입니다. 그런데 생각해 보니 인증서를 발급 받을 때에만 아이디/패스워드를 사용한다면 평소에 접속 할 때 마다 사용하는 것 보다 유출 가능성이 줄어들기는 하겠군요. 그렇지만 인증서를 도입하기 위해 투자한 것 만큼의 효과가 있는지는 여전히 의문입니다. 이 부분에서 지리즈님은 충분히 효과가 있다고 보시는 것이군요. 다시 말씀드리지만 다른 부분에 대해서는 저 역시 지리즈님의 말씀에 100% 공감합니다.

구청에서 발급받는 방법은 저 역시 너무 번거로울 것이라고 생각합니다. 그렇지만 기존 인증서가 없어도 온라인 상으로 사용하던 인증서를 폐기하고 새로 받을 수 있도록 되어 있는 시스템은 헛점이 너무 많다고 생각합니다. 그 절충안으로 기간 만료된 인증서를 재발급 받을 때에는 만료되기 전에 기존 인증서를 이용해서 새 인증서를 받을 수 있도록 하고, 기간이 만료되어서 기존 인증서를 못 쓰게 되었거나 PC를 포맷해서 가지고 있던 인증서를 분실한 경우 등에는 은행에 방문해서 발급받도록 한다면 훨씬 낫지 않을까 생각합니다.

슬슬 이제 같은 이야기가 반복되고 있는 것 같으니 지루한 이야기는 여기서 그쳤으면 합니다. 좋은 의견 감사드립니다. :)

lottechocopie의 이미지

alee님이란 분은 먼가 자가당착적인 말씀을 하시는군여.

인증서를 이용한 방식이 아이디와 패스워드를 직접 사용하는 것 보다 나을 것이 별로 없다고 말씀하신다면 왜 패스워드를 뚫은 해킹은 수도 없이 많은데 인증서를 뚫은 해킹은 지금까지 한건도 없나여???

인증서를 뚫은 해킹이 한건도 없다는 사실 자체가 인증서가 안전하다는 반증이져.

글구 인증서 방식을 개발한 사람들이 무슨 바보도 아니구 패스워드 방식보다 나을게 없는데 머하러 귀찬케 인증서를 쓰게 만들었나여 사용자로서는 이중접속이라 귀찬키만 한데...

alee님은 직업이 먼지 몰라도 인증서 만든 사람들이 최소한 alee님보다 컴터 실력이 딸리거나 바보가 아니란 사실은 알아두시기 바래여.

KLDP에 보믄 가끔 자기가 실력 뛰어나다는 걸 강조할려고 멀쩡한 남을 깎아내리는 발언을 하는 경우가 있는거 같은데 그러믄 안되져.

솔직히 alee님이란 분은 리눅스만 써봐서 인증서 이용 방식이 먼지 잘 모르시는 모양인데(리눅스에선 인증서를 쓸수가 없으니깐) 윈도에서 인증서로 은행 결재 한번 해보시구 말씀하시져.

Prentice의 이미지

lottechocopie wrote:
인증서를 이용한 방식이 아이디와 패스워드를 직접 사용하는 것 보다 나을 것이 별로 없다고 말씀하신다면 왜 패스워드를 뚫은 해킹은 수도 없이 많은데 인증서를 뚫은 해킹은 지금까지 한건도 없나여???

잘 믿기진 않지만, 그게 사실이라면 패스워드의 사용량이 인증서 사용량보다 월등히 높은가보죠. 아니라면 구체적인 수치로 근거를 대보시기 바랍니다.
lottechocopie wrote:
글구 인증서 방식을 개발한 사람들이 무슨 바보도 아니구 패스워드 방식보다 나을게 없는데 머하러 귀찬케 인증서를 쓰게 만들었나여 사용자로서는 이중접속이라 귀찬키만 한데...

“바보가 아닌 이상 그럴 리가 있겠느냐”는 매우 위험한 논리입니다. 실제로 사람들이 바보라서 이루어지는 일도 많습니다.
정태영의 이미지

alee wrote:
1. 뱅킹아이디와 패스워드로 로그인 하는 경우

뱅킹아이디와 패스워드를 빼돌리면 뚫립니다.

2. 뱅킹아이디와 패스워드로 인증서를 받아서 로그인하는 경우

뱅킹아이디와 패스워드를 빼돌려도 뚫리고, 인증서를 빼돌려도 뚫립니다.

안전 면에서 그냥 아이디와 패스워드를 쓰는 것 보다 더 못하면 못했지 결코 더 안전하지 않습니다. 또 그 덕분에 ActiveX 플러그인이 사용되는 등 사용 면에서도 전혀 더 편리하지 않습니다. 물론 이 부분은 좀 주관적일 수 있다고 생각합니다.

두가지 경우 모두 보안카드를 빼먹었네요 :) 물론 아이디와 비밀번호 만으로 개인정보가 유출될 수는 있겠습니다만... 실제 자금이체등을 하려거나 인증서를 발급받으려면 보안카드가 필요합니다...

뭐 하튼 인증서로 인해 보안상의 이점이 있었다고는 생각하지 않습니다.

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

정태영의 이미지

lottechocopie wrote:
인증서를 이용한 방식이 아이디와 패스워드를 직접 사용하는 것 보다 나을 것이 별로 없다고 말씀하신다면 왜 패스워드를 뚫은 해킹은 수도 없이 많은데 인증서를 뚫은 해킹은 지금까지 한건도 없나여???

인증서를 뚫은 해킹이 한건도 없다는 사실 자체가 인증서가 안전하다는 반증이져.

인증서를 사용하는 곳은 아이디/비밀번호를 통한 인증을 하는 곳의 수에 비교하면 정말 1/1,000,000 정도밖에 안될 거란 생각은 안하셨나요 ;)

lottechocopie wrote:
글구 인증서 방식을 개발한 사람들이 무슨 바보도 아니구 패스워드 방식보다 나을게 없는데 머하러 귀찬케 인증서를 쓰게 만들었나여 사용자로서는 이중접속이라 귀찬키만 한데...

alee님은 직업이 먼지 몰라도 인증서 만든 사람들이 최소한 alee님보다 컴터 실력이 딸리거나 바보가 아니란 사실은 알아두시기 바래여.

KLDP에 보믄 가끔 자기가 실력 뛰어나다는 걸 강조할려고 멀쩡한 남을 깎아내리는 발언을 하는 경우가 있는거 같은데 그러믄 안되져.

솔직히 alee님이란 분은 리눅스만 써봐서 인증서 이용 방식이 먼지 잘 모르시는 모양인데(리눅스에선 인증서를 쓸수가 없으니깐) 윈도에서 인증서로 은행 결재 한번 해보시구 말씀하시져.

http://forums.mozilla.or.kr/viewtopic.php?t=5089

뭐 하튼 위의 링크를 보면 ... 개인정보 보호에 그렇게 신경쓰고 있단 생각은 안 듭니다 -_-;;

인증서도 인증서지만 https 등의 방법을 놔두고 xecureWeb 이라던가 iniSafeWEb 등의 방법을 통해 암호화 채널을 제공하는 것도 개인적으로 아주 맘에 안듭니다 -_-;;

https 를 사용하면 괴상한 자바스크립트로 도배될 필요도 없고... 이상한 플러그인을 깔 필요도 없으며... windows 가 아닌 다른 운영체제를 사용하는 사람들도 현재보다 훨씬 불편을 덜 느꼈을텐데 말이죠...

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

지리즈의 이미지

alee wrote:
그렇지만 기존 인증서가 없어도 온라인 상으로 사용하던 인증서를 폐기하고 새로 받을 수 있도록 되어 있는 시스템은 헛점이 너무 많다고 생각합니다. 그 절충안으로 기간 만료된 인증서를 재발급 받을 때에는 만료되기 전에 기존 인증서를 이용해서 새 인증서를 받을 수 있도록 하고, 기간이 만료되어서 기존 인증서를 못 쓰게 되었거나 PC를 포맷해서 가지고 있던 인증서를 분실한 경우 등에는 은행에 방문해서 발급받도록 한다면 훨씬 낫지 않을까 생각합니다.

제가 알기로는 모은행의 경우 인증서를 갱신하기 위해서는
인터넷뱅킹 아이디/패스워드 기존 인증서 이 3가지가 있어야 합니다.(최초 인증서 발급은 기억이 나지않고...)

만약 인증서 만료시점이내에 갱신을 못하면 은행을 방문해야 합니다.
저의 아버지께서 이일로 귀국하셔서 은행에 직접 방문하셨습니다.

인터넷을 조회해 보니 기존 인증서가 반드시 유효해야만
모든 은행이 온라인 상에서 인증서 갱신이 가능하군요.

http://blog.naver.com/parkms92?Redirect=Log&logNo=40003282805

There is no spoon. Neo from the Matrix 1999.

정태영의 이미지

지리즈 wrote:
alee wrote:
그렇지만 기존 인증서가 없어도 온라인 상으로 사용하던 인증서를 폐기하고 새로 받을 수 있도록 되어 있는 시스템은 헛점이 너무 많다고 생각합니다. 그 절충안으로 기간 만료된 인증서를 재발급 받을 때에는 만료되기 전에 기존 인증서를 이용해서 새 인증서를 받을 수 있도록 하고, 기간이 만료되어서 기존 인증서를 못 쓰게 되었거나 PC를 포맷해서 가지고 있던 인증서를 분실한 경우 등에는 은행에 방문해서 발급받도록 한다면 훨씬 낫지 않을까 생각합니다.

제가 알기로는 모은행의 경우 인증서를 갱신하기 위해서는
인터넷뱅킹 아이디/패스워드 기존 인증서 이 3가지가 있어야 합니다.(최초 인증서 발급은 기억이 나지않고...)

만약 인증서 만료시점이내에 갱신을 못하면 은행을 방문해야 합니다.
저의 아버지께서 이일로 귀국하셔서 은행에 직접 방문하셨습니다.

인터넷을 조회해 보니 기존 인증서가 반드시 유효해야만
모든 은행이 온라인 상에서 인증서 갱신이 가능하군요.

기존인증서가 없더라도 다시 받을 수 있지 않나요 :) 포멧할 때 인증서를 백업받은 적은 단 한번도 없었지만 은행을 방문할 필요 없이 재발급 받아왔거든요...

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

지리즈의 이미지

정태영 wrote:
기존인증서가 없더라도 다시 받을 수 있지 않나요 :) 포멧할 때 인증서를 백업받은 적은 단 한번도 없었지만 은행을 방문할 필요 없이 재발급 받아왔거든요...

분명한 것은 법인인증서는 포멧되면, 은행방문해야 합니다.

국민은행 개인의 경우 온라인 재발급에 필요조건은
1. 인터넷뱅킹 ID/주민등록번호/패스워드
2. 출금계좌번호, 계좌비밀번호, 보안카드
3. 기존의 인증서가 유효해야함(만료되어서는 안됨, 보유여부와는 무관)

입니다.

제 생각에는 이 정도면 충분히 엄격한 것 같은데..
아닌가요?

솔직히 2번에 주민번호만 알면,
힘들게 인터넷 뱅킹 해킹하지 않고,
모자 눌러 쓰고 은행가서
ATM머신에서 돈을 인출하는 편이 더 편할 것 같은데...

ps)
은행사이트 들어가 볼려 오랜만에 win98로 부팅했더니
왜이리 후져 보이는지 ㅠ.ㅠ

There is no spoon. Neo from the Matrix 1999.

cypher의 이미지

지리즈 wrote:
alee wrote:
그렇지만 기존 인증서가 없어도 온라인 상으로 사용하던 인증서를 폐기하고 새로 받을 수 있도록 되어 있는 시스템은 헛점이 너무 많다고 생각합니다. 그 절충안으로 기간 만료된 인증서를 재발급 받을 때에는 만료되기 전에 기존 인증서를 이용해서 새 인증서를 받을 수 있도록 하고, 기간이 만료되어서 기존 인증서를 못 쓰게 되었거나 PC를 포맷해서 가지고 있던 인증서를 분실한 경우 등에는 은행에 방문해서 발급받도록 한다면 훨씬 낫지 않을까 생각합니다.

제가 알기로는 모은행의 경우 인증서를 갱신하기 위해서는
인터넷뱅킹 아이디/패스워드 기존 인증서 이 3가지가 있어야 합니다.(최초 인증서 발급은 기억이 나지않고...)

만약 인증서 만료시점이내에 갱신을 못하면 은행을 방문해야 합니다.
저의 아버지께서 이일로 귀국하셔서 은행에 직접 방문하셨습니다.


갱신은 몰라도 OS재설치 등으로 인해서 재발급받을 때는 딱 세가지만 필요합니다.
아이디,비밀번호,보안카드. 이 세가지로 온라인상에서 발급받을 수 있죠.
alee님의 지적대로 저 세가지가 제3자에게 알려지면 얼마든지 인증서를 발급받아서
자기 계좌처럼 휘저을 수 있죠. 만약 인증서의 발급 체계가 다르다면(오프라인이라던가)
인증서가 어느 정도 효용이 있겠지만, 이런 상황에서는 글쎄올시다 라고 생각합니다.
지리즈의 이미지

cypher wrote:
갱신은 몰라도 OS재설치 등으로 인해서 재발급받을 때는 딱 세가지만 필요합니다.
아이디,비밀번호,보안카드. 이 세가지로 온라인상에서 발급받을 수 있죠.
alee님의 지적대로 저 세가지가 제3자에게 알려지면 얼마든지 인증서를 발급받아서
자기 계좌처럼 휘저을 수 있죠. 만약 인증서의 발급 체계가 다르다면(오프라인이라던가)
인증서가 어느 정도 효용이 있겠지만, 이런 상황에서는 글쎄올시다 라고 생각합니다.

여기에는 다르게 써있네요.

There is no spoon. Neo from the Matrix 1999.

지리즈의 이미지

제 개인적인 결론은
키스트록후킹 방식으로는 거의 알아낼 수 없는 보안카드가 있다는 점과
정보 누출로 인한 인증서 허위발급의 위험성 여부를 떠나,
인증서 발급에 필요한 정보보다 적은 정보를 가지고 오프라인에서
추적의 위험성이 없이 돈을 인출해 갈 수 있는 수단이 존재한다는 점에서
지금 현행 인터넷 인증서 재발급 절차의 안정성의 문제점을 따지기는 어렵다는 생각입니다.

There is no spoon. Neo from the Matrix 1999.

alee의 이미지

그런데 통장 계좌번호와 비밀번호를 알아도 도장으로 개설한 통장은 도장이 있어야 하고 사인으로 개설한 통장은 본인이 직접 가야 출금이 되지 않나요?

현재 인증서 재발급에는 “기존 인증서가 유효한가”에 대해서만 고려하지 정작 “본인이 그 인증서를 보유하고 있는가”는 따지지 않습니다. 제 생각에는 “본인이 현재 유용한 인증서를 보유하고 있는가”를 고려하는 쪽으로 약간 고친다면 인증서 사용이 훨씬 의미가 있어 질 것 같습니다.

lottechocopie의 이미지

정태영 wrote:
뭐 하튼 인증서로 인해 보안상의 이점이 있었다고는 생각하지 않습니다.

이런 말씀은 텔넷이랑 ssh랑 보안상으로 아무 차이도 없다고 우기는거랑 똑같은 괴변이져. 아시겠나여?

ssh도 키 만들어갖고 패스프레이즈 걸어 놓고 쓰면 공인 인증서랑은 방식만 틀리지 원리는 거의 비슷하다고 볼수 있져.

ssh 쓸때 다들 그렇게 쓰지 않나여?? 그러구두 ssh가 보안상으로 아무 이점도 없다는 소리는 들은적이 없는데 왜 인증서갖고는 다들 딴지인지???

오히려 인증서는 패스프레이즈를 무조건 걸게돼있는데 ssh키는 안걸어도 되도록할수 있으니깐 인증서가 보안상 우수하면 우수했지 ssh보다 못할 것은 없지여. 패스워드가 두개니깐여.

사람들이 바보라서 텔넷 안쓰고 ssh 쓰나보져???

Quote:
잘 믿기진 않지만, 그게 사실이라면 패스워드의 사용량이 인증서 사용량보다 월등히 높은가보죠. 아니라면 구체적인 수치로 근거를 대보시기 바랍니다.

인증서 방식이 보안에 이점이 없다는 구체적인 근거는 어딨나여??

KLDP서 몇명이 모여서 이점없다고 결론내리믄 그냥 이점없는건가여??

여깄는 극소수 우기는 분들이 얼마나 학(업)계서 권위가 있는분들인지는 몰겠지만 관련업체에 종사중인 저로서는 솔직히 비웃음밖에 안나네여.

머가 한건이라도 뚫린 사례가 있어서 보안상 이점이 없다고 우기기라도 할텐데 정작 님은 구체적인 수치는 한건도 못대면서 우기기만 하는군여.

인증서가 뚫린 사례를 대보세여.

글구 인증서가 발급된건만 지금까지 천만건이 넘는데 머가 패스워드 방식보다 백만분의일로 적게 사용된다는 괴변을 늘어놓는 분두 있구 이해가 안됌...

아니 천만건중에 한건도 뚫린 사례가 없는데 보안상 이점이 없다니 대체 먼소린지 이해좀 시켜주세여.

alee의 이미지

lottechocopie wrote:
alee님이란 분은 먼가 자가당착적인 말씀을 하시는군여.

인증서를 이용한 방식이 아이디와 패스워드를 직접 사용하는 것 보다 나을 것이 별로 없다고 말씀하신다면 왜 패스워드를 뚫은 해킹은 수도 없이 많은데 인증서를 뚫은 해킹은 지금까지 한건도 없나여???

인증서를 뚫은 해킹이 한건도 없다는 사실 자체가 인증서가 안전하다는 반증이져.

글구 인증서 방식을 개발한 사람들이 무슨 바보도 아니구 패스워드 방식보다 나을게 없는데 머하러 귀찬케 인증서를 쓰게 만들었나여 사용자로서는 이중접속이라 귀찬키만 한데...

alee님은 직업이 먼지 몰라도 인증서 만든 사람들이 최소한 alee님보다 컴터 실력이 딸리거나 바보가 아니란 사실은 알아두시기 바래여.

KLDP에 보믄 가끔 자기가 실력 뛰어나다는 걸 강조할려고 멀쩡한 남을 깎아내리는 발언을 하는 경우가 있는거 같은데 그러믄 안되져.

솔직히 alee님이란 분은 리눅스만 써봐서 인증서 이용 방식이 먼지 잘 모르시는 모양인데(리눅스에선 인증서를 쓸수가 없으니깐) 윈도에서 인증서로 은행 결재 한번 해보시구 말씀하시져.

저도 윈도에서 인증서로 인터넷 뱅킹을 종종 이용하고 있고 그냥 고객으로서 불만 사항을 이야기하는 것 뿐입니다. 누구를 깎아내리거나 비방하려는 의도는 없었습니다. 죄송합니다.
꼭 바보만 바보같은 일을 하는 것은 아닙니다. 우리 모두 대부분 바보가 아니지만 종종 바보같은 일을 하잖아요. 저는 그렇던데요···. :oops:

alee의 이미지

lottechocopie wrote:

아니 천만건중에 한건도 뚫린 사례가 없는데 보안상 이점이 없다니 대체 먼소린지 이해좀 시켜주세여.

“가”를 알면 “나”는 누구든 다 얻을 수 있습니다. 그런 상황에서 “가”를 이용하는 대신에 “나”를 이용하는 것이 보안에 무슨 이점이 있지요? 이 상황에서 천만 건 중에 한 건도 뚫리지 않은 것이 정말 “가”만 알면 누구든 알 수 있는 “나”를 “가” 대신 사용하고 있기 때문일까요?

천만 건 중에 뚫린 사례가 없다는 것은 인증서, 보안카드, 비밀번호 등을 사용하는 현 인터넷 뱅킹이 비교적 안전하다는 증거가 되는 것이지 그게 바로 여러 가지 보안 장치 중의 하나인 인증서가 제 역할을 하고 있다는 증거는 아닙니다. lottechocopie님도 인증서만 잘 간수하고 통장번호, 통장 비밀번호, 인터넷뱅킹 ID, 보안카드 등은 아무데나 막 뿌리고 다니고 싶지는 않으시잖아요.

물론, 지리즈님의 말씀들 듣고 보니 인증서가 통장번호나 인터넷뱅킹 비밀번호 등의 정보 사용 빈도를 줄여서 그 유출 가능성을 줄여주는 역할을 하고 있다는 점은 이해가 됩니다. 그렇지만 겨우 이런 정도의 기능 밖에 못 하는 것은 온라인 상의 신분증 역할을 해야 하는 인증서 본래 기능의 10% 정도 밖에 발휘를 못 하고 있는 것이라 생각합니다.

alee의 이미지

확인해 본 결과 제가 거래하는 모 은행의 경우 인증서 재발급에 필요한 정보가 다음과 같았습니다.

1. 주민등록번호
2. 통장번호
3. 통장 비밀번호
4. 자금이체 비밀번호
5. 보안카드
6. 이메일 주소 및 연락처

2번과 6번은 원래 공개를 전제로 되어 있는 정보이니 논외로 치겠습니다.
3, 4, 5번은 이체 거래를 할 때 항상 사용되는 정보입니다.
따라서 인증서가 노출 횟수를 줄여주는 정보는 1번 주민등록번호 하나 뿐이군요.

다른 은행은 어떤가요?

lottechocopie의 이미지

alee wrote:
lottechocopie wrote:

아니 천만건중에 한건도 뚫린 사례가 없는데 보안상 이점이 없다니 대체 먼소린지 이해좀 시켜주세여.

“가”를 알면 “나”는 누구든 다 얻을 수 있습니다. 그런 상황에서 “가”를 이용하는 대신에 “나”를 이용하는 것이 보안에 무슨 이점이 있지요? 이 상황에서 천만 건 중에 한 건도 뚫리지 않은 것이 정말 “가”만 알면 누구든 알 수 있는 “나”를 “가” 대신 사용하고 있기 때문일까요?

"누구든 다 얻을 수 있다"는 완전 비현실적 가정이져.

실제로 누구든 다 얻은 사례를 한건이라도 말씀해 주세여. 글구 누구나 얻어서 그걸 어떻게 악용해서 돈을 빼돌렸는지 사례라도 말씀해 주세여.

님 말씀은 지금 "ssh에 보안버그가 있을지도 모르기때문에 ssh는 안전하지 않다"고 우기는거나 똑같은 주장이에여.

먼가 그럴싸해보이는데 앞뒤가 안맞는 소리져.

Quote:
천만 건 중에 뚫린 사례가 없다는 것은 인증서, 보안카드, 비밀번호 등을 사용하는 현 인터넷 뱅킹이 비교적 안전하다는 증거가 되는 것이지 그게 바로 여러 가지 보안 장치 중의 하나인 인증서가 제 역할을 하고 있다는 증거는 아닙니다. lottechocopie님도 인증서만 잘 간수하고 통장번호, 통장 비밀번호, 인터넷뱅킹 ID, 보안카드 등은 아무데나 막 뿌리고 다니고 싶지는 않으시잖아요.

물론, 지리즈님의 말씀들 듣고 보니 인증서가 통장번호나 인터넷뱅킹 비밀번호 등의 정보 사용 빈도를 줄여서 그 유출 가능성을 줄여주는 역할을 하고 있다는 점은 이해가 됩니다. 그렇지만 겨우 이런 정도의 기능 밖에 못 하는 것은 온라인 상의 신분증 역할을 해야 하는 인증서 본래 기능의 10% 정도 밖에 발휘를 못 하고 있는 것이라 생각합니다.

지금 말장난하시는거져?

"인증서, 보안카드, 비밀번호 등을 사용하는 현 인터넷 뱅킹이 비교적 안전하다는 증거가 되는 것이지 그게 바로 여러 가지 보안 장치 중의 하나인 인증서가 제 역할을 하고 있다는 증거는 아닙니다"

이부분도 먼 앞뒤가 안맞는 소릴 하고계신건지...

인증서가 제역할을 하고 있으니까 인터넷 뱅킹이 안전한거지 인터넷 뱅킹이 안전한데 인증서가 제 역할을 못하고 있다구여? 인증서가 제역할을 못하고 있는데 인터넷 뱅킹이 어떻게 안전하져?

글구 인증서는 인증뿐만 아니라 그자체가 암호화키로서 패킷스니핑으로 인한 정보유출을 방지하는 효과도 있는거져.

아이디랑 패스워드랑 보안카드 비밀번호랑 결재관련 정보를 전부다 플레인텍스트로 전송한다고 생각해보세여.

중간에 해커가 패킷 탈취해서 분석하면 똑같이 흉내내서 돈빼돌리는거는 시간문제겠져.

근데도 인증서가 필요가 없다고 우기면 우기는 사람 당해낼 장사는 없지만 모르면 공부좀 더하고 오시라고 충고를 드려야할듯.

위에 보니까 인증서를 더 안전하게 만들면 되지 않느냐는 정말 보안에 관해 암것도 모르는것같은 순진무구한 말씀도 하셨던데여.

인증서 재발급을 인터넷상에서 못하게 한다든지 꼭 은행에 다시와서 발급받게 만든다든지 같이 하면 그게 정말로 안전할거 같으세여?

그렇게 만들어논 인증서도 해커가 내 머신에 침투해서 파일 자체를 훔쳐가면 그만인데 말이져.

아이디랑 패스워드도 훔치는 실력의 해커가 인증서 파일 못훔쳐갈 이유있나여. 누워서 떡먹기져.

지금의 인터넷 뱅킹 방식은 님처럼 현실적 요소에 관해 아는게 거의 없는 사람들이 어설프게 만든게 아니라 이분야 최고 전문가들이 모여서 보안적 문제와 현실적 문제를 모두 고려해서 만든 방식이란 점은 기억하시길 바래여.

그렇게 만들어둔 덕분에 온국민이 보안걱정없이 맘놓고 몇년째 인터넷뱅킹을 편리하게 활용하고 있는데 칭찬은 못해줄 망정 말도 안돼는 트집이나 잡고 깎아내리기나 하고...

이러니까 한국사람들은 남잘돼는 꼴을 못본다는 말이 나오는것 같네여.

글구 문제를 제기하실려면 먼저 자기 자신이 문제를 제기할만한 능력과 실력, 권위를 갖추었는가 판단을 하시길 바래여.

보안을 공부해본적도 없고 보안분야에 종사한적도 없는 분이 보안에 대해 멀 얼마나 알길래 말도안돼는 트집같은 문제제기를 해서 남을 깎아내릴려고 안달인지...

꼭 세계최고 수준의 국산 전자투표기의 성능을 모 정당에서 트집잡고 다리거는바람에 외국수출 활로가 막혔던 사례를 다시보는거 같네여.

아무리 테스트를 해봐도 성능에 전혀 문제가 없는데 자꾸 이상이 있을지도 모른다고 우겨대니 외국사람들이 불안해서 사던가여.

아니 글구 그렇게 보안에 대해 잘아는거 같은 분이 지금 어디서 무슨일을 하고계신지 여쪄봐도 되나여.

제가 쫌 흥분을 한거 같은데 보안업계 종사자로서 이런 종류의 트집성 발언들을 보니 한마디 안할수가 없게 만드네여.

기분 언짠으신 분이 계시다면 죄송합니다.

alee의 이미지

lottechocopie wrote:
"누구든 다 얻을 수 있다"는 완전 비현실적 가정이져.
실제로 누구든 다 얻은 사례를 한건이라도 말씀해 주세여.

“가”를 알면 부분을 빼먹으셨네요. 인증서 발급에 필요한 정보만 있으면 누구든 온라인으로 인증서를 발급받을 수 있다는 것은 사례를 들 필요도 없이 명백한 사실입니다. 그 사례요? 인증서 백업받지 않고 포맷해서 인증서를 날려버린 수많은 사람들이 지금도 그렇게 인증서를 재발급받고 있지 않던가요?

lottechocopie wrote:
인증서가 제역할을 하고 있으니까 인터넷 뱅킹이 안전한거지 인터넷 뱅킹이 안전한데 인증서가 제 역할을 못하고 있다구여? 인증서가 제역할을 못하고 있는데 인터넷 뱅킹이 어떻게 안전하져?

1, 2, 3, 4 이렇게 보안 장치 4 가지가 마련되어 있습니다. 이 중에 하나가 제 역할을 못 하고 있다고 꼭 보안이 유지되지 않는 것은 아닙니다. 만약 그럼에도 불구하고 보안이 잘 유지되고 있다면 적어도 나머지 셋 중 하나는 제 역할을 하고 있는 것이지요.

lottechocopie wrote:
글구 인증서는 인증뿐만 아니라 그자체가 암호화키로서 패킷스니핑으로 인한 정보유출을 방지하는 효과도 있는거져.

이건 인증서가 하는 일이 아니라 암호화 통신이 하는 것이지요. 인증서는 단지 그 인증 키 역할을 하는 것이구요. 이런 정도는 꼭 인증서를 사용하지 않고 그냥 랜덤 키를 생성해서 사용해도 가능합니다.

lottechocopie wrote:
인증서 재발급을 인터넷상에서 못하게 한다든지 꼭 은행에 다시와서 발급받게 만든다든지 같이 하면 그게 정말로 안전할거 같으세여?

인증서가 겨우 숫자 몇 개의 역할 외에는 전혀 못 하고 있는 현재의 상황 보다는 훨씬 안전할 것이라고 생각합니다.

lottechocopie wrote:
지금의 인터넷 뱅킹 방식은 님처럼 현실적 요소에 관해 아는게 거의 없는 사람들이 어설프게 만든게 아니라 이분야 최고 전문가들이 모여서 보안적 문제와 현실적 문제를 모두 고려해서 만든 방식이란 점은 기억하시길 바래여.

그걸 만든 분이 이분야 최고 전문가라는 사실은 전혀 그 결과물이 완벽하다는 증거가 되지 않습니다. 모든 사람이 실수를 합니다. 저는 애써서 인증서 시스템을 만든 많은 분을 싸잡아서 비난하거나 깎아내릴 생각은 없습니다. 그렇지만 그 분들이 한 일이 항상 옳다고는 생각하지 않습니다.

lottechocopie wrote:
보안을 공부해본적도 없고 보안분야에 종사한적도 없는 분이 보안에 대해 멀 얼마나 알길래 말도안돼는 트집같은 문제제기를 해서 남을 깎아내릴려고 안달인지...

반박을 하시려거든 계속 “지금까지 안 뚫렸다.”, “그 분야 최고 전문가가 만든 것이다.”로 일관하지 마시고 보안에 대해 쥐뿔도 모르는 제가 제기한 문제에 대한 해명을 해 주세요. 아, 저는 현재는 인터넷 보안과는 별 관계가 없는 정보이론과 관련된 공부를 하고 있습니다. 정보의 엔트로피를 양자역학적으로 어떻게 계산하는가 같은 것을 배우고 있지요.

한마디 더 덧붙이자면 저는 남 잘되는 것이 안 싫습니다. 다만 저 스스로 별 도움 안 되는 쓸데없는 불편을 감수해야 하는 것이 싫고, 제가 낸 세금이 쓸데없이 낭비되는 것이 싫을 뿐이죠.

정태영의 이미지

lottechocopie wrote:
정태영 wrote:
뭐 하튼 인증서로 인해 보안상의 이점이 있었다고는 생각하지 않습니다.

이런 말씀은 텔넷이랑 ssh랑 보안상으로 아무 차이도 없다고 우기는거랑 똑같은 괴변이져. 아시겠나여?

ssh도 키 만들어갖고 패스프레이즈 걸어 놓고 쓰면 공인 인증서랑은 방식만 틀리지 원리는 거의 비슷하다고 볼수 있져.

ssh 쓸때 다들 그렇게 쓰지 않나여?? 그러구두 ssh가 보안상으로 아무 이점도 없다는 소리는 들은적이 없는데 왜 인증서갖고는 다들 딴지인지???

오히려 인증서는 패스프레이즈를 무조건 걸게돼있는데 ssh키는 안걸어도 되도록할수 있으니깐 인증서가 보안상 우수하면 우수했지 ssh보다 못할 것은 없지여. 패스워드가 두개니깐여.

사람들이 바보라서 텔넷 안쓰고 ssh 쓰나보져???

telnet 과 ssh 의 가장 큰 차이는 암호화 채널의 사용여부입니다. 공인인증서는 암호화를 위해 사용되고 있는게 아니라 현재 자신이 누구인가를 증명하는 데 사용하고 있으므로... ssh/telnet 과의 비교는 뭔가 잘못되었다고 생각합니다.

공개키/비밀키 를 사용하는 경우는 비슷한 케이스라고 할 수 있지만... 키로 인증 받을 수 있다는 점은 보안상 이득이 없습니다. 자신이 키를 잘 관리하겠다는 전제 하에 편의를 위해 사용하는 "옵션" 사항이구요. 현재 신용카드 거래등에서 처럼 "의무" 가 아니라요

그리고 마지막으로 인증서로 로그인할 경우 기존의 아이디/비밀번호는 사용하지 않습니다. 그냥 인증서 비밀번호만 알면 되거든요.

p.s) 글을 인용하실 때는 BBCode 사용불가 옵션을 좀 꺼주셨음 하는 바램이 있군요 :roll:

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

정태영의 이미지

lottechocopie wrote:
"인증서, 보안카드, 비밀번호 등을 사용하는 현 인터넷 뱅킹이 비교적 안전하다는 증거가 되는 것이지 그게 바로 여러 가지 보안 장치 중의 하나인 인증서가 제 역할을 하고 있다는 증거는 아닙니다"

이부분도 먼 앞뒤가 안맞는 소릴 하고계신건지...

인증서가 제역할을 하고 있으니까 인터넷 뱅킹이 안전한거지 인터넷 뱅킹이 안전한데 인증서가 제 역할을 못하고 있다구여? 인증서가 제역할을 못하고 있는데 인터넷 뱅킹이 어떻게 안전하져?

글구 인증서는 인증뿐만 아니라 그자체가 암호화키로서 패킷스니핑으로 인한 정보유출을 방지하는 효과도 있는거져.

아이디랑 패스워드랑 보안카드 비밀번호랑 결재관련 정보를 전부다 플레인텍스트로 전송한다고 생각해보세여.

중간에 해커가 패킷 탈취해서 분석하면 똑같이 흉내내서 돈빼돌리는거는 시간문제겠져.

인증서가 없었던 시절엔 그럼 인터넷 뱅킹 관련해서 문제가 있었나요? 01년도에 인터넷 뱅킹을 사용할 때는 공인인증서 같은건 사용하지 않았지만 보안상에 문제가된 적은 없습니다.

컴퓨터 상에서 해결하는 방법이 아니라 오프라인적인 요소 "보안카드" 를 이용했기 때문이죠. 지금도 공인인증서 때문에 안전하다기 보다 "보안카드" 때문에 안전하다는 생각은 변함없습니다 -_-;

그리고 어제 썼던 글에 있는 링크를 따라가보지 않으신 거 같아서... 직접 인용해드리겠습니다...

빛알갱이 wrote:
모질라 개발자들이 한국 금융 거래에 쓰이는 SEED 지원 가능성을 알아 보기 위해 질의를 몇 가지 했습니다. 그에 대해 답하기 위해 HTTPLook이란 http sniffer를 설치하고, 제 은행에 들어가서 송금을 해 보고 나서 그 로그를 보았습니다. 전부터 그런 문제가 있으리라고 짐작하고 있었지만 (여기에 쓴 적도 있는 것 같군요), 직접 확인하고 나니 ......

HTTP를 통해서 제 계좌에 대한 모든 정보 (계좌 번호, 잔액, 만일 조회를 했다면, 입출금 내역 등)가 넘어 옵니다. 비밀 번호 등이야 물론 SEED로 암호화하지만, 계좌 내역, 입출금 내역 등도 민감한 정보인데, 이런 걸 그냥 HTTP로 전송하다니 정말 할 말이 없습니다. 금융 거래를 위해 SEED를 쓴다고 해도, 이런 정보가 새나가지 않도록, 금융 기관은 모두 HTTPS를 써야 한다고 봅니다.

그 뛰어난 보안 업계에서 진행하신 인터넷 뱅킹 프로젝트에서... (상당히 민감할 수 있는) 개인정보를 저렇게 생각없이 다뤄도 되는건가 싶지는 않으신가요...

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

지리즈의 이미지

alee wrote:
1. 주민등록번호
2. 통장번호
3. 통장 비밀번호
4. 자금이체 비밀번호
5. 보안카드
6. 이메일 주소 및 연락처

은행마다 다른 모양입니다.

확인해본봐 국민은행은

Quote:
1. 인터넷뱅킹 ID
2.패스워드
3.주민등록번호
4.출금계좌번호
5.계좌비밀번호
6.보안카드
7.기존의 인증서가 유효해야함(만료되어서는 안됨, 보유여부와는 무관)

입니다.

물론 이메일 주소 및 연락처를 입력하도록 되어 있으나,
이는 본인확인절차를 위한 것이 아니라, 인증서관리업체에
관련 데이터베이스 기록을 위한 것으로 보임으로
인증에 영향을 주는 것은 아니라 생략했습니다.

무통장/무카드 거래라는 것이 있는데,
통장/현금카드를 소지 하지 않더라도,
주민등록번호, 계좌번호, 계좌비밀번호만 알고 있으면,
ATM에서 입출금할 수 있는 방식입니다.
그런데, 알아보니, 창구에서 거래 직전에
본인확인을 거쳐야 한다고 하더군요.

조사해보니 현시점에서는 단 한차례,
위의 모든 정보를 훔쳐내어서, 허위로 인증서발급을 해서,
돈을 이체한 사건이 있었으나 추적으로 바로 잡혔습니다.

이 사건 이후로 정보통신부가 개인확인 절차를 강화하려는 움직임이 있었지만,
"비용증가", "이용자의 불편증가", "실질적으로 치명적인 사고가 없었던 점" 등의 이유로
금융권이 반발하여 이행되지는 않고, 현행체제가 유지되고 있는 것으로 알고 있습니다.
(정통부는 강화하고 싶어하는데, 금융권은 그럼 인증서발급비용을 올릴 수 밖에 없다로 맞서고 있어서, 무산된 것으로 알고 있습니다.)
다만, 현행 인터넷뱅킹 전용인증서를 제외하고 실제 거래 액수가 큰 법인이나,
혹은 개인범용은 인증서 갱신을 위해서는 기존 인증서를 반드시 보유하도록 되어 있습니다.

일단은 장님코끼리 만지기 식으로 저 자신이 잘 모르는 정보가지고 토론에
뛰어 들었다는 생각이 들었다는 점에서 갑자기 무척이나 부끄럽다는 생각이 들었고,
그점에 대해서 제가 고집을 피운 점 alee님께 사죄드립니다.

추가로, 인터넷뱅킹전용 인증서 사용에 불안을 느끼시는 분들은
금융결제원 전자인증센터(http://www.yessign.or.kr/ )에 방문하시면, 보다 안전한 인증서 서비스를 제공하고 있음으로
이를 이용하시는 것도 방편이라 생각이 듭니다.

There is no spoon. Neo from the Matrix 1999.

lottechocopie의 이미지

정태영 wrote:
lottechocopie wrote:
정태영 wrote:
뭐 하튼 인증서로 인해 보안상의 이점이 있었다고는 생각하지 않습니다.

이런 말씀은 텔넷이랑 ssh랑 보안상으로 아무 차이도 없다고 우기는거랑 똑같은 괴변이져. 아시겠나여?

ssh도 키 만들어갖고 패스프레이즈 걸어 놓고 쓰면 공인 인증서랑은 방식만 틀리지 원리는 거의 비슷하다고 볼수 있져.

ssh 쓸때 다들 그렇게 쓰지 않나여?? 그러구두 ssh가 보안상으로 아무 이점도 없다는 소리는 들은적이 없는데 왜 인증서갖고는 다들 딴지인지???

오히려 인증서는 패스프레이즈를 무조건 걸게돼있는데 ssh키는 안걸어도 되도록할수 있으니깐 인증서가 보안상 우수하면 우수했지 ssh보다 못할 것은 없지여. 패스워드가 두개니깐여.

사람들이 바보라서 텔넷 안쓰고 ssh 쓰나보져???

telnet 과 ssh 의 가장 큰 차이는 암호화 채널의 사용여부입니다. 공인인증서는 암호화를 위해 사용되고 있는게 아니라 현재 자신이 누구인가를 증명하는 데 사용하고 있으므로... ssh/telnet 과의 비교는 뭔가 잘못되었다고 생각합니다.

공개키/비밀키 를 사용하는 경우는 비슷한 케이스라고 할 수 있지만... 키로 인증 받을 수 있다는 점은 보안상 이득이 없습니다. 자신이 키를 잘 관리하겠다는 전제 하에 편의를 위해 사용하는 "옵션" 사항이구요. 현재 신용카드 거래등에서 처럼 "의무" 가 아니라요

그리고 마지막으로 인증서로 로그인할 경우 기존의 아이디/비밀번호는 사용하지 않습니다. 그냥 인증서 비밀번호만 알면 되거든요.

p.s) 글을 인용하실 때는 BBCode 사용불가 옵션을 좀 꺼주셨음 하는 바램이 있군요 :roll:

저 근데 진짜 궁금한게 있는데...

모르면서 아는척 하면 기분 좋으세여?

선량한 대다수 KLDP 유저들이 님의 글이나 alee님의 글을 보고 "정태영님이랑 alee님이 보안에 대해 깊은 지식을 갖고 문제제기를 하고있구나" 같은 착각에 빠질까봐 걱정이 되는군여.

말도안돼는 얘길 마치 자기가 전문가라도 된양 자신있게 얘길 하니 정작 업계에서 몇년간 보안 솔루션을 개발해온 제자신조차도 헷갈릴려고 하구여.

구체적으로 멀 틀렸는지 지적해봐야 손가락만 아프니깐 그만 둘께여. 초등학생한테 상대성이론 가르치는 꼴이져.

암튼 모르면 그냥 가만히계셨으면 하네여. 괜히 아는척했다가 나중에 더크게 망신당하지 말구여.

지리즈의 이미지

정태영 wrote:
공개키/비밀키 를 사용하는 경우는 비슷한 케이스라고 할 수 있지만... 키로 인증 받을 수 있다는 점은 보안상 이득이 없습니다. 자신이 키를 잘 관리하겠다는 전제 하에 편의를 위해 사용하는 "옵션" 사항이구요. 현재 신용카드 거래등에서 처럼 "의무" 가 아니라요

그리고 마지막으로 인증서로 로그인할 경우 기존의 아이디/비밀번호는 사용하지 않습니다. 그냥 인증서 비밀번호만 알면 되거든요.

제가 알고 있는 것과 다른 것 같습니다.

공개키/비밀키는 옵션사항은 맞으나,
이는 단순히 편의를 제공하는 수준에서의 것이 아니라,
향상된 보안제공을 위한 옵션입니다.

ID/패스워드는 20byte안팎이지만, 안증키는 현행 2048byte의
문자열입니다.

물론 20byte의 문자열배열도 수십만가지의 조합의 가능성이 있지만,
인증키는 ID/패스워드에 비하면 그 키조합가능성이 무한에 가깝습니다.
한마디로, ID/패스워드를 쳐 넣는 원초적인 해킹(=인증서 변조)을 원천 차단하겠다는 의미입니다.

또한, 키 역시 암호화되어 있고, 인증서를 유효화하는데 필요한 패스워드 전송구간이 로컬입니다.
따라서, ssl이 뚤렸다고 하더라도 여전히 안전합니다.

이러한 이유로 공개키/비밀키 기반의 인증방식을 사용하는 것으로
알고 있습니다.

물론 키스트록후킹방식에는 장사는 없습니다. ^^

There is no spoon. Neo from the Matrix 1999.

정태영의 이미지

lottechocopie wrote:
저 근데 진짜 궁금한게 있는데...

모르면서 아는척 하면 기분 좋으세여?

선량한 대다수 KLDP 유저들이 님의 글이나 alee님의 글을 보고 "정태영님이랑 alee님이 보안에 대해 깊은 지식을 갖고 문제제기를 하고있구나" 같은 착각에 빠질까봐 걱정이 되는군여.

말도안돼는 얘길 마치 자기가 전문가라도 된양 자신있게 얘길 하니 정작 업계에서 몇년간 보안 솔루션을 개발해온 제자신조차도 헷갈릴려고 하구여.

구체적으로 멀 틀렸는지 지적해봐야 손가락만 아프니깐 그만 둘께여. 초등학생한테 상대성이론 가르치는 꼴이져.

암튼 모르면 그냥 가만히계셨으면 하네여. 괜히 아는척했다가 나중에 더크게 망신당하지 말구여.

더 이상 이런 낚시질에 대응해 줄 필요는 없을 듯 하군요... 보안업계에서 무슨 일을 하시는 지는 모르겠지만 "공부 좀 하세요"

더 이상 어떤 글이 달리든 더 이상 이 글에 답변다는 일은 없을 겁니다 8)

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

IsExist의 이미지

정태영 wrote:
lottechocopie wrote:
인증서를 이용한 방식이 아이디와 패스워드를 직접 사용하는 것 보다 나을 것이 별로 없다고 말씀하신다면 왜 패스워드를 뚫은 해킹은 수도 없이 많은데 인증서를 뚫은 해킹은 지금까지 한건도 없나여???

인증서를 뚫은 해킹이 한건도 없다는 사실 자체가 인증서가 안전하다는 반증이져.

인증서를 사용하는 곳은 아이디/비밀번호를 통한 인증을 하는 곳의 수에 비교하면 정말 1/1,000,000 정도밖에 안될 거란 생각은 안하셨나요 ;)

lottechocopie wrote:
글구 인증서 방식을 개발한 사람들이 무슨 바보도 아니구 패스워드 방식보다 나을게 없는데 머하러 귀찬케 인증서를 쓰게 만들었나여 사용자로서는 이중접속이라 귀찬키만 한데...

alee님은 직업이 먼지 몰라도 인증서 만든 사람들이 최소한 alee님보다 컴터 실력이 딸리거나 바보가 아니란 사실은 알아두시기 바래여.

KLDP에 보믄 가끔 자기가 실력 뛰어나다는 걸 강조할려고 멀쩡한 남을 깎아내리는 발언을 하는 경우가 있는거 같은데 그러믄 안되져.

솔직히 alee님이란 분은 리눅스만 써봐서 인증서 이용 방식이 먼지 잘 모르시는 모양인데(리눅스에선 인증서를 쓸수가 없으니깐) 윈도에서 인증서로 은행 결재 한번 해보시구 말씀하시져.

http://forums.mozilla.or.kr/viewtopic.php?t=5089

뭐 하튼 위의 링크를 보면 ... 개인정보 보호에 그렇게 신경쓰고 있단 생각은 안 듭니다 -_-;;

인증서도 인증서지만 https 등의 방법을 놔두고 xecureWeb 이라던가 iniSafeWEb 등의 방법을 통해 암호화 채널을 제공하는 것도 개인적으로 아주 맘에 안듭니다 -_-;;

https 를 사용하면 괴상한 자바스크립트로 도배될 필요도 없고... 이상한 플러그인을 깔 필요도 없으며... windows 가 아닌 다른 운영체제를 사용하는 사람들도 현재보다 훨씬 불편을 덜 느꼈을텐데 말이죠...

https 가 아닌 방식을 쓴 이유는 과도기적인 이유도 있고 국내 PKI 산업을 보호하기 위한 명분이 썩여 있습니다.

국내 금융 상거래에서 암호 알고리즘은 SEED를 사용해야 한다는 규정이 있습니다.(이게 제1금융권,제2금융권 공히 다 해당되는지는 기억 가물가물)

128비트 미국외 금지시절엔 로컬 프록시 형태의 https + SEED를 사용했습니다. SEED를 구지 넣은건 국내 암호 산업 보호 차원도 있습니다. 프록시랑 은행 서버까지는 ssl + SEED 였습니다.

128비트가 풀리고 나기 전부터 https 방식은 전체 채널 암호화라 이미지가 많은 국내 뱅킹에서는 서버 부하 및 느리다는 이유로 이해 plugin 방식으로 갑니다. plugin 방식에서는 javascript 를 이용해서 특정 html 내용만 암호화 합니다. 이때는 netscape 용 plugin이도 같이 존재했었습니다.

한때는 linux용 netscape 플러그인을 두 업체 S, I 사 모두 가지고 있었던 적이 있습니다.

이후 금융거래에 대한 보안요구 사항(전자서명)의 증대로 지금의 인터넷뱅킹 방식이 자리잡은걸로 기억합니다.

---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

lottechocopie의 이미지

정태영 wrote:
lottechocopie wrote:
저 근데 진짜 궁금한게 있는데...

모르면서 아는척 하면 기분 좋으세여?

선량한 대다수 KLDP 유저들이 님의 글이나 alee님의 글을 보고 "정태영님이랑 alee님이 보안에 대해 깊은 지식을 갖고 문제제기를 하고있구나" 같은 착각에 빠질까봐 걱정이 되는군여.

말도안돼는 얘길 마치 자기가 전문가라도 된양 자신있게 얘길 하니 정작 업계에서 몇년간 보안 솔루션을 개발해온 제자신조차도 헷갈릴려고 하구여.

구체적으로 멀 틀렸는지 지적해봐야 손가락만 아프니깐 그만 둘께여. 초등학생한테 상대성이론 가르치는 꼴이져.

암튼 모르면 그냥 가만히계셨으면 하네여. 괜히 아는척했다가 나중에 더크게 망신당하지 말구여.

더 이상 이런 낚시질에 대응해 줄 필요는 없을 듯 하군요... 보안업계에서 무슨 일을 하시는 지는 모르겠지만 "공부 좀 하세요"

더 이상 어떤 글이 달리든 더 이상 이 글에 답변다는 일은 없을 겁니다 8)

인터넷 여기저기서 단편적인 보안 지식을 몇개 줏어들어놓고 그걸로 이론을 멋대로 구성한다음 마치 자신이 먼가 대단한 지식이라도 습득한양 착각을 하시는것 같네여.

님이 말도 안돼는 얘길 늘어놓지 않았다면 제가 반박글을 쓸필요가 없져. 그렇지않나여?

근데 누가 낚시글이라는건지 원... 양심을 가져보세여.

근데 님은 직업이 먼가여? 보안에 대해 그렇게 아는게 많은거 같은 분이 정작 지금 무슨일에 종사하고 계신지... 제느낌상으로는 자아도취에 빠진 대학생인거 같은데...

한가지 얘기 해드릴까여...

제가 회사에서 신입 사원 뽑을려고 면접을 보믄여...대학생들이 많이 오거든여.

물어보면 10이면 10명다 전부 다잘안대여. 자신있다고 큰소리들은 장난아니져.

근데 뽑아놓고 일시켜놓으면 전부 개판이거든여. 아주 대학교 찾아가서 교수 멱살 붙잡고 왜 이따위로 가르쳤냐고 욕하고 싶을 정도가 대부분이에여.

전부다 잘한다고 큰소리친 인간들이 간단한 포인터 연산도 몰라서 하루종일 삽질을 하고 앉았으니 꼭지 돌아버리져.

할수없이 첨부터 새로 다가르치져. 근데 웃기게도 회사서 1년 빡세게 가르친게 대학서 4년 딩가딩가 놀면서 배운 지식의 10배는 배우는거 같네여.

제가 드리고 싶은 말씀은 그거에여. 대학생 시절에 자만하지 말고 공부부터 열심히 하시길.

전문가 행세는 취직하고 나서 커리어 몇년 쌓은담에 해도 늦지 않거든여.

channy의 이미지

지리즈 wrote:
물론 키스트록후킹방식에는 장사는 없습니다. ^^

왜 그런가요? 마우스로 키패드를 누르는 방법도 있고, OTP도 있는데요. (지금 방식 보면 장애인 접근성 핑계를 댈 필요도 없고...)

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

kall의 이미지

lottechocopie wrote:
머가 한건이라도 뚫린 사례가 있어서 보안상 이점이 없다고 우기기라도 할텐데 정작 님은 구체적인 수치는 한건도 못대면서 우기기만 하는군여.

인증서가 뚫린 사례를 대보세여.

글구 인증서가 발급된건만 지금까지 천만건이 넘는데 머가 패스워드 방식보다 백만분의일로 적게 사용된다는 괴변을 늘어놓는 분두 있구 이해가 안ㅤㄷㅙㅁ...

아니 천만건중에 한건도 뚫린 사례가 없는데 보안상 이점이 없다니 대체 먼소린지 이해좀 시켜주세여.


http://bbs.kldp.org/viewtopic.php?t=57619 :?:

----
자신을 이길 수 있는자는
무슨짓이든 할수있다..
즉..무서운 넘이란 말이지 ^-_-^
나? 아직 멀었지 ㅠㅠ

channy의 이미지

정태영 wrote:

그리고 어제 썼던 글에 있는 링크를 따라가보지 않으신 거 같아서... 직접 인용해드리겠습니다...

빛알갱이 wrote:
모질라 개발자들이 한국 금융 거래에 쓰이는 SEED 지원 가능성을 알아 보기 위해 질의를 몇 가지 했습니다. 그에 대해 답하기 위해 HTTPLook이란 http sniffer를 설치하고, 제 은행에 들어가서 송금을 해 보고 나서 그 로그를 보았습니다. 전부터 그런 문제가 있으리라고 짐작하고 있었지만 (여기에 쓴 적도 있는 것 같군요), 직접 확인하고 나니 ......

HTTP를 통해서 제 계좌에 대한 모든 정보 (계좌 번호, 잔액, 만일 조회를 했다면, 입출금 내역 등)가 넘어 옵니다. 비밀 번호 등이야 물론 SEED로 암호화하지만, 계좌 내역, 입출금 내역 등도 민감한 정보인데, 이런 걸 그냥 HTTP로 전송하다니 정말 할 말이 없습니다. 금융 거래를 위해 SEED를 쓴다고 해도, 이런 정보가 새나가지 않도록, 금융 기관은 모두 HTTPS를 써야 한다고 봅니다.

그 뛰어난 보안 업계에서 진행하신 인터넷 뱅킹 프로젝트에서... (상당히 민감할 수 있는) 개인정보를 저렇게 생각없이 다뤄도 되는건가 싶지는 않으신가요...

이 부분에는 약간 오해가 있습니다. 은행 서버에서 HTML이 넘어 올 때 금융 정보들은 Encrypt된 상태로 넘어 옵니다. 플러그인에 의뢰해서 decrypt를 하죠. 국민은행 경우 중요 부분에 full text encrypt를 하고 하나은행의 경우 message encrypt를 하더군요.

		          	<td class="txt_o" height="24" bgcolor="ffffff" align="center" >
					<script language="javascript">
var clientenc="";
clientenc +="GrdMahEHpc8VR/4NiNlXXQ==\n";
document.write(Idecrypt(clientenc));
</script>/<script language="javascript">
var clientenc="";
clientenc +="9Q6u9sGdcwEgqc3pWZbiQQ==\n";
document.write(Idecrypt(clientenc));
</script>/<script language="javascript">
var clientenc="";
clientenc +="R4OqfOaKOLikHMlsX+mzqA==\n";
document.write(Idecrypt(clientenc));
</script>
					</td>

이런 방식 차이는 SI를 한 회사가 어디냐에 따른 것인데.. 빛알갱이님이 검사하신 은행이 encrypt 안 하는 은행일 수도 있습니다.

문제는 웹에다가 그렇게 레거시에 의존하는 방식이 정답이냐는 것입니다. (HTML에다 인크립트 막아놓고 플러그인에다가 풀게해서 받아오고...) 그야 말로 PKI 업체 먹여 살리는 꼴이고 PKI 업체들도 그런 막일만 하고 살거도 아니고 말이죠. 뭐든 정공법으로 풀어야 합니다.

외국가서 그런게 통할 거 같습니까?

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

alee의 이미지

alee wrote:

제가 제기한 문제는 딱 한 가지 입니다.

1. 주민등록번호
2. 자금이체 비밀번호 또는 뱅킹 ID 및 비밀번호
3. 통장 비밀번호
4. 보안카드

이것만 있으면 발급받을 수 있는 인증서를 이 목록에 추가하는 것이 보안에 무슨 도움이 되겠는가 하는 점입니다. 그게 별 도움이 안 된다는 것을 아는 데 보안에 대해 무슨 대단한 지식이 필요하지요? 토론에 도움이 안 되는 이야기는 그만 하시고 실제로는 인증서가 도움이 되는데 제가 간과하고 있는 부분이 있다면 대체 어떤 부분에서 도움이 되는지 알려주세요.

여기에 대한 대답이 아직 없으시군요. 제가 보안에 대해 아무것도 모르는 무지한 대학생이기 때문에 lottechocopie님께 알려주세요 라고 했습니다. 그런데 정작 대답은 없으시고 이해할 수 없는 궤변이라면서 요즘 대학생이 어쩌구 하는 이야기만 하시는군요.

저는 지금까지 이 글타래에서 의도적으로 lottechocopie님을 비방하는 글을 쓴 적은 없습니다. 지금까지 제가 쓴 글을 확인해 보세요. 그렇지만 계속 그렇게 유치하게 나오신다면 lottechocopie님의 글이 어느정도로 유치한지 보여드릴 겸 해서 저도 몇 줄 적어드릴 수는 있습니다.

초등학생도 이해할 수 있는 이 간단한 문제점도 이해 못 하는 분이 그 동안 인터넷 뱅킹 보안 솔루션을 만들었던 것인가요? 이거 원 불안해서 인터넷 뱅킹 쓰겠습니까? 어느 은행에 납품하셨지요? 제가 거래하는 은행은 제발 lottechocopie님 회사에서 납품한 제품을 안 쓰고 있기를 빌고 싶은 심정입니다.

이제 lottechocopie님을 비롯한 일부 몰지각한 개발자들의 문제점을 지적해 볼까요? 조금만 생각해 보면 구멍이 눈에 다 보여도 큰 사고가 없으면 종종 “테스트 해 보니 문제가 없었다” “전문가들이 만들었는데 도대체 뭐가 불만이냐” “아직까지 큰 사고가 없었다”로 일관하기 일쑤입니다.

외양간 벽 한쪽이 다 뚫려 있는게 다른 사람 눈에는 다 보이는데 아직 소가 외양간 안에 있으니 안 고쳐도 된다고 이야기하는 꼴입니다. 남의 집 외양간 고장난 것 이야기 해 줘 봐야 “소가 외양간 안에 있는데 무슨 생 트집이야? 외양간 만들어보지도 않은 자네 따위가 외양간에 대해 얼마나 알아?” 하고 욕이나 먹기 일쑤입니다. 외양간 만들어 보고 외양간 전문가가 되어야 외양간 벽 뚫린게 보입니까? 그런건 초등학생 눈에도 보입니다. 외양간 주인에게만 안 보이지요.

lottechocopie님은 자신이 만들어 놓은 솔루션이 도대체 왜 그렇게 돌아가는지는 전혀 생각을 안 하고 사시는 것 같습니다. 그냥 돌려봐서 돌아가면 그만입니다. 스스로 보안 전문가라고 자처하고 계시니 소스는 잘 짜시겠지요. 그런데 그렇게 짠 프로그램을 쓰는게 왜, 어떤 상황에서 효과가 있는지에 대해서는 전혀 생각을 안 하시는 것 같습니다. 생각 좀 하십시오. 머리는 장식으로 달고 다니십니까?

lottechocopie님 흉내내기는 여기서 그만 해야겠습니다. 왜 지금 lottechocopie님께서 일방적으로 매도되는 분위기가 되고 있는지 생각해 보시기 바랍니다. 아, 그리고 제가 위에서 여쭈어 본 것 대답도 해 주시구요. 위에서는 정말 궁금해서 여쭤본 것입니다.

alee의 이미지

지리즈 wrote:
alee wrote:
1. 주민등록번호
2. 통장번호
3. 통장 비밀번호
4. 자금이체 비밀번호
5. 보안카드
6. 이메일 주소 및 연락처

은행마다 다른 모양입니다.

확인해본봐 국민은행은

Quote:
1. 인터넷뱅킹 ID
2.패스워드
3.주민등록번호
4.출금계좌번호
5.계좌비밀번호
6.보안카드
7.기존의 인증서가 유효해야함(만료되어서는 안됨, 보유여부와는 무관)

입니다.

7번은 제가 거래하는 은행에서도 요구하지만 보유 여부와는 관계가 없기 때문에 빠뜨렸습니다. 결국 인터넷뱅킹ID와 패스워드를 사용하느냐 자금이체비밀번호를 사용하느냐의 차이만 있을 뿐 비슷한 것 같습니다.

지리즈 wrote:
일단은 장님코끼리 만지기 식으로 저 자신이 잘 모르는 정보가지고 토론에
뛰어 들었다는 생각이 들었다는 점에서 갑자기 무척이나 부끄럽다는 생각이 들었고,
그점에 대해서 제가 고집을 피운 점 alee님께 사죄드립니다.

추가로, 인터넷뱅킹전용 인증서 사용에 불안을 느끼시는 분들은
금융결제원 전자인증센터(http://www.yessign.or.kr/ )에 방문하시면, 보다 안전한 인증서 서비스를 제공하고 있음으로
이를 이용하시는 것도 방편이라 생각이 듭니다.

고집을 피우시다니요··· 아닙니다. 덕분에 저도 많은 것을 새로 알게 되었습니다. 마지막에 주신 정보는 나중에 유용하게 사용할 수 있을 것 같습니다. 그런데 지금은 통장 잔고가 거의 바닥이라 좀더 안전한 인증서 서비스가 별로 필요가 없네요. :twisted:

IsExist의 이미지

alee wrote:
제가 제기한 문제는 딱 한 가지 입니다.

1. 주민등록번호
2. 자금이체 비밀번호 또는 뱅킹 ID 및 비밀번호
3. 통장 비밀번호
4. 보안카드

이것만 있으면 발급받을 수 있는 인증서를 이 목록에 추가하는 것이 보안에 무슨 도움이 되겠는가 하는 점입니다. 그게 별 도움이 안 된다는 것을 아는 데 보안에 대해 무슨 대단한 지식이 필요하지요? 실제로는 도움이 되는데 제가 간과하고 있는 부분이 있다면 대체 어떤 부분에서 도움이 되는지 알려주세요.

위의 것들은 다 오프라인 정보군요. 이런 정보를 얻을 정도면 그냥 은행 창구에 가서 뽑아 올수 있을겁니다. 구지 인증서 발급해서 인터넷뱅킹 할 이유가 없어 보입니다.

---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

lottechocopie의 이미지

alee wrote:
제가 제기한 문제는 딱 한 가지 입니다.

1. 주민등록번호
2. 자금이체 비밀번호 또는 뱅킹 ID 및 비밀번호
3. 통장 비밀번호
4. 보안카드

이것만 있으면 발급받을 수 있는 인증서를 이 목록에 추가하는 것이 보안에 무슨 도움이 되겠는가 하는 점입니다. 그게 별 도움이 안 된다는 것을 아는 데 보안에 대해 무슨 대단한 지식이 필요하지요? 실제로는 도움이 되는데 제가 간과하고 있는 부분이 있다면 대체 어떤 부분에서 도움이 되는지 알려주세요.

그러니까 님의 주장은 한마디로 공인인증서란거 자체를 쓸필요가 없다 이말이져?

기가 막혀서 괴변에 대꾸할 가치를 못느끼네여.

혼자 무인도라도 가서 인증서없이 잘돌아가는 뱅킹시스템 개발해놓고 혼자 잘쓰시길....

alee의 이미지

IsExist wrote:
alee wrote:
제가 제기한 문제는 딱 한 가지 입니다.

1. 주민등록번호
2. 자금이체 비밀번호 또는 뱅킹 ID 및 비밀번호
3. 통장 비밀번호
4. 보안카드

이것만 있으면 발급받을 수 있는 인증서를 이 목록에 추가하는 것이 보안에 무슨 도움이 되겠는가 하는 점입니다. 그게 별 도움이 안 된다는 것을 아는 데 보안에 대해 무슨 대단한 지식이 필요하지요? 실제로는 도움이 되는데 제가 간과하고 있는 부분이 있다면 대체 어떤 부분에서 도움이 되는지 알려주세요.

위의 것들은 다 오프라인 정보군요. 이런 정보를 얻을 정도면 그냥 은행 창구에 가서 뽑아 올수 있을겁니다. 구지 인증서 발급해서 인터넷뱅킹 할 이유가 없어 보입니다.

직접 은행 창구에 가서 뽑을 경우 본인 확인 절차가 필요합니다. 이 부분은 지리즈님께서도 확인을 해 주셨습니다. 바로 이 “오프라인 상의 본인 확인 절차”를 온라인에서 대신하기 위해 마련된 것이 인증서입니다. 그런데 그 인증서가 1~4번 정보만 가지고 발급 가능하다면 제 역할을 전혀 못 하는 것 아닌가요?

alee의 이미지

lottechocopie wrote:
alee wrote:
제가 제기한 문제는 딱 한 가지 입니다.

1. 주민등록번호
2. 자금이체 비밀번호 또는 뱅킹 ID 및 비밀번호
3. 통장 비밀번호
4. 보안카드

이것만 있으면 발급받을 수 있는 인증서를 이 목록에 추가하는 것이 보안에 무슨 도움이 되겠는가 하는 점입니다. 그게 별 도움이 안 된다는 것을 아는 데 보안에 대해 무슨 대단한 지식이 필요하지요? 실제로는 도움이 되는데 제가 간과하고 있는 부분이 있다면 대체 어떤 부분에서 도움이 되는지 알려주세요.

그러니까 님의 주장은 한마디로 공인인증서란거 자체를 쓸필요가 없다 이말이져?

기가 막혀서 괴변에 대꾸할 가치를 못느끼네여.

혼자 무인도라도 가서 인증서없이 잘돌아가는 뱅킹시스템 개발해놓고 혼자 잘쓰시길....

쓸 필요가 없다고 주장하지 않았습니다. 현재의 방식으로는 쓰나 안 쓰나 큰 차이가 없다는 것이지요. HSBC 은행의 경우 정부의 강압 때문에 지금은 어쩔 수 없이 공인인증서를 도입했지만, 작년까지만 해도 인터넷 뱅킹을 인증서 없이 잘 사용했습니다.

그런데 제 주장을 왜 궤변이라고 생각하시는지요? 궤변이라고 생각하시는 이유가 궁금하네요.

lottechocopie의 이미지

alee wrote:
lottechocopie wrote:
alee wrote:
제가 제기한 문제는 딱 한 가지 입니다.

1. 주민등록번호
2. 자금이체 비밀번호 또는 뱅킹 ID 및 비밀번호
3. 통장 비밀번호
4. 보안카드

이것만 있으면 발급받을 수 있는 인증서를 이 목록에 추가하는 것이 보안에 무슨 도움이 되겠는가 하는 점입니다. 그게 별 도움이 안 된다는 것을 아는 데 보안에 대해 무슨 대단한 지식이 필요하지요? 실제로는 도움이 되는데 제가 간과하고 있는 부분이 있다면 대체 어떤 부분에서 도움이 되는지 알려주세요.

그러니까 님의 주장은 한마디로 공인인증서란거 자체를 쓸필요가 없다 이말이져?

기가 막혀서 괴변에 대꾸할 가치를 못느끼네여.

혼자 무인도라도 가서 인증서없이 잘돌아가는 뱅킹시스템 개발해놓고 혼자 잘쓰시길....

쓸 필요가 없다고 주장하지 않았습니다. 현재의 방식으로는 쓰나 안 쓰나 큰 차이가 없다는 것이지요. HSBC 은행의 경우 정부의 강압 때문에 지금은 어쩔 수 없이 공인인증서를 도입했지만, 작년까지만 해도 인터넷 뱅킹을 인증서 없이 잘 사용했습니다.

그런데 제 주장을 왜 궤변이라고 생각하시는지요? 궤변이라고 생각하시는 이유가 궁금하네요.

주장을 똑바로 하세여. 인증서를 쓰면 보안에 아무 차이가 없다는건지 별차이가 없다는건지

인증서를 써서 보안이 조금이라도 향상이 되면 인증서의 가치가 그만큼 있다는거 아닌가여???

근데 왜자꾸 인증서를 물고늘어지는거져. 이게 괴변이 아니면 먼가여.

lottechocopie의 이미지

alee wrote:
IsExist wrote:
alee wrote:
제가 제기한 문제는 딱 한 가지 입니다.

1. 주민등록번호
2. 자금이체 비밀번호 또는 뱅킹 ID 및 비밀번호
3. 통장 비밀번호
4. 보안카드

이것만 있으면 발급받을 수 있는 인증서를 이 목록에 추가하는 것이 보안에 무슨 도움이 되겠는가 하는 점입니다. 그게 별 도움이 안 된다는 것을 아는 데 보안에 대해 무슨 대단한 지식이 필요하지요? 실제로는 도움이 되는데 제가 간과하고 있는 부분이 있다면 대체 어떤 부분에서 도움이 되는지 알려주세요.

위의 것들은 다 오프라인 정보군요. 이런 정보를 얻을 정도면 그냥 은행 창구에 가서 뽑아 올수 있을겁니다. 구지 인증서 발급해서 인터넷뱅킹 할 이유가 없어 보입니다.

직접 은행 창구에 가서 뽑을 경우 본인 확인 절차가 필요합니다. 이 부분은 지리즈님께서도 확인을 해 주셨습니다. 바로 이 “오프라인 상의 본인 확인 절차”를 온라인에서 대신하기 위해 마련된 것이 인증서입니다. 그런데 그 인증서가 1~4번 정보만 가지고 발급 가능하다면 제 역할을 전혀 못 하는 것 아닌가요?

생전 엄마 대신 은행창구가서 돈뽑은적이 한번도 없으신거 같네여?? 말도안돼는 결론을 내놓고 남이 확인까지 해줬다니 기가 막혀도 예사로 막혀야지

alee의 이미지

위에 kall님께서 걸어 주신 링크

http://bbs.kldp.org/viewtopic.php?t=57619

를 따라가 보니 키 스트로크(key stroke) 전송 프로그램만으로 인터넷 뱅킹이 뚫린 사례가 나오네요. 키 스트로크 프로그램으로 인증서를 어떻게 빼 냈을까요? 기사에 자세한 내용이 나와 있지는 않지만 아마 제가 지적한 바로 그 방법으로 가능하지 않았을까 생각합니다.

키 스트로크 프로그램만으로 뚫리는 인증서가 아이디/패스워드에 비해 어떤 이점이 있다고 생각하시는지 궁금할 따름입니다.

아마 전혀 차이가 없지는 않겠지요. 최소한 해킹이 약간 더 번거로워지기는 할 테니까요. 그렇지만 단지 약간 더 번거로워지는 정도의 차이는 인증서 도입을 위해 투자한 것에 비하면 너무 미미한 차이라고 생각합니다.

alee의 이미지

lottechocopie wrote:
생전 엄마 대신 은행창구가서 돈뽑은적이 한번도 없으신거 같네여?? 말도안돼는 결론을 내놓고 남이 확인까지 해줬다니 기가 막혀도 예사로 막혀야지

타인의 통장에서 인출하는 것은 도장으로 개설한 통장의 경우에 한해서만 가능합니다. 사인으로 개설한 통장은 반드시 본인 확인 절차를 거치도록 되어 있습니다.

warpdory의 이미지

alee wrote:
lottechocopie wrote:
생전 엄마 대신 은행창구가서 돈뽑은적이 한번도 없으신거 같네여?? 말도안돼는 결론을 내놓고 남이 확인까지 해줬다니 기가 막혀도 예사로 막혀야지

타인의 통장에서 인출하는 것은 도장으로 개설한 통장의 경우에 한해서만 가능합니다. 사인으로 개설한 통장은 반드시 본인 확인 절차를 거치도록 되어 있습니다.

사인으로 한 것도 대충 얼굴 익혀서 친하면 돈 줍니다. ... 본인 확인 절차 안 밟는 것 수없이 봤습니다. 심지어는 신분증 요구도 안하는 은행 봤습니다.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

alee의 이미지

warpdory wrote:
사인으로 한 것도 대충 얼굴 익혀서 친하면 돈 줍니다. ... 본인 확인 절차 안 밟는 것 수없이 봤습니다. 심지어는 신분증 요구도 안하는 은행 봤습니다.

얼굴 익혀서 친하다···는게 바로 “본인 확인 절차” 아닐까요? :oops: 그런데 신분증 요구도 안하는 은행이 어디인가요? 그 은행이랑은 거래 안하렵니다.

warpdory의 이미지

alee wrote:
warpdory wrote:
사인으로 한 것도 대충 얼굴 익혀서 친하면 돈 줍니다. ... 본인 확인 절차 안 밟는 것 수없이 봤습니다. 심지어는 신분증 요구도 안하는 은행 봤습니다.

얼굴 익혀서 친하다···는게 바로 “본인 확인 절차” 아닐까요? :oops: 그런데 신분증 요구도 안하는 은행이 어디인가요? 그 은행이랑은 거래 안하렵니다.

경험상, 제x, 우x, 우xx 였습니다. 그중 제x 은행을 제외한 곳은 얼굴도 모르는 곳이었고, 여행가서 돈 찾으려고 했던 거죠. - 현금카드 먹통 사태 ...


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

channy의 이미지

lottechocopie wrote:

제가 회사에서 신입 사원 뽑을려고 면접을 보믄여...대학생들이 많이 오거든여.

물어보면 10이면 10명다 전부 다잘안대여. 자신있다고 큰소리들은 장난아니져.

근데 뽑아놓고 일시켜놓으면 전부 개판이거든여. 아주 대학교 찾아가서 교수 멱살 붙잡고 왜 이따위로 가르쳤냐고 욕하고 싶을 정도가 대부분이에여.

전부다 잘한다고 큰소리친 인간들이 간단한 포인터 연산도 몰라서 하루종일 삽질을 하고 앉았으니 꼭지 돌아버리져.

할수없이 첨부터 새로 다가르치져. 근데 웃기게도 회사서 1년 빡세게 가르친게 대학서 4년 딩가딩가 놀면서 배운 지식의 10배는 배우는거 같네여.

제가 드리고 싶은 말씀은 그거에여. 대학생 시절에 자만하지 말고 공부부터 열심히 하시길.

전문가 행세는 취직하고 나서 커리어 몇년 쌓은담에 해도 늦지 않거든여.

성급하게 일반화 하지 마세요. 님이 말씀 하시는 대학생 중에는 우리나라 PKI 업체들이 10년이 넘도록 못한 SEED 알고리듬을 오픈 소스로 만든 일과 OpenSSL에 패치를 넣는 일 까지 하고 있습니다.

http://openlook.org/blog/1028

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

방랑자의 이미지

lottechocopie wrote:
정태영 wrote:
lottechocopie wrote:
저 근데 진짜 궁금한게 있는데...

모르면서 아는척 하면 기분 좋으세여?

선량한 대다수 KLDP 유저들이 님의 글이나 alee님의 글을 보고 "정태영님이랑 alee님이 보안에 대해 깊은 지식을 갖고 문제제기를 하고있구나" 같은 착각에 빠질까봐 걱정이 되는군여.

말도안돼는 얘길 마치 자기가 전문가라도 된양 자신있게 얘길 하니 정작 업계에서 몇년간 보안 솔루션을 개발해온 제자신조차도 헷갈릴려고 하구여.

구체적으로 멀 틀렸는지 지적해봐야 손가락만 아프니깐 그만 둘께여. 초등학생한테 상대성이론 가르치는 꼴이져.

암튼 모르면 그냥 가만히계셨으면 하네여. 괜히 아는척했다가 나중에 더크게 망신당하지 말구여.

더 이상 이런 낚시질에 대응해 줄 필요는 없을 듯 하군요... 보안업계에서 무슨 일을 하시는 지는 모르겠지만 "공부 좀 하세요"

더 이상 어떤 글이 달리든 더 이상 이 글에 답변다는 일은 없을 겁니다 8)

인터넷 여기저기서 단편적인 보안 지식을 몇개 줏어들어놓고 그걸로 이론을 멋대로 구성한다음 마치 자신이 먼가 대단한 지식이라도 습득한양 착각을 하시는것 같네여.

님이 말도 안돼는 얘길 늘어놓지 않았다면 제가 반박글을 쓸필요가 없져. 그렇지않나여?

근데 누가 낚시글이라는건지 원... 양심을 가져보세여.

근데 님은 직업이 먼가여? 보안에 대해 그렇게 아는게 많은거 같은 분이 정작 지금 무슨일에 종사하고 계신지... 제느낌상으로는 자아도취에 빠진 대학생인거 같은데...

한가지 얘기 해드릴까여...

제가 회사에서 신입 사원 뽑을려고 면접을 보믄여...대학생들이 많이 오거든여.

물어보면 10이면 10명다 전부 다잘안대여. 자신있다고 큰소리들은 장난아니져.

근데 뽑아놓고 일시켜놓으면 전부 개판이거든여. 아주 대학교 찾아가서 교수 멱살 붙잡고 왜 이따위로 가르쳤냐고 욕하고 싶을 정도가 대부분이에여.

전부다 잘한다고 큰소리친 인간들이 간단한 포인터 연산도 몰라서 하루종일 삽질을 하고 앉았으니 꼭지 돌아버리져.

할수없이 첨부터 새로 다가르치져. 근데 웃기게도 회사서 1년 빡세게 가르친게 대학서 4년 딩가딩가 놀면서 배운 지식의 10배는 배우는거 같네여.

제가 드리고 싶은 말씀은 그거에여. 대학생 시절에 자만하지 말고 공부부터 열심히 하시길.

전문가 행세는 취직하고 나서 커리어 몇년 쌓은담에 해도 늦지 않거든여.

그러는 님이야 말로 구체적인 근거와 사례 등이 결핍된것 같네요
객관적으로 봐도 정태영 님 말씀이 논리적으로 보이네요

그리고 좀 벗어난 이야기지만 자꾸 초딩 초딩 하시는데
~져 ~여 말투야 말로 초딩 같으니
삼가하시는것도 괜찮을것 같습니다. :(

ydhoney의 이미지

말씀 중 죄송합니다만..

적어도 초코파이에 있어서 롯데는 됐습니다.

오리온으로 주세요.

lottechocopie의 이미지

channy wrote:
lottechocopie wrote:

제가 회사에서 신입 사원 뽑을려고 면접을 보믄여...대학생들이 많이 오거든여.

물어보면 10이면 10명다 전부 다잘안대여. 자신있다고 큰소리들은 장난아니져.

근데 뽑아놓고 일시켜놓으면 전부 개판이거든여. 아주 대학교 찾아가서 교수 멱살 붙잡고 왜 이따위로 가르쳤냐고 욕하고 싶을 정도가 대부분이에여.

전부다 잘한다고 큰소리친 인간들이 간단한 포인터 연산도 몰라서 하루종일 삽질을 하고 앉았으니 꼭지 돌아버리져.

할수없이 첨부터 새로 다가르치져. 근데 웃기게도 회사서 1년 빡세게 가르친게 대학서 4년 딩가딩가 놀면서 배운 지식의 10배는 배우는거 같네여.

제가 드리고 싶은 말씀은 그거에여. 대학생 시절에 자만하지 말고 공부부터 열심히 하시길.

전문가 행세는 취직하고 나서 커리어 몇년 쌓은담에 해도 늦지 않거든여.

성급하게 일반화 하지 마세요. 님이 말씀 하시는 대학생 중에는 우리나라 PKI 업체들이 10년이 넘도록 못한 SEED 알고리듬을 오픈 소스로 만든 일과 OpenSSL에 패치를 넣는 일 까지 하고 있습니다.

http://openlook.org/blog/1028

옛말에 입은 삐뚤어져도 말은 제대로 하라는 격언이 있져. 그말이 딱 생각나네여.

seed 알고리즘 구현해논 소스는 이미 저희 회사를 포함한 많은 업체에서 그 대학생보다 훨씬 오래전에 개발완료해서 지금은 전국 수백만 사용자들이 편리하게 사용하고 있거든여.

근데 기업들이 미쳤다고 돈 엄청 퍼부어서 힘들게 만든 솔루션을 오픈소스로 공개하나여?

오픈소스로 공개하면 그담은 머먹고 사나여? 그동안 벌만큼 벌었으니 더이상 벌지말고 쉬란 얘긴가야.

프로그래머한테 너 왜 돈벌어!! 오늘부터 돈벌지마!! 라고 협박하는 꼴이네여.

글구 몇몇 생각이 삐뚤어진 분들이 착각하는게 있는데여

기업의 목표는 좋은 물건을 값싸게 팔아서 고객을 만족시킴으로써 돈을 버는거지 후진 물건 공짜로 덤핑쳐서 고객을 아무도 만족 못시키고 자긴 쫄딱 망하는게 아니거든여.

저희 회사가 귀중한 인력을 openssl에 seed 알고리즘 심고 프로그램 개선하는일에 허비했다면 어떻게 됐을까여.

당연히 쫄딱 망했겠져???

openssl갖고는 돈을 10원도 벌수가 없거든여. 왜냐면 openssl은 그냥 레퍼런스에 불과한거지 하나의 솔루션이 아니기때문에 상품가치가 없어여.

거기다 공짜로 구할수 있는 프로그램을 돈주고 사서쓸 멍청한 고객도 없지만여.

그나저나 국내 보안 솔루션 개발업체의 기술력을 openssl에 seed 알고리즘 심는 따위랑 비교를 하시다니 어지간히 폄하를 해도 너무 심한게 아닌가 싶네여.

전부 잘난척들은 되게 하시는데 알고보면 직업이 대학생이거나 보안과는 아무 상관도 없는 직종에 종사하거나 그렇져.

웃음밖에 안나는거는 그렇게 다들 보안을 잘알고 있는 분들이 왜 아직도 학교에서 남한테 배우고 있고(=남을 가르치고 있어야 할분들이) 보안과는 아무 상관도 없는 분야에서 종사하고 계시나여. 그정도 수준이면 보안 분야에서 엄청 높은 대접들을 받을텐데.

자기일들이나 제대로 잘하세여 제발 멀쩡한 남의 일에 트집잡지 말구여.

lottechocopie의 이미지

방랑자 wrote:
lottechocopie wrote:
정태영 wrote:
lottechocopie wrote:
저 근데 진짜 궁금한게 있는데...

모르면서 아는척 하면 기분 좋으세여?

선량한 대다수 KLDP 유저들이 님의 글이나 alee님의 글을 보고 "정태영님이랑 alee님이 보안에 대해 깊은 지식을 갖고 문제제기를 하고있구나" 같은 착각에 빠질까봐 걱정이 되는군여.

말도안돼는 얘길 마치 자기가 전문가라도 된양 자신있게 얘길 하니 정작 업계에서 몇년간 보안 솔루션을 개발해온 제자신조차도 헷갈릴려고 하구여.

구체적으로 멀 틀렸는지 지적해봐야 손가락만 아프니깐 그만 둘께여. 초등학생한테 상대성이론 가르치는 꼴이져.

암튼 모르면 그냥 가만히계셨으면 하네여. 괜히 아는척했다가 나중에 더크게 망신당하지 말구여.

더 이상 이런 낚시질에 대응해 줄 필요는 없을 듯 하군요... 보안업계에서 무슨 일을 하시는 지는 모르겠지만 "공부 좀 하세요"

더 이상 어떤 글이 달리든 더 이상 이 글에 답변다는 일은 없을 겁니다 8)

인터넷 여기저기서 단편적인 보안 지식을 몇개 줏어들어놓고 그걸로 이론을 멋대로 구성한다음 마치 자신이 먼가 대단한 지식이라도 습득한양 착각을 하시는것 같네여.

님이 말도 안돼는 얘길 늘어놓지 않았다면 제가 반박글을 쓸필요가 없져. 그렇지않나여?

근데 누가 낚시글이라는건지 원... 양심을 가져보세여.

근데 님은 직업이 먼가여? 보안에 대해 그렇게 아는게 많은거 같은 분이 정작 지금 무슨일에 종사하고 계신지... 제느낌상으로는 자아도취에 빠진 대학생인거 같은데...

한가지 얘기 해드릴까여...

제가 회사에서 신입 사원 뽑을려고 면접을 보믄여...대학생들이 많이 오거든여.

물어보면 10이면 10명다 전부 다잘안대여. 자신있다고 큰소리들은 장난아니져.

근데 뽑아놓고 일시켜놓으면 전부 개판이거든여. 아주 대학교 찾아가서 교수 멱살 붙잡고 왜 이따위로 가르쳤냐고 욕하고 싶을 정도가 대부분이에여.

전부다 잘한다고 큰소리친 인간들이 간단한 포인터 연산도 몰라서 하루종일 삽질을 하고 앉았으니 꼭지 돌아버리져.

할수없이 첨부터 새로 다가르치져. 근데 웃기게도 회사서 1년 빡세게 가르친게 대학서 4년 딩가딩가 놀면서 배운 지식의 10배는 배우는거 같네여.

제가 드리고 싶은 말씀은 그거에여. 대학생 시절에 자만하지 말고 공부부터 열심히 하시길.

전문가 행세는 취직하고 나서 커리어 몇년 쌓은담에 해도 늦지 않거든여.

그러는 님이야 말로 구체적인 근거와 사례 등이 결핍된것 같네요
객관적으로 봐도 정태영 님 말씀이 논리적으로 보이네요

그리고 좀 벗어난 이야기지만 자꾸 초딩 초딩 하시는데
~져 ~여 말투야 말로 초딩 같으니
삼가하시는것도 괜찮을것 같습니다. :(

쥐뿔도 모르면서 큰소리만 뻥뻥 치던 대학생이 입사해서 윗사람들한테 된통 깨지면서 개발자로 성장하는거는 이분야 종사자라면 누구나 경험해 봤을 스토린데 이거보다 더 구체적인 근거와 사례를 멀 대야 돼나여.

글구보니 더 구체적인 근거있네여. 정태영님이란 분과 alee님처럼 암것도 모르면서 아는체하다 망신만 당하는 분들여.

자기보다 훨씬 많이 배우고 뛰어난 실력을 갖춘 전문가들이 몇년동안 숙고한 끝에 인증서 방식을 채용했다면 뭔가 이유가 있으니까 채용한거지 그이유를 알아볼 생각도 않고 우물안 개구리에 불과한 대학생 주제에 자기 수준에서 아무리 생각해봐도 모르니까 이유가 없다고 우기는건 아주 건방진 자세져.

초딩이 피타고라스 정리 증명할려고 끙끙대다가 몇시간 지난담에 종이를 휙 집어던지면서 이건 말도 안돼는 이론이라고 소리치는거랑 똑같은 거라니까여.

대학생이라는 신분은 기존의 지식과 학설, 이론들을 스폰지 빨아들이듯 빨아들여 자기것으로 만드는 과정이져.

그렇게 빨아들인 지식적 토양 위에서 자기 이론을 수립하고 제품을 개발하는거지 아무 토양도 없는데 싹이 나오나여.

그러니까 회사들어가면 프로그램은 개판으로 만들고 된통 깨지고 하는거져.

아는것도 없이 코드 몇줄도 제대로 못짜면서 먼X의 말빨은 어디서 배웠는지 다들 이핑계 저핑계,, 아주 말빨로 코드 백만줄은 짜져.

그래놓고는 짜놓은 코드 어딨냐고 하면 그건 없다고 함. 황구라교수처럼 남이 자기 코들 바꿔치기라도 했단 얘긴가???

기존 업계에 종사하고 계신 분들이라면 제 얘기에 공감을 하실 거에여.

자아도취에 빠진 대학생들이라면 여전히 코웃음만 칠거고.

위에 정태영님이란 분이 쓴글 보세여. 인증서를 쓰면 패스워드를 한번만 친다고 했져.

그건 은행 로긴할때 얘기고 증권사 HTS들은 로긴 패스워드 한번 치고 인증서 패스워드 한번 더치고 해서 총 두번을 치게 돼있어여.

근데 정태영님은 한번도 증권 HTS를 해본적이 없으니 그걸 알턱이 없는 거에여.

자기 우물에는 패스워드 두번 치는 시스템이 없으니 세상 모든 시스템이 패스워드를 한번만 치는지 착각에 빠져있는거져.

그래놓고선 자기가 멀 되게 잘아는양 인증서를 이용하면 패스워드를 한번만 친다는둥 말도 안돼는 소리나 하고...

alee님도 그렇져. 인증서가 필요없다는건지 필요있다는건지 교묘하게 괴변을 섞어가면서 알수 없는 주장을 반복할때부터 전 alee님이 암것도 모르면서 전문가 행세를 하는 대학생인지 알았져.

그런 사람을 한두명 본게 아니니까여.

거기다 은행에서 돈뺄때 본인 확인을 한다는식으로 말도 안돼는 소릴 하다가 제가 반박하니까 기껐 생각해낸게 싸인해서 통장만들면 본인 확인이 필요하다 이딴식으로 말장난쳐서 슬슬 빠져 나갈 생각이나 하고 말이져.

말빨로 때워서 속아넘기는거는 자기랑 동급 레벨한테나 먹히는 수법이지 자기 위레벨에 있는 사람한테는 전혀 안먹히는 수법이란건 명심하시길 바래여.

위에서 보면 짱구 굴리는 소리 다들려여.

kyano의 이미지

lottechocopie님은 대학생때 뭘 하셨는지요?

비전문가가 나서서 뭐라고 하는게 전문가, 혹은 업계 종사자의 입장에서
기분이 나쁘실 수 있다는 건 이해를 해드리지만...
대학생이라는 위치(?) 자체를 걸고 넘어지시는건 학생 입장에서
기분이 유쾌하지는 못하군요...

다시 원래 이야기로 돌아가면 현재 우리나라 금융기관에서
쓰이는 인증서기반 암호화가 TLS기반 암호화보다 어떤 면에서
우월성을 갖는지... 그리고 TLS처럼 브라우저에서 지원하는
기술을 못쓴다면(더 우월해서일수도 있고 다른 이유에서라도)
공인인증서를 윈도우 이외의 운영체제나 플랫폼에서 사용하는
방법은 왜 안 만드는지 이쪽 분야에 종사하시는 전문가분께서
설명해주시길 바랍니다...

귀찮아하시지 마시고 저같이 전문지식 없는 대학생들도
쉽게 알 수 있게 설명해주세요...
그래야 나중에 매니저 위치에 올라가셨을때 밑에 사람들 삽질
하는거 안보고 혈압관리 잘 하시죠... :twisted:

--
Have you ever heard about Debian GNU/Linux?

foo의 이미지

lottechocopie wrote:

자기보다 훨씬 많이 배우고 뛰어난 실력을 갖춘 전문가들이 몇년동안 숙고한 끝에 인증서 방식을 채용했다면 뭔가 이유가 있으니까 채용한거지 그이유를 알아볼 생각도 않고 우물안 개구리에 불과한 대학생 주제에 자기 수준에서 아무리 생각해봐도 모르니까 이유가 없다고 우기는건 아주 건방진 자세져.
...

쯔쯔..
우물안에 개구리는 누굴 두고 하는지 모르겠군요. 그다지 답변할 가치를 못 느낄만한 글이지만,,

각 직장에 전문가들은 몇년씩 연구해서 만들어 놓은게 고작 active X 뒤범벅이랍니까? 우리나라 소프트웨어 분야는 미국이나 일본에 비해 10년은 더 뒤져있습니다. 직장 가서 몇년 있다고 실력이 향상됩니까? 네, 마케팅 능력/마인드나 이빨 까는 능력이 더 좋아질 수는 있겠습니다만, 실력이나 코드의 질, 대학생이나 비 직장인의 아마추어적 프로근성을 따라갈 수 없을겁니다.

우리나라 모든 은행에 도배된 active X의 실체를 보세요. 눈가리고 아웅이라는게 이런겁니다.

http://forums.mozilla.or.kr/viewtopic.php?t=5089

이 짓거리로 망쳐놓은게 누굴까요? 개념 있으신 양반들 아니십니까? 먼저 개념부터 챙기시길,,,

위 모질라 사이트에 글을 올리신분만 해도 차니님과 더불어 우리나라에 몇분 안계시는 모질라 해커며 약 10년 전부터 유명하셨던 분이죠.

cocas의 이미지

lottechocopie wrote:
방랑자 wrote:
lottechocopie wrote:
정태영 wrote:
lottechocopie wrote:
저 근데 진짜 궁금한게 있는데...

모르면서 아는척 하면 기분 좋으세여?

선량한 대다수 KLDP 유저들이 님의 글이나 alee님의 글을 보고 "정태영님이랑 alee님이 보안에 대해 깊은 지식을 갖고 문제제기를 하고있구나" 같은 착각에 빠질까봐 걱정이 되는군여.

말도안돼는 얘길 마치 자기가 전문가라도 된양 자신있게 얘길 하니 정작 업계에서 몇년간 보안 솔루션을 개발해온 제자신조차도 헷갈릴려고 하구여.

구체적으로 멀 틀렸는지 지적해봐야 손가락만 아프니깐 그만 둘께여. 초등학생한테 상대성이론 가르치는 꼴이져.

암튼 모르면 그냥 가만히계셨으면 하네여. 괜히 아는척했다가 나중에 더크게 망신당하지 말구여.

더 이상 이런 낚시질에 대응해 줄 필요는 없을 듯 하군요... 보안업계에서 무슨 일을 하시는 지는 모르겠지만 "공부 좀 하세요"

더 이상 어떤 글이 달리든 더 이상 이 글에 답변다는 일은 없을 겁니다 8)

인터넷 여기저기서 단편적인 보안 지식을 몇개 줏어들어놓고 그걸로 이론을 멋대로 구성한다음 마치 자신이 먼가 대단한 지식이라도 습득한양 착각을 하시는것 같네여.

님이 말도 안돼는 얘길 늘어놓지 않았다면 제가 반박글을 쓸필요가 없져. 그렇지않나여?

근데 누가 낚시글이라는건지 원... 양심을 가져보세여.

근데 님은 직업이 먼가여? 보안에 대해 그렇게 아는게 많은거 같은 분이 정작 지금 무슨일에 종사하고 계신지... 제느낌상으로는 자아도취에 빠진 대학생인거 같은데...

한가지 얘기 해드릴까여...

제가 회사에서 신입 사원 뽑을려고 면접을 보믄여...대학생들이 많이 오거든여.

물어보면 10이면 10명다 전부 다잘안대여. 자신있다고 큰소리들은 장난아니져.

근데 뽑아놓고 일시켜놓으면 전부 개판이거든여. 아주 대학교 찾아가서 교수 멱살 붙잡고 왜 이따위로 가르쳤냐고 욕하고 싶을 정도가 대부분이에여.

전부다 잘한다고 큰소리친 인간들이 간단한 포인터 연산도 몰라서 하루종일 삽질을 하고 앉았으니 꼭지 돌아버리져.

할수없이 첨부터 새로 다가르치져. 근데 웃기게도 회사서 1년 빡세게 가르친게 대학서 4년 딩가딩가 놀면서 배운 지식의 10배는 배우는거 같네여.

제가 드리고 싶은 말씀은 그거에여. 대학생 시절에 자만하지 말고 공부부터 열심히 하시길.

전문가 행세는 취직하고 나서 커리어 몇년 쌓은담에 해도 늦지 않거든여.

그러는 님이야 말로 구체적인 근거와 사례 등이 결핍된것 같네요
객관적으로 봐도 정태영 님 말씀이 논리적으로 보이네요

그리고 좀 벗어난 이야기지만 자꾸 초딩 초딩 하시는데
~져 ~여 말투야 말로 초딩 같으니
삼가하시는것도 괜찮을것 같습니다. :(

쥐뿔도 모르면서 큰소리만 뻥뻥 치던 대학생이 입사해서 윗사람들한테 된통 깨지면서 개발자로 성장하는거는 이분야 종사자라면 누구나 경험해 봤을 스토린데 이거보다 더 구체적인 근거와 사례를 멀 대야 돼나여.

글구보니 더 구체적인 근거있네여. 정태영님이란 분과 alee님처럼 암것도 모르면서 아는체하다 망신만 당하는 분들여.

자기보다 훨씬 많이 배우고 뛰어난 실력을 갖춘 전문가들이 몇년동안 숙고한 끝에 인증서 방식을 채용했다면 뭔가 이유가 있으니까 채용한거지 그이유를 알아볼 생각도 않고 우물안 개구리에 불과한 대학생 주제에 자기 수준에서 아무리 생각해봐도 모르니까 이유가 없다고 우기는건 아주 건방진 자세져.

초딩이 피타고라스 정리 증명할려고 끙끙대다가 몇시간 지난담에 종이를 휙 집어던지면서 이건 말도 안돼는 이론이라고 소리치는거랑 똑같은 거라니까여.

... 이하 후략합니다. - cocas ...

신분부터 밝혀야 겠군요. 먼저 대전 모 대학에 03학번으로 재학중인 대학생입니다. 보안에 대해선 취미로 알고 있습니다.

전문가에 대해서 누차 듣는 얘기는 있습니다. '자네가 정말 그 분야의 전문가라고 생각된다면 자네가 하는 일을 자네 부모님, 자네 조카, 자네 자식에게 설명해 보게.' 네. 그렇죠. 정말 자신이 전문가라면 자신이 하는 일을 남에게 충분히 알아듣기 쉽게 이해시킬 수 있어야 합니다. 아직 공인인증서를 써야만 하는 이유를 lottechocopie님께서는 납득시키지 못하고 있습니다. 더 정확하게 말하자면 공인 인증서를 플랫폼에 특화된 형태로만 사용해야 하는 이유를 납득시키지 못하고 계십니다. 전문가가 심사숙고 했다고 해서 그게 반드시 최선이고 정답이란 법은 없습니다. 간단하게 구글의 예만 봐도 검색 전문가들이 만든 기성 검색엔진과 패기있는 대학생이 만든 검색엔진의 대결입니다. 더 낫다고까지 말하지 않아도 구글은 이미 기존 검색엔진만큼의 결과는 충분히 냅니다.

건방진 대학생을 전문가가 설득시키지 못하는 건 정말 학생이 너무너무 건방진 면도 있지만 전문가가 정말 전문적이지 못하다는 말도 됩니다. 전문적으로 한번 설명해 주세요.

정말 전문가라고 생각하시면 표준어를 최대한 지킨 형식의 글로 '설득'을 해 주시기 바랍니다.

p.s opt님, saintlinu님께서 이 쓰레드를 보고 계시는 지 모르겠네요. 정확하게 일치하는 분야는 아니지만 그래도 제가 아는 범위 내에선 가장 전문적인 식견을 갖고 계시리라고 생각하는데요.

lottechocopie의 이미지

kyano wrote:
lottechocopie님은 대학생때 뭘 하셨는지요?

비전문가가 나서서 뭐라고 하는게 전문가, 혹은 업계 종사자의 입장에서
기분이 나쁘실 수 있다는 건 이해를 해드리지만...
대학생이라는 위치(?) 자체를 걸고 넘어지시는건 학생 입장에서
기분이 유쾌하지는 못하군요...

다시 원래 이야기로 돌아가면 현재 우리나라 금융기관에서
쓰이는 인증서기반 암호화가 TLS기반 암호화보다 어떤 면에서
우월성을 갖는지... 그리고 TLS처럼 브라우저에서 지원하는
기술을 못쓴다면(더 우월해서일수도 있고 다른 이유에서라도)
공인인증서를 윈도우 이외의 운영체제나 플랫폼에서 사용하는
방법은 왜 안 만드는지 이쪽 분야에 종사하시는 전문가분께서
설명해주시길 바랍니다...

귀찮아하시지 마시고 저같이 전문지식 없는 대학생들도
쉽게 알 수 있게 설명해주세요...
그래야 나중에 매니저 위치에 올라가셨을때 밑에 사람들 삽질
하는거 안보고 혈압관리 잘 하시죠... :twisted:

이유는 딱한가지밖에 없어여. 돈때문이져.

윈도 빼고 나머지 플랫폼은 국내에서 아무리 모아봐야 2%도 안되거든여.

이 2%를 위해 회사에서 솔루션을 개발하는건 회사 입장으로선 손해거든여.

여러분들은 리눅스를 오래써서 리눅스를 다들 되게 많이 쓰는지 아는 모양인데 실제로는 거의 안쓰거든여.

저도 리눅스를 많이 사용을 하지만 이 시스템은 도저히 돈을 벌수가 없는 것은 인정을 해야되여.

리눅스는 오로지 사용자들만이 알아서 발전을 시켜야 되는데 저같이 보안 업체에 매인 개발자는 오픈소스에 참여하고 싶어도 할수가 없져.

그랬다간 회사 기밀 누출로 당장 잡혀가겠져.

근데 누가 한가한 시간에 리눅스용 보안 인증 솔루션을 공짜로 만들고 앉았나여.

그런 시스템 한번 개발하면 수억은 벌수 있는데 공짜로 개발하는 사람은 앉은 자리에서 집한채 갖다버리는거져.

그런게 정신이 확 미치지 않고선 가능한 일이 아니져.

당장 저라두 프로그램 마니 팔아서 돈 마니 벌고 편하게 살고 싶지 일은 일대로 죽도록 하고 끼니 굶어가며 비참하게 살긴 싫으네여.

여러분중에도 일부러 거지되고 싶은분 있으세여??? 당연 없겠져.

위에서 무슨 대학생이 국내 보안업체가 10년동안 못한일을(seed 알고리즘을 openssl에 구현) 했다고 하는데 이게 웃기는게 말이져

이렇게 중요한 일을 일개 대학생이 10년만에 할때까지 그럼 국내 오픈소스 개발자들은 다 머하고 있었느냐?

솔직하게 까놓고 얘기해서 그런걸 만들 능력이 없는건 저같은 상용 보안업체 개발자들이 아니라 국내 오픈소스 개발자들이져.

저희 회사가 몇년전에 짠 구현을 이제와서 짜놓고는 되게 자랑스러워하는것도 우습지만 업체들이 기술력이 딸려서 못짰다고 멋대로 착각하는거는 도저히 할말이 없게 만들져.

주위를 둘러보세여. 오픈소스 보안 전문가 행세를 하고 다니는 사람중에 정작 짜논 오픈소스 코드는 한줄이라도 있는지.

대신에 이론만 거의 박사급이져.

이론은 빠삭한데 왜 코드는 하나도 못짜는지 이해가 안가지만 암튼 사회에선 그런 사람들이 많아여.

흔히 말하는 입만 살은 사람들...

lottechocopie의 이미지

cocas wrote:
lottechocopie wrote:
방랑자 wrote:
lottechocopie wrote:
정태영 wrote:
lottechocopie wrote:
저 근데 진짜 궁금한게 있는데...

모르면서 아는척 하면 기분 좋으세여?

선량한 대다수 KLDP 유저들이 님의 글이나 alee님의 글을 보고 "정태영님이랑 alee님이 보안에 대해 깊은 지식을 갖고 문제제기를 하고있구나" 같은 착각에 빠질까봐 걱정이 되는군여.

말도안돼는 얘길 마치 자기가 전문가라도 된양 자신있게 얘길 하니 정작 업계에서 몇년간 보안 솔루션을 개발해온 제자신조차도 헷갈릴려고 하구여.

구체적으로 멀 틀렸는지 지적해봐야 손가락만 아프니깐 그만 둘께여. 초등학생한테 상대성이론 가르치는 꼴이져.

암튼 모르면 그냥 가만히계셨으면 하네여. 괜히 아는척했다가 나중에 더크게 망신당하지 말구여.

더 이상 이런 낚시질에 대응해 줄 필요는 없을 듯 하군요... 보안업계에서 무슨 일을 하시는 지는 모르겠지만 "공부 좀 하세요"

더 이상 어떤 글이 달리든 더 이상 이 글에 답변다는 일은 없을 겁니다 8)

인터넷 여기저기서 단편적인 보안 지식을 몇개 줏어들어놓고 그걸로 이론을 멋대로 구성한다음 마치 자신이 먼가 대단한 지식이라도 습득한양 착각을 하시는것 같네여.

님이 말도 안돼는 얘길 늘어놓지 않았다면 제가 반박글을 쓸필요가 없져. 그렇지않나여?

근데 누가 낚시글이라는건지 원... 양심을 가져보세여.

근데 님은 직업이 먼가여? 보안에 대해 그렇게 아는게 많은거 같은 분이 정작 지금 무슨일에 종사하고 계신지... 제느낌상으로는 자아도취에 빠진 대학생인거 같은데...

한가지 얘기 해드릴까여...

제가 회사에서 신입 사원 뽑을려고 면접을 보믄여...대학생들이 많이 오거든여.

물어보면 10이면 10명다 전부 다잘안대여. 자신있다고 큰소리들은 장난아니져.

근데 뽑아놓고 일시켜놓으면 전부 개판이거든여. 아주 대학교 찾아가서 교수 멱살 붙잡고 왜 이따위로 가르쳤냐고 욕하고 싶을 정도가 대부분이에여.

전부다 잘한다고 큰소리친 인간들이 간단한 포인터 연산도 몰라서 하루종일 삽질을 하고 앉았으니 꼭지 돌아버리져.

할수없이 첨부터 새로 다가르치져. 근데 웃기게도 회사서 1년 빡세게 가르친게 대학서 4년 딩가딩가 놀면서 배운 지식의 10배는 배우는거 같네여.

제가 드리고 싶은 말씀은 그거에여. 대학생 시절에 자만하지 말고 공부부터 열심히 하시길.

전문가 행세는 취직하고 나서 커리어 몇년 쌓은담에 해도 늦지 않거든여.

그러는 님이야 말로 구체적인 근거와 사례 등이 결핍된것 같네요
객관적으로 봐도 정태영 님 말씀이 논리적으로 보이네요

그리고 좀 벗어난 이야기지만 자꾸 초딩 초딩 하시는데
~져 ~여 말투야 말로 초딩 같으니
삼가하시는것도 괜찮을것 같습니다. :(

쥐뿔도 모르면서 큰소리만 뻥뻥 치던 대학생이 입사해서 윗사람들한테 된통 깨지면서 개발자로 성장하는거는 이분야 종사자라면 누구나 경험해 봤을 스토린데 이거보다 더 구체적인 근거와 사례를 멀 대야 돼나여.

글구보니 더 구체적인 근거있네여. 정태영님이란 분과 alee님처럼 암것도 모르면서 아는체하다 망신만 당하는 분들여.

자기보다 훨씬 많이 배우고 뛰어난 실력을 갖춘 전문가들이 몇년동안 숙고한 끝에 인증서 방식을 채용했다면 뭔가 이유가 있으니까 채용한거지 그이유를 알아볼 생각도 않고 우물안 개구리에 불과한 대학생 주제에 자기 수준에서 아무리 생각해봐도 모르니까 이유가 없다고 우기는건 아주 건방진 자세져.

초딩이 피타고라스 정리 증명할려고 끙끙대다가 몇시간 지난담에 종이를 휙 집어던지면서 이건 말도 안돼는 이론이라고 소리치는거랑 똑같은 거라니까여.

... 이하 후략합니다. - cocas ...

신분부터 밝혀야 겠군요. 먼저 대전 모 대학에 03학번으로 재학중인 대학생입니다. 보안에 대해선 취미로 알고 있습니다.

전문가에 대해서 누차 듣는 얘기는 있습니다. '자네가 정말 그 분야의 전문가라고 생각된다면 자네가 하는 일을 자네 부모님, 자네 조카, 자네 자식에게 설명해 보게.' 네. 그렇죠. 정말 자신이 전문가라면 자신이 하는 일을 남에게 충분히 알아듣기 쉽게 이해시킬 수 있어야 합니다. 아직 공인인증서를 써야만 하는 이유를 lottechocopie님께서는 납득시키지 못하고 있습니다. 더 정확하게 말하자면 공인 인증서를 플랫폼에 특화된 형태로만 사용해야 하는 이유를 납득시키지 못하고 계십니다. 전문가가 심사숙고 했다고 해서 그게 반드시 최선이고 정답이란 법은 없습니다. 간단하게 구글의 예만 봐도 검색 전문가들이 만든 기성 검색엔진과 패기있는 대학생이 만든 검색엔진의 대결입니다. 더 낫다고까지 말하지 않아도 구글은 이미 기존 검색엔진만큼의 결과는 충분히 냅니다.

건방진 대학생을 전문가가 설득시키지 못하는 건 정말 학생이 너무너무 건방진 면도 있지만 전문가가 정말 전문적이지 못하다는 말도 됩니다. 전문적으로 한번 설명해 주세요.

정말 전문가라고 생각하시면 표준어를 최대한 지킨 형식의 글로 '설득'을 해 주시기 바랍니다.

p.s opt님, saintlinu님께서 이 쓰레드를 보고 계시는 지 모르겠네요. 정확하게 일치하는 분야는 아니지만 그래도 제가 아는 범위 내에선 가장 전문적인 식견을 갖고 계시리라고 생각하는데요.

공인인증서를 왜 특정 플랫폼에 종속시켜 만드느냐구여? 그이유는 돈때문이라고 위에서 설명을 드렸구여.

또한가지 부수적 이유를 설명드리면 MSVS만한 개발 환경이 리눅스에는 없거든여.

VS 쓰다가 리눅스에서 간단한 프로그램이라도 짜볼라치면 아주 꼭지 돌아버려여.

MS는 API부터 문서에 예제까지 MSDN이란 거대한 데이터베이스를 통해 완벽하게 제공을 하는데 리눅스는 API도 중구난방으로 정리가 안돼있지(어느게표준인지 알길이 없져) 문서는 인터넷에 온통 널려다는데 머가 맞고 머가 틀리는건지 알길이 없지 예제는 수백가지 대학생 수준의 습작 오픈소스 프로그램속에서 어느게 제대로 짠건지 알길도 없지 개발하기가 정말 힘들거든여.

한마디로 생산성이 비교도 안되져. 그니까 계속 MS 플랫폼에서 개발하던 사람은 MS 플랫폼이 편하고 빠르니까 계속 쓰게 되는거져.

이런 얘기 하면 꼭 리눅스도 편하다 리눅스가 더 편하다 이딴 반박을 하는 분들이 있는데 남들은 다 불편하다는데 혼자 편하다고 우기면 그건 괴변밖에 안되는거져.

M.W.Park의 이미지

lottechocopie님 그래서... 그쪽에 개발 몇년차이십니까?
설득을 하고자하면 좀 제대로 해주세요.
학생들마저 설득 못시키면서 누굴 설득하려고요?

-----
오늘 의 취미는 끝없는, 끝없는 인내다. 1973 法頂

kyano의 이미지

주제랑은 좀 벗어난 이야기이지만 이곳(KLDP)에서 피해가기 힘든 이야기 좀 하겠습니다...

리눅스용 솔루션 만들어서 어짜피 은행권에 파는거 아닌가요?
Linux/Mac 지원, 혹은 TLS이용하는 솔루션이 오픈소스와 상관이 있나요?

TLS를 이용하는게 GPL에 걸리는 행위도 아니고...
(그렇다면 IE도 소스를 공개해야겠죠...)

개인적으로 perky님의 SEED 오픈소스화와 같은 오픈소스/공개에 관한
것들은 지지하지만 개인적인 의견이고 하니 일단 넘기겠습니다...
(RMS같은 지존급 ㅂㅌ가 아닌 이상 이곳에서 그렇게 강요하는 분은
안 계신 걸로 알고 있습니다)

2%만 되어도 금융권에서는 절대 무시하는 수치는 아닌걸로 알고 있습니다...
(H모 카드 광고에서 3%에서 10%로 성장했다고 랩하면서 만쉐이를 외치죠)

비록 10원밖에 없는 계좌만 끊어도 벌벌 기는 은행들이 사용자들의
이런 요구에 반응을 안하는것은 고객으로서 충분히 따질 수 있는 부분이고
이에 대한 요구충족을 못해주는 은행들은 충분이 비판의 대상이 될 수 있다고
생각합니다...

p.s. 돈 이야기를 하셨는데 윈도우에서 XecureWeb 설치할때 돈 내고 설치해야
하나요? 고객이 돈주고 사는건 은행에서 인증서를 사는게 아닌가요?
을의 입장인 보안업체와 은행고객간에 돈 문제가 어떻게 치명적으로 오가는지
모르겠군요...

--
Have you ever heard about Debian GNU/Linux?

lottechocopie의 이미지

foo wrote:
lottechocopie wrote:

자기보다 훨씬 많이 배우고 뛰어난 실력을 갖춘 전문가들이 몇년동안 숙고한 끝에 인증서 방식을 채용했다면 뭔가 이유가 있으니까 채용한거지 그이유를 알아볼 생각도 않고 우물안 개구리에 불과한 대학생 주제에 자기 수준에서 아무리 생각해봐도 모르니까 이유가 없다고 우기는건 아주 건방진 자세져.
...

쯔쯔..
우물안에 개구리는 누굴 두고 하는지 모르겠군요. 그다지 답변할 가치를 못 느낄만한 글이지만,,

각 직장에 전문가들은 몇년씩 연구해서 만들어 놓은게 고작 active X 뒤범벅이랍니까? 우리나라 소프트웨어 분야는 미국이나 일본에 비해 10년은 더 뒤져있습니다. 직장 가서 몇년 있다고 실력이 향상됩니까? 네, 마케팅 능력/마인드나 이빨 까는 능력이 더 좋아질 수는 있겠습니다만, 실력이나 코드의 질, 대학생이나 비 직장인의 아마추어적 프로근성을 따라갈 수 없을겁니다.

우리나라 모든 은행에 도배된 active X의 실체를 보세요. 눈가리고 아웅이라는게 이런겁니다.

http://forums.mozilla.or.kr/viewtopic.php?t=5089

이 짓거리로 망쳐놓은게 누굴까요? 개념 있으신 양반들 아니십니까? 먼저 개념부터 챙기시길,,,

위 모질라 사이트에 글을 올리신분만 해도 차니님과 더불어 우리나라에 몇분 안계시는 모질라 해커며 약 10년 전부터 유명하셨던 분이죠.

active X 뒤범벅 조차도 못짜는 입만 살으신 국내 대학생 전문가님들과 오픈소스 개발자들은 미국이나 일본에 비해 20년쯤 뒤쳐져 있을라나여.

그렇게 잘나신 분들이 국내 보안기술 발전에 대체 멀 공헌들을 했는지 궁금하네여.

저희 회사가 몇년전에 구현한 seed 알고리즘을 이제와서 구현해 놓은게 정말 뛰어난 실력이라서 되게 자랑스러우신가여?

한마디로 비웃음밖에 안나네여.

lottechocopie의 이미지

kyano wrote:
주제랑은 좀 벗어난 이야기이지만 이곳(KLDP)에서 피해가기 힘든 이야기 좀 하겠습니다...

리눅스용 솔루션 만들어서 어짜피 은행권에 파는거 아닌가요?
Linux/Mac 지원, 혹은 TLS이용하는 솔루션이 오픈소스와 상관이 있나요?

TLS를 이용하는게 GPL에 걸리는 행위도 아니고...
(그렇다면 IE도 소스를 공개해야겠죠...)

개인적으로 perky님의 SEED 오픈소스화와 같은 오픈소스/공개에 관한
것들은 지지하지만 개인적인 의견이고 하니 일단 넘기겠습니다...
(RMS같은 지존급 ㅂㅌ가 아닌 이상 이곳에서 그렇게 강요하는 분은
안 계신 걸로 알고 있습니다)

2%만 되어도 금융권에서는 절대 무시하는 수치는 아닌걸로 알고 있습니다...
(H모 카드 광고에서 3%에서 10%로 성장했다고 랩하면서 만쉐이를 외치죠)

비록 10원밖에 없는 계좌만 끊어도 벌벌 기는 은행들이 사용자들의
이런 요구에 반응을 안하는것은 고객으로서 충분히 따질 수 있는 부분이고
이에 대한 요구충족을 못해주는 은행들은 충분이 비판의 대상이 될 수 있다고
생각합니다...

p.s. 돈 이야기를 하셨는데 윈도우에서 XecureWeb 설치할때 돈 내고 설치해야
하나요? 고객이 돈주고 사는건 은행에서 인증서를 사는게 아닌가요?
을의 입장인 보안업체와 은행고객간에 돈 문제가 어떻게 치명적으로 오가는지
모르겠군요...

계산법을 알려드리져.

어차피 개발을 할때 생산성이 똑같다고 가정을 하면 윈도에도 50이 들고 리눅스에도 50이 드는데 기대수익이 윈도는 98이고 리눅스는 2라면 님은 어느쪽에 올인하시겠나여.

아니 현실적으로 볼때 개발 비용이 윈도는 33이고 리눅스가 67쯤으로 해야 맞다고 볼수 있져. 리눅스가 개발하기가 아무리 넉넉히 잡아도 최소 2배는 오래걸리기때문에..

그니까 개발업체 측면에서보면 윈도는 33을 투입하면 98을 건지는데 리눅스는 67을 투입해서 2를 건지니깐 상대적 기대수익이 엄청 마이너스로 나는거져.

당연히 리눅스는 포기하는게 기업으로선 정상이져.

이거는 여러분이 주식을 산다고 가정해도 똑같은데여

만원 투자해서 십만원 이익볼거같은 주식과 만원 투자해서 천원 이익볼거같은 주식이 있는데 누가 천원 이익볼 주식에 투자하나여??

cocas의 이미지

lottechocopie wrote:
cocas wrote:
lottechocopie wrote:
방랑자 wrote:
lottechocopie wrote:
정태영 wrote:
lottechocopie wrote:
저 근데 진짜 궁금한게 있는데...

모르면서 아는척 하면 기분 좋으세여?

선량한 대다수 KLDP 유저들이 님의 글이나 alee님의 글을 보고 "정태영님이랑 alee님이 보안에 대해 깊은 지식을 갖고 문제제기를 하고있구나" 같은 착각에 빠질까봐 걱정이 되는군여.

말도안돼는 얘길 마치 자기가 전문가라도 된양 자신있게 얘길 하니 정작 업계에서 몇년간 보안 솔루션을 개발해온 제자신조차도 헷갈릴려고 하구여.

구체적으로 멀 틀렸는지 지적해봐야 손가락만 아프니깐 그만 둘께여. 초등학생한테 상대성이론 가르치는 꼴이져.

암튼 모르면 그냥 가만히계셨으면 하네여. 괜히 아는척했다가 나중에 더크게 망신당하지 말구여.

더 이상 이런 낚시질에 대응해 줄 필요는 없을 듯 하군요... 보안업계에서 무슨 일을 하시는 지는 모르겠지만 "공부 좀 하세요"

더 이상 어떤 글이 달리든 더 이상 이 글에 답변다는 일은 없을 겁니다 8)

인터넷 여기저기서 단편적인 보안 지식을 몇개 줏어들어놓고 그걸로 이론을 멋대로 구성한다음 마치 자신이 먼가 대단한 지식이라도 습득한양 착각을 하시는것 같네여.

님이 말도 안돼는 얘길 늘어놓지 않았다면 제가 반박글을 쓸필요가 없져. 그렇지않나여?

근데 누가 낚시글이라는건지 원... 양심을 가져보세여.

근데 님은 직업이 먼가여? 보안에 대해 그렇게 아는게 많은거 같은 분이 정작 지금 무슨일에 종사하고 계신지... 제느낌상으로는 자아도취에 빠진 대학생인거 같은데...

한가지 얘기 해드릴까여...

제가 회사에서 신입 사원 뽑을려고 면접을 보믄여...대학생들이 많이 오거든여.

물어보면 10이면 10명다 전부 다잘안대여. 자신있다고 큰소리들은 장난아니져.

근데 뽑아놓고 일시켜놓으면 전부 개판이거든여. 아주 대학교 찾아가서 교수 멱살 붙잡고 왜 이따위로 가르쳤냐고 욕하고 싶을 정도가 대부분이에여.

전부다 잘한다고 큰소리친 인간들이 간단한 포인터 연산도 몰라서 하루종일 삽질을 하고 앉았으니 꼭지 돌아버리져.

할수없이 첨부터 새로 다가르치져. 근데 웃기게도 회사서 1년 빡세게 가르친게 대학서 4년 딩가딩가 놀면서 배운 지식의 10배는 배우는거 같네여.

제가 드리고 싶은 말씀은 그거에여. 대학생 시절에 자만하지 말고 공부부터 열심히 하시길.

전문가 행세는 취직하고 나서 커리어 몇년 쌓은담에 해도 늦지 않거든여.

그러는 님이야 말로 구체적인 근거와 사례 등이 결핍된것 같네요
객관적으로 봐도 정태영 님 말씀이 논리적으로 보이네요

그리고 좀 벗어난 이야기지만 자꾸 초딩 초딩 하시는데
~져 ~여 말투야 말로 초딩 같으니
삼가하시는것도 괜찮을것 같습니다. :(

쥐뿔도 모르면서 큰소리만 뻥뻥 치던 대학생이 입사해서 윗사람들한테 된통 깨지면서 개발자로 성장하는거는 이분야 종사자라면 누구나 경험해 봤을 스토린데 이거보다 더 구체적인 근거와 사례를 멀 대야 돼나여.

글구보니 더 구체적인 근거있네여. 정태영님이란 분과 alee님처럼 암것도 모르면서 아는체하다 망신만 당하는 분들여.

자기보다 훨씬 많이 배우고 뛰어난 실력을 갖춘 전문가들이 몇년동안 숙고한 끝에 인증서 방식을 채용했다면 뭔가 이유가 있으니까 채용한거지 그이유를 알아볼 생각도 않고 우물안 개구리에 불과한 대학생 주제에 자기 수준에서 아무리 생각해봐도 모르니까 이유가 없다고 우기는건 아주 건방진 자세져.

초딩이 피타고라스 정리 증명할려고 끙끙대다가 몇시간 지난담에 종이를 휙 집어던지면서 이건 말도 안돼는 이론이라고 소리치는거랑 똑같은 거라니까여.

... 이하 후략합니다. - cocas ...

신분부터 밝혀야 겠군요. 먼저 대전 모 대학에 03학번으로 재학중인 대학생입니다. 보안에 대해선 취미로 알고 있습니다.

전문가에 대해서 누차 듣는 얘기는 있습니다. '자네가 정말 그 분야의 전문가라고 생각된다면 자네가 하는 일을 자네 부모님, 자네 조카, 자네 자식에게 설명해 보게.' 네. 그렇죠. 정말 자신이 전문가라면 자신이 하는 일을 남에게 충분히 알아듣기 쉽게 이해시킬 수 있어야 합니다. 아직 공인인증서를 써야만 하는 이유를 lottechocopie님께서는 납득시키지 못하고 있습니다. 더 정확하게 말하자면 공인 인증서를 플랫폼에 특화된 형태로만 사용해야 하는 이유를 납득시키지 못하고 계십니다. 전문가가 심사숙고 했다고 해서 그게 반드시 최선이고 정답이란 법은 없습니다. 간단하게 구글의 예만 봐도 검색 전문가들이 만든 기성 검색엔진과 패기있는 대학생이 만든 검색엔진의 대결입니다. 더 낫다고까지 말하지 않아도 구글은 이미 기존 검색엔진만큼의 결과는 충분히 냅니다.

건방진 대학생을 전문가가 설득시키지 못하는 건 정말 학생이 너무너무 건방진 면도 있지만 전문가가 정말 전문적이지 못하다는 말도 됩니다. 전문적으로 한번 설명해 주세요.

정말 전문가라고 생각하시면 표준어를 최대한 지킨 형식의 글로 '설득'을 해 주시기 바랍니다.

p.s opt님, saintlinu님께서 이 쓰레드를 보고 계시는 지 모르겠네요. 정확하게 일치하는 분야는 아니지만 그래도 제가 아는 범위 내에선 가장 전문적인 식견을 갖고 계시리라고 생각하는데요.

공인인증서를 왜 특정 플랫폼에 종속시켜 만드느냐구여? 그이유는 돈때문이라고 위에서 설명을 드렸구여.

또한가지 부수적 이유를 설명드리면 MSVS만한 개발 환경이 리눅스에는 없거든여.

VS 쓰다가 리눅스에서 간단한 프로그램이라도 짜볼라치면 아주 꼭지 돌아버려여.

MS는 API부터 문서에 예제까지 MSDN이란 거대한 데이터베이스를 통해 완벽하게 제공을 하는데 리눅스는 API도 중구난방으로 정리가 안돼있지(어느게표준인지 알길이 없져) 문서는 인터넷에 온통 널려다는데 머가 맞고 머가 틀리는건지 알길이 없지 예제는 수백가지 대학생 수준의 습작 오픈소스 프로그램속에서 어느게 제대로 짠건지 알길도 없지 개발하기가 정말 힘들거든여.

한마디로 생산성이 비교도 안되져. 그니까 계속 MS 플랫폼에서 개발하던 사람은 MS 플랫폼이 편하고 빠르니까 계속 쓰게 되는거져.

이런 얘기 하면 꼭 리눅스도 편하다 리눅스가 더 편하다 이딴 반박을 하는 분들이 있는데 남들은 다 불편하다는데 혼자 편하다고 우기면 그건 괴변밖에 안되는거져.

무슨 말씀이신지 도통 알 수가 없군요. 이미 리눅스, FF에서 XPCOM 기반으로 돌아가는 공인인증서 관리 프로그램은 개발되어있고 런칭을 앞두고 있습니다. 즉, 돈이 안돼서, 쓰는 사람이 없어서, (능력없는) 개발자가 개발하기 너무 어려워서 윈도만 지원하는 게 아니라 이제 쓰는 사람도 있어 보이고, 정부가 뒤에서 압력 가하기도 하고 뭐 이런 저런 이유로( 눈먼 돈이 내려왔을 수도 있는거고요. ) 리눅스도 어느정도 지원을 하겠다는 입장입니다. 기왕 이렇게 왔으면 SSL과 같은 다른 방법을 이용해서 아예 범용적으로 쓰게 할 수 없느냐 하는 논의를 하고 있는것입니다.

ETRI에서 인턴으로 일할 때, 이니텍 직원분이랑 공인 인증서 관련 얘기를 한 적이 있습니다. 리눅스에서 우체국 뱅킹 지원 관련해서 오신 인증서 관리 프로그램 제작자셨습니다. 그분에게 들은 ActiveX를 사용한 이유중에 가장 큰 것은 128bit를 지원하지 않는 IE와 Netscape 였습니다.

개발 생산성 문제는 꺼낼 필요도 없는 얘기입니다. 리눅스를 대중화 시키는 것도 아니고요. 제가 얘기한 플램폼에 특화된 방식이란 건 ActiveX나 XPCOM과 같은 방식을 얘기한거지 오로지 윈도 플랫폼에서만 돌아간다는 얘기를 하고 싶은 건 아닙니다.

궁금한 게 두가지 생겼습니다. 첫번째 질문은 꼭 대답을 듣고 싶고 두번째 질문은 가능하면 대답을 듣고 싶습니다. 이 좋은 공인 인증서 기술은 한국 외에 어느 나라에서 쓰고 있나요? 혹은 쓸 예정인가요? 그리고 왜 어법에 전혀 맞지 않게 ~져, ~여로 문장을 끝내시는건가요?

전 대화의 형식을 빌어 글을 쓰고 있는거지 대화를 하고 있다고 생각하지 않습니다. 혹시 저와 대화를 하고 싶으시다면 s9761@hananet.net 으로 MSN에 추가해 주시면 됩니다. E-mail은 글이니 별로 필요 없으시겠지요?

페이지