[ZDNet] 보안의 핵='공인인증서'「관리 체계 허술」대란 부를라
보안의 핵='공인인증서'「관리 체계 허술」대란 부를라
유윤정 기자 ( ZDNet Korea ) 2007/02/07
국내 인터넷 뱅킹 등록 이용자는 3,454만 명, 공인인증서 발급 개수는 1,022만 개(2006년 9월 기준)다. 하지만 인터넷 뱅킹 이용을 위해 강제적으로 발급받아야만 하는 공인인증서는 전자서명법을 위법하고 있으며 이를 통해 치명적인 오류를 내포하고 있다고 전문가들은 지적하고 있다.
우리가 인터넷 뱅킹이나 카드 조회 등을 이용시 사용하는 "인증서"는 열쇠-자물쇠 관계처럼 클라이언트와 서버가 서로를 검증하도록 돼있다.
이를 위해 인증서는 사용자인증서-공인인증기관-최상위인증기관의 인증연결고리를 형성하고 있다.
인터넷 뱅킹 이용자 ="나" <--<인증>-- 공인인증기관 <--<인증>-- 최상위인증기관 (스스로 인증)
'내'가 신뢰할 수 있는지에 대한 연대보증은 금결원(yessign)을 포함한 6개 공인인증기관에서 하도록 돼있고, 이 6개 공인인증기관의 신뢰성에 대한 연대보증을 최상위인증기관이 하도록 체인이 형성돼 있다. 최상위인증기관은 더 이상 연대보증이 필요 없는 최상위의 존재를 의미한다.
하지만 전자서명법 제25조가 규정하고 있는 최상위인증기관(ROOT CA)은 오로지 한국정보보호진흥원(KISA) 한 곳인데, 막상 우리가 사용하고 있는 인증서 클라이언트를 뜯어보니 이니텍과 소프트포럼과 같은 일개 사설 보안 업체들이 자신들을 최상위인증기관으로 인식하도록 등록해 놓고 있었다. 더불어 이니텍은 2025년까지, 소프트포럼은 2033년까지 자신들의 인증서가 유효하다고 스스로 인증하고 있다.
한 보안 전문가는 "이는 열쇠와 자물쇠의 신뢰성을 담보하기 위해 질문할 수 있는 곳이 다름아닌 "열쇠/자물쇠"를 만드는 회사인 격"이라며 "심각한 것은 이 두 회사가 서버 솔루션까지 취급하고 있는데 그렇다면 묻지마 서버(인증서)를 얼마든지 발급할 수 있다"고 설명했다.
사설 업체=최상위인증기관「왜 안되나」
만약 이니텍과 소프트포럼이 악의적인 마음을 먹었다고 가정할 경우, 자신들이 보유하고 있는 공인인증기관 비밀키를 이용해 서버인증서를 발급하고, 그를 무조건 신뢰하는 전국민 PC의 공인인증서(클라이언트 SW)를 통해 마음대로 국민들의 계좌정보, 금융내역 등을 빼갈 수 있는 최악의 시나리오가 펼쳐질 수 있다.
이 뿐만 아니라 악의적 침입자가 이니텍과 소프트포럼를 해킹해 악의적 서버인증서를 발급한다면 우리나라 1,000만 개의 공인인증서를 해킹해 돈을 빼가거나 계좌정보를 알아내는 것은 어려운 일이 아니라고 보안 전문가들은 경고하고 있다.
이러한 문제 때문에 최상위인증기관은 이의 핵심인 공인인증기관 비밀키를 엄격하게 관리하도록 공인인증기관의 시설 및 장비에 관한 규정 제2장 "8. 보호설비" 규정에서 물리적, 전자적 규정을 지키도록 돼있다.
KISA는 법률상 올바른 최상위인증기관이므로 법에 근거 엄격히 비밀키를 관리하고 있으나, "멋대로" 최상위인증기관으로 등록돼 있는 이니텍과 소프트포럼과 같은 사설보안 업체는 이를 어떻게, 누가 관리하는지 명확치도 않으며 이를 관리할 수 있는 권한도 없다는 점이 전문가들의 지적을 받고 있다.
고려대학교 법과대학 김기창 교수는 "이번 사건은 전자서명법 25조와 그 하위 규정을 위법하고 있는 명백한 위반 사항"이라고 강조했다.
인증서 클라이언트를 감독하도록 돼있는 KISA 관계자는 "모든 인증기업들이 불법을 저지른다는 판단 하에 기업들을 관리하는 것은 문제가 있으며 권력의 남용이라고 할 수도 있다"고 입장을 표명했다.
정통부 정보보호기획단 김태완 서기관은 "사설 기업들의 사설인증서 비밀키는 전자서명법의 대상이 아니다"며 "이 비밀키 관리는 사설 기업이 알아서 하면 되는 것이고 사설 업체의 사설 인증서는 전자서명법 인증체계 안에 들어올 수 없으므로 문제가 되지 않는다"고 설명했다.
이러한 문제점이 지적되자 네티즌들은 "해당 서비스 회사가 법인으로서는 악의적인 목적이 없어도, 내부 개발자 중에 악의적인 목적을 가진 사람이 몰래 모종의 작업을 한다면, 우리나라의 각 은행의 인터넷 뱅킹이 통째로 해킹 당할 수도 있다는 두려움이 생긴다"며 "더불어 우리나라 정부와 각 은행은 그런 해킹을 당하고 나서야 고치지 않을까하는 더 큰 두려움도 생긴다"고 우려를 표명했다.
이에 대해 사설 보안 기업인 이니텍과 소프트포럼은 명확한 답변을 거부했다.@
===============================================
아래는 후속기사입니다.
보안의 핵=공인인증서②「금융권별 사설인증 현황」
http://www.zdnet.co.kr/news/network/security/0,39031117,39155245,00.htm
... (전략) ...
이니텍, 소프트포럼「그들이 왜 최상위인증기관으로 둔갑했나」
"최상위 인증기관"이라는 존재는 더 이상의 인증을 요구할 필요가 없는 존재다. 마치 우리가 일상생활에서 사용하는 "현금"과 같은 존재. 국가가 그 가치에 대해 보증을 하고 있기 때문에 다른 어음이나 수표처럼 굳이 배서를 한다든가, 연대보증을 선다든가, 그 어음/수표의 지불능력을 입증하려 애를 쓸 필요가 없는 것이다.
따라서 "최상위 인증기관"으로 일단 클라이언트에 등록되면 자기 자신의 인증을 확인하기 위해 또 다른 프로세스를 만들 필요가 없어지므로 개발 과정상 편리해지고 설치한 서버에 대한 유지보수 역시 편해질 수 있다는 장점이 있다는 것이 보안 전문가들의 분석이다.
이러한 지적에 대해 이니텍은 내부적으로 아직 대답할 수 있는 상황이 아니라고 전했고, 소프트포럼은 무응답으로 일관했다. @
보안의 핵=공인인증서③「정통부, 사기업 영업방법 관여할 수 없어」
http://www.zdnet.co.kr/news/network/security/0,39031117,39155246,00.htm
... (전략) ...
정통부, 사기업 영업방법은 자유
전자서명법 19조 2항에 의하면 이러한 클라이언트 SW 배포 기관은 최상위인증기관(KISA)의 정기점검을 받도록 규정돼 있다.
클라이언트 SW가 문제가 있는지, 없는지 정기점검 확인과 감독을 하는 업무는 정보통신부의 정보보호기획단과 정보윤리팀이 하도록 규정돼 있다.
이러한 정부의 행태를 감시, 비판하던 고려대 법대 김기창 교수는 금주내 정통부 정보보호기획단 정보보호정책총괄 김태완 서기관을 직무유기 혐의로 서울 중앙 지방검찰청에 형사고발할 방침이라고 밝혔다.
반면 김태완 서기관은 자율적인 사기업의 영업방법을 일일이 침범할 수 없다는 입장을 전했다. 김 서기관은 "다양한 시각이 존재하는 자본주의 국가에서 자율적인 기업방침을 보장해 주는 것이 정부의 역할"이라면서 "사설인증서는 전자서명법의 대상이 아니다"고 강조했다.
정통부는 이번 문제가 법적으로 아무런 문제가 없다는 주장을 개진하고 있어 향후 재판의 결과가 어떻게 진행될지 주목을 끌고 있다. @
그러고 보면
우리나라의 공인인증서를 통한 네트워크 보안이란 것은,
엔지니어링이나 시스템 등의 방법으로 고안해 내었다고 하기 보다는
일종의 연대보증 같은 실생활의 금융형태에 대한 알레고리 같은 것이었단 말인가요.
원래가 공인인증서는 연대보증 같은 겁니다
인증서의 개념이 원래부터가 그런 겁니다.
인증서를 발급한 사람을 믿을 수 있는 근거는 상위 인증기관이 있기 때문입니다.
--
There's nothing so practical as a good theory.
- Kurt Lewin
--
There's nothing so practical as a good theory. - Kurt Lewin
"하스켈로 배우는 프로그래밍" http://pl.pusan.ac.kr/~haskell/
암호화와 인증은 다릅니다
덧붙이자면, 보안 분야에서 여러가지 목표가 있겠지만
그 중 가장 중요한 것 두 가지가 기밀성과 신뢰성입니다.
기밀성은 너와 내가 하는 말을 다른 사람이 엿들을 수 없어야 한다는 것입니다.
신뢰성은 내가 대화화고자 하는 너가 정말로 너인지 확실해야 한다는 것입니다.
기밀성을 확보하기 위한 것이 암호화를 하고 신뢰성을 확보하기 위해 인증을 합니다.
거의 동일한 기술을 이용하지만 그 목적이 다릅니다.
물론 많은 경우 암호화와 인증이 함께 쓰입니다.
--
There's nothing so practical as a good theory.
- Kurt Lewin
--
There's nothing so practical as a good theory. - Kurt Lewin
"하스켈로 배우는 프로그래밍" http://pl.pusan.ac.kr/~haskell/
음. 사설 인증서가
음. 사설 인증서가 문제가 되지 않는다는 것이 좀 애매하군요. 어떻게 보면 단순하게 최상위 기관으로 자신들의 회사를 등록해 놓았을 경우 문제가 될 이유는 없겠지만, 서버측과 클라이언트를 모두 개발하는 입장이라면 정말 super 인증서를 만들 수 있을 것 같군요. "사설 인증서"가 문제가 안된다는 개념이 아니라.. 이건 일부러 구멍을 만들어 놓았다는 개념으로 접근을 해야 하는 것이 아닌가요?
인용: "만약
만의 하나 그런 사건이 터진다면 이니텍과 소프트포럼은 하루 아침에 문을 닫을 게 뻔한데 인증서를 아무렇게나 허술하게 관리하고 있을거라고 가정하는건 악의적으로 이니텍과 소프트포럼을 비방하려고 하는 수작같군요. 만약 KISA 내부인사가 악의적인 마음을 먹고 인증서를 위조해서 만들 경우랑 똑같은 이치 아닙니까?
미국의 경우 이니텍과 소프트포럼과 원리상 다를 바가 없는 VeriSign같은 사설 인증업체가 미국 뿐 아니라 전세계를 휘어잡으며 버젖이 활동하고 있어도 VeriSign이 인증서를 위조하면 어떻게 할거냐 식의 트집은 아무도 잡지 않습니다. 그런데 한국에선 우량 보안기업들을 못잡아 먹어서 혈안이라니 하여튼 이놈의 나라는 공돌이는 인간 취급 받기 힘들군요. 남 잘되는 꼴이 그렇게 눈이 시렵나요?
참고로 저는 보안업체 종사자지만 이니텍과 소프트포럼과는 전혀 하등의 관계가 없는 회사에 근무중이라는 사실을 밝힙니다.
문제의 포인트가...
가정하자는게 아니라, 그런 경우 역시 대비책이 있어야 한다는 거죠. 댐에 있는 구멍을 모르고 있다면 그냥 모르는 거지만, 아는데 놔두자는건 더 위험한 발상 아닌가요? 이니텍이나 소프트포럼이 악의적인 의도가 있을리가 없죠. 당연히 철저하게 관리할 겁니다. 하지만 보안은 작은 구멍에서 새는거 아닌가요?
피할 수 있을때 즐겨라! http://melotopia.net/b
..
아무데나 그냥 "공돌이는 대접받기 힘들군요" 만 갖다붙이면 죄다 동의해줄 것 같은건가요?
남 잘 되는 꼴이 눈이 시렵냐구요?(눈꼴시리냐고 물어보시는 것 같긴 한데..)
뭔 소리를 하시려는지 모르겠군요? 마인드가 왜 그 모양입니까?
====================여기부터 식은어치====================
안녕하세요. 저는 야동 초등학교 2학년 6반 11번입니다!! 제 컴퓨터에 리눅스를 깔아보고 싶습니다. 리눅스라는건 어제 처음 들어 보았습니다.
리눅스에서도 카트라이더는 되겠지요? 설마 안되나요? 안되면 왜 쓰나요? =3=33 리눅스에서는 카트라이더 캐릭터 머리가 너무 커서 못받아들이나요?
맞습니다. KISA
맞습니다. KISA 내부인사가 악의적인 맘을 먹는 것과 똑같습니다.
그래서 그런 내부인사 감시에 비용을 들이고 투명성을 확보하고 혹여 문제가 발생했을때 족칠 수 있는 곳으로 명시한게 KISA 죠.
근데 슬그머니 우리가 그런 놈으로 보여라고 하면서 껴들은 임의의 기관이 있으면 당연히 문제죠.
인증서를 아무렇게나 허술하게 관리하는지가 문제가 아니라 가지면 안되는 인증서를 가지고 있는 것 자체가 문제인 거죠.
오히려 이제 문제가 발생하면 KISA는 이니텍과 소프트포럼 탓을 할텐데 그때도 공돌이라서 억울해라는 뜬금없는 변명하실껀가요?
그리고 사실 가질 필요가 없는 인증서를 가지고 있는 이유는 정말 악의가 없다면 디버깅이나 테스트서버 운용같은 하찮은 이유일텐데 그런 기본적인 릴리즈 검수조차 안되는 업체가 인증서관리는 철저히 할까요? 오히려 그런 릴리즈 검수에 허술한 회사의 조치를, 그런 비용에 투자하지 않는 회사를 비난하는게 공돌이의 더나은 미래를 위해서 격무에 쫓기며 자기 롤이 아닌 일을 수행해야 하는데서 나온 실수를 저지른 이니텍과 소프트포럼의 공돌이들을 위해서 나을텐데...
죄송합니다만 글쓰신 분은 보안업계에 근무하시는 분이 아니라 보안업계를 운영하시는 분으로 보입니다.
그런데 들일 돈이 어딨어. 개발자들보고 알아서 하라고해...
문제가 생기면 어, 걔들은 그것도 안챙기고 뭐했데...
이러는 사람들이죠.
--------------------------------------------------------------------------
오늘 우리는 동지를 땅에 묻었습니다. 그러나 땅은 이제 우리들의 것입니다.
아직도 우리의 적은 강합니다. 그러나 우리는 그들보다 많습니다.
항상 많을 것입니다.
오늘 우리는 동지를 땅에 묻었습니다. 그러나 땅은 이제 우리들의 것입니다.
아직도 우리의 적은 강합니다. 그러나 우리는 그들보다 많습니다.
항상 많을 것입니다.
흐으음..
버럭글을 쓰고 말았는대..
사설 인증서 발급에서...
최상위 기관이군요...
판단 유보하겠습니다.
----------------------------------
- By Fallen - :)
http://blog.lunatine.net/churack
------------------------------------------------------
조금씩 한발자국씩... 서두르지 않고 천천히... 그렇게...
- By Fallen - :)
http://churack.tistory.com
문제는 사설인증임을 명확히 하지 않는다는 겁니다
문제는 저런 공인인증이라 볼 수 없는 사설인증이 되어 있는 프로세스에서 "공인인증서로그인"이라고 뜨는 경우가 있다는 겁니다. 이러한 문제들을 조정할 것을 오픈웹에서 요청했으니 조치가 이뤄지지 않아 직무유기로 금결원을 고발하는 것이 현 상황인 것 같습니다.
--
There's nothing so practical as a good theory.
- Kurt Lewin
--
There's nothing so practical as a good theory. - Kurt Lewin
"하스켈로 배우는 프로그래밍" http://pl.pusan.ac.kr/~haskell/
자기들만의 사설인증이라면 모르지만..
그렇게 공인인증으로 둔갑을 한다면 문제가 있다고 생각되네요...
----------------------------------
- By Fallen - :)
http://blog.lunatine.net/churack
------------------------------------------------------
조금씩 한발자국씩... 서두르지 않고 천천히... 그렇게...
- By Fallen - :)
http://churack.tistory.com
이니텍과 소프가 사설 인증 업체인가요?
PKI 기반 기술 개발 회사 아닌가요?
VeriSign처럼 SAS70을 획득했습니까? 인증 기관 처럼 CPS가 있나요? 내부 감사가 확실한가요? 손해에 대한 배상을 국내외적으로 수행할 능력을 가지고 있습니까?
뭘 착각해도 번지수가 한참 잘못됐습니다.
-----
Channy Yun
Mozilla Korean Project
http://www.mozilla.or.kr
Channy Yun
Mozilla Korean Project
http://www.mozilla.or.kr
뭐...
하루 아침에 문 닫는 거 각오하고(또는 아예 그렇게 하려고 마음먹고) 이니텍이나 소프트포럼이 장난 친다면 어떻게 하죠 ? KISA 와는 다른 '사기업'이기 때문에 처벌에는 한계가 있을 수 밖엔 없죠.
만일 저런 사태가 발생해서 법원에서 '피해자한테 2백억씩 보상해라.' 라고 판결나더라도 일반기업이기 때문에 안하고 배째버리면 방법이 없습니다. '몸으로 때우겠다.' 라거나 그것도 아니고 아예 처음부터 재산 다 빼돌려 놓는다면 ? 뭘로 보상 받죠 ?
보안 구멍이 뻔히 있는 걸 알면서 그걸 막을 생각은 안하는 걸 보니.. 보안 업체에 근무하시는 것 같진 않고. .또는 보안업체에 근무하시더라도 실무는 아니고 다른 분야인 것 같군요. 아니면 저런 마음을 먹고 있는 사람으로 보입니다. 아니라구요 ? 그걸 뭘로 믿습니까 ?
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
http://akpil.egloos.com
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
당국의 해명은
당국의 해명은 사설인증서라서 문제가 없다는 답변인데, 이 최상위 인증서가 공인인증서 인증을 위해 쓰이는 것은 아니라는 걸로 이해하면 되는 겁니까? 당연히 그래야겠죠.
그러면 이 사설인증서로 무엇을 어떻게 악용할 수 있는지 누가 예를 보여 주면 좋겠군요. 공인인증서라곤 전혀 만들어본 적도 사용해 본 적도 없는 인문사회계 출신이 이해하기에는 참으로 어렵습니다.
이를테면 키입력을 가로채서 제3자에게 전송하는 가짜 키보드보안프로그램 같은 것이 이 회사들의 최상위인증기관 등록으로 인하여 무사통과로 설치가 가능해질 수 있다고 이해하면 되겠습니까?
그런게 가능했으면
그런게 가능했으면 벌써 10년전에 나왔겠죠?
제25조
제25조 (전자서명인증관리업무) ①보호진흥원은 전자서명을 안전하고 신뢰성있게 이용할 수 있는 환경을 조성하고 공인인증기관을 효율적으로 관리하기 위하여 다음 각호의 업무를 수행한다.
1. 제4조의 규정에 의하여 공인인증기관을 지정하는 경우 공인인증기관으로 지정받고자 하는 자가 갖추어야 할 시설 및 장비에 대한 심사 지원
2. 제14조제1항의 규정에 의한 공인인증기관에 대한 검사 지원
3. 제18조의3의 규정에 의한 보호조치에 대한 심사 및 기술 지원
4. 제19조제2항의 규정에 의한 시설 및 장비의 안전운영 여부에 관한 점검
5. 공인인증기관에 대한 공인인증서 발급·관리 등 인증업무
6. 전자서명인증 관련 기술개발·보급 및 표준화 연구
7. 전자서명인증 관련 제도 연구 및 상호인정 등 국제협력 지원
8. 그 밖에 전자서명인증관리업무와 관련하여 필요한 사항
②제3조, 제6조, 제7조, 제15조 내지 제18조, 제18조의2, 제18조의3, 제19조제1항 및 제22조의 규정은 보호진흥원의 전자서명인증관리업무에 관하여 이를 준용한다. 이 경우 "공인인증기관"은 "보호진흥원"으로, "가입자"는 "공인인증기관"으로 본다.
③보호진흥원은 제1항의 규정에 의한 심사·기술지원·점검 및 공인인증서 발급 등 전자서명인증관리업무와 관련하여 수수료 등을 부과할 수 있다.
[전문개정 2001.12.31]
김기창이란 사람이 얘기하는 주장은 법조항 어디에도 나와 있지 않은데 저 사람은 어느 나라 법전을 보고 주장하는 것인지... 교수까지 나서서 낚시질에 애쓰는구만요.
익명트롤도 정도가 심하군요
본인이 직접 읽고도 없다고 하시다뇨 헐 ...
--
There's nothing so practical as a good theory.
- Kurt Lewin
--
There's nothing so practical as a good theory. - Kurt Lewin
"하스켈로 배우는 프로그래밍" http://pl.pusan.ac.kr/~haskell/
다시 읽어보세요~ -_-/
전자서명인증 관련 기술개발·보급 및 표준화 연구
...
그러면 이 항목은 개 한마리 데리고 와서 짖어대보라고 해서 나온 뻘 구절인가요??
주의가 산만한 이유로 1점 감점~!
============================================
니네 군대에서 멀쩡한 몸으로 18시간 자봤어? ㅋㅋㅋ
---------------------------------------------------------------
폐인이 되자 (/ㅂ/)
오픈웹쪽에서 방향을
오픈웹쪽에서 방향을 잘못 잡고 있는게 아닌가 생각됩니다.
MS 윈도우를 제외한 여타 운영체제에서 인터넷뱅킹을 못하는 것을
관리감독의 잘못이라는 측면보다는 각 개인의 권익보호 측면에서 접근해야
하지 않을까요?
KISA에서 만든 문서중에 인터넷뱅킹 프로그램 제작 UI에 관련된 문서가 있는데
이 문서에서는 제작자가 프로그램을 제작할때 유닉스, 윈도우 각각에 대해서
이렇게 저렇게 할수 있다고 나열하고 있습니다(맥 OS X는 Unix에 가깝겠네요).
인터넷뱅킹에서 Active-X 기반으로 채용한건 해당 은행사이트에서 그걸 원했기
때문입니다. 소수 사용자를 위해서 각 은행들이 여타의 운영체제를 제품을 구매하기를
원했다면 당연히 제작사들은 그걸 만들어서 팔았겠지요.
왜 정부와 금결원 책임으로만 몰아 가는지 알 수 없군요.
---------
간디가 말한 우리를 파괴시키는 7가지 요소
첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스
이익추구를 위해서라면..
다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치
---------
간디가 말한 우리를 파괴시키는 7가지 요소
첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스
이익추구를 위해서라면..
다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치
이 건은 플랫폼 종속성 문제와 별도로 진행하는 것 같습니다
사용자 접근성 문제를 캐다 보니, 공인인증서 관리체계의 허술함을 발견해서 일단 이게 법적으로 소송하기에 더 좋은 문제인 것 같아서 시작하는 듯 합니다. 다양한 플랫폼에 지원이 안된다는 것은 권리보장의 문제이지만, 보안관리의 허술함은 큰 사고를 부르는 위험요소라는 것도 그렇고요.
그리고 정부의 책임이 맞습니다. 자세한 내용은 여기에 잘 정리되어 있는 것 같습니다. http://korea.gnu.org/openweb/1/certificate.html
--
There's nothing so practical as a good theory.
- Kurt Lewin
--
There's nothing so practical as a good theory. - Kurt Lewin
"하스켈로 배우는 프로그래밍" http://pl.pusan.ac.kr/~haskell/
문제의 요지는..
공인인증서란건 최상위인증기관(rootca)가 깨지지 않는한 기술발전을 포함하여 10년 내에는 안전하다라는 근거하에 법률로도 만든겁니다. 이걸 사설 업체에서 자기네가 rootca인것처럼 해서 발급을 하는것은 마치 은행사이트인것처럼 피싱하는것과 마찬가지인 셈이므로 문제가 되는거죠.. 관리의 편의성을 위해서 은행에서 공인인증 안하고 패스워드만 가지고 장사하겠다고하면 문제가 없을까요? 사설 인증서는 사설인증을 위해서나 쓰는겁니다. KISA관계자는 직무유기가 맞고 고대 교수의 말은 일리가 있습니다. 그냥 방치할경우 더 큰문제가 생길것은 불보듯 뻔합니다.
더도 말고, 덜도 말고...
백도어네...
궁금한데요.
저는 제목에서는 공인인증서로 봤는데..
정통부와 금융감독원은 사설인증서라고 이야기 하네요..
저도 전공이 보안인지라 지금 현 사태가 무척 심각하다고 생각합니다(제 방향+_+).
다들 root 기관이 일반 기업일 경우 발생 가능한 취약성에 대해 많이들 아시는거 같으니까 그 부분은 접어두고.
근데 왜 은행 및 이니텍과 소프트 포럼은 현재 사용 중인 인증서를 공인 인증서라고 하죠..
분명 공인인증서에 관련된 법령에 공인인증서는 KISA가 최종 보장하는 인증서일 경우만 해당할텐데,
사실 이번일이 일반인증서로 명시되며 사용자에게 일반 인증서이기 때문에 발생 가능한 위험성을 어필했다면,
제 개인적인 생각에도 법적으로 하자가 없을거 같습니다.
위험성을 알리고 사용토록 했으니까요.(각 금융기관 인증서 발급 페이지를 참조하세요)
김태완 서기관의 말을 조금만 바꿔 생각해 본다면, 온 국민이 사기를 칠지 범죄를 저지를지 우리는 현실적으로 감시할 수 없으며, 의무도 없다.
그렇지만, 소프트포럼과 이니텍에 공인인증서 발급 및 subCA로써의 등록 및 인증을 수행했다면 이야기가 달라집니다.
정통부에서 세금(등록비?)을 받았고, KISA가 소프트포럼과 이니텍을 인증했다면, ROOTCA로써 인증 및 감사를 행해야 합니다. 두 회사는 국내 기업이며 국내에서 인증업무를 수행하고 있으니까요.
그리고, 해당 인증서를 공인 인증서로 사용하도록한 국내 은행 및 금융기관도 책임을 회피할 수 없을 거 같습니다. 사용자들에게 공인인증서라고 했으니까요. 사실 인증서가 한창 유행할 때 여러 인증 기관이들이 일반 인증서를 배포했습니다. 그러나 대부분의 사용자들은 발급을 꺼려했죠. 당시 개인정보보호에 관한 심각성이 각종 매스컴에 떠들석 했기 때문에 일반 기업의 인증서 발급을 꺼렸던거 같습니다. 그래서 지금은 많이 사라졌죠..
많은 분들께서 말씀하셨지만, 두 기업에 악의적인 내부자가 발생할 경우 정말 걱정됩니다. KISA의 경우는 악의적인 내부자가 발생되어도, 그 위험성이 실현되기에는 더욱 큽니다. 한두명으로는 절대 불가능하고, 내부 개발자 및 관리자들이 공통된 방향을 가지고 협동해서 저지른다면 모르겠지만, 아시다시피 최상위인증기관이기 때문에, 공개되지 않은 내부 감사 및 관리 제도가 있습니다.
그러나 사 기업들은 그렇지가 못합니다.
물론 어느 정도 관리를 하겠지만, KISA의 그것과는 차이가 큽니다. 이부분은 이렇게 운만 띄우겠습니다. 더하면;;;;
각설하고, 지금의 문제를 예전의 개인정보가 기업 및 개인의 이익을 위해 거래되었던 그 때의 상황보다 절하되어서 심각성이 그냥 흘러가는 기사거리로 지나가게 된다면....아 대한민국 -_-;
PS. 여론 조성 하려는거 아니니까 ㅡㅡ;; 비판적인 자세로 읽으셔도 됩니다.
-------------------------------------------------------------------------------------------------------------
초보인생아키
초보인생아키
김기창입니다.
인증서 처리를 위하여는 클라이언트 소프트웨어와 서버측 소프트웨어가 필요합니다. 이니텍, 소프트포럼이 은행 등을 통하여 전국민에게 배포, 설치하게한 것은 "클라이언트 소프트웨어"입니다. 인증 클라이언트는 1)웹서버가 제시하는 서버인증서의 유효성 여부를 이용자에게 알려주고; 2) 이용자가 보내는 문서에 전자서명을 만들어 붙이고, 그것을 암호화하여 서버에게 내보내는 작업을 수행하는 소프트웨어입니다.
이 소프트웨어에 이니텍과 소프트포럼이 자신을 최상위인증기관으로 등록해 두고 있으므로, 이 회사(의 비밀키를 입수한 자)가 발급하는 "서버인증서"는 우리 국민이 사용하는 인증 클라이언트(ActiveX콘트롤 형태로 배포된 소프트웨어)가 "무조건 신뢰"하게 됩니다.
문제는 시중 은행들의 온라인 뱅킹사이트 어느 곳도 브라우저에 탑재된 ssl 접속기능을 사용하지 않고 있다는데 있습니다. 접속은 http 로 합니다. 서버 신원확인(authentication)과 교신의 암호화(encryption)은 모두 이들 회사가 배포한 인증 클라이언트가 수행합니다. 따라서, 악의적 웹서버가 뱅킹 사이트로 위장하는 것이 너무 쉽고(모든 은행들이 그냥 http교신만을 이용하므로), 그렇게 위장한 사이트가 인증 클라이언트를 호출하면, 이용자는 "공인인증서"를 이용한 거래가 수행된다고 믿고 모든 정보를 그 웹서버에 주게될 *위험*이 생기는 것입니다. 이런 짓을 하는 서버가, 만일 이니텍, 소포의 비밀키로 발급된 서버인증서를 제시하는 경우, 우리 국민이 사용하는 인증 클라이언트는 그런 서버를 "무조건 신뢰"하게 됩니다.
이니텍, 소포가 개인들의 인증서를 조작할 가능성이 있다는 것이 아니라, 그들의 비밀키로 발급될(지도 모를) 서버인증서를 온 국민이 무조건 믿도록 해두었다는 것이 문제입니다. 악의적 개인(user)이 인터넷 거래의 안전을 교란하는데에는 한계가 있습니다. 그러나 악의적 웹서버들이 국민의 기계적 신뢰를 누릴때 가할 수 있는 damage는 "장난"수준이 아닙니다.
이니텍 등이 배포한 인증 클라이언트에는 "한빛은행" 인증서도 최상위인증기관 인증서로 등록되어 있습니다. 한빛은행이 지금 어떻게 되었나요? 그 인증서를 발급할때 사용된 비밀키는 지금 누구 손에 돌아다니고 있나요? 그 비밀키만 있으면 온 국민의 신뢰를 받는 서버인증서들을 무한정 발급해 줄 수 있습니다.
이니텍, 소포가 나쁜 마음을 먹을 것이라는 예측은 누구도 하지 않습니다. 그러나, 그들이 나쁜 마음을 먹더라도, 그들의 비밀키가 유출되더라도, 온 나라의 인터넷 보안과 국가 공인인증체계가 그것 때문에 와해되도록 해 두어서는 안될 것입니다. 그러나 지금은 그렇습니다. 이 두 회사에게 우리 나라 "공인"인증 체계의 존폐가 달려있는 것입니다. 사설인증 체계도 이렇게 "보안 솔루션 개발 업체"의 신뢰성에 의존하는 법은 없습니다. Verisign 은 보안 솔루션 개발 업체가 아니라, 제대로 관리되고 있는 인증기관입니다.
http://openweb.or.kr
사설 인증서를
사설 인증서를 사용한 은행들은 그 책임소재가 은행들한테 있다고 봐야겠습니다.
그리고 위의 S사나 I사의 제품판패 수익구조상 인증 클라이언트 소프트웨어로
돈을 벌지는 않고 서버 소프트웨어로 돈을 법니다. 그래서 서버 소프트웨어를
판매할때는 해당 서버에서만 동작하게 라이센스 정책을 쓸거라는 가정(?)을 할 수
있습니다. 두 업체의 서버 소프트웨어를 쉽게 사용할 수는 없습니다.
---------
간디가 말한 우리를 파괴시키는 7가지 요소
첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스
이익추구를 위해서라면..
다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치
---------
간디가 말한 우리를 파괴시키는 7가지 요소
첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스
이익추구를 위해서라면..
다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치
오늘자 Korea Times 보도
오늘 자 Korea Times 보도를 참조하시기 바랍니다.
http://times.hankooki.com/lpage/200702/kt2007021117420210440.htm
http://openweb.or.kr
서버 솔루션 라이선스
IsExist/
"두 업체의 서버 소프트웨어를 쉽게 사용할 수는 없습니다"라고 하셨는데, 두 업체가 악의적 웹서버들에게 서버인증서를 마구 발급하지 않을 것으로 저도 믿습니다.
그러나, 그들 업체의 비밀키가 만일 유출된다면(전자서명 관련 법령은 최상위인증기관 및 6개 공인인증기관이 어떻게 자신의 비밀키를 관리해야 하는지에 대하여 매우 자세하고 엄격한 규정을 두고 있습니다. 이니, 소포 등의 사설 업체가 이 수준의 비밀키 관리를 하고 있지는 않을 것으로 예상합니다; 그들은 그럴 의무도 없습니다.), 더 나아가서, 그들이 마구 포함시켜둔 여러 CA certificates(한빛은행 등등)을 만들때 사용하였던 비밀키가 유출된다면, 악의적 서버들이 서버솔루션을 스스로 만들어 인터넷 보안을 수습 불능의 혼란 상태로 빠트릴 위험은 상존합니다. 그런 사고가 실제로 발생할 때까지 기다리시겠습니까?
http://openweb.or.kr
S사나 I사는 사설
S사나 I사는 사설 인증기관이 아닙니다. 그러니 그런 의무 조항이 필요 없겠지요.
앞의 글에서도 적었듯이 S, I사가 발급한 인증서를 사용하는 은행의 책임입니다.
이들 업체에서 은행들께 인증서를 발급할때 편의상 발급했을 가능성이 있습니다.
또한 발행한 서버 인증서에 대한 책임사항도 알려줘야 했을듯 한데요.
현재 은행에서 사용하는 서버 인증서가 S, I사에서 발행한 인증서인지 또한 확인
안된것 아닌가요? 이글이 실린 사이에 은행측에서 서버 인증서를 교체했을 수도
있습니다. 교체 했다고 해도 확인이 안됩니다. 인터넷 뱅킹 프로토콜상 확인이
쉽지 않거든요.
참고로 국민은행인 경우 아래 서버 인증서가 확인 되는군요.
---------
간디가 말한 우리를 파괴시키는 7가지 요소
첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스
이익추구를 위해서라면..
다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치
---------
간디가 말한 우리를 파괴시키는 7가지 요소
첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스
이익추구를 위해서라면..
다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치
문제의 본질은
인증장치가 법령으로 정해진 인증기관이 발급하지 않은 인증서를 인증하게 한다는 점이죠.
현재 S,I사가 발급한 인증서가 사용되고 있다는 의미는 아닙니다.
그럼 S, I사에 책임이
그럼 S, I사에 책임이 있다는 거군요. 이런경우 인증장치 소프트웨어 개발업체의
권한 남용으로 볼 수 있겠군요.
MS사는 왜 자사의 OS에 자사의 CA 인증서를 포함시켰을 까요? MS에서 만들었기 때문에?
자신이 만든 제품의 유리한 입지를 이용하기 위해?
이부분은 다른게 해석될수 있지 않나 생각됩니다.
법령으로 정해진 인증기관이 아닌 곳에서 발급한 인증서는 사용해서는 안됩니다. 이 경우
발급한 기관에 책임보다는 인증서를 사용한 측에 책임이 있다는 해석이 됩니다.
---------
간디가 말한 우리를 파괴시키는 7가지 요소
첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스
이익추구를 위해서라면..
다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치
---------
간디가 말한 우리를 파괴시키는 7가지 요소
첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스
이익추구를 위해서라면..
다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치
[단독]게임사이트 공인인증서 내달부터
[단독]게임사이트 공인인증서 내달부터 의무화
http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=008&aid=0003008950
[머니투데이 박종진 기자][금융당국, '온라인 결제 보안강화 종합대책' 곧 발표…환금성 높은 사이트 '집중 감시']
다음 달부터 해킹범죄에 주로 이용되는 게임 사이트 등에서 결제할 때는 소액이라도 공인인증서가 있어야 한다. 결제 과정에서 이중으로 본인확인 절차도 거쳐야 한다.
아울러 게임 사이트와 마찬가지로 환금성이 높아 범죄에 악용되기 쉬운 일부 사이트에는 상시 모니터링 체계가 적용된다. 혐의점이 발견되면 즉각 공인인증서를 사용케 하는 등 보안을 강화하기 위해서다.
10일 금융권과 정보통신업계에 따르면 금융당국은 이 같은 내용을 골자로 한 '온라인 결제 보안강화 종합대책'을 조만간 발표한다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com