어쩌면 리눅스에서도 인터넷뱅킹을 하게 될지도 모르겠어요..
'액티브X' 해킹툴 첫 공개 ‥ 10분만에 인터넷뱅킹 암호 해독
한국경제|기사입력 2007-11-16 18:31
인터넷 뱅킹이 악의적 해킹에 무방비로 노출돼 있는 것으로 밝혀졌다.
16일 서울 양재동 교육문화회관에서 열린 국제 해커 컨퍼런스 'POC 2007'에서는 인터넷 뱅킹 과정을 낱낱이 훔쳐보고 계좌 이체하는 돈을 가로챌 수도 있는 'PS액티브체크'라는 해킹 툴이 공개됐다.
행사에 참석한 해커들은 이대로 방치하면 '금융 대란'이 발생할 수 있다고 경고했다.
이날 공개된 'PS액티브체크'는 '액티브X'를 통해 깔린 프로그램을 모니터링할 수 있는 해킹 툴이다.
이 툴을 이용하면 10분만에 액티브X의 구성 요소(COM:컴포넌트)를 들여다볼 수 있다.
액티브X는 인터넷에서 응용 프로그램을 깔려고 할 때 주소창 밑으로 튀어나오는 것으로 은행,증권,포털,공공기관,동영상 사이트 등 국내 대다수 인터넷 사이트에서 사용하고 있다.
COM 모니터링이란 컴포넌트 사이의 통신을 감시하는 것을 말한다.
크래커(악의적 해커)가 이를 악용하면 인터넷 뱅킹,동영상 프로그램,전자정부 시스템 등 액티브X를 통해 깔린 프로그램의 실행 과정을 훔쳐볼 수 있다.
행사장에서 만난 해커 A씨는 "PS액티브체크는 원래 모니터링 용도로 개발됐으나 악용될 경우 금융 대란으로 이어질 위험이 크다"고 말했다.
이날 행사에서는 S은행과 K은행 인터넷 뱅킹의 암호교환 과정을 모니터링하는 장면이 시연됐다.
웜(악성 코드의 일종)을 통해 PC에 PS액티브체크를 침투시키자 PS액티브체크의 '실시간 모니터링' 창에 데이터 패킷 암호화와 복호(암호를 푸는 것) 과정이 그대로 드러났다.
이런 상태에서 자기 PC가 감염된 줄도 모르고 인터넷뱅킹 서비스를 이용하면 모든 입력 정보가 악의적 크래커의 손에 넘어간다.
여기서 한 단계만 더 나아가면 이체하는 돈을 가로챌 수 있다.
이날 시연에서는 엄청난 파장을 고려해 돈을 가로채는 장면은 시연하지 않았다.
금융보안연구원과 은행 증권사 등은 PS액티브체크 위험에 대처하는 방안을 모색 중이나 근본적인 해결책은 찾지 못했다.
해커 B씨는 "금융권뿐 아니라 대다수 인터넷 사이트가 보안에 심각한 문제가 있다"며 "액티브X를 쓰지 말아야 하지만 현실적으로 어렵다"고 말했다.
한국은행에 따르면 국내 인터넷뱅킹 이용자는 4245만명(19개 금융회사 합계),이용 건수는 하루 1849만건이나 된다.
3분기 인터넷 뱅킹 자금이체 금액은 18조6439억원에 달했다.
이번 컨퍼런스는 악의적 해킹의 위험성을 알리기 위해 보안 커뮤니티 시큐리티프루프가 마련했다.
행사에는 중국 일본 한국 미국 등의 보안 전문가와 한국정보보호진흥원,경찰청 사이버테러대응센터 등 공공기관 관계자 및 해킹에 관심 있는 민간인 등 350여명이 참석했다.
시큐리티프루프를 이끌고 있는 해커 반젤리스(닉 네임)는 "국내 기업이나 공공기관은 보안 담당자를 너무 가볍게 생각한다"며 "방어 기술을 연구개발할 수 있는 여건을 조성하고 보안 담당자에 대한 처우를 개선하는 일이 시급하다"고 지적했다.
위 기사 내용처럼 지금 현재 액티브 X에 치명적인 보안문제가 있다고 하네요.. 돈도 없지만 인터넷 뱅킹사용할 때 조심해야겠네요..
이 보안 문제 해결하지 못한다면 은행도 다른 방법을 모색할테고..리눅스에서도 인터넷뱅킹을 이용하게 되지 않을까요?
액티브X 때문에 불편한게 한두가지가 아닌데... 차라리 다른 표준안이 나와서 리눅스에서도 웹서핑을 시원하게 하는 그날이 왔으면 합니다..
아마도
'PS액티브체크'라는 해킹 툴을 막는 프로그램을 액티브액스로 설치 해야 할 것 같네요.
은행 접속하면 깔리는 프로그램이 하나 더 늘어난건가?
..
ㅋㅋㅋㅋㅋㅋㅋㅋ
굳~~~~~~~~~!!!!
--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러
--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러
그것보다는 이미
그것보다는 이미 깔린 비루스체크패턴에 저것이 추가되지 않을까 합니다.
_____________________________
언제나 맑고픈 샘이가...
http://purewell.biz
_____________________________
언제나 맑고픈 샘이가...
http://purewell.biz
무시무시하네요.. 우
무시무시하네요..
우려가 현실이 되었네요.
글을 읽는 순간 소름이 쫙 돋았습니다.
---------------------------------
제일 왼쪽이 저입니다 :)
---------------------------------
제일 왼쪽이 저입니다 :)
이번에 국민은행이 당했다카던데예...
그 인터넷뱅킹때 주는 보안카드의 내용을 뚫어버리고 새로 인증서를 내려받아서 돈을 인출한 사건이 최근들어 발생했다네용... 국민은행에서, 그리고 해킹을 한 아이피는 듕귁으로 나오지만 프록시인지 아닌지는 아직 모른다고 합니다...
============================
....And I can play a game of life to win...
============================
Welcome to my small Organization, volks 'ㅅ'
저도 다녀왔습니다.
인터넷 뱅킹 뿐 아니라 SSL, https 가
아주 간단한 아이디어로 뚫리는 것도 시연됐었죠
이래저래 참 유익했었습니다.
SSL이나 https가 어떻게
SSL이나 https가 어떻게 뚫리나요? 그럼 https에 기반한 통신은 다 위험한 겁니까?
클라이언트나 서버, 그러니까 양쪽 끝에서 뚫리는건 상관이 없지만,
중간에 패킷을 가로채서 뚫는 거라고 하면 문제가 큰데...
서버나
서버나 클라이언트에서 인증서를 확인하지 않는 경우, MIM공격으로 SSL이 가볍게 뚫립니다.
_____________________________
언제나 맑고픈 샘이가...
http://purewell.biz
_____________________________
언제나 맑고픈 샘이가...
http://purewell.biz
저는 프로그래밍에
저는 프로그래밍에 대해서 잘 알지 못합니다. 다만, 제가 아는 분(직업이 프로그래머)과 대화하다가 activeX의 부정적인 면에 대해서 이야기를 했더니, 플래시도 activeX다. 다만, 플래시의 경우는 윈도우 뿐만 아니라, 다른 OS도 지원하도록 프로그래밍을 한것이다라는 이야기를 하더군요. 그분의 요지는, 국내 프로그래머들이 activeX를 IE만 지원하도록 프로그래밍을 해서 다른 브라우져에서 사용못한다는 것이었는데 플래시같은것은 모든 브라우져들이 이용하도록 배려했다는 것이지요.
플래시같은것은 부정적으로 보이지만은 않더군요. 해킹,보안에 관한것이아닌 그냥 여담이었습니다.
글쓴 분이나, 그 아는 분을 비판하려는 의도는 아닙니다만..
글쓴 분이나, 그 아는 분을 비판하려는 의도는 아닙니다만..
64비트 프로세서용 리눅스에서 플래시가 돌아간 게 된게 그리 오래된 일은 아닙니다...
물론 글쓴 분께서 아시는 분이 쉽게 설명하시기 위해 단순하게 말씀하셨을 것이고, 모르고 하시는 말씀은 아니겠지만요.
MS Internet Explorer에서 돌아가는 플래시는 ActiveX라는 게 정확한 표현이겠죠^_^
타 웹브라우저에서 돌아가는 플러그인은 ActiveX라고 하지 않습니다만..
그러고보면 ActiveX라는 건 MSIE에서 돌아가는 플러그인의 총칭인 걸까요?
Summa Cum Laude
64비트가 어떤 의미가
64비트가 어떤 의미가 있는지 모르겠습니다. 보통 사용자들이 64비트 프로세서를 많이 사용하는지도 잘 알 수가 없고요.
activeX가 MSIE에서만 돌아가는 개념으로 생각을 했었는데, 그게 아니더군요. Sun의 Java에 대항하기위해 만들어진것이 activeX라 하더군요. 저역시 activeX가 IE에서만 돌아가는 것 정도로 생각을 하고 있다가 아는분이 플래시를 예로들어 설명해 주신 덕분에 activeX가 한가지 OS와 브라우져에 종속적인 기술로서 개발된것은 아니라는 것을 알게된 것 뿐입니다.
이쪽 분야에 깊은 지식이 없어 그것이 사실인지 아닌지는 모르겠으나, Java가 OS 독립적인 기술이듯이 activeX가 Java에 대응하기 위한기술이며, Java와 같은 환경을 지향했다면, 국내 인터넷뱅킹같은 문제들은 결국 은행들이 activeX를 제대로 사용한것이 아니라는 생각이 든것 뿐입니다.
즉, 보안개념을 떠나서, 국내 인터넷뱅킹이 activeX기술을 사용한다고 linux에서 안된다는 것은 결국 프로그래머의 노력이 부족해서 그런것은 아닌가 하는 생각을 했기 때문입니다.
아, 단지 activeX가 Sun의 Java에 대응하기 위한 기술이지만, 자사 플랫폼만을 지원한다고한다면, 위의 제 이야기는 완전히 빗나간 것이겠죠?
네. 완전히
네. 완전히 빗나가셨습니다. 윈도 말고 ActiveX가 동작하는 플랫폼은 없습니다. 참고로 코어 2 듀오 이후의 모든 노트북들은 64비트고, 노트북 제조회사들이 64비트 OS를 탑재하지 않는다 뿐이지 64비트 프로세서는 의외로 많을 겁니다. 데스크톱 시장은 저는 잘 모르겠습니다.
---- 절취선 ----
http://blog.peremen.name
굳이 비교를 하자면 맞습니다
"굳이" 비교를 하자면 플래쉬나 ActiveX나 비슷합니다.
로컬 컴퓨터의 하드 내용을 수정할 수 있기 때문입니다.
플래쉬는 그때그때 코드를 받아서 실행합니다.
보안에 문제가 있어도 이것은 근본적인 문제가 아닙니다.
ActiveX는 로컬 컴퓨터에 프로그램을 받아서 설치하는 (의도적으로 보안구멍을 만드는) 문제점이 있습니다.
아니, 여기서 보안 문제라는 것은 정보 유출 뿐만이 아니라, 크래커가 상대 컴퓨터를 원하는데로 조작할 수 있다는 문제입니다.
ActiveX의 문제는 설계단계의 문제이기 때문에 수정을 할 수도 없습니다.
오죽하면 ActiveX를 만든 마이크로소프트사에서 비스타에서 쓰기를 주저할까요...
근데, 솔직히
근데, 솔직히 클라이언트 컴퓨터에 침입자가 원하는 코드를 실행시킬 수 있을 정도면
리눅스건 윈도XP건 파이어폭스건 ActiveX건 이미 게임 끝난 상황 아닌가요?
오만가지 방법으로 있는대로 정보를 다 긁어갈 수 있을 텐데
이걸 특별히 ActiveX만의 문제라고 말하긴 어려울듯...
철저한 보안도 중요하지만
그 철저한 보안 때문에 이루어질 수 없는 보안을 요구해서는 안되지요.
리눅스/파이어폭스용 인터넷뱅킹 솔루션을 만들려고 했는데
국정원인가? 금감원인가? 에서 반드시 키보드 보안 솔루션을 요구했고
그 키보드 보안 솔루션이 커널 패치 수준을 요구해서
결국 무산되었다는 얘길 예전에 여기서 본 것 같습니다.
OS나 웹 브라우저가 책임져야 할 일을
은행에서 책임지라고 강요를 하니
덕지덕지 웹페이지에
실제로는 별 도움도 되지 않는 허술한 ActiveX프로그램이나 잔뜩 끼워넣은
그런 기형적인 인터넷뱅킹 시스템이 되어버리는 거지요.
은행이 모든 것을 책임질 수는 없는 노릇이므로
키보드 보안이나 방화벽 백신 등등은
OS나 인터넷 브라우저 자체의 안전성에 맡기고
일반적인 웹 기술의 범위(HTML, CSS, Javascript, SSL)내에서
해킹 방지와 데이터 누출을 막는 방법을 생각했으면 좋겠습니다.
굳이 백신이나 방화벽 해킹방지 프로그램을 배포할려면
따로 분리된 패키지로 설치하게 하도록 하던가...
억지로 ActiveX로 끼워넣으려 하니
백신 프로그램이 이미 깔려있는데도 V3를 억지로 깔아야 하는 일이 생깁니다.
인용 : "국내
인용 : "국내 프로그래머들이 activeX를 IE만 지원하도록 프로그래밍을 해서 다른 브라우져에서 사용못한다"
틀린 말씀입니다. activeX 를 제대로 사용할 수 있는 브라우저는 IE 뿐입니다. 이론상, 윈도에서 돌아가는 다른 브라우저가 activeX 를 사용할 수 있도록 제작될 수도 있겠지만 윈도가 아닌 다른 OS 에서는 아예 불가능합니다.
플래시가 클라이언트 환경으로 주목받는 이유는 각 OS / 브라우저에 맞춰서 동일한 환경을 제공하는 일종의 레이어이기 때문입니다. 윈도 IE 에서는 activeX 로, 윈도 파폭에서는 win api 를 사용하는 xpcom 으로, 리눅스 파폭에서는 리눅스 환경에 맞는 xpcom 으로 등등. 말하자면 자바 가상 머신같은 거지요.
우왕
무섭네요
근데 꼭 엑티브말고 다른 솔루션도 많은데....
빨리 갈아탓으면 하네요 인터넷 뱅킹 사용자로써요!
------------------------------------------------
시노삐의 얼렁뚱땅 블로그
컴퓨터를 켜면,
이녀석이 뭔가를 합니다....
여기 저기 전기도 넣어서 체크도 해보고.
------------------------------------------------
Wanting someone more than looking at yourself is called addiction
음..그러면 대안은
음..그러면 대안은 java 또는 Flash 로 구현 밖에 없는건가요..?
닷넷으로도 어떻게 돼나요..?
CS 구조로 가야 합니다.
굳이 웹포멧을 유지할 필요가 없습니다.
웹하드 업체들이 하는 것처럼 하면 진입장벽도 높지 않습니다.
하지만, 가장 안전한 대안은 라이브 cd형태로 인터넷 뱅킹 전용 OS를 만들어서 배포하는 것이죠.
There is no spoon. Neo from the Matrix 1999.
There is no spoon. Neo from the Matrix 1999.
그건 또 다른 문제가;;;
그렇게 PC에서만 쓸 수 있는 표준이 채택되면 u-payment 표준화의 길은 더더욱 멀어질겁니다.
특히 국내에서 그쪽 표준에 참여하는 기관들의 현실이... (아시는 분은 아실 겁니다)
PC 환경 고유의 표준이 나오면 황당 버벅댈 수 밖에 없습니다.
지리즈님 의견과는 별개의 여담이지만 이 문제 관련해서 소송중인 오픈웹의 활동 중 불만인 점이 있다면 열심히 나서주는건 고맙지만, Java Applet이 정답이라고 정해놓고 활동하는 점입니다.
공식적으론 특정 솔루션을 내세우는게 아니라고 하지만, 실제 보면 그래 보입니다.
좀 힘들겠지만, 보다 추상적인 단계에서부터 다단계 구조로 정의되는 오픈된 표준이 만들어졌으면 합니다.
이런 방법보다 더
이런 방법보다 더 속기 쉽고 위험한게 이메일로 오는 가짜 은행 사이트입니다.
겉모습에 속아서 암호나 인증서를 내주는 수가 있습니다.
UI를 똑같이 만든 가짜 보안 모듈과 키로거로도 내용을 중간에서 가로챌 수 있습니다.
정식 보안모듈을 써도 거래 트래픽이 끼워팔린 방화벽이나 백신 프로그램 회사에게도 갑니다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
보안카드 대신에
보안카드 대신에 OTP을 사용해도 문제가 될까요?
OTP 번호는 그때 한번 뿐이 사용을 못하니.. 유효한 1분 이내에는
재 사용 가능할려나...
대안은 역시 HTS처럼 전용 어플리케이션으로 가야 할까요?
HTS로 가더라도 키로거는 여전히 무방비 일듯 하군요.
위의 해킹 가정에서 시스템 자체가 이미 해킹당해서 크래킹 툴이
설치되는 상황이라면 ActiveX든 비ActiveX든 다 문제가 될거라고
봅니다.
---------
간디가 말한 우리를 파괴시키는 7가지 요소
첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스
이익추구를 위해서라면..
다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치
---------
간디가 말한 우리를 파괴시키는 7가지 요소
첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스
이익추구를 위해서라면..
다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치
제가 보기엔
S사 K사 인터넷 뱅킹의 구멍은 ActiveX 의 근본적인 문제라기 보단,
아마 해당 ActiveX 에서 다른 DLL 에 있는 COM 의 인터페이스를 사용하고 그 DLL 을 가로챈 것 같은데..
보안 처리를 안한 해당 은행의 SW 설계상의 오류 아닌가요?
아니면 "COM 인터페이스"를 이용하는 것 자체가 구멍일까요?
COM 인터페이스에 보안상 허점이 있는 것이 아니라면,
위의 사례가 인터넷 뱅킹에서 ActiveX 를 사용하지 말아야할 이유는 아니라고 봅니다.
무슨 방법으로 짜도 SW 문제는 생길 수 있으니까요.
유일한 해결책은 암호화 라이브러를 모두 static linking 해서 만들거나 내부보안기능이 있는 API 를 제공하는 것인가요?
동감입니다.
가로챘다고 한들 그것이 이미 암호화된 문자열이라면 그렇게까지 큰 문제라고 생각되진 않습니다.
어차피 암호화는 가로채임을 전제로 한 것이니...
차라리 키로거가 더 위험하겠지요.
지금 여기 게제된
지금 여기 게제된 보도문이 일반적인 키로거와 근본적으로 다른 점이 있나요?
위에 어떤 분이 언급 하셨듯이 클라이언트에 침입자가 원하는 프로그램이 실행된 순간부터는
액티브X 인지 일반적인 클라이언트인지와는 무관하게 사용자의 입력을 감시할 수 있을텐데요.
국내의 액티브X 사용의 범람을 좋아하는 사람은 아니지만,
딱히 액티브X의 문제는 아니라고 생각합니다.
그리고 제가 이해한 한도 내에서는 이 보도문에서 보안 카드를 어떻게 뚫을 것인 지에 대해서는
언급이 되어 있지를 않은 듯 합니다.
지금 농협 무시하시나요?
redhat 9 설치하시고 농협 인터넷 뱅킹 써주세요.