인터넷 뱅킹이 해킹됬다는군요. - 출처 : 한겨레

hexagon의 이미지

http://www.hani.co.kr/arti/society/society_general/337813.html

정상 거래로 돈이 출금된것으로 보아 키로거 등으로 비밀번호 등이 유출 된것으로 추정하고있다고 합니다.

보안 카드에 대해선 미스테리라고 하는군요...-_-;;

이래 저래 말은 하지만 결국 뚫린거군요...

어차피 뚫리는거 키보드 보안이다 뭐다 해서 왜 리눅스 사용자들을 괴롭힌건지...-_-;;
(아! 물론 윈도우 사용자들도 괴롭겠군요!!^^)

brucewang의 이미지

저 보안카드라는게 "4자리 비밀번호들의 테이블 중 주어진 번호에 해당하는" 것을 찾는 카드를 말하는 건가요? 인터넷 뱅킹 안해본지 오래되서...

패킷데이터 저장과 화면 캡쳐가 되는 키로거 프로그램으로 모니터링이 되었다면 인터넷뱅킹에서 제시한 seed가 뭔지, 그에 대해 무슨 비밀번호를 입력했는지도 알 수 있겠네요. 보안카드 테이블에 대한 정보만 접근할 수 있다면 길이야 뻥뻥 뚫린건데, 그 정보에 접근할 수 있다는것은 내부인 소행이라는 건가요?

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

brucewang의 이미지

업데이트 된 기사를 보니 아주 간단한 방법을 사용했군요.
인증서 자체를 해커들이 재발급 받았답니다. - -
http://news.korea.com/view/normalview.asp?page=1&cid=SO&scid=SO1&sn=46273304

키로깅만 되는 간단한 키로거만 있으면 피해 사용자 정보를 도용해
간단히 인증서를 재발급 받으면 되는군요. 허무해라.

그런데 보안카드는 직접 방문해야 재발급되지 않나요?
기사에 의하면 해킹행위 source ip가 중국이었다는데,

그렇다면 내부인과의 커넥션을 배제한 체,
방문하지 않고 그 테이블 정보를 알 수 있었다면... ?

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

나는오리의 이미지

보안카드는
화면캡쳐와 키로깅이 된다면
피해자의 거래내용을 한동안 로깅해서 쉽게 알아낼 수 있지않을까요?

예전부터 저게 걱정되었는데 결국 이런사건이 터지네요.

주거래은행은 OTP를 쓰고있는데
돈이 조금이라도 있는 통장의 금융회사는 모두 OTP를 해야할지 생각해봐야겠네요.

brucewang의 이미지

그 OTP가 별도 device를 사용하는게 아니라, 이것을 사용하는 것이라면 -> http://www.faqs.org/rfcs/rfc2289.html keylogger 앞에서는 이것도 위험할 수 있겠네요.

보안장치가 탑재된 은행 터미널에 원격 접속해서 비밀번호 입력은 flash 같은 것으로 키 배열이 매번 바뀌는 화면에서 마우스클릭으로 입력하고, 특수 고글을 써야만 화면이 보이는 은행 터미널 접속 프로그램을 사용하도록이라도 해야 할까요? (잠시 망상의 세계에서 허우적...)

허무하게 keylogger 때문에 이런일이 발생했다니 안타깝군요.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

bushi의 이미지

PAM 에도 OTP 모듈이 있습니다.(...예전에 있었으니 지금도 있겠죠...)

한번 인증을 통과하면, 다음번 인증에 사용할 password 를 미리 알아내서 어딘가에 적어둬야합니다.
이거 잃어버리면 영영 접속불가입니다.
(열개를 미리 알아내는 것등도 가능합니다만, 열번째 로그인 후 새 비번 알아내는 것을 잊고 로그아웃하면 대략 난감입니다.)

한 10여년쯤 전에 제 PC 에 적용해서 사용했었는데,
로그인 할 때마다 새 비번 알아내서 어딘가에 메모해둬야하니 상당히 부담스럽더군요.
귀찮기도 하고, 로그인 할 때마다 비번 바꾸는 거랑 뭐가 틀린가 싶어서 일주일만에 때려쳤습니다.

은행권의 OTP 는 어떤 절차를 거치는지 잘 모르겠습니다.

OTL

블루스크린의 이미지

http://jzin.tistory.com/12

http://planb.tistory.com/48

http://kukie.net/2008/10/18/957/

참고하세요

-------------------------------------------------------------------------------
이 댓글(comment)의 수정 및 삭제를 위해 이 글에 답글(reply)을 쓰지 말아 주십시요.
의견이 있으시면 원 글에 댓글(comment)로 써 주세요.

-------------------------------------------------------------------------------
이 댓글(comment)의 수정 및 삭제를 위해 이 글에 답글(reply)을 쓰지 말아 주십시요.
의견이 있으시면 원 글에 댓글(comment)로 써 주세요.

brucewang의 이미지

블루스크린님이 보여주신 방식이라면 적어도 '기기 소유자' 의 인증은 확실히 되겠군요.
(기기소유자와 계정 생성자의 동일 유무는 보장할 수 없지만)
keylogger도 방지할 수 있고...

유저인증 이외에 네트워크상의 변조방지/데이터암호화는 일반 SSL로는 부족할까요?
이렇게만 되면 IE를 안써도 될것 같은데..

저런류의 시간동기/랜덤발생류의 장비는 90년 중반에도 이미 나와 있던건데...
기술이 일상에 보급되는 데는 많은 시간이 걸렸네요.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

hwiorb의 이미지

키로깅을 해서, 테이블들을 저장한다음에, 자기들이 원하는 값이 나올때까지 접속한거 아닐까요 -_-a
(뭐, 이럴려면, 키로깅하는 작업도 고되겠네요 ㅎ)

nil.

brucewang의 이미지

그 댓가로 몇 천 만원에다가, 걸려도 중국이라고 기관에서 손을 놓아버린다면
중국사람들한테는 그야말로 돈 되는 투자로군요..

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42