현재 위치

›› Forums ›› 이슈 ›› 뉴스, 새소식

OTP 관련 보안 사고 발생

warpdory의 이미지
글쓴이: warpdory / 작성시간: 목, 2011/03/24 - 4:22오후

EMC RSA 해킹당해 OTP 기밀 정보 유출
http://www.boannews.com/media/view.asp?idx=25317&kind=1

Quote:
EMC는 RSA 정보보안사업부가 해킹당했다고 17일(현지시각) 밝혔다. 이로 인해 RSA의 OTP(일회용 패스워드시스템 솔루션)인 시큐어ID(SecureID) 제품의 기밀 정보가 탈취된 것으로 나타났다.

... 후략 ...

음.. 바로 위에 올린 SSL 문제와 OTP 문제가 한꺼번에 터지네요.

보안관계자분들 머리 좀 아프시겠는데요 ---

Forums: 
뉴스, 새소식
사랑천사의 이미지

글쓴이: 사랑천사 / 작성시간: 목, 2011/03/24 - 7:36오후

중요한건...

SSL 문제와 이 문제를 싸잡아서.. "이것 봐라... SSL 위험하지 않냐. ActiveX 기반 보안이 짱이다." 이러는 사람들이 있을 거라는 겁니다. 훗.

사람천사

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 목, 2011/03/24 - 10:46오후

예전에 오픈웹에서 보안업체깐다고 감정상한 관련업계 종사자의 어떤 블로그를 보니까
모교수님이 인터넷뱅킹 SSL + OTP 로 대안을 제시한 것을 가지고 비아냥되고 있더군요.
인증서가 노출된 것을 가지고 마치 SSL 보안프로토콜 자체가 문제 있는 줄 아는 모양...
뭐..알만한 양반이 일부러 그러는거죠.

lacovnk의 이미지

글쓴이: lacovnk / 작성시간: 금, 2011/03/25 - 5:44오후

헐랭이와 IT보안 (opt9's IT Security)

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2011/03/30 - 3:44오후

헐랭이와 IT 보안에 대한 2008년도 기사
http://www.boannews.com/media/view.asp?idx=9257&page=3&kind=1&search=title&find=%BA%ED%B7%CE%B1%D7

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2011/03/30 - 3:49오후

알고보니....예수믿는 사람인가봐요.
예수믿는 사람들은 왜들 그럴까요.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 금, 2011/03/25 - 5:54오후

지네들 메일링리스트에서 얼씨구나 하고 SSL 까기에 여념이 없네요.
관리소홀로 인한 사고인데 마치 기술적인 결함이라도 발견된 것처럼 떠드네요.
저 소갈딱지 밴댕이들...

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 월, 2011/03/28 - 3:26오전

SSL 까면 자기 얼굴에 침 뱉는 건데 보안밥 먹는 사람들 왜들 그럴까요.
자폭? 참 신기함.
보안보다 더 중요한 것은 윤리, 도덕 같습니다.
윤리, 도덕을 갖추지 못한 자에게 보안을 맡긴다는 것은.....

고양이에게 생선 맡긴 격

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 일, 2011/03/27 - 5:08오후

김교주님 생각은 약간 다르신 것 같더군요.

http://swbae.egloos.com/3608433#8054955.04

'관리가 제대로 안이루어지면 무용지물이니 폐지하자'는게 김교주님의 공인인증서 폐지론 입장.
그럼 이제 교주님 말씀을 충실히 준수하여 SSL도 폐기처리하면 되는거죠.
(적어도 해당 인증서 업체는 인증서 사업을 아예 못하도록 한다던가...)

아~ 물론 저는 SSL을 폐기처리하고 싶지 않습니다.
해당 업체의 사업을 방해하고 싶지도 않구요.
김교주님 주장에 따르면 그렇다는 것이죠.

cwryu의 이미지

글쓴이: cwryu / 작성시간: 일, 2011/03/27 - 6:40오후

익명 달고 한 분 오셨네요.

이럴 수록 동종업계의 품위만 갉아먹는다는 걸 아시는지?

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 화, 2011/03/29 - 4:07오후

몇 년간 김교수가 펼쳐온 주장의 디테일엔 오류가 있을 수도 있다. 하나 하나 읽어본게 아니라 그런지 아닌지는 모르겠지만, 비전문가로 출발한 이상 충분히 그럴 수 있다고 생각함. 다만 꾸준히 하나하나 직접 공부해온 것으로 보이며, 최근엔 적어도 필요한만큼의 지식은 충분히 갖추고 있다고 보인다.

또한 김교수가 제시하는 대안이 정말 좋은 방향인지도 사실 개인적으로는 잘 모르겠다. 이를테면 금융사고 발생시, 현행보다 그 부담이 금융기관보다는 개인거래자에게 더 옮아오게 되는 방향이 아닌지 좀 우려스럽다.

그럼에도 불구하고, 김교수가 가졌던 문제의식, 현실진단의 요체만큼은 핵심을 찌르고 있다고 생각한다. 컴퓨터를 잘 모르는 사람들의 컴퓨터들을 점검해줄때마다, 덕지덕지 잔뜩 붙어있는 액티브엑스와 각종 스파이웨어들을 볼 때면 절감할 수 밖에 없다.

그런데 김교수의 이러한 문제의식에 보안업계에 종사한다는 자들의 반응은 무엇이었나?

전문가다운 현실진단과 분석, 문제해결을 위한 대안과 중/장기적 비전 제시는 없고, 김교수의 대안을 깎아내리기 밖에 할 줄 모르더라. 그건 원래 김교수가 나서기 전에 보안회사들이 했어야 할 일 아닌가? 그들이 자기 할 일을 똑바로 했다면 비전문가였던 김교수가 나설 일도 없었다.

이번에 저렇게 외국에서 발생한 보안사고를 보면서도, 그래서 우리는 이런 문제에 이렇게 준비하고 있다는 얘길 하는게 아니라 기껏 한다는게 김교수 까기나 하고 있다. 저거 뚫린 회사가 한국 보안회사들보다 전문성이 떨어질거라고는 잘 생각이 되질 않는데 말이다.

전문가로서의 품위는 고사하고, 신뢰 자체가 가질 않는다. 전문가들의 전문성이 아니라 비전문가의 열정에 더 기댈 수 밖에 없는 우리 현실이 슬프다.

lacovnk의 이미지

글쓴이: lacovnk / 작성시간: 수, 2011/03/30 - 8:01오전

+1

emptynote의 이미지

글쓴이: emptynote / 작성시간: 수, 2011/03/30 - 11:33오전

저두 공감 한표 드립니다.

하나 덧붙이자면 보안 업체도 사용자도 윈윈했으면 하네요.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2011/03/30 - 1:36오후

"우리는 이런 문제에 이렇게 준비하고 있다는 얘길 하는게 아니라"
==>
"우리는 이렇게 보안을 강화하고 있다"고 자랑하는 것은 스스로를 리스크에 노출시킬 위험도 많습니다.

회사 기밀문서를 남들이 훔쳐가지 못하게 다양한 대책을 세워 보호하는 것도 중요하지만, 회사 기밀문서를 훔치기 위해선 어떤 보안 대책을 우회해야 하는지 외부에서 모르게 하는 것도 중요합니다.

영화같은데 보면 최신 기술로 무장된 금고에 저장된 보석을 훔치기 위해 최고의 전문가들을 모아 작전을 세우는 걸 볼 수 있는데, 이 작전 과정 중에 보면 브레인 역할을 하는 사람이 금고까지 가는 과정에 적용되어 있는 보안 대책, 금고 안에 적용된 보안 대책들을 세세히 설명해주죠. 그러면 각 분야의 전문가들이 어떻게 우회해야 할 지 아이디어를 내고요.

이런 상황이 안벌어지게 하는 것 역시 보안을 위해 중요합니다.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2011/03/30 - 2:26오후

네 원론적으로 맞는 말씀입니다. 아마 내부적으로 만반의 대비책은 세워놓았지만 겉으로 티를 안내는 것일 수도 있겠죠. 그래서이길 바래봅니다.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2011/03/30 - 2:41오후

뭔가 논지를 잘못 파악하신 듯.
"이렇게 보안을 하고 있다"고 말한다고 해서 보안이 위험에 진다면(리스크?에 노출시킬 위험?)
그것은 이미 잘못된 보안 대책인 것입니다.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2011/03/30 - 4:11오후

세상에 완벽한 시스템이란 없으니까, (그것을 뚫으려는 상대가 있는 보안시스템은 더더욱)

보안 시스템 그 자체를 노출시키지 않는 노력도 충분히 정당화될 수 있다고 생각합니다.

"Although relying solely on security through obscurity is almost always a very poor design decision, keeping secret some of the details of an otherwise well-engineered system may be a reasonable tactic as part of a defense in depth strategy."
- Security through obscurity, Wikipedia

다만 한국의 보안업체들이, 비전문가들의 비판에 영업방해 운운하는 태도를 보이는 것이 부끄럽지 않을만큼 충분히 "relying solely on security through obscurity"하지 않은 시스템을 구축하고 있기를 바랠 뿐입니다.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2011/03/30 - 6:59오후

"이렇게 보안을 하고 있다"는 것은 보안 정책을 의미하겠죠.
보안 정책, 대책을 말하는 것은 '보안 시스템 그 자체를 노출'시키는 것이 아닙니다.

보안 정책에 대한 모든 기술 상세를 누출하는 것과 혼동을 하신 것 같습니다.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2011/03/30 - 7:01오후

그리고 위의 내용에 대해서는 충분히 공감하고 있습니다.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2011/04/13 - 3:57오후

농협 서버 다운되어 거래가 전혀 안 되어 친구가 돈 없다고
00은행 통장 만들어서 급히 돈 빌려달라고 그러네, 살다보니 별일 다 생기네.
보안 관계자라는 사람들은 아무 말이 없네.. 거참 신기하네..

warpdory의 이미지

글쓴이: warpdory / 작성시간: 금, 2011/04/29 - 11:50오후

[단독] 100만 인터넷뱅킹 보안시스템 '경고음'
http://media.daum.net/digital/view.html?cateid=1067&newsid=20110429220040606&p=imbc

슬슬 문제가 발생하기 시작하는군요.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 토, 2011/04/30 - 2:59오후

OTP(일회용 패스워드)도 여러 방식이 있으니까... 알고리즘 방식, 6자리 숫자만 쓸 것이 아니라..
* 서버측에서 무작위로 패스워드를 생성한 후, 문자메시지를 고객에게 보내면 그 문자 메시지를 홈페이지에 입력하여 인증하는 방식
* 별도의 통신 채널에서 교신될 수 있는 OTP 같은 것들도 사용되어야 함(예를 들면, OTP 문자 메시지, 승인번호 메시지 같은 방식)
그 경우 고객은 별도의 OTP 기기를 3천원~1만5천원 줘가면서 구입할 필요가 없음.

둘러보기