한국에 와서 컴을 켤 때마다 밀려오는 짜증

imyejin의 이미지

일단 닥치고 액티브엑스 사이트에 접속해야 하니 윈도우즈가
아니거나 IE 아닌 브라우저로는 거의 아무것도 못하게 만들어
놓았어요. 특히 무슨 결제 하나 하는데 뭘 이렇게 복잡한 짓을
많이 해야 하는지, 철도예약에서부터 간단한 책 주문까지 왜
우리나라에서는 모든 사람의 컴퓨터를 걸레처럼 너덜너덜하게
만들지 않고서는 못배기도록 이런 미친 환경 속에서 살아가야
하는 걸까요?

*다방에서 노트북으로 인터넷을 하려고 네스팟에 접속하려는데
무슨 플러그인을 안깔면 돈내고도 인터넷 못쓰게 하는군요.
다행히 대학교 근처라 그런지 공짜 무선랜이 잡혀서 그냥 그걸
쓰고 있습니다만 돈내고 쓰려고 해도 M$ 윈도우즈가 아니면
쓰지도 못하게 하는 이뭐병같은 상황에 짜증이 납니다.

아니 무슨 네스팟 무선인터넷 하려고 VMWare 띄워야 하는 이런
나라가 다 있습니까? 늘 욕하는 거지만 오랜만에 와서 또 직접
겪으니 한참 짜증이 밀려오네요. 법으로 M$만 장사하라고 독점을
국가에서 지정해 주는 나라가 우리나라말고 어딨습니까?

budle77의 이미지

서비스 마인드가 없다는게 문제죠.
돈내고 사용하는 서비스인데 지원을 하지 않으니 참...

===========================================
http://www.hyungjun.kr
개발과 관리가 가능한 DBA를 목표로...

superwtk의 이미지

동감합니다.

--------------------------------------------------------------------------------
http://blog.superwtk.com

hoppang의 이미지

네스팟 웹사이트에서 제가 쓰는 맥북의 MAC어드레스를 등록해서 학교에서만(사이트 라이센스라) 네스팟을 쓰고 있는데 일반 네스팟 상품도 그게 가능할지는 모르겠네요.
========================
귀엽고 깜찍한 호빵님~ >ㅁ<

whitelazy의 이미지

됩니다.. 동일하게 네스팟 사이트에서 등록하면 됩니다

iamt의 이미지

저도 그말하려고했는데~ 선수를 치시다니~ 센스쟁이~
---------------------------------------------------------------------------------
C(++)과 php 펄등을 공부하고있습니다.
반갑습니다! 리눅스 :-)

---------------------------------------------------------------------------------
C(++)과 php 펄등을 공부하고있습니다.
반갑습니다! 리눅스 :-)

donghan21의 이미지

외국에서는 금융사이트 이용할때 activex 이용하는데가 별로 없나요?.. 온라인게임할때도 국내는 거의다 해킹방지다 뭐다 해서 activex 깔리는데 외국은 어떻게 되는지 참 궁금합니다.
그리고 activex 아니면 어떻게 인증절차를 거치나요..?

tomahawk28의 이미지

외국에서 금융결제를 인터넷으로 할경우에는 일단 무슨 보안 프로그램이라고 잔뜩 나오는건 전혀 없습니다
nProtect처럼 메시지 후킹을 감지하기 위해 처음부터 ActiveX 쓰는 경우가 없다는 거지요..
(저 같은 경우에는 외국나와서 IE로 결제 한적이 한번도 없습니다.. 아.. 한국에서 Ebook살때 빼고.. ㅡ,.ㅡ)
미비한 실력에 정확한 구현 방법은 모르나.. https를 이용해서 결제가 진행되고 이것 뿐만 아니라
그 후에 해당 업체 직원이 인터넷 결제시 이용했던 신용카드를 직접 요구해서 확인하는 절차가
또 있지요..


Can't stop watching this;;

houyhn의 이미지

액티브X를 필수로 써야 금융결제가 되는 나라는 우리나라와 중국 정도라고 알고 있습니다. 다른 웬만한 나라는 그냥 웹브라우저만 있으면 되죠. Firefox에서도 대부분 문제없고요.
보안은 SSL(HTTPS)에 보안카드 정도로 보통 해결합니다.

cjh의 이미지

제가 겪어본걸 말씀드리면

* 미국 Bank Of America
계정 로그인만 하면 됩니다. 저는 조회만 해봐서 이체할때 뭐가 더 필요한지는 모르겠고...
Sitekey라고 로그인할 때 특정한 이미지를 표시해서 피싱을 방지하는 기능이 있습니다.
한국 포탈도 야후!에는 도입되어 있지요(로그인 씰)
특이한게 수표 쓰면 스캔 이미지가 올라 오더군요.

* 일본 미쯔이스미토모
계좌 만들면 로그인 계정 정하고 암호 카드를 줍니다. 자기가 사이트에서 지정하는 암호와
암호카드에 있는 암호를 두번 입력해야 합니다. 그 뒤에는 조회/이체 잘 됩니다.

당연히 FreeBSD/Linux Firefox에서도 잘 되고 어떤 프로그램도 별도 설치하지 않습니다.
SSL Only이고요.

--
익스펙토 페트로눔

--
익스펙토 페트로눔

OpenSnake의 이미지

모사이트에서 iexplorer 으로 결재한 포인트만큼 다운받을수 있게 해놓은데가 있는데요..
근데 그 사이트가 파폭으로 접속하면 로그오프한 상태에서 다운이 되더군요....-_-;;
파폭이 무슨 정액제도 아니구....
전 고맙게 잘쓰고 있습니다..

KLDP 만 해도 저는 여기분들은 대부분 리눅스을 데스크탑으로 쓰고 파폭같은 웹브라우저을 쓰는줄알았어요..
근데 알고보니 리눅스 데탑을 쓰시는분은 좀 적으시더군요...파폭조차 익스보다 접속률이 낫다고 하더군요...(타사이트보다야 높겠지만...)

리눅스,파폭써야 유식한것 아니겠지만 리눅스사이트에서 익스가 접속률이 더 높다는게 이상하더라구요..

--------------------------------------------
혼자있고 싶습니다. 모두 지구밖으로 나가주세요.

--------------------------------------------
혼자있고 싶습니다. 모두 지구밖으로 나가주세요.

snowall의 이미지

뭐...가끔이죠 -_-;

--------------------------
snowall의 블로그입니다.
http://snowall.tistory.com

피할 수 있을때 즐겨라! http://melotopia.net/b

houyhn의 이미지

정말 네스팟 쓰기 위해서 ActiveX를 깔아야 하나요? 우와... 무슨 그런 개념이 안드로메다로 가버린 경우가 다 있나요?

대체 근거가 뭔지 들어나 보고 싶군요. 무선랜 보안을 위해서라면 엄연히 802.11b/g 기반 WPA/WPA2 인증이 있건만... 그건 어디다 갖다버리고 웬 ActiveX?

hoppang의 이미지

네스팟을 위해 activex를 쓰는건 아닐거예요. 네스팟은 전용'프로그램'이 따로 있습니다.
다만 그 프로그램은 윈도우 전용이고.. 타 운영체제를 위해 맥어드레스를 따로 등록할수도 있죠. (라고 위에서 답변을 달아 주셨네요.)
========================
귀엽고 깜찍한 호빵님~ >ㅁ<

hoppang의 이미지

(+) 네스팟 프로그램은 아마 보안 같은게 문제가 아니라, 인증된 사용자만 쓸 수 있게 하려고 하는 걸겁니다.
========================
귀엽고 깜찍한 호빵님~ >ㅁ<

houyhn의 이미지

그렇군요. 그래도 MAC 주소를 등록하는것 자체가 완전히 삽질 아닌가요. 얼마든지 바뀔수 있는게 MAC 주소잖아요.

애초부터 WPA 인증과 네스팟 사용자 인증을 연동하게 구현했으면 운영체제에 상관없이 사용 가능할텐데, 왜 그렇게 설계하지 않았는지 참 궁금하네요. 저는 네스팟을 구경도 못해봤기 때문에 정말 몰라서요.

hoppang의 이미지

뭐 맥어드레스는 얼마든지 바뀔 수는 있지만 그래도 잘 안바뀌는 물건이니(랜카드만 그대로라면) 크게 심각한 수준은 아니라고 생각해요.
그리고 두번째 줄의 의문에 대한 답변은.. 저도 네스팟을 쓰긴 하지만 그 프로그램은 써본적이 없어서 답변이 어렵겠습니다. :3
========================
귀엽고 깜찍한 호빵님~ >ㅁ<

airpro의 이미지

Windows XP 32bit 공인 IP 환경에서 하도 ActiveX 오류가 발생하여 문제점을 해결하고자 전화를 하였습니다.

문서 출력 단계에서 오류가 난다고 전화로 말하니 되돌아 오는 대답은

고객님 컴퓨터 사용하는데 좀 서툰면이 있으신가요? 이렇게 물어보더군요.(황당하고 기가 막혀서 원 ..)

결국 문제는 제가 직접 해결했습니다만 전자정부 관련 ActiveX를 모조리 지우고 다시 설치해보니 여러번의 오류를 내면서 설치가 완료가 되는군요.

뭐 대한민국 공무원들이 하는짓이 그렇지 않겠습니까?

ActiveX 오류시 물어보면 윈도우 새로 설치하세요. 컴퓨터 잘 못하세요?, 남들은 잘 되는데 고객님만 안됩니다. , ActiveX는 전혀 문제될 것이 없습니다. 주로 이런 대답을 많이 들어봤습니다.

평양선봉의 이미지

이전에 토지관련 문서를 출력할 일이 있었는데,
출력을 하려고만 하면 javascript 오류가 뜨면서 동작을 안했습니다.
저는 사이트가 문제인줄만 알았더니,
사이트는 정상(?)이고, 무슨 프로그램인지는 기억이 안나지만 보안관련해서 설치된 프로그램때문에 javascript 오류가 났었습니다.

ActiveX를 사용하는 것은 둘째로 치더라도,
좀더 다양한 환경에서 테스트를 해볼수는 없는지.. 그런 생각이 들었습니다.

----
웹페이지 : http://bzpalm.net/

----
웹페이지 : http://bzpalm.net/

hb_kim의 이미지

아래글은 제 짐작이니, 잘 아시는 분이 보시고 리플 부탁드립니다.

저는 한국에서 ActiveX 가 사용되는 이유가, https 를 못쓰기 때문이라고 짐작하고 있습니다.

미국 온라인뱅킹은 별도의 플러그인을 사용하지 않아도 큰 탈이 없는게, https 를 이용하기 때문에 중요한 정보는 이미 암호화 되어 있기 때문이구요. 한국의 경우는 http 를 사용해야 하기 때문에 전송하는 데이터에 암호화를 하려면 애플리케이션에서 암호화를 해야 되니 웹브라우저의 플러그 인을 사용해야 하는겁니다.

사용시에 제일 문제가 되는것은 이플러그인이 규격/통일화되어 있지않고, 각 회사/사이트 마다 고유의 보안 모듈을 배포하고 있기 때문에 사용자의 불편을 야기하고 있는것이구요.

imyejin의 이미지

한국에서도 https 잘만 씁니다. https냐 액티브 액스냐는 별개의 문제입니다. 기술적으로 아무 문제 없고 쓰는 사이트도 많습니다. 문제는 금융결제나 공인인증 관련 법률을 액티브 엑스를 쓰지 않으면 안되도록 만들어 놓았다는 것입니다.

임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

iamt의 이미지

관련 법률자체가 그러한것이였군요.

어떻게 기술되어 있길래..;;

저는 이때까지 에꿏은 사이트제작자를 탓했습니다.

---------------------------------------------------------------------------------
C(++)과 php 펄등을 공부하고있습니다.
반갑습니다! 리눅스 :-)

---------------------------------------------------------------------------------
C(++)과 php 펄등을 공부하고있습니다.
반갑습니다! 리눅스 :-)

imyejin의 이미지

http://openweb.or.kr/

임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

noblepylon의 이미지

미국와서 가장 놀란 것이 인터넷 주문이 단 클릭 몇 번으로 끝난다는 거였습니다.
인터넷 뱅킹도 그냥 로그인하듯이 하면 되구요.
맥, 리눅스, 심지어 스마트 폰에서도 됩니다.

시나리오) 아마존에서 Simcity 4 Deluxe CD를 한 장 산다.
1. 검색창에서 찾는다.
2. 쇼핑 카트에 넣는다.
3. 주문 화면에서 직불 카드 번호와 만료일, 결제 주소를 입력한다.
(아마존의 원클릭 기능을 이용하면 다시 입력할 필요가 없다.)
4. 배송 주소를 선택한다.
5. 결제 버튼을 누른다.
단 다섯번의 클릭만으로 끝났습니다.

우리나라에서 인터넷으로 뭘 살려면 클릭을 수십 - 수 백번 정도는 해야 할 것 같군요.
---
“내게 능력주시는 자 안에서 내가 모든 것을 할 수 있느니라.”(빌립보서 4:13)

---
“내게 능력주시는 자 안에서 내가 모든 것을 할 수 있느니라.”(빌립보서 4:13)

warpdory의 이미지

학교 전산망 만들면서 .. 학교내에서 존재하는 다양한 운영체제에서 쓸 수 있게 한다며 자바로 하더니 로그인 인증을 activex 로 받고, 또 v3 안 깔려 있으면 깔고나서 인트라넷 접속하라고 접속 끊던 모 대기업의 학교 인트라넷망도 있었는데요 뭐...

---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.
http://akpil.egloos.com


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

nike984의 이미지

저도 미국 나와서 4년째 생활중인데
외국 사이트 다닐땐 리눅스를 빠져나갈 일이 전혀 없습니다.
거래 같은건 paypal로 하거나 카드로 하더라도 액티브엑스 깔라고 덤비는건
거의 보질 못했습니다. 거래 은행도 리눅스에서 아무 문제 없이 접속됩니다.
가끔 한국 사이트 들어가게 되면 액티브 엑스가 걸려서
그냥 윈도로 듀얼부팅하거나 버츄얼박스로 들어가는게
사이트 하나 볼때마다 욕이 한바가지씩 나옵니다.

그리고 예전에 네스팟 처음 나올때 한국서 저도 pda로 이용했는데요
그때 네스팟 홈페이지 들어가보면 맥어드레스 지정하면
별도 소프트웨어없이 접속이 되었습니다.

블루스크린의 이미지

물론 우리나라에서 activex가 바람직하지는 않지만
그것을 안하고 외국처럼 했을때 부작용도 있을 거 같거든요
----------------------------------------------------------------------------------------------------
이 댓글(comment)의 수정 및 삭제를 위해 이 글에 답글(reply)을 쓰지 말아 주십시요.
의견이 있으시면 원 글에 댓글(comment)로 써 주세요

-------------------------------------------------------------------------------
이 댓글(comment)의 수정 및 삭제를 위해 이 글에 답글(reply)을 쓰지 말아 주십시요.
의견이 있으시면 원 글에 댓글(comment)로 써 주세요.

Hyun의 이미지

외국의 그것보다 activex에 의한 부작용이 더 많지 않을까요?
잠깐만 생각해도 무심고 설치한 activex때문에 바이러스 등이 상당한 문제가 되고 있고, 어정쩡한 activex또한 전체 시스템을 불안하게 만드는 요인중에 하나라고 보는데...


나도 세벌식을 씁니다

나도 세벌식을 씁니다
joshuajh의 이미지

뭐, 그런 의도가 있으실 거라고 생각하지 않습니다만
언뜻 읽었을 땐 Active X는 신뢰할 수 있고, 브라우저는 신뢰할 수 없다는 말로 이해가 되네요
해킹 공격을 시도할 수 있는 시점은

1. 사용자가 데이터를 입력할때
2. 데이터가 오가는 통신 내용을 훔쳐서
3. 은행에서 데이터를 처리할 때

이 세가지 정도가 될텐데요

2번의 경우에는 ActiveX를 쓰던 브라우저의 SSL을 쓰던 동일합니다. 단지 사용자의 개인키와 공개키를 쓸건지, 은행이나 기업의 개인키와 공개키를 이용할 것인지의 차이일 뿐입니다. 궂이 더 따지자면 책임을 개인에게 지게 할지 은행이나 기업에게 지게할지의 차이도 있을 수 있겠네요. 개인의 개인키와 공개키를 사용한다면 지금 작업중인 사람이 본인 맞다는 걸 확인하고 일을 진행하는 것 이고, 은행이나 기업의 개인키와 공개키를 사용한다면, 지금 작업중인 대상이 정말 그 은행이나 기업이 맞다는걸 확인하고 진행하는 것 이니까요. 그 위에 '보안인증 씰'도 있으니 브라우저의 SSL을 쓰는게 더 안전하다고 봐야겠지요

3번의 경우라면... 그 은행 문 닫아야지요, 생각해 볼 필요도 없을 듯 합니다.

결국 문제가 되는건 1번의 경우 인건데요... 역시... 어떤 방법을 써도 문제가 되는 건 마찬가지 인겁니다. 이건 키보드-운영체제-어플 간의 데이터 통신방법이 완전히 안전하다는 보장을 해야하는 전혀 다른 문제지요

결론적으로 말하자면 두 방식 다 안전하지만 결국엔 같은 이유로 안전하지 못하다는 겁니다.

그런데 Active X를 쓰는 방식에는 몇가지 치명적인 문제가 더 있습니다.
첫째, 프로그램을 설치해야 한다는 것
둘째, 누가 만든 프로그램인지 확인할 방법이 없다는 것
셋째, 표준이 마련되어 있지 않다는 것 (더 많은 프로그램을 설치해야 한다는 의미가 됩니다)
넷째, 문제가 발생했을때 일차적인 책임이 개인에게 돌아간다는 것

결론을 이야기 하자면, Active X를 쓰는 편이 더 불리하고, 불편하다는 겁니다.
차라리 SSL을 사용하고, 통신시에 One Time Password를 쓰게 하는 편이 훨씬 더 안전합니다.

자진삭제의 이미지

.

Viz의 이미지

우리나라의 공인인증 및 키보드 보안이 ActiveX 위주여서 이런저런 불편도 있고.. 불공평의 문제도 있긴 합니다.

하지만 지금 우리나라의 온라인 금융거래 시스템이 SSL 및 이미지확인, SMS인증 등의 간단한 방법만을 이용하는 해외 보다 안정성이 휠씬 높습니다.

우리나라야 인터넷 뱅킹 한번 해킹 당하면 각 신문사/포털 주요 뉴스가 되고 전국적으로 이슈가 될 정도인데요. 해외에서야 온라인 뱅킹 계정 해킹 당해서 계좌에서 돈이 막 빠져 나간다던지 하는 일이 심심찮게 일어납니다. 사실 뉴스가 되질 않죠.

통계적으로 우리나라의 온라인 금융거래 사고율이 다른 나라의 1/10 이하라고 알고 있고요. 다양한 채널을 통한 인증이 일어나기 때문에 취약점이 상대적으로 적은 편입니다. 외국이야 SSL에다가 요즘들어 OTP 정도 도입하는걸로 알고 있는데 여전히 상당히 취약합니다. (SMS인증이나 OTP는 MITM - Man In The Middle 공격에 취약점이 있습니다)

우리나라에 아무 금융기관사이트에만 한번 접속하면 깔아주는 키로깅 방지 프로그램도 사실 외국에서는 비싼 유료 보안프로그램의 프리미엄 버전에나 들어가는 기능이니 꼭 안좋게 보기만할 필요는 없을 듯 하네요.

물론 ActiveX 말고 좀 더 플랫폼 독립적인 기술을 고려해 볼 수 있긴 하지만 현실적인 대안이라고 해 봐야 Java Applet 정도가 있을 뿐이고요. (Java Applet 역시 지금 수준의 보안을 제공하기엔 여러 기술적 장애물이 있습니다)
모든 브라우져가 공통으로 지원하는 웹상에서 전자서명에 대한 표준이 있으면 참 좋겠으나 관련된 움직임마져 전무한 상태여서..

그러니까 지금 IE 상에서 번거로운 프로그램 설치 등이 주는 불편함만큼 안정성이라는 이득도 있다는 것~!

ps. 저는 온라인 금융거래시스템과 관계된 회사... 라기 보다는 기관에 다니고 있기 때문에 편향된 시각을 가질 수도 있습니다.
ps2. 위의 이유로 본문에서 든 높은 안정성이라는 표현은 공신력있는 조사 결과에 바탕을 두고 있다고 덧붙입니다. ^^

My Passion for the Vision!

g0rg0n의 이미지

Quote:
해외에서야 온라인 뱅킹 계정 해킹 당해서 계좌에서 돈이 막 빠져 나간다던지 하는 일이 심심찮게 일어납니다.
사실 뉴스가 되질 않죠.

피싱빼곤 한번도 못들어봤습니다...

그리고 인터넷 뱅킹같은 경윤 요즘 키보드사용 못하게 합니다.
화면에 키보드가 나와서 마우스로 클릭해줘야하죠.

18

noblepylon의 이미지

외국의 방식이 그렇게 불안정하고 허술한 방식이라면 아마존이나 Bank of America등에서 진작에 바꾸었거나 했겠지요.
그리고 키보드 보안 정도는 사용자 책임도 어느정도 있다고 봐야 합니다.
무조건 은행 책임이라고만 하니까 문제지요.
---
“내게 능력주시는 자 안에서 내가 모든 것을 할 수 있느니라.”(빌립보서 4:13)

---
“내게 능력주시는 자 안에서 내가 모든 것을 할 수 있느니라.”(빌립보서 4:13)

OpenSnake의 이미지

그리고 키보드 보안 정도는 사용자 책임도 어느정도 있다고 봐야 합니다.
무조건 은행 책임이라고만 하니까 문제지요.

이건 좀 아닌듯한데요...
인터넷뱅킹한다고 해서 다 컴퓨터 잘하는것은 아니잖아요.

그리고 Viz 님 말씀 상당히 설득력있네요...
왠지 맞는거같아요..

--------------------------------------------
혼자있고 싶습니다. 모두 지구밖으로 나가주세요.

--------------------------------------------
혼자있고 싶습니다. 모두 지구밖으로 나가주세요.

imyejin의 이미지

칼질 잘 못하면 사시미 칼 잡고 회 뜨면 안되는 것과 마찬가지입니다.

"자신이 잘 모르는 수단"으로 몇백만원씩 왔다갔다하는 결제를 하도록 장려하는 게 바로 보안 정책의 구멍이 발생하는 요인이죠. 금융의 기본은 "신용"이지 "기술적 보안"이 아닙니다.

해외에서 Personal Check이 기술적으로 절대 위조가 안 되고 보안상 문제가 없기 때문에 사용하는 게 아닙니다. 어떤 나쁜놈이 수표용지랑 자필 서명 위조해서 본인처럼 행사해서 문제가 발생하더라도 그것을 나중에라도 감지해서 복구할 수 있다는 시스템에 대한 "신뢰"가 있기 때문에 사용하는 거죠.

금융사고에 대한 보험이라든가 이런 것을 확대하고 불의의 사고로부터 고객을 보호할 수 있는 방향으로 나가야 하는 것이지 컴퓨터 걸레로 만들어 놓고 Yes Yes 클릭하도록 한 다음에 난 법을 다 지켰으니 잘못되면 컴터 관리 못한 니책임이라는 식의 태도는 고객을 기만하는 행위일 뿐입니다. 게다가 그 기반이 되는 우리나라의 공인인증 소프트웨어 시스템마저도 제대로 돌아가고 있지 않다는 것이 오픈웹 사이트에 지적되어 있습니다.

진짜로 기술적으로 보안에 신경쓰려면 one time password 를 사용해야 됩니다. 물론 인터넷이 아니라 다른 통신망을 경유하는 것이 보안에 더 효과적이겠죠. 보안에 신경 많이 쓰는 회사들 중에는 외부에서 내부 인트라넷으로 외부에서 로그인하려면 이렇게 하는 회사들이 있습니다. 별도의 단말기(전자보안카드 혹은 스마트키)에다 패스워드를 전송해 주는거요. 요즘에 이거 비슷한 거를 우리나라에서도 하려고 하는 거 같기도 하던데 비용 문제 때문에 어떻게 될지 모르겠군요. 요지는 하려면 좀 제대로 하라는 겁니다. 이런 스마트 키 기반이라면 패스워드가 일회용이므로 키보드나 메모리 로깅한다고 당장 뭘 할 수 없다는 장점이 있죠.

임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

Viz의 이미지

금융거래 사용자들 간에 "신용"을 바탕으로 둘지 아니면 "시스템적인 장치"에 바탕으로 둘지는 문화적인 차이라고 생각합니다. 무조건 "신용"에 바탕을 두는 것 만이 올바른 것이고 선진적인 것은 아닙니다.

우리나라 사람에게는 낮선 "개인수표"가 미국에서 통용되는 것을 보고 "우와 미국은 역시 선진국이군. 신용을 바탕으로 수표라는 것을 서로 믿고 쓰다니!"라고 생각할 수 있지만, 유럽에서는 개인수표가 거의 사용되지 않고 심지어 신용카드 사용도 직불카드에 비해서 떨어지는 편입니다. 선진국이라고 수표를 쓰는건 아니란 말이죠.

다른 예로, ATM이나 인터넷뱅킹등을 이용해서 이체 거래를 할 때, 입금계좌번호에 해당하는 계좌명을 확인하는 절차를 거치는 나라는 우리나라 뿐입니다. 이건 꽤나 편리한 기능인데 다른나라는 이체가 완료되기 전에는 계좌번호를 정상적으로 넣었는지 검증할 방법이 없지요. 상대적으로 우리나라 전자금융시스템은 "시스템적인 장치"에 좀 더 무게를 두는 것으로 보입니다.

실제로 자기의 컴퓨터가 해킹당해서 부정출금을 당한다면 피해자 입장에서는 얼마나 억울하겠습니까? 내가 PC관리를 잘 안해서 모두 내 책임이라고 생각할 사람이 얼마나 될까요? 컴퓨터를 완벽히 관리할 자신 없다면 인터넷 뱅킹 하지 말라는 것은 너무 매정하게 들립니다.

ps. 미국에서도 수표 사고를 막기위해서 다양한 방법이 시도 중입니다. 예를 들어 상점에서 수표로 값을 지불하면 바로 수표스캐너에 수표를 스캔합니다. 그럼 수표가 이미지처리가 되어서 바로 사용액수가 당좌계정의 잔액을 넘지 않는지 자동체크가 되고요. 사실 체크카드를 쓰든 수표를 쓰든 이제는 전산적으로는 비슷하게 처리가 되는데 미국인들이 수표책에 금액적어서 넘기는것에 너무 익숙해져서 어떻게 보면 비합리적인 수표 이미지처리라는 방법이 등장했습니다. 요즘은 이 기계가 구멍가게에도 다 있는걸로 알고 있습니다.

ps2. 위에 글애서도 언급했듯이 OTP(one time password)는 MITM(Man In The Middle: 피싱등을 통해서 중간에서 사용자 입력을 가로채는 행위) 공격에 취약합니다. 그래서 현재 인터넷 뱅킹에서 OTP와 동시에 전자인증이 쓰이는 것입니다. 금감원이나 정부쪽에 있는 사람들이 일을 진행하는 방식이나 전략적인 계획을 세우는 것에 있어서는 문제가 좀 있지만 보안 등의 기술적인 문제에 무지해서 현재의 체계가 나온 것은 아닙니다.

My Passion for the Vision!

My Passion for the Vision!

danskesb의 이미지

Quote:
실제로 자기의 컴퓨터가 해킹당해서 부정출금을 당한다면 피해자 입장에서는 얼마나 억울하겠습니까? 내가 PC관리를 잘 안해서 모두 내 책임이라고 생각할 사람이 얼마나 될까요? 컴퓨터를 완벽히 관리할 자신 없다면 인터넷 뱅킹 하지 말라는 것은 너무 매정하게 들립니다.

매정하지만 현실이 되어야 합니다. 이렇게 해서라도 개인 보안의 중요성을 일깨워 줄 필요가 있습니다. 보안은 은행에 전적으로 떠넘기기만 해서는 결코 안 됩니다.

네 MITM에 취약하지 않은 통신 수단은 현실에서 찾기 힘듭니다. 하지만 MITM의 취약성을 알고 그것을 보조할 수 있는 통신 수단은 얼마든지 많습니다. 당장 SSH 서버 키가 OS 재설치 등의 이유로 바뀌어도 MITM 경고를 띄우면서 접속을 거부합니다. SSL 인증서 역시 MITM의 대비가 전혀 없는 건 아니죠.

---- 절취선 ----
http://blog.peremen.name

jick의 이미지

Quote:
다른 예로, ATM이나 인터넷뱅킹등을 이용해서 이체 거래를 할 때, 입금계좌번호에 해당하는 계좌명을 확인하는 절차를 거치는 나라는 우리나라 뿐입니다. 이건 꽤나 편리한 기능인데 다른나라는 이체가 완료되기 전에는 계좌번호를 정상적으로 넣었는지 검증할 방법이 없지요. 상대적으로 우리나라 전자금융시스템은 "시스템적인 장치"에 좀 더 무게를 두는 것으로 보입니다.

이게 과연 편리한 기능일까요? 제가 어디서 입금계좌번호(비슷한 거)를 주웠습니다. 계좌이체 창에 넣어보면 계좌가 존재하는 계좌인지, 주인 이름은 뭔지 바로 알 수 있네요. 그리고 계좌이체 취소하면 돈은 한푼도 안 물어도 되고요. 자, 아주 손쉽게 남의 금융정보 validation하고 실명까지 손에 넣었습니다.

몇 년 전에 동사무소에서 전입신고할 때 보니까 "xx동에서 왔는데요" 하니까 스크린에 xx동에 사는 사람 명단과 주소가 가나다순으로 좍 뜨더군요. 거기서 직원이 제 이름을 클릭하니 전입신고가 되더군요. 참 간편하죠?

superwtk의 이미지

Quote:
ps. 미국에서도 수표 사고를 막기위해서 다양한 방법이 시도 중입니다. 예를 들어 상점에서 수표로 값을 지불하면 바로 수표스캐너에 수표를 스캔합니다. 그럼 수표가 이미지처리가 되어서 바로 사용액수가 당좌계정의 잔액을 넘지 않는지 자동체크가 되고요. 사실 체크카드를 쓰든 수표를 쓰든 이제는 전산적으로는 비슷하게 처리가 되는데 미국인들이 수표책에 금액적어서 넘기는것에 너무 익숙해져서 어떻게 보면 비합리적인 수표 이미지처리라는 방법이 등장했습니다. 요즘은 이 기계가 구멍가게에도 다 있는걸로 알고 있습니다.

Wells Fargo 은행의 한 직원의 말에 따르면, 은행이 고객의 계좌에 잔액이 충분히 있는지 (혹은 얼마나 들어있는지) 의 여부를 상점에 알려주지 않는다고 합니다. Debit 카드를 쓸 때도 마찬가지구요.

사실 개인 계좌에 잔액이 없어도 결제 승인이 떨어지긴 합니다. 부족한 금액이 너무 크면 승인이 거부되기도 하구요. 개인적인 경험으로 1000불 정도는 승인됐어도 3000불은 거부됐었습니다. 이 부족한 금액을 당일(business day 기준) 특정 시간(보통 오후5-8시)까지 메꾸지 못하면 그 다음날 over draft fee (일종의 수수료. 은행에 따라서 $10-35/거래당) 라는게 해당 계좌로 부과됩니다.

예를 들어서 계좌에 3불이 남아있었는데 월요일에
1. 점심을 먹고 ($6)
2. 스타벅스에서 커피 마시고 ($4)
3. 주차 요금 내고 ($2)
4. 월마트에서 간단하게 장 보고 ($20)
한다면 다음날(화요일) 계좌 잔고가 3-(6+4+2+20)-(35*4) = -$172 이 되어버리는 비극을 맞이하게 됩니다. 수수료를 제외하면 잔액 밑으로 내려간 금액은 $29 밖에 안되는데 말이죠. 다시말해서 잔고가 0 미만으로 내려가게 되면 잔액이나 거래 금액에 관계 없이 $35 * (거래 수) 만큼 수수료가 부과됩니다.

이런식의 거래가 금요일 오후부터 월요일 아침까지 축적되면 엄청난 재앙을 가져옵니다. 주말에 계좌 잔고가 0 아래로 내려간걸 깜빡하고 debit 카드를 10번 긁었다면? 상상만 해도 오금이 저리네요.

사실 물건 사면서 수표 쓰는 사람도 보기 힘들고 개인 수표를 아예 받지 않는 상점들도 꽤 많습니다. 보통 카드(debit, credit)나 현금을 씁니다.

--------------------------------------------------------------------------------
http://blog.superwtk.com

cjh의 이미지

저 깜박하고 계좌에 돈넣는거 잊어서 이거 당해봤습니다. 환장하더군요. (직불카드 쓸 때 계좌가 - 되면서 overdraft fee 가중)
며칠 있으니 집에 경고장이 날라오더군요. ㅠㅠ

직불카드인데 이런 간단한 걸 왜 체크 안해 주는지... 마이너스 통장도 아니고.

BoA는 계좌 잔고를 매일 메일로 보내주는 서비스가 있어서 그걸로 관찰하고 있습니다.

--
익스펙토 페트로눔

--
익스펙토 페트로눔

Viz의 이미지

오호.. 아직은 실시간으로 안되는군요. 저야 미국에는 못가보고 보고서 같은 걸로 본거여서... -_-;;;;

My Passion for the Vision!

5peaker의 이미지

저야 미국에는 못가보고 보고서 같은 걸로 본거여서... -_-;;;;

Quote:

금융기관쪽에 업무를 하신다고 하셨는데도 불구하고
자신이 주장한 글에 대한 책임감이 전혀 없어 보이십니다.

대담하게 주장하시고, 있는듯 없는듯 마무리 하시는 모습에
현재 국내의 주먹구구, 시험식 금융보안의 모습이 오버랩됩니다.

타국은 생각이 없어서 도입을 하지 않는 것이 아니라고 생각이 듭니다.
외국에서 본다면 국내 실정은 아주 좋은 프로토타입일 것이라 생각합니다.

OpenSnake의 이미지

컴퓨터 못하면 인터넷 뱅킹하지 말아야 한다고 하시는분이 3분정도 보이시는데...
이분들의 만약에 해킹걸려서 무단으로 계좌이체 당하면 과연 이분들은 뭐라고 하실지 궁금해요..
"내 실수이니 내탓이오~" 이렇게 말해야겠네요..
이 세상에 완벽한게 어디있겠습니까...실수을 할수도 있을텐데...

--------------------------------------------
혼자있고 싶습니다. 모두 지구밖으로 나가주세요.

--------------------------------------------
혼자있고 싶습니다. 모두 지구밖으로 나가주세요.

lovian의 이미지

그분들의 말씀은 다르게 표현해보자면,
개인 정보에 대한 보안은 본인이 가장 민감해야한다.
라는 것 아닐까요?

아아 그놈의 보안의식..
-----------------
한글을 사랑합니다.

-----------------
한글을 사랑합니다.

danskesb의 이미지

비유가 적절한지는 모르겠지만, 일단 써 봅니다.

알려지지 않은 독성 바이러스를 연구하는 미생물 업체에 들어가야 할 일이 생겼습니다. 그 업체에 들어가는 문 앞에는 "우리 업체에서는 알려지지 않은 바이러스를 연구하고 있고, 따라서 연구 시설에 들어오려면 무슨무슨 규격 1+등급 방호 마스크와 실험복이 필요합니다. 방호 마스크와 실험복을 입고 들어오지 않아서 바이러스에 감염되었을 경우 우리 업체에서는 책임지지 않습니다. 방호 마스크와 실험복을 준비해 오시지 않은 분들을 위하여, 실험동 들어가기 전에 있는 로비에 방호 마스크와 실험복이 준비되어 있습니다." 라고 쓰여 있습니다.

그런데 우리 나라의 인터넷 뱅킹을 놓고 보면 저 문구를 이렇게 써야 합니다. "우리 업체에서는 알려지지 않은 바이러스를 연구하고 있고, 따라서 연구 시설에 들어오려면 무슨무슨 규격 1+등급 방호 마스크와 실험복이 필요합니다. 정부 권고안에 의해서 바이러스에 감염되었을 경우 우리 업체에서 책임져야 하기 때문에 귀하는 우리 업체에서 만든 초특급 울트라 슈퍼 방호 마스크와 실험복 착용해야 합니다."

바로 저기 해당하는 '만' 부분이 문제가 됩니다. 네. 키보드 보안 프로그램이 있으면 없는 것보다는 좋죠. 그런데 특정한 프로그램을 강제시켜 두고, 이것이 아니면 절대로 못 쓰게 하는 태도가 문제입니다. 차라리 은행 쪽에서 "우리는 이런 것을 배포하니까 필요하면 써라" 식으로 나가면 몰라도요.

---- 절취선 ----
http://blog.peremen.name

jick의 이미지

"우리 업체에서는 알려지지 않은 바이러스를 연구하고 있고, 따라서 연구 시설에 들어오려면 무슨무슨 규격 1+등급 방호 마스크와 실험복이 필요합니다. 정부 권고안에 의해서 바이러스에 감염되었을 경우 우리 업체에서 책임져야 하기 때문에 귀하는 우리 업체에서 만든 초특급 울트라 슈퍼 방호 마스크와 실험복만 착용해야 합니다."

또한, 우리 업체에서 만든 초특급 바이러스 누출 감지장치를 체내에 삽입하셔야 하며, 이 장치는 식약청의 안전검사를 거치지 않고 우리 업체 독자 기술로 검증한 것이므로 절대 안전(??)합니다. 또한 옆동네 A연구소를 방문하고 오셨다면 마찬가지 감지장치가 뱃속에 들어있으실 텐데 두 장치 간의 교차간섭으로 인한 오동작 가능성에 대해서는 절대 시험해 본 바 없으므로 역시 안전(???)합니다.

원하시는 분에 한해서 연구소 방문 후 개복수술실로 가시면 무료로 감지장치를 제거하여 드립니다. (다만 이 경우 재방문시 다시 감지장치를 이식하셔야 합니다.)

Hyun의 이미지

Quote:
ps2. 위의 이유로 본문에서 든 높은 안정성이라는 표현은 공신력있는 조사 결과에 바탕을 두고 있다고 덧붙입니다. ^^

어떤 조사죠?
나도 세벌식을 씁니다

나도 세벌식을 씁니다
Viz의 이미지

제가 본 것은 금감원 아니면 한국은행 쪽 문서였던 것 같은데 해외 보고서를 참조하고 있었습니다. 공개된 문서라면 각 기관 홈페이지에서도 찾을 수 있을 것 같은데 당장 찾아보기는 무리가 있네요.

대한 아래 블루스크린 님이 링크 거신 글에 관련된 보고서(제가 본거 하고는 다른듯합니다)의 링크가 있네요.

http://kldp.org/node/100857#comment-469166

My Passion for the Vision!

My Passion for the Vision!

danskesb의 이미지

Quote:
물론 ActiveX 말고 좀 더 플랫폼 독립적인 기술을 고려해 볼 수 있긴 하지만 현실적인 대안이라고 해 봐야 Java Applet 정도가 있을 뿐이고요. (Java Applet 역시 지금 수준의 보안을 제공하기엔 여러 기술적 장애물이 있습니다)
모든 브라우져가 공통으로 지원하는 웹상에서 전자서명에 대한 표준이 있으면 참 좋겠으나 관련된 움직임마져 전무한 상태여서..

이미 농협에서는 Flex 기반의 인터넷 뱅킹을 개발은 해 두었습니다. 플래시가 돌아가는 곳이라면 어디든지 쓸 수는 있지요. 다만 제 리눅스 노트북에서는 접속을 하려고 해도 무슨 프로그램 때문에 막힙니다. :(

그리고 이미 대부분의 웹 브라우저들은 개인 인증서 기능을 지원하고 있습니다.

본문에서 밝히신 것과 관련된 회사에 다니고 계신다면 '아 우리나라 시스템은 역시 좋구나'라는 생각만 하실 것이 아니라, 외국의 여러 시스템에서 (취약점이 있다고 해서 기피할 것이 아니라) 배울 것은 과감히 배워 와야 한다고 전 생각합니다.

---- 절취선 ----
http://blog.peremen.name

Viz의 이미지

Flash 기반(Flex 등이 포함되죠. silverlight도 마찬가지)은 sandbox 시스템을 가지고 있기 때문에 실제 이용자의 하드웨어에 접근할 방법이 없습니다. 농협의 Flash 기반 인터넷 뱅킹도 전자서명등은 여전히 ActiveX를 사용합니다.

Java applet역시 최근 발표된 Java 6 update 10 이전에는 vista의 protected mode에서 낮은 권한으로 돌아가기 때문에 이용자의 하드웨어에 접근할 방법이 없었습니다. 지금은 이 문제가 해결 되었지만 ActiveX만큼 강력한 시스템 접근 기능을 가지기엔 다른 문제도 있지 않을까 합니다.

대부분의 웹 브라우저들이 지원하는 인증서 기능이라 함은.. 정확히 무엇을 말씀하시는지 모르겠지만 SSL과 관련된 기능이 전부입니다. SSL에서 클라이언트 인증서를 요구할 수 있기 때문에 이에 관한 기능이 있을지는 모르겠지만 전자서명 기능이 브라우저에 들어 있지는 않습니다.

해당 기능에 대한 요구가 없던 것은 아니나 실제 브라우저 제작을 주도하는 미국에서 전자인증이 개인 사용자 측면에서는 잘 안쓰이기 때문에 실제로 기능이 추가되지는 않고 있습니다.

혹시 제가 정확히 알고 있지 못하는 부분이 있을 수 있으나 제가 아는한은 웹 브라우져 상에서 전자서명에 대한 표준은 없다고 알고 있습니다.

My Passion for the Vision!

danskesb의 이미지

네. SSL 클라이언트 인증서를 말했던 거고요, 전자 서명 관련한 기능은 아직까지는 없습니다. 그래서 덴마크와 스페인에서는 자바 애플릿 기반의 전자 서명 클라이언트를 만들었습니다. 그리고 이미 그 구현은 오픈소스로 공개되어 있고요.

---- 절취선 ----
http://blog.peremen.name

Viz의 이미지

OpenOCES까지 언급하시는 걸 보면 이 분야에 관심이 많으셨군요. ^^

저도 OpenOCES의 OpenSign을 보고 참 대단하다는 생각도 하고, OpenOCES가 생긴 이유가 덴마크 정부 주도라는 점에서 참 부럽다고 생각하고 있습니다. 우리나라도 처음부터 그랬으면 얼마나 좋을까요. 우리나라도 처음에는 이쪽 기술 키우려고 정부주도로 연구개발 용역도 많이 주고 했던거 같은데 "오픈소스로 공개한다" 정도의 단서를 달아주는 센스가 왜 없었을지.. -_-

아무튼 OpenOCES 쪽의 applet 기반 솔루션은 잘 동작하는데 현재 국내에서 상용으로 쓰이고 있는 것하고는 조금 안 맞는 문제가 있습니다. 우리도 이런 오픈소스 프로젝트가 있으면 참 좋을텐데요. 제가 시작할 생각을 가지고 있긴 했는데 요즘 생업이 바빠서 -_-;;;;;

My Passion for the Vision!

My Passion for the Vision!

imyejin의 이미지

Viz님 논의를 엉뚱한 방향으로 돌리지 마십시오. 지금 금융권에서 사용하는 액티브 엑스는 불편함이 문제가 아닙니다. MS IE 독점을 법적으로 보장해 준다는 게 문제죠. 그것'만'되고 그것 아니면 안되게 막아 놨다는 게 문제이니다. 더 불편하더라도 다른 플랫폼에서도 돌아가게나 만들어 놓고 액티브 엑스의 장점을 옹호다던가요. 법적으로 아무것도 못하게 만들어 놓고 지금 보안업체의 이익만 보장해 놓은 상태에서는 그런 지엽적인 문제를 논의하는 것 자체가 의미가 없다고 봅니다. SSL & OTP가 MITM에서 자유롭지 못하니 액티브 액스가 좋다는 식으로 말하는 것은 황당하기 짝이 없군요 -_-;; 기술적인 문제에 대해 기본적인 이해라도 갖고 계신지 의심스럽습니다.

플랫폼 독립적인 표준도 없이 액티브 엑스가 편리하다 불편하다는 논의는 아무 의미가 없습니다. Viz님께서는 온라인 금융회사의 이익과 관계된 기관에 다니고 있기 때문에 "매우" 편향된 시각을 갖고 있는 것 같습니다. 김기창 교수님이 주도하는 오픈웹 관련 논의를 읽어보실 것을 권합니다.

임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

Viz의 이미지

저 역시 오픈웹의 정신에 매우 찬성하고 있습니다. 김기창 교수님이 승소하기를 내심 바라기도 했고요. 아주 관심을 가지고 소송의 진행등을 지켜보고 있습니다.
제가 지금 이글을 쓰고 있는 브라우져도 구글 크롬이고 IE는 회사 인트라넷과 인터넷 뱅킹을 할 때만 사용합니다 -_- 크롬을 아주 사랑해서 여기서 인터넷 뱅킹을 하게 될 수 있는 날만을 기다리고 있습니다.
IE는 느려빠진데다가 다른 브라우저 흉내만 내는 나쁜 브라우저이죠 ㅎㅎ
(사실 최근 변화의 모습을 보이기도 하지만 MS 자체가 다 나쁘다고도 할 수 있습니다 ㅎㅎㅎㅎㅎㅎ)

제가 여러 글을 적은 것은 현재 전자 금융시스템을 보는 다른 시각도 있을 수 있다는 것을 말씀드린 것이고, 플랫폼 독립적인 표준에 기반해서 우리나라에서도 전자금융거래를 할 수 있는 날이 오기를 고대합니다.

그래서 나름 다음과 같은 결론도 제시할 수 있습니다.

1. 보안업체의 기술 및 의식 혁신
보안업체의 기술력 문제가 해결되어야 합니다. 물론 조금씩 나아지고 있고 몇몇 제품은 파이어폭스 용 버전도 나와서 전자정부 사이트에서 찾아 볼 수 있습니다. 하지만 이건또 파이어폭스 전용이여서 또다른 브라우저에서는 되질 않습니다. 결록적으로 범 브라우저적인 표준이 필요하다는 것인데 국제적인 표준이 될 수 있도록, 최소한 국내적인 표준은 될 수 있도록 기술 및 의식의 혁신을 통해 새로운 대안을 낼 필요가 있습니다.
현실적인 문제도 좀 있는데, 업체 입장에서는 비 IE 버전이 돈이 안됩니다. 비 IE버전을 IE버전보다 싸게 팔 수가 없는데 은행등에 파는 보안솔루션의 경우 프로그램 값만 받는게 아니라 관련 고객상담을 대행하고 그것까지 비용에 포함됩니다. 그런데 비 IE버전을 도입하면 이 고객상담 관련 비용이 엄청 늘어날 것으로 예상됩니다. 그래서 업체들이 비 IE버전을 팔려는 것에는 의욕이 없어 보이기까지 합니다.

2. 정책적인 변화
사실 정책적으로 높은 보안수준을 요구하는 것이 꼭 잘못되었다고 생각하지는 않아서.. 저는 1번 방법으로 문제가 해결되었으면 하네요. 1번이 힘들다면 단기적으로라도 높은 보안수준을 강제하지 않고 은행이 면책받을 수 있는 수단을 늘려서 이용자들의 자율성을 보장할 수 있게 되었으면 좋겠네요. 이게 조금 성과가 있는게 처음에는 개인 방화벽 같은게 필수적이 였는데 지금은 끌 수 있도록 하는 것이 최근 변화 중 하나거든요.

ps. OTP니 MITM니 하는 이야기는 딴소리니 요기 ps. 아래에 넣었잖아요 -_-

My Passion for the Vision!

joshuajh의 이미지

입력된 OTP가 그대로 통신선을 통해 전달되는 것 도 아닐텐데, 어떻게 MIM이 발생될 수 가 있는거죠?
OTP를 가지고 MIM을 시도하려고 한다면 키보드 해킹을 하거나, 공개키를 깨야 가능할텐데요
제가 뭘 잘못 이해한건지 모르겠습니다.
설명을 좀 더 자세히 해주실 분은 없으신가요?

Viz의 이미지

전자서명을 사용하지 않고 단순히 아이디/패스워드하고 OTP만 사용한다면 피싱에 매우 취약합니다. 예를 들면..

1. 사용자를 피싱 사이트(가짜 사이트)로 유인합니다.
2. 로그인 아이디/패스워드와 OTP 번호를 요구하여 입력 받습니다.
3. (동시에) 사용자가 입력한 아이디/패스워드와 OTP 번호로 진짜 사이트에 자신의 계좌로 이체하는 요청을 보냅니다.
4. 사용자 입장에서는 피싱 사이트에서 A라는 계좌로 1만원을 입금하려고 OTP 번호를 입력했건만 실재로는 B라는 계좌로 1000만원이 입금됩니다.
5. 피해자는 이제 울어야죠 T_T

여기서 피싱사이트가 중간에 사용자의 입력을 가로채니 Man In The Middle 이 되는 것이지요. ^^

ps. 그리고 추가적으로 우리나라에서만 생기는 문제점... 일단 현재 ActiveX 기반의 공개키 암호화를 무력화 해서 입력된 OTP 값을 가로챌 수 있다면(이것도 방법은 여러가지 있어요) 큰 취약점이 생깁니다. 사용자가 금융기관 A의 실제 사이트에서 OTP를 통해서 거래를 할때 나쁜놈이 그 OTP 값을 가로채서 동시에 다른 금융기관 B 사이트에 로그인해서 해당 OTP 번호를 사용해 나쁜짓을 할 수 있지요. 이건 사용자 입장에서는 실제 사이트에 값을 집어넣는 것이니 의심할 방법이 없죠. OTP 통합인증라는게 일단 쓰기에는 편한데, 나름 엄청난 구멍이 있어요 -_-

My Passion for the Vision!

joshuajh의 이미지

피싱을 이용한다면 프로토콜 상의 MITM의 영역을 넘어가는 것 아닌가요?
그 방법을 이용한다면 그 어떤 방식을 쓰더라도 MITM이 가능해집니다.
ActiveX 를 사용한다고 해서 그걸 막을 수 있는건 아니지요
피싱을 이용하는 것 역시 MITM 의 한 형태가 되겠지만
원래 의미의 MITM과는 좀 접근 방향이 다르지 싶습니다.
토론의 대상이 되는 AX를 사용하느냐 그렇지 않느냐의 관점에선
아무 의미없는 예시라고 보입니다.

앞서 다른 분이 언급한 바와 같이 보안씰이 존재하기 때문에
오히려 피싱을 통한 공격에는 ActiveX를 이용하는 것 보다는
브라우저의 SSL을 통하는 편이 훨씬 안전하다고 할 수 있지 않을까요?

그리고, OTP를 약간 잘못 이해하신 것 같습니다.
OTP는 말그대로 일회용 패스워드 입니다.
한쪽에서 사용한 것은 다른 곳에서 사용될 수 없을 뿐 아니라
일반적으로 생성된 후 일정 시간 이후에는 사용할 수 없도록 되어 있습니다.
혹시 서로 다른 두 은행이 같은 OTP Generator를 사용하는
보안의 기본 원칙을 깬 시스템을 사용하고 있다면 그건 또 다른 상황이겠지요
동일한 은행이라고 해도 동일인의 다른 계좌에는 다른 OTP Generator를 사용하는게 원칙입니다.

kosicheol의 이미지

엑티브 엑스 로 인해 보안성이 높아진다는 댓글도 보이고
세계화에 안맞게 우리나라나 중국 정도만 엑티브 엑스 를 사용한다는 댓글도 보이는데요

저두 파이어폭스를 사용하지는 얼마 안돼지만 어딜 가든지 엑티브 깔라고 하고
화면두 찌그러지고 가리고 ㅡㅡ;;
꽤 불편하네요..

머 여하튼 리눅스를 사용하는 유저들에게는 불편한건 맞는 말인듯..

cjh의 이미지

보안성이 높아진다는 말은 "누구나 윈도우 운영체제와 최신 IE브라우저를 쓴다"는 가정 하에나 있을법한 이야기지요.

MacOS도 쓰고 리눅스도 쓰고 FreeBSD도 쓰고 iphone도 써야하는 사람들에게는 현실적이지 않은 이야기들일 뿐입니다.

--
익스펙토 페트로눔

--
익스펙토 페트로눔

Viz의 이미지

음.. 우리나라 사이트가 ActiveX 남용으로 인해 거의 IE 전용으로 변해 버린 것에는 크게 두가지 이유가 있습니다.

1. 역사적인 이유
정부에서 선도적으로 전자서명체계를 도입하고 온라인 금융거래를 활성화 시키려고 했던 때에는 미국이 64bit 이상의 암호화체계를 무기로 분류해서 수출금지품목으로 지정해 두었습니다. 그래서 미국용 IE는 128bit 암호화 버전일때 해외에서 IE는 64bit 암호화 버전으로 돌아가던 때가 있었죠. 이때 국내 기술로 돌파구를 찾은게 ActiveX 기반으로 브라우져 플러그인을 만들어 사용하는 것이였죠.(국내에서 SEED 대칭키 암호화 알고리즘을 만들었던 이유도 여기에 있고요) 뭐랄까... WIPI처럼 처음에는 주도적으로 좋은 의도를 가지고 시작했지만 기술적 한계 등으로 끝이 안좋게 된 경우라고 할 수 있겠네요.

2. 정부 정책
전자금융거래법(이하 전금법)에서 나름 전자금융소비자를 보호하겠다는 명분으로 만든 조항이 있습니다. 여기에 따르면 금융거래 사고시 이용자에게 중요한 과실이 있다고 증명하지 못하면 책임을 금융기관이 지어야 합니다.

전금법 9조 발췌 wrote:

①금융기관 또는 전자금융업자는 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다.
②제1항의 규정에 불구하고 금융기관 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 경우에는 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다.
1. 사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우

위의 이유로 금융감독원 등에서는 보안성 기준을 매우 높게 제시하고 있습니다. 예를 들면 계좌비밀번호 등을 키보드 드라이버에서부터 은행서버까지 암호화되어서 전송함으로써 기본적인 키로깅 뿐만 아니라 브라우저 플러그인을 이용한 메모리 해킹을 막도록 하고 있습니다. 이러한 수준이 현재 "권고" 되고 있는데 정부기관의 "권고"는 사실상 산하 은행들에게 있어서는 절대적입니다. 그런데 현재 이 기준을 만족하는 것이 윈도우상에서 ActiveX로 IE에서만 돌아가는 버전 밖에 없습니다. 전에 리눅스 등에서도 동작하는 키로킹 방지 프로그램을 만드는데 참여했다는 분의 글을 KLDP에서 본 기억이 나는데요. 윈도우 상에서 보다 이런저런 이유로 많이 힘들었다는 내용이였다고 기억합니다.

음.. 정리하면
1. (WIPI 비슷하게) 처음에 유일한 대안으로 ActiveX 기반의 기술을 선택했는데 그러다 보니 그 환경에 고착화되어 버려 국제흐름을 따르지 못한것이 있다. 오히려 처음에 많은 예산과 인력을 투입해서 국제 표준에 걸맞는 체계로 만들었으면 좋았겠지만 이제와서는 너무 늦어버렸다.

2. 법적 책임등의 이유로 제도적으로 인터넷 금융거래의 보안수준이 너무 높게 요구되고 있다. 그런데 1번의 이유로 ActiveX 말고는 현실적인 대안이 없다. 제도적인 변화가 있던지 보안업체의 기술혁신이 필요하다.

참고로 개인 방화벽, 안티 피슁 프로그램 들은 제도적으로도 강제는 아닙니다. 이미 많은 금융 사이트에서 이용자의 동의를 거친 후 위의 프로그램을 꺼둘 수 있도록 하고 있죠.

ActiveX 및 한국의 온라인 금융거래 환경에 대한 글을 KLDP에서 많이 보는데요. 보통 정확한 정보에 바탕을 두지 않고 결론적으로 "우리나라는 개념이 없어서 그렇다"라고 간단하게 치부되는게 아쉬워서 글을 남깁니다. 위에 적은 것처럼 사실 이런저런 복잡한 사정이 숨어 있거든요. ^^

My Passion for the Vision!

ironiris의 이미지

저도 인터넷뱅킹시에 보안플러그인이 마구 깔리는게 1번의 이유로 알고 있습니다.
근데 왜 일반 사이트에서 로그인시에도 그런지는 모르겠습니다.

imyejin의 이미지

잘못된 걸 알았으면 이제 64비트 이상 보안 모듈 미국 외 제한 없어진 담에라도 제대로 바로잡을 생각이라도 해야 하는데 안그러고 버팅기잖아요.

특히 2번이야말로 바로 개념없이 법을 만들어서 그렇습니다. 지나친 수준의 기술적 보안요구가 애초에 말이 안되는 것이죠. 가장 큰 보안 구멍은 사람이라는 걸 간과하고 기술적으로만 막아놓고 문제가 생기면 고객에게 걍 다 떠넘길 수 있는 준비로서 요식행위를 하는 것밖에 더 됩니까? 어차피 컴맹은 아무리 보안 잘 되어 있어도 메신저 피싱에도 걸려버릴 수 있는 겁니다. 우리나라는 어떨지 모르지만 외국의 주요 전자상거래 피해사례는 이메일 피싱이나 메신저 봇을 이용한 피싱 및 트로이 목마 소프트웨어 침투 같은 거라고 알고 있습니다. 이건 액티브 액스만 갖고 어떻게 할 수 있는 문제가 아닙니다.

우리나라에서 개념없이 까는 개인 방화벽 안티 피슁 등이 제도적으로 강제는 아닙니다만 그거 끄려면 많이 골치아파요. 애초에 설치조차 안하고 싶은데 일단 닥치고 설치하고 나서 끌테면 꺼보라는 건 뭡니까?

우리나라는 개념없는 게 맞아요. 삽질은 누구나 처음에 할 수 있는데 그게 나중에 삽질로 드러나도 못고치는 아니 안고치는 게 바로 무개념한 거죠. 그리고 삽질이 일반화되어 삽질을 삽질로 생각치 않는 거는 (전자상거래도 아닌데 액티브 액스질) 무개념이 이미 주류가 된 거고요.

우리나라가 빨리빨리 잘 하는 거 좋은 장점이죠. 얼리어댑터 좋은 겁니다. 하지만 처음 도입한 게 삽질로 드러나도 안고치는 건 누가 뭐래도 무개념 병맛이에요. 이건 변명의 여지가 없습니다. 특히 금감원 같은 금융감독기관이라든가 공무원들 하는 짓거리를 보면 말이죠. 물론 이해는 갑니다. 자기가 예전에 잘못했다는 걸 인정하면 아마 욕먹을까봐, 그리고 지금까지 기득권을 쥔 업체들이 자신들의 이익을 잃을까 담합하는 거죠.

그런 걸 소송을 걸면 법원이 제대로 판결을 해줘야 하는데 물론 법원도 무개념이라는 게 드러났으니 안타까울 따름입니다. 오픈웹 관련 항소심에서라도 제대로 된 판사가 있었으면 합니다.

임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

freedom의 이미지

인터넷 하나로 시작된게 너무 열내시다 스트레스 받으시겠어요 ^-^

Hyun의 이미지

직접 당해보면 진정이 안됩니다.


나도 세벌식을 씁니다

나도 세벌식을 씁니다
vulpes의 이미지

문제가 인식된 시점에서 문제를 해결할 방안을 안 내놓고 "너무 늦었다" 고 한다는게 말이 됩니까? 90년대, 한강의 오염도가 심각수준이었을때도 "처음부터 폐수처리를 좀 더 완벽하게 했음 좋았겠지만 지금으로선 너무 늦었다" 고 하고 손만빨고 있었으면 지금 무슨 상황이 됐을거 같습니까?

게다가 세부적으로 들어갈것도 없이... 리모트에서 멋대로 내 하드웨어까지 통제할 수 있는 기술을 법적으로 강제하는게 개념없는게 아니라면 대체 뭐가 개념없는 행위라는건지 모르겠습니다. 보안수준이 "너무" 높게 책정되어 있으면 그걸 "너무 높지 않게" 재책정하는게 정상이지 않습니까?

한국에서는 근본적으로 "보안"의 개념 자체가 글러먹었습니다. 전 세계가 외부에서 내 컴퓨터를 통제하는걸 막음으로서 보안성을 강화하려고 하는데 한국에서만 은행에서 내 컴을 컨트롤해서 내 액션을 제한함으로 인해 보안성을 높이려고 하는군요. 그게 결국 전체적인 보안성을 떨어뜨리는 요인이 되는데두요. 잠수함에 물이 들어오는게 문제가 되는데 그 물을 못 들어오게 할 생각을 안 하고, 잠수함 바닥에 배수구를 뚫어두자라는 결론을 내린거나 마찬가집니다.

--
"It's too bad that stupidity isn't painful" - Anton LaVey

밤여우 Tech: http://foxtech.tistory.com
트롤은 말려 죽입시다 - http://kldp.org/files/trollfreeKLDP.user_.js__0.txt

--
"It's too bad that stupidity isn't painful" - Anton LaVey

밤여우 Tech: http://foxtech.tistory.com
트롤은 말려 죽입시다 - http://kldp.org/files/trollfreeKLDP.user_.js__0.txt

블루스크린의 이미지

Viz 님 글 잘 읽었습니다
법규정이 적당하게 개정이 되서 ie 이외에의 브라우저, 운영체계에서도 인터넷 뱅킹이 가능하기를 바래야 겠네요
검색해보니 관련된 글이 있어서 링크합니다
http://cafe.naver.com/cuksass.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=14

----------------------------------------------------------------------------------------------------
이 댓글(comment)의 수정 및 삭제를 위해 이 글에 답글(reply)을 쓰지 말아 주십시요.
의견이 있으시면 원 글에 댓글(comment)로 써 주세요

-------------------------------------------------------------------------------
이 댓글(comment)의 수정 및 삭제를 위해 이 글에 답글(reply)을 쓰지 말아 주십시요.
의견이 있으시면 원 글에 댓글(comment)로 써 주세요.

freedom의 이미지

게임은 둘째치고 우리나라에서는 IE 를 쓰지 않으면 로그인 하나 하기도 힘드네요.
이건 MS 공화국도 아니고, IE8 이 대중화 되면 좀 달라진다고 하니

그때는 윈도우는 게임용으로만 써야 겠습니다 ''a

KLDP 는 역시 댓글이 예술이네요 ㅎ

imyejin의 이미지

구글 후원으로 테헤란로에 있는 별다방에서는 네스팟을 무료로 지원하고 있네요 *.*

임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

iamt의 이미지

별다방에서 1시간 짜리 받아서 쓰는게 아니고 완전 오픈인가요?

오오.. 구글을 찬양하라..
---------------------------------------------------------------------------------
C(++)과 php 펄등을 공부하고있습니다.
반갑습니다! 리눅스 :-)

---------------------------------------------------------------------------------
C(++)과 php 펄등을 공부하고있습니다.
반갑습니다! 리눅스 :-)

noblepylon의 이미지

교통사고를 당했을 때 피해자가 안전 수칙을 지키지 않았을 경우 (예: 무단횡단) 피해자에게도 일정부분 책임을 지웁니다.
이와 같이 인터넷 뱅킹을 이용하는 사람들도 안전수칙을 읽고 따를 의무가 있습니다.
주의사항을 읽지 않아서 일어난 피해에는 사용자도 어느 정도는 책임을 져야 하고요.

외부 링크:
Secure Your Computer: OS 업데이트, 안티바이러스, 안티스파이웨어 설치를 권장합니다. (Norton을 '추천'하고 있지만 다른 것을 써도 상관없습니다.)
Detecting Fraud: 무단으로 계좌이체가 일어났을 경우에 대처방법을 알려줍니다.

우리나라처럼 특정사의 키보드 보안을 '강제'하는 법은 어디에도 없습니다.
---
“내게 능력주시는 자 안에서 내가 모든 것을 할 수 있느니라.”(빌립보서 4:13)

---
“내게 능력주시는 자 안에서 내가 모든 것을 할 수 있느니라.”(빌립보서 4:13)

magingax의 이미지

컴퓨터 기술은 참..많이 뒤떨어져있죠.
참고로 지금 근무하는 회사는 사내업무망 소프트웨어가 웹기반입니다.
문제는 ..전부 ActiveX 로 만들어놔서..
IE8 에서도 잘안되고, window 7 에서는 작동을 안합니다.
2년 전부터 계속 경고를 했는데..지금 또 예기하니
그건 window 7이 호환성이 나빠서 그러니 차후 모든 OS는 XP만구매한다더군요.
끝내주죠?
또 담당자왈..activeX 도 DCOM 과 같은거라 문제될께 없다고 하는데..헷갈리더군요..
어차피 COM 인건 맞지만..
암튼 '한국의' 상식이란걸 빨리 익혀야지 점점 피곤해 질듯합니다.

LISP 사용자모임
http://cafe.naver.com/lisper

LISP 사용자모임
http://cafe.naver.com/lisper
방송기술 개발업체
http://playhouseinc.co.kr