전자금융거래의 공인인증/보안프로그램에 관한 제안

youknowit의 이미지

오픈웹 김기창입니다. (위로해 주세용~ ^^)

아래에 적은 내용을 KLDPWiki 페이지로 만들었습니다. 직접 수정, 개선해 주시기 바랍니다.

우리의 개발자분들이 겪는 어려움과 한국의 웹환경에 대해서는 모두 나름의 문제 의식이 있으실 것입니다.

그러나, 공무원을 탓하고 보안업계 과점 사업자들의 부도덕을 한탄하며 무기력감에 빠져 있을 것이 아니라, 뚜렷한 기술적 논거로 뒷받침된 합리적 정책 대안을 명시적, 구체적으로 제시, 설명하고, 이것을 관철하도록 노력하는 것이 어느 때 보다도 필요한 시점이라고 생각합니다.

저는 선진적 기술과 국제적 안목을 가진 고급 기술 인력 분들이 제대로 그 견해를 관철 할 수 있고, 그 역량에 맞는 대우를 받는 상황을 만들어 내고 싶습니다. 행정권한을 행사하는 분들이 양심적인 기술전문가들의 조언, 객관적이고 투명하게 검증된 해법을 채택하도록 그 대안을 제시하고 설명할 필요가 있습니다.

인터넷뱅킹/전자금융거래와 관련해서 행정력이나 법제도가 직접적 영향력(파괴력?)을 미치는 분야는 공인인증과 보안프로그램 운용에 관한 부분입니다. 이것과 관련된 기술 설계의 기본 원칙들을 분명히 제시함으로써, 안전하고 합리적이고 확장가능한 전체 서비스 설계가 가능하게 될 것입니다. 우리 나라의 현 사태는, 10년 전 기술로 개발한 PKI client plugin을 줄창 울궈먹으며, 새로운 경쟁 사업자의 시장진입을 막으려는 과점 보안 사업자들의 영업전략에 온 나라의 웹환경이 왜곡되어 온 것이라고 저는 생각합니다.

따라서 "전자금융거래에서의 공인인증/보안프로그램 설계 및 운용 원칙"을 수립 하는 과제를 KLDP에서 공개적으로 수행할 것을 제안드립니다. 공개 프로젝트는 프로그램 소스 개발만을 대상으로 하는 것은 아닐 것입니다. 서비스 설계의 추상적 골격이나, 설계의 기본 가치 등도 공개적 논의와 검토를 거쳐서 개발, 제시되는 것이 바람직하지 않을까 생각합니다.

금융권 IT 관계자, 보안업체의 (양식있는) 기술전문가, 행정부의 기술 관계자 등이 자기 신분을 밝힐 필요 없이 닉네임으로 참여하고, 많은 분들의 공개적 논의를 거쳐 대안이 수립되면, 그 결과를 금융감독원과 행정안전부에 공식적으로 제안할 예정입니다.

1. 근본 가치

* 서비스의 안전성
* 설계 구조의 투명성, 객관적 검증 가능성
* 업체 간의 공평하고 자유로운 경쟁 보장
* 솔루션의 유연성, 확장 가능성 극대화

2. 공인인증

거래내역에 대한 전자서명을 법령으로 강제하는 나라는 한국 밖에 없습니다. 이 규정(전자금융감독규정 제7조)은 수정되어야 합니다. 국회는 전자거래를 더욱 활성화할 목적으로 전자서명제도를 도입하였는데(전자서명법 제1조), 금감원이 고시한 이 규정때문에 오히려 전자거래가 위축됩니다. 이 규정은 금융기관들이 정상적인 전자거래에 대하여까지도 (전자서명이 없다는 이유로) 거래 효력을 일률적으로 부인하거나, 불리하게 대우하는 핑계로만 사용됩니다.

전자서명은 거래 주체가 자율적으로 채용여부를 판단하도록 해야 합니다. 현재 금융감독원 관계자께서는 "전자서명"이 마치 교신의 암호화를 제공하는 듯 오해하고 계시지만, 전자서명(electronic signature)은 보안접속(secure connection)과는 기술적으로 무관합니다.

(공인)인증은 클라이언트 소프트웨어와 서버측 인증 솔루션을 분명히 구분하여 해법을 모색해야 합니다.

2-1. 서버측 인증 솔루션

    2-1-1. 서버측 인증 루틴은 모듈러라이즈(modularize) 하여 재사용 가능한 컴포넌트로 구축한다.
    2-1-2. 서버측 인증 솔루션과 인증 클라이언트 소프트웨어 간의 인터페이스를 표준화함으로써 양자 간의 종속관계를 제거한다.
    2-1-3. 서버측 인증 솔루션 시장은 완전히 자유로운 경쟁이 보장되어야 한다. 누구라도, PKI client plugin 을 새삼스럽게 중복 개발하지 않더라도, 서버측 인증 솔루션 시장에 참여할 수 있어야 한다.
    2-1-4. 개발자의 독창성과 업체의 기술력이 진정으로 발휘될 수 있는 분야는 서버측 인증 솔루션 분야이다. 서비스 설계의 확장가능성에 착안하여, 인증 솔루션을 활용하여 다양하고 참신한 거래 서비스에 인증서비스를 연계하여 설계하고 구현하는 창의적 업체들이 활발히 등장할 수 있도록 보장할 경우, 서버측 인증 솔루션 시장은 막대한 성장잠재력을 가질 수 있고, 우리의 보안산업은 진정한 발전과 성장이 가능하게 된다.
    2-1-5. 인증 클라이언트와 서버측 인증솔루션이 결합(lock-in)된 현 상황에서는 클라이언트 플러그인을 쥐고 있는 일부 업체들(이니텍, 소프트포럼, 펜타시큐리티, 시큐어 소프트, 비시큐어, 드림 시큐리티 등)이 서버측 인증 솔루션 시장까지 좌지우지하며, 이들 업체의 기술 수준에서 국내 보안 산업의 기술 수준이 규정되어버려, 정체와 답보 상태를 면하지 못하고 있다. 개가 꼬리를 흔드는 것이 아니라, 꼬리가 개를 흔드는 형국이다.
2-2. 인증 클라이언트(PKI client plugin)
    2-2-1. 장기적으로는 거래내역 서명 기능(form-signing capability)이 웹브라우저에 탑재되는 상황도 상정해 볼 수는 있으나, 현재로서는 거래내역 서명 기능은 웹브라우저 플러그인으로 구현될 수 밖에 없다.
    2-2-2. PKI client는 순수히 전자서명 기능만을 수행하고, 인증서 관리 기능은 웹브라우저에 기본 탑재된 모듈을 사용하는 것이 합리적이다. 보안 접속은 https로 한다.
    2-2-3. 따라서 현재의 공인인증서 저장 위치, 저장 양식 등은 표준적으로 수정될 필요가 있다.(pfx, p12 양식으로 저장하거나, 웹브라우저의 인증서 저장위치에 저장)
    2-2-4. 서버측 인증 솔루션과 인증 클라이언트 간의 종속을 제거하는 방안은 다음과 같다:

      2-2-4-1. 서버가 PKI client를 호출/구동하는 방법, PKI client가 처리하는 각 필드 값의 명칭, 에러 코드, PKI client가 수행하는 각 기능을 호출하는데 사용되는 parameters 명칭 등을 표준화하여, 어떤 PKI client 가 이용자의 컴퓨터에 설치되어 있더라도, 서버가 이를 호출, 구동, 사용할 수 있도록 하는 방법: 이 경우 보안업체 들은 여전히 제각각 PKI client 를 만들어 공급하기는 하겠으나, 그 클라이언트가 서버와 교신하는데 사용되는 인터페이스가 위와 같이 표준화 되므로, 서버는 특정 업체 제공 PKI client 에 종속되지 않고 자유로이 아무 client 건 호출/구동하여 사용할 수 있게 된다. 이 경우, 서버측 웹페이지 작성 방법, 보안업체들이 자기가 개발, 제공하는 PKI client 에 대한 대가를 수령하는 방법이 지금과는 달라져야 한다.

      2-2-4-2. PKI client를 서버가 호출, 구동, 사용하는 방법(interface)은 위와 같이 통일하되, 5개 공인인증기관이 이 규격을 준수하는 PKI client를 각각 제공하거나, 5개 공인인증기관이 공동 제작한 하나의 PKI client를 사용하는 방법: 이 경우, 보안 업체는 더 이상 PKI client를 제작, 공급/판매 하지는 않게 된다. 그 대신, 모든 보안 업체들은 서버측 인증 솔루션 영업에 집중하여 사업을 수행하게 되고, 오히려 이럴 경우 공평한 경쟁환경이 확보될 수 있다(꼬리가 개를 흔드는 형국은 중단된다).

      2-2-4-3. 공인인증기관이 제공하는 PKI client는 감독관청의 심사를 받은 것이므로, 이러한 가입자 설비로 생성시킨 전자서명은 "공인전자서명"으로서의 법률상 효과를 가질 수 있게 된다. 거래 당사자들로부터 중립적인 인증기관이 아니라, 거래의 일방 당사자가 임의로 자체 제공하는 私製소프트웨어로 생성시킨 전자서명은 거래 일방이 챙겨두는 무의미한 私的데이터에 불과하고, "공인전자서명"이 아니다.

    2-2-5. PKI client 와 서버측 인증 솔루션 간의 종속관계가 이처럼 제거되고 나면,서버측 인증 루틴을 모듈러라이즈 하는 작업은 손쉽게 달성되고, 서버측의 서비스 설계 구조가 전반적으로 합리화되고, 유연성과 확장 가능성이 확보된다.
3. 키보드 보안프로그램
    3-1. 키보드 보안 프로그램은 유용성이 있다. 그러나, 그것을 사용하려면 관리자 권한으로 컴퓨터를 운용하도록 강제되므로, 이 프로그램의 사용을 일률적으로 강요할 경우 부작용도 크다.
    3-2. 일회용 비밀번호(OTP)를 사용하더라도, 인증서 개인키 암호입력 부분은 현재 OTP 적용이 현실적으로 어렵고, 이 부분에 대한 "높은 수준"의 키보드 보안 효과를 위해서는 PKI client 와 키보드 보안 프로그램 간의 인터페이스가 필요하다.
    3-3. 전자서명과 마찬가지로, 키보드 보안 프로그램도 불가피하게 웹브라우저 플러그인 방식으로 구현해야 하는 실정이다.
    3-4. 키보드 보안 프로그램 중에는 PKI client와 무관하게 단순히 키 값만을 인터셉트해서 처리하는 것들도 있고, PKI client module과 직접 교신하는 것들도 있다(後者를 편의상 "end2end 키보드 보안"이라 부르겠습니다).
    3-5. 서버측 인증 솔루션과 PKI client 간의 종속관계가 제거되고, PKI client의 기술 사양이 투명하게 공개되면, end2end 키보드 보안 프로그램을 설계하는 업체들에게 도움이 되고, 자유로운 경쟁환경이 가능하게 된다. PKI client 와 e2e 키보드 보안 프로그램 간의 종속 관계도 제거되기 때문이다.
    3-6. 그러나 현재는 PKI client 와 서버측 인증 솔루션이 lock-in 되어있을 뿐 아니라, 제 각각의 PKI client 들의 기술 specs 이 전혀 공개되어 있지 않으므로, e2e 키보드 보안 프로그램은 PKI client 를 이미 가지고 있는 업체들만 개발, 구현할 수 있는 실정이다. PKI client를 미끼로 하여 e2e 키보드 보안 프로그램 시장까지 통제, 장악하는 구조이다. (bundling 의 대표적 사례이다)
    3-7. 또한, 특정 금융기관이 특정 키보드 보안 프로그램을 그 고객에게 제공하고, 그 사용을 강제하는 현 상황은 경쟁법에 위반될 소지가 있다. 금융거래 서비스라는 주상품을 공급하는 조건으로 키보드 보안 프로그램이라는 부상품을 "끼워파는" 상황이기 때문이다(부상품이 무료라 하더라도 끼워팔기로 될 수 있다; 해당 부상품 시장의 자유로운 경쟁을 저해하기 때문이다).
    3-8. 따라서, 금융기관과 키보드 보안 프로그램 간의 결합(종속) 관계도 제거되어야 한다.
4. 프로그램 배포(deployment) 방식
    4-1. 키보드 보안 프로그램:
      4-1-1 키보드 보안프로그램은 금융감독원이 그 사용을 지도하는 것이므로, 금융감독원이 그 프로그램에 대한 심사를 한다(지금도 형식은 그렇습니다). 심사를 필한 키보드 보안제품들의 "설치파일 내려받기 통합 페이지"는 키보드 보안 프로그램 공급자들이 공동으로 단일한 페이지를 운영한다. 이 페이지 자체는 https 로 접속하되, 그 페이지에 제시되는 각 제품의 내려받기 링크 주소는 http 로 운영한다. 이 페이지에는 각 제품의 공급자 명칭, 기능 등을 간략히 안내하고, 소비자가 그곳에 안내된 여러 제품 중 자유롭게 선택하여 내려받을 수 있도록 한다.
      4-1-2 금융기관 등은 키보드 보안프로그램을 호출해야 하는 페이지에서, 위 여러 제품 중, 어느 하나의 플러그인이라도 이용자의 컴퓨터에 설치되어 있으면, 그것을 호출하도록 웹페이지 소스를 적는다(if, elseif, elseif, ...., else 등의 방식...)
      4-1-3. 키보드 보안프로그램이 전혀 설치되어 있지 않은 이용자에게는 i) 키보드 보안프로그램의 유용성을 설명하고, ii) 통합 내려받기 페이지로 갈 수 있는 링크를 제시하고, iii) 키보드 보안프로그램을 설치 하지 않기로 선택하는 이용자의 경우, 이점을 확인할 수 있도록 체크박스를 제시한다.
      4-1-4. 키보드 보안 프로그램 사용을 안하기로 체크한 이용자에게는 다음부터는 위의 안내 페이지가 나타나지 않도록 한다(쿠키 이용)
      4-1-5. 내려받기 통합 페이지로 유입하는 트래픽의 referrer 가 어느 금융기관이었는지에 대한 통계를 계산하면, 어느 금융기관의 고객들이 내려받기 페이지로 왔는지 그 비율을 계산할 수 있다. 그리고, 각 보안프로그램의 다운로드 회수를 계산하면, 최종 소비자가 각 프로그램을 선택한 비율도 계산할 수 있다. 이 두 비율에 기초하여, 일정한 합리성을 가진 비용 지급/대가수령 구조를 고안할 수 있다. 즉, 키보드 보안프로그램 공급자들에게 지급될 액수의 총액을 적절한 수준에서 책정한 다음(X), 각 금융기관들은 내려 받기 페이지로 들어온 트래픽 중, 자기 페이지에서 refer 된 비율에 상응하는 분담금을 지급하여 그 합계액이 X가 되도록 하고, 보안프로그램 공급자들은 자기 프로그램이 다운로드 된 비율에 따라 X 를 나누어 가진다.
      4-1-6. 물론, 이 계산방법은 완벽하게 정확하지는 않지만, 관련 당사자들에게는 어느 정도 합리적 방법으로서 수용될 여지가 있다. 다른 경로로 "통합 내려받기 안내" 페이지로 와서 다운로드 받는 사람들이 있다 하더라도, 금융기관이 이것을 싫어할 리는 없고(자기 부담부분이 줄어들면 줄어들지 늘어나지는 않으므로), 프로그램 제공자 역시 어차피 많은 사람이 자기 프로그램을 다운로드 받으면 자기 수령액이 늘어나므로 싫어할 이유는 없을 것이다. 키보드 보안 프로그램 공급자들에게 지급될 총액(X)을 적정하게 책정하고 나면, 나머지는 분담금이나, 수령금의 액수가 아니라, "비율" 문제만이 남기 때문이다. 금융기관 웹사이트가, 자기 부담 부분을 줄이기 위해서, 고객들에게 "다른 페이지로 갔다가, 통합내려받기 페이지로 접속해 주세요"라고 안내할 수는 없을 것이다. 완벽하게 정확한 계산 방법은 아니겠지만, 상당한 수준의 합리성 있는 비용 분담 체계로 인정받을 수는 있을 것이다. 물론, 프로그램 공급업체들이 공동으로 보다 정확한 대가 수령 구조를 고안할 수도 있을 것이다.
      4-1-7. 키보드 보안프로그램 설치 과정에서는 해당 프로그램의 코드 서명자의 인증서를 신뢰할지 여부를 묻고, 이용자가 신뢰하기로 선택하면 신뢰된 게시자로 등록할 수 있도록 한다. 이렇게 하면, 실제로 금융기관 웹페이지에 이용자가 접속하여 이용하는 중에는, 보안경고창이 뜨지 않고 (자기가 이미 설치한) 키보드 보안 플러그인이 호출, 구동될 수 있게 된다.
    4-2. PKI client:
      4-2-1. 역시 위와 유사한 방법으로 설치프로그램을 배포한다.
      4-2-2. 다양한 보안 업체가, 동일한 호출, 구동, 이용방법을 준수하는 PKI client 를 각각 공급할 경우, 그 대가 지급 관계는 위에 설명한 방법과 유사하게 운영될 수 있다. 웹서버들의 해당 페이지 소스 작성도 위에 설명한 것과 유사하게 운영(if, elseif, elseif.... else).
      4-2-3. 공인인증기관이, 동일한 규격을 준수하는 PKI client 를 각각 공급하거나, 공동제작한 하나의 PKI client 를 제공할 경우, 각 공인인증기관의 페이지에서 해당 프로그램 설치파일을 내려받을 수 있도록 한다.
      4-2-4. PKI client 설치 과정에서도 코드 서명자의 인증서를 신뢰된 게시자로 설치할지 여부를 이용자에게 묻고 설치할 수 있도록 한다.
PKI client 건, 키보드 보안 프로그램 이건 간에 개별 서비스 제공자의 웹페이지 소스에는 codebase (또는 xpi 내려받기 주소) 를 지정하지 않는다. 플러그인 프로그램을 이렇게 배포하면, 이용자들에게 "보안경고창이 나타나면 반드시 '예'를 누르라"는 괴상한 안내를 하지 않아도 될 것이다.

그 외의 이른바 "보안프로그램" (방화벽, 안티바이러스, 안티피싱 등)은 순전히 자율적 서비스 차원에서 각 금융기관이 제공 여부를 결정함이 옳으며, 아예 논외로 한다.

보안 업체, 금융권에서 이 문제에 관심을 가진 분들이 가급적 많이 참여하셔서, 합리적인 정책 대안이 마련되면 금융감독원과 행정안전부에 제시하면 채택되지 않겠습니까? 몇몇 기존 업체들의 반발이 있겠지만, 그들 업체들의 영업/과점 이익 만을 위해서 온 나라, 온 국민들이 불편을 겪는 현재의 상황은 정의롭지 못하다고 생각합니다.

어떻게 생각 하시는지요?

mylinux03의 이미지

최근 위피 의무화 폐지가 되었습니다.
이유는 아마도 국제화 또는
신기술 즉, 그동안 개방을 하지 않아서
다른 나라(회사)와의 경쟁에서 후퇴되고 죽어가고 있습니다.

만약 우리나라 은행이 외국에 수출이 된다면..
미국, 중국 등 여러나라 사람들이 이용하게 될 것 입니다.
그런 사람들이 인터넷뱅킹을 이용하게 된다면 ..
액티브 X 가 과연 통할까요..
혹은 xpi로 인하여 또 다시 고립환경으로 간다면..

사파리 나 다른 브라우저를 사용하게 된다면 ??

brucewang의 이미지

우선, 안타까움을 금할 수 없고
힘내시라는 말씀 올립니다.
교수님의 선의가 통하는 날이 오길 기원합니다.

제 소견으로는 지금 교수님의 견해는 KISIA(http://www.kisia.or.kr/) 쪽에
건의를 하셔도 충분히 좋지 않을까 합니다.

KLDP에 많은 전문가 분들이 계시긴 하오나, 어떤 영향력을 행사하기에는
어쩔 수 없이 역부족이 아닐까 하는 두려움이 드네요.

또한가지 걱정스러운 부분은, 이런 인프라가 또다른 형태의 '한국화' 가 되지는 않을까
하는 점입니다...
( 특히 키보드보안 프로그램은 다양한 플랫폼을 생각할 때.. )

이상하게 저는 부정적인 의견만 올리는 것 같아서 죄송한 맘입니다..

어떻게든 launch만 된다면, 저도 참여할 수 있는 기회가 있다면 좋겠다는 마음입니다.
미천한 실력으로 뭘 할 수 있겠습니까만은... ToT

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

youknowit의 이미지

말씀하신 대로 한국정보보호산업협회(http://www.kisia.or.kr/)에 가봤습니다. 회원가입부터 시작해서, 게시판 현황까지... 모든 면에서 한국 보안업체들의 수준과 현황이 그냥 드러나는 것 같아서 그냥 왔습니다.

한번 가 보시기 바랍니다. 비밀번호같은 것은 아예 입력할 생각을 마시고... 아니면 그냥 pass 라고만...

http://openweb.or.kr

brucewang의 이미지

교수님의 냉담하신 반응에 대해서는 이해 합니다.

그래도 뭔가를 바꾸시려면 시도해 보시는게 좋지 않을까 생각하구요,

개인적으로 wkpark님께서 정리해 주신, 이전에 논의된 이슈들에 대해서
다른분들도 한번 검토해 주시면 좋겠습니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

mylinux03의 이미지

여러 게임 사이트나 대형 사이트에 보면
체크박스가 보인다 키보드 보안프로그램 설치 유무
방화벽 프로그램 설치 유무

체크박스를 통해서 사용여부 결정..

체크를 하면 사용을 하고, 체크를 해제하면 사용이 중단된다.

하지만 둘다 로그인이 된다. 소비자 관점을 생각해서..

은행 사이트도 이런 로직으로 구연된다면..

hdkim의 이미지

자진삭제합니다.

kyiimn의 이미지

하고자 하는 말의 의미가 전혀 전달이 되지 못하는것 같습니다.
(바로 윗글에 대한 댓글입니다.. ㅠ)

hdkim의 이미지

자진삭제합니다.

youknowit의 이미지

제가 알기로는 이니텍, 소프트포럼, 드림 시큐리티가 "공인인증용" 플러그인을 만들어 장사를 하고 있는데, 혹시 다른 업체들 어디가 있는지 아시는 분은 댓글로 좀 알려주시기 바랍니다.

물론, 법에는 "공인인증용" 가입자 설비(플러그인)은 공인인증기관에 감독관청의 심사를 받아 제공하도록 되어 있습니다만,... 법이야 안지키면 그만이니까(법원도 현재 두번 연달아 그 법은 안지켜도 그만이라는 판결을 했으니) 현재는 이런 사설업체가 "공인인증용" 플러그인 장사로 웹환경을 말아먹고 있는 상황입니다.

channy의 이미지

그렇게 이야기하면 사실 공인 인증 업체도 "사설" 업체에 속하니까 다 거기에 속한다고 볼 수 있습니다.

현재 공인 인증 업체가 사용하고 있는 공인 인증 플러그인의 대부분은 ETRI에서 개발한 연구 프로젝트의 기술 이전 결과물이기 때문에 대부분 한 소스코드에서 유래했다고 볼 수 있는데요. 그 주체가 된 회사들 중에는 펜타 시큐리티, 시큐어소프트, 케이사인 드림시큐리티 시큐아이닷컴 비시큐어 등입니다. 현재는 공인 인증 업체들이 각자 플러그인을 유지 보수하고 있는 걸로 압니다.

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

youknowit의 이미지

공인인증기관은 감독관청의 심사를 받아, 지정됩니다. 이 관문을 통과하지 않으면 "공인인증기관"이라고 표시하지 못하므로 엄청난 진입장벽이 있는 셈입니다.

그리고, 공인인증업무는 공인인증기관이 감독관청(행안부)의 심사를 받은 소프트웨어로만 하도록 규정되어 있습니다.

사설보안업체가 은행 등에 판매하는 PKI client 는 행안부의 심사를 받은 적은 없지요. 실제로도 규격들이 조금씩 다르고, 사설업체의 루트인증서 등이 마구 심어져 있습니다. 심사를 받은 PKI client 에는 이런 일이 생길 수 없습니다.

mylinux03의 이미지

증권 회사의 경우는 (주)코스콤 공인인증센터(http://www.signkorea.com)
대표 회사라고 보면 됩니다.

IsExist의 이미지

http://www.kecs.go.kr/ 에 가시면 검증필제품에서 제품군 PKI 로 검색하시면
됩니다. 물론 저기 없으나 제품을 판매하는 업체도 있겠지만요.

---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

youknowit의 이미지

대부분의 업체 관계자들이 오해하고 있는 내용입니다만...

국정원 보안성 심의는 공공기관에 도입되는 암호화 모듈에 대한 심의입니다.

공인인증업무에 사용되는 소프트웨어에 대한 심사는 전혀 다릅니다. 행안부가 심사하고, 현재 5개 공인인증기관만이 그 가입자 설비에 대한 행안부 심사를 통과했습니다. 국정원은 전자서명/공인인증 소프트웨어에 대한 심사를 수행할 전문성도, 권한도 없습니다.

은행이 마구 사용하는 PKI client 는 사설인증업무에 사용될 수는 있지만, 공인인증업무에 사용될 수는 없습니다.

wkpark의 이미지

리눅스 "키보드 보안" 배포 http://kldp.org/node/94282

리눅스, 키보드보안: http://kldp.org/node/75119

농협리눅스뱅킹 http://kldp.org/node/60692

전자서명 자바 애플릿 http://kldp.org/node/80345

온갖 참된 삶은 만남이다 --Martin Buber

cjh의 이미지

문제는 일반 사용자들은 이런 기술적인 사항에 대해 무지하므로 최대한 간단한 방법을 알려주어야 한다는 거죠.
exe 다운받고 설치하는 법 모르는 사람도 많고요, 그래서 YES/NO만 알면 되는 ActiveX설치가 통용되는 것입니다.

여러가지 솔루션 중 하나를 사용자가 선택하고... 이런건 Windows XP/Vista의 미디어플레이어에 끼워팔기건의
결과와 같은 공정성 보장 방법이라는 건데 실제 Windows XP/Vista KN의 판매량이나 사용자가 일일이 골라야
하는 불편을 생각할 때 이건 기계적인 공정성 보장일 뿐 사용자에게는 아무런 득이 안됩니다.

그냥 HTTPS 정도만 (인터넷 통신에 일정수준 이상의 암호화 프로토콜을 사용한다..) 강제하고 나머지는
일본이나 미국의 인터넷뱅킹 방식을 권장하는게 맞지 않을까 합니다. 본인확인도 개인 실 이미지나 OTP장치
보급 등의 간단하고 브라우저 종속적이지 않은 방법도 많이 있고요.

말씀하신 방법은 스마트폰에서 또한 많은 문제를 일으키며(PKI client 설치 이슈 등) 다양한 OS환경에
맞지 않습니다. PKI Plugin for iphone/ipod touch/Windows Mobile 6.0/Blackberry
이런걸 깔아야 한다면 저는 사양하겠습니다 -_-

--
익스펙토 페트로눔

--
익스펙토 페트로눔

youknowit의 이미지

"YES/NO만 알면 되는 ActiveX설치"라는 부분은 MS IE 7.0 이후부터는 더이상 근거가 없게 되어 버린 발상이 아닐까요?

웹브라우저 상단에 노란 줄이 나타났는지조차 모르고 헤매는 이용자가 오히려 더 많다고 저는 생각합니다. 단순히 내려받기 링크를 제공하면, 링크 클릭한번(이용자는 자기가 왜 그 링크를 클릭하는지를 알고 클릭하게 됩니다), 실행/저장을 선택하는 창에서 "실행" 클릭 한번이면 모두 해결되지 않을까요? 저는 내려받기 링크를 제공하는 방법으로 프로그램을 배포하는 것이 안전할 뿐 아니라, 더 간편하고, 컴퓨터 운용지식이 부족한 분들에게도 오히려 더 간편하다고 생각합니다만...

cjh의 이미지

> 실행/저장을 선택하는 창에서 "실행" 클릭 한번이면 모두 해결되지 않을까요?

이게 잘 안되는것 같더군요. :) 게다가 요즘 은행용 activex는 멋대로 IE설정을 바꾸어서
신뢰하는 사이트에 추가하는 등으로 경고창을 피하고 있습니다. 안쓰는게 제일 좋을 뿐이지요.

--
익스펙토 페트로눔

--
익스펙토 페트로눔

brucewang의 이미지

저는 cjh님의 글에 "AciveX만의 문제 범위를 벗어난 보다 포괄적인 대안"이
함축되어 있는것으로 생각하고 있습니다.

저도 첫 댓글에서 키보드보안 프로그램에 대해 다소 부정적인 생각을 말씀드렸는데,
wkpark 님이 제공해주신 그동안의 논의에서도 엿보이는 것 처럼,
다양한 환경등을 고려할 때 플랫폼 종속적인 기술과, 복소개의 부속 프로그램 설치를
되도록 자제하고 브라우저 자체에서 제공하는 표준기술에 한정된 방법으로도
대안은 있지 않을까 생각합니다.

일례로, OTP 같은 경우 별도의 OTP장치가 제공되고 이 otp정보를 단순히 입력해 주면 되므로
여러 플랫폼에서도 무리 없이 작동할 수 있겠죠.( http://kldp.org/node/102693#comment-475601 )

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

cwryu의 이미지

각 플랫폼마다 구현해야 하는 기능이 거래 내역 서명이라는 기능인데요.

부인 방지인데, 이게 현재 브라우저에 없는 이유는 필요가 없어서가 아닐까요? 이건 고객 입장에서 보안과 관계없는 기능이고 단지 책임을 떠넘기기 위한 시스템인데 그냥 안 쓰면 되는 겁니다. 고객이 ATM을 사용했으면 고객이 은행에서 명세서를 받아야지, 왜 고객이 거래할 때마다 은행에 거래 증빙 서류를 제출해야 하는지 모르겠습니다.

channy의 이미지

거래 내역 서명과 부인 방지는 우리가 창구에서 출금 명세서를 제출하고 서명 날인하는 것이랑 똑같습니다. 문제는 이게 과거의 사설 인증 처럼 은행별 인증 수단을 이용하면 되는데 공인 인증이라는 영역을 사용하고 있다는 게 문제라면 문제입니다.

따라서 금융 거래에서 공인 인증을 해제하고 은행별로 별도 인증 수단을 쓰라고 하면 더 간단히 풀리는 문제입니다. 그러면 개중에는 https로만 인증하는 은행이 나올 거고 그러면 비 IE 유저면 그 은행만 쓰면 되는 거죠. ㅎㅎ

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

youknowit의 이미지

좋은 지적 감사합니다. 본문에 반영하였습니다.

전자서명법 자체는 공인전자서명을 이용하라, 말라는 말이 전혀 없습니다.
전자금융거래법에도 그런말은 없습니다. 시행령에도 없습니다.

난데 없이 금감원 고시에 "공인인증서를 사용하여야 한다"는 괴상한 조항이 들어가 있습니다. 물론, 이 조항을 고치지 않고도 합리적으로 운용할 수는 있습니다(이 조항은 기술적 무지를 적나라하게 드러내는 것이긴 하지만). "공인인증서를 사용하라"고 규정되어 있으므로, 서버ssl 인증서에 공인인증서를 사용하고, https 접속을 하면, 그것 역시 "전자금융거래에 공인인증서를 사용"하는 것이지요.

인증서는 https 접속에 사용될 수도 있고(ssl 인증서), 전자서명에 사용될 수도 있는데(서명/부인방지 용도 인증서), 규정은 "전자서명을 사용하라"고 되어 있는 것이 아니라, "공인인증서를 사용하라"고만 되어 있습니다. 물론, 실제로는 이 말을 모두 "전자서명을 사용하라"는 뜻으로 받아들여 왔지만...

keinus의 이미지

현재 나와있는 거의 모든 플랫폼을 지원하고, 웹에서 모든 것이 가능해야하는 클라이언트들을 만족시키며, 손해보기 싫어하는 은행을 만족시키는 방법은

클라이언트 보안에 대한 모든 책임을 고객에게 전가하며,
은행은 서버측 보안과 클라이언트/서버 간의 통신에 대한 암호화만을 책임지도록 하는 방법이 가장 나을듯 합니다.

activex나 java sa나 똑같은거고,
flex나 flash, silverlight 또한 또하나의 activex나 마찬가지인지라..

웹 표준만을 사용하여 페이지를 구성하면 됩니다. 임베디드 브라우저도 unsettled standard 이외의 표준은 엔간한건 다 지원합니다.
https로 클라이언트-서버간 통신 보안을 해결하면 되고요. 나머지는 서버측 영역이니 신경 끌 수 있습니다.

다만, 국내에서는 이렇게 했다가는 난리나겠지요.

Hyun의 이미지

Quote:
다만, 국내에서는 이렇게 했다가는 난리나겠지요.

흠. 전 충분히 가능하다고 생각합니다. 은행에서 사용자에게 올바른 사용법을 홍보하고 보안에 대한 설명을 충분히 한다면 되는것 아닌가요?
외국에서는 되는데, 우리나라는 특수한 상황이어서 안된다, 이런 주장은 왠지 설득력이 없어보입니다. 다만 바꾸기 싫고 하기 싫을 뿐인거죠.
나도 세벌식을 씁니다

나도 세벌식을 씁니다
snowall의 이미지

바꾸는건 미래의 문제고...

"현재 상황"에서는 난리가 날 것 같습니다.

물론 그런 상황을 바꿀 수 없다고 생각하는건 아닙니다.
--------------------------
snowall의 블로그입니다.
http://snowall.tistory.com

피할 수 있을때 즐겨라! http://melotopia.net/b

keinus의 이미지

제가 저 말을 쓴 것은 국내 사용자의 무지에 기인합니다.
개인 클라이언트 보안을 신경쓰는 국내 사용자는 소수입니다.
알약이 유행하고 v3 lite가 유행해도 그게 뭔지도 모르고 안 쓰시는 분들이 인터넷 뱅킹은 곧 잘 사용하는 것을 보아왔기 때문에 쓴 것이죠. 더군다나 알약이나 v3 lite는 초보적인 키스트로킹 방지와 방화벽마저 제공하지 않습니다.(방화벽의 경우 xp sp3라도 아웃바운드는 블럭킹하지 못 합니다.)
이 경우 클라이언트 해킹으로 피해를 입은 사용자층에서 어떻게 나올지는 뻔하지요.
옛날로 되돌려라. 보안을 제공해라. 은행이 책임져라.

제일 무서운게 되던게 안되는거지요.

unipro의 이미지

요즘의 스마트폰이나 IPTV와 같은 단말기들은 우리가 쓰는 컴퓨터처럼 OS가 들어가고 브라우저가 뜨고 있습니다. 이 환경에서 현재의 정책(PKI Client와 그들의 교신 암호화, 키보드 보안 플러그인만 의무)을 고수한다면, 참으로 복잡할 것 같습니다. "다양한 하드웨어 X 다양한 운영체제 X 다양한 브라우저"를 지원하려면 환장할 노릇이 되겠군요. 또한 암호화/복호화 연산을 처리하는 칩을 내장한 경우에는 이를 활용하기 어려울 것 같습니다.

따라서 이 정책은 윈도우즈가 깔린 데스크탑 컴퓨터 이외의 시장에서 전자상거래를 위축시키리라 봅니다. 이는 전자상거래법의 취지와 반대되는 결과를 가져옵니다.

제 생각은 cjh님이 말씀대로 "인터넷 통신에 일정수준 이상의 암호화 프로토콜을 사용한다"만 강제하고 나머지는 자율적으로 하는 것입니다. 예를들어, HTTPS는 이 조건에 부합함으로 은행에서 이를 도입할 수 있습니다. 그리고 키보드 보안의 탑재 의무 대신에 권장 정도로 변경합니다.

만약에 단말장비에서만 cjh님 생각을 예외적으로 인정한다면, 요즘의 단말장비는 컴퓨터와 거의 유사하기 때문에, 데스크탑 컴퓨터에서의 현재 정책을 고수하려는 그들의 명분이 약해질 것입니다. 그렇다면 이것을 계기로 모든 전자상거래에서 정책의 변경을 요구할 수 있는 근거가 될 것이라 생각합니다.

그런데, 한가지 염려가 되는 것은, 전자상거래가 위축이 될지언정, 이들 업체는 자신의 제품을 단말기에 포팅하고 판매하는 또하나의 소득원이 되기 때문에, 어떤 단체랑 또 짝짝꿍하여 계속 이대로 밀고 나가는 것 입니다. 상당히 가능한 시나리오 입니다. 아~ 젠장~~~
----
내 블로그: http://unipro.tistory.com

내 블로그: http://unipro.tistory.com

unipro의 이미지

그리고, 김기창 교수님 수고가 많으셨는데 패소하여서 상심이 크시겠어요.
이것만 생각하면 이가 부득부득 갈립니다.
어찌되었든 교수님의 노고에 감사드려요.
세부사항에서는 의견차이가 있을 수는 있겠지만 목표에 대해서는 100%는 지지합니다.
----
내 블로그: http://unipro.tistory.com

내 블로그: http://unipro.tistory.com

xbroyw의 이미지

Quote:
그러나, 공무원의 무능과 과점 사업자의 횡포를 한탄만하고 무기력감에 빠져 있을 것이 아니라, 뚜렷한 기술적 논거로 뒷받침된 합리적 정책 대안을 명시적, 구체적으로 제시, 설명하고, 이것을 관철하도록 노력하는 것이 어느 때 보다도 필요한 시점이라고 생각합니다.

Quote:
따라서 "전자금융거래에서의 공인인증/보안프로그램 설계 및 운용 원칙"을 수립 하는 과제를 KLDP에서 공개적으로 수행할 것을 제안드립니다. 공개 프로젝트는 프로그램 소스 개발만을 대상으로 하는 것은 아닐 것입니다. 서비스 설계의 추상적 골격이나, 설계의 기본 가치 등도 공개적 논의와 검토를 거쳐서 개발, 제시되는 것이 바람직하지 않을까 생각합니다.

이것과 더불어 과기부/학진... 과제로 만드는 것도 생각해보심이 어떨지요?
실전웹표준가이드를 만드신 분들을 참여 기업으로 동참을 유도하는 것도 가능하지 않을까요?
하긴 과제 선정에서 떨어지면 시간만 보낼 수 있겠네요.
웹에 종사하시는 분들에게 이런 표준을 만드는 싸움이 정말 필요한지 혹은
어떤 생각을 가지고 있는지도 궁금해지네요.

역시 로또로 한건해서 우리나라 전산사업분야에 일조해야 되겠군요.

-------
good job :)
-------

soungno의 이미지

현재 말씀 하신 전자 인증 제도 및 키보드 보안 프로그램을 활용한 보안 확보 자체는 보안 문제 해결에 필요한 기술이라고 보지 않습니다.
전자 서명이 정상적으로 발생 하여다고 하여 거래 자체가 정상적이라고 생각하는 것 자체가 컴퓨터 환경과 네트워크 환경에 대한 이해 부족 때문에 발생 했다고 생각 합니다.
전자 서명과 웹사이트 로그인이 뭔 차이가 있습니까?
전자 서명은 다만 데이터의 변조로 데이터에 대한 확인이 조금더 어렵다는것 말고는 웹사이트 로그인과 어떤 차이가 있을까요
그럼 웹사이트에서 홍길동씨가 사용하는 a라는 ID로 누군가가 로그인 하였다고 해서 a라는 ID를 사용하는 사람이 홍길동씨라고 단정하할수 있을까요?
만찬가지로 전자 서명이 일어나서 불법적이고 부당한 거래가 아니라는것을 어떻게 증명할 수 있을까요?
참 웃기는 이야기 입니다. 데이터를 변조 해서 우리만 풀수 있으니 나머지는 모두 사용자의 책임이라는 이상한 논리 입니다.
변조된 데이터는 다시 복화 될 수 있습니다. 복화 방법을 모른다 하더라도 얼마의 노력만 있으면 어떤 변조 데이터도 복화 할수 있습니다.
그런데 그런 취약점은 눈가리고 데이터 변조에만 매달려 안전하니 보안이니 하는것을 보면 참 소프트웨어 개발 종사자로서 부끄럽습니다.
또한 키보드 보안 프로그램 더 더욱 과관 입니다.
컴퓨터 보안이라면 첫번째가 이상감지 및 모니터링 기술의 받침으로 보안상의 문제가 발생했을때 신속하고 자동적으로 대처 해야 하는 것 일 겁니다.
하지만 키보드 보안 이라는 이상한 보안 기술들은 단순히 데이터의 변조와 데이터 생성을 통해 데이터가 해석 불가능 하다는 가정 하에 만들어진 어이 없는 기술이라는 겁니다.
엔진없는 껍떼기만 있는 차라고 생각 할 수 있습니다.
외국의 금융기관 등에서는 전자 거래를 할때 거래 패턴 분석과 거래 내역을 분석하여 혹시 불법성과 정상적 거래로서 이상한 점이 있는지에 대한 이상감지를 바탕으로 작동하고 있는 것으로 알고 있습니다.
그리고 이상 거래 발견시 즉시 대응할 수 있는 시스템의 구축으로 혹시 모를 악의 적인 거래에 대해서 개인의 자산과 기업의 자산도 상호 보호 되도록 하고 있습니다.
이런 것을 비춰 볼때 국내에서 접근하고 있는 전자인증과 키보드보안이라는 이상한 이름의 보안 형식들은 실제 컴퓨터를 이용한 거래 또는 전자적 보안에 아무런 보안상의 이득을 주지 못하고 있습니다.
오히러 데이터적 변조기술은 HTTPS 같은 널리 사용되고 있는 기술이 사용하기도 편하고 안전하지 않을까 생각 합니다.
이런 사항으로 비춰 볼때 전자 인증서 와 키보드 보안 과 유사한 프로그램에 대해서 논의 하는것은 또 다시 진정한 보안에 대한 논점을 흐려 국내의 보안 관련 분야의 퇴보를 더욱 진전 시키는 역활을 할것 입니다.
모든 논의는 처음 부터 다시 해야 합니다.
벌써 국내의 보안 기술은 다른 선진국에 비해 비교도 못할 정도로 격차가 벌어져 있습니다.
아마존에서 카드 결재후 물품을 구매 해보십시오. 단순함에 놀라고 속도에 놀라고 안전함에 놀랍니다.
이왕 문제를 인지하고 해결할려는 노력을 시작한다면 근본적 문제 즉 보안에 대한 오해로 불러온 보안에 대한 인식의 변화 부터 시작해야 하지 않을까 생각 합니다.

잘 가야지.

youknowit의 이미지

저도 공감합니다.

국내 보안업체들의 사악한 영업수법은 정말 그 심각성이 도를 넘었습니다. "보안경고창이 나타나면 반드시 '예'를 누르기 바랍니다" !!! 사기꾼이 아니고서야 어찌 이런 권유를 할 수가 있습니까?

http://openweb.or.kr

soungno의 이미지

교수님 같이 세상을 바르게 보시는 분과 속시원하게 논의를 할 수 있다는 것이 앞으로의 즐거움 이겠습니다.
미약하지만 열심히 참여하고 응원 해드리겠습니다.

잘 가야지.

shell9의 이미지


현재 말씀 하신 전자 인증 제도 및 키보드 보안 프로그램을 활용한 보안 확보 자체는 보안 문제 해결에 필요한 기술이라고 보지 않습니다.
전자 서명이 정상적으로 발생 하여다고 하여 거래 자체가 정상적이라고 생각하는 것 자체가 컴퓨터 환경과 네트워크 환경에 대한 이해 부족 때문에 발생 했다고 생각 합니다.
-> 무결성과 기밀성을 보장합니다. 키보드는 이용자의 입력값을 보호하기 위한 강화 수단이지 완벽한 보안 문제를 해결하기 위한 방안이 아닙니다. 전자서명의 경우 이용자의 신분을 증명하는 유일한 수단이지요. (I-Pin 이라는것도 있지요?)

전자 서명과 웹사이트 로그인이 뭔 차이가 있습니까?
전자 서명은 다만 데이터의 변조로 데이터에 대한 확인이 조금더 어렵다는것 말고는 웹사이트 로그인과 어떤 차이가 있을까요
그럼 웹사이트에서 홍길동씨가 사용하는 a라는 ID로 누군가가 로그인 하였다고 해서 a라는 ID를 사용하는 사람이 홍길동씨라고 단정하할수 있을까요?
-> 당연히 다릅니다. 전자서명의 경우 공증된 암호화 알고리즘과 국가기관에서 한 개인의 신분을 전자적인 방법을 이용하여 공식적?으로 인정을 해주는 것이죠. 웹사이트 로그인이요? 웹 사이트 관리자가 이나라 주인인가요? 언제부터 웹 사이트 관리자의 권한이 이렇게 높았나요? 네이버에서 전자서명에 대한 개념을 보신다면 쉽게 이해가능하십니다.

만찬가지로 전자 서명이 일어나서 불법적이고 부당한 거래가 아니라는것을 어떻게 증명할 수 있을까요?
-> 전자서명은 부당한 거래를 담당하는 역할이 아니고, 최소 전자거래를 위해 이용자 신분을 보장하자는 것이지요. 그리고 이걸 제도화 한것이구요.

참 웃기는 이야기 입니다. 데이터를 변조 해서 우리만 풀수 있으니 나머지는 모두 사용자의 책임이라는 이상한 논리 입니다.
변조된 데이터는 다시 복화 될 수 있습니다. 복화 방법을 모른다 하더라도 얼마의 노력만 있으면 어떤 변조 데이터도 복화 할수 있습니다.
-> 음...공인인증서 비밀번호를 안다면 당연히 복호화 되겠죠. 그렇지 않고 님께서 말씀하시는 얼마의 노력만으로는 복호화는 굉장히 어렵습니다. 이것은 수학적으로도 충분히 증명이 된이죠. 슈퍼컴텨라도 몇대 가지고 계신가요?

그런데 그런 취약점은 눈가리고 데이터 변조에만 매달려 안전하니 보안이니 하는것을 보면 참 소프트웨어 개발 종사자로서 부끄럽습니다.
-> 글쎄요...무엇이 눈가리고 아웅인지....이유없는 비약은 좀....

또한 키보드 보안 프로그램 더 더욱 과관 입니다.
컴퓨터 보안이라면 첫번째가 이상감지 및 모니터링 기술의 받침으로 보안상의 문제가 발생했을때 신속하고 자동적으로 대처 해야 하는 것 일 겁니다.
하지만 키보드 보안 이라는 이상한 보안 기술들은 단순히 데이터의 변조와 데이터 생성을 통해 데이터가 해석 불가능 하다는 가정 하에 만들어진 어이 없는 기술이라는 겁니다. 엔진없는 껍떼기만 있는 차라고 생각 할 수 있습니다.
->-_-a 목적을 정확히 알고 계신건지 모르겠네요. 키보드보안프로그램은 이용자PC에서 입력되는 중요 데이터가 절취되는 것이 불가능하도록 하는 기술입니다. 그 이상도 그 이하도 아닙니다.

외국의 금융기관 등에서는 전자 거래를 할때 거래 패턴 분석과 거래 내역을 분석하여 혹시 불법성과 정상적 거래로서 이상한 점이 있는지에 대한 이상감지를 바탕으로 작동하고 있는 것으로 알고 있습니다.
그리고 이상 거래 발견시 즉시 대응할 수 있는 시스템의 구축으로 혹시 모를 악의 적인 거래에 대해서 개인의 자산과 기업의 자산도 상호 보호 되도록 하고 있습니다.
-> 국외에서 피싱사이트 및 피싱메일이 왜 이렇게 많은지 아시는지요. replay attack, MITM 등등등과 같은 기법에 의해 쉽게 해킹됩니다.

이런 것을 비춰 볼때 국내에서 접근하고 있는 전자인증과 키보드보안이라는 이상한 이름의 보안 형식들은 실제 컴퓨터를 이용한 거래 또는 전자적 보안에 아무런 보안상의 이득을 주지 못하고 있습니다.
-> 이득을 줍니다. 적어도 한 개인의 정보를 해킹하기 위해서는 전자인증서를 훔칠수 있는 백도어 프로그램과 키보드보안프로그램을 무력화 할 수 있는 2가지 기술이 접목되어야 하겠지요. 님께서 구상하시는 로직으로 구현된다면 단 한줄의 메일이나 게시판등으로 부터 해킹이 가능합니다.

오히러 데이터적 변조기술은 HTTPS 같은 널리 사용되고 있는 기술이 사용하기도 편하고 안전하지 않을까 생각 합니다.
-> 이미 수년전부터 SSL 해킹에 취약하도 보고 되고 있습니다.........

이런 사항으로 비춰 볼때 전자 인증서 와 키보드 보안 과 유사한 프로그램에 대해서 논의 하는것은 또 다시 진정한 보안에 대한 논점을 흐려 국내의 보안 관련 분야의 퇴보를 더욱 진전 시키는 역활을 할것 입니다.
모든 논의는 처음 부터 다시 해야 합니다.
벌써 국내의 보안 기술은 다른 선진국에 비해 비교도 못할 정도로 격차가 벌어져 있습니다.
-> 무슨 말씀 하시는지요. 정말 어디서 그런 자료를 찾아서 보시는지 이해가 가질 않는군요...보안분야가 굉장히 많은데 말이죠...

아마존에서 카드 결재후 물품을 구매 해보십시오. 단순함에 놀라고 속도에 놀라고 안전함에 놀랍니다.
-> 신용카드 도용에 따른 해킹사고.........정말 굉장히 많습니다. 내 카드에서 내가 쓰지도 않은 돈이 나가면 눈 돌아갑니다. @_@

이왕 문제를 인지하고 해결할려는 노력을 시작한다면 근본적 문제 즉 보안에 대한 오해로 불러온 보안에 대한 인식의 변화 부터 시작해야 하지 않을까 생각 합니다.
-> 현재 문제가 없다는건 아닌거 같습니다. 당연히 문제가 있는것은 수정이 되어야 하는것은 맞지만, 정확한 내용과 기술이 접목되었을때 보다 정확하고 다양한 대응이 될 것으로 판단되는군요.

channy의 이미지

문장 하나 하나 꼬투리를 잡고 계신데 보니 정리가 안되시나 봅니다.

공인 인증의 "전자 서명은 결국 "부인 방지"를 위해 있는 겁니다.(무결성이나 기밀성은 다른 방식으로도 가능함) 어떤 거래에 대해 부인 방지를 위해 인증서로 서명을 하도록 하는 건데요. 현재 이 기능이 브라우저에 없기 때문에 (90년대 중반에 있었지만 지금은 다 Deprecation 됐음) ActiveX를 쓰게 된 가장 큰 원인이 된 것입니다. 이 방식은 90년대 PKI 이상론자들이 만든 일종의 미신 같은 거라고 생각합니다.(지금 전자 금융 거래에서 이 방식을 쓰는 나라는 한국을 제외하고 거의(한 두나라) 없으니까요.)

부인 방지를 하는 방법은 기술이 아니라 그냥 정책에 따라 다를 수 있습니다. OTP키로 할 수도 있고, 암호를 한번더 넣을 수도 있고요. 꼭 PKI 기반 인증서로 서명해서 암호화해서 보내야만 한다는 건 미신이고 그건 PKI 업자들이 전자서명법을 만들때 로비를 해서 그런거구요. 당시 은행의 경우, 사설 인증을 하고 있었고 그런 부인 방지는 은행에서 자체적으로 정할 수 있습니다. 창구에 가서 예금을 인출할 때 출금 서명하는 양식이 은행마다 다르잖아요? 꼭 그걸 같이 써라고 할 수는 없죠.

또한, 전자서명을 제도화 하기 위해 어떤 걸 Trade-off 했는지 한번 생각해 보아야 합니다. 국내에 사용자 PC에 ActiveX가 쉽게 깔리도록 되었고 이로 인해 다양한 보안 이슈가 생겨났습니다. 이로 인해 키보드 보안, 키로거 방지, 백신 등 다양한 보안 SW들이 역시 Active X로 깔리게 되었습니다. 사용자에게 보안을 해제 시키면서 책임이 전가 되게 되었습니다.

이에 비해 해외에서는 "피싱"이나 "사기 메일"이 사용자 공격의 전형입니다. 생각해 보세요. "키로거"가 쉬울까요? "피싱" 쉬울까요. 해커 입장에서는 키로거가 쉽게 깔릴 수 있다면 이게 더 쉽습니다. 중국 해커들이 키로거를 만들어 국내 사이트를 해킹해서 심어 두어 NC소프트나 포털 사이트 계정 정보를 훔쳐가는게 더 쉬운 건 우리 나라 지금 실정이 그렇기 때문입니다. 게시판 읽다가도 보안 경고창 뜨면 그냥 "예"를 누르는게 우리 나라 행태니까요.

하지만 해외에서는 이런 설치형 프로그램들이 쉽게 깔리지 않습니다. 사용자의 PC 사용 행태 - PC를 관리자로 이용 안함. 백신을 항상 사용함. ActiveX 같은 온라인 설치 프로그램이 보안에 위협을 준다는 것을 인지함 - 가 막아 주고 있기 때문입니다.

피싱은 사회 공학적 해킹 방식으로 이로 인한 피해는 윗분 말씀 하신 대로 "외국의 금융기관 등에서는 전자 거래를 할때 거래 패턴 분석과 거래 내역을 분석하여 혹시 불법성과 정상적 거래로서 이상한 점이 있는지에 대한 이상감지를 바탕으로 작동"하고 있습니다. 우리 나라는 사용자들이 공인 인증 거래라는 하나를 위해 수 많은 개인 정보가 쉽게 노출될 수 있는 PC 환경이 만들어져 있는 반면 해외에서는 책임감 있는 한 두개 기관에 의해 전체 사용자 보안이 제어될 수 있다는 것이 차이점입니다.

물론 피싱 피해가 많습니다만 이걸 미리 인지하기 위한 시스템이 만만치 않습니다. 예전에 제가 베리사인의 신용카드 시스템의 Fraud Detection에 대해 FBI와 공조하고 있는 사례 발표를 들은적이 있는데요. shell9님이 상상하기도 힘든 복잡한 디텍션 시스템이 움직입니다. 아마존을 비롯한 해외 온라인 쇼핑몰의 모든 신용카드 거래는 모두 그런 백엔드 밑에서 움직입니다.

그런데 우리나라 국정원에서 고작 한다는 일은 사용자의 PC를 보안 해제 시키고, 무조건 "예"를 눌러 activex가 무차별로 깔리도록 국민들의 보안 인식을 개판으로 만들고 고작 한다는게 또다른 해킹툴을 사용자 pc에 깔아서 막아보자 하는 것입니다. 이게 제대로 머리 막힌 보안 전문가들이 할 짓입니까? 현실적으로 어쩔수 없다가 아니라 그냥 근본적인걸 한번 생각해 보세요. 그러면 답이 보이는 겁니다.

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

brucewang의 이미지

물론 channy 님이 잘 핵심을 잘 정리/지적 해 주신 것이지만,
shell9 님 내용과 같은 지적도 누군가는 반드시 해주셨어야 합니다.

저도 잠시 shell9님이 댓글 다신 원글을 보고는
기술에 대한 잘못된 이해로 자칫 엉뚱한 여론조성이 일어날 수 있겠다는
두려운 생각이 들었습니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

youknowit의 이미지

shell9/
말씀하신대로, 전자서명은 거래당사자의 본인확인과 거래내역의 부인방지에 사용되는 기술입니다. 그러나, 이 기술은 보안접속과는 무관합니다. 한국을 제외한 전세계의 모든 전문가들이 이점은 당연히 알고 있고, 우리 전자서명법도 보안접속에 관한 내용은 전혀 없을 뿐 아니라, KISA역시 보안접속 문제는 (공인) 인증/전자서명과는 무관하다는 점을 거듭 확인하고 있습니다.

세계적 기술경향은, PKI client 는 순수히 전자서명 기능만을 구현하고, 보안접속은 ssl/tls 로 구현합니다. 한국에서는 90년대 후반의 특수한 사정(ssl 이 저급한 수준에서만 가능했던 상황) 하에서 개발된 "전자서명/보안접속 통합 plugin"이라는 10년 전 기술이 아직까지 사용되는 무모함/안일함/기술후진성이 판을 치고 있다는 것이 문제의 핵심입니다.

이론의 여지 없이 당연히, 당장 시정되어야 할 사항은, 전자서명이 필요 없고 보안접속만 필요한 서비스에서도 '전자서명/보안접속 통합 plugin'를 마구 들이대는 한국의 기술 관행입니다. 이것은 한마디로 미친 짓입니다.

ssl/tls 가 "해킹에 취약하다"는 선생님의 견해는 국내 보안업체들이 퍼뜨리고 다니는 거짓말의 재탕입니다. ssl/tls는 전세계의 무수한 이용과 검증을 통하여 그 안전성이 확인된 방법이며, 현재로서는 최선의 보안접속 해법입니다. 오히려 한국에서만 사용하는 '통합 plugin'이 과연 어떤 방식으로 shared key 를 서버와 클라이언트 간에 전달하는지에 대해서는 documentation 조차 없습니다. 즉, 아무도 그 각 step의 구체적 단계에서 있을지 모를 보안위험을 객관적으로 검증해 볼 기회조차 없는 매우 위험한 해법입니다. 보안 소프트웨어는 공개적 검증이 가능해야 안전하다는 점은 전세계의 보안전문가들이 모두 동의합니다(국내 보안업체들과 국정원 보안인증사무국 관계자만이 "technical specs 이 공개되면 위험하다"는 황당하고, 미개한 오해/거짓말을 하고 있을 뿐입니다).

(공인)인증서(user certificate)가 "보안에 도움이 된다"는 선생님의 견해는 "전자서명/보안접속 통합 plugin"을 계속 팔아먹으려는 보안업체의 사기성 영업전략의 재방송일 뿐입니다. 보안은 server certificate 으로 구현되는 ssl/tls 로 이루어지는 것이 최선의 해법입니다.

이용자 인증서(user certificate)가 수행하는 신원확인/부인방지 기능은 보안에 관련된 이슈라기보다는 법률적 이슈입니다. 전자거래와 관련된 분쟁이 발생했을 때, 일방당사자(고객)는 그 거래가 자신이 수행한 거래가 아니라거나, 자신이 수행한 거래와는 내용이 다르다고 주장하고, 상대방 당사자(서버)는 그 주장을 다투는 상황에서 동원되는 것이 전자서명입니다. 이때 서버가 자기 주장을 뒷받침할 용도로 법원에 제시할 수 있는 것이 바로 전자서명 데이터입니다.

물론, 이 서명데이터가 오로지 서버가 자체적으로 마련한, 그 내막을 법원도 알 수 없고, 감독관청도 알 수 없고, 상대방 당사자도 알 수 없는 私製소프트웨어로 생성시킨 데이터라면, 그 데이터는 증명력이 없습니다. 이러한 서명데이터는 "공인전자서명 외의 전자서명"으로 우리 법은 규정하고, 일방이 그 효력을 부인하면 서명/날인으로서의 효력이 없습니다.

공인인증서(와 쌍을 이루는 개인키)가 사용되기만 하면, 어떤 소프트웨어로 만들어 내더라도 무조건 공인전자서명이 되는 것은 아닙니다. 거래의 당사자들로부터 중립적 지위에 있는 공인인증기관이 감독관청의 심사를 받고 제공하는 공인 가입자 설비(accredited client software)로 생성시킨 서명데이터가 "공인전자서명"입니다.

은행이 제 멋대로 제공하는 私製소프트웨어가 난무하는 현 사태는 시정되어야 합니다.

현재 법제를 전제로 수용할 경우에도, 사태를 교정하는 방법은 간단합니다. i) 순수히 인증/서명 관련 기능만을 가진 공인가입자 설비를 공인인증기관이 일괄 제공하고, ii) 보안접속은 ssl/tls 로 구현하고, iii) 나머지 잡다한 쓰레기 '보안프로그램'을 자기 컴퓨터에 설치할지는 순전히 이용자의 자유로운 판단과 선택에 맡기면 됩니다.

국내 보안 시장을 과점하는 부도덕한 업체들이 법과 기술과 상식과 양심을 모두 팽겨치고 공무원과 은행을 꼬드겨 온 국민을 골병들게 만든 것입니다.

http://openweb.or.kr

byjjoon의 이미지

모든 보안전문가 및 보안업체가 사기성 영업전략과 같은 거짓말은 하지 않습니다.
조금 릴렉스 하고 견해차이를 좁혀보는건 어떨까 생각이 듭니다.

보안을 전문으로 연구하는 분들이 취약하다고 하는데는 그만한 이유가 있지 않겠습니까?

youknowit의 이미지

"보안 전문가"니까 무조건 믿으라...

그 결과 지금과 같은 사태가 왔다고 저는 생각합니다.

전문지식을 배우려고 "노력"하는 자에게조차 설명하지 못하는 "전문가만의 이유"는 존재하지 않는다고 보아야 하지 않을까요?

http://openweb.or.kr

soungno의 이미지

2003년 도에 RAS 기반의 암호화 모듈을 작성한 적이 있습니다.
매우 단순한 형태의 암호화 키와 복화 키를 생성하고 데이터를 암호화 하여 전송하고 복화 하는 기술이엿는데요
그냥 2주 정도 걸렸습니다.
물론 개인적 연구 과제 정도였어 상용수준은 아니였지만 지금 업체들이 하고 있는 작태는 자전거를 가지고 달나라에 갈수 있다고 사기 치는것이나 매 한가지라는 것 입니다.
부디 교수님은 그런 사기성 같은 논리에 휘둘리지 말기를 바랍니다.

잘 가야지.

brucewang의 이미지

현재의 이슈는 기술 구현의 난이성과는 거리가 먼 것 같습니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

soungno의 이미지

기술적 논쟁을 잠시 말은 한 것은 인증 관련 서비스 제공 업체들의 황당한 과장 광고를 말하기 위 합니다.
기술 구현의 난제를 말 할려고 하는 것은 아니니 오해 마시기 바랍니다.

잘 가야지.

hdkim의 이미지

윗분들이 제시했듯이 기술적인 문제 때문이 아닙니다.

뭔가 방법이 있을 겁니다.
원래 이런 거는 국가가 나서서 해야하는 것인데.
컴퓨터 관련 학과 교수님도 아닌, 법학 교수님이 총대를 메셨군요.

컴퓨터 관련 학과 교수님들도 이러한 일에 대해 많은 관심을 가지셨으면 좋겠네요.
무릇, '지식인'이란 사람들이 사회를 바른 길로 인도해야 되는 것인데...

답답해서 한숨밖에 안나옵니다.

요새 시험 접수를 인터넷으로만 접수받는 곳이 많습니다.
MS윈도우 아니면 시험 접수 조차 불가능합니다.
요새 방문 접수 안 받습니다.
인터넷뱅킹보다도 더 심각한 문제입니다.
만약, 당신이 빈민층이라면 시험 접수가 불가능합니다.
( PC방?? 여러 사람이 사용하는 곳이고 바이러스가 많아서 개인정보 유출 등 보안이 위험하죠. )
( MS윈도우 불법 카피해서 쓰면 된다고요? 돈없는 것도 서러운데 시험접수를 위해 불법복제까지 해야 하는 이 현실, 안타깝습니다. )
이건 인권에 대한 문제까지 확장됩니다. 어떻게 생각하십니까?

법적, 기술적인 면에서만 접근하지 말고,
여러 각도에서 전략적으로 정치적으로 접근합시다.
충분히 사회 이슈화시킬 수 있습니다.
오히려 이것이 더 빠를지도 모릅니다.
그럼 이 일을 누가 하냐고요?
각자 개인들이 관련 기관 및 회사, 국회의원에게 민원 및 고객의견을 제기하면 됩니다.
여건이 되시는 분은 행정소송까지 생각해볼 수도 있습니다.
사회적인 파장이 크겠군요.

mylinux03의 이미지

학교 수강신청에도 액티브 X를 설치하게 만든 학교가 있어요..

Raz의 이미지

저희학교 말씀하시는겁니까. 여기 대전시 유성구 구성동입니다.
----------------------------------------------------
DELL XPS M1530
-Intel(R) Core(TM) 2 Duo Processor T7700
-4GB (2x2G) 667MHz Dual Channel DDR2 SDRAM
-NVIDIA(R) GeForce(R) 8600M GT
http://thegarage.tistory.com

'
----------------------------------------------------
DELL XPS M1530
-Intel(R) Core(TM) 2 Duo Processor T7700
-4GB (2x2G) 667MHz Dual Channel DDR2 SDRAM
-NVIDIA(R) GeForce(R) 8600M GT
http://thegarage.tistory.com

serialx의 이미지

음? 그건 사실이 아닌것으로 알고 있습니다만..

lifthrasiir의 이미지

거기에는 두 종류의 수강신청 방법이 존재하고 그 중 하나는 파이어폭스에서 오히려 더 잘 돕니다...

Hyun의 이미지

우리학교도 그렇습니다. 경북대학교!
원도우 없이는 학교도 못다닙니다!


나도 세벌식을 씁니다

나도 세벌식을 씁니다
soungno의 이미지

개인의 힘으로 실현하기는 다소 무리가 있어 보입니다.
어떤 특정 구성원(가령 전산직) 이 아닌 범사회적 단체가 필요한 시점이라 생각합니다.
1997년 제가 처음으로 인터넷을 접했을때만 해도 인터넷은 공공재 성격이였습니다.
하지만 이제 인터넷은 무분별하게 훼손 당하는 밀림처럼 사유화 되고 있고, 훼손 당하고 있습니다.
결국 우리가 지난 100년 동안 자연에게 한 몹쓸짓을 가상의 공간에도 하고 있는 것입니다.
이런 잘못된 방향을 바로잡기 위해 뜻을 같이하는 단체가 필요 할 것 같습니다.

잘 가야지.

김한성의 이미지

그냥 대세를 따라가는것도 좋을 방법일듯.

mylinux03의 이미지

http://news.joins.com/article/aid/2009/03/28/3344345.html?cloc=olink|article|default

인터넷뱅킹 가입자들 PC 고유번호 ‘MAC 주소’ 몰래 수집해 와
전문가 “고객 동의 안 받아 불법”
은행 “금융사고 대비한 자료 축적”

hdkim의 이미지

자진삭제합니다.

cwryu의 이미지

백신 회사에 이 악성코드를 왜 못 찾아냈는지 항의해야.

brucewang의 이미지

글쎄요, 과연 MAC정보 추출 자체가 악성코드로 분류되어야 할지에 대해선 의문입니다.
더 깊은 의미를 함축하셨을거라고는 예상이 되긴 하지만..

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

hdkim의 이미지

아무리 은행 은터넷뱅킹용 '액티브X'라 하더라도 사용자동의 없이 몰래 정보를 빼간다면
그것은 스파이웨어이며 악성코드가 맞습니다.

일부만 발췌했습니다.

2005년 08월 31일 정통부,스파이웨어 7가지 유형 확정발표
http://www.etnews.co.kr/news/detail.html?id=200508300179
정보통신부는 30일 이용자의 동의 없이 컴퓨터에 설치돼 홈페이지 설정이나 검색 설정을 변경하는 스파이웨어 프로그램을 악성프로그램으로 보고 7가지 유형을 확정, 발표했다

2007-12-24 정통부, 스파이웨어 기준 강화
http://www.dt.co.kr/contents.html?article_no=2007122402010660713011
정보통신부가 사용자 동의 없이 몰래 설치되는 모든 프로그램을 스파이웨어로 간주하는 방향으로 스파이웨어 기준을 강화한다. 또 최근 문제가 됐던 액티브X 보안경고창 만으로 PC에 설치되는 프로그램들도 모두 스파이웨어로 판단하기로 했다.

2009.03.28 당신의 ‘사이버 행적’ 은행 손 안에
http://news.joins.com/article/3548470.html?ctg=1102
인터넷뱅킹 가입자들 PC 고유번호 ‘MAC 주소’ 몰래 수집해 와
전문가 “고객 동의 안 받아 불법”
은행 “금융사고 대비한 자료 축적”

brucewang의 이미지

그렇죠, MAC 정보 추출을 하는 프로그램은 많이 있습니다.
하다못해 소프트웨어 정품 확인을 위해서도 PC 고유 정보를 확인하기 위해
MAC 정보가 종종 사용됩니다. MAC 정보를 알아내는것이 어려운 것도 아니고,
PC에 직접설치 하지 않고도 동일 서브넷의 다른 머신에서도 확인 할 수 있습니다.

게다가 MAC정보 추출시 백신프로그램등의 드라이버레벨 감시가 가능한 프로그램에서는
이를 파악할 수 있죠. 결국 기술적인 면에서 본다면, 같은 기능을 하는 프로그램들에서
어떤것이 악성코드냐 아니냐에 대한 정책적인 판단, 즉 "White List" 에 속하는 것이냐
"Black List"에 속하는 것이냐에 대한 것이 이슈일것입니다.

또한 기사에 언급되어 있는 ActiveX 형태의 브라우저용 툴바도 기사의 분류대로라면
악성코드임에도 "허용 리스트"에 들어가게 됩니다. 왜냐, "우리업체 툴바는
개인 정보를 빼 내가지 않고, 사용자에게 도움을 주기 위해 설치될 뿐이다.
우리 툴바를 악성코드로 분류하여 우리 사업에 지장을 주지 말기 바란다" 라고
요청할 수 가 있는거죠.

결국 기술 자체가 아니라, 정책적인 면에서의 실타래를 말씀드리는 것입니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

hdkim의 이미지

자진삭제합니다.

returnil의 이미지

정보가 암호화되어서 패킷 전송되기때문에 뭔짓을 하는지 사용자는 분석을 못한다는 소리네요 ㅠㅠ

shell9의 이미지


returnil 님의 궁금으로 인해

정보의 분석이 가능하다면....

해커도 이 정보를 분석이 가능하다는 애기고......

심지어 위,변조까지 가능하다는 것이지요~?

사용자가 정보의 분석을 어렵게 하는것은 당연합니다!!

그래야 해커도 정보 분석을 못해 개인정보를 열람하지 못하겠지요.

youknowit의 이미지

국내 보안업체 종사자분들, 그리고 국정원 보안인증심의국 직원분들께서 흔히, "보안프로그램은 소스가 공개되면 위험하다"는 오해를 하고 계십니다.

프로그램 소스 / 프로그램 설계구조 / 그 프로그램이 작동하여 최종적으로 생성해 내는 데이터는 구분해서 생각해야 합니다.

첫째, 프로그램 소스는 개발업체의 선택에 따라 공개할 수도 있고, 안할 수도 있습니다. 공개한다고 해서 보안에 위험이 온다면, 그 프로그램은 애초에 잘못 만든 프로그램입니다. 제대로 된 보안프로그램은 소스가 공개되어도 안전합니다. 실제로 무수히 많은 보안프로그램의 소스는 완벽히 공개되어 있습니다. Openssl, OpenPGP, GnuPG, ccrypt 등을 이용한 무수한 applications 이 그러합니다.

둘째, 보안 프로그램의 설계구조는 반드시 공개되어야 할 뿐 아니라, 상세한 documentation 이 제공되어야 합니다. 어떤 정보를 어떤 프로세스로 처리하여, 어떻게 하길래 안전하다고 주장하는지를 공개적으로 검증할 수 있도록 설계 구조의 골격은 공개되어야 합니다. 이것은 특허권의 문제도 아니고, 저작권의 문제도 아닙니다. 영업비밀이 될 수도 없습니다. idea 자체에 대한 것이고, idea 는 누구도 독점적 보호를 주장할 수 없습니다. (저작권/특허권은 idea 를 보호하는 제도가 아닙니다) 설계구조를 제대로 설명하는 문헌도 만들 능력이 없는 업체는 기본이 안된 업체입니다. 외국의 보안 소프트웨어는 모두 설계, 작동의 '원리'를 공개적으로 열람할 수 있도록 되어 있습니다.

셋째. 이렇게 설계된 프로그램이 실제로 작동하여 생성해 낸 암호화된 데이터는 누구에게 제공하더라도 key 가 없는 자는 그 content를 복호화 할 수 없어야 합니다. 따라서 이 단계에서는 공개/비공개가 무의미 합니다. 보안/암호화의 존재 이유가, 데이터가 공개적으로 오고가도 그 내용은 key 없이는 접근할 수 없도록 하기 위한 것입니다.

따라서, 예를 들어, 어느 프로그램이 고객PC의 MAC address 를 어떤 형태로 처리하여 어떤 호스트에 어떤 방법으로 전송하는지에 대한 설계 구조자체는 공개적으로 제공되어야 합니다. 그래야 그 프로그램이 나쁜짓을 하는지, 좋은일을 하는지 알 수가 있습니다. 실제로 네트워크를 오가는 값은 공개되건/안되건, 비밀키가 없는 자는 그 내용을 해독할 수 없는 것이 당연합니다.

물론, shell9 님이 국정원 직원이나, 보안업체 관계자와 같은 황당한 오해나 억지를 부리는 것이라고 생각하지는 않습니다만, 논의에 참여하는 다른분들께서 혹시나 그릇된 인상을 가지게 될까 적어보았습니다.

http://openweb.or.kr

minias의 이미지

>국내 보안업체 종사자분들, 그리고 국정원 보안인증심의국 직원분들께서 흔히, "보안프로그램은 소스가 공개되면 위험하다"는 오해를 하고 계십니다.

보안 관련 담당자로서 위의 언급하신 부분은 상당히 큰 파장을 줄 수 있는 발언입니다.
전형적인 성급한 일반화의 오류입니다.

오픈소스의 장점이야 말로 feed-back을 받아서 보안홀을 수정할 수 있고, 더 이상 로직적으로 이상이 없을때 보안적으로 안전하다고 말할 수 있습니다.

가장 대표적인 예가 qmail 입니다. (현재도 핵심 코어는 1.03입니다.)

어디나 그렇듯 모두가 다 그렇게 생각하는것은 "절대" 아닙니다.
다만 그렇게 생각하면 그렇게 보이는것 일 뿐입니다.

그리고 이문제의 핵심은 기술적은 측면 보다는, 정책과 정치적인 이슈가 강하다고 생각됩니다.

제가 느끼기에 제기하신 내용은 인증권한을 가진 기관이 관리감독해야되는것을 일부 업체에서 위탁 또는 대행하면서 발생할 수 있는 악용성을 이야기 하시는것 같은데 아닌지요?

그 점이라면 충분히 가능성이 있으며, 꽤 위협적입니다.
보안 솔류션 중 독과점으로 행사를 하고 있는부분 (게임,은행등에서 사용되는 N모사 제품과 A모사 제품, 그리고 키보드 방지 솔류션등등)
그로인한 선택 자유 박탈 ( 말씀하신 ActiveX가 100% 입니다 : 로직 오픈되는것을 꺼려하는것도 있습니다.)

그렇다고해서 OCX나 DLL 형태로 패킹한다고, 그것이 안보인다고 생각하는것 자체가 넌센스이고, 보안을 모르는 무식한 이야기란거죠..

결국 이곳에서 이렇게 왈가불가 해봐야 변하는것은 그리 많을것 같지 않습니다.

국가 정책과 관련 업체의 이해관계가 정리 되지 않고서는 풀릴 수 없을것 같은데.. 아닌가요?

만일 이러한 것을 풀려면.. 어떤 대안이 있는지에 대해서 토론하는것이 더효과적이지 않을까 사료됩니다.

노력하지 않는 꿈은 꿈으로만 남는다. - 미니어스

노력하지 않는 꿈은 꿈으로만 남는다. - 미니어스

imyejin의 이미지

그게 제대로 된 보안모듈 아닙니까? 소스 공개 안했다고 해도 역컴파일을 잘 해버려서 어떻게 복원이 되면 뚫리게 되는 프로그램이라면 그건 보안상 설계가 이미 잘못된 거죠. 소스를 숨겨서 보안성을 높인다는 것은 사기에 가깝습니다.

임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

minias의 이미지

제 글을 다시 읽어 보시기 바랍니다.

보안 모듈 공개여부를 논하고자 한것이 아니며, 저 역시 소스는 오픈되어야 한다는데 동의합니다.
그러나 직원인 이유로 회사 정책에 반하는 행동을 하실 수 있습니까? (아마 오픈한다면 구속되시겠죠)
그러한 사기를 본인을 하고 있지 않습니까? ( 단지 돈을 받고 일하는 직원으로서 )

그러한 기술적 이야기를 논하고자 쓴글이 아닌데.. 씁쓸하군요!!!

노력하지 않는 꿈은 꿈으로만 남는다. - 미니어스

노력하지 않는 꿈은 꿈으로만 남는다. - 미니어스

brucewang의 이미지

공개되어도 상관 없는 경우와 그 반대의 경우가 있다는 것을 이해 하셔야 할 듯 합니다.

쉬운 예로, 비대칭키 암호화 알고리즘의 경우는 로직이 공개 되어도 문제가 없습니다.
알고리즘의 특성상, 비밀키 자체를 알아내는데 거의 불가능하도록 하는데 의도가 있는거니까요.

그러나 대칭키 알고리즘의 경우 로직이 공개되면 어떻게 되겠습니까?

김교수님이 이 게시물을 올리신 이후 꽤 시간이 지났는데
시간이 갈수록 촛점에서 벗어나는 흐름이 보여서 코멘트를 달아봅니다.
물론 임예진님도 위 사실을 아실테지만 분위기에 휩쓸려
실수 하신것이라고 생각합니다. 그래서 두렵군요.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

cwryu의 이미지

대칭키는 로직만 알아내서는 안 되고 공유하는 키를 알아내야 하는데요. 키가 고정되어 있다면 모르겠지만.

어쨌든 로직만 공개되면 깨질 수밖에 없는 무언가의 알고리즘을 사용해야 한다고 하면, 그건 그냥 비밀일 뿐 보안 알고리즘이 아닙니다. 바이너리 형태이든 어떤 형태이든 프로그램을 배포해야 한다면 그 비밀을 깨는데 소스가 있는 것보다 시간이 조금 더 걸릴 뿐 어차피 깨집니다. DRM이라고 쓰고 있는 방식도 거의 이런 비밀에 의존하는 가짜 보안인데, 계속 업데이트하면서 유지하고 있는 걸 보면 전혀 필요 없는 건 아닙니다. 하지만 금융거래에 써서는 안 되는 방식입니다.

brucewang의 이미지

제가 말씀드린것에 대해 처음에는 부정을 하셨지만, 결국 중간에 동의를 하시는 것 처럼 보입니다.
암호화에 있어서 당연히 키를 알면 풀리게 되어 있죠. 로직의 구현내용을 몰라도 어떻게든 함수의 형태로 제공된다면요.

그러면, 앞서 부정하시면서 예로 드신 키를 모를 경우를 생각해 볼까요?
데이터를 분산/배합등의 방식으로 뒤바꿔 놓는 로직을 알 경우과 모를 경우의 차이가
정말 없다고 생각하시는 것은 아니시겠죠.

아마도 저의 의도를 잘못 받아들이셨던게 아닌가 싶군요.

.
.
실 례로써, 국산 대칭키 방식 알고리즘은 DES등과는 달리
컴파일된 바이너리만 배포되고 실제 구현 로직은 공개되어 있지 않습니다.
이것이 단지 비밀일 뿐 알고리즘이 아니라는것은 잘못된 인식이 아닐까 합니다.

사족> DRM (Digital Right Management) 의 다양한 구현 중 어떤 것을 가짜 보안이라고 하시는지 궁금합니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

cwryu의 이미지

엉뚱한 얘기를 하고 계신데요.

바이너리가 배포되니까 어차피 그 바이너리를 들여다 보면 어쨌거나 로직을 알 수 있다는 얘기입니다. 로직이 문서로 정리됐거나 소스가 공개되어 있든, 아니면 바이너리로 공개되었든 간에 로직을 알 수 있다는 건 차이가 없습니다. 역엔지니어링 지식과 수고가 필요하냐 아니냐의 차이가 있을 뿐이예요.

brucewang의 이미지

역공학의 견지에서라면 이해 합니다.

그러나 여전히 저로선
대칭키 알고리즘과 같이 키 추출이 상대적으로 용이한 경우에 대해
바이너리만으로 배포하는 수고가 .. 의미 없다고는 생각하지 않습니다.

특히나 사기라고는..

적절한 비유일지는 모르겠지만, 소프트웨어의 obfuscation 도,
멀티미디어 콘텐츠의 DRM도, Trial소프트웨어의 라이선스번호 입력에 의한
Activation도 결국 역공학으로 풀리게 되어 있습니다만...

뭐, 견해 차이겠지요.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

cwryu의 이미지

나름대로 쓸모는 있다고 말했는데요. 요즘에 DRM이 풀리고, 크랙 소프트웨어의 시리얼 번호가 뚫리는 정도의 속도와 빈도로 금융 사고가 일어나도 용납할 수 있을 지 모르겠습니다.

whitefly의 이미지

이런 내용을 좀 더 쉽게 써서..일반인들도 알기 쉽게 말입니다.
만화나 뭐 여러가지 방법으로 블로그 같은 곳에 홍보를 하거나 애니메이션으로
20초 정도로 만들면 어떨까 싶습니다.
패소 했다니...
답답합니다.

하지만 조금씩 꾸준히 오픈웹에 대해서 어떤 관심(?)을 표현한다면
언젠가는 되지 않을까 싶습니다.

위의 글을 블로그에 복사해서 넣었습니다.
혹시라도 블로그에 올린 것이 불편하시면 말씀해 주십시오.
블러그에서 내리겠습니다.
------------------------------------------------------------
적당한 운동은 뱃살을.. 눈을 깜박이는 센스는 안구건조증을 예방합니다.
조금씩 마셔주는 물 한모금은 컴으로인한 피로를 조금은 줄여줍니다.

------------------------------------------------------------
적당한 운동은 뱃살을.. 눈을 깜박이는 센스는 안구건조증을 예방합니다.
조금씩 마셔주는 물 한모금은 컴으로인한 피로를 조금은 줄여줍니다.

youknowit의 이미지

많이 많이 퍼날라 주십시오.. 오픈웹도 알려주시고요. 열심히 노력하는 그 자체가 의미가 있지 않겠습니까?

http://openweb.or.kr

atango의 이미지

한국에서 모든 컴퓨터 유저가 MS 윈도우를 깔아서 쓴다고 가정하는 것도 문제가 있지만 윈도우가 깔렸다고 공인인증이나 ActiveX보안을 사용할 수 있다고 가정하는 것도 오류죠.

제가 외국에 있을때는 국내 은행은 물론 많은 국가기관, 대학교의 홈페이지 접근이나 문서 사용이 불가능했습니다. 학교나 기관차원에서 아예 인증프로그램이나 보안프로그램의 설치를 막아 놓았기 때문이죠.

외국에 나갈 것 없이 제가 가끔 방문 하는 서울의 모 국가 연구소에서는 인증프로그램이 필요한 한국의 어느 학교나 기관의 홈페이지의 접근을 원천적으로 막아 놓았습니다. 역시 보안문제 때문입니다.

보안문제때문에 보안프로그램을 막는다는 현실 자체가 모순 아니겠습니까.

mycluster의 이미지

대부분의 경우 외국은 Microsoft의 Active Directory 기반이라서 일반유저는 프로그램을
함부로 깔수가 없죠.

Active-X가 마음대로 깔리는 것을 막는 제일 좋은 방법은 Windows를 MS의 AD기반으로 통합하는 것이죠.

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러

keinus의 이미지

회사라면 AD에 사용자 계정을 user 권한만 주고 사용하게 하겠습니다만...
일반 가정집이라면 일단 AD 서버 운용 문제도 있고 사용자 계정 추가문제도 있고 등등
디렉토리 시스템을 사용하기에는 문제가 많죠.

linlin의 이미지

올리신 위키 페이지를 읽어보니 일단 두가지가 눈에 보이는데요...

1. 전자 서명: 전자금융감독규정 7조? 전자 서명법 1조?

이 부분이 명확하지 않네요. 그러니까.. 국회에서 이미 입법된 전자서명법 제 1조를 수정해야 한다는 것인지 아니면 전자서명법 제 1조는 놓아두고 전자금융감독규정 7조만 수정해야 하는 것인지 불분명한 것 같습니다.

일단 국회에서 전자 서명 의무화를 입법화 한 이유는 전자상거래에서 거래 당사자의 신분을 명확하게 보장하려는 취지에서 비롯되었다고 봅니다만 전자 서명을 자율화 시키면 거래 당사자의 신분이 위조될 위험 역시 높아질 것인데요... 이 부분은 어떻게 대안을 제시하시는 건가요?

2. 키로거 체크 프로그램

이것이 법적인 차원에서 이슈가되는 이유가 무엇인지요? 물론, 키로거 체크 프로그램이 기술적으로는 또다른 관리자 권한을 요구하는 미봉책입니다만 왜 이것이 법적인 차원에서 다루어져야 하는지 논거가 명확하지 않은 것 같습니다.

happyday19c의 이미지

우선 거래 당사자의 신분 위조는 앞서 김기창 교수님이 미국의 Fraud Detection 시스템을 예로 드셨듯이, 한국처럼 사용자 개개인의 보안 의식을 무감각하게 하는 강제적이며 불필요한 ActiveX의 설치보다는 범 국가적인 보안 인프라와 보안 의식 강화 운동을 통해 해결할 수 있을 것이라고 봅니다. 그럼에도 불구하고 신분 위조 사고가 일어난다면 이는 보안을 위한 행동 수칙을 지키지 않은 해당 개인의 문제가 되어야 할 것입니다.

현재는 은행이 개인의 보안에서부터 은행의 거래 시스템에 대한 보안까지 모두 책임지고 있습니다. 얼핏 좋은 것 같으나, 현재 우리나라의 모습을 보면 오히려 개인의 보안 의식을 무뎌지게 하였고 이런 무뎌진 보안 의식으로 인한 사고를 역시 은행이 책임지는 듯한 제스처를 보이기 위해 피싱 방지나 키로거 방지등의 ActiveX등을 더 설치하도록 하는 등의 악순환을 가져오게 된것이 사실입니다.

적절한 비유일지는 모르겠으나, 저는 작금의 사태를 잡초를 제거하기 위해 농약을 과다하게 사용하면서 내성이 생긴 잡초를 제거하기 위해 더 강한 농약을 사용하게 되고, 결과적으로 잡초도 제거하기 어렵고, 이런 농약이 살포된 농작물을 섭취하는 것도 꺼려지는 상황이 된 것으로 생각하고 있습니다.

농약 과다 살포와 같이 이런 저런 보안 소프트웨어로 마치 은행/정부가 모든 보안을 책임지려고(그렇다고 책임감이 강한것도 아닌) 하는 모습보다는 유기농 재배법처럼 개개인의 보안 의식 수준을 높이고, 인터넷 상에서 행하는 행동 및 신분 위조가 일어날 수 있는 보안 위험 등의 문제들이 결국 자기 자신의 책임이라는 것을 명확히 해주는 것이 저는 해답이라고 생각합니다. 물론 이를 뒷받침 해줄 보안 인프라(ActiveX와 같이 오히려 보안 위험성을 높일지 모르는 기법이 아닌 것들을 말합니다)는 일정 수준에 도달되어있는 상태여야 할 것입니다.

저는 그런 이유로 인해서 굳이 당사자의 신분 명확화, 즉 '부인 방지'가 필요한 것은 아니며 만약 필요하다면 이는 브라우저보다는 오히려 브라우저 독립적인(one-time password device나 보안 카드등과 같은, 물론 이에 대한 관리 책임도 결국은 자기 자신이라는 것에 대해 명확하게 알려주어야 한다고 생각합니다) 방식을 사용해야 한다고 봅니다.

두번째 질문의 경우 이는 비단 키로거 방지 프로그램에만 국한되는 것 같지는 않습니다. 그외에도 설치되는 각종 보안 프로그램들 모두가 사용자의 선택권을 주지 않는다는 점에서 문제를 제기하고 있는 것입니다. 비록 설치에 대한 동의를 물으나, 설치를 하지 않으면 서비스를 받지 못하게 하는 현 체제에서 과연 고객의 선택권은 어디에 있는 것일까요? 따라서 키로거 방지용 프로그램 등을 반드시 설치하도록 하고 있는 현 법률 체계에 대해 반드시 의문을 가지고, 이에 대한 시정이 필요하다고 봅니다.

두서 없이 써서 죄송합니다. 어느정도 이해가 되셨으리라 생각이 듭니다....

-----------------------------------------
Meshing the World.... Simulating Reality!
-----------------------------------------

-----------------------------------------
Meshing the World.... Simulating Reality!
-----------------------------------------

happyday19c의 이미지

무엇보다 소스를 공개하면 안된다는 점에서부터 저는 공인 인증으로 금융 거래하는 것 자체가 믿음이 안갔습니다.
- 그래서 인터넷 뱅킹 안쓴지는 몇년 됩니다. 믿음 자체도 안가고, 인터넷으로 오가는 부인 거부라는 것 자체를 저는 '부인'하기로 했습니다.

현재 사용되고 있는 RSA, DSA, SSL/TLS모두 암호화 알고리즘은 공개되어 있습니다. 현재 널리 쓰이는 암호화 알고리즘의 첫째 조건이 바로 암호화 알고리즘을 만든 사람의 할아버지가 와도 key가 없다면 복호화를 못해야 한다는 것인데(혹은 가까운 장래에도 기술적으로 상당히 어렵거나), 소스가 공개된다 한 들 함부로 복호화가 가능하겠습니까? 설마 보안 관련 ActiveX를 만드는 사람들이 그런 사실들을 모르고 암호화 코드를 만들었겠습니까?

저는 해당 업체들이 소스를 공개하면 위험하다고 생각하기 보다는, 그냥 그렇게 '너희들은 몰라도 된다'라는 식의 사고로 일을 처리하는 것에 물들어 있기 때문이라고 생각합니다. 결국 매너리즘, 체제의 관성이 더 크게 작용하고 있다는 것이죠. 이미 이 문제는 굉장히 정치적인 문제인 것으로 저는 보고 있습니다. 그들은 이미 기술적인 측면에서의 반박은 더 이상 하지 못하고, 다만 국내 인터넷 환경-보안 인프라의 부재 등등 다양한 '핑계'거리들로 자신들의 빈약한 논리를 채우고 있을 뿐입니다. 때문에 더이상 기술적인 문제에 대한 이해와 공감대를 이끌어 내는것만으로는 해결이 어렵다고 생각합니다.. (그렇다고 이런 노력이 헛된 것이라는 의미는 절대 아닙니다)

김기창 교수님의 노력에는 동감합니다만 기술적 노력보다는, 역으로 그런 기술적 논리를 밀어 올려줄 정치적 힘또한 뒷받침 되어야 하지 않는가하고 자그마한 의견을 내봅니다. 사실 저도 답답합니다... 대체 어떤식의 노력을 얼마나 오래 끌어야 이런 정글과도 같은 대한민국 인터넷 환경이 다시금 깨끗해 질 수 있을지, 그저 갑갑하기만 합니다.

비록 재판에서 패소하셨지만, 힘을 모아야 함을 많은 사람들이 느꼈고 오히려 더 큰 우군을 얻으셨으리라 생각됩니다.
반드시 소망하는 바가 이루어질 수 있도록 희망을 가지고 하루하루 기도드립니다.

-----------------------------------------
Meshing the World.... Simulating Reality!
-----------------------------------------

-----------------------------------------
Meshing the World.... Simulating Reality!
-----------------------------------------

yjwoo14의 이미지

갑자기 교양 수업 중 교수님께서 하신 말씀이 생각이 납니다.

"과거 역사를 돌이켜 볼 때 대부분 진보성향이 보수성향에 무릎을 꿇는 경우가 많다." 라고 하신 말씀이.. 문득 생각나네요.

익스플로러가 아닌 다른 웹브라우저로 BoX 인터넷 뱅킹 사용하다 무심코 우X은행을 들어가면서 좌절하곤 합니다. ㅎ

-----------------------------------------

누구에게나 자신의 상황이 제일 힘들다.. 즐기자!

누구에게나 자신의 상황이 제일 힘들다.. 즐기자!

로미의 이미지

문득 이런 시스템이면 괜찮을까? 하는 생각에 몇줄 끄적여 봅니다.

아무리 키보드 보안 프로그램이라도 그것을 뚫어 버리는 창이 개발되기 마련입니다.
로직을 간단하게 쓴다면...
국내 기업, 관공서가 변화를 두려워 하니 라이브 CD/DVD처럼 부팅해서 VPN으로 접속을 하여 은행/금융, 관공서 업무를 할 수 있도록 하는 것도 한가지 대안 이라고 생각 됩니다.

지리적, 시간적 제한이 없기때문에 약간의 제한장치가 필요할 것이다.라는 조건에 부합 될 것이고요.
지리적으로 관공서나 은행에서 영업시간에 미디어의 배포를 담당하고
접속 미디어의 일련번호를 실명 번호의 조합으로 접속 번호를 생성.
접속 미디어의 정상여부는 은행 인증서 발급 받는것 처럼 근거 서류를 작성.
핵심 모듈은 접속후 업데이트 서버에서 내려 받으면 될듯 합니다.

본문글과 관련이 거의 없지만 우회하는 것도 대안이 될듯하여 적어보았습니다.
생략되어 두서 없는 글을 읽어 주셔서 감사합니다.

Signature:
끝까지 읽어 주셔서 감사합니다.(이봐 로미, 뭐가 감사한거야?!)

혹시 댓글로 싸움을 즐기려는 님!?
당신은 眞性 변퉤 입니다~ :P

이제는 무늬만 백수로 가장한 개발자가 아닌 진정한 개발자가 되어야겠다.
이제는 학생으로 가장한 백수가 아닌 진짜 백수가 되어야겠다.

언제나 newbie의 마음가짐.

imyejin의 이미지

VPN도 처음에 로그인할 때 입력장치로 VPN 계정과 암호를 입력해야 하는 건 마찬가지에요.
보안상 아무 의미가 없을 것 같은데요, 어떤 시스템을 생각하고 계시는 건지 좀 자세히 설명해 주실 수 있나요?

임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

로미의 이미지

개념은 대충 중앙 집중식 서버 - 터미널 (thin 클라이언트, 넷PC)의 형식을 생각했습니다.

VPN이라고 썼습니다만, 굳이 VPN이 아니더라로 보안터널을 사용하는 논리적인 네트워크의 계층을 이용한 접속이면 그나마 깨지는 시간을 벌수 있을것이라고 생각했습니다.

Signature:
끝까지 읽어 주셔서 감사합니다.(이봐 로미, 뭐가 감사한거야?!)

혹시 댓글로 싸움을 즐기려는 님!?
당신은 眞性 변퉤 입니다~ :P

이제는 무늬만 백수로 가장한 개발자가 아닌 진정한 개발자가 되어야겠다.
이제는 학생으로 가장한 백수가 아닌 진짜 백수가 되어야겠다.

언제나 newbie의 마음가짐.

sixt06의 이미지

openweb에서 ActiveX 보안 plugin 업체에 대한 비판이후에 상황이 많이 변한것 같습니다.
http://xeraph.egloos.com/4902688
위 링크와 같이 https와 activeX 플러그인 방식의 비교를 통해 현 상황을 그대로 밀고가려는 의지가 느껴집니다.
역시 리눅스와 맥등은 논외의 상황이네요.

cjh의 이미지

그러게요. 요즘에 맥 살려고 하는데 ^^

국내 상황이 이렇게 된 것은 모두들 이해하고 있을 테니 '여러가지 다양한 사용자 환경을 고려하는 중에 가장 안전한' 해법을 찾는게 바람직한 토의가 아닌가 싶네요. 지금처럼 '그러니까 IE + ActiveX가 결국 제일 안전한 거였다'는 식의 이야기는 앞으로 오게 될 더 다양한 플랫폼 시대 (이제는 PC/Mac/Linux 구분이 아니라 각종 스마트폰이나 휴대용 기기들도 생각해야 하는)에 뒤처지는 결과가 되지 않을까 합니다.

오히려 요즘 생각한 (비)현실적 방안은 앞으로는 PC용 인터넷뱅킹 다 없애고 은행에서 1인당 만원씩 받고 Amazon Kindle와 같이 휴대전화 망 공짜로 쓰면서 아무데서나 인터넷뱅킹 되는 장치를 보급하던가요... 이러면 플랫폼 제한도 없고 상상할 수 있는 각종 보안조치도 최대로 취할 수 있고 좋지 않을까요? :)

--
익스펙토 페트로눔

--
익스펙토 페트로눔

다즐링의 이미지

그런 방법도 좋겠지만

제가 바라는 것은 단한가지

제가 서약서(해킹당해도 뭐라하지 않겠습니다. )를 쓸테니 제계좌는 https + otp 로 가능하게 옵션 조정을 해주세요. 정도입니다 ㅠㅠ

아 물론.. 파폭에서 보이게 레이아웃 수정정도는 해줘야죠.
------------------------------------------------------------------------------------------------
Life is in 다즐링

------------------------------------------------------------------------------------------------
Life is in 다즐링

sixt06의 이미지

그렇게 https를 못믿겠다면, 낮은 보안 레벨에 해당하는 서비스는 제공해주는게 좋을듯 합니다.
계좌 조회나, 소액 이체와 같은 간단한 업무 만이라도 다른 플랫폼을 지원해줄 필요성이 있다고 생각합니다.