현재 위치

›› Forums ›› 재미 ›› 자유 게시판

금융 보안 연구원에서 삭제하려하는 해외 인터넷뱅킹 보안현황 조사보고서 PDF 문서

cleansugar의 이미지
글쓴이: cleansugar / 작성시간: 목, 2010/04/01 - 2:49오전

http://docs.google.com/fileview?id=0B-BEfBoiJ24JNTRmYzk0MGItMGZlMi00OGNhLThhMzItZWFkNTY4MmE4Nzkw&hl=ko

당나귀 링크:
ed2k://|file|%ED%95%B4%EC%99%B8%20%EC%9D%B8%ED%84%B0%EB%84%B7%EB%B1%85%ED%82%B9%20%EB%B3%B4%EC%95%88%ED%98%84%ED%99%A9%20%EC%A1%B0%EC%82%AC%20%EB%B3%B4%EA%B3%A0%EC%84%9C-2010.02-%EA%B8%88%EC%9C%B5%EB%B3%B4%EC%95%88%EC%97%B0%EA%B5%AC%EC%9B%90.pdf|4177225|8B1FB32997165F73B6AC11B17CF87F2F|h=TXP6E7U4CQ2E25UBZQEP7QMBHSYL3SVW|/

http://openweb.or.kr/?p=2614

http://bobbyryu.blogspot.com/2010/03/blog-post.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+bobbyryu+%28peopleware.kr%29

왜 삭제하려고 하는 걸까요?

Forums: 
자유 게시판
kkb110의 이미지

글쓴이: kkb110 / 작성시간: 목, 2010/04/01 - 3:46오전

깔끔하게 정리 잘해놨네요.

한가지 아쉬움은 보안기술 보호 수준에 대한 분석이나 은행별 해킹 피해 규모같은 것도 있었으면 좋았을텐데..

ahsan의 이미지

글쓴이: ahsan / 작성시간: 목, 2010/04/01 - 9:34오전

한국정보보호학회회장 고려대 임종인교수가 나와서
전 세계의 인터넷뱅킹보안방식은 후진것이고,
한국의 공인인증서방식이 세계에서 가장 앞선기술이다.
일본도 한국의 방식을 도입하려고 했지만 여러가지 이유로 실패했다.

개인과 은행간의 인증방식의 목적에는
1. 신분확인
2. 무결성
3. 부인방지
가 있는데 전세계은행이 사용하는 SSL과 OPT는
위의 목적 중에 1,2번만 가능하고 3번은 불가능하다고 하더군요.

한국의 공인인증서만이 1,2,3번을 충족시킨다고 하던데 이 말이 사실인가요?

snowall의 이미지

글쓴이: snowall / 작성시간: 목, 2010/04/01 - 9:41오전

제가 알기로는, 공인인증서 방식을 사용하면, 적어도 ["공인인증서와 그 비밀번호를 가진 사람"이 서명했다는 것]을 부인할 수는 없습니다.

다만 그 개인은 "공인인증서와 그 비밀번호를 가진 사람이 내가 아니라 다른 사람이다"라고, 여전히 부인할 수 있습니다.

이건 서명이나 인감도장 쓸때도 마찬가지죠. "그건 내가 아님"이라는 필살기랄까요...;
--------------------------
피할 수 있을때 즐겨라!
http://snowall.tistory.com

피할 수 있을때 즐겨라! http://melotopia.net/b

preisner의 이미지

글쓴이: preisner / 작성시간: 목, 2010/04/01 - 4:09오후

현재 나온 기술로 신뢰 할 수 있는 인증 방법은 생체 기반 인증 밖에는 없습니다.
SSL+OTP 와 같은 소유 기반 인증 방식은 "공인인증서와 그 비밀번호를 가진 사람이 내가 아니라 다른 사람이다"라고, 여전히 부인할 수 있습니다.
더군다나 부인방지 역시도 안되고요.
따라서 현실적으로 공인인증서 방식이 완벽하지는 않아도 그나마 나은 기술임은 틀림 없는 듯 합니다.
법적으로 인감이 찍혀 있다면 내가 찍은 것이 아니라는 것을 증명할 책임은 인감 소유주 입니다.

법적으로 규제가 풀린다 하더라도 확실한 대안이 없는 상황이라면 공인인증서 방식은 계속 사용 될 겁니다.

whitelazy의 이미지

글쓴이: whitelazy / 작성시간: 목, 2010/04/01 - 12:20오후

1번이 되는데 3번이 안된다는게 이상한데요 ...
SSL + OTP 방식이 1,2 번은 되는데 3번이 안된다라면...
나인지 신분확인은 됬으나 나는 아니다 라는 거군요 조금 이상한 논리인듯....;;;;

하나밖에 없는 OTP가 사방에 복사해 놓을 수 잇는것 공인인증서보다 본인 확인 기능이 떨어진다는 건 넌센스인듯하군요 ...

academic의 이미지

글쓴이: academic / 작성시간: 목, 2010/04/01 - 4:29오후

부인 방지라고 할 때의 부인은 '나는 아니다'라는 것이 아니라...

'내가 서명한 것이 아니다'라고 알고 있습니다.

OTP가 부인 방지 역할을 못하는 이유는

OTP 없이 임의의 숫자를 입력했는데 우연히 일치할 가능성을 배제하지 못하기 때문이 아닌가 합니다.(틀렸다면 지적 바랍니다. 감사히 배우겠습니다.)

공인인증서를 비롯한 비밀키로 서명한 경우엔, 비밀키를 가지고 있는 사람이 서명했다는 걸 부인할 수 없죠.

--
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

----
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

preisner의 이미지

글쓴이: preisner / 작성시간: 목, 2010/04/01 - 6:40오후

OTP는 소유기반 인증에서 가장 확실한 방법이긴 합니다만, 소유기반 인증의 한계는 어쩔 수 없습니다.
OTP 와 공인인증서는 사실 비교 대상이 아닙니다.
공인 인증서가 비밀번호에 기반한 인증 기능을 일부 제공 하긴 하지만 공인인증서의 주된 용도는 무결성과 부인방지 입니다.

둘러보기