[보안/은행] '인터넷뱅킹' 첫 해킹사건, 거액 빠져나가

익명 사용자의 이미지

은행 '인터넷뱅킹' 첫 해킹당해 거액 빠져나가
출처 연합뉴스 2005-06-03 12:01
http://news.naver.com/news/read.php?mode=LSS2D&office_id=001&article_id=0001019113&section_id=101&section_id2=259&menu_id=101

'인터넷뱅킹' 첫 해킹…시스템 개선 필요
출처 연합뉴스 2005-06-03 12:02
http://news.naver.com/news/read.php?mode=LSS2D&office_id=001&article_id=0001019116&section_id=101&section_id2=259&menu_id=101

저는 몇년째 상황이나 상태를 지켜만 보고 있고, 아직 일부러 인터넷뱅킹을 신청하지 않고 있습니다. 뭔가 쫌 찜찜한 느낌이 들어서...

'구더기무서워 장 못담그나 ?'라고 말하는 사람들에게는, 저는 별로 해주고 싶은 말이 없슴다.

요즘에는 전화선을 이용한 'PC통신 유틸리티'로 이용하는 'PC뱅킹'(폰뱅킹, Phone뱅킹이 아닙니다. 이 폰뱅킹은 보안이 더 취약하더군요. 과거에 사고도 많이 터졌었고...)은 더이상 신규고객 신청을 받지 않더군요.

익명 사용자의 이미지

인증서랑 암호를 빼내도

보안카드 때문에 안 될 것 같은데요.

어캐한 것일까요. -_-

익명 사용자의 이미지

꼭27사단분께...

질문이 있는데요...

혹시 운전은 하시나요?

sh.의 이미지

Anonymous wrote:
인증서랑 암호를 빼내도

보안카드 때문에 안 될 것 같은데요.

어캐한 것일까요. -_-

보안카드의 번호 역시 키보드로 입력했기 때문에 알 수 있었겠죠.. 기사에 언급된것처럼 낮아도 1/30 확률이니까요.
인증서는 다른 경로로 빼낸걸까요? 보안이란 역시 사람이 구멍인가봅니다..

jedi의 이미지

키 로거를 사용했나본데. 키보드 보안 어쩌구 하는 프로그램이 실행되던데 그거 무용지물이었나보군요....

결국은 도청이 문제가 되는군요.

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

logout의 이미지

결국 가장 낮은 수준인 script kiddie의 해킹조차도 막을 수 없었다는 얘기네요. 이번 기회에 ActiveX 플러그인의 보안 문제가 사회적으로 좀 환기되었으면 합니다.

"I conduct to live,
I live to compose."
--- Gustav Mahler

익명 사용자의 이미지

logout wrote:
결국 가장 낮은 수준인 script kiddie의 해킹조차도 막을 수 없었다는 얘기네요. 이번 기회에 ActiveX 플러그인의 보안 문제가 사회적으로 좀 환기되었으면 합니다.

천만명의 인터넷 뱅킹 사용자 중에 겨우 한두명 해킹당한 거 갖고 너무 오버해서 말씀하시는 것 아닌가요. 리눅스 서버 한두대가 해킹으로 뚫리면 "이번 기회에 리눅스의 보안 문제가 사회적으로 좀 환기되었으면 좋겠다"고 해야겠군요.

뭔 얘기만 나오면 MS나 MS의 기술을 씹지 못해서 안달이 난 태도, 별로 바람직해 보이지 않는군요. 애시당초 출처가 불분명한 프로그램을 아무 생각도 않고 깐 게 문제지 기술 자체가 왜 문제라는 건지...

환상경의 이미지

Anonymous wrote:

천만명의 인터넷 뱅킹 사용자 중에 겨우 한두명 해킹당한 거 갖고

이부분 언급하신게 참 위험한 발언이신데요;;;;
보안은 겨우 한두명이라고 평가할 항목이 아닌걸로 생각됩니다.....

==================================================================
정체된 일상.... 계기를 만들어야 하는데........
BLOG : http://khmirage.tistory.com/

cjh의 이미지

대부분 은행은 키보드 암호화 기능도 제공하는데, 요즘 XP SP2가 깔린 PC가 많아지면서 이 기능의 activex를 설치 안해도 되는(창 위에 설치하라고 뜨긴 하는데 설치 안해도 실제 인터넷 뱅킹 사용에 지장이 없는) 상황이 많이 발생하는데 이런걸 노린건 아닌가 싶군요. 그것도 뚫렸다면 할말 없고요.

--
익스펙토 페트로눔

익명 사용자의 이미지

Anonymous wrote:
logout wrote:
결국 가장 낮은 수준인 script kiddie의 해킹조차도 막을 수 없었다는 얘기네요. 이번 기회에 ActiveX 플러그인의 보안 문제가 사회적으로 좀 환기되었으면 합니다.

천만명의 인터넷 뱅킹 사용자 중에 겨우 한두명 해킹당한 거 갖고 너무 오버해서 말씀하시는 것 아닌가요. 리눅스 서버 한두대가 해킹으로 뚫리면 "이번 기회에 리눅스의 보안 문제가 사회적으로 좀 환기되었으면 좋겠다"고 해야겠군요.

뭔 얘기만 나오면 MS나 MS의 기술을 씹지 못해서 안달이 난 태도, 별로 바람직해 보이지 않는군요. 애시당초 출처가 불분명한 프로그램을 아무 생각도 않고 깐 게 문제지 기술 자체가 왜 문제라는 건지...

ActiveX의 근복적인 보안 문제는 대부분의 사용자들은
출처가 분명하지 불분명한지 조차 구분하기 어렵다는 것에 있지요.
이에 대한 피해는 인터넷 뱅킹 해킹 뿐만아니라,
각종 adware, spyware 등과 같은 악성 소프트웨어의 침입경로
활용되었다는 것은 부정할 수 없습니다.

그런 의미에서 XP Sp2가 기본적으로 차단정책으로 들어섰다는 것은 시사하는 바가 큽니다.

천만명의 인터넷 뱅킹 사용자 중에 겨우 한두명 해킹당한 거 갖고 너무 오버하는 것이나, MS나 MS의 기술을 씹지 못해서 안달이 난 태도같지는 않군요. :?

girneter의 이미지

Anonymous wrote:

뭔 얘기만 나오면 MS나 MS의 기술을 씹지 못해서 안달이 난 태도, 별로 바람직해 보이지 않는군요. 애시당초 출처가 불분명한 프로그램을 아무 생각도 않고 깐 게 문제지 기술 자체가 왜 문제라는 건지...

kldp 에 그런 분위기가 아주 없다면 거짓말이지만
이번 경우에는 손님이 오버하시는 걸로 보이네요 ^^

개념없는 초딩들은 좋은 말로 할때 DC나 웃대가서 놀아라. 응?

sh.의 이미지

키로거에 대해 자세히 몰라서 그러는데요,
이걸 근본적으로 차단하는게 가능한가요?

제 지식으로는 키보드(H/W) -> 키보드 드라이버 -> 커널(?) -> 응용프로그램 으로 키 입력이 전달되는데 크게 키보드 자체가 암호화되는 경우(혹은 키보드에 암호모듈을 연결하는 경우) 그리고 키보드 후킹을 방지하는(active-x형태로 설치되는 키보드 보안 프로그램들처럼) 두 가지 방법이 있는걸로 알고 있습니다.
그런데 하드웨어를 이용한 방법의 경우는 결국 후킹이 가능한게 아닌가요?
그리고 후킹을 감지하는 경우도 잘 알려진 후킹 모듈을 탐지할 수는 있지만 100% 막을수는 없다고 하는 글을 본 적이 있는데 혹시 잘 아시는 분이 계시면 설명 부탁드립니다..

kall의 이미지

Anonymous wrote:
천만명의 인터넷 뱅킹 사용자 중에 겨우 한두명 해킹당한 거 갖고 너무 오버해서 말씀하시는 것 아닌가요. 리눅스 서버 한두대가 해킹으로 뚫리면 "이번 기회에 리눅스의 보안 문제가 사회적으로 좀 환기되었으면 좋겠다"고 해야겠군요.

뭔 얘기만 나오면 MS나 MS의 기술을 씹지 못해서 안달이 난 태도, 별로 바람직해 보이지 않는군요. 애시당초 출처가 불분명한 프로그램을 아무 생각도 않고 깐 게 문제지 기술 자체가 왜 문제라는 건지...


MS대해 비판적인 얘기만 나오면 나오는 신경질적 반응의 전형이군요.
그런 반응도 바람직해 보이지는 않는데요 :(

액티브엑스는 분명히 편리한 기술이지만 그 편리함덕분에 생기는 당연한 문제점일텐데요?
결국, 기술의 '지나친 편리함'이 아무거나 깔게 만드는 셈인데..그 기술이 문제가 아닌가요?

아아..DontFeedTheTroll 이라지만..쉽지 않군요 :oops:

----
자신을 이길 수 있는자는
무슨짓이든 할수있다..
즉..무서운 넘이란 말이지 ^-_-^
나? 아직 멀었지 ㅠㅠ

ux의 이미지

Anonymous wrote:

천만명의 인터넷 뱅킹 사용자 중에 겨우 한두명 해킹당한 거 갖고 너무 오버해서 말씀하시는 것 아닌가요. 리눅스 서버 한두대가 해킹으로 뚫리면 "이번 기회에 리눅스의 보안 문제가 사회적으로 좀 환기되었으면 좋겠다"고 해야겠군요.

뭔 얘기만 나오면 MS나 MS의 기술을 씹지 못해서 안달이 난 태도, 별로 바람직해 보이지 않는군요. 애시당초 출처가 불분명한 프로그램을 아무 생각도 않고 깐 게 문제지 기술 자체가 왜 문제라는 건지...

아무 생각도 않고 깐 게 문제가 아니라,
그만큼 ActiveX라는 기술이 엄청난 위험성을 가지고 있음에도 불구하고,
하도 homepage들이 남발하는 바람에 일반사람들 입장에서는 ActiveX랑 보안은 별 상관없이 느끼고 있을 겁니다.
이점이 문제인데, MS에서는 기술 및 개발의 편이성만을 강조하지 위험성에 대해서는 거의 이야기가 없죠 -_-;;;

거기다가 은행들이 보안을 이유로 ActiveX를 설치하라고 강제하고 있죠 -_-;;;
그리고 더 많은 다른 site들이 자신들의 편의성을 위해서
ActiveX의 설치를 강제하고 있는 상황에서
(가끔 AciteX에 sign도 안한고 배포하는 회사들도 있더군요-_-;;;)

Anonymous wrote:

애시당초 출처가 불분명한 프로그램을 아무 생각도 않고 깐 게 문제

라고 무시할 만한 수준의 문제가 아니라고 생각됩니다.

MS에서 좀 더 안전한 ActiveX 기술로 버전업하던가,
아니면 사용자들에게 ActiveX의 기술의 위험성을 확실하게 전해서
조금이라도 믿을 수 없는 ActiveX는 설치하지 않도록 해야 하지 않을까요?

@UX... Vnn~

익명 사용자의 이미지

오만한 리눅서 wrote:
ActiveX의 근복적인 보안 문제는 대부분의 사용자들은
출처가 분명하지 불분명한지 조차 구분하기 어렵다는 것에 있지요.
이에 대한 피해는 인터넷 뱅킹 해킹 뿐만아니라,
각종 adware, spyware 등과 같은 악성 소프트웨어의 침입경로
활용되었다는 것은 부정할 수 없습니다.

이게 무슨 근본적인 보안 문제라는건지 이해가 안되네요. 리눅스용으로 인터넷뱅킹 플러그인이 나와도 똑같은 문제가 발생할수 있습니다. 리눅스는 무슨 신비로운 보안 기능이 있어서 악성 프로그램을 원천적으로 차단할수 있는줄 아시나 본데, 악성 프로그램 제작자들이 리눅스용을 안만들어서 그런것뿐이지 내부구조로 보면 윈도나 리눅스나 거기서 거기입니다. 리눅스라고 안뚫릴 이유가 전혀 없거든요.

Quote:
그런 의미에서 XP Sp2가 기본적으로 차단정책으로 들어섰다는 것은 시사하는 바가 큽니다.

XP SP2의 정책은 기존 정책을 좀더 편리하게 만들었다뿐이지 원래는 액티브엑스를 허용했는데 SP2부터 차단한다 뭐 이런 거 아닙니다. SP2를 실제로 한번이라도 써보시고 논평을 내려주시기 바랍니다.

Quote:
천만명의 인터넷 뱅킹 사용자 중에 겨우 한두명 해킹당한 거 갖고 너무 오버하는 것이나, MS나 MS의 기술을 씹지 못해서 안달이 난 태도같지는 않군요. :?

얼마전에 PHP쓴 리눅스 사이트들이 수두룩하게 해킹당해서 난리났을 때는 조용하던 분들이 꼭 이런 주제 나오면 갑자기 활기를 되찾는 현상을 말하는 겁니다(l*****같은 분이 그사건을 놓고 뭐라고 논평을 했을지 궁금해지네요. 리눅스 쓰지말라고 했을라나...).
toz의 이미지

Anonymous wrote:
얼마전에 PHP쓴 리눅스 사이트들이 수두룩하게 해킹당해서 난리났을 때는 조용하던 분들이 꼭 이런 주제 나오면 갑자기 활기를 되찾는 현상을 말하는 겁니다(l*****같은 분이 그사건을 놓고 뭐라고 논평을 했을지 궁금해지네요. 리눅스 쓰지말라고 했을라나...).

재미있는 논리군요 : D
근데 kldp에서 그런논리를 펴봤자 동조해줄 사람이 있을까요?:D

Connecting, Wired...

익명 사용자의 이미지

ux wrote:
아무 생각도 않고 깐 게 문제가 아니라,
그만큼 ActiveX라는 기술이 엄청난 위험성을 가지고 있음에도 불구하고,
하도 homepage들이 남발하는 바람에 일반사람들 입장에서는 ActiveX랑 보안은 별 상관없이 느끼고 있을 겁니다.
이점이 문제인데, MS에서는 기술 및 개발의 편이성만을 강조하지 위험성에 대해서는 거의 이야기가 없죠 -_-;;;

액티브엑스가 필요할 때마다 짜증날 정도로 귀찮게 경고창이 뜨는데, 위험성에 대해서 거의 이야기가 없다니, 대체 어떤 버젼의 윈도를 쓰고 계시길래..?

Quote:
거기다가 은행들이 보안을 이유로 ActiveX를 설치하라고 강제하고 있죠 -_-;;;
그리고 더 많은 다른 site들이 자신들의 편의성을 위해서
ActiveX의 설치를 강제하고 있는 상황에서
(가끔 AciteX에 sign도 안한고 배포하는 회사들도 있더군요-_-;;;)

액티브엑스든 무슨무슨 플러그인이든 아무것도 안깔고 보안이 유지되는 시스템은 지구상에 존재하지를 않습니다. 리눅스도 마찬가지죠. 그러니까 이런 논평은 하나마나하다는 겁니다.

Quote:
MS에서 좀 더 안전한 ActiveX 기술로 버전업하던가,
아니면 사용자들에게 ActiveX의 기술의 위험성을 확실하게 전해서
조금이라도 믿을 수 없는 ActiveX는 설치하지 않도록 해야 하지 않을까요?

좀더 안전한 기술을 위해 공인 인증 기관도 있고, 경고창도 매번 뜨고, 의심되는 프로그램은 깔지 말라고 주의까지 주는데도 사용자가 이상한 프로그램을 억지로 깔아서 해킹을 초래하는데 대체 누가 말립니까. 이런 식의 대책없는 딴지 걸기는 정말 바람직하지 못합니다.

그리고 사실 액티브엑스 컨트롤은 리눅스에서 사용이 불가능하기 때문에 리눅스랑은 하등의 아무 상관도 없는 건데 왜 이렇게 꾸준히 관심도가 높은 건지 모르겠네요. 그저 MS 플랫폼이 뚫렸는데 리눅스는 영향 안받더라는 자위용으로 이런 뉴스가 꾸준히 올라온다고 밖에는 해석이 안되는군요. MS가 뚫렸다고 리눅스 쓸 일은 없으니(인터넷 뱅킹이 애시당초 안되니까) 리눅스한테 이로울 일도 없고, 개발자들이 아니라서 그런지 매냥 비생산적이고 탁상공론적인 주제에만 몰려 있는 것도 바람직한 현상으로 보이지는 않네요. 차라리 이 시간에 리눅스에서 인터넷 뱅킹을 어떻게 지원할 것인가 토의를 하는게 훨씬 낫겠습니다. 엄한 남의 OS 비난은 그만 하고...

익명 사용자의 이미지

toz wrote:
Anonymous wrote:
얼마전에 PHP쓴 리눅스 사이트들이 수두룩하게 해킹당해서 난리났을 때는 조용하던 분들이 꼭 이런 주제 나오면 갑자기 활기를 되찾는 현상을 말하는 겁니다(l*****같은 분이 그사건을 놓고 뭐라고 논평을 했을지 궁금해지네요. 리눅스 쓰지말라고 했을라나...).

재미있는 논리군요 : D
근데 kldp에서 그런논리를 펴봤자 동조해줄 사람이 있을까요?:D


동조해 주는 사람이 더 많은 것 같은데요? 순전히 말장난과 억지주장에 기초해서 말빨로만 KLDP에서 영향력과 주도권을 행사하는 분들이 있는데(말빨은 엄청 세우면서 정작 리눅스에 기여는 전혀 한것이 없음 --> 말로만 전문가) 그런 분들이 이런 반박을 보면 약간이라도 자제를 하시지 않을까 생각합니다.
익명 사용자의 이미지

Quote:

재미있는 논리군요 : D
근데 kldp에서 그런논리를 펴봤자 동조해줄 사람이 있을까요?

그냥 눈팅만 하면서 그려려니 하는 사람들도 많답니다.
사이트가 사이트인 만큼 한쪽을 좀 더 애정을 갖고 본다는 걸 나쁘다고 말할 수도 없고, 그렇게 생각하지도 않습니다만.
그걸, 객관적으로 바라보는 양 쓰는 글을 보면 조금 불편한 건 사실입니다.

girneter의 이미지

에라 모르겠다 달려라 달려~

개념없는 초딩들은 좋은 말로 할때 DC나 웃대가서 놀아라. 응?

dasomoli의 이미지

저 "손님"은 왜 보안 시스템에서 ActiveX 의 위험성에 대해서는 저렇게 인정하지 않으려고 발악하실까요 :(

ActiveX 가 위험하다고 했지, 리눅스가 안전하다고 한 사람 없습니다.

손님의 생각대로 ActiveX 가 인터넷 상에서 꼭 필요한 기술이라면 이 기술에 대한 위험성에 대해 논의하는 것은 오히려 MS 측에도 도움이 됩니다. 사용자 입장에서도 논의될 만한 주제이구요.

편향적인 생각은 좀 버리시길 바랍니다.



dasomoli의 블로그(http://dasomoli.org)
dasomoli = DasomOLI = Dasom + DOLI = 다솜돌이
다솜 = 사랑하옴의 옛 고어.
Developer! ubuntu-ko! 다솜돌이 정석
sh.의 이미지

정작 이 사건에 중요한 역할을 한 키로거에 대해서 말씀해주실 분은 없나요? :(

antz의 이미지

Anonymous wrote:
Quote:

재미있는 논리군요 : D
근데 kldp에서 그런논리를 펴봤자 동조해줄 사람이 있을까요?

그냥 눈팅만 하면서 그려려니 하는 사람들도 많답니다.
사이트가 사이트인 만큼 한쪽을 좀 더 애정을 갖고 본다는 걸 나쁘다고 말할 수도 없고, 그렇게 생각하지도 않습니다만.
그걸, 객관적으로 바라보는 양 쓰는 글을 보면 조금 불편한 건 사실입니다.


"~인양...", 답답한 면이 없지는 않지요.

어쩔때는 M$ 옹호자들을 막 욕해주고 싶습니다.

참아야 할것 같아서 참습니다.

M$ 옹호자들 중 리눅스를 잘알면서 M$를 옹호 하는 사람이 있을까요?

지금 이글도 회사 M$ XP PC로 작성하고 있지만,
대부분 리눅스 사용자들은 둘다 모두 합니다.

잘하는 사람은 둘다 잘하는 사람도 있구요.

왜 그사람들이 리눅스를 옹호하는지 생각해 보셨나요?

객관적이지 못한것은 윈도우 옹호자들이 더 한것 아닌가요?

저는 윈도우 사용자들은 열등감에 사로잡혀있다고 봅니다.

할려면 한쪽 가리지 말고 둘다 잘해보고 한쪽을 판단해 주세요.

주제하고 좀 빗나갔지만,
리눅스 사용자들은 M$를 비판할 만 합니다. :x

익명 사용자의 이미지

아랫기사를 보면 나오는 끈질긴 로그인이라는게..

잘못입력하구서 로그아웃하게 되면 ,
이전게 누적이 안되나 보죠??

그렇다면 문제가 있는데...

익명 사용자의 이미지

Anonymous wrote:
액티브엑스가 필요할 때마다 짜증날 정도로 귀찮게 경고창이 뜨는데, 위험성에 대해서 거의 이야기가 없다니, 대체 어떤 버젼의 윈도를 쓰고 계시길래..?

Quote:
거기다가 은행들이 보안을 이유로 ActiveX를 설치하라고 강제하고 있죠 -_-;;;
그리고 더 많은 다른 site들이 자신들의 편의성을 위해서
ActiveX의 설치를 강제하고 있는 상황에서
(가끔 AciteX에 sign도 안한고 배포하는 회사들도 있더군요-_-;;;)

액티브엑스든 무슨무슨 플러그인이든 아무것도 안깔고 보안이 유지되는 시스템은 지구상에 존재하지를 않습니다. 리눅스도 마찬가지죠. 그러니까 이런 논평은 하나마나하다는 겁니다.

Quote:
MS에서 좀 더 안전한 ActiveX 기술로 버전업하던가,
아니면 사용자들에게 ActiveX의 기술의 위험성을 확실하게 전해서
조금이라도 믿을 수 없는 ActiveX는 설치하지 않도록 해야 하지 않을까요?

좀더 안전한 기술을 위해 공인 인증 기관도 있고, 경고창도 매번 뜨고, 의심되는 프로그램은 깔지 말라고 주의까지 주는데도 사용자가 이상한 프로그램을 억지로 깔아서 해킹을 초래하는데 대체 누가 말립니까. 이런 식의 대책없는 딴지 걸기는 정말 바람직하지 못합니다.

그리고 사실 액티브엑스 컨트롤은 리눅스에서 사용이 불가능하기 때문에 리눅스랑은 하등의 아무 상관도 없는 건데 왜 이렇게 꾸준히 관심도가 높은 건지 모르겠네요. 그저 MS 플랫폼이 뚫렸는데 리눅스는 영향 안받더라는 자위용으로 이런 뉴스가 꾸준히 올라온다고 밖에는 해석이 안되는군요. MS가 뚫렸다고 리눅스 쓸 일은 없으니(인터넷 뱅킹이 애시당초 안되니까) 리눅스한테 이로울 일도 없고, 개발자들이 아니라서 그런지 매냥 비생산적이고 탁상공론적인 주제에만 몰려 있는 것도 바람직한 현상으로 보이지는 않네요. 차라리 이 시간에 리눅스에서 인터넷 뱅킹을 어떻게 지원할 것인가 토의를 하는게 훨씬 낫겠습니다. 엄한 남의 OS 비난은 그만 하고...

우선 손님께서도 주장하시는 몇가지를 정리하면,
1. MS도 activx 의 위험성을 sp2에서는 설치시 경고한다.
2. 어떤걸 인스톨하지 않고서는 보안이 불가능하다.
3. 단순 MS가 제작한 OS가 해킹당했다고 해서 비난하지 말자.

현재 이 글에 올라가있는 내용은 단순히 MS가 만든 프로그램은 안돼는 아니므로 탁상공론은 아닙니다.
또한 이미 인터넷 뱅킹으로는 먼저 사용되고 있는 MS OS에 대한 해킹사고를 토론하므로써 리눅스 인터넷 뱅킹이 가능하도록 방법을 찾을 수도 있습니다.

제가 생각하는 현재 국내의 인터넷 뱅킹은 너무나 ActvieX에 의존적이라는 것입니다.
특히 MS도 위험하다고 주장하는 ActiveX를 이용해서 보안을 구현하는 것이죠.. 이것이 현재까지의 논지의 핵심입니다.

ActiveX 좋은 기술입니다. 인증허가 후 사용자의 리소스를 제어,억세스 할수 있다는 것이 얼마나 좋은 기술입니까?
하지만 같이 위험한 기술임을 알면서도 은행에서 그 기술로 편하다는 이유로 구현한 것이 문제라는 것입니다.

현재 보안키는 ActiveX를 통해 인스톨 됩니다.
이를 다운로드 방식으로 사용자가 설치하게 한다고 문제가 될까요?
(문제야 많겠지만 극단적은 예상입니다만 크게 다르지 않습니다.)

현재 이번 인터넷 뱅킹의 해킹사고는 단순히 키로거 프로그램만 조심하면 된다의 문제도 있지만, 보안상 위험한 프로그램으로 보안을 구현한 문제도 있습니다.

왜냐 보안을 중시하는 은행도 ActiveX를 설치하라고 하는데,
컴퓨터 초보가 다른 곳에서 설치하라는 안내 문구가 어떻게 받아 들이겠습니까?

이점이 문제입니다. ActivX에 대한 내성이 항생제처럼 크다는 말입니다.

손님께서도 KLDP니깐 너희들 항상 이딴식이냐 라고 받아들이시지 마시고, 저두 리눅서 입장에서 리눅스로 인터넷 뱅킹이 문제가 더심각할 경우도 많습니다. 저희의 꿈은 리눅스 인터넷 뱅킹 실현이고,
이를 위한 토론이라고 받아 주시기 바랍니다. ^^

warpdory의 이미지

bs0048 wrote:
정작 이 사건에 중요한 역할을 한 키로거에 대해서 말씀해주실 분은 없나요? :(

얼마전에 http://www.atfile.com 이 크래킹 되어서 어떤 파일이든 다운로드 받으려고 하면 무슨 키로그 프로그램이 다운 받아지기도 ㅤ했었고... 별 생각없이 실행시키면 .. 바로 노출되는 그런 일이 있기도 했었죠.

보통 pc 방 가면 키로거가 몇개씩은 깔려 있더군요...
전번에도 저쪽 자유게시판 쪽에 썼었는데... 출장와서 급히 메일 보낼 게 있어서 pc 방에 들어가서 체크해 보니깐 지워도 지워도 안 지워지길래... 일단 전화로 떼워놓고 나중에 처리한 적도 있습니다. 거의 20분 이상을 지워도 남아 있더군요... 몇번 리부팅 해도 남아 있고...

제 경우는 pc 방에 가더라도 최소한 3,4 가지 이상의 스파이웨어 제거 프로그램/백신 등등으로 치료하고, 그래도 혹시 모르기 때문에 로그인 해야 하는 게임 같은 건 안합니다. 그냥 워크래프트 3 컴퓨터랑 하거나 하면서 시간 떼우기나 좀 하는 거죠.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

line7979의 이미지

BPK 를...

PC방에서 은행거래를 하다니... 대단하심 :roll:

종종 자신을 돌아보아요!~

하루 1% 릴리즈~~

bejoy4him의 이미지

PC방에 키로거 같은게 깔려있을거라고 생각을 하긴 했는데..

예상보다 많이 깔려 있나보군요...
피씨방에서 인터넷 뱅킹 같은것은 안하지만...
웹메일 같은것은 사용하기도 합니다. 예라잇.. 내 메일 볼테면 봐라 하는 심정으로요... ㅡ.ㅡ; 위험한 생각이긴 하죠.. ^^

키로거 같은건... 메시지 후킹 정도만 하기 때문에 만들기 쉬울것 같은데.. 키로거 같은것을 우회하는것은 쉽지 않은 것 같습니다.

activeX같은걸로 디바이스 드라이버로 메시지 후킹하는 모듈이 윈도 커널내부에 설치될수도 있다고 하더군요.... 키보드 차원의 보안프로그램도 키로거가 하는것과 비슷하게.. 디바이스 드라이버 처럼 설치가 되어서 여러가지 꽁수(그게 뭔지는 모릅니당 ㅡ.ㅡ)를 통해서 구현한다고 하는군요..
정작 궁금한 것은 그 꽁수가 무었이냐 하는 것일텐데.. 아는게 없군요..

뭐.. 제가 그냥 하려는 말은 "디바이스 드라이버"프로그래밍만 전문적으로 하시는 분의 이야기로는 '얼마전에도 대형 소프트 회사에 그런 프로그램을 짜서 납품하기는 했는데.. 그 방법이라는게 근본적인 해결책은 되지 못한다'라고 말한 사실입니다. 그냥 후킹을 조금더 어렵게 만들어놓은 수준이다라고 말씀하시더군요...

사용하는 OS가 윈도가 되었던 리눅스가 되었던 보안이라는게 아무래도 사용하는 사람이 구멍이 되는 경우가 다수겠죠??
그나마 sp2이후에 activeX설치를 물어보고 설치하도록 되어있으니 많이 나아진거 같기는 합니다. 단 주의를 기울이는 사람들에 한해서!!

익명 사용자의 이미지

Anonymous wrote:

이게 무슨 근본적인 보안 문제라는건지 이해가 안되네요. 리눅스용으로 인터넷뱅킹 플러그인이 나와도 똑같은 문제가 발생할수 있습니다. 리눅스는 무슨 신비로운 보안 기능이 있어서 악성 프로그램을 원천적으로 차단할수 있는줄 아시나 본데, 악성 프로그램 제작자들이 리눅스용을 안만들어서 그런것뿐이지 내부구조로 보면 윈도나 리눅스나 거기서 거기입니다. 리눅스라고 안뚫릴 이유가 전혀 없거든요.

아니죠. sp2까지 업데이트된 윈도우즈 xp로 새 시스템 설치를 해 봐도 여전히 윈도우즈는 디폴트로 Administrator 계정이 뜹니다. 리눅스는 어느 배포본을 쓰던 적어도 일반 사용자에게 바로 root권한을 주는 법이 없습니다. su나 sudo가 괜히 있는게 아니죠.

게다가 ActiveX 플러그인은 아무생각 없이 현재 로그인된 계정의 권한으로 플러그인이 돌아갑니다. 그러니 ActiveX로 Administrator 권한 획득이 해커들에게는 누워서 떡먹기가 되죠. 이건 ActiveX의 근본적인 보안 모델 결함입니다.

이해가 되었는지 모르겠군요.

익명 사용자의 이미지

Anonymous wrote:
좀더 안전한 기술을 위해 공인 인증 기관도 있고, 경고창도 매번 뜨고, 의심되는 프로그램은 깔지 말라고 주의까지 주는데도 사용자가 이상한 프로그램을 억지로 깔아서 해킹을 초래하는데 대체 누가 말립니까. 이런 식의 대책없는 딴지 걸기는 정말 바람직하지 못합니다.

일반인들이 하는 ActiveX에 대한 가장 큰 오해 중의 하나가
공인인증기관에서 인증을 받으면 신뢰할 수 있다라고 생각하는 것입니다.
공인인증기관은 ActiveX가 제작사에서 배포된 시점부터 사용자컴퓨터에 설치되는 사이에 변조가 없었다는 것만을 보증해줍니다.
즉 제작사가 악의를 가지고 있다면, 공인인증이라는 것은 아무런 소용이 없습니다.

솔직히 카페글에 ActiveX를 삽입해 놓으면,
일반 사용자들은 이것이 카페를 운영하는 회사에서
카페서비스를 위해 (etc아바타나,글쓰기, 메신저,파일업로드다운)
설치하는 ActiveX인지 아니면,
카페에 글을 올리는 사람이 악의적으로
삽입한 것인지 구분하기 어렵습니다.

Quote:
결국 가장 낮은 수준인 script kiddie의 해킹조차도 막을 수 없었다는 얘기네요. 이번 기회에 ActiveX 플러그인의 보안 문제가 사회적으로 좀 환기되었으면 합니다.

애초의 문제의 단초를 제공한 이문장도 잘 뜯어서 보면,
MS의 ActiveX 기술에 따르는 잠재적 보안의 문제를 언급하는 것보다는
일반 사용자들의 희박한 악의적 ActiveX에 대한 보안불감증에 대한
문제를 지적하고 있다고 생각합니다.

결국 좋은 기술도 쓰는 사람에게 달려 있는 것이고,
쓰는 사람이 옳지 못하면, 언제나 문제는 발생할 소지는 있습니다.

더구나 국내환경이 지나치게 ActiveX에 의존적이니,
일반사용자들에게는 이러한 악의적 목적의 ActiveX의
노출될 가능성이 상대적으로 높다는 것이고,
또한 이에 대한 홍보도 부족하다는 것에는 분명한 사실입니다.

제 생각에는 손님이 좀 너무 민감한 것 같습니다.

익명 사용자의 이미지

참고로
자동차사고의 위험성에 대해서 언급한것만으로
이 사람이 자동차에 대한 병적 혐오증을 가진 사람이라고
생각하는 사람은 거의 없습니다.
오히려 그렇게 생각하는 사람이 피해 망상에 시달리고 있을 가능성이 높습니다.

아래와 같은 글을 적는 것 처럼요.

Quote:
천만명의 인터넷 뱅킹 사용자 중에 겨우 한두명 해킹당한 거 갖고 너무 오버해서 말씀하시는 것 아닌가요. 리눅스 서버 한두대가 해킹으로 뚫리면 "이번 기회에 리눅스의 보안 문제가 사회적으로 좀 환기되었으면 좋겠다"고 해야겠군요.

뭔 얘기만 나오면 MS나 MS의 기술을 씹지 못해서 안달이 난 태도, 별로 바람직해 보이지 않는군요. 애시당초 출처가 불분명한 프로그램을 아무 생각도 않고 깐 게 문제지 기술 자체가 왜 문제라는 건지...

buffmail의 이미지

bs0048 wrote:
그리고 후킹을 감지하는 경우도 잘 알려진 후킹 모듈을 탐지할 수는 있지만 100% 막을수는 없다고 하는 글을 본 적이 있는데 혹시 잘 아시는 분이 계시면 설명 부탁드립니다..

예전에 MS 기반에서 게임 보안 일을 잠깐 했었습니다. 대략 타 프로세스 메모리 임의 열람방지, 키로그 방지 기능 등을 작성했었습니다.

키로그는 크게 두가지 부류가 있는데, 윈도우 메시지 후킹 방식이랑 디바이스 드라이버 방식이 그 두 가지 입니다. 윈도우 메시지 후킹이 좀 더 윗단에 속하고 드라이버가 밑단이죠.. 몇 년 전 악명을 떨쳤던 백오리피스 등은 메시지 후킹 방식에 속합니다.

제가 키보드 드라이버 부분을 직접 담당한 건 아니지만, MS 기반은 구조가 아주 유연해서 키보드에서 프로세스로 키가 처리되는 과정과정마다 (서너개 정도의 레이어로 기억) 뭔가를 삽입해서 중도에 훔쳐볼 수 있었던 것으로 기억합니다. 문제는 무슨 모듈인가가 끼어 있어도, 이것이 도대체 키로깅을 하는 놈인지 다른 프로그램에서 키로그를 막으려고 하는 것인지 특수한 키보드 드라이버인지.. 알 수 없어서, 함부로 막을 수 없었던 것으로 기억합니다.

간단히 뭔가 비정상적인 게 설치되어 있는 경우, 실행을 중지하게끔 하면 되긴 하지만, 만일 그것이 키로그 프로그램이 아니었다면, 사용자 입장에선 난리나는거죠.. 멀쩡한 컴터인데 안된다고... 즉 설치된 것이 무엇무엇이다, 그것을 제거하려면 어떻게 해야 한다..이런 것까지 말 해 줄 수 있어야 실행을 중지시키는 정책을 적용할 수 있는데.. 그것이 완전히 case by case 라서 쉽지가 않죠.. 이렇게 보안이란 것이 사용자 편의성과 상충되는 측면이 있어서, 개발사 입장에서 의심간다고 해서 함부로 막을 수 없는 이런 애로 사항;;;이 있었습니다. (더군다나 사용자가 일반 대중들인 게임이나 인터넷뱅킹 같은 분야는 더욱 그러하겠죠..)

이래저래 개발 과정에서 키로거를 하나 둘씩 테스트 했었는데,, 이상했던 점이 은행 인증서 프로그램이 간단한 메시지 기반 키로그도 막지 못하는 것이였습니다. 국내에서 제일 큰 모 은행 (제 주거래은행ㅡ.ㅡ;;)에서 테스트를 해 봤는데, 드라이버 이런 거 없이 메시지 후킹 방식 순수 win32api 로만 작성한 샘플 키로거에 바로 노출이 되더군요....

제 생각에는 이것도 위에서 말한 애로 사항 때문에 그러지 않았나.추측을 했는데.. 아무튼 그 다음부터는, 저는 믿을 수 없는 곳에서 절대로 비번 그냥 치지 않습니다. 굳이 쳐야 한다면, 노트패드 같은 거 열어서 비번 랜덤하게 쳐 준 다음 마우스로 한글자씩 복사-붙여넣기 식으로 해 주고요..

이상한 프로세스 검사하는 분도 계신데, 프로세스 목록도, ProcessNextA () 같은 win32API 간단히 변조해 주면, 맘껏 속일 수 있기 때문에, 근본적으로 믿지는 않습니다. 몇 년 전 유행했던(?) 백오리피스.. 이런 프로그램들은 개발은 중지된 것 같지만, NT 기반으로 완전히 넘어간 지금도 아직도 효력을 그대로 발휘하고 있구요..

시간이 없어서 횡설수설;;했는데, 아무튼 아직까지는 최선책은 중요한 작업은 믿을 수 있는 PC에서만 한다..인 것 같습니다...

익명 사용자의 이미지

bs0048 wrote:
Anonymous wrote:
인증서랑 암호를 빼내도

보안카드 때문에 안 될 것 같은데요.

어캐한 것일까요. -_-

보안카드의 번호 역시 키보드로 입력했기 때문에 알 수 있었겠죠.. 기사에 언급된것처럼 낮아도 1/30 확률이니까요.
인증서는 다른 경로로 빼낸걸까요? 보안이란 역시 사람이 구멍인가봅니다..

특정은행의 보안카드에 사용되는 4자리 숫자는 30개가 카드마다 번호만 다른건가요? 그게 아니라면 카드 자체를 손에 넣지 않는한 때려 맞추는 건 불가능할 것 같은데...

songgun의 이미지

그렇다면 플랫폼이 원도우즈이든 리눅스든, 혹은 맥이나 기타 비교적 소수의 사용자들이 사용하는 플랫폼의 대부분을 (전부 다가 아니라도...) 아우르면서 비교적 상당한 수준의 보안을 제공하는 기술적인 방법에는 어떤 것이 있을까요?

문득 포스팅된 글들을 읽다보니 생각이 났는데, 아무리 생각해봐도 별다른게 떠오르지 않네요. :oops: 그만큼 그동안 별생각이 없았다는 뜻이겠지만요... -_-

애플릿이 그 대안이 될까요? 아니면 요즘 거론되지 시작하는 X-Internet 정도면 될까요? 너무 궁금합니다. 그 대안으로는 어떤 기술이 있을까요?

간단하게 인터넷 뱅킹을 구현한다고 가정해본다면 말이죠.
먼저 SSL 은 일단 기본으로 들어가야 할테고...
보다 폭넓은 지식을 가진 분들의 의견을 구합니다. ^_^

익명 사용자의 이미지

리눅스가 대중화되어도..
루트킷처럼 커널모듈로 해킹 프로그램을 올리면 대책없기는 마찬가지일듯 합니다.

리눅스라고 안전한건 아니죠..
root 권한따기는 윈도보다는 좀 더 어렵겠지만
로컬 계정을 쓰고 있는 이상 불가능한건 결코 아니니까요..
(커널 함수나 혹은 root로 돌아가는 데몬, suid비트가 걸린 프로그램이 100% 안전하다는 보장은 그 누구도 할 수 없으니까요.)

이런일이 발생하면 보통의 사용자가 할 수 있는 일은 윈도우와 마찬가지죠..
포맷...

익명 사용자의 이미지

Anonymous wrote:
bs0048 wrote:
Anonymous wrote:
인증서랑 암호를 빼내도

보안카드 때문에 안 될 것 같은데요.

어캐한 것일까요. -_-

보안카드의 번호 역시 키보드로 입력했기 때문에 알 수 있었겠죠.. 기사에 언급된것처럼 낮아도 1/30 확률이니까요.
인증서는 다른 경로로 빼낸걸까요? 보안이란 역시 사람이 구멍인가봅니다..

특정은행의 보안카드에 사용되는 4자리 숫자는 30개가 카드마다 번호만 다른건가요? 그게 아니라면 카드 자체를 손에 넣지 않는한 때려 맞추는 건 불가능할 것 같은데...

어떻게 때려 맞추는지 알고보면 간단합니다.
A라는 사용자의 10번째 카드번호가 9999 라고 가정합시다.
크래커는 A라는 사용자의 10번째 번호가 9999라는걸 알고 있습니다.
은행홈페이지에 들어가서 자동이체 페이지로 갑니다.
보안카드 번호를 입력하라고 묻지요.
이 번호가 10번이 될때까지 리로드합니다. 대부분의 인터넷 뱅킹은 페이지가 로드될때마다 보안카드 번호를 다른걸로 물어봅니다. 따라서 로그아웃했다가 다시 로그인하는 번거로운 일을 안해도 됩니다.
다른페이지로 갔다가 다시 이체페이지로 가고.. 계속 반복하다 보면 어느 순간 10번이 걸리게 됩니다. 그순간 보안은 0이 되어버리죠.
(한 세션에 할당된 보안카드번호를 일정하게 하면 로그인/로그아웃을 반복하면 피해갈 수 있습니다...)

보안카드의 대안이라..

IC를 이용해서 숫자에 대한 비밀 해쉬값을 만들어내는 기계가 있습니다. 일부 기업뱅킹에 사용되는데요. 이 기계에 입력되는 숫자는 6자리이므로 기껏해야 30개밖에 안되는 보안카드에 비하자면 보안성은 월등히 높습니다. 같은 번호가 다시 나올 확률은 거의 없다고 보면 됩니다. 게다가 날짜도 암호화에 참고하는걸로 알고 있습니다. 설령 같은 번호가 또 나온다고 하더라도 매일매일 다른 결과가 나오지요.
뛰어난 보안성에도 불구하고 가장 큰 문제는... 무료로 나눠주기엔 너무 비쌉니다. -_-;; 그래서 몇몇 기업뱅킹에서만 이용하고 있는걸로 압니다.

gogoonee의 이미지

ActiveX는 필요악 이라고 생각하고 있습니다.
인터넷상에서 서버의 소프트웨어가 클라이언트의 파일 또는 I/O 장치로부터 무언가의 Data를 읽어들이려면, 사용자가 키보드로 치거나, html form 으로 파일을 upload 한다. 외에는 방법이 없습니다. 보안때문에 다 막아놨죠.

근데 파일을 읽어들여야 겠드라 이겁니다 특정 기능이 동작하기 위해선.
대표적인 예가 인터넷 뱅킹이죠. 이건 MS의 ActiveX 와 자바 애플릿으로 가능합니다. 이게 문제시 된다면 둘다 똑같은 문제를 내포하고 있습니다. activeX 를 안쓰고 pki 기반 기능을 웹브라우져로 구현한다면 pki 엔진 띄워놓고 키 입력할 내용을 pki 엔진에 입력하면 밷어내는 암호화된 결과물을 copy & paste 로 웹 폼에다 직접 쳐주면 되겄습니다.

키로거에 대해서 .. 단순한 메시지 후킹 방식을 막지 못했나요? 그랬군요.
그거 detection 은 쉬운 걸로 알고 있는데. 메시지 후킹 방식을 하는 프로세스가 떠있나 확인하는것이 아주 간단한 함수 call 로 알수 있었던걸로 기억합니다.

그렇지 않다면 OS 차원에서 다른 접근법을 강구해야 되겠군요.

차리서의 이미지

꼭이기자부대 wrote:
저는 몇년째 상황이나 상태를 지켜만 보고 있고, 아직 일부러 인터넷뱅킹을 신청하지 않고 있습니다. 뭔가 쫌 찜찜한 느낌이 들어서...

'구더기무서워 장 못담그나 ?'라고 말하는 사람들에게는, 저는 별로 해주고 싶은 말이 없슴다.


저도 비슷합니다. 심지어 저는 나이 서른 둘에 신용카드도 없고, 한국신용정보평가원에 조회하면 그런 사람 없다고 나옵니다. 실명 인증도 안된다는 뜻이죠. 너무 좋습니다. :) (만일 어느날 갑자기 실명 인증이 된다면 주민등록번호 도용당한거겠죠.)

오만한 리눅서 wrote:
꼭27사단분께...

질문이 있는데요...

혹시 운전은 하시나요?


제게 하신 질문은 아니지만 같은 질문을 (다른 분에게서라도) 받을지 몰라서 미리 답변하자면, 운전 안합니다. 운전 면허도 아직 없고 면허 시험을 시도해본 적도 없습니다. 주 활동지역과 집이 가깝고, 취향상 주 활동지역 이외의 다른 곳에는 절대로 빨빨거리고 돌아다니지 않기 때문에 아무 불편이 없습니다. :)

글타래의 본론으로 돌아가서, 전산인으로서 할 소리가 아닌지도 모르지만, 그나마 가장 나은 최선책은 지장(指章)/b]과 [b]창구만 사용하는게 아닐까 합니다.

--
자본주의, 자유민주주의 사회에서는 결국 자유마저 돈으로 사야하나보다.
사줄테니 제발 팔기나 해다오. 아직 내가 "사겠다"고 말하는 동안에 말이다!

fibonacci의 이미지

Anonymous wrote:
리눅스가 대중화되어도..
루트킷처럼 커널모듈로 해킹 프로그램을 올리면 대책없기는 마찬가지일듯 합니다.

리눅스라고 안전한건 아니죠..
root 권한따기는 윈도보다는 좀 더 어렵겠지만
로컬 계정을 쓰고 있는 이상 불가능한건 결코 아니니까요..
(커널 함수나 혹은 root로 돌아가는 데몬, suid비트가 걸린 프로그램이 100% 안전하다는 보장은 그 누구도 할 수 없으니까요.)

이런일이 발생하면 보통의 사용자가 할 수 있는 일은 윈도우와 마찬가지죠..
포맷...

배포본 정책이 잘 되어 있는 리눅스라면(데비안등), base 부분만 재설치하면 루트킷 정도는 쉽게 삭제할 수 있습니다. 기껏 10분이면 끝납니다. "루트킷 밖에 없어"라고 자신한다면, 포맷보다는 좀더 엘레강스한 방법이죠.

No Pain, No Gain.

익명 사용자의 이미지

fibonacci wrote:
Anonymous wrote:
리눅스가 대중화되어도..
루트킷처럼 커널모듈로 해킹 프로그램을 올리면 대책없기는 마찬가지일듯 합니다.

리눅스라고 안전한건 아니죠..
root 권한따기는 윈도보다는 좀 더 어렵겠지만
로컬 계정을 쓰고 있는 이상 불가능한건 결코 아니니까요..
(커널 함수나 혹은 root로 돌아가는 데몬, suid비트가 걸린 프로그램이 100% 안전하다는 보장은 그 누구도 할 수 없으니까요.)

이런일이 발생하면 보통의 사용자가 할 수 있는 일은 윈도우와 마찬가지죠..
포맷...

배포본 정책이 잘 되어 있는 리눅스라면(데비안등), base 부분만 재설치하면 루트킷 정도는 쉽게 삭제할 수 있습니다. 기껏 10분이면 끝납니다. "루트킷 밖에 없어"라고 자신한다면, 포맷보다는 좀더 엘레강스한 방법이죠.

지금 해킹방어대회 참가중인데, 예선은 해킹대회라 준비가 전혀 안되어 있어서 아주 고전하고 있습니다. 리눅스나 프비 등 유닉스 계열은 방어할 수 있는 길이 거의 무한히 있지만 윈도우즈는 그런것 같지 않습니다. (해킹 방어대회) 다른 팀들은 짝을 이루어서 하는 듯 하는데, 홀로 참가해서 어려움이 많습니다. 운좋게 예선 통과해도 본선에서 윈도우즈도 해야 한다는데 어떻게 대처할 지 난감합니다. 혹시 윈도우즈 방어에 대해 잘 아시는 분 계시면 참고 url 등 좀 남겨주세요. 윈도우즈 무섭습니다. :-(

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
bs0048 wrote:
Anonymous wrote:
인증서랑 암호를 빼내도

보안카드 때문에 안 될 것 같은데요.

어캐한 것일까요. -_-

보안카드의 번호 역시 키보드로 입력했기 때문에 알 수 있었겠죠.. 기사에 언급된것처럼 낮아도 1/30 확률이니까요.
인증서는 다른 경로로 빼낸걸까요? 보안이란 역시 사람이 구멍인가봅니다..

특정은행의 보안카드에 사용되는 4자리 숫자는 30개가 카드마다 번호만 다른건가요? 그게 아니라면 카드 자체를 손에 넣지 않는한 때려 맞추는 건 불가능할 것 같은데...

어떻게 때려 맞추는지 알고보면 간단합니다.
A라는 사용자의 10번째 카드번호가 9999 라고 가정합시다.
크래커는 A라는 사용자의 10번째 번호가 9999라는걸 알고 있습니다.
은행홈페이지에 들어가서 자동이체 페이지로 갑니다.
보안카드 번호를 입력하라고 묻지요.
이 번호가 10번이 될때까지 리로드합니다. 대부분의 인터넷 뱅킹은 페이지가 로드될때마다 보안카드 번호를 다른걸로 물어봅니다. 따라서 로그아웃했다가 다시 로그인하는 번거로운 일을 안해도 됩니다.
다른페이지로 갔다가 다시 이체페이지로 가고.. 계속 반복하다 보면 어느 순간 10번이 걸리게 됩니다. 그순간 보안은 0이 되어버리죠.
(한 세션에 할당된 보안카드번호를 일정하게 하면 로그인/로그아웃을 반복하면 피해갈 수 있습니다...)

적어도 모 은행에 경우는 이렇게 안되는군요. 주거래 은행인데 다행인건가요? ^^

sh.의 이미지

buff님 정보 감사합니다 :)
잠깐 검색을 해봤더니 키보드 입력을 가로채는게 여러 단계에서 가능하네요.
익스플로러를 쓴다고 가정했을때 키보드 입력은

키보드MCU -> I8042포트 드라이버 -> kbdclass드라이버 -> 시스템 메세지큐 -> 쓰레드 메세지큐 -> MSHTML.DLL 대략 이런 과정으로 전해진다고 합니다. (어떤 안티키로거 pt자료에서 슬쩍;;)

과정이 많으니 구멍도 많아서 막기가 쉽지않아보입니다. MSHTML.DLL을 통해서도 입력폼값을 가져올 수 있다네요. 흔히 인터넷 뱅킹을 할 때 설치되는 activex형태의 안티키로거들은 kbdclass단에서의 후킹을 막는 수준이 아닐까 생각해봅니다. 어떤 은행은 공인인증서창이 뜰 때 안티키로거가 작동하는데, 이 때 몇초~몇십초 정도 마우스 포인터와 키보드 포커스가 사라져버리는 현상이 생기기도 하더군요. 아무래도 신뢰가 가질 않는... ==3=3

익명 사용자의 이미지

Anonymous wrote:

적어도 모 은행에 경우는 이렇게 안되는군요. 주거래 은행인데 다행인건가요? ^^

그럴땐 로그아웃했다가 다시 로그인하면 됩니다.
아니면 한두시간 후에 혹은 다음날 다시 해도 되구요.
1/30 의 확률은 손쉽게 뚫립니다.
3개월 후에도 인증서, 비밀번호, 보안카드 모두 똑같은걸 사용할 가능성이 90%를 넘으므로 끈기를 가지고 계속 시도하다 보면 언젠가는 반드시 뚫릴수밖에 없습니다. (길어야 2주면 충분할듯 -_-)

물론 끈기를 가지고 시도할만한 잔고가 존재할 경우의 이야기지요. 잔고가 1만원이라면 아무도 크래킹하려들지 않겠지요. ;)

익명 사용자의 이미지

화면에 보이는 자판으로 입력하는 프로그램..

그건 어떻게 동작하는거죠?

그 프로그램으로 입력해도 키로거에 잡힐까요..?

그냥 글 읽다가 스쳐가는 생각을 적어 봤습니다. ^^:

warpdory의 이미지

http://hani.co.kr/section-005000000/2005/06/005000000200506031909279.html

이런 식으로 뚫었군요.

은행의 보안 의식을 더 높여야 겠습니다.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

hyperhidrosis의 이미지

결국 사용자 시스템에 설치된 해킹 프로그램은 activex 는 아니고
(아마추어가 인증서로 인증된 activex 를 만들기는 힘들겠죠..)

실행파일이 실행된 거군요... 뭐 막을 방법이 없네요..

chronon의 이미지

Quote:
이씨는 지난달 초 인터넷 포털의 한 카페에 ‘재테크’라는 제목으로 글을 올리고, 이 글의 제목을 클릭하는 순간 당사자의 컴퓨터에 해킹 프로그램이 설치되도록 했다.

어떻게 이게 가능한가요?

gogoonee의 이미지

저는 인증서를 스마트 카드에 넣어놓는게 궁극의 해결책이 아닌가 생각합니다.
그리고 스마트 카드를 작동시킬때는 암호를 넣구요.

스마트 카드 빼돌리면 되잖냐. 잘때 빼가거나.
-->암호를 넣어야 구동되게 하면 되죠.

암호를 넣는다구? 그거 그럼 역시 키로거에 걸리잖냐? 나머진 스마트 카드만 빼돌리면 되네?

그래서 또 생각해볼 수 있는게 뭐냐먼 스마트 카드에 키패드가 달려있어 이 키패드로 인증서를 가동하는 거죠.(추가: 편집증 적인 분을 위한다면 키패드의 자판 배열이 다이나믹하게 바뀌는... 영화에서 보는 자주 어떤키가 눌렸다는 것을 알아내서 추측하는걸 막아보자?...) 태양광을 이용한 자그마한 계산기가 몇 천원에 팔리는 걸 보면... 비용 그리 비싸 보이지 않습니다.

**) 신용카드 슬쩍 빼가기만 하면 맘것 쓸수 있는 금융시스템이 수십년간 유지되는걸 보면 이번 건으로 뭔가 확 바뀔것 같지는 않습니다. :cry:

jedi의 이미지

결국 많은 자물쇠 보다 하나의 튼튼한 자물쇠가 필요한대.....과연 .......

사실 인터넷뱅킹을 사용하면 처음 나오는 것이 무장을 해제하라는 것이죠. 팝업창 허용하고.... 등등.....

그러고 보니 자동실행, 자동설치.. 등 자동이라는 것이 치명적인 피해를 일으키는 군요...

편한것이 위험한 것이다....

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

익명 사용자의 이미지

gogoonee wrote:
저는 인증서를 스마트 카드에 넣어놓는게 궁극의 해결책이 아닌가 생각합니다.
그리고 스마트 카드를 작동시킬때는 암호를 넣구요.

스마트 카드 빼돌리면 되잖냐. 잘때 빼가거나.
-->암호를 넣어야 구동되게 하면 되죠.

암호를 넣는다구? 그거 그럼 역시 키로거에 걸리잖냐? 나머진 스마트 카드만 빼돌리면 되네?

그래서 또 생각해볼 수 있는게 뭐냐먼 스마트 카드에 키패드가 달려있어 이 키패드로 인증서를 가동하는 거죠.(추가: 편집증 적인 분을 위한다면 키패드의 자판 배열이 다이나믹하게 바뀌는... 영화에서 보는 자주 어떤키가 눌렸다는 것을 알아내서 추측하는걸 막아보자?...) 태양광을 이용한 자그마한 계산기가 몇 천원에 팔리는 걸 보면... 비용 그리 비싸 보이지 않습니다.

**) 신용카드 슬쩍 빼가기만 하면 맘것 쓸수 있는 금융시스템이 수십년간 유지되는걸 보면 이번 건으로 뭔가 확 바뀔것 같지는 않습니다. :cry:

읽다보니 정기구독(?) 하는 보안관련 메일링 리스트에서 읽은 것이 생각나는 군요.

태국인가 어디에서 (아시아 지역으로 기억) 지문인식 시스템으로 작동하는 자동차(벤* 아니면 B*W로 기억) 주인이 당한 일이랍니다.

범법자가 그차를 절도했는데, 범인이 차 주인에게서 열쇠를 빼앗었다는 군요. 손가락을 잘라서. 아마 그 차 주인쯤 되면 손가락이 그 차보다 더 가치있었을 것인데 보안 잘못해서 애꿎은 손가락만 (아참 고급 승용차도) 날린 케이습니다.

gogoonee의 이미지

Quote:
범법자가 그차를 절도했는데, 범인이 차 주인에게서 열쇠를 빼앗었다는 군요. 손가락을 잘라서. 아마 그 차 주인쯤 되면 손가락이 그 차보다 더 가치있었을 것인데 보안 잘못해서 애꿎은 손가락만 (아참 고급 승용차도) 날린 케이습니다.

잘못된 예입니다.
범인과 주인은 이미 대면을 했습니다. 그냥 죽이고 열쇠빼았죠 뭐...

**) 거의 누구나가 쓰는 핸트폰을 이용하는 방법도 좋은데 이미 관련 기술은 다 있고 실제로 사용하는걸로 알고있습니다.
스시는 분 있을것 같은데. 모네타칩 넣었네 하는게 이거라고 알고 있거든요.

그럼 이제 핸드폰과 컴의 USB 인터페이스 연결 케이블만 싸게 보급하면 되는거죠. 핸드폰 없는 사람은(또는 구형 스는 사람은..) 창구로 오세요~~

jedi의 이미지

기업고객은 USB키를 인증서 대신에 쓰더군요.

설치하는 것이 귀찮지만 최소한 인증서가 복사, 도난 등의 사고를 당하는 것은 방지되는 것으로 알고 있습니다.

자세한건 모르겠구요.

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

익명 사용자의 이미지

저기...

이 기사에서 나온 키로거는...
액티브X로 깔리는게 아니거든요? -_-

리플이 많이 달려서 열어봤더니 액티브X 어쩌고 하는 내용이 대부분이라 당황했다는..;

액티브X도 연관이 있긴 있는데, 해당 은행에서 액티브X로 제공되는 해킹방지 프로그램에 키로거 검출 기능이 빠져있었다고 합니다.

익명 사용자의 이미지

Anonymous wrote:
저기...

이 기사에서 나온 키로거는...
액티브X로 깔리는게 아니거든요? -_-

리플이 많이 달려서 열어봤더니 액티브X 어쩌고 하는 내용이 대부분이라 당황했다는..;

액티브X도 연관이 있긴 있는데, 해당 은행에서 액티브X로 제공되는 해킹방지 프로그램에 키로거 검출 기능이 빠져있었다고 합니다.


뭐 그것은 상관 없습니다. 애시당초 MS를 씹을려고 액티브엑스 탓을 해댄거지 실제로 액티브엑스가 원인이 된건지 만건지 아무도 관심이 없으니까요. 무슨 수로든 MS의 탓으로 실수로 결함으로 뒤집어 씌우는 게 중요한 겁니다.
익명 사용자의 이미지

일년에 자동차 사고로 죽는 사람이 국내서만 10000명이 넘는데 인터넷 뱅킹 해킹이 그렇게 무서우면 다들 차는 어떻게 타고 다니세요? 길거리 다니다 차에 치여 죽을 확율이 인터넷 뱅킹하다 해킹당할 확율의 100배는 되겠군요. :twisted:

gogoonee의 이미지

Quote:
일년에 자동차 사고로 죽는 사람이 국내서만 10000명이 넘는데 인터넷 뱅킹 해킹이 그렇게 무서우면 다들 차는 어떻게 타고 다니세요? 길거리 다니다 차에 치여 죽을 확율이 인터넷 뱅킹하다 해킹당할 확율의 100배는 되겠군요

자동차 사고로 죽는 사람이 많아 이 사고를 줄일 수 있는 방법이 없을까 많은 엔진니어들이 연구중입니다.

거기다 대고 한마디 해주세요. 한국 자동차 연구인 모임 같은데 있을겁니다.

kukyakya의 이미지

Quote:

Quote:
이씨는 지난달 초 인터넷 포털의 한 카페에 ‘재테크’라는 제목으로 글을 올리고, 이 글의 제목을 클릭하는 순간 당사자의 컴퓨터에 해킹 프로그램이 설치되도록 했다.

어떻게 이게 가능한가요?

그러게요. 정말 궁금해서 그러는데, 제목 클릭하는 순간 설치되도록 하려면 ActiveX말고 다른 방법이 있나요?

익명 사용자의 이미지

kukyakya wrote:
Quote:

Quote:
이씨는 지난달 초 인터넷 포털의 한 카페에 ‘재테크’라는 제목으로 글을 올리고, 이 글의 제목을 클릭하는 순간 당사자의 컴퓨터에 해킹 프로그램이 설치되도록 했다.

어떻게 이게 가능한가요?

그러게요. 정말 궁금해서 그러는데, 제목 클릭하는 순간 설치되도록 하려면 ActiveX말고 다른 방법이 있나요?


윈도에서는요, 실행파일 위에 마우스 버튼 누르면 [열기] [저장] [취소] 이렇게 나오는데 [열기]를 누르면 받자마자 바로 실행됩니다. 액티브엑스랑 아무 상관이 없어요. 여기 보면 윈도를 써본 적도 없는 것 같은 사람들이 액티브엑스가 이러쿵 저러쿵 말도 안되는 리플을 적어놨더군요. 단순한 키로거를 액티브엑스 컨트롤이라고 보지도 않고 단정을 내리질 않나, XP SP2에서 액티브엑스를 차단한 것은 MS 조차도 액티브엑스의 위험성을 인정한 것이란 헛소리까지... 액티브엑스 컨트롤을 안깔면 사이트 방문할 때마다 계속 창이 뜨는데 이거 정말 귀찮거든요. 그래서 그걸 자동 차단할 수 있게 옵션을 만든 거지 액티브엑스가 보안에 문제가 있어서 그렇게 만들었다, 이거는 순 말도 안되는 헛소리입니다.

근데 정말 궁금해서 물어보신 거죠?

gogoonee의 이미지

kukyakya wrote:
Quote:

Quote:
이씨는 지난달 초 인터넷 포털의 한 카페에 ‘재테크’라는 제목으로 글을 올리고, 이 글의 제목을 클릭하는 순간 당사자의 컴퓨터에 해킹 프로그램이 설치되도록 했다.

어떻게 이게 가능한가요?

그러게요. 정말 궁금해서 그러는데, 제목 클릭하는 순간 설치되도록 하려면 ActiveX말고 다른 방법이 있나요?

저도 궁금합니다. 먼가 설명이 부족한 느낌이. activeX 로 한것 같진 않은데 멀로 하면 저렇게 되남?

gogoonee의 이미지

Quote:
실행파일 위에 마우스 버튼 누르면 [열기] [저장] [취소] 이렇게 나오는데 [열기]를 누르면 받자마자 바로 실행됩니다.

아.. 그거군요. 어쩐지.. "클릭하는 순간 설치되도록 했다" .. '다운받아 설치하도록 꼬셨다' 군요.

익명 사용자의 이미지

Anonymous wrote:
kukyakya wrote:
Quote:

Quote:
이씨는 지난달 초 인터넷 포털의 한 카페에 ‘재테크’라는 제목으로 글을 올리고, 이 글의 제목을 클릭하는 순간 당사자의 컴퓨터에 해킹 프로그램이 설치되도록 했다.

어떻게 이게 가능한가요?

그러게요. 정말 궁금해서 그러는데, 제목 클릭하는 순간 설치되도록 하려면 ActiveX말고 다른 방법이 있나요?


윈도에서는요, 실행파일 위에 마우스 버튼 누르면 [열기] [저장] [취소] 이렇게 나오는데 [열기]를 누르면 받자마자 바로 실행됩니다. 액티브엑스랑 아무 상관이 없어요. 여기 보면 윈도를 써본 적도 없는 것 같은 사람들이 액티브엑스가 이러쿵 저러쿵 말도 안되는 리플을 적어놨더군요. 단순한 키로거를 액티브엑스 컨트롤이라고 보지도 않고 단정을 내리질 않나, XP SP2에서 액티브엑스를 차단한 것은 MS 조차도 액티브엑스의 위험성을 인정한 것이란 헛소리까지... 액티브엑스 컨트롤을 안깔면 사이트 방문할 때마다 계속 창이 뜨는데 이거 정말 귀찮거든요. 그래서 그걸 자동 차단할 수 있게 옵션을 만든 거지 액티브엑스가 보안에 문제가 있어서 그렇게 만들었다, 이거는 순 말도 안되는 헛소리입니다.

근데 정말 궁금해서 물어보신 거죠?

제가 예전에 본 기사랑 다르네요. SP2에서 그렇게 한것은 예전에 activeX의 경우 그냥 설치할거냐고 경고창이 뜨는데 대부분 사람들이 그냥 Yes를 눌러 설치해버리기 때문에 그렇게 했다고 하더군요. 그렇게 되면 위험한 activeX가 설치될 가능성이 높습니다. 또한 기존의 IE는 테스트 인증으로도 ActiveX를 배포할수 있지만 SP2에서는 테스트인증을 한 ActiveX는 설치할거냐고 물어보지도 않습니다. 즉 테스트 인증은 SP2에서는 배포불가입니다.반드시 베리사인등의 인증을 거쳐야 합니다. 즉 불량(?) ActiveX의 설치를 가급적 막기 위해 SP2에서 조치를 한것이 맞고 ActiveX가 보안성이 없는것도 맞습니다. 경고문에도 쓰여있죠. 무슨무슨 사이트를 신용하는 경우에 설치하라고요. 즉 니 알아서 해라.....라는 거죠.

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
kukyakya wrote:
Quote:

Quote:
이씨는 지난달 초 인터넷 포털의 한 카페에 ‘재테크’라는 제목으로 글을 올리고, 이 글의 제목을 클릭하는 순간 당사자의 컴퓨터에 해킹 프로그램이 설치되도록 했다.

어떻게 이게 가능한가요?

그러게요. 정말 궁금해서 그러는데, 제목 클릭하는 순간 설치되도록 하려면 ActiveX말고 다른 방법이 있나요?


윈도에서는요, 실행파일 위에 마우스 버튼 누르면 [열기] [저장] [취소] 이렇게 나오는데 [열기]를 누르면 받자마자 바로 실행됩니다. 액티브엑스랑 아무 상관이 없어요. 여기 보면 윈도를 써본 적도 없는 것 같은 사람들이 액티브엑스가 이러쿵 저러쿵 말도 안되는 리플을 적어놨더군요. 단순한 키로거를 액티브엑스 컨트롤이라고 보지도 않고 단정을 내리질 않나, XP SP2에서 액티브엑스를 차단한 것은 MS 조차도 액티브엑스의 위험성을 인정한 것이란 헛소리까지... 액티브엑스 컨트롤을 안깔면 사이트 방문할 때마다 계속 창이 뜨는데 이거 정말 귀찮거든요. 그래서 그걸 자동 차단할 수 있게 옵션을 만든 거지 액티브엑스가 보안에 문제가 있어서 그렇게 만들었다, 이거는 순 말도 안되는 헛소리입니다.

근데 정말 궁금해서 물어보신 거죠?

제가 예전에 본 기사랑 다르네요. SP2에서 그렇게 한것은 예전에 activeX의 경우 그냥 설치할거냐고 경고창이 뜨는데 대부분 사람들이 그냥 Yes를 눌러 설치해버리기 때문에 그렇게 했다고 하더군요. 그렇게 되면 위험한 activeX가 설치될 가능성이 높습니다. 또한 기존의 IE는 테스트 인증으로도 ActiveX를 배포할수 있지만 SP2에서는 테스트인증을 한 ActiveX는 설치할거냐고 물어보지도 않습니다. 즉 테스트 인증은 SP2에서는 배포불가입니다.반드시 베리사인등의 인증을 거쳐야 합니다. 즉 불량(?) ActiveX의 설치를 가급적 막기 위해 SP2에서 조치를 한것이 맞고 ActiveX가 보안성이 없는것도 맞습니다. 경고문에도 쓰여있죠. 무슨무슨 사이트를 신용하는 경우에 설치하라고요. 즉 니 알아서 해라.....라는 거죠.


그럼 ActiveX 대신 뭘 써야 보안이 향상되죠? 인터넷 뱅킹 쓰지 말면 된다같은 말도 안되는 답변 말고...
hyperhidrosis의 이미지

Anonymous wrote:

그럼 ActiveX 대신 뭘 써야 보안이 향상되죠? 인터넷 뱅킹 쓰지 말면 된다같은 말도 안되는 답변 말고...

솔직히 파이어폭스도 플러그인 설치할때 경고메시지가 좀더 길게 뜨는것 이외에는 activex 랑 차이 없어 보입니다..

플러그인이 자바처럼 사용할수 있는 api 가 제한이 있는것도 아니고 결국 activex 처럼 시스템 다 건드릴 수 있는것 같더군요.

결국 "자바" 만 쓸수 있는 브라우저가 유일한 대안인것 같네요.

익명 사용자의 이미지

Anonymous wrote:

그럼 ActiveX 대신 뭘 써야 보안이 향상되죠? 인터넷 뱅킹 쓰지 말면 된다같은 말도 안되는 답변 말고...

외국에서는 ActiveX 쓰지 않고도 인터넷 뱅킹 잘만 하던데요?

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
Anonymous wrote:
kukyakya wrote:
Quote:

Quote:
이씨는 지난달 초 인터넷 포털의 한 카페에 ‘재테크’라는 제목으로 글을 올리고, 이 글의 제목을 클릭하는 순간 당사자의 컴퓨터에 해킹 프로그램이 설치되도록 했다.

어떻게 이게 가능한가요?

그러게요. 정말 궁금해서 그러는데, 제목 클릭하는 순간 설치되도록 하려면 ActiveX말고 다른 방법이 있나요?


윈도에서는요, 실행파일 위에 마우스 버튼 누르면 [열기] [저장] [취소] 이렇게 나오는데 [열기]를 누르면 받자마자 바로 실행됩니다. 액티브엑스랑 아무 상관이 없어요. 여기 보면 윈도를 써본 적도 없는 것 같은 사람들이 액티브엑스가 이러쿵 저러쿵 말도 안되는 리플을 적어놨더군요. 단순한 키로거를 액티브엑스 컨트롤이라고 보지도 않고 단정을 내리질 않나, XP SP2에서 액티브엑스를 차단한 것은 MS 조차도 액티브엑스의 위험성을 인정한 것이란 헛소리까지... 액티브엑스 컨트롤을 안깔면 사이트 방문할 때마다 계속 창이 뜨는데 이거 정말 귀찮거든요. 그래서 그걸 자동 차단할 수 있게 옵션을 만든 거지 액티브엑스가 보안에 문제가 있어서 그렇게 만들었다, 이거는 순 말도 안되는 헛소리입니다.

근데 정말 궁금해서 물어보신 거죠?

제가 예전에 본 기사랑 다르네요. SP2에서 그렇게 한것은 예전에 activeX의 경우 그냥 설치할거냐고 경고창이 뜨는데 대부분 사람들이 그냥 Yes를 눌러 설치해버리기 때문에 그렇게 했다고 하더군요. 그렇게 되면 위험한 activeX가 설치될 가능성이 높습니다. 또한 기존의 IE는 테스트 인증으로도 ActiveX를 배포할수 있지만 SP2에서는 테스트인증을 한 ActiveX는 설치할거냐고 물어보지도 않습니다. 즉 테스트 인증은 SP2에서는 배포불가입니다.반드시 베리사인등의 인증을 거쳐야 합니다. 즉 불량(?) ActiveX의 설치를 가급적 막기 위해 SP2에서 조치를 한것이 맞고 ActiveX가 보안성이 없는것도 맞습니다. 경고문에도 쓰여있죠. 무슨무슨 사이트를 신용하는 경우에 설치하라고요. 즉 니 알아서 해라.....라는 거죠.


그럼 ActiveX 대신 뭘 써야 보안이 향상되죠? 인터넷 뱅킹 쓰지 말면 된다같은 말도 안되는 답변 말고...

글을 오해 하시고 있군요. ^^; 글이 이상한가...음..어떻게 설명해야 할지...ActiveX는 사실 일반 프로그램이랑 다를바가 없습니다. 브라우저를 통해 실행된다는 점만 빼면요. 즉....정확히 말하자면 제대로 만들어진 ActiveX의 경우 문제가 없습니다. 다만 악의적인 목적을 가진 ActiveX의 경우 문제가 되는거죠. 즉 ActiveX의 문제는, 사용자의 컴퓨터에, 프로그램을 접근이 쉬운 웹을 통해 컴퓨터 사용자 모르게 설치할 수 있다라는 점이 ActiveX의 문제 입니다(정확하게는 모르게는 아니지만 모르는 사람도 많이 있다고 봅니다.). 보안성이라고 하니 ActiveX모두가 보안성이 제로다 라는 말로 들으셨나 본데요...그건 좀 다릅니다.
그러니까 ActiveX로 만들어진 프로그램의 문제가 아니라 웹에서 ActiveX라는걸로 사용자의 컴퓨터에 수상한걸 마구 설치할수 있다...라는 점이 보안의 구멍이 될수 있다는 겁니다.
hyperhidrosis의 이미지

Anonymous wrote:
Anonymous wrote:

그럼 ActiveX 대신 뭘 써야 보안이 향상되죠? 인터넷 뱅킹 쓰지 말면 된다같은 말도 안되는 답변 말고...

외국에서는 ActiveX 쓰지 않고도 인터넷 뱅킹 잘만 하던데요?

생각해보니 플러그인이고 자바고 다 필요 없네요..

근데, 공인 인증서는 우리나라에서만 쓰는건가요?

익명 사용자의 이미지

hyperhidrosis wrote:
Anonymous wrote:

그럼 ActiveX 대신 뭘 써야 보안이 향상되죠? 인터넷 뱅킹 쓰지 말면 된다같은 말도 안되는 답변 말고...

솔직히 파이어폭스도 플러그인 설치할때 경고메시지가 좀더 길게 뜨는것 이외에는 activex 랑 차이 없어 보입니다..

플러그인이 자바처럼 사용할수 있는 api 가 제한이 있는것도 아니고 결국 activex 처럼 시스템 다 건드릴 수 있는것 같더군요.

결국 "자바" 만 쓸수 있는 브라우저가 유일한 대안인것 같네요.

firefox의 경우는 그래서 특정사이트에서만 확장을 받을 수 있도록 하고 있습니다. 다른사이트에서 확정을 받으려면 그 사이트를 사용자가 직접 추가해야 합니다. 네이버 툴바를 설치해 보시면 알 수있죠. 물론 이경우는 ActiveX처럼 그 사이트를 신뢰할수 있을 경우만 해야 겠죠.

warpdory의 이미지

hyperhidrosis wrote:
Anonymous wrote:
Anonymous wrote:

그럼 ActiveX 대신 뭘 써야 보안이 향상되죠? 인터넷 뱅킹 쓰지 말면 된다같은 말도 안되는 답변 말고...

외국에서는 ActiveX 쓰지 않고도 인터넷 뱅킹 잘만 하던데요?

생각해보니 플러그인이고 자바고 다 필요 없네요..

근데, 공인 인증서는 우리나라에서만 쓰는건가요?

공인인증서는 다른 나라들도 많이 씁니다.
다만, 우리나라처럼 광범위하게, 그리고 윈도즈용만 있는 경우는 별로 없습니다.

얼마전 뉴스를 보니 우리나라에서 공인인증서가 1000 만장 발행됐다더군요. 미국이 그 다음인데, 300 만장 정도라니깐.. 인구 비례로 보면 허벌나게 많이 발행된 것이지요.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

gogoonee의 이미지

hyperhidrosis wrote:
Anonymous wrote:
Anonymous wrote:

그럼 ActiveX 대신 뭘 써야 보안이 향상되죠? 인터넷 뱅킹 쓰지 말면 된다같은 말도 안되는 답변 말고...

외국에서는 ActiveX 쓰지 않고도 인터넷 뱅킹 잘만 하던데요?

생각해보니 플러그인이고 자바고 다 필요 없네요..

근데, 공인 인증서는 우리나라에서만 쓰는건가요?

이 글타래에 이거 올리면 안됩니다.
보안이 뚫렸다 이고.. 키로깅이 핵심입니다.

ssl 만 쓰면 이번 방법에서 인증서 재발급 절차가 필요없는 거죠.
외국에서 잘만 하는군요. 하긴 신용카드란 걸 만들어낸 곳이니까.

fibonacci의 이미지

ActiveX 보안 모듈이 스크립트 키드들이 쓰는 수준의 키로거를 제대로 걸러내지 못한다면, 국내 인터넷 상거래의 안전도가 아마존의 인터넷 쇼핑 혹은 HSBC의 인터넷 뱅킹보다 더 안전할 것이 없습니다.

보안모듈은 괜히 애꿎은 파폭이나 수상한 프로그램으로 생각하고 -_-; 집에서 인터넷 뱅킹할때 IE와 파폭을 같이 띄우면 뭐라뭐라 그러더군요.

그동안 과연 ActiveX 보안 모듈이 얼마나 대단하길래 이거 못쓰는 동네에서는 인터넷 뱅킹도 못하게 하는가... 의구심이 들었는데, 오늘 사건에서 단적으로 그 무용성을 드러내 주는군요.

No Pain, No Gain.

gogoonee의 이미지

fibonacci wrote:
ActiveX 보안 모듈이 스크립트 키드들이 쓰는 수준의 키로거를 제대로 걸러내지 못한다면, 국내 인터넷 상거래의 안전도가 아마존의 인터넷 쇼핑 혹은 HSBC의 인터넷 뱅킹보다 더 안전할 것이 없습니다.

보안모듈은 괜히 애꿎은 파폭이나 수상한 프로그램으로 생각하고 -_-; 집에서 인터넷 뱅킹할때 IE와 파폭을 같이 띄우면 뭐라뭐라 그러더군요.

그동안 과연 ActiveX 보안 모듈이 얼마나 대단하길래 이거 못쓰는 동네에서는 인터넷 뱅킹도 못하게 하는가... 의구심이 들었는데, 오늘 사건에서 단적으로 그 무용성을 드러내 주는군요.

activeX 가 사용되는 이유는 키로거를 걸러내기 위한게 아니라 인증서를 읽어들이고 관련 암호화를 하기위해 있는겁니다.
키로거 걸러내는 기능은 추가로 들어가면 더 좋은건데 이번에 뚫린데는 이 기능이 안들어가 있었던 거구요.

인증서를 사용해야된다. 그리고 인증서 안쓰는데는 국내 금융영업을 하지 못하게 해야된다는 걸 단적으로 드러내는 사건입니다.

단지 인증서 쓰면서 재발급을 허술하게 했다는 운영상의 문제 역시 들났을 뿐이구요.

익명 사용자의 이미지

gogoonee wrote:
fibonacci wrote:
ActiveX 보안 모듈이 스크립트 키드들이 쓰는 수준의 키로거를 제대로 걸러내지 못한다면, 국내 인터넷 상거래의 안전도가 아마존의 인터넷 쇼핑 혹은 HSBC의 인터넷 뱅킹보다 더 안전할 것이 없습니다.

보안모듈은 괜히 애꿎은 파폭이나 수상한 프로그램으로 생각하고 -_-; 집에서 인터넷 뱅킹할때 IE와 파폭을 같이 띄우면 뭐라뭐라 그러더군요.

그동안 과연 ActiveX 보안 모듈이 얼마나 대단하길래 이거 못쓰는 동네에서는 인터넷 뱅킹도 못하게 하는가... 의구심이 들었는데, 오늘 사건에서 단적으로 그 무용성을 드러내 주는군요.

activeX 가 사용되는 이유는 키로거를 걸러내기 위한게 아니라 인증서를 읽어들이고 관련 암호화를 하기위해 있는겁니다.
키로거 걸러내는 기능은 추가로 들어가면 더 좋은건데 이번에 뚫린데는 이 기능이 안들어가 있었던 거구요.

인증서를 사용해야된다. 그리고 인증서 안쓰는데는 국내 금융영업을 하지 못하게 해야된다는 걸 단적으로 드러내는 사건입니다.

단지 인증서 쓰면서 재발급을 허술하게 했다는 운영상의 문제 역시 들났을 뿐이구요.


키로거를 막는 ActiveX 혹은 프로그램들이 어느정도나 효과가 있는지도 이야기 할 문제 아닐까요. 앞의 쓰레드 보면 그다지 효과가 없다는 글도 있던데요.
익명 사용자의 이미지

액티브엑스와는 아무 상관도 없는 단순 키로거 프로그램의 몰래 설치에 의한 해킹을 갖고 무슨 수를 써서든간에 액티브엑스와 결부를 시켜보려는 저의들이 대체 뭔지... 무슨 껀수만 나오면 MS를 못씹어서 안달을 하니 참...

익명 사용자의 이미지

Anonymous wrote:
액티브엑스와는 아무 상관도 없는 단순 키로거 프로그램의 몰래 설치에 의한 해킹을 갖고 무슨 수를 써서든간에 액티브엑스와 결부를 시켜보려는 저의들이 대체 뭔지... 무슨 껀수만 나오면 MS를 못씹어서 안달을 하니 참...

ActiveX가 저지른 죄가 많아서 그렇겠죠. 가장 유력한 용의자중 한명이니까요. :D
gogoonee의 이미지

Quote:
키로거를 막는 ActiveX 혹은 프로그램들이 어느정도나 효과가 있는지도 이야기 할 문제 아닐까요. 앞의 쓰레드 보면 그다지 효과가 없다는 글도 있던데요.

키로거 방지를 재대로 할 수 있느냐 문제는 확답을 할 수 없는거죠. 100% 란 말은 보안쪽에선 쓰지 않는다라는 명언(?)이....

그래서 위에 스마트 카드니 USB 인증서니 핸드폰이니 얘기가 나왔던 거구요. 근데 이거 해도 activeX 나 자바 애플릿 들어가야 될겁니다. 클라이언트 측 장치와 I/O 를 해야되니..

익명 사용자의 이미지

Anonymous wrote:
액티브엑스와는 아무 상관도 없는 단순 키로거 프로그램의 몰래 설치에 의한 해킹을 갖고 무슨 수를 써서든간에 액티브엑스와 결부를 시켜보려는 저의들이 대체 뭔지... 무슨 껀수만 나오면 MS를 못씹어서 안달을 하니 참...

이쯤에서 꺼져주세요.

익명 사용자의 이미지

이러니까 리눅스 광신도란 얘기가 나오나 봅니다.

fibonacci의 이미지

Anonymous wrote:
이러니까 리눅스 광신도란 얘기가 나오나 봅니다.

키로거 검출도 잘 안되는 ActiveX 보안모듈의 무용성은 확실히 옳은 지적인데, 그걸 걸고 왜 MS를 공격하냐고 신경질 내는 Anonymous 님이 더 이상한거 아닌지...

No Pain, No Gain.

익명 사용자의 이미지

fibonacci wrote:
Anonymous wrote:
이러니까 리눅스 광신도란 얘기가 나오나 봅니다.

키로거 검출도 잘 안되는 ActiveX 보안모듈의 무용성은 확실히 옳은 지적인데, 그걸 걸고 왜 MS를 공격하냐고 신경질 내는 Anonymous 님이 더 이상한거 아닌지...


리눅스는 되나요?
익명 사용자의 이미지

Anonymous wrote:
fibonacci wrote:
Anonymous wrote:
이러니까 리눅스 광신도란 얘기가 나오나 봅니다.

키로거 검출도 잘 안되는 ActiveX 보안모듈의 무용성은 확실히 옳은 지적인데, 그걸 걸고 왜 MS를 공격하냐고 신경질 내는 Anonymous 님이 더 이상한거 아닌지...


리눅스는 되나요?

리눅스에서 된다고 한사람 없는거 같은데요. 브라우저만을 이용해서 키로거 깔기도 쉽진 않을거 같고요...
그리고 키로거 방지 안되는거 설치한다고 하는것 괜히 하드만 차지하는거 아닌가요? 현재 있는 프로그램들이라도 테스트 해서 효용성이 있는지는 알아볼 문제라고 생각합니다만...
익명 사용자의 이미지

여기 계신 분들은 프로그램이 동작하는 원리에 대해서 대부분 기본 개념조차 없으신 것 같군요. ActiveX라는 것은 프로그램을 웹으로 배포하는 방법에 관한 것이지 그안에 무슨 엄청난 비밀이 숨어 있고 그런 게 전혀 없어요. 기존에는 프로그램을 디스크라는 매체에 담아 물리적으로 배포를 했다면 지금은 웹을 통해 직접 배포한다는 차이밖에 없는 겁니다. 그니까 보안모듈을 액티브엑스로 만들었건 일반 프로그램으로 만들었건 내부 동작은 아무 차이도 없는 겁니다. 단지 인터넷으로 배포하면 편하니까 그렇게 하는 거죠.

근데 여기서 보면 보안모듈이 ActiveX로 만들었는데 키로거를 검출 못했기 때문에 ActiveX 기술 자체가 문제가 있다고 궤변을 늘어놓는 사람이 놀랄 정도로 많습니다. 그렇다면 그 보안모듈을 일반 프로그램으로 만들어서 배포하면 못잡던 키로거가 갑자기 검출이 되나요? 보안 모듈이 키로거를 잡고 못잡고는 보안 모듈의 기본 코드가 어떻게 설계돼 있느냐에 결정되는거지 그걸 디스크에 담아 배포하고 웹으로 직접 배포하고 이런 배포 방법의 차이와는 아무 상관도 없는 겁니다. 근데 이렇게 간단한 원리를 이해를 못하고 쌩뚱맞은 소리만 골라서 해대니 기가 차는 거죠. 쯧쯧... 그러고도 다들 전문가 흉내를 내니 더 어이가 없고.

익명 사용자의 이미지

그런데, 키로거 는 어떻게 검출해야 하나요?

백신이 검출하는 방법밖에 없는 것인가요?

궁금하네요.

이거 불안해서 쓰겠나..

익명 사용자의 이미지

firefox wrote:
그런데, 키로거 는 어떻게 검출해야 하나요?

백신이 검출하는 방법밖에 없는 것인가요?

궁금하네요.

이거 불안해서 쓰겠나..


여기 계신 ActiveX가 보안상 위험하고 어쩌고 하는 개념없는 분들보다 더 개념만 없지 않으면 컴터에 키로거 깔릴 일은 평생 없으니 걱정 안하셔도 됩니다.
익명 사용자의 이미지

Anonymous wrote:
여기 계신 분들은 프로그램이 동작하는 원리에 대해서 대부분 기본 개념조차 없으신 것 같군요. ActiveX라는 것은 프로그램을 웹으로 배포하는 방법에 관한 것이지 그안에 무슨 엄청난 비밀이 숨어 있고 그런 게 전혀 없어요. 기존에는 프로그램을 디스크라는 매체에 담아 물리적으로 배포를 했다면 지금은 웹을 통해 직접 배포한다는 차이밖에 없는 겁니다. 그니까 보안모듈을 액티브엑스로 만들었건 일반 프로그램으로 만들었건 내부 동작은 아무 차이도 없는 겁니다. 단지 인터넷으로 배포하면 편하니까 그렇게 하는 거죠.

근데 여기서 보면 보안모듈이 ActiveX로 만들었는데 키로거를 검출 못했기 때문에 ActiveX 기술 자체가 문제가 있다고 궤변을 늘어놓는 사람이 놀랄 정도로 많습니다. 그렇다면 그 보안모듈을 일반 프로그램으로 만들어서 배포하면 못잡던 키로거가 갑자기 검출이 되나요? 보안 모듈이 키로거를 잡고 못잡고는 보안 모듈의 기본 코드가 어떻게 설계돼 있느냐에 결정되는거지 그걸 디스크에 담아 배포하고 웹으로 직접 배포하고 이런 배포 방법의 차이와는 아무 상관도 없는 겁니다. 근데 이렇게 간단한 원리를 이해를 못하고 쌩뚱맞은 소리만 골라서 해대니 기가 차는 거죠. 쯧쯧... 그러고도 다들 전문가 흉내를 내니 더 어이가 없고.


누가 그렇게 말했다는겁니까?
익명 사용자의 이미지

Anonymous wrote:

근데 여기서 보면 보안모듈이 ActiveX로 만들었는데 키로거를 검출 못했기 때문에 ActiveX 기술 자체가 문제가 있다고 궤변을 늘어놓는 사람이 놀랄 정도로 많습니다.

누가 그렇게 말했나요? ActiveX로 만들어진 키로거 방지 프로그램이 제 역활을 못하고 있다고 말하고 있는데요? 컴퓨터 공부보다 한글 공부를 먼저 하셔야 겠네요.

fibonacci의 이미지

Anonymous wrote:
여기 계신 분들은 프로그램이 동작하는 원리에 대해서 대부분 기본 개념조차 없으신 것 같군요. ActiveX라는 것은 프로그램을 웹으로 배포하는 방법에 관한 것이지 그안에 무슨 엄청난 비밀이 숨어 있고 그런 게 전혀 없어요. 기존에는 프로그램을 디스크라는 매체에 담아 물리적으로 배포를 했다면 지금은 웹을 통해 직접 배포한다는 차이밖에 없는 겁니다. 그니까 보안모듈을 액티브엑스로 만들었건 일반 프로그램으로 만들었건 내부 동작은 아무 차이도 없는 겁니다. 단지 인터넷으로 배포하면 편하니까 그렇게 하는 거죠.

근데 여기서 보면 보안모듈이 ActiveX로 만들었는데 키로거를 검출 못했기 때문에 ActiveX 기술 자체가 문제가 있다고 궤변을 늘어놓는 사람이 놀랄 정도로 많습니다. 그렇다면 그 보안모듈을 일반 프로그램으로 만들어서 배포하면 못잡던 키로거가 갑자기 검출이 되나요? 보안 모듈이 키로거를 잡고 못잡고는 보안 모듈의 기본 코드가 어떻게 설계돼 있느냐에 결정되는거지 그걸 디스크에 담아 배포하고 웹으로 직접 배포하고 이런 배포 방법의 차이와는 아무 상관도 없는 겁니다. 근데 이렇게 간단한 원리를 이해를 못하고 쌩뚱맞은 소리만 골라서 해대니 기가 차는 거죠. 쯧쯧... 그러고도 다들 전문가 흉내를 내니 더 어이가 없고.

ActiveX 기술 그 자체의 결함을 말한 것이 아닙니다. 현재 소위 "보안"이란 굴레 하에 국내 금융거래는 모두 IE와 ActiveX 보안모듈를 이용해야 하며, 그로 인해 Windows 사용자가 아니면 인터넷 뱅킹 심지어는 학교 포탈에도 접속못하는 일이 벌어지고 있죠. 그정도의 대가를 지불하고 사용하는 보안 모듈이 키로거도 검출못하는 사태가 일어났는데, 보안 모듈을 굳이 ActiveX란 극히 플랫폼 종속적 솔류선을 검토해야 하는 이유가 있냐는 것입니다. 암호화가 이유라면 굳이 ActiveX만을 이용해야 할 이유는 없습니다.

No Pain, No Gain.

atie의 이미지

생뚱맞은 소리겠지만, 인터넷 뱅킹에서 타인 구좌로 이체를 허용하는 자체가 문제가 아닐까요?

----
I paint objects as I think them, not as I see them.
atie's minipage

익명 사용자의 이미지

fibonacci wrote:
Anonymous wrote:
여기 계신 분들은 프로그램이 동작하는 원리에 대해서 대부분 기본 개념조차 없으신 것 같군요. ActiveX라는 것은 프로그램을 웹으로 배포하는 방법에 관한 것이지 그안에 무슨 엄청난 비밀이 숨어 있고 그런 게 전혀 없어요. 기존에는 프로그램을 디스크라는 매체에 담아 물리적으로 배포를 했다면 지금은 웹을 통해 직접 배포한다는 차이밖에 없는 겁니다. 그니까 보안모듈을 액티브엑스로 만들었건 일반 프로그램으로 만들었건 내부 동작은 아무 차이도 없는 겁니다. 단지 인터넷으로 배포하면 편하니까 그렇게 하는 거죠.

근데 여기서 보면 보안모듈이 ActiveX로 만들었는데 키로거를 검출 못했기 때문에 ActiveX 기술 자체가 문제가 있다고 궤변을 늘어놓는 사람이 놀랄 정도로 많습니다. 그렇다면 그 보안모듈을 일반 프로그램으로 만들어서 배포하면 못잡던 키로거가 갑자기 검출이 되나요? 보안 모듈이 키로거를 잡고 못잡고는 보안 모듈의 기본 코드가 어떻게 설계돼 있느냐에 결정되는거지 그걸 디스크에 담아 배포하고 웹으로 직접 배포하고 이런 배포 방법의 차이와는 아무 상관도 없는 겁니다. 근데 이렇게 간단한 원리를 이해를 못하고 쌩뚱맞은 소리만 골라서 해대니 기가 차는 거죠. 쯧쯧... 그러고도 다들 전문가 흉내를 내니 더 어이가 없고.

ActiveX 기술 그 자체의 결함을 말한 것이 아닙니다. 현재 소위 "보안"이란 굴레 하에 국내 금융거래는 모두 IE와 ActiveX 보안모듈를 이용해야 하며, 그로 인해 Windows 사용자가 아니면 인터넷 뱅킹 심지어는 학교 포탈에도 접속못하는 일이 벌어지고 있죠. 그정도의 대가를 지불하고 사용하는 보안 모듈이 키로거도 검출못하는 사태가 일어났는데, 보안 모듈을 굳이 ActiveX란 극히 플랫폼 종속적 솔류선을 검토해야 하는 이유가 있냐는 것입니다. 암호화가 이유라면 굳이 ActiveX만을 이용해야 할 이유는 없습니다.


그럼 액티브엑스 말고 뭘 쓰면 됩니까? 국내 수십개 수백개의 은행 증권회사 금융권들이 윈도용이랑 리눅스용이랑 따로따로 개발하느라 돈 낭비 하느니 걍 리눅스에서 액티브엑스 돌아가게 만들면 되는데, 쉬운 문제를 왜케 어렵게 생각들을 하는지...
익명 사용자의 이미지

atie wrote:
생뚱맞은 소리겠지만, 인터넷 뱅킹에서 타인 구좌로 이체를 허용하는 자체가 문제가 아닐까요?

인터넷을 통해 타인 구좌로 돈을 이체하는 것을 인터넷 뱅킹이라고 합니다.
익명 사용자의 이미지

이사건에 대해 은행측은 고객측 잘못이다 라고 하는데,

인터넷뱅킹으로 돈을 빼갔다면, 이체를 했을텐데, 보낸 곳이 대포통장(?)인가봐요.
이체하고, 바로 돈빼서 도망갔나?

혹시 이런기능 있나요?
A 계좌에서 이체가능한 계좌번호를 몇개만 지정할 수 있는 그런것이요.
이런것이 있다면, 크래킹당해도 지정된 계좌로만 이체할 수 있으니, 별 문제가 없을 수도 있을 것 같은데 말이죠.
이런기능이 있으면 신청해놔야 겠네요. 혹시 아시는 분.

gogoonee의 이미지

atie wrote:
생뚱맞은 소리겠지만, 인터넷 뱅킹에서 타인 구좌로 이체를 허용하는 자체가 문제가 아닐까요?

가만.. 그럼 조회만 하신단 건가요? 그건 현재도 됩니다. 인증서 없이.

이체는 안하시고 입금, 출금만 하시겠다.
스캐너 좋은게 필요합니다.

돈 읽어들여서 액수를 판별하고 은행 구좌에 입금되면 스캐너가 물고 있던 돈을 파쇄!!!

출금은... 출금은.... 출금은....

:oops:

페이지