[보안/은행] '인터넷뱅킹' 첫 해킹사건, 거액 빠져나가

익명 사용자의 이미지

은행 '인터넷뱅킹' 첫 해킹당해 거액 빠져나가
출처 연합뉴스 2005-06-03 12:01
http://news.naver.com/news/read.php?mode=LSS2D&office_id=001&article_id=0001019113&section_id=101&section_id2=259&menu_id=101

'인터넷뱅킹' 첫 해킹…시스템 개선 필요
출처 연합뉴스 2005-06-03 12:02
http://news.naver.com/news/read.php?mode=LSS2D&office_id=001&article_id=0001019116&section_id=101&section_id2=259&menu_id=101

저는 몇년째 상황이나 상태를 지켜만 보고 있고, 아직 일부러 인터넷뱅킹을 신청하지 않고 있습니다. 뭔가 쫌 찜찜한 느낌이 들어서...

'구더기무서워 장 못담그나 ?'라고 말하는 사람들에게는, 저는 별로 해주고 싶은 말이 없슴다.

요즘에는 전화선을 이용한 'PC통신 유틸리티'로 이용하는 'PC뱅킹'(폰뱅킹, Phone뱅킹이 아닙니다. 이 폰뱅킹은 보안이 더 취약하더군요. 과거에 사고도 많이 터졌었고...)은 더이상 신규고객 신청을 받지 않더군요.

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:

근데 여기서 보면 보안모듈이 ActiveX로 만들었는데 키로거를 검출 못했기 때문에 ActiveX 기술 자체가 문제가 있다고 궤변을 늘어놓는 사람이 놀랄 정도로 많습니다.

누가 그렇게 말했나요? ActiveX로 만들어진 키로거 방지 프로그램이 제 역활을 못하고 있다고 말하고 있는데요? 컴퓨터 공부보다 한글 공부를 먼저 하셔야 겠네요.


님은 지금 본질을 호도하고 있는겁니다. 키로거 방지 프로그램이 ActiveX로 만들었는지 일반 애플리케이션으로 만들었는지는 문제의 요점과 아무 관련성도 없다니까요? 그니까 키로거 방지 프로그램 앞에 자꾸 ActiveX 어쩌고 수식어를 붙여서 ActiveX가 문제가 있는 것인야 연기 피우는 짓은 쓸데없는 노력입니다.
익명 사용자의 이미지

Anonymous wrote:

그럼 액티브엑스 말고 뭘 쓰면 됩니까? 국내 수십개 수백개의 은행 증권회사 금융권들이 윈도용이랑 리눅스용이랑 따로따로 개발하느라 돈 낭비 하느니 걍 리눅스에서 액티브엑스 돌아가게 만들면 되는데, 쉬운 문제를 왜케 어렵게 생각들을 하는지...

재미없는 싸움거시네.. 리눅스에서 윈도프로그램 돌아가게 하려면, MS 에서 스펙(?)을 공개하고 사용할 수 있게 해야 하는데..
MS 에서 그렇게 하라고 하던가요? 그랬다면, 제가 개발하겠습니다. ^^

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:

그럼 액티브엑스 말고 뭘 쓰면 됩니까? 국내 수십개 수백개의 은행 증권회사 금융권들이 윈도용이랑 리눅스용이랑 따로따로 개발하느라 돈 낭비 하느니 걍 리눅스에서 액티브엑스 돌아가게 만들면 되는데, 쉬운 문제를 왜케 어렵게 생각들을 하는지...

재미없는 싸움거시네.. 리눅스에서 윈도프로그램 돌아가게 하려면, MS 에서 스펙(?)을 공개하고 사용할 수 있게 해야 하는데..
MS 에서 그렇게 하라고 하던가요? 그랬다면, 제가 개발하겠습니다. ^^


아니 그럼 MS에서 스펙을 공개를 안하는데 지금까지 나온 액티브엑스들은 대체 누가 무슨수로 만든겁니까? 어떤 바보같은 프맹이 "MS에서 스펙을 공개를 안하기 때문에 못만든다"고 무책한 헛소리를 하면 나머지들도 전부 똑같이 합창을 하는 어이없는 씨퓨에이션...
익명 사용자의 이미지

Anonymous wrote:

아니 그럼 MS에서 스펙을 공개를 안하는데 지금까지 나온 액티브엑스들은 대체 누가 무슨수로 만든겁니까? 어떤 바보같은 프맹이 "MS에서 스펙을 공개를 안하기 때문에 못만든다"고 무책한 헛소리를 하면 나머지들도 전부 똑같이 합창을 하는 어이없는 씨퓨에이션...

MS 에서 리눅스에서 사용해도 된다 라고 했나요? 정말이요?
익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:

아니 그럼 MS에서 스펙을 공개를 안하는데 지금까지 나온 액티브엑스들은 대체 누가 무슨수로 만든겁니까? 어떤 바보같은 프맹이 "MS에서 스펙을 공개를 안하기 때문에 못만든다"고 무책한 헛소리를 하면 나머지들도 전부 똑같이 합창을 하는 어이없는 씨퓨에이션...

MS 에서 리눅스에서 사용해도 된다 라고 했나요? 정말이요?

뭐가 "정말이요"죠? 언제는 안된다고 한적 있습니까? 이런 프맹 수준의 질문은 질답 게시판에서 해주세요.
익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
Anonymous wrote:

아니 그럼 MS에서 스펙을 공개를 안하는데 지금까지 나온 액티브엑스들은 대체 누가 무슨수로 만든겁니까? 어떤 바보같은 프맹이 "MS에서 스펙을 공개를 안하기 때문에 못만든다"고 무책한 헛소리를 하면 나머지들도 전부 똑같이 합창을 하는 어이없는 씨퓨에이션...

MS 에서 리눅스에서 사용해도 된다 라고 했나요? 정말이요?

뭐가 "정말이요"죠? 언제는 안된다고 한적 있습니까? 이런 프맹 수준의 질문은 질답 게시판에서 해주세요.

잘나신분이 좀 가르쳐주면 안되나요.
윈도우프로그램을 리눅스에서 돌려도 된다 라고 들은적은 없는 것 같은데요.
익명 사용자의 이미지

완전히 개념을 지마켓에 도매에 팔아넘긴 것같은 말씀을 하는 분들이 너무 많아서 잠깐 설명을 드리죠.

한마디로 얘기하면요, 액티브엑스가 보안에 문제가 있기 때문에 쓰지 말아야 한다는 주장은 거의 정신병자 수준의 망언이거나 프맹들의 헛소리입니다. 그렇게 치면 사실은 C라는 언어 자체를 절대 써서는 안되는 겁니다. C는 언어 사양 자체가 보안 위험과 직결되게 돼있습니다. 실력이 신에 가까운 프로그래머가 아니라면 아무도 피할수가 없죠. 근데 웃기게도 유닉스와 윈도의 프로그램의 대부분 또는 상당부분이 C로 짰거든요? 물론 리눅스도요. 그니까 컴터를 쓴다는 것 자체가 어느 정도는 보안 위험을 감수할 수밖에 없다는 얘깁니다. 액티브엑스 안쓴다고 해결될 성질의 차원이 아닌 거죠. C로 짠 프로그램들이 전부 잠재적으로 보안 위험이 있다면 여러분들 지금 당장부터 컴터 안쓸겁니까? 말도 안되는 짓이죠. 길거리 나가면 혹시나 차에 치여 죽을까봐 집에만 틀어박혀 있는단 얘깁니다.

KLDP가 개발자 커뮤니티가 아니고 사용자 커뮤니티라서 저런 망언들이 먹히는 모양인데, 제가 보기엔 거의 사기꾼들로 보입니다. 말장난으로 인기끌려는...

atie의 이미지

gogoonee wrote:
atie wrote:
생뚱맞은 소리겠지만, 인터넷 뱅킹에서 타인 구좌로 이체를 허용하는 자체가 문제가 아닐까요?

가만.. 그럼 조회만 하신단 건가요? 그건 현재도 됩니다. 인증서 없이.

이체는 안하시고 입금, 출금만 하시겠다.
스캐너 좋은게 필요합니다.

돈 읽어들여서 액수를 판별하고 은행 구좌에 입금되면 스캐너가 물고 있던 돈을 파쇄!!!

출금은... 출금은.... 출금은....

:oops:


한 미국 은행 이야기입니다.

이 은행의 인터넷 뱅킹은 내 구좌로만 이체하는 것이 가능합니다. 입출금이 자유로운 구좌에서 신용카드 구좌로 결제 금액만 이체를 하는거죠. 따로 결제를 해야되는 업체들에 대해서는 은행이 미리 정해둔 목록에서 선택을 하거나 은행에 미리 통보를 해서 이체가 가능하도록 등록을 해 놓고 사용을 합니다.

별도의 인증서가 필요없으며, SSL이 적용된 사이트에 사용자 ID와 비밀번호만을 가지고 사용을 합니다. 리눅스여서 사용이 안되는다는 이야기는 나올 필요조차 없는거죠. 그리고, 설령 ID와 비밀번호가 누출이 되었다고 하더라도 도용하는 사람이 금전적인 혜택을 보기 위해서 별반 할 것이 없고요.

"오프라인에서 해결해야 할 것은 오프라인에서 해야만 한다" 것이 보안의 첫번째가 아닐까 하는 생각입니다.

----
I paint objects as I think them, not as I see them.
atie's minipage

익명 사용자의 이미지

Anonymous wrote:
완전히 개념을 지마켓에 도매에 팔아넘긴 것같은 말씀을 하는 분들이 너무 많아서 잠깐 설명을 드리죠.

한마디로 얘기하면요, 액티브엑스가 보안에 문제가 있기 때문에 쓰지 말아야 한다는 주장은 거의 정신병자 수준의 망언이거나 프맹들의 헛소리입니다. 그렇게 치면 사실은 C라는 언어 자체를 절대 써서는 안되는 겁니다. C는 언어 사양 자체가 보안 위험과 직결되게 돼있습니다. 실력이 신에 가까운 프로그래머가 아니라면 아무도 피할수가 없죠. 근데 웃기게도 유닉스와 윈도의 프로그램의 대부분 또는 상당부분이 C로 짰거든요? 물론 리눅스도요. 그니까 컴터를 쓴다는 것 자체가 어느 정도는 보안 위험을 감수할 수밖에 없다는 얘깁니다. 액티브엑스 안쓴다고 해결될 성질의 차원이 아닌 거죠. C로 짠 프로그램들이 전부 잠재적으로 보안 위험이 있다면 여러분들 지금 당장부터 컴터 안쓸겁니까? 말도 안되는 짓이죠. 길거리 나가면 혹시나 차에 치여 죽을까봐 집에만 틀어박혀 있는단 얘깁니다.

KLDP가 개발자 커뮤니티가 아니고 사용자 커뮤니티라서 저런 망언들이 먹히는 모양인데, 제가 보기엔 거의 사기꾼들로 보입니다. 말장난으로 인기끌려는...

개발자 커뮤니티 라고 부르긴 그렇죠. 특히 bbs.kldp.org 는요.

물론 모두 잠재적 위험은 있죠.
그런데, 그 엑티브액스 가 상대적으로 좀더 위험이 많다 정도겠죠.

익명 사용자의 이미지

atie wrote:
gogoonee wrote:
atie wrote:
생뚱맞은 소리겠지만, 인터넷 뱅킹에서 타인 구좌로 이체를 허용하는 자체가 문제가 아닐까요?

가만.. 그럼 조회만 하신단 건가요? 그건 현재도 됩니다. 인증서 없이.

이체는 안하시고 입금, 출금만 하시겠다.
스캐너 좋은게 필요합니다.

돈 읽어들여서 액수를 판별하고 은행 구좌에 입금되면 스캐너가 물고 있던 돈을 파쇄!!!

출금은... 출금은.... 출금은....

:oops:


한 미국 은행 이야기입니다.

이 은행의 인터넷 뱅킹은 내 구좌로만 이체하는 것이 가능합니다. 입출금이 자유로운 구좌에서 신용카드 구좌로 결제 금액만 이체를 하는거죠. 따로 결제를 해야되는 업체들에 대해서는 은행이 미리 정해둔 목록에서 선택을 하거나 은행에 미리 통보를 해서 이체가 가능하도록 등록을 해 놓고 사용을 합니다.

별도의 인증서가 필요없으며, SSL이 적용된 사이트에 사용자 ID와 비밀번호만을 가지고 사용을 합니다. 리눅스여서 사용이 안되는다는 이야기는 나올 필요조차 없는거죠. 그리고, 설령 ID와 비밀번호가 누출이 되었다고 하더라도 도용하는 사람이 금전적인 혜택을 보기 위해서 별반 할 것이 없고요.

"오프라인에서 해결해야 할 것은 오프라인에서 해야만 한다" 것이 보안의 첫번째가 아닐까 하는 생각입니다.

아주 좋은 방법이네요. 국내은행도 그런 것이 있나요?(있을것 같긴한데)

익명 사용자의 이미지

Anonymous wrote:
물론 모두 잠재적 위험은 있죠.
그런데, 그 엑티브액스 가 상대적으로 좀더 위험이 많다 정도겠죠.

거꾸로 알고 계신겁니다. 액티브엑스는 그나마 공인인증기관이라도 있고 설치하기전에 경고라도 뜨지만, 일반프로그램은 아무 표시도 없이 제멋대로 실행되는데 이게 대체 양성 프로그램인지 악성 프로그램인지 알게 뭡니까.
gogoonee의 이미지

gogoonee wrote:
atie wrote:
생뚱맞은 소리겠지만, 인터넷 뱅킹에서 타인 구좌로 이체를 허용하는 자체가 문제가 아닐까요?

가만.. 그럼 조회만 하신단 건가요? 그건 현재도 됩니다. 인증서 없이.

이체는 안하시고 입금, 출금만 하시겠다.
스캐너 좋은게 필요합니다.

돈 읽어들여서 액수를 판별하고 은행 구좌에 입금되면 스캐너가 물고 있던 돈을 파쇄!!!

출금은... 출금은.... 출금은....

:oops:

출금은 굳이 현금이 될 필요가 없네요. 영화 예매하듯이 프린터로 출력하면
받는 측에서 그걸 전산 조회하고 입금 처리하면 되네요..
그동안 돈은 한국은행 계좌에 들어가 있음 될라나?
이거 인터넷 사업해도 되겠네.. 이미 이런 서비스가 있는지도?
아 그나저나 저도 쌩뚱맞아라....
(농담 수준이니 농담으로 받아주세요.. 그리고 심각하신 손님분들 덜 심각하게 삽시다. 저도 자주 심각해지지만...) :oops:

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
물론 모두 잠재적 위험은 있죠.
그런데, 그 엑티브액스 가 상대적으로 좀더 위험이 많다 정도겠죠.

거꾸로 알고 계신겁니다. 액티브엑스는 그나마 공인인증기관이라도 있고 설치하기전에 경고라도 뜨지만, 일반프로그램은 아무 표시도 없이 제멋대로 실행되는데 이게 대체 양성 프로그램인지 악성 프로그램인지 알게 뭡니까.

그런가요. 상대적위험성은 설치,실행에 대해 더 쉽기때문에 말한 위험성입니다.

공인인증기관이 있지만, 그것이 엑티브액스로 실행되는 프로그램의 정상여부(악성..) 도 확인해 주는지요?

익명 사용자의 이미지

그리고 또 한가지 중요한 점은요, 국내 은행들이 돈이 남아돌고 시간이 남아돌아서 쓸데없이 액티브엑스로 만드는게 아니거든요? 누구나 간단히 SSL을 써서 필요한 보안 수준을 충족할수 있으면 다 그걸로 만들지, 미쳤다고 액티브엑스 쓰고 삽질을 합니까? SSL로는 국내 인터넷뱅킹에 필요한 보안수준을 만족할수 없으니까 따로 만들어서 쓸수밖에 없는거, 이거 상식적인 얘기 아닙니까? 근데도 이것에 대한 사실관계 분석은 전혀없이 맨날 액티브엑스 비난타령이나 하고, 무슨 음악 사이트도 아닌데 "액티브엑스 비난타령"이란 곡은 왜케 KLDP에서 인기를 끄는 건지... 하기사 맨날 말빨에 말장난으로 먹고사는 분들이 액티브엑스를 왜써야 되고 왜안써야 되고 대안이 무엇이고 이런걸 분석했을리도 만무하지만...

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
Anonymous wrote:
물론 모두 잠재적 위험은 있죠.
그런데, 그 엑티브액스 가 상대적으로 좀더 위험이 많다 정도겠죠.

거꾸로 알고 계신겁니다. 액티브엑스는 그나마 공인인증기관이라도 있고 설치하기전에 경고라도 뜨지만, 일반프로그램은 아무 표시도 없이 제멋대로 실행되는데 이게 대체 양성 프로그램인지 악성 프로그램인지 알게 뭡니까.

그런가요. 상대적위험성은 설치,실행에 대해 더 쉽기때문에 말한 위험성입니다.

공인인증기관이 있지만, 그것이 엑티브액스로 실행되는 프로그램의 정상여부(악성..) 도 확인해 주는지요?


해커들이 미치지 않았다면 자기들 신분까지 노출시켜 가면서 비싼돈 들여서 악성 프로그램을 공인인증받을리가 없겠죠? 공인인증업체들은 순전히 인증받아주고 그댓가로 먹고사는 회사들입니다.
chronon의 이미지

쓰레드가 이상하게 흘러가는군요.

http://hani.co.kr/section-005000000/2005/06/005000000200506031909279.html

기사에서 나와 있는 내용만 봅시다.
일단 기사의 내용은 문자 그대로 받아들이겠습니다. (일단 당장 믿을만한 것은 기사 밖에 없으니)

Quote:
이씨는 지난달 초 인터넷 포털의 한 카페에 ‘재테크’라는 제목으로 글을 올리고, 이 글의 제목을 클릭하는 순간 당사자의 컴퓨터에 해킹 프로그램이 설치되도록 했다.

카페의 글의 제목을 클릭하는 순간 프로그램이 설치되었다고 합니다.

윈도우즈에서 특별한 대화 상자가 뜨지 않고 프로그램이 설치될 수 있는 것은 제가 아는 범위에서 딱 세 가지입니다.

1. ActiveX 에서 특정 회사의 제품은 언제나 신뢰한다고 체크했을 때
2. '이런 형식의 ... 를 열때 항상 확인' 에 체크 표시를 없앴을 때
3. 그 외 IE 버그

이 사건에서 중요한 부분은 키로거가 사용자가 모르는 사이에 설치될 수 있었다는 사실입니다.
일단 키로거가 작동된 다음은 논외입니다.

gogoonee의 이미지

Anonymous wrote:
atie wrote:
gogoonee wrote:
atie wrote:
생뚱맞은 소리겠지만, 인터넷 뱅킹에서 타인 구좌로 이체를 허용하는 자체가 문제가 아닐까요?

가만.. 그럼 조회만 하신단 건가요? 그건 현재도 됩니다. 인증서 없이.

이체는 안하시고 입금, 출금만 하시겠다.
스캐너 좋은게 필요합니다.

돈 읽어들여서 액수를 판별하고 은행 구좌에 입금되면 스캐너가 물고 있던 돈을 파쇄!!!

출금은... 출금은.... 출금은....

:oops:


한 미국 은행 이야기입니다.

이 은행의 인터넷 뱅킹은 내 구좌로만 이체하는 것이 가능합니다. 입출금이 자유로운 구좌에서 신용카드 구좌로 결제 금액만 이체를 하는거죠. 따로 결제를 해야되는 업체들에 대해서는 은행이 미리 정해둔 목록에서 선택을 하거나 은행에 미리 통보를 해서 이체가 가능하도록 등록을 해 놓고 사용을 합니다.

별도의 인증서가 필요없으며, SSL이 적용된 사이트에 사용자 ID와 비밀번호만을 가지고 사용을 합니다. 리눅스여서 사용이 안되는다는 이야기는 나올 필요조차 없는거죠. 그리고, 설령 ID와 비밀번호가 누출이 되었다고 하더라도 도용하는 사람이 금전적인 혜택을 보기 위해서 별반 할 것이 없고요.

"오프라인에서 해결해야 할 것은 오프라인에서 해야만 한다" 것이 보안의 첫번째가 아닐까 하는 생각입니다.

아주 좋은 방법이네요. 국내은행도 그런 것이 있나요?(있을것 같긴한데)

아 그런 말슴이셨군요.. '타인' 계좌로 이체를 못하게 하신다는 거였는데 제가 제대로 읽지 못했습니다.

나쁘지 않습니다만 효용성은 많이 줄어드네요.

익명 사용자의 이미지

Anonymous wrote:

해커들이 미치지 않았다면 자기들 신분까지 노출시켜 가면서 비싼돈 들여서 악성 프로그램을 공인인증받을리가 없겠죠? 공인인증업체들은 순전히 인증받아주고 그댓가로 먹고사는 회사들입니다.

위 말은 공인인증받은 active-x 는 신뢰해도 된다라는 말인가요?
그렇다면, 악성프로그램에 대해 공인인증기관이 책임을 져 주겠죠.
익명 사용자의 이미지

chronon wrote:
이 사건에서 중요한 부분은 키로거가 사용자가 모르는 사이에 설치될 수 있었다는 사실입니다.

뭐가 중요한 부분이죠? 내가 아는 사이에 바이러스가 컴터에 감염되고 악성 프로그램이 침투하는 경우도 있나요? :lol: :lol: "저는 악성 프로그램인데 설치하실래요?"같은 친절한 프로그램은 없습니다.
익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:

해커들이 미치지 않았다면 자기들 신분까지 노출시켜 가면서 비싼돈 들여서 악성 프로그램을 공인인증받을리가 없겠죠? 공인인증업체들은 순전히 인증받아주고 그댓가로 먹고사는 회사들입니다.

위 말은 공인인증받은 active-x 는 신뢰해도 된다라는 말인가요?
그렇다면, 악성프로그램에 대해 공인인증기관이 책임을 져 주겠죠.

당연하죠.
익명 사용자의 이미지

Anonymous wrote:
chronon wrote:
이 사건에서 중요한 부분은 키로거가 사용자가 모르는 사이에 설치될 수 있었다는 사실입니다.

뭐가 중요한 부분이죠? 내가 아는 사이에 바이러스가 컴터에 감염되고 악성 프로그램이 침투하는 경우도 있나요? :lol: :lol: "저는 악성 프로그램인데 설치하실래요?"같은 친절한 프로그램은 없습니다.

말장난은 하지 마시구요.
익명 사용자의 이미지

atie wrote:
한 미국 은행 이야기입니다.

이 은행의 인터넷 뱅킹은 내 구좌로만 이체하는 것이 가능합니다. 입출금이 자유로운 구좌에서 신용카드 구좌로 결제 금액만 이체를 하는거죠. 따로 결제를 해야되는 업체들에 대해서는 은행이 미리 정해둔 목록에서 선택을 하거나 은행에 미리 통보를 해서 이체가 가능하도록 등록을 해 놓고 사용을 합니다.


그거는 인터넷 뱅킹 실시되기 10년도 전부터 국내 은행에서도 다들 하고 있었습니다. 인터넷 뱅킹의 개념부터 정립을 하셔야 할듯. 아니 대체 내 구좌의 돈을 원하는 다른 구좌로 자유롭게 이체를 할 수 없다면 뭐하러 인터넷 뱅킹을 하는겁니까?
익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
Anonymous wrote:

해커들이 미치지 않았다면 자기들 신분까지 노출시켜 가면서 비싼돈 들여서 악성 프로그램을 공인인증받을리가 없겠죠? 공인인증업체들은 순전히 인증받아주고 그댓가로 먹고사는 회사들입니다.

위 말은 공인인증받은 active-x 는 신뢰해도 된다라는 말인가요?
그렇다면, 악성프로그램에 대해 공인인증기관이 책임을 져 주겠죠.

당연하죠.

어떻게 책임을 져 주죠? 배상을 해주나요?
배상을 해준다고 한다면, 애매한 부분이 많겠네요.
그 프로그램이 "악성"이다 라는 것을 증명해야 하고, 피해사실을 또 증명해야 하고, 불편한 부분이 많겠네요.
즉, 실제로 피해를 당해도 배상받는 것은 쉽지 않겠어요.
익명 사용자의 이미지

Anonymous wrote:
atie wrote:
한 미국 은행 이야기입니다.

이 은행의 인터넷 뱅킹은 내 구좌로만 이체하는 것이 가능합니다. 입출금이 자유로운 구좌에서 신용카드 구좌로 결제 금액만 이체를 하는거죠. 따로 결제를 해야되는 업체들에 대해서는 은행이 미리 정해둔 목록에서 선택을 하거나 은행에 미리 통보를 해서 이체가 가능하도록 등록을 해 놓고 사용을 합니다.


그거는 인터넷 뱅킹 실시되기 10년도 전부터 국내 은행에서도 다들 하고 있었습니다. 인터넷 뱅킹의 개념부터 정립을 하셔야 할듯. 아니 대체 내 구좌의 돈을 원하는 다른 구좌로 자유롭게 이체를 할 수 없다면 뭐하러 인터넷 뱅킹을 하는겁니까?

그렇다고, 모든구좌로 이체할 수 있도록 할 필요도 없죠.
경우에 따라서는 몇개정도로 압축되는 사람도 있을 것이고, 타인과 거래를 많이 한다면 그 수가 많아지겠지만, "모두"가 될 필요는 없겠죠.
익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
Anonymous wrote:
Anonymous wrote:

해커들이 미치지 않았다면 자기들 신분까지 노출시켜 가면서 비싼돈 들여서 악성 프로그램을 공인인증받을리가 없겠죠? 공인인증업체들은 순전히 인증받아주고 그댓가로 먹고사는 회사들입니다.

위 말은 공인인증받은 active-x 는 신뢰해도 된다라는 말인가요?
그렇다면, 악성프로그램에 대해 공인인증기관이 책임을 져 주겠죠.

당연하죠.

어떻게 책임을 져 주죠? 배상을 해주나요?

예. 자본주의사회에서 책임이라는건 결국 돈으로 때우는건데, 손해배상 안해준다면 공인인증같은 게 애시당초 필요가 없는거죠.
Quote:
배상을 해준다고 한다면, 애매한 부분이 많겠네요.
그 프로그램이 "악성"이다 라는 것을 증명해야 하고, 피해사실을 또 증명해야 하고, 불편한 부분이 많겠네요.
즉, 실제로 피해를 당해도 배상받는 것은 쉽지 않겠어요.

악성인지 아닌지 판별하는 건 아주 쉽습니다. 그렇지 않다면 악성 프로그램 판별 프로그램이 전세계에서 우후죽순으로 막 생겨날 이유가 없겠죠?
익명 사용자의 이미지

Anonymous wrote:

악성인지 아닌지 판별하는 건 아주 쉽습니다. 그렇지 않다면 악성 프로그램 판별 프로그램이 전세계에서 우후죽순으로 막 생겨날 이유가 없겠죠?

쉬운가 보군요. 그렇다면 실제 배상사례가 있겠군요.
찾아봐야 겠습니다.
gogoonee의 이미지

악성프로그램 얘기 나오면 또 MS 가 빛을 발합니다.
code signing 이라던가?... 인프라가 구축되어 있습니다. MS에서 드라이버 확인해주고 그러는거 자주 보시지 않습니까.. 더 말하기 싫습니다. 이런 비교는 ..

**)얼마전에 리눅스에서 공인인증서 사용되게끔 프로젝트가 진행중이다. 그리고 결과물도 나왔다고 얘기가 나오던데 뭐 소식 없나요?

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
atie wrote:
한 미국 은행 이야기입니다.

이 은행의 인터넷 뱅킹은 내 구좌로만 이체하는 것이 가능합니다. 입출금이 자유로운 구좌에서 신용카드 구좌로 결제 금액만 이체를 하는거죠. 따로 결제를 해야되는 업체들에 대해서는 은행이 미리 정해둔 목록에서 선택을 하거나 은행에 미리 통보를 해서 이체가 가능하도록 등록을 해 놓고 사용을 합니다.


그거는 인터넷 뱅킹 실시되기 10년도 전부터 국내 은행에서도 다들 하고 있었습니다. 인터넷 뱅킹의 개념부터 정립을 하셔야 할듯. 아니 대체 내 구좌의 돈을 원하는 다른 구좌로 자유롭게 이체를 할 수 없다면 뭐하러 인터넷 뱅킹을 하는겁니까?

그렇다고, 모든구좌로 이체할 수 있도록 할 필요도 없죠.
경우에 따라서는 몇개정도로 압축되는 사람도 있을 것이고, 타인과 거래를 많이 한다면 그 수가 많아지겠지만, "모두"가 될 필요는 없겠죠.

일본의 유명한 소설작가 무라카미 하루키라고 있는데 그사람이 지은 "개념 상실의 시대"란 책을 읽어보시죠. 해킹을 당할지도 모른다는 강박관념에 휩싸여 컴터 전원조차 켜길 두려워하는 주인공을 다룬 이야기입니다.
익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
Anonymous wrote:
atie wrote:
한 미국 은행 이야기입니다.

이 은행의 인터넷 뱅킹은 내 구좌로만 이체하는 것이 가능합니다. 입출금이 자유로운 구좌에서 신용카드 구좌로 결제 금액만 이체를 하는거죠. 따로 결제를 해야되는 업체들에 대해서는 은행이 미리 정해둔 목록에서 선택을 하거나 은행에 미리 통보를 해서 이체가 가능하도록 등록을 해 놓고 사용을 합니다.


그거는 인터넷 뱅킹 실시되기 10년도 전부터 국내 은행에서도 다들 하고 있었습니다. 인터넷 뱅킹의 개념부터 정립을 하셔야 할듯. 아니 대체 내 구좌의 돈을 원하는 다른 구좌로 자유롭게 이체를 할 수 없다면 뭐하러 인터넷 뱅킹을 하는겁니까?

그렇다고, 모든구좌로 이체할 수 있도록 할 필요도 없죠.
경우에 따라서는 몇개정도로 압축되는 사람도 있을 것이고, 타인과 거래를 많이 한다면 그 수가 많아지겠지만, "모두"가 될 필요는 없겠죠.

일본의 유명한 소설작가 무라카미 하루키라고 있는데 그사람이 지은 "개념 상실의 시대"란 책을 읽어보시죠. 해킹을 당할지도 모른다는 강박관념에 휩싸여 컴터 전원조차 켜길 두려워하는 주인공을 다룬 이야기입니다.

그 책 재미있나요?

강박관념과 유비무환 은 종이한장 차이일지도 모르겠네요.

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
chronon wrote:
이 사건에서 중요한 부분은 키로거가 사용자가 모르는 사이에 설치될 수 있었다는 사실입니다.

뭐가 중요한 부분이죠? 내가 아는 사이에 바이러스가 컴터에 감염되고 악성 프로그램이 침투하는 경우도 있나요? :lol: :lol: "저는 악성 프로그램인데 설치하실래요?"같은 친절한 프로그램은 없습니다.

말장난은 하지 마시구요.

말장난 아닙니다. :twisted: 사용자한테 물어보고 설치되는 키로거가 세상에 있습니까?
fibonacci의 이미지

이 사건이 이슈가 되는건, "키로거에 의해 보안이 뚫린 것" 입니다.
그 키로거가 ActiveX인지는 그럴수도 있고 아닐수도 있으니, 토론의 대상이 아닙니다.
백이면 백 ActiveX로 만들어지는 인터넷 뱅킹의 보안모듈이 키로거를 검출하지 못한 것이 바로 포인트죠.
보안모듈을 왜 ActiveX로 만들까요? 아까 제가 언급한 대로 극히 플랫폼 종속적인 단점이 있는데도 말이죠.
클라이언트의 시스템을 통제하여 클라이언트의 신뢰성을 확보하기 위함이 아닌가요? 단순히 공인 인증서 사용과 암호화만이 목적이던가요?
즉, ActiveX로서 가장 크게 가치가 있어야 할 클라이언트 통제에서 실패한 겁니다.
앞으로도 이와 유사한 사태가 계속 일어난다면, 인터넷 뱅킹에서 ActiveX를 이용할 이유가 없어지는 거죠.

No Pain, No Gain.

익명 사용자의 이미지

fibonacci wrote:
이 사건이 이슈가 되는건, "키로거에 의해 보안이 뚫린 것" 입니다.
그 키로거가 ActiveX인지는 그럴수도 있고 아닐수도 있으니, 토론의 대상이 아닙니다.
백이면 백 ActiveX로 만들어지는 인터넷 뱅킹의 보안모듈이 키로거를 검출하지 못한 것이 바로 포인트죠.
보안모듈을 왜 ActiveX로 만들까요? 아까 제가 언급한 대로 극히 플랫폼 종속적인 단점이 있는데도 말이죠.
클라이언트의 시스템을 통제하여 클라이언트의 신뢰성을 확보하기 위함이 아닌가요? 단순히 공인 인증서 사용과 암호화만이 목적이던가요?
즉, ActiveX로서 가장 크게 가치가 있어야 할 클라이언트 통제에서 실패한 겁니다.
앞으로도 이와 유사한 사태가 계속 일어난다면, 인터넷 뱅킹에서 ActiveX를 이용할 이유가 없어지는 거죠.

으아 정말 돌아가시겠군요. :twisted: :twisted: :twisted: 프로그램을 ActiveX로 만드는건 웹으로 배포를 편하게 할려고 그러는 거라니까요? 뭔소린지 이해가 안되세요? 거꾸로 생각해 보세요. 액티브엑스 안쓸거면 고객들한테 일일히 CD 만들어서 발송해야 되는데, 그돈만 수백억원은 들겁니다. 대체 인터넷이 왜 필요한지 개념부터 정립하셔야겠어요.
gogoonee의 이미지

fibonacci wrote:
이 사건이 이슈가 되는건, "키로거에 의해 보안이 뚫린 것" 입니다.
그 키로거가 ActiveX인지는 그럴수도 있고 아닐수도 있으니, 토론의 대상이 아닙니다.
백이면 백 ActiveX로 만들어지는 인터넷 뱅킹의 보안모듈이 키로거를 검출하지 못한 것이 바로 포인트죠.
보안모듈을 왜 ActiveX로 만들까요? 아까 제가 언급한 대로 극히 플랫폼 종속적인 단점이 있는데도 말이죠.
클라이언트의 시스템을 통제하여 클라이언트의 신뢰성을 확보하기 위함이 아닌가요? 단순히 공인 인증서 사용과 암호화만이 목적이던가요?
즉, ActiveX로서 가장 크게 가치가 있어야 할 클라이언트 통제에서 실패한 겁니다.
앞으로도 이와 유사한 사태가 계속 일어난다면, 인터넷 뱅킹에서 ActiveX를 이용할 이유가 없어지는 거죠.

음.. 저도 좀 답답해지네요...

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
Anonymous wrote:
chronon wrote:
이 사건에서 중요한 부분은 키로거가 사용자가 모르는 사이에 설치될 수 있었다는 사실입니다.

뭐가 중요한 부분이죠? 내가 아는 사이에 바이러스가 컴터에 감염되고 악성 프로그램이 침투하는 경우도 있나요? :lol: :lol: "저는 악성 프로그램인데 설치하실래요?"같은 친절한 프로그램은 없습니다.

말장난은 하지 마시구요.

말장난 아닙니다. :twisted: 사용자한테 물어보고 설치되는 키로거가 세상에 있습니까?

말장난 맞습니다. :twisted: 정작중요한 요점은 피해 그 단어 자체가지고 장난하니 말장난 맞습니다.

아래 글은 어떤이유에서인지, "사용자에게 알려주지 않고, 키로거가 설치가 되었다" 라는 보안문제에 대해 말하고자 하는 것이지,
그것이 알게 설치되던, 모르게 설치되던 상관없다는 것이지요.

chronon wrote:
쓰레드가 이상하게 흘러가는군요.

http://hani.co.kr/section-005000000/2005/06/005000000200506031909279.html

기사에서 나와 있는 내용만 봅시다.
일단 기사의 내용은 문자 그대로 받아들이겠습니다. (일단 당장 믿을만한 것은 기사 밖에 없으니)

Quote:
이씨는 지난달 초 인터넷 포털의 한 카페에 ‘재테크’라는 제목으로 글을 올리고, 이 글의 제목을 클릭하는 순간 당사자의 컴퓨터에 해킹 프로그램이 설치되도록 했다.

카페의 글의 제목을 클릭하는 순간 프로그램이 설치되었다고 합니다.

윈도우즈에서 특별한 대화 상자가 뜨지 않고 프로그램이 설치될 수 있는 것은 제가 아는 범위에서 딱 세 가지입니다.

1. ActiveX 에서 특정 회사의 제품은 언제나 신뢰한다고 체크했을 때
2. '이런 형식의 ... 를 열때 항상 확인' 에 체크 표시를 없앴을 때
3. 그 외 IE 버그

이 사건에서 중요한 부분은 키로거가 사용자가 모르는 사이에 설치될 수 있었다는 사실입니다.
일단 키로거가 작동된 다음은 논외입니다.

익명 사용자의 이미지

아 이제는 내가 짜증이 나서 답글 못달겠네...

여기가 무슨 무개념 컨테스트 대회장도 아니고 참나... 윈도에 대해서 모르거나 액티브엑스에 대해서 모르면 제발 이러쿵 저러쿵 떠들지 맙시다. 누가 더 멍청한 소리잘하나 경쟁하는거 같습니다. 윈도 사용자들이 리눅스에 대해서 헛소리 늘어놓는것도 웃기지만, 리눅스 사용자들이 윈도에 대해서 헛소리 늘어놓는것도 가관이네요.

익명 사용자의 이미지

Anonymous wrote:
fibonacci wrote:
이 사건이 이슈가 되는건, "키로거에 의해 보안이 뚫린 것" 입니다.
그 키로거가 ActiveX인지는 그럴수도 있고 아닐수도 있으니, 토론의 대상이 아닙니다.
백이면 백 ActiveX로 만들어지는 인터넷 뱅킹의 보안모듈이 키로거를 검출하지 못한 것이 바로 포인트죠.
보안모듈을 왜 ActiveX로 만들까요? 아까 제가 언급한 대로 극히 플랫폼 종속적인 단점이 있는데도 말이죠.
클라이언트의 시스템을 통제하여 클라이언트의 신뢰성을 확보하기 위함이 아닌가요? 단순히 공인 인증서 사용과 암호화만이 목적이던가요?
즉, ActiveX로서 가장 크게 가치가 있어야 할 클라이언트 통제에서 실패한 겁니다.
앞으로도 이와 유사한 사태가 계속 일어난다면, 인터넷 뱅킹에서 ActiveX를 이용할 이유가 없어지는 거죠.

으아 정말 돌아가시겠군요. :twisted: :twisted: :twisted: 프로그램을 ActiveX로 만드는건 웹으로 배포를 편하게 할려고 그러는 거라니까요? 뭔소린지 이해가 안되세요? 거꾸로 생각해 보세요. 액티브엑스 안쓸거면 고객들한테 일일히 CD 만들어서 발송해야 되는데, 그돈만 수백억원은 들겁니다. 대체 인터넷이 왜 필요한지 개념부터 정립하셔야겠어요.

말씀은 active-x 는 웹으로 배포 한다는 역할 이외에는 없다는 것인가요?

익명 사용자의 이미지

Anonymous wrote:
아래 글은 어떤이유에서인지, "사용자에게 알려주지 않고, 키로거가 설치가 되었다" 라는 보안문제에 대해 말하고자 하는 것이지,
그것이 알게 설치되던, 모르게 설치되던 상관없다는 것이지요.

님도 한번 꼭 "개념 상실의 시대"란 책을 읽어보세요. 해커가 지금 남의 돈을 가로챌려고 키로거 설치하는데, 사용자에게 알려주고 설치하겠습니까? :twisted: :twisted: :twisted:
익명 사용자의 이미지

Anonymous wrote:
아 이제는 내가 짜증이 나서 답글 못달겠네...

여기가 무슨 무개념 컨테스트 대회장도 아니고 참나... 윈도에 대해서 모르거나 액티브엑스에 대해서 모르면 제발 이러쿵 저러쿵 떠들지 맙시다. 누가 더 멍청한 소리잘하나 경쟁하는거 같습니다. 윈도 사용자들이 리눅스에 대해서 헛소리 늘어놓는것도 웃기지만, 리눅스 사용자들이 윈도에 대해서 헛소리 늘어놓는것도 가관이네요.

맞아요! 서로 답답할 뿐이죠.

다음부터는 먼저 토론하기 전에 읽어야 할 자료를 제시하고, 토론자가 그 자료를 읽고, 그 다음부터 이야기 하도록 하죠.

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
아래 글은 어떤이유에서인지, "사용자에게 알려주지 않고, 키로거가 설치가 되었다" 라는 보안문제에 대해 말하고자 하는 것이지,
그것이 알게 설치되던, 모르게 설치되던 상관없다는 것이지요.

님도 한번 꼭 "개념 상실의 시대"란 책을 읽어보세요. 해커가 지금 남의 돈을 가로챌려고 키로거 설치하는데, 사용자에게 알려주고 설치하겠습니까? :twisted: :twisted: :twisted:

또 말장난 하시네.. 그 글은 보안문제 이야기 하는 것 아닌가요!
해커가 사용자에게 알려주지 않고 키로거를 설치하면, 보안문제는 상관없다라는 것인가요? :twisted: :twisted: :twisted: :twisted:

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
fibonacci wrote:
이 사건이 이슈가 되는건, "키로거에 의해 보안이 뚫린 것" 입니다.
그 키로거가 ActiveX인지는 그럴수도 있고 아닐수도 있으니, 토론의 대상이 아닙니다.
백이면 백 ActiveX로 만들어지는 인터넷 뱅킹의 보안모듈이 키로거를 검출하지 못한 것이 바로 포인트죠.
보안모듈을 왜 ActiveX로 만들까요? 아까 제가 언급한 대로 극히 플랫폼 종속적인 단점이 있는데도 말이죠.
클라이언트의 시스템을 통제하여 클라이언트의 신뢰성을 확보하기 위함이 아닌가요? 단순히 공인 인증서 사용과 암호화만이 목적이던가요?
즉, ActiveX로서 가장 크게 가치가 있어야 할 클라이언트 통제에서 실패한 겁니다.
앞으로도 이와 유사한 사태가 계속 일어난다면, 인터넷 뱅킹에서 ActiveX를 이용할 이유가 없어지는 거죠.

으아 정말 돌아가시겠군요. :twisted: :twisted: :twisted: 프로그램을 ActiveX로 만드는건 웹으로 배포를 편하게 할려고 그러는 거라니까요? 뭔소린지 이해가 안되세요? 거꾸로 생각해 보세요. 액티브엑스 안쓸거면 고객들한테 일일히 CD 만들어서 발송해야 되는데, 그돈만 수백억원은 들겁니다. 대체 인터넷이 왜 필요한지 개념부터 정립하셔야겠어요.

말씀은 active-x 는 웹으로 배포 한다는 역할 이외에는 없다는 것인가요?


간단히 말씀드리면 "예"입니다. 암것도 모르는 말장난꾼들이 액티브엑스가 뭐라도 되는거처럼 호들갑떠는 겁니다. 그안에 들어있는 코드는 일반 윈도 애플리케이션과 근본적으로 다른게 없어요.
익명 사용자의 이미지

gogoonee wrote:
저는 인증서를 스마트 카드에 넣어놓는게 궁극의 해결책이 아닌가 생각합니다.
그리고 스마트 카드를 작동시킬때는 암호를 넣구요.

스마트 카드 빼돌리면 되잖냐. 잘때 빼가거나.
-->암호를 넣어야 구동되게 하면 되죠.

암호를 넣는다구? 그거 그럼 역시 키로거에 걸리잖냐? 나머진 스마트 카드만 빼돌리면 되네?

그래서 또 생각해볼 수 있는게 뭐냐먼 스마트 카드에 키패드가 달려있어 이 키패드로 인증서를 가동하는 거죠.(추가: 편집증 적인 분을 위한다면 키패드의 자판 배열이 다이나믹하게 바뀌는... 영화에서 보는 자주 어떤키가 눌렸다는 것을 알아내서 추측하는걸 막아보자?...) 태양광을 이용한 자그마한 계산기가 몇 천원에 팔리는 걸 보면... 비용 그리 비싸 보이지 않습니다.

**) 신용카드 슬쩍 빼가기만 하면 맘것 쓸수 있는 금융시스템이 수십년간 유지되는걸 보면 이번 건으로 뭔가 확 바뀔것 같지는 않습니다. :cry:

스마트카드에 대해서 잘 모르시군요. 스마트 카드는 읽기/쓰기 + 연산이 되는 일종의 연산 메모리 입니다. 신용카드만한 크기에 키패드를 달다뇨???
그리고 스마트카드가 보급이 안 되는 이유는 카드 자체의 단가도 마그네틱 카드에 비해 비싸긴 하지만, 카드 리더의 보급이 어렵기 때문입니다.

익명 사용자의 이미지

azirael wrote:
Anonymous wrote:
fibonacci wrote:
이 사건이 이슈가 되는건, "키로거에 의해 보안이 뚫린 것" 입니다.
그 키로거가 ActiveX인지는 그럴수도 있고 아닐수도 있으니, 토론의 대상이 아닙니다.
백이면 백 ActiveX로 만들어지는 인터넷 뱅킹의 보안모듈이 키로거를 검출하지 못한 것이 바로 포인트죠.
보안모듈을 왜 ActiveX로 만들까요? 아까 제가 언급한 대로 극히 플랫폼 종속적인 단점이 있는데도 말이죠.
클라이언트의 시스템을 통제하여 클라이언트의 신뢰성을 확보하기 위함이 아닌가요? 단순히 공인 인증서 사용과 암호화만이 목적이던가요?
즉, ActiveX로서 가장 크게 가치가 있어야 할 클라이언트 통제에서 실패한 겁니다.
앞으로도 이와 유사한 사태가 계속 일어난다면, 인터넷 뱅킹에서 ActiveX를 이용할 이유가 없어지는 거죠.

으아 정말 돌아가시겠군요. :twisted: :twisted: :twisted: 프로그램을 ActiveX로 만드는건 웹으로 배포를 편하게 할려고 그러는 거라니까요? 뭔소린지 이해가 안되세요? 거꾸로 생각해 보세요. 액티브엑스 안쓸거면 고객들한테 일일히 CD 만들어서 발송해야 되는데, 그돈만 수백억원은 들겁니다. 대체 인터넷이 왜 필요한지 개념부터 정립하셔야겠어요.

개념이해보다는 상대방 요지를 먼저 이해하려는 자세를 가지시면 논의가
더 바람직하게 흘러갈 것 같습니다.
프로그램 배포를 편하게 하고자 activeX를 쓴다는 것은 이해합니다만,
같은 방식으로 키로거등이 설치될 수도 있다는 것입니다.
따라서 보안프로그램의 설치 경로와 다른 프로그램들의 설치 경로를 구분하는
것이 매우 바람직하다는 것입니다.
예를 들어서, 글 올리신 분과 같은 사용자는 항상 주의하면서 구분해서
특정 activeX에 대해 설치하거나 혹은 설치하지 않을 지를 결정하면서
안전하게 지내실 수 있을 지 모르겠지만,
더 많은 분들은 그렇지 못하다는 것입니다.
내가 보고 싶은 아무개 사진이 떴는데 이 activex를 설치하시겠습니까?하는
창이 뜬다면 많은 순진한 분들께서는 보고 싶은 사진을 더 빨리 보고 싶어서
이 거추장스러운 설치화면에 yes라고 누를 것이라는 겁니다.
그렇다면 보안을 위한 보안경고는 아무런 의미가 없어지는 것입니다.
좀 불편하더라도 보안을 위해서라면 다른 방법을 생각해볼 수도 있어야 합니다.
굳이 편하게 프로그램을 배포하기 위해 보안성을 희생하면서
activeX를 써야한다면 뭐하러 귀찮게 공인인증서 발급받고,
보안카드를 사용하겠습니까?
저는 보안의 문제는 프로그램으로만 해결할 수는 없다고 생각하고,
사회적인 제도를 통한 보완이 필요하다고 생각합니다.
그런 점에서 모든 보안 문제를 activeX로만 해결할 수 있다고 생각하는 것은
매우 위험하다고 생각합니다. 이런 제 생각은 만약 firefox plugin으로
모든 보안 문제가 해결된다고 누군가 생각한다면 그런 입장에도 마찬가지로
적용됩니다만, 현실적으로 그렇게 생각하는 사람은 없지요.
그래서 ActitveX가 주요 논의대상이 된다고 생각합니다.


키로거가 액티브엑스로 만들었다는 얘기는 기사 어디에도 없거든요? :twisted: :twisted: 그리고 액티브엑스로 만들더라도 악성 프로그램을 누가 공인인증해줄리가 없겠죠 당연히? 그러면 인증되지 않은 프로그램이라고 경고창이 뜨는데 거기다 예스 눌러 버리면 그후의 일도 당연히 사용자 책임이겠죠? 대체 액티브엑스가 뭔상관인데 자꾸 물고늘어지는건지...

제발 다들 무식한티좀 내지말고 액티브엑스가 뭔지 모르면 입좀 다물고 가서 공부좀 해오고 말씀하세요.

익명 사용자의 이미지

Anonymous wrote:

간단히 말씀드리면 "예"입니다. 암것도 모르는 말장난꾼들이 액티브엑스가 뭐라도 되는거처럼 호들갑떠는 겁니다. 그안에 들어있는 코드는 일반 윈도 애플리케이션과 근본적으로 다른게 없어요.

맞습니다.

액티브엑스의 문제는 배포의 용이함 때문에 "악성"도 쉽게 배포될 수 있다의 문제이고, 정작 액티브엑스로 배달되는 그 안의 "윈도 프로그램" 들이 문제죠.

즉, 신뢰할 수 없는 시스템(키로거등의 프로그램이 설치된..)에서는 어떤인증도 위험하다는 것입니다.

인증시스템 전에 키로거등의 제거시스템도 추가해야 하겠죠.
이상이 없으면, 인증시스템, 뱅킹 등이 가능하도록..

지금은 항상 신뢰한다는 가정 아래 작동되고 있으니, 이런 사고(범죄)가 생긴 것이겠죠.

fibonacci의 이미지

Anonymous wrote:

으아 정말 돌아가시겠군요. :twisted: :twisted: :twisted: 프로그램을 ActiveX로 만드는건 웹으로 배포를 편하게 할려고 그러는 거라니까요? 뭔소린지 이해가 안되세요? 거꾸로 생각해 보세요. 액티브엑스 안쓸거면 고객들한테 일일히 CD 만들어서 발송해야 되는데, 그돈만 수백억원은 들겁니다. 대체 인터넷이 왜 필요한지 개념부터 정립하셔야겠어요.

CD발송할 필요 없이 다운로드 링크 하나만 만들어도 됩니다. ActiveX란 기술을 써야 한다는 강박관념에 사로잡힌게 더 문제가 아닐까요?

No Pain, No Gain.

익명 사용자의 이미지

여러분들 제가 아무리 설명을 해도 대체 뭔소린지 이해를 못하시는데, 저는 그 이유가 모르겠거든요? 똑같은 프로그램을 CD에 담아 배포하는 거랑 웹으로 액티브엑스 컨트롤의 형태로 배포하는거랑은 배포방법만 차이나는 것뿐이지 안에 들어있는 프로그램은 똑같은 거거든요? 그니까 액티브엑스로 배포한다고 프로그램에 없던 보안 문제가 생길수도 없는거고 CD로 배포한다고 보안문제가 없어질 수도 없는 건데, 대체 어디가 개념이 어려워서 다들 이해를 못하는건지... 이러니까 맨날 KLDP에서 벌어지는 토론들이 씨알맹이도 없이 탁상공론만 펼쳐지는건가..

익명 사용자의 이미지

Anonymous wrote:
여러분들 제가 아무리 설명을 해도 대체 뭔소린지 이해를 못하시는데, 저는 그 이유가 모르겠거든요? 똑같은 프로그램을 CD에 담아 배포하는 거랑 웹으로 액티브엑스 컨트롤의 형태로 배포하는거랑은 배포방법만 차이나는 것뿐이지 안에 들어있는 프로그램은 똑같은 거거든요? 그니까 액티브엑스로 배포한다고 프로그램에 없던 보안 문제가 생길수도 없는거고 CD로 배포한다고 보안문제가 없어질 수도 없는 건데, 대체 어디가 개념이 어려워서 다들 이해를 못하는건지... 이러니까 맨날 KLDP에서 벌어지는 토론들이 씨알맹이도 없이 탁상공론만 펼쳐지는건가..

말씀대로 active-x 자체는 큰 잘못이 없을 듯 합니다.

다만, 좀더 쉽게 배포된다는 것 때문에 잠재적인 보안문제를 가지고 있게 되는 것이 아닐까요.(active-x 자체와는 상관없이..)

반성하고 있습니다. 유익한 토론으로 만들어 주세요.

gogoonee의 이미지

Anonymous wrote:
gogoonee wrote:
저는 인증서를 스마트 카드에 넣어놓는게 궁극의 해결책이 아닌가 생각합니다.
그리고 스마트 카드를 작동시킬때는 암호를 넣구요.

스마트 카드 빼돌리면 되잖냐. 잘때 빼가거나.
-->암호를 넣어야 구동되게 하면 되죠.

암호를 넣는다구? 그거 그럼 역시 키로거에 걸리잖냐? 나머진 스마트 카드만 빼돌리면 되네?

그래서 또 생각해볼 수 있는게 뭐냐먼 스마트 카드에 키패드가 달려있어 이 키패드로 인증서를 가동하는 거죠.(추가: 편집증 적인 분을 위한다면 키패드의 자판 배열이 다이나믹하게 바뀌는... 영화에서 보는 자주 어떤키가 눌렸다는 것을 알아내서 추측하는걸 막아보자?...) 태양광을 이용한 자그마한 계산기가 몇 천원에 팔리는 걸 보면... 비용 그리 비싸 보이지 않습니다.

**) 신용카드 슬쩍 빼가기만 하면 맘것 쓸수 있는 금융시스템이 수십년간 유지되는걸 보면 이번 건으로 뭔가 확 바뀔것 같지는 않습니다. :cry:

스마트카드에 대해서 잘 모르시군요. 스마트 카드는 읽기/쓰기 + 연산이 되는 일종의 연산 메모리 입니다. 신용카드만한 크기에 키패드를 달다뇨???
그리고 스마트카드가 보급이 안 되는 이유는 카드 자체의 단가도 마그네틱 카드에 비해 비싸긴 하지만, 카드 리더의 보급이 어렵기 때문입니다.

스마트 카드에 대해 압니다. 신용카드만한 키패드 많이 있습니다.
10년전에도 그만한 크기 그만한 두께의 전자 계산기도 있었습니다.

비용도 비싸지 않았구요.

익명 사용자의 이미지

fibonacci wrote:
Anonymous wrote:

으아 정말 돌아가시겠군요. :twisted: :twisted: :twisted: 프로그램을 ActiveX로 만드는건 웹으로 배포를 편하게 할려고 그러는 거라니까요? 뭔소린지 이해가 안되세요? 거꾸로 생각해 보세요. 액티브엑스 안쓸거면 고객들한테 일일히 CD 만들어서 발송해야 되는데, 그돈만 수백억원은 들겁니다. 대체 인터넷이 왜 필요한지 개념부터 정립하셔야겠어요.

CD발송할 필요 없이 다운로드 링크 하나만 만들어도 됩니다. ActiveX란 기술을 써야 한다는 강박관념에 사로잡힌게 더 문제가 아닐까요?


초등학교 1학년한테 1+1이 왜 2인지 설명하는 것보다 더 어렵군요. :twisted: :twisted:
액티브엑스가 왜 필요하냐면요, 님처럼 다운로드링크 눌러서 받은 프로그램은 공인인증 절차도 없이 걍 설치가 되버리는데 더 보안 위험성이 높지 않나요? 이게 그렇게 이해가 안됩니까? 다들 윈도 쓴지가 오래되서 개념들을 상실하셨나...
익명 사용자의 이미지

Anonymous wrote:
fibonacci wrote:
Anonymous wrote:

으아 정말 돌아가시겠군요. :twisted: :twisted: :twisted: 프로그램을 ActiveX로 만드는건 웹으로 배포를 편하게 할려고 그러는 거라니까요? 뭔소린지 이해가 안되세요? 거꾸로 생각해 보세요. 액티브엑스 안쓸거면 고객들한테 일일히 CD 만들어서 발송해야 되는데, 그돈만 수백억원은 들겁니다. 대체 인터넷이 왜 필요한지 개념부터 정립하셔야겠어요.

CD발송할 필요 없이 다운로드 링크 하나만 만들어도 됩니다. ActiveX란 기술을 써야 한다는 강박관념에 사로잡힌게 더 문제가 아닐까요?


초등학교 1학년한테 1+1이 왜 2인지 설명하는 것보다 더 어렵군요. :twisted: :twisted:
액티브엑스가 왜 필요하냐면요, 님처럼 다운로드링크 눌러서 받은 프로그램은 공인인증 절차도 없이 걍 설치가 되버리는데 더 보안 위험성이 높지 않나요? 이게 그렇게 이해가 안됩니까? 다들 윈도 쓴지가 오래되서 개념들을 상실하셨나...

그러게요. 힘드네요.
사람들이 프로그램을 설치할때 안정성에 대한 의문을 어떻게 해결할까요.

배포경로로 생각해보면..
1. 신뢰하는 사이트에서 배포하는 프로그램(다운로드)
2. 신뢰하는 사이트에서 공인인증 받은 active-x 로 배포하는 프로그램
3. 신뢰하는 사이트에서 공인인증 받지않은 active-x 로 배포하는 프로그램
4. 신뢰하지 않는 사이트에서 공인인증 받은 active-x 로 배포하는 프로그램
5. 신뢰하지 않는 사이트에서 공인인증 받지않은 active-x 로 배포하는 프로그램
6. 신뢰하지 않는 사이트에서 배포하는 프로그램(다운로드)

등이 있을텐데..

1,2 는 신뢰하는 사이트이므로 별 의심없이 설치하여 사용할 것입니다.
3번도 인증받지 않은 active-x 지만, 신뢰하는 사이트니 한번 망설이다가 설치할 것 같구요.

그렇다면 4,5,6 이 문제인데..
어떤경우든 별로 설치하고 싶지 않을 듯 합니다.

그것이 active-x 든 다운로드든 그 사이트가 신뢰하는 사이트라면 크게 상관이 없을 듯 합니다.

익명 사용자의 이미지

히야~
조횟수, 답변수 장난아니게 많네.

손님 몇명 더 방문하면 bbs.kldp.org 터지겠는데요? 흐흐

마침 여기에 윈도전문가, ActiveX전문가, 보안전문가 다 모여있는거 같아서 하나 질문할게요.
오래전부터 궁금했던거거든요~

액티브엑스가 프로그램 설치를 돕는 역할만 한다는 개념에 대해서 이해했는데요.
그렇다면, 우리가 사용하는 인터넷뱅킹도 결국은 브라우져로 하는게 아니란 말이지요?

질문1. 왜 프로그램을 통해서 뱅킹을 해야 하는건가요?
다른나라는 인증프로그램을 통하지 않고도 잘 하는것 같은데, 우리나라만 프로그램으로 뱅킹하는거 맞죠?
상식적으로 생각해서 한국에서만 독특한 프로그램을 통해서 뱅킹을 한다는것은 쓸데없는짓 같거든요. 돈도 많이 들테고...

질문 2. 인증프로그램을 통한 뱅킹이 보안에 더 안전한가요?
1번 질문하고 관계가 깊을거 같은데, 보안에 더 안전하기 때문에 인증프로그램을 사용하는건가요?

질문 3. 보안에 더 안전하다면 모를까... 그렇지 않다면 우리나라도 다른 나라처럼 브라우져만으로도 뱅킹을 할 수 있게 해야 하지 않을까요?
멀쩡한 길이 있는데, 그 길은 버려두고 그 위에 고가도로를 설치해서 굳이 다니게 할 필요는 없잖아요. 더 안전한 길도 아니고, 공사비도 많이 들고, 다른 나라에서 보면 좀 쪼다쉬같아 보일테고... 무엇보다 윈도를 설치한 사람만 다닐 수 있는 길이잖아요.

부록질문....
저 키로거 사건은 잘 이해되지 않는게...
윈도에서 뱅킹을 할때 봤는데, 은행사이트에 접속해서 로그인 하려고 하면 키로거방지프로그램?? 같은게 실행되던데, 그걸로는 키로거가 감지되지 않은 모양이죠?
그럼 저 사건은 은행탓이지 않나요?

전문가들 많이 있던데, 좀 알려주세요.
사이트가 터지더라도 알건 알고 넘어가자구요~

fibonacci의 이미지

Anonymous wrote:
초등학교 1학년한테 1+1이 왜 2인지 설명하는 것보다 더 어렵군요. :twisted: :twisted:
액티브엑스가 왜 필요하냐면요, 님처럼 다운로드링크 눌러서 받은 프로그램은 공인인증 절차도 없이 걍 설치가 되버리는데 더 보안 위험성이 높지 않나요? 이게 그렇게 이해가 안됩니까? 다들 윈도 쓴지가 오래되서 개념들을 상실하셨나...

신뢰하는 사이트의 링크에서 받는건데, 뭐가 문제가 되는가요?
ActiveX 컨트롤을 해당 사이트에서 받아서 설치하면 보안상 믿을만하고, 똑같은 사이트에서 형식만 ActiveX컨트롤이 아닌 내용은 똑같은 다른 프로그램을 받으면 보안상 오류가 생긴다는 말인가요? 저는 님이 하는 말이 더 이해가 안가는데요?

PS. 멀쩡한 사람을 개념 상실한 사람으로 몰아가는 "손님"과는 대화하고 싶지 않네요. 참고로 윈도와 리눅스 모두 매일 씁니다.

No Pain, No Gain.

익명 사용자의 이미지

fibonacci wrote:
Anonymous wrote:
초등학교 1학년한테 1+1이 왜 2인지 설명하는 것보다 더 어렵군요. :twisted: :twisted:
액티브엑스가 왜 필요하냐면요, 님처럼 다운로드링크 눌러서 받은 프로그램은 공인인증 절차도 없이 걍 설치가 되버리는데 더 보안 위험성이 높지 않나요? 이게 그렇게 이해가 안됩니까? 다들 윈도 쓴지가 오래되서 개념들을 상실하셨나...

신뢰하는 사이트의 링크에서 받는건데, 뭐가 문제가 되는가요?
ActiveX 컨트롤을 해당 사이트에서 받아서 설치하면 보안상 믿을만하고, 똑같은 사이트에서 ActiveX컨트롤이 아닌 다른 프로그램을 받으면 보안상 오류가 생긴다는 말인가요? 저는 님이 하는 말이 더 이해가 안가는데요?

앙~~ 잠잠해지는가 싶더니. activeX 서명된거는 다운로드한 사이트하고 도메인이 맞는지 검사함.

그냥 다운로드하는 거는 게시판 자료실에 '아무나' 올려놓으면 됨.

gogoonee의 이미지

위글 제가 쓴겁니다.

딴 거 할려고 하다 글이 올라왔길래 글을 썼더니... 죄송합니다.

gogoonee의 이미지

Quote:
질문1. 왜 프로그램을 통해서 뱅킹을 해야 하는건가요?
다른나라는 인증프로그램을 통하지 않고도 잘 하는것 같은데, 우리나라만 프로그램으로 뱅킹하는거 맞죠?
상식적으로 생각해서 한국에서만 독특한 프로그램을 통해서 뱅킹을 한다는것은 쓸데없는짓 같거든요. 돈도 많이 들테고...

이번 사건을 보면 왜 쓸데 없는 짓 한게 아니라는걸 알수 있습니다.

Quote:

질문 2. 인증프로그램을 통한 뱅킹이 보안에 더 안전한가요?
1번 질문하고 관계가 깊을거 같은데, 보안에 더 안전하기 때문에 인증프로그램을 사용하는건가요?

네. 인증서 로그인시 아이디 입력하나요?
패스워드는 입력하는데 왜 할까요? 패스워드를 암호화하고 이러저러해서 어딘지도 모르는 서버로 전송한다고 생각되세요? 그럴지도 모르죠 실제 어떻게 구현했는지 모르니까.) 아마 아닐겁니다. 그 패스워드 PC에 저장된 인증서 읽어들이는 패스워드 입니다.

Quote:

질문 3. 보안에 더 안전하다면 모를까... 그렇지 않다면 우리나라도 다른 나라처럼 브라우져만으로도 뱅킹을 할 수 있게 해야 하지 않을까요?
멀쩡한 길이 있는데, 그 길은 버려두고 그 위에 고가도로를 설치해서 굳이 다니게 할 필요는 없잖아요. 더 안전한 길도 아니고, 공사비도 많이 들고, 다른 나라에서 보면 좀 쪼다쉬같아 보일테고... 무엇보다 윈도를 설치한 사람만 다닐 수 있는 길이잖아요.

생략.

Quote:

부록질문....
저 키로거 사건은 잘 이해되지 않는게...
윈도에서 뱅킹을 할때 봤는데, 은행사이트에 접속해서 로그인 하려고 하면 키로거방지프로그램?? 같은게 실행되던데, 그걸로는 키로거가 감지되지 않은 모양이죠?
그럼 저 사건은 은행탓이지 않나요?

확인이 필요하겠지만 키로거 방지 기능 없는 인증서 관리 모듈이였다는 군요. (조금 수정했습니다. 괜한거 같아서. 여기서 이얘기로 시간 많이 가버렸네요.)

익명 사용자의 이미지

gogoonee wrote:
Quote:
질문1. 왜 프로그램을 통해서 뱅킹을 해야 하는건가요?
다른나라는 인증프로그램을 통하지 않고도 잘 하는것 같은데, 우리나라만 프로그램으로 뱅킹하는거 맞죠?
상식적으로 생각해서 한국에서만 독특한 프로그램을 통해서 뱅킹을 한다는것은 쓸데없는짓 같거든요. 돈도 많이 들테고...

이번 사건을 보면 왜 쓸데 없는 짓 한게 아니라는걸 알수 있습니다.


잘모르겠어서 질문한거거든요.
Quote:

Quote:

질문 2. 인증프로그램을 통한 뱅킹이 보안에 더 안전한가요?
1번 질문하고 관계가 깊을거 같은데, 보안에 더 안전하기 때문에 인증프로그램을 사용하는건가요?

네. 인증서 로그인시 아이디 입력하나요?
패스워드는 입력하는데 왜 할까요? 패스워드를 암호화하고 이러저러해서 어딘지도 모르는 서버로 전송한다고 생각되세요? 그럴지도 모르죠 실제 어떻게 구현했는지 모르니까.) 아마 아닐겁니다. 그 패스워드 PC에 저장된 인증서 읽어들이는 패스워드 입니다.

Quote:

질문 3. 보안에 더 안전하다면 모를까... 그렇지 않다면 우리나라도 다른 나라처럼 브라우져만으로도 뱅킹을 할 수 있게 해야 하지 않을까요?
멀쩡한 길이 있는데, 그 길은 버려두고 그 위에 고가도로를 설치해서 굳이 다니게 할 필요는 없잖아요. 더 안전한 길도 아니고, 공사비도 많이 들고, 다른 나라에서 보면 좀 쪼다쉬같아 보일테고... 무엇보다 윈도를 설치한 사람만 다닐 수 있는 길이잖아요.

생략.

한국이 최고 보안국이었군요......흠.
다른 나라에서도 이번에 우리나라에서 일어난것과 같은 일이(혹은 더 심각한 일이) 일어난 적이 있나요?
한국이 뱅킹의 보안에 있어서 가장 안전할 거라고는 믿어지지 않는데요.
그렇다고 특히 취약할거라고 생각되지도 않지만
Quote:

Quote:

부록질문....
저 키로거 사건은 잘 이해되지 않는게...
윈도에서 뱅킹을 할때 봤는데, 은행사이트에 접속해서 로그인 하려고 하면 키로거방지프로그램?? 같은게 실행되던데, 그걸로는 키로거가 감지되지 않은 모양이죠?
그럼 저 사건은 은행탓이지 않나요?

확인이 필요하겠지만 키로거 방지 기능 없는 인증서 관리 모듈이였다는 군요.
이거 강조하지 마세요. 영원히 리눅스에서 인증서 못 쓸지도 모릅니다. :twisted:


리눅스에는 키로거방지프로그램이 (만들수)없기 때문에 윈도보다 보안에 더 취약하고,
이 사실이 널리 알려지면 리눅스에서는 영원히 인증서를 쓸 수 없다는 말인가요?
글쎄요~
그렇다고 해도... 널리 알려서 대책을 마련해야지 숨기기만 해서는 안되지요.
chronon의 이미지

Quote:
그러나 이번에 해킹을 당한 시중은행은 인터넷뱅킹시 키보드 유출 방지 프로그램 실행여부를 고객들이 알아서 선택할 수 있도록 했다.

http://news.naver.com/news/read.php?mode=LSD&office_id=008&article_id=0000545799&section_id=101&menu_id=101

키로거 방지 기능을 On/Off 할 수 있었나보군요.

Quote:
리눅스에는 키로거방지프로그램이 (만들수)없기 때문에 윈도보다 보안에 더 취약하고,
이 사실이 널리 알려지면 리눅스에서는 영원히 인증서를 쓸 수 없다는 말인가요?

리눅스에서는 루트만 안 따먹히면 기본 프로그램들은 안전하잖아요.
키로거가 돌고 있는지 아닌지는 루트가 안전하다는 가정 하에 ps 만 해 봐도 확인할 수 있겠지요.

dasomoli의 이미지

저 "손님"은 왜 MS에서도 버려지고 있는 기술을 바락바락 우기는걸까요 :(

글들도 보니 전체적인 내용에 대한 기술적이고, 논리적인 반박보다는 꼬투리 잡기에 치중하고 계시는군요.

편향적인 생각은 좀 버리시고, MS 찬양론도 그만 좀 하시죠 :evil:



dasomoli의 블로그(http://dasomoli.org)
dasomoli = DasomOLI = Dasom + DOLI = 다솜돌이
다솜 = 사랑하옴의 옛 고어.
Developer! ubuntu-ko! 다솜돌이 정석
다크슈테펜의 이미지

dasomoli wrote:
저 "손님"은 왜 MS에서도 버려지고 있는 기술을 바락바락 우기는걸까요 :(

글들도 보니 전체적인 내용에 대한 기술적이고, 논리적인 반박보다는 꼬투리 잡기에 치중하고 계시는군요.

편향적인 생각은 좀 버리시고, MS 찬양론도 그만 좀 하시죠 :evil:


너무 열받지 마세요 손님 글을 읽어보니 저번에 그 윈도우즈 VS 리눅스때 그 손님인 것 같네요...
그냥 무시해버리는게 좋을 것 같습니다.
소귀에 경을 읽으면 뭐합니까 그냥 무시하세요
PS:아직도 스크린 키보드로 글자 입력하시나요...?

인생이란게 다 그런게 아니겠어요....? 뭘(?)
http://schutepen.egloos.com

myueho의 이미지

'스크린 키보드'!!
키로거가 문제라면 이것도 괜찮겠네요. (쌩뚱맞나?)

그런데 Active-X를 사용하지 않은 웹뱅킹 예를 볼 수 없을까요?

어떤 식으로 돌아가는지 궁금해서요.

lacovnk의 이미지

Anonymous wrote:
Anonymous wrote:
Anonymous wrote:
Anonymous wrote:
Anonymous wrote:

해커들이 미치지 않았다면 자기들 신분까지 노출시켜 가면서 비싼돈 들여서 악성 프로그램을 공인인증받을리가 없겠죠? 공인인증업체들은 순전히 인증받아주고 그댓가로 먹고사는 회사들입니다.

위 말은 공인인증받은 active-x 는 신뢰해도 된다라는 말인가요?
그렇다면, 악성프로그램에 대해 공인인증기관이 책임을 져 주겠죠.

당연하죠.

어떻게 책임을 져 주죠? 배상을 해주나요?

예. 자본주의사회에서 책임이라는건 결국 돈으로 때우는건데, 손해배상 안해준다면 공인인증같은 게 애시당초 필요가 없는거죠.
Quote:
배상을 해준다고 한다면, 애매한 부분이 많겠네요.
그 프로그램이 "악성"이다 라는 것을 증명해야 하고, 피해사실을 또 증명해야 하고, 불편한 부분이 많겠네요.
즉, 실제로 피해를 당해도 배상받는 것은 쉽지 않겠어요.

악성인지 아닌지 판별하는 건 아주 쉽습니다. 그렇지 않다면 악성 프로그램 판별 프로그램이 전세계에서 우후죽순으로 막 생겨날 이유가 없겠죠?

공인 인증이라는 것은, "이 사람의 신분이 확실하다" 라는 것을 보장해주는 것이지, "이 사람이 착한 사람이다"라는 것을 보장해주는 것이 아닌걸로 알고 있는데요;

요 전에 어떤 분이 적으셨듯이, 그렇기 때문에 해커들이 미쳤다고 공인 인증을 받으려고 하지 않을 꺼라는 얘기도 이 맥랙이고요 - 신분이 확실해지면 걸리면 바로 잡히니 -_-;;

덧. 손님이시더라도, "손님2" 이런식으로 구별되게 써주시면 감사하겠습니다 ㅠㅠ 누가 자신의 글에 대해 썼는지 모르겠어요;

warpdory의 이미지

myueho wrote:
'스크린 키보드'!!
키로거가 문제라면 이것도 괜찮겠네요. (쌩뚱맞나?)

그런데 Active-X를 사용하지 않은 웹뱅킹 예를 볼 수 없을까요?

어떤 식으로 돌아가는지 궁금해서요.

우리나라에 있는 건 hsbc 가 거의 유일하고...
외국 은행들은 거의 activeX 를 안 씁니다.

http://www.bankofamerica.com/
제가 여기에 계좌가 어쩌다보니 있어서 가끔 들어가는데, activeX 같은 건 안 쓰더군요.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

병맛의 이미지

again?

익명 사용자의 이미지

ActiveX 관련한 내용은 "손님"께서 하신 말씀이 더 맞는 것 같군요.

일반 웹 어플리케이션에서 금지된 권한들이 ActiveX 기술을 통하여 모두 허용 될 수 있다는 것이 문제지 ActiveX 기술 자체에 특별한 보안결함이 있는 것은 아님에도 기술 자체에 결함이 있는 것으로 착각하시는 분들이 의외로 많이 계신 것 같습니다. (ActiveX 어플리케이션에서 모든 억세스 허용 권한을 준 것은 의도하지 못했던 문제가 아니라 명시적으로 MS쪽에서 의도한 일이므로 결함으로 보기엔 어폐가 있다고 생각합니다. 조금 더 위험하다는 표현 정도면 모를까요?)

ActiveX 설치되기 전에 확인을 거치는 것도, 사용자가 부주의하게 마구 설치하는 것을 방지하기 위함인데, SP2를 통해서는 더욱 깔기 귀찮게 되었고, 공인 인증기관에 수백달러를 때려박고 인증받지 않는은 ActiveX는 아예 설치되지도 않기 때문에 보안 문제가 전적으로 ActiveX 탓이라는 것은 납득하기 어렵네요.

차라리 ActiveX의 플랫폼 종속성에 대해서 논의하면 설득력이 있겠습니다만 보안 결함쪽으로 판단하는건 조금 엄한 것 같습니다.

익명 사용자의 이미지

dasomoli wrote:
저 "손님"은 왜 MS에서도 버려지고 있는 기술을 바락바락 우기는걸까요 :(

글들도 보니 전체적인 내용에 대한 기술적이고, 논리적인 반박보다는 꼬투리 잡기에 치중하고 계시는군요.

편향적인 생각은 좀 버리시고, MS 찬양론도 그만 좀 하시죠 :evil:

오히려 ActiveX에 대해서는 "손님"께서 많은 분들이 가지고 계시던 오해를 잘 풀어주신 것 같았습니다.

오히려 ActiveX외의 기술에 대해서 SSL외엔 다른 기술적인 대안을 제시해주신 분이 별로 없는 것 같군요. (솔직히 저도 잘 모르겠고, ActiveX로 개발한 은행업체들이 바보이고 귀찮다는 이유만으로 ActiveX로 개발했을 거라는 생각은 안듭니다.)

chadr의 이미지

Anonymous wrote:
이 번호가 10번이 될때까지 리로드합니다. 대부분의 인터넷 뱅킹은 페이지가 로드될때마다 보안카드 번호를 다른걸로 물어봅니다. 따라서 로그아웃했다가 다시 로그인하는 번거로운 일을 안해도 됩니다.

딴지는 아닙니다만.. 제가 주로 쓰고 있는 국*은행은 보안카드 번호가 돌지 않더군요..
어떤 번호를 입력하고 나면 다음 번호가 그 번호를 입력 하기 전에는 다른 번호로 안바뀌더라구요..

-------------------------------------------------------------------------------
It's better to appear stupid and ask question than to be silent and remain stupid.

익명 사용자의 이미지

손님a wrote:
dasomoli wrote:
저 "손님"은 왜 MS에서도 버려지고 있는 기술을 바락바락 우기는걸까요 :(

글들도 보니 전체적인 내용에 대한 기술적이고, 논리적인 반박보다는 꼬투리 잡기에 치중하고 계시는군요.

편향적인 생각은 좀 버리시고, MS 찬양론도 그만 좀 하시죠 :evil:

오히려 ActiveX에 대해서는 "손님"께서 많은 분들이 가지고 계시던 오해를 잘 풀어주신 것 같았습니다.

오히려 ActiveX외의 기술에 대해서 SSL외엔 다른 기술적인 대안을 제시해주신 분이 별로 없는 것 같군요. (솔직히 저도 잘 모르겠고, ActiveX로 개발한 은행업체들이 바보이고 귀찮다는 이유만으로 ActiveX로 개발했을 거라는 생각은 안듭니다.)


현재 MS같은 경우에는 닷넷 개발환경으로 액티브 액스 대체용으로 스마트 클라이언트 쪽으로 갈려는 것 같습니다.그리고 외국계은행들은 바보이고 귀찮다는 이유만으로 액티브 액스이외의 기술로 개발했을것이라고는 생각하지 않습니다.
익명 사용자의 이미지

Anonymous wrote:
손님a wrote:
dasomoli wrote:
저 "손님"은 왜 MS에서도 버려지고 있는 기술을 바락바락 우기는걸까요 :(

글들도 보니 전체적인 내용에 대한 기술적이고, 논리적인 반박보다는 꼬투리 잡기에 치중하고 계시는군요.

편향적인 생각은 좀 버리시고, MS 찬양론도 그만 좀 하시죠 :evil:

오히려 ActiveX에 대해서는 "손님"께서 많은 분들이 가지고 계시던 오해를 잘 풀어주신 것 같았습니다.

오히려 ActiveX외의 기술에 대해서 SSL외엔 다른 기술적인 대안을 제시해주신 분이 별로 없는 것 같군요. (솔직히 저도 잘 모르겠고, ActiveX로 개발한 은행업체들이 바보이고 귀찮다는 이유만으로 ActiveX로 개발했을 거라는 생각은 안듭니다.)


현재 MS같은 경우에는 닷넷 개발환경으로 액티브 액스 대체용으로 스마트 클라이언트 쪽으로 갈려는 것 같습니다.그리고 외국계은행들은 바보이고 귀찮다는 이유만으로 액티브 액스이외의 기술로 개발했을것이라고는 생각하지 않습니다.

앞으로 그렇게 갈 것이다랑 현재 대안이 있다는 건 같은 이야기가 아닙니다. :D

그리고 외국계 은행에서 ActiveX외에 구체적으로 어떤 기술을 사용했고, 두 기술을 비교하면 어떤 장단점이 있는지 알고 싶습니다. 당연히 모든 점에서 일치하는 결과를 낼 수 있다면 굳이 플랫폼 종속적으로 개발할 이유야 없으니깐요

ironiris의 이미지

1. 키로거가 설치되어있는 컴퓨터에서 인터넷뱅킹하다가 개인정보를 유출했다.
2. 은행의 보안 모듈은 MS윈도우에서만 돌아가고 그 모듈은 무용지물이다.(키로거를 탐지하지 못했다.)
3. 은행의 보안 시나리오상으로도 키로거로 가로챈 보안카드번호 하나만 알아도 계좌이체가 가능하다.
4. MS윈도우에서는 키로거를 사용자의 동의없이 설치&실행될수 있는 방법이 있다.
5. 그 방법이란게 액티브X기술을 이용하거나 IE, MS윈도우의 버그등을 이용한거다.
6. 보안 패치가 안된 윈도98에서도 인터넷뱅킹이 된다.
7. 허접한 보안시나리오를 만든 은행 나쁜 놈.
8. 키로거가 사용자 동의 없이 실행되도록 하는 MS윈도우 나쁜 놈.
9. 키로거 만든 놈도 쓴 놈도 나쁜 놈.
------------
어쨌거나 한국에서는 MS윈도우에서만 인터넷뱅킹이 되는 것은 사실이니 MS가 잘못없어도 독박쓸 수밖에 없을듯.

ironiris의 이미지

chadr wrote:
Anonymous wrote:
이 번호가 10번이 될때까지 리로드합니다. 대부분의 인터넷 뱅킹은 페이지가 로드될때마다 보안카드 번호를 다른걸로 물어봅니다. 따라서 로그아웃했다가 다시 로그인하는 번거로운 일을 안해도 됩니다.

딴지는 아닙니다만.. 제가 주로 쓰고 있는 국*은행은 보안카드 번호가 돌지 않더군요..
어떤 번호를 입력하고 나면 다음 번호가 그 번호를 입력 하기 전에는 다른 번호로 안바뀌더라구요..

느긋~하게 일주일에 한번씩 시도해보세요.
그 중간에 원래 사용자가 사용했었으면 다시 번호가 바뀝니다.
수천만원 생기는데 그정도 못 기다리겠습니까? 어차피 35개중에 하나일테고요. 35주정도만 기다려주죠 뭐.. ㅎㅎ
익명 사용자의 이미지

activex를 쓰는 이유..
- 인터넷 뱅킹이 개발될 당시 ssl 암호화 레벨이 미국 암호 수출제약에 묶여서 128bit 지원을 하지 못했습니다. 기억하는분이 계실까 모르겠지만 IE 5.5와 6.0에 128bit 암호화 추가팩이 Windows update에 올라와 있던 시절도 있었죠. 즉 128bit 암호화 수출제약이 풀린건 (몇년 지나긴 했지만) 비교적 최근일 입니다. 그 공백기간동안 128bit 암호화를 구현하기 위해 activex가 이용되었습니다.
보수파인 금융권에서는 성공적으로 정착한걸 당장 걷어치워야 할 이유가 없습니다. 하지만 다른 OS의 저변확대에 따라 점점 변해가겠지요. 제 생각에는 리눅스보다는 맥의 저변확대에 따라 변할것 같습니다만.. (모 금융권의 어느 분은 리눅스 뱅킹이 필요하다는걸 인정하면서도 '그 해커들이 우리 프로그램에 무슨짓할지 모르니까 믿을수 없다'는 이중적 모습을 보이더군요.)

관심있게 보고 있었는데 미국의 암호화 수출제약정책은 한마디도 안나오네요. 사실 이게 activex를 쓸수밖에 없었던 중요한 이유인데..

- 128bit ssl로 구축하더라도 키로거를 막을 수 없다는건 똑같습니다. activex를 써도 뚫리는건 ssl로 구축해도 뚫립니다. 그 보안모듈이 하는 일이 통신의 암호화니까요. 통신과 브라우져의 form에 입력하는건 다른겁니다.
다만 activex를 쓰면 암호화 모듈 이외에 키로거 감지모듈을 추가해서 배포할 수는 있겠지요. ssl을 쓰면 키로거 감지모듈을 배포할 수 있습니까? 비록 키로거 감지모듈이 키로거를 100% 검출해내지는 못하더라도 널리 알려진 모듈은 검출해 낼 수 있습니다. 감지 비율이 50%밖에 안되더라도 그 50%를 위해 보험에 드는겁니다.
키로거에 대한 대책은 현재로써는 아래와 같은 OTP카드 사용이 해결책인 것 같습니다.
http://www.keb.co.kr/IBS/b2c/ebank/useinfo/guide/opt/cgeb028r_iframe.jsp

- 리눅스를 OS로 쓰면 안전할까요? 여러분이라면 root권한을 함부러 내돌리지 않으므로 안전할지 몰라도 대부분의 일반 유저에게는 그렇지 않습니다. 일반 유저들이 별로 없으므로 왈가왈부하기엔 좀 이른지 몰라도, 저변확대에 따른 이용자의 레벨 저하는 필연적으로 찾아옵니다. 리눅스가 윈도우를 밀어낼 만큼 이용자가 많아진다면 리눅스 바이러스도 반드시 나타날겁니다. 루트킷 변종이 엄청나게 설칠것이라는건 뻔하지요.

익명 사용자의 이미지

쩝.
문제는 유저불량이지 액티브엑스가 아닙니다.

리눅스쪽은 진입장벽이 윈도에 비해 높아서 리눅쓰시는 분들에겐 이런문제가 적지요.. 불량유저가 상대적으로 적으니까. 쓰는 사람도 원체 적고 말이죠.

익명 사용자의 이미지

activex를 쓰는 이유.. 를 적은 손님a입니다. 적고보니 같은이름을 쓰는분이 먼저 올리셨네요. 앞으로 이 쓰레드에서는 kururu_21 로 하겠습니다.
(kururu 라는 회원분과는 관계없습니다.)

랜덤여신의 이미지

hyperhidrosis wrote:
솔직히 파이어폭스도 플러그인 설치할때 경고메시지가 좀더 길게 뜨는것 이외에는 activex 랑 차이 없어 보입니다..

불여우는 XUL+JavaScript+CSS 조합이 전부이지 않나요? 기타 외부 인터페이스는 자바 애플릿을 쓰고... 시스템에 손댈 수 있는 방법은 없는 것 같던데요...

vacancy의 이미지

일단 ActiveX 에 대한 사람들의 인식이 문제죠.
보통 웹에서 뭐 까시겠습니까 ? 하면,
그거 안깔면 그 사이트 이용 못할것 같고 일단 Yes 누르는게
제 주위 사람들 중 대부분입니다.
이런건 무슨 교육같은게 이뤄져야할텐데,
대개 인터넷을 무슨 교육받고 하지는 않잖아요 ?
ActiveX 설치시 어느 정도 설명의 글이라도 좀 붙었으면 하는
바람이 있습니다. ;;

그나저나 ActiveX application 은 개인 PC를 완전 장악할수 있는건가요 ?
Java applet 의 경우 그렇지는 않다고 들은 것 같습니다만 ..

그리고 정말 소위 "손님"들에게까지 쓰기를 허용해줘야 하나야 대해
심각하게 생각해보게 되는 스레드가 아닌가 싶군요.

Deios의 이미지

훔냐뤼... 마지막 페이지까지 읽고 제가 한 생각은요...

0. 공통
100% 보안이라는 것은 존재치 않는다...
인터넷 뱅킹은 필요하다...

1. 엑티브 엑스 부정
엑티브 엑스를 쓰는 이유는 클라이언트를 제어해 안정성을 확보하기 위함이다...
인터넷 뱅킹에서 플렛폼에 종속적인 엑티브 엑스를 사용할 필요는 없다...
국내 은행은 엑티브 엑스를 사용하고 있다...
엑티브 엑스를 사용한 인터넷 뱅킹에서 사고가 일어 났다...
따라서 이번 기회에 인터넷 뱅킹과 엑티브 엑스를 이슈로 하여, 기타 플렛폼에서도 인터넷 뱅킹을 원활히 이용하게 할 수 있지 않을까???
또한, 이번 기회에 엑티브 엑스의 위험성에 대해서, 혹은 보안에 대해서 대중들에게 어필할 기회가 되지 않을까???

2. 엑티브 엑스 부정 부정...(긍정은 아닌듯 싶어서 이렇게 적습니다... 부정의 부정은 긍정이 아닙니다... 흑백논리가 아닌 이상...)
키로거 프로그램이 엑티브 엑스라는 확실한 근거가 없다...
엑티브 엑스를 사용하는건 배포를 편하게 하기 위함이다...
엑티브 엑스를 사용하지 않더라도 보안에 결함이 존재한다...

제가 봤을때는 서로 다른 이야기를 하고 있습니다... 큰 흐름을 따라 가는게 아니라... 자신의 주장만 하고 계신분이 간혹 보이네요...

저도 엑티브 엑스 부정입장입니다...
특별히 엑티브 엑스를 사용해야만 하는 것이 아닌데 플렛폼에 종속적인 엑티브 엑스를 사용하다니요...

개인적으로는 이 글타래가 전국적으로 이슈화 되어서...
많은 사람들이 이 내용을 한번쯤 진지하게 "읽어"봤으면 합니다...

================================
http://deios.kr
$find / -perm 750 | grep girl

$

girneter의 이미지

vacancy wrote:

그리고 정말 소위 "손님"들에게까지 쓰기를 허용해줘야 하나야 대해
심각하게 생각해보게 되는 스레드가 아닌가 싶군요.

생산적이지는 않지만 재미있는데요
아주 엄한 이야기가 오고가는것도 아니고

가끔은 이런 글타래가 있는것도 나쁘지는 않겠습니다

다만 손님 구분차원에서라도
손님으로 쓸때는 ip 가 공개되는것도 좋을텐데
어차피 구분만 하자는거니까 프락시 써도 상관없고

개념없는 초딩들은 좋은 말로 할때 DC나 웃대가서 놀아라. 응?

익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
Anonymous wrote:

근데 여기서 보면 보안모듈이 ActiveX로 만들었는데 키로거를 검출 못했기 때문에 ActiveX 기술 자체가 문제가 있다고 궤변을 늘어놓는 사람이 놀랄 정도로 많습니다.

누가 그렇게 말했나요? ActiveX로 만들어진 키로거 방지 프로그램이 제 역활을 못하고 있다고 말하고 있는데요? 컴퓨터 공부보다 한글 공부를 먼저 하셔야 겠네요.


님은 지금 본질을 호도하고 있는겁니다. 키로거 방지 프로그램이 ActiveX로 만들었는지 일반 애플리케이션으로 만들었는지는 문제의 요점과 아무 관련성도 없다니까요? 그니까 키로거 방지 프로그램 앞에 자꾸 ActiveX 어쩌고 수식어를 붙여서 ActiveX가 문제가 있는 것인야 연기 피우는 짓은 쓸데없는 노력입니다.

님이야 말로 쓸떼없는 피해의식을 가지고 있는겁니다. 요점은 키로거가 제대로 작동못하고 있다는것이지 ActiveX에대해 문제있는것 처럼 연기를 피우는게 아닙니다.
참고로 말하자면 ActiveX는 일반 프로그램이랑 다를바 없고 전 시스템을 장악할수 있습니다. 한마디로 일반 설치된 프로그램과 다를바가 없습니다. 또한 SP2에서는 테스트인증(베리사인등에 인증이 안된 ActiveX를 말함)된 ActiveX는 설치가 안되는 관계로 불량 ActiveX가 설치될 확률은 많이 줄은 상태입니다.
쓰레드들을 읽어보니 그냥 서로 헛다리 짚고 있다는 느낌이 강하군요. 서로 표현의 차이로 말이 엇갈리고 있는 경우도 종종 있어 보입니다.
그걸로 인해 오해와 꼬투리 잡기도 있는거 같고요.
익명 사용자의 이미지

Anonymous wrote:
Anonymous wrote:
Anonymous wrote:
Anonymous wrote:

근데 여기서 보면 보안모듈이 ActiveX로 만들었는데 키로거를 검출 못했기 때문에 ActiveX 기술 자체가 문제가 있다고 궤변을 늘어놓는 사람이 놀랄 정도로 많습니다.

누가 그렇게 말했나요? ActiveX로 만들어진 키로거 방지 프로그램이 제 역활을 못하고 있다고 말하고 있는데요? 컴퓨터 공부보다 한글 공부를 먼저 하셔야 겠네요.


님은 지금 본질을 호도하고 있는겁니다. 키로거 방지 프로그램이 ActiveX로 만들었는지 일반 애플리케이션으로 만들었는지는 문제의 요점과 아무 관련성도 없다니까요? 그니까 키로거 방지 프로그램 앞에 자꾸 ActiveX 어쩌고 수식어를 붙여서 ActiveX가 문제가 있는 것인야 연기 피우는 짓은 쓸데없는 노력입니다.

님이야 말로 쓸떼없는 피해의식을 가지고 있는겁니다. 요점은 키로거가 제대로 작동못하고 있다는것이지 ActiveX에대해 문제있는것 처럼 연기를 피우는게 아닙니다.
참고로 말하자면 ActiveX는 일반 프로그램이랑 다를바 없고 전 시스템을 장악할수 있습니다. 한마디로 일반 설치된 프로그램과 다를바가 없습니다. 또한 SP2에서는 테스트인증(베리사인등에 인증이 안된 ActiveX를 말함)된 ActiveX는 설치가 안되는 관계로 불량 ActiveX가 설치될 확률은 많이 줄은 상태입니다.
쓰레드들을 읽어보니 그냥 서로 헛다리 짚고 있다는 느낌이 강하군요. 서로 표현의 차이로 말이 엇갈리고 있는 경우도 종종 있어 보입니다.
그걸로 인해 오해와 꼬투리 잡기도 있는거 같고요.

키로거가 아니라 키로거 방지 프로그램이 제대로 작동안된다...라는 겁니다..오타네요. :)
익명 사용자의 이미지

인클루드 wrote:
hyperhidrosis wrote:
솔직히 파이어폭스도 플러그인 설치할때 경고메시지가 좀더 길게 뜨는것 이외에는 activex 랑 차이 없어 보입니다..

불여우는 XUL+JavaScript+CSS 조합이 전부이지 않나요? 기타 외부 인터페이스는 자바 애플릿을 쓰고... 시스템에 손댈 수 있는 방법은 없는 것 같던데요...

소위 불량 xpi를 깔면 브라우저로 입력한 많은 정보가 어딘가로 post 되어버리는 일 정도는 얼마든지 일어날 수 있습니다. 클립보드 훔치기도 가능하고요...

익명 사용자의 이미지

나중에는 이런 일이 일어날지도 모르겠군요.

어떤 사이트의 게시판에 deb이 하나 올라와 있고 "사주관상 프로그램" 식으로 제목이 달렸다고 칩시다.
이걸 받아본 아주머니가 쓰는 리눅스 데스크탑은 많이 편해져서, 노틸러스에서 gksu로 도는 시냅틱을 파이썬으로 연결하여 패키지 인스톨을 해줍니다.

그리고 su로 돌아가는 init 스크립트 안에서 이런저런 일이 벌어지는거죠.

----------

요즘 계속 관심을 가지는 리눅스 데스크탑이라는 관점에서 보니, 개인 유저가 쓰기 위해서는 프로그램의 인스톨/언인스톨 기능이 필수이고, 우리가 공산국가처럼 중앙배급식으로 프로그램을 저장소에서만 끌어다 쓸게 아니라면 검증되지 않은 프로그램을 유저가 깔 가능성은 얼마든지 있습니다.

이런 면에서 리눅스 데스크탑의 형태를 고려해 볼 여지가 있는 것 같네요. 언젠가 대중화가 된다고 가정하면 지금의 형태로는 어드민이 다 열려있는 리눅스와 별다를 것이 없는 것 같기도...

익명 사용자의 이미지

리눅스->윈도우로 정정합니다. --

익명 사용자의 이미지

Quote:

chadr 씀:
Anonymous 씀:
이 번호가 10번이 될때까지 리로드합니다. 대부분의 인터넷 뱅킹은 페이지가 로드될때마다 보안카드 번호를 다른걸로 물어봅니다. 따라서 로그아웃했다가 다시 로그인하는 번거로운 일을 안해도 됩니다.

딴지는 아닙니다만.. 제가 주로 쓰고 있는 국*은행은 보안카드 번호가 돌지 않더군요..
어떤 번호를 입력하고 나면 다음 번호가 그 번호를 입력 하기 전에는 다른 번호로 안바뀌더라구요..
느긋~하게 일주일에 한번씩 시도해보세요.
그 중간에 원래 사용자가 사용했었으면 다시 번호가 바뀝니다.
수천만원 생기는데 그정도 못 기다리겠습니까

제가 개발하고 있는 모금융권은 보안카드 연속 3회 오류이면 그보안카드는 사용하지 못하게 되어있는데요. 즉 오늘한번 틀리고 낼다시 한번 틀리고 그다음날 틀리면 그 보안카드는 아웃되버리는데....물론 중간맞으면 처음부터 다시 시작합니다.
이것은 현금카드와 거의 비슷한 매카니즘입니다.

Deios의 이미지

위에서도 나왔지만...
알고있는 번호가 아닌경우 보안카드 번호 입력 자체를 안합니다...
따라서 틀릴 일이 없죠...
따라서 제시한 방법의 경우도 페스 됩니다...

코딱지 wrote:

chadr 씀:
Quote:

Anonymous 씀:
이 번호가 10번이 될때까지 리로드합니다. 대부분의 인터넷 뱅킹은 페이지가 로드될때마다 보안카드 번호를 다른걸로 물어봅니다. 따라서 로그아웃했다가 다시 로그인하는 번거로운 일을 안해도 됩니다.

딴지는 아닙니다만.. 제가 주로 쓰고 있는 국*은행은 보안카드 번호가 돌지 않더군요..
어떤 번호를 입력하고 나면 다음 번호가 그 번호를 입력 하기 전에는 다른 번호로 안바뀌더라구요..
느긋~하게 일주일에 한번씩 시도해보세요.
그 중간에 원래 사용자가 사용했었으면 다시 번호가 바뀝니다.
수천만원 생기는데 그정도 못 기다리겠습니까

제가 개발하고 있는 모금융권은 보안카드 연속 3회 오류이면 그보안카드는 사용하지 못하게 되어있는데요. 즉 오늘한번 틀리고 낼다시 한번 틀리고 그다음날 틀리면 그 보안카드는 아웃되버리는데....물론 중간맞으면 처음부터 다시 시작합니다.
이것은 현금카드와 거의 비슷한 매카니즘입니다.

================================
http://deios.kr
$find / -perm 750 | grep girl

$

tinywolf의 이미지

주변에 사용하는 사람들은 귀찮다는 이유로 해당 ...은 항상 신뢰를 꼭 체크하고 글을 읽어보지도 않고 설치하더군요..

제가 볼 때마다 꼭 읽어보고 설치하라고.. 항상 신뢰는 체크하지 말라고 하지만..

실제로 컴퓨터로 "개발"을 하는 사람들이 아닌 "사용"을 하는 사람들은 이런 면에서 뭐 따로 교육이랄 것이 없기 때문에 왜, 어떻게 하는 것인지는 잘 모르는 것같습니다.

아마 "이것은 해킹도구입니다"라고 적혀있는 ActiveX라도 제대로 메세지 창이 뜨기도 전에 확인을 누르는 사람들이 절대 다수일 것입니다.

음.. 가스를 다루는 사람들이 정기적인 안전 교육을 받아야 하듯이 개인용 컴퓨터를 가진 사람이면 동사무소에서 정기적인 보안 교육을 실시하는 것이 어떨지.. ㅎㅎㅎ

리눅스가 되었던 윈도우가 되었던 "편리"와 "보안"은 영원한 줄다리기이겠지요.
제 생각에는 윈도우나 리눅스나 제공되는 도구들의 수준은 충분하다고 생각합니다.
다만 윈도우를 잘 아는 사람이라면 윈도우를 다시 살리는 것이 쉬울 것이고 리눅스가 해킹당한다면 다시 까는 것을 생각할 것입니다.
반대로 리눅스를 잘 아는 사람이면 리눅스를 되살리는 것이 훨씬 쉬울 것이고 윈도우가 고장난다면 다시 포맷하고 깔 것입니다.
전.. 둘 다 다시 포맷하고 새로 까는 스타일입니다만.. ㅡ_ㅡ
KLDP에는 아마도 두번째 입장의 분들이 좀 더 많으시겠죠..

ㅡ_ㅡ;

까뮤의 이미지

보안 문제의 가장 큰 원인은 역시.. 유불! :evil:

me.brain.flush()

hyperhidrosis의 이미지

그냥 떠오르는 생각

1. active x 는 확실히 시스템을 장악할 수 있다는 점에서 위험하다. 하지만 sp2 의 경우 인증되지 않은 active x 는 아예 설치되지 않으니 해커가 만든 activex 가 시스템에 설치될 확률을 많이 줄여준다. ( 그전에는 이런 허접 activex 로 인한 문제가 많았죠. )

2. 이 해킹(?) 은 activex 에 의한것은 아니다. 윈도우 뿐만 아니라 리눅스도 이러한 무식한 방법의 해킹(?)을 막을 방법은 없다.

3. id/pw 를 알면 공인인증서를 발급받을 수 있다... 그러면 도대체 공인인증서의 존재 의의는 무엇인가?

4. 키로거를 막는것이 "이론적" 으로 가능한가? 이미 시스템에 키로거가 설치되어 있으면 이 프로그램은 이미 시스템을 장악한 상태이고, activex 로 된 키로거 방지 프로그램이 뜨는것을 막아버릴 수도 있다.. 물론 "현실적" 으로 이런식으로 열심히 직접 코딩을 할 수 있는 해커는 그다지 많지 않다지만....
결국 유저가 이미 해킹프로그램을 시스템에서 실행한 적이 있고, 그 프로그램이 잘 알려진 프로그램(v3 등이 검출 가능한)이 아닌 혼자서 만들어 쓰는 해킹 프로그램이라면...

5. activex 가 불안하다면 ff 나 모질라의 플러그인은 안전한가?

6. 왜 자꾸 kldp 에서는 항상 모든 주제의 토론이 윈도우vs리눅스가 되어 버리는가..

tinywolf의 이미지

hyperhidrosis wrote:
3. id/pw 를 알면 공인인증서를 발급받을 수 있다... 그러면 도대체 공인인증서의 존재 의의는 무엇인가?

앗.. 그런가요? 그럼 대체 공인인증서는 왜 있는거지.. ㅡ_ㅡ;;
hyperhidrosis wrote:

6. 왜 자꾸 kldp 에서는 항상 모든 주제의 토론이 윈도우vs리눅스가 되어 버리는가..

아마도 여기가 K'L'DP인데 윈도우 사용자들도 많이 계시기 때문이겠지요.. ㅎㅎ :lol:

ㅡ_ㅡ;

익명 사용자의 이미지

hyperhidrosis wrote:
3. id/pw 를 알면 공인인증서를 발급받을 수 있다... 그러면 도대체 공인인증서의 존재 의의는 무엇인가?

PKI방식이라 비밀번호가 네트워크를 타지 않는다는 장점이 있기는 하죠.
공인인증서 뿐 아니라 요즘 신용카드 결제 모듈들도 비슷한 방식을 씁니다. ISP결제니 비자안심결제니 하는것들 말이죠. 몇년 전만 해도 신용카드는 카드번호와 비밀번호 2자리, 주민등록번호 그리고 유효기간을 입력하면 이게 ssl로 보내졌습니다. 물론 쇼핑몰 등에서 이 자료를 임의로 저장하는것도 "가능"했죠. 그런데 ISP등의 방식은 이게 안됩니다. 네트워크를 통해서는 암호화된 값들만 전송되기 때문에 좀더 안전합니다.

gogoonee의 이미지

키보드 입력 안하고 데이터 넘기기...

ajax 는 어떨지.. 웹페이지에 버튼 나열하고 클릭...

아.. 모르겠다.. 어렵다...

hyperhidrosis의 이미지

Anonymous wrote:
hyperhidrosis wrote:
3. id/pw 를 알면 공인인증서를 발급받을 수 있다... 그러면 도대체 공인인증서의 존재 의의는 무엇인가?

PKI방식이라 비밀번호가 네트워크를 타지 않는다는 장점이 있기는 하죠.
공인인증서 뿐 아니라 요즘 신용카드 결제 모듈들도 비슷한 방식을 씁니다. ISP결제니 비자안심결제니 하는것들 말이죠. 몇년 전만 해도 신용카드는 카드번호와 비밀번호 2자리, 주민등록번호 그리고 유효기간을 입력하면 이게 ssl로 보내졌습니다. 물론 쇼핑몰 등에서 이 자료를 임의로 저장하는것도 "가능"했죠. 그런데 ISP등의 방식은 이게 안됩니다. 네트워크를 통해서는 암호화된 값들만 전송되기 때문에 좀더 안전합니다.

isp 결재가 뭔지 잘 모르겠습니다만.. 결론은 공인인증서는 https 로 대치 가능하다는 것인가요?

페이지