[보안/은행] '인터넷뱅킹' 첫 해킹사건, 거액 빠져나가

익명 사용자의 이미지

은행 '인터넷뱅킹' 첫 해킹당해 거액 빠져나가
출처 연합뉴스 2005-06-03 12:01
http://news.naver.com/news/read.php?mode=LSS2D&office_id=001&article_id=0001019113&section_id=101&section_id2=259&menu_id=101

'인터넷뱅킹' 첫 해킹…시스템 개선 필요
출처 연합뉴스 2005-06-03 12:02
http://news.naver.com/news/read.php?mode=LSS2D&office_id=001&article_id=0001019116&section_id=101&section_id2=259&menu_id=101

저는 몇년째 상황이나 상태를 지켜만 보고 있고, 아직 일부러 인터넷뱅킹을 신청하지 않고 있습니다. 뭔가 쫌 찜찜한 느낌이 들어서...

'구더기무서워 장 못담그나 ?'라고 말하는 사람들에게는, 저는 별로 해주고 싶은 말이 없슴다.

요즘에는 전화선을 이용한 'PC통신 유틸리티'로 이용하는 'PC뱅킹'(폰뱅킹, Phone뱅킹이 아닙니다. 이 폰뱅킹은 보안이 더 취약하더군요. 과거에 사고도 많이 터졌었고...)은 더이상 신규고객 신청을 받지 않더군요.

girneter의 이미지

hyperhidrosis wrote:

isp 결재가 뭔지 잘 모르겠습니다만.. 결론은 공인인증서는 https 로 대치 가능하다는 것인가요?

아니겠죠. 공인인증서는 peer 가 누구라는걸 인증해주는거고
https 는 통신규약인데.

개념없는 초딩들은 좋은 말로 할때 DC나 웃대가서 놀아라. 응?

sandro의 이미지

activex-ctrl 이 잘 모르시는 분이 많으시군요.

activex-ctrl은 단순히 웹을 통한 인증된(누가 배포하는지 명시된) 프로그램을

배포하기 위한 프레임 워크일 뿐 입니다. 그 이상도 그 이하도 아니고요.

activx-ctrl을 만들려면 MS의 COM 객체와 베리사인에게 인증 받은 공인 인증서 이게 필요합니다.

공인 인증서는 이 activex 컨트롤이 사용자 PC에서 문제를 일으킬 경우 인증서에 표시된 회사가 책임 진다는 얘기 입니다.

그리고 activex-ctrl 은 HTML 태크를 통해 버전 관리가 가능 합니다.

즉 버전이 올라간 경우 사용자가 해당 버전 정보가 표시된 웹 페이지를 접근한 경우 자동으로 업그레이드 됩니다.

나머지 COM 객체는 일반 애플리케이션과 하는일이 똑 같습니다.

그냥 웹 페이지 안의 자바 스크립트가 객체 형식으로 해당 컨트롤을 이용할수 있게 해주는 거죠.

無心

sandro의 이미지

SSL(표준으로는 TLS)는 PKI와 밀접하게 관계 있습니다.

보통 정상적인 SSL 서버를 만들려면

잘 알려지고 신뢰 받는(베리 사인 같은) CA에서 인증 받은 인증서를 웹서버에 등록 해야 합니다.

그 인증서는 그 웹 서버에 접근하는 사용자에게 공개 되고 사용자는 베리 사인 같은 믿을수 있는 CA가 인정한 회사 이니 안심하고 사용해도 되겠다 하고 개발자 입장에서 보면 내가 접근할 서버가 맞구나 하고 접근해서 사용 합니다. 여기 까지는 기본적으로 사용자측의 서버에 대한 인증 입니다. 하지만 옵션으로 서버에서도 사용자측에 인증서를 통한 인증을 요구 할수 있습니다. 이걸 제시 못하면 서버는 사용자를 kick 해버리죠. 전 IE 만 써봐서 다른 브라우저는 잘 모르지만 그런 사용자 인증을 요구 하는 사이트에 접근하기전에 자신의 인증서와 개인키를 IE에 등록해야 해당 사이트에 접근할수 있습니다.

無心

logout의 이미지

hyperhidrosis wrote:

1. active x 는 확실히 시스템을 장악할 수 있다는 점에서 위험하다. 하지만 sp2 의 경우 인증되지 않은 active x 는 아예 설치되지 않으니 해커가 만든 activex 가 시스템에 설치될 확률을 많이 줄여준다. ( 그전에는 이런 허접 activex 로 인한 문제가 많았죠. )

2. 이 해킹(?) 은 activex 에 의한것은 아니다. 윈도우 뿐만 아니라 리눅스도 이러한 무식한 방법의 해킹(?)을 막을 방법은 없다.

자세히 얘기하자면 이 문제는 ActiveX가 보안에 허접하다기 보다는 윈도우즈는 대부분 Administrator 권한으로 돌아가기 때문입니다. 리눅스로 치면사용자가 항상 root 계정을 쓰고 있는 셈이고 이런 약점을 크래커들이 많이 써먹고 있을 따름입니다.

다만, 리눅스를 쓰면 디폴트로 root를 쓰지 않기 때문에 사용자가 실수로 악의적인 프로그램을 실행하더라도 일반 사용자 권한으로 실행된 이 프로그램이 보안 레벨을 한 단계 넘어 root권한까지 exploit해야 크래킹이 가능해진다는 제약조건이 가해질 수는 있죠.

맥오에스텐의 경우는 사용자 인터페이스에 이 점을 잘 고려해 놓고 있습니다. 이미 기본적으로 맥오에스텐에는 요즘 우분투처럼 아예 root 계정으로 로그인이 안되고 sudo만을 사용합니다. 게다가, 어플리케이션을 설치할 때 관리자 권한이 필요없습니다. 어플을 다운받고 아이콘을 /Application 폴더에 drag & drop하면 설치가 됩니다.

따라서 관리자 권한이 필요한 어플들은 설치될 때 다른 일반 어플과는 달리 패스워드를 묻게 됩니다. 예를들어, 맥 오에스에서는 게시판 어디서 다운받은 사주관상프로그램이 설치되면서 패스워드를 묻는다면 사용자들은 쉽게 이상하다는 느낌을 받게 됩니다. 사주관상프로그램이 내 패스워드를 요구할 필요가 없으니까요.

이렇게 사용자가 실수를 했을 경우 리눅스나 다른 유닉스계열 데스크탑들은 윈도우즈에 비해 좀 더 나은 보안 시스템을 제공해 줄 수는 있습니다. 뭐... 어쨌거나 윈도우즈 이외에는 인터넷 뱅킹 솔루션이 존재하지 않는 환경에서 이런 논의를 해봐야 아무런 도움이 되지 않을 테구요. 윈도우즈 차기 버전에서는 해결되겠죠. 그렇지 않더라도 뭐 윈도우즈는 항상 대세이니 사용자나 개발자 모두 잘 만들어진 MS의 설계를 따라갈 수 밖에 없겠구요. 하지만 Fast User Switching 기능까지 이미 구현되어 있는 윈도우즈에서 왜 여지껏 이런 유닉스 스타일의 보안 대책조차도 end user들에게 디폴트로 제공해 주고 있지 않은지는 참 의문입니다.

Quote:

3. id/pw 를 알면 공인인증서를 발급받을 수 있다... 그러면 도대체 공인인증서의 존재 의의는 무엇인가?

다른 분이 잘 말씀해 주셨구요. 그리고 우리나라에서는 법적으로 인터넷 뱅킹 시스템을 구현할때는 인증으로 반드시 공인인증서를 쓰도록 못박아 놓았습니다.

법적으로 공인인증서를 강제하는 이유는 이렇습니다. 공인인증서는 은행과 같은 지정받은 기관만이 발급할 수 있는데 이게 사실상 내 신분증을 체크한 뒤 아이디를 발급받는 과정이라고 보시면 됩니다. 따라서 은행구좌가 없는 사람은 인증서 발행이 안되고, 인증서가 발행되면 인증서 하나로 인증서와 내 인적정보, 은행구좌번호 정보가 연동이 됩니다. 장기적으로 우리나라는 인터넷상으로 이루어지는 모든 상거래에 공인인증서 인증을 강제화할 계획인데 만약 공인 인증서 제도가 제대로 정착이 된다면 예를들어 온라인 유령 상점을 만들고 허위로 물건을 판 뒤 송금받은 돈을 챙겨 잠적하는 사기 수법과 같은 문제의 발생 빈도를 많이 낮출 수 있겠지요. 개인간의 당좌거래나 가계수표, 혹은 신용카드 사용이 거의 전무한 우리나라 실정에서 공인인증서 도입 그 자체는 상당한 근거가 있는 셈입니다.

다른 분이 말씀하셨듯이 ActiveX가 우리나라 인터넷 뱅킹 초기에 도입된 중요한 이유중의 하나가 이 부분 때문입니다. 공인 인증서는 반드시 써야 하고, 인증서에 필요한 브라우저의 암호화 요건은 미국의 보안 관련 상품 수출 제한에 걸려 기준 미달이었습니다. (이 부분은 조금 있다 미국에서 이 규제를 풀어버리기는 했습니다만.) 초기 인터넷 뱅킹 시스템을 설계하면서 이런 요건이 사용자 보안보다 덜 중요하다고 보기는 힘들었겠죠.

Quote:

4. 키로거를 막는것이 "이론적" 으로 가능한가? 이미 시스템에 키로거가 설치되어 있으면 이 프로그램은 이미 시스템을 장악한 상태이고, activex 로 된 키로거 방지 프로그램이 뜨는것을 막아버릴 수도 있다.. 물론 "현실적" 으로 이런식으로 열심히 직접 코딩을 할 수 있는 해커는 그다지 많지 않다지만....
결국 유저가 이미 해킹프로그램을 시스템에서 실행한 적이 있고, 그 프로그램이 잘 알려진 프로그램(v3 등이 검출 가능한)이 아닌 혼자서 만들어 쓰는 해킹 프로그램이라면...

5. activex 가 불안하다면 ff 나 모질라의 플러그인은 안전한가?

키로거는 윈도우즈 데스크탑이 Administrator 권한으로 돌아가고 있는 이상 "이론적으로" 막을 수 없습니다. 앞서 다른 분이 말씀하셨듯이, 은행에서 키로거 방지 프로그램이라고 쓰는 것도 사실은 키로깅 자체를 막는 것이 아니라 마치 백신 프로그램처럼 알려져 있는 키로거 프로그램이 돌아가고 있을 경우 이를 디텍트해 주는 기능이 위주입니다. 근본적인 해결책은 아니지만 없는 것보다는 훨씬 안전한 해결책입니다.

결국 현재 윈도우즈 하의 국내 인터넷 뱅킹 솔루션들은 보안 솔루션을 만들 때 Administrator 권한으로 악성 프로그램이 돌아가고 있는 경우를 일반적으로 상정한 뒤 보안 대책을 세울 수 밖에 없습니다. 인터넷 뱅킹을 쓸 때 인증서 암호 입력하고, 은행 인터넷 뱅킹 서비스 페이지에서 은행 전용 암호를 또 입력하고 여기에 보안카드 번호까지 입력하는 이중삼중의 보안 장치를 다는 것은 사실은 한국 은행들의 보안 시스템의 보안 수준이 높이기 위해서보다는 그만큼 현재 ActiveX - 윈도우즈 환경에서 구현되어 있는 인터넷 뱅킹에 대한 보안 위험이 높다는 반증이며 은행들 입장에서는 나름대로 손을 쓰고 있는 셈입니다...

따라서 불여우의 소스를 직접 건드리거나 불여우의 플러그인을 이용해서 새로 인터넷 뱅킹 구현을 하더라도 Administrator로 돌아가는 윈도우즈의 시스템 특성은 여전히 골치거리가 될 수 밖에 없습니다. 하나 우려되는 것은, 이번처럼 키로거를 이용하는 초보적인 방법으로도 국내 인터넷 뱅킹이 뚫렸다면 실력있는 크래커들이 마음먹고 뛰어들면 어떤 일이 벌어질 것인가 하는 점입니다.

Quote:

6. 왜 자꾸 kldp 에서는 항상 모든 주제의 토론이 윈도우vs리눅스가 되어 버리는가..

글쎄말입니다. 인터넷 뱅킹 뚫린거랑 리눅스랑 무슨 상관일까나요?

"I conduct to live,
I live to compose."
--- Gustav Mahler

익명 사용자의 이미지

logout wrote:
hyperhidrosis wrote:

1. active x 는 확실히 시스템을 장악할 수 있다는 점에서 위험하다. 하지만 sp2 의 경우 인증되지 않은 active x 는 아예 설치되지 않으니 해커가 만든 activex 가 시스템에 설치될 확률을 많이 줄여준다. ( 그전에는 이런 허접 activex 로 인한 문제가 많았죠. )

2. 이 해킹(?) 은 activex 에 의한것은 아니다. 윈도우 뿐만 아니라 리눅스도 이러한 무식한 방법의 해킹(?)을 막을 방법은 없다.

자세히 얘기하자면 이 문제는 ActiveX가 보안에 허접하다기 보다는 윈도우즈는 대부분 Administrator 권한으로 돌아가기 때문입니다. 리눅스로 치면사용자가 항상 root 계정을 쓰고 있는 셈이고 이런 약점을 크래커들이 많이 써먹고 있을 따름입니다.

다만, 리눅스를 쓰면 디폴트로 root를 쓰지 않기 때문에 사용자가 실수로 악의적인 프로그램을 실행하더라도 일반 사용자 권한으로 실행된 이 프로그램이 보안 레벨을 한 단계 넘어 root권한까지 exploit해야 크래킹이 가능해진다는 제약조건이 가해질 수는 있죠.

맥오에스텐의 경우는 사용자 인터페이스에 이 점을 잘 고려해 놓고 있습니다. 이미 기본적으로 맥오에스텐에는 요즘 우분투처럼 아예 root 계정으로 로그인이 안되고 sudo만을 사용합니다. 게다가, 어플리케이션을 설치할 때 관리자 권한이 필요없습니다. 어플을 다운받고 아이콘을 /Application 폴더에 drag & drop하면 설치가 됩니다.

따라서 관리자 권한이 필요한 어플들은 설치될 때 다른 일반 어플과는 달리 패스워드를 묻게 됩니다. 예를들어, 맥 오에스에서는 게시판 어디서 다운받은 사주관상프로그램이 설치되면서 패스워드를 묻는다면 사용자들은 쉽게 이상하다는 느낌을 받게 됩니다. 사주관상프로그램이 내 패스워드를 요구할 필요가 없으니까요.

이렇게 사용자가 실수를 했을 경우 리눅스나 다른 유닉스계열 데스크탑들은 윈도우즈에 비해 좀 더 나은 보안 시스템을 제공해 줄 수는 있습니다. 뭐... 어쨌거나 윈도우즈 이외에는 인터넷 뱅킹 솔루션이 존재하지 않는 환경에서 이런 논의를 해봐야 아무런 도움이 되지 않을 테구요. 윈도우즈 차기 버전에서는 해결되겠죠. 그렇지 않더라도 뭐 윈도우즈는 항상 대세이니 사용자나 개발자 모두 잘 만들어진 MS의 설계를 따라갈 수 밖에 없겠구요. 하지만 Fast User Switching 기능까지 이미 구현되어 있는 윈도우즈에서 왜 여지껏 이런 유닉스 스타일의 보안 대책조차도 end user들에게 디폴트로 제공해 주고 있지 않은지는 참 의문입니다.

Quote:

3. id/pw 를 알면 공인인증서를 발급받을 수 있다... 그러면 도대체 공인인증서의 존재 의의는 무엇인가?

다른 분이 잘 말씀해 주셨구요. 그리고 우리나라에서는 법적으로 인터넷 뱅킹 시스템을 구현할때는 인증으로 반드시 공인인증서를 쓰도록 못박아 놓았습니다.

법적으로 공인인증서를 강제하는 이유는 이렇습니다. 공인인증서는 은행과 같은 지정받은 기관만이 발급할 수 있는데 이게 사실상 내 신분증을 체크한 뒤 아이디를 발급받는 과정이라고 보시면 됩니다. 따라서 은행구좌가 없는 사람은 인증서 발행이 안되고, 인증서가 발행되면 인증서 하나로 인증서와 내 인적정보, 은행구좌번호 정보가 연동이 됩니다. 장기적으로 우리나라는 인터넷상으로 이루어지는 모든 상거래에 공인인증서 인증을 강제화할 계획인데 만약 공인 인증서 제도가 제대로 정착이 된다면 예를들어 온라인 유령 상점을 만들고 허위로 물건을 판 뒤 송금받은 돈을 챙겨 잠적하는 사기 수법과 같은 문제의 발생 빈도를 많이 낮출 수 있겠지요. 개인간의 당좌거래나 가계수표, 혹은 신용카드 사용이 거의 전무한 우리나라 실정에서 공인인증서 도입 그 자체는 상당한 근거가 있는 셈입니다.

다른 분이 말씀하셨듯이 ActiveX가 우리나라 인터넷 뱅킹 초기에 도입된 중요한 이유중의 하나가 이 부분 때문입니다. 공인 인증서는 반드시 써야 하고, 인증서에 필요한 브라우저의 암호화 요건은 미국의 보안 관련 상품 수출 제한에 걸려 기준 미달이었습니다. (이 부분은 조금 있다 미국에서 이 규제를 풀어버리기는 했습니다만.) 초기 인터넷 뱅킹 시스템을 설계하면서 이런 요건이 사용자 보안보다 덜 중요하다고 보기는 힘들었겠죠.

Quote:

4. 키로거를 막는것이 "이론적" 으로 가능한가? 이미 시스템에 키로거가 설치되어 있으면 이 프로그램은 이미 시스템을 장악한 상태이고, activex 로 된 키로거 방지 프로그램이 뜨는것을 막아버릴 수도 있다.. 물론 "현실적" 으로 이런식으로 열심히 직접 코딩을 할 수 있는 해커는 그다지 많지 않다지만....
결국 유저가 이미 해킹프로그램을 시스템에서 실행한 적이 있고, 그 프로그램이 잘 알려진 프로그램(v3 등이 검출 가능한)이 아닌 혼자서 만들어 쓰는 해킹 프로그램이라면...

5. activex 가 불안하다면 ff 나 모질라의 플러그인은 안전한가?

키로거는 윈도우즈 데스크탑이 Administrator 권한으로 돌아가고 있는 이상 "이론적으로" 막을 수 없습니다. 앞서 다른 분이 말씀하셨듯이, 은행에서 키로거 방지 프로그램이라고 쓰는 것도 사실은 키로깅 자체를 막는 것이 아니라 마치 백신 프로그램처럼 알려져 있는 키로거 프로그램이 돌아가고 있을 경우 이를 디텍트해 주는 기능이 위주입니다. 근본적인 해결책은 아니지만 없는 것보다는 훨씬 안전한 해결책입니다.

결국 현재 윈도우즈 하의 국내 인터넷 뱅킹 솔루션들은 보안 솔루션을 만들 때 Administrator 권한으로 악성 프로그램이 돌아가고 있는 경우를 일반적으로 상정한 뒤 보안 대책을 세울 수 밖에 없습니다. 인터넷 뱅킹을 쓸 때 인증서 암호 입력하고, 은행 인터넷 뱅킹 서비스 페이지에서 은행 전용 암호를 또 입력하고 여기에 보안카드 번호까지 입력하는 이중삼중의 보안 장치를 다는 것은 사실은 한국 은행들의 보안 시스템의 보안 수준이 높이기 위해서보다는 그만큼 현재 ActiveX - 윈도우즈 환경에서 구현되어 있는 인터넷 뱅킹에 대한 보안 위험이 높다는 반증이며 은행들 입장에서는 나름대로 손을 쓰고 있는 셈입니다...

따라서 불여우의 소스를 직접 건드리거나 불여우의 플러그인을 이용해서 새로 인터넷 뱅킹 구현을 하더라도 Administrator로 돌아가는 윈도우즈의 시스템 특성은 여전히 골치거리가 될 수 밖에 없습니다. 하나 우려되는 것은, 이번처럼 키로거를 이용하는 초보적인 방법으로도 국내 인터넷 뱅킹이 뚫렸다면 실력있는 크래커들이 마음먹고 뛰어들면 어떤 일이 벌어질 것인가 하는 점입니다.

Quote:

6. 왜 자꾸 kldp 에서는 항상 모든 주제의 토론이 윈도우vs리눅스가 되어 버리는가..

글쎄말입니다. 인터넷 뱅킹 뚫린거랑 리눅스랑 무슨 상관일까나요?

사주관상 프로그램 운운은 제가 한 것인데...다시 잘 읽어보셨으면 좋겠군요.
기본적으로 프로그램의 인스톨/언인스톨을 end user가 행한다고 가정할 때 리눅스도 윈도에 비해서 안전한 것은 아닙니다. 사용자의 interaction이 없는 dhtml이나 rpc를 이용한 worm 상황에서는 리눅스가 더 안전하다고 할 수 있지만 나머지 상황에서는 똑같은 취약성을 가지고 있습니다.

만약 현재의 리눅스가 윈도우 수준으로 end user층이 구성되었다고 가정하고 그들이 하루에 몇번 sudo dpkg -i 또는 sudo rpm -i를 입력할지 생각해보십시오. (실제로 이런 때가 오면 더 이상 sudo로 입력하지 않고 SuSE처럼 파일 브라우저에 통합되어 있을테지요)

단순히 머리속 생각으로 리눅스의 유저모드가 보안이 강력하다고 생각하는 것은 우리가 언젠가는 해결해야 할 과제에서 눈을 돌리는 행위라고 봅니다.

seoleda의 이미지

은행에서 리눅스용 라이브 씨디에다가 공인인증서를 담아서 배포하는 프로젝트는 어떻게 생각하세요?

머.. 아직 리눅스로 인터넷 뱅킹을 사용할 수 있는 인프라는 구축되어 있지 않지만, 은행에서 받은 씨디만 잘 보관한다면, 상당히 안전한 방법일것 같습니다.

처음든 생각은 플래쉬메모리 같은데 인증서와 윈도우를 함께 깔아서 개인적으로 사용하면 좋겠다고 생각했습니다. 하지만, 이러한 방법도 근본적으로 사용자가 모르는 사이에 프로그램이 깔리는 것을 막을 수 없고, 아예 처음부터 라이브 씨디로 윈도우를 제작하여 그 안에 인증서를 담아야 할 것입니다.

하지만, 순진한(?) 사용자들이 개인적으로 인증서를 담은 라이브 씨디를 사용하지는 않을 것입니다. 따라서, 아예 은행에서 인증서를 담아 라이브 씨디를 만들어 준다면, 이번 사건과 같은 경우는 막을 수 있겠죠 ^^

그러나, 현재의 상황에서는 인증서와 윈도우를 라이브 씨디로 작성하여 은행에서 배포하는 것은 일어나지 않을 것같고요, 이러한 면에서 마음대로 배포가능한 리눅스가 대안이 될 것 같습니다.

물론, 이러한 프로젝트가 성공하려면, 리눅스에서도 인터넷 뱅킹이 잘 동작해야 한다는 가정이 필요하지만요.. ^^

tinywolf의 이미지

오옷 logout씨 만세!
음 공부가 되는데요.. 공인인증서에 그런 비밀이..

역시 해결책은 동사무소에서 의무 보안 교육을.... 쿨럭..

ㅡ_ㅡ;

logout의 이미지

Anonymous wrote:

사주관상 프로그램 운운은 제가 한 것인데...다시 잘 읽어보셨으면 좋겠군요.
기본적으로 프로그램의 인스톨/언인스톨을 end user가 행한다고 가정할 때 리눅스도 윈도에 비해서 안전한 것은 아닙니다. 사용자의 interaction이 없는 dhtml이나 rpc를 이용한 worm 상황에서는 리눅스가 더 안전하다고 할 수 있지만 나머지 상황에서는 똑같은 취약성을 가지고 있습니다.

만약 현재의 리눅스가 윈도우 수준으로 end user층이 구성되었다고 가정하고 그들이 하루에 몇번 sudo dpkg -i 또는 sudo rpm -i를 입력할지 생각해보십시오. (실제로 이런 때가 오면 더 이상 sudo로 입력하지 않고 SuSE처럼 파일 브라우저에 통합되어 있을테지요)

단순히 머리속 생각으로 리눅스의 유저모드가 보안이 강력하다고 생각하는 것은 우리가 언젠가는 해결해야 할 과제에서 눈을 돌리는 행위라고 봅니다.

좋은 답변 감사합니다. 그래서 저도 일부러 맥오에스쪽 상황을 일부러 길게 적은 겁니다. 맥 오에스는 어플리케이션 설치시에 sudo dpkg -i 나 sudo rpm -i 를 쓰지 않습니다. 단순히 일반유저 권한으로 로그인한 다음 cp 작업으로 어플 설치가 완료됩니다. 맥 오에스에서는 더이상 어플 설치를 위해서는 root권한이 필요없습니다.

이 구조를 HCI 측면에서 눈여겨 볼 필요가 있는 게 맥오에스는 인터페이스로 사용자들이 자연스럽게 보안에 신경을 쓰는 사용 습관을 들이도록 유도해 내고 있다는 점입니다. (또한 사용자들에게 보안에 대한 주의를 환기시킬수 있는 통로 역시 인터페이스를 이용하지 않을 수 없습니다.) 시스템 업데이트나 서버 대몬을 설치할때 설치 프로그램이 내 패스워드를 물으면 그것은 사용자 역시 예상하고 있던 시스템의 반응이 되겠지만 일반 어플이 내 패스워드를 묻는다면 이것은 사용자가 기대하지 않던 시스템의 반응이고 사용자는 당연히 이 어플이 뭔가 이상하다는 느낌을 받게 될겁니다.

게다가 맥오에스는 기존 유닉스에 이미 구현되어 있는 기능만으로 이런 독특한 어플 설치시의 안전한 보안 모델을 만들어 내고 있습니다. 이것 역시 당연히 리눅스에도 구현가능할테고 deb나 rpm과 같은 패키지 관리의 문제가 있겠지만 데스크탑용 배포본 다음 버전에서 중요하게 고려해야 할 부분 중 하나입니다.

어쨌거나 일단 normal user권한에서 재주껏 root를 얻어낸다든가, 처음부터 원격으로 network daemon들의 buffer overflow 취약점을 타고 들어와 root 권한을 빼낸다든가 하는 위험은 리눅스나 윈도우즈나 심지어는 맥오에스 역시 마찬가지입니다.

"I conduct to live,
I live to compose."
--- Gustav Mahler

김충길의 이미지

참고로 몇자 적습니다.

지금의 SSL 128비트 규제가 풀리기 전에는 local proxy 포트를 이용한 128비트 전용 프로그램이 깔려서 구현된적이 있습니다. 프락시방식이 퇴보한건 SSL이 페이지단위로만 동작하기때문입니다. 그래서 페이지 내의 불필요한 비 보안 컨텐츠들이 포함되고 이게 속도를 느리게 하는 단점이 있지요.

인터넷뱅킹용 플러그인을 개발하는 주 업체는 소***럼과 **텍입니다. 지금은 대부분의 뱅킹 플러그인 프로그램이 active-x로만 구현되지만 옛적엔 Netscape용으로 구현한 적이 있습니다. 이게 좀 확산되었다면 리눅스에서 인터넷뱅킹하는건 문제도 아닙니다. 그리고 KISA 규격안에는 플랫폼 자체는 못박지 않은걸로 알고 있고요.

screen + vim + ctags 좋아요~

익명 사용자의 이미지

logout (6월3일) wrote:
이번 기회에 ActiveX 플러그인의 보안 문제가 사회적으로 좀 환기되었으면 합니다.

logout (6월6일) wrote:
자세히 얘기하자면 이 문제는 ActiveX가 보안에 허접하다기 보다는 윈도우즈는 대부분 Administrator 권한으로 돌아가기 때문입니다.

며칠만에 들렀더니 아니나다를까 며칠만에 감쪽같이 자기 말을 바꾸는군요. ㅋㅋ

첨에는 마치 ActiveX 자체가 보안 문제가 있는 것처럼 우기더니 제가 몇마디 한걸 듣고는 마치 뭔가를 잘아는양 갑자기 Administrator의 권한으로 초점을 바꾸는 쎈스가 놀랍습니다.

회사에 보면 암것도 모르면서 오로지 말빨로 아는척 떠들기 좋아하는 사람있죠. 자기주장에 반박하면 슬그머니 딴주제를 꺼내서 구렁이담넘기짓 잘하는 사람 말이죠. 그런 사람의 전형을 보는것 같습니다.

위에서도 몇번 강조를 했지만 ActiveX 자체는 웹으로 프로그램을 배포하면 신뢰성이 문제가 되니까 이 프로그램은 신뢰할만한 프로그램이다라는걸 보증하기위해 만든 방법입니다. 일부 프맹들이 떠드는것처럼 ActiveX가 보안에 문제가 있는게 아니라 꺼꾸로 보안을 강화하기 위해서 만든 방법이거든요. 윈도 기술에 관해 정말 쥐뿔도 모르믄서 아는척하는 사람들 보면 정말 하룻강아지처럼 우습다는 생각밖에 안드는군여.

익명 사용자의 이미지

글구 한마디 덧붙이면 윈도는 유저들이 Administrator 권한으로 쓰기 때문에 위험이 높고 리눅스는 root를 안쓰기 때문에 위험도가 낮다고 하는데 이거 가만히 보면 맞는소리 같은데 실제로보면 하나마나한 소립니다. 왜냐면 말이죠. 여러분이 쓰는 데스크톱 리눅스에서 여러분 데이타를 어디다가 보관합니까? 전부 /home/user 밑에다가 몰아넣죠? 그러면 여러분의 리눅스 어카운트가 해킹당하면 최악의 경우로 해커가 홈디렉토리 날려버리면 여러분의 데이타는 다날라가는겁니다(아님 해커가 어디로 빼돌리던가). 그럼 나머지 데이타는? 홈디렉토리 빼고는 유저데이타가 보관되는 디렉토리가 리눅스는 없죠? 그니까 윈도에서 Administrator가 해킹당해서 하드가 포맷되는거나 리눅스 홈디렉토리가 통째로 밀리는거나 내 데이타가 몽땅 날라간다는점에서는 결과적으로 아무차이도 없어요(왜냐면 데스크톱은 거의 대부분 혼자만 쓰니까). 리눅스가 나은점이라면 시스템 새로 까는데 드는 시간 절약된다는 정도? 뭐그정도의 시간은 리눅스로 인터넷뱅킹 안되기때문에 은행에 발품팔러 다니느라 뺐기는 시간과 쌤쌤되겠지만.. 결국에 리눅스가 보안위험성이 낮다는 소리는 하나마나한거죠. 거기다가 보니깐 며칠전에 ubuntu.or.kr도 해킹당해서 뚫렸다던데 거기는 윈도를 서버로 써서 뚫렸나보죠? 결국에 리눅스가 윈도보다 보안성이 났다고 주장하기위해 안간힘을 써봐야 현실은 리눅스 서버들 줄창 뚫려서 다날라가는 현실이라는겁니다. ubuntu.or.kr 해킹당하기 바로전에는 데비안유저스든가? 거기 해킹당했드만... 보안이 뛰어나다면서 왜케 해킹은 잘 당하는걸까요?

kirseia의 이미지

외한은행인가. 거기로 알고 있는데,
그곳은 키 보안 프로그램이 없었다고 들었습니다. (확실하진 않지만;;;)
만약에 있었는데 사용자가 설치 안하면 사용자 과실이겠죠.

그 프로그램이 뚫렸다면 보안 솔루션 제공업체 잘못이겠지만;;;

그리고 보안카드에 대한 강화안으로 제가 생각한게 있는데,
사용자 보안 카드에는 10 x 20 행렬의 수가 쓰여있고,
인터넷뱅킹에서는 그 숫자를 무작위로 몇 개를 물어보는겁니다.

일단 경우의 수가 많아지기 때문에 키 로그에 대한 대비는 된다고 생각합니다.

더 추가적으로는 가상 키보드를 띄운다던가 하는 방법도 있겠죠.

아무튼. 조심해야겠습니다 ㅡ_ㅡ;;;

maddie의 이미지

Anonymous wrote:

회사에 보면 암것도 모르면서 오로지 말빨로 아는척 떠들기 좋아하는 사람있죠. 자기주장에 반박하면 슬그머니 딴주제를 꺼내서 구렁이담넘기짓 잘하는 사람 말이죠. 그런 사람의 전형을 보는것 같습니다.

그렇게 자신 있으면 실명으로 이야기 하세요. 비겁하게 숨어서 "지랄"입니까?

Anonymous wrote:
위에서도 몇번 강조를 했지만 ActiveX 자체는 웹으로 프로그램을 배포하면 신뢰성이 문제가 되니까 이 프로그램은 신뢰할만한 프로그램이다라는걸 보증하기위해 만든 방법입니다. 일부 프맹들이 떠드는것처럼 ActiveX가 보안에 문제가 있는게 아니라 꺼꾸로 보안을 강화하기 위해서 만든 방법이거든요. 윈도 기술에 관해 정말 쥐뿔도 모르믄서 아는척하는 사람들 보면 정말 하룻강아지처럼 우습다는 생각밖에 안드는군여.

프로그램을 신뢰할 만한 프로그램이다를 증명하는 것은 디지털 인증부분이지, 액티브 엑스 부분이 아닙니다. 액티브 엑스는 보안에 문제가 있을 수 있습니다. 디지털 인증을 받는다고 해도 개발자가 속에다가 머를 넣어놨는지 알게 멉니까. 액티브엑스는 보안을 강화하기 위해 만든 것이 아니라 웹이나 네트워크를 통해 배포를 쉽게 하기 위해 MS에서 만든 플랫폼이지, 보안과는 애시당초 관련이 없습니다. 액티브 엑스가 도는 건 님의 컴퓨터에서 프로그램이 도는 거랑 다름없는 것입니다. 그것을 신뢰할만한 배포처에서 배포된 것이다라는 것을 증명해주는 것은 인증 시스템이랍니다. 인증없이 강제로 바이너리를 심을 수도 있습니다.

손님제도... 참으로 안좋은 점이 많아요... 차라리 폐쇄적이라도 이런 하룻 강아지는 막을 수 없나...

힘없는자의 슬픔

병맛의 이미지

Anonymous wrote:
글구 한마디 덧붙이면 윈도는 유저들이 Administrator 권한으로 쓰기 때문에 위험이 높고 리눅스는 root를 안쓰기 때문에 위험도가 낮다고 하는데 이거 가만히 보면 맞는소리 같은데 실제로보면 하나마나한 소립니다. 왜냐면 말이죠. 여러분이 쓰는 데스크톱 리눅스에서 여러분 데이타를 어디다가 보관합니까? 전부 /home/user 밑에다가 몰아넣죠? 그러면 여러분의 리눅스 어카운트가 해킹당하면 최악의 경우로 해커가 홈디렉토리 날려버리면 여러분의 데이타는 다날라가는겁니다(아님 해커가 어디로 빼돌리던가). 그럼 나머지 데이타는? 홈디렉토리 빼고는 유저데이타가 보관되는 디렉토리가 리눅스는 없죠? 그니까 윈도에서 Administrator가 해킹당해서 하드가 포맷되는거나 리눅스 홈디렉토리가 통째로 밀리는거나 내 데이타가 몽땅 날라간다는점에서는 결과적으로 아무차이도 없어요(왜냐면 데스크톱은 거의 대부분 혼자만 쓰니까). 리눅스가 나은점이라면 시스템 새로 까는데 드는 시간 절약된다는 정도? 뭐그정도의 시간은 리눅스로 인터넷뱅킹 안되기때문에 은행에 발품팔러 다니느라 뺐기는 시간과 쌤쌤되겠지만.. 결국에 리눅스가 보안위험성이 낮다는 소리는 하나마나한거죠. 거기다가 보니깐 며칠전에 ubuntu.or.kr도 해킹당해서 뚫렸다던데 거기는 윈도를 서버로 써서 뚫렸나보죠? 결국에 리눅스가 윈도보다 보안성이 났다고 주장하기위해 안간힘을 써봐야 현실은 리눅스 서버들 줄창 뚫려서 다날라가는 현실이라는겁니다. ubuntu.or.kr 해킹당하기 바로전에는 데비안유저스든가? 거기 해킹당했드만... 보안이 뛰어나다면서 왜케 해킹은 잘 당하는걸까요?

dump windows junkie. 걍 윈도즈나 쓰시길.

cocas의 이미지

Anonymous wrote:
글구 한마디 덧붙이면 윈도는 유저들이 Administrator 권한으로 쓰기 때문에 위험이 높고 리눅스는 root를 안쓰기 때문에 위험도가 낮다고 하는데 이거 가만히 보면 맞는소리 같은데 실제로보면 하나마나한 소립니다. 왜냐면 말이죠. 여러분이 쓰는 데스크톱 리눅스에서 여러분 데이타를 어디다가 보관합니까? 전부 /home/user 밑에다가 몰아넣죠? 그러면 여러분의 리눅스 어카운트가 해킹당하면 최악의 경우로 해커가 홈디렉토리 날려버리면 여러분의 데이타는 다날라가는겁니다(아님 해커가 어디로 빼돌리던가). 그럼 나머지 데이타는? 홈디렉토리 빼고는 유저데이타가 보관되는 디렉토리가 리눅스는 없죠? 그니까 윈도에서 Administrator가 해킹당해서 하드가 포맷되는거나 리눅스 홈디렉토리가 통째로 밀리는거나 내 데이타가 몽땅 날라간다는점에서는 결과적으로 아무차이도 없어요(왜냐면 데스크톱은 거의 대부분 혼자만 쓰니까). 리눅스가 나은점이라면 시스템 새로 까는데 드는 시간 절약된다는 정도? 뭐그정도의 시간은 리눅스로 인터넷뱅킹 안되기때문에 은행에 발품팔러 다니느라 뺐기는 시간과 쌤쌤되겠지만.. 결국에 리눅스가 보안위험성이 낮다는 소리는 하나마나한거죠.


이 점에 있어서는 부정을 못하겠네요.

Anonymous wrote:
거기다가 보니깐 며칠전에 ubuntu.or.kr도 해킹당해서 뚫렸다던데 거기는 윈도를 서버로 써서 뚫렸나보죠? 결국에 리눅스가 윈도보다 보안성이 났다고 주장하기위해 안간힘을 써봐야 현실은 리눅스 서버들 줄창 뚫려서 다날라가는 현실이라는겁니다. ubuntu.or.kr 해킹당하기 바로전에는 데비안유저스든가? 거기 해킹당했드만... 보안이 뛰어나다면서 왜케 해킹은 잘 당하는걸까요?

글쎄요.. 마이크로소프트도 해킹 몇번 당했던 걸로 기억하는데요.

자 생각해봅시다. IIS에 ASP로 만든 가져다 쓸 수 있는 게시판 시스템 생각나시는 거 있습니까? 안타깝게도 전 없네요. 리눅스를 써서 해킹당했다고 하는 시스템들을 보면 취약한 웹 어플리케이션을 사용해서 대량으로 해킹당한 시스템이 많습니다. 최근의 제로보드나 phpBB 공격이 바로 그런 예지요. 동일한 프로그램을 여러군데서 쓰기 때문에 대량으로 공격하기가 쉽습니다. 반면 IIS를 운영하는 곳은 상황이 좀 다르더군요. 제가 자세하게 알아본 것은 아니지만 주로 게시판을 외주제작을 하거나 하는 식으로 많이 사용했습니다. 같은 게시판이 아니지요. 뭐 그래서 더 보안적으로 괜찮느냐 하고 물으신다면 할 말 없습니다. 얻은 관리자 권한만 몇번인지.. -_-

제가 보는 OS의 보안성 측면은 리눅스나 윈도나 비슷하다입니다. 다만 ActiveX와 같이 웹에서 프로그램을 의심 없이 손쉽게 깔게 하는 그런 방식은 글쎄요. 별로 보안에 좋아 보이진 않습니다. 보안성을 대폭 강화했다는 XP SP2에서 보안성 강화를 위해 가장 힘쓴게 ActiveX 자동 차단, 방화벽 기본 설정인걸 보면 말이죠. ( 그 외에 실행 방지 스택도 있습니다만 이건 뭐 기술적으로나 흥미롭지 일반 사용자에게 와닿지는 않겠고요. )

익명 사용자의 이미지

Anonymous wrote:
글구 한마디 덧붙이면 윈도는 유저들이 Administrator 권한으로 쓰기 때문에 위험이 높고 리눅스는 root를 안쓰기 때문에 위험도가 낮다고 하는데 이거 가만히 보면 맞는소리 같은데 실제로보면 하나마나한 소립니다. 왜냐면 말이죠. 여러분이 쓰는 데스크톱 리눅스에서 여러분 데이타를 어디다가 보관합니까? 전부 /home/user 밑에다가 몰아넣죠? 그러면 여러분의 리눅스 어카운트가 해킹당하면 최악의 경우로 해커가 홈디렉토리 날려버리면 여러분의 데이타는 다날라가는겁니다(아님 해커가 어디로 빼돌리던가). 그럼 나머지 데이타는? 홈디렉토리 빼고는 유저데이타가 보관되는 디렉토리가 리눅스는 없죠? 그니까 윈도에서 Administrator가 해킹당해서 하드가 포맷되는거나 리눅스 홈디렉토리가 통째로 밀리는거나 내 데이타가 몽땅 날라간다는점에서는 결과적으로 아무차이도 없어요(왜냐면 데스크톱은 거의 대부분 혼자만 쓰니까). 리눅스가 나은점이라면 시스템 새로 까는데 드는 시간 절약된다는 정도? 뭐그정도의 시간은 리눅스로 인터넷뱅킹 안되기때문에 은행에 발품팔러 다니느라 뺐기는 시간과 쌤쌤되겠지만.. 결국에 리눅스가 보안위험성이 낮다는 소리는 하나마나한거죠. 거기다가 보니깐 며칠전에 ubuntu.or.kr도 해킹당해서 뚫렸다던데 거기는 윈도를 서버로 써서 뚫렸나보죠? 결국에 리눅스가 윈도보다 보안성이 났다고 주장하기위해 안간힘을 써봐야 현실은 리눅스 서버들 줄창 뚫려서 다날라가는 현실이라는겁니다. ubuntu.or.kr 해킹당하기 바로전에는 데비안유저스든가? 거기 해킹당했드만... 보안이 뛰어나다면서 왜케 해킹은 잘 당하는걸까요?

해킹이 잘 되는것처럼 보이십니까.
후후 그거야 말로 편견입니다. 윈도우나 리눅스나 관리를 안하면 뚤리는건 마찬가지랍죠?
다만 리눅스는 바어러스의 위험이 윈도우보다 적으니까 리눅스가 낫는겁니다.

웃기지 마시죠. 리눅스가 안전하다고 아셨습니까?
수많은 서버들이 해킹으로 인해 꿇리고 있습니다.
윈도우,리눅스 포함 모든 서버들이 그렇게 뚫리고 있습니다.
윈도우 서버는 리눅스처럼 안전하나요?
결코 그렇지 않죠.

그동안 인터넷 대란들 특히 MS 웜바이러스, MSSQL 뒷구멍 웜
등등
아예 해커가 뚫는게 아니라 바이러스가 자동화가되서 뚫습니다.
그래서 네트워크를 아예 마비시켜버렸죠.

리눅스는 그런일 있나요? 웹변조 해킹처럼 대량 해킹이 있었지만.
그 모두 해커들이 그 서버에 직접 작업을 한것이지,
웜바이러스처럼 컴퓨터가 자동으로 퍼트린게 아닙니다.

리눅스와 윈도우 보안 가지고 왈가왈부하는건 총체적인걸 가지고 판단하는겁니다.
윈도우 시스템이라도 관리 잘하면 절대 뚫릴일 없습니다.
반면 솔라리스 라도 관리 잘못하면 금세 뚤리게 되는거죠.
단편적인 일들만 가지고 전체를 판단하는 건 하지 말았으면 좋겠군요.

익명 사용자의 이미지

아.. 필명을 안썼군요.. 윗글.. 제가 썼습니다..;

다즐링의 이미지

밑의 말은 맞는 말입니다만.

위의 말은 동의하기 힘듭니다.

public ip 로 된 수많은 써버들이 웜에 당합니다.

웜? 이라고 해야할지는 모르겠지만.

스캐닝후 공격 (취약점 ,암호 때려넣기 등 )
하고 설치후에
그걸로 다시 스캔합니다 -_-;

수많은 리눅스 써버들이 당했습니다.

모를뿐입니다 -_-;;

역시 관리잘하면 안당합니다 -_-;;

Anonymous wrote:

그동안 인터넷 대란들 특히 MS 웜바이러스, MSSQL 뒷구멍 웜
등등
아예 해커가 뚫는게 아니라 바이러스가 자동화가되서 뚫습니다.
그래서 네트워크를 아예 마비시켜버렸죠.

리눅스는 그런일 있나요? 웹변조 해킹처럼 대량 해킹이 있었지만.
그 모두 해커들이 그 서버에 직접 작업을 한것이지,
웜바이러스처럼 컴퓨터가 자동으로 퍼트린게 아닙니다.

리눅스와 윈도우 보안 가지고 왈가왈부하는건 총체적인걸 가지고 판단하는겁니다.
윈도우 시스템이라도 관리 잘하면 절대 뚫릴일 없습니다.
반면 솔라리스 라도 관리 잘못하면 금세 뚤리게 되는거죠.
단편적인 일들만 가지고 전체를 판단하는 건 하지 말았으면 좋겠군요.

------------------------------------------------------------------------------------------------
Life is in 다즐링

익명 사용자의 이미지

아.. 글구.. 리눅스 데스크탑에서 해킹당해서 모든 자료가 날아가는 경우를 보신적 있나봅니다..

서버 해킹 당하는건 봤어도. 데탑이 해킹당한다는건 금시초문인데..
해커가 무작위로 찍어서 들어오나보죠..;

저같은 경우는 유동아이피인데. 정확히 알고 들어온다면...
상당히 위험한데.

익명 사용자의 이미지

아아. 그런가요?

그렇다면.
스캐닝하고 그 시스템에 침투해서 자신을 박아두고 다시 처음의 과정을 되풀이 하듯이..
해커가 한번 풀면 손 안대도 저절로 퍼질정도로 자동화된 프로그램이 있나요..?

그렇다면.. 큰일인데..;

다즐링의 이미지

제가본것만 2001년부터 있었습니다.

몇개는 당한거 고쳐두면서 소스수집도 했었지만-_-;

그쪽은 취미가 아니므로... 패스

그리고 그런 웜들의 특징은 irc로 접속하여 컨트롤을 받습니다.

즉 내부망이라도 게이트웨이가 당한다면

내부를 스캔해서 다당할확률이 높죠;

바라미 wrote:
아아. 그런가요?

그렇다면.
스캐닝하고 그 시스템에 침투해서 자신을 박아두고 다시 처음의 과정을 되풀이 하듯이..
해커가 한번 풀면 손 안대도 저절로 퍼질정도로 자동화된 프로그램이 있나요..?

그렇다면.. 큰일인데..;

------------------------------------------------------------------------------------------------
Life is in 다즐링

logout의 이미지

Anonymous wrote:
logout (6월3일) wrote:
이번 기회에 ActiveX 플러그인의 보안 문제가 사회적으로 좀 환기되었으면 합니다.

logout (6월6일) wrote:
자세히 얘기하자면 이 문제는 ActiveX가 보안에 허접하다기 보다는 윈도우즈는 대부분 Administrator 권한으로 돌아가기 때문입니다.

며칠만에 들렀더니 아니나다를까 며칠만에 감쪽같이 자기 말을 바꾸는군요. ㅋㅋ

첨에는 마치 ActiveX 자체가 보안 문제가 있는 것처럼 우기더니 제가 몇마디 한걸 듣고는 마치 뭔가를 잘아는양 갑자기 Administrator의 권한으로 초점을 바꾸는 쎈스가 놀랍습니다.

회사에 보면 암것도 모르면서 오로지 말빨로 아는척 떠들기 좋아하는 사람있죠. 자기주장에 반박하면 슬그머니 딴주제를 꺼내서 구렁이담넘기짓 잘하는 사람 말이죠. 그런 사람의 전형을 보는것 같습니다.

위에서도 몇번 강조를 했지만 ActiveX 자체는 웹으로 프로그램을 배포하면 신뢰성이 문제가 되니까 이 프로그램은 신뢰할만한 프로그램이다라는걸 보증하기위해 만든 방법입니다. 일부 프맹들이 떠드는것처럼 ActiveX가 보안에 문제가 있는게 아니라 꺼꾸로 보안을 강화하기 위해서 만든 방법이거든요. 윈도 기술에 관해 정말 쥐뿔도 모르믄서 아는척하는 사람들 보면 정말 하룻강아지처럼 우습다는 생각밖에 안드는군여.

한마디 툭 던져놓았더니 하도 군소리가 많아서 헛갈리지 말라고 부연설명까지 붙여 줬더니 이제는 구렁이 담넘어 가는 사람으로 매도하는 건가요? 그 말빨 하나는 참 멋들어졌군요. 이런 식으로 다른 사람 매도하면서 자신이 잘난줄 아는 쓰레기들 제 주변에도 간혹 있긴 합니다.

ActiveX가 그렇게 보안 강화에 유리하다면 ActiveX 많이 쓰기 바랍니다. 다만, 적어도 나중에 인터넷 뱅킹이 또 뚫렸을때 소비자의 과실운운 하면서 시스템 설계 자체의 책임까지 소비자에게 떠넘기는 파렴치한 짓은 하지 말기 바랍니다. 자신 없으면 아예 솔직히 보험을 들던가요. 구미쪽 인터넷 뱅킹 서비스에서는 왜 ActiveX를 거들떠 보지도 않는지 여전히 모르고 있다면 뭐 할 수 없겠구요.

"I conduct to live,
I live to compose."
--- Gustav Mahler

logout의 이미지

Anonymous wrote:
글구 한마디 덧붙이면 윈도는 유저들이 Administrator 권한으로 쓰기 때문에 위험이 높고 리눅스는 root를 안쓰기 때문에 위험도가 낮다고 하는데 이거 가만히 보면 맞는소리 같은데 실제로보면 하나마나한 소립니다. 왜냐면 말이죠. 여러분이 쓰는 데스크톱 리눅스에서 여러분 데이타를 어디다가 보관합니까? 전부 /home/user 밑에다가 몰아넣죠? 그러면 여러분의 리눅스 어카운트가 해킹당하면 최악의 경우로 해커가 홈디렉토리 날려버리면 여러분의 데이타는 다날라가는겁니다(아님 해커가 어디로 빼돌리던가). 그럼 나머지 데이타는? 홈디렉토리 빼고는 유저데이타가 보관되는 디렉토리가 리눅스는 없죠? 그니까 윈도에서 Administrator가 해킹당해서 하드가 포맷되는거나 리눅스 홈디렉토리가 통째로 밀리는거나 내 데이타가 몽땅 날라간다는점에서는 결과적으로 아무차이도 없어요(왜냐면 데스크톱은 거의 대부분 혼자만 쓰니까). 리눅스가 나은점이라면 시스템 새로 까는데 드는 시간 절약된다는 정도? 뭐그정도의 시간은 리눅스로 인터넷뱅킹 안되기때문에 은행에 발품팔러 다니느라 뺐기는 시간과 쌤쌤되겠지만.. 결국에 리눅스가 보안위험성이 낮다는 소리는 하나마나한거죠. 거기다가 보니깐 며칠전에 ubuntu.or.kr도 해킹당해서 뚫렸다던데 거기는 윈도를 서버로 써서 뚫렸나보죠? 결국에 리눅스가 윈도보다 보안성이 났다고 주장하기위해 안간힘을 써봐야 현실은 리눅스 서버들 줄창 뚫려서 다날라가는 현실이라는겁니다. ubuntu.or.kr 해킹당하기 바로전에는 데비안유저스든가? 거기 해킹당했드만... 보안이 뛰어나다면서 왜케 해킹은 잘 당하는걸까요?

요즘 윈도우즈를 새로 설치할 때는 네트워크 케이블을 빼 놓는 것이 윈도우즈 보안의 새로운 유행이던데요... 왜 리눅스에는 이런 윈도우즈 진영의 새로운 보안 테크닉이 여전히 도입되지 않고 있는지 저도 참 의문입니다.

"I conduct to live,
I live to compose."
--- Gustav Mahler

익명 사용자의 이미지

logout wrote:
Anonymous wrote:
글구 한마디 덧붙이면 윈도는 유저들이 Administrator 권한으로 쓰기 때문에 위험이 높고 리눅스는 root를 안쓰기 때문에 위험도가 낮다고 하는데 이거 가만히 보면 맞는소리 같은데 실제로보면 하나마나한 소립니다. 왜냐면 말이죠. 여러분이 쓰는 데스크톱 리눅스에서 여러분 데이타를 어디다가 보관합니까? 전부 /home/user 밑에다가 몰아넣죠? 그러면 여러분의 리눅스 어카운트가 해킹당하면 최악의 경우로 해커가 홈디렉토리 날려버리면 여러분의 데이타는 다날라가는겁니다(아님 해커가 어디로 빼돌리던가). 그럼 나머지 데이타는? 홈디렉토리 빼고는 유저데이타가 보관되는 디렉토리가 리눅스는 없죠? 그니까 윈도에서 Administrator가 해킹당해서 하드가 포맷되는거나 리눅스 홈디렉토리가 통째로 밀리는거나 내 데이타가 몽땅 날라간다는점에서는 결과적으로 아무차이도 없어요(왜냐면 데스크톱은 거의 대부분 혼자만 쓰니까). 리눅스가 나은점이라면 시스템 새로 까는데 드는 시간 절약된다는 정도? 뭐그정도의 시간은 리눅스로 인터넷뱅킹 안되기때문에 은행에 발품팔러 다니느라 뺐기는 시간과 쌤쌤되겠지만.. 결국에 리눅스가 보안위험성이 낮다는 소리는 하나마나한거죠. 거기다가 보니깐 며칠전에 ubuntu.or.kr도 해킹당해서 뚫렸다던데 거기는 윈도를 서버로 써서 뚫렸나보죠? 결국에 리눅스가 윈도보다 보안성이 났다고 주장하기위해 안간힘을 써봐야 현실은 리눅스 서버들 줄창 뚫려서 다날라가는 현실이라는겁니다. ubuntu.or.kr 해킹당하기 바로전에는 데비안유저스든가? 거기 해킹당했드만... 보안이 뛰어나다면서 왜케 해킹은 잘 당하는걸까요?

요즘 윈도우즈를 새로 설치할 때는 네트워크 케이블을 빼 놓는 것이 윈도우즈 보안의 새로운 유행이던데요... 왜 리눅스에는 이런 윈도우즈 진영의 새로운 보안 테크닉이 여전히 도입되지 않고 있는지 저도 참 의문입니다.

이건 좀 억지 같군요. 우디 깔면서 요즘 머신에서 비디오와 랜이 안잡힌다고 불평하는 사람에게 뭐라 하는 것과 같은 이야기입니다.
그렇다고 우디가 나쁜 것은 아니죠...목적과 용도에 맞는 최신 리비전의 인스톨을 쓰지 않는 사람이 문제일 뿐...

logout님의 글을 보고 있으면 KLDP에서의 activity에 비해 너무 뜬금없는(?) 비유나 이야기를 꺼내시는 비율이 좀 높은 것 같습니다.
그래도 아바타도 멋진걸로 달고 KU 랭크이신데 말이죠...

cocas의 이미지

Anonymous wrote:
logout wrote:
Anonymous wrote:
글구 한마디 덧붙이면 윈도는 유저들이 Administrator 권한으로 쓰기 때문에 위험이 높고 리눅스는 root를 안쓰기 때문에 위험도가 낮다고 하는데 이거 가만히 보면 맞는소리 같은데 실제로보면 하나마나한 소립니다. 왜냐면 말이죠. 여러분이 쓰는 데스크톱 리눅스에서 여러분 데이타를 어디다가 보관합니까? 전부 /home/user 밑에다가 몰아넣죠? 그러면 여러분의 리눅스 어카운트가 해킹당하면 최악의 경우로 해커가 홈디렉토리 날려버리면 여러분의 데이타는 다날라가는겁니다(아님 해커가 어디로 빼돌리던가). 그럼 나머지 데이타는? 홈디렉토리 빼고는 유저데이타가 보관되는 디렉토리가 리눅스는 없죠? 그니까 윈도에서 Administrator가 해킹당해서 하드가 포맷되는거나 리눅스 홈디렉토리가 통째로 밀리는거나 내 데이타가 몽땅 날라간다는점에서는 결과적으로 아무차이도 없어요(왜냐면 데스크톱은 거의 대부분 혼자만 쓰니까). 리눅스가 나은점이라면 시스템 새로 까는데 드는 시간 절약된다는 정도? 뭐그정도의 시간은 리눅스로 인터넷뱅킹 안되기때문에 은행에 발품팔러 다니느라 뺐기는 시간과 쌤쌤되겠지만.. 결국에 리눅스가 보안위험성이 낮다는 소리는 하나마나한거죠. 거기다가 보니깐 며칠전에 ubuntu.or.kr도 해킹당해서 뚫렸다던데 거기는 윈도를 서버로 써서 뚫렸나보죠? 결국에 리눅스가 윈도보다 보안성이 났다고 주장하기위해 안간힘을 써봐야 현실은 리눅스 서버들 줄창 뚫려서 다날라가는 현실이라는겁니다. ubuntu.or.kr 해킹당하기 바로전에는 데비안유저스든가? 거기 해킹당했드만... 보안이 뛰어나다면서 왜케 해킹은 잘 당하는걸까요?

요즘 윈도우즈를 새로 설치할 때는 네트워크 케이블을 빼 놓는 것이 윈도우즈 보안의 새로운 유행이던데요... 왜 리눅스에는 이런 윈도우즈 진영의 새로운 보안 테크닉이 여전히 도입되지 않고 있는지 저도 참 의문입니다.

이건 좀 억지 같군요. 우디 깔면서 요즘 머신에서 비디오와 랜이 안잡힌다고 불평하는 사람에게 뭐라 하는 것과 같은 이야기입니다.
그렇다고 우디가 나쁜 것은 아니죠...목적과 용도에 맞는 최신 리비전의 인스톨을 쓰지 않는 사람이 문제일 뿐...

logout님의 글을 보고 있으면 KLDP에서의 activity에 비해 너무 뜬금없는(?) 비유나 이야기를 꺼내시는 비율이 좀 높은 것 같습니다.
그래도 아바타도 멋진걸로 달고 KU 랭크이신데 말이죠...

더 뜬금없는 손님이시군요. 랜선 뽑고 패치부터 설치해야 하는 ( 패치는 따로 씨디를 만들어놓던지, 받아놓던지 알아서 ) 윈도와 우디를 어떻게 비교하신건가요? 서로가 전혀 별개의 것이라고 봅니다. 혹시 제가 모르는 랜선을 뽑지 않고 설치해도 되는 정품 윈도 씨디가 있던가요?

손님들의 글을 보고 있으면 KLDP에서의 activity에 비해 너무 뜬금없는(?) 비유나 이야기를 꺼내시는 비율이 좀 높은 것 같습니다.
그래도 아바타도 없고 랭크도 없는데 말이죠.

익명 사용자의 이미지

머리좋은 초딩이 하나 있어서 그래.

voljin의 이미지

허허..반응이 황당하군요.

SP2가 통합된 설치CD에서는 랜선을 뽑을 필요가 없습니다. 뭔가 workaround를 생각해야하는 것은 그 인스톨본이 outdated 라는 이야기고, 그렇다면 우디나, 보안상 결함이 있었던 과거 배포판의 인스톨을 그대로 하는 것과 마찬가지라는 이야기입니다.

현실적으로 SP2 integrated CD를 과거 SP1 버전이나 XP 누드(?) 버전을 구매한 사용자가 통합된 CD로 교환받을 방법이 애매하다는 점을 지적하셨다면 더 나았을 것입니다. 하지만 이것은 정책의 문제이지, 제품 자체의 결함으로 지적하는 것은 무리가 있죠.
수많은 independent 배포판이 존재하는 오픈소스 운영체제도 이런 형태의 위협(이미 프레스되어 배포된 배포판에 치명적인 결함이 포함된 경우)으로부터 결코 자유롭지 않으며 발생했던 선례가 없는 것도 아닙니다.

로그인 안하고 쓰니까 별 소리를 다 듣는군요. 뭐 그래도 앞으로 계속 손님으로 글 쓸겁니다만.

익명 사용자의 이미지

voljin wrote:
허허..반응이 황당하군요.

SP2가 통합된 설치CD에서는 랜선을 뽑을 필요가 없습니다. 뭔가 workaround를 생각해야하는 것은 그 인스톨본이 outdated 라는 이야기고, 그렇다면 우디나, 보안상 결함이 있었던 과거 배포판의 인스톨을 그대로 하는 것과 마찬가지라는 이야기입니다.

현실적으로 SP2 integrated CD를 과거 SP1 버전이나 XP 누드(?) 버전을 구매한 사용자가 통합된 CD로 교환받을 방법이 애매하다는 점을 지적하셨다면 더 나았을 것입니다. 하지만 이것은 정책의 문제이지, 제품 자체의 결함으로 지적하는 것은 무리가 있죠.
수많은 independent 배포판이 존재하는 오픈소스 운영체제도 이런 형태의 위협(이미 프레스되어 배포된 배포판에 치명적인 결함이 포함된 경우)으로부터 결코 자유롭지 않으며 발생했던 선례가 없는 것도 아닙니다.

로그인 안하고 쓰니까 기어오르는 분들이 있군요.

제가 XP 오리지날 CD가 있거든요.

그런데, MS에 문의하면 XPSP2로 교환해주나요?

warpdory의 이미지

오만한 리눅서 wrote:
voljin wrote:
허허..반응이 황당하군요.

SP2가 통합된 설치CD에서는 랜선을 뽑을 필요가 없습니다. 뭔가 workaround를 생각해야하는 것은 그 인스톨본이 outdated 라는 이야기고, 그렇다면 우디나, 보안상 결함이 있었던 과거 배포판의 인스톨을 그대로 하는 것과 마찬가지라는 이야기입니다.

현실적으로 SP2 integrated CD를 과거 SP1 버전이나 XP 누드(?) 버전을 구매한 사용자가 통합된 CD로 교환받을 방법이 애매하다는 점을 지적하셨다면 더 나았을 것입니다. 하지만 이것은 정책의 문제이지, 제품 자체의 결함으로 지적하는 것은 무리가 있죠.
수많은 independent 배포판이 존재하는 오픈소스 운영체제도 이런 형태의 위협(이미 프레스되어 배포된 배포판에 치명적인 결함이 포함된 경우)으로부터 결코 자유롭지 않으며 발생했던 선례가 없는 것도 아닙니다.

로그인 안하고 쓰니까 기어오르는 분들이 있군요.

제가 XP 오리지날 CD가 있거든요.

그런데, MS에 문의하면 XPSP2로 교환해주나요?

미국은 모르겠는데, 한국 MS 에 문의하니깐 바꿔줄 계획 없다던데요(2005년 5월 중순쯤).
컴팩 프리자리오를 쓰고 있어서 문의했더니 HP 에 물어보라고 하고 HP 에 물어보니깐 MS 에 물어보라더군요. 결국 몇번 핑퐁하다가 나온 얘기가 계획 없대요.


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

fourmodern의 이미지

오늘 시사메거진 2580에 인터넷 뱅킹에 대해 방송한답니다.
취재하신 분들의 말에 의하면 국내 17개 은행의 인터넷 뱅킹이 모두 뚫렸다고 합니다. 물론 시사매거진에서 기술적인 부분을 자세히 밝히진 않겠지만 다른 사람들은 어떻게 생각하는 지도 한번 들어볼 수 있는 좋은 기회라 생각됩니다.
한국의 인터넷 뱅킹이 보안성과 접근성에서 둘 다 실패한 모델이 되어가는 것 같아 안타깝습니다마는..
이쯤 되면 엑티브 엑스니 하는 기술적인 문제보다 모델 자체의 컨셉에 대해 고민해 봐야 할 때가 된 것 같습니다.
사태가 좀 커져서 인터넷 뱅킹에 대해 심각하게 좀 생각하고 모델을 만들었으면 합니다. 엑티브엑스 문제를 떠나 사용자의 편의를 위한 것인지.. 자신들의 수익을 위해 만든 것인지.. 컨셉이나 좀 정확히 잡고 모델을 만들었으면 좋겠습니다. 접근성도 나쁘면서 보안에서도 실패한다면 첨부터 다시 생각해 보아야 되지 않을까요?
물론 보안에 있어서 사용자의 잘못이 크다고 하지만.. 첨부터 사용자가 완벽하게 쓴다고 가정하고(완벽하게 라기보다 딱 한 가지 형태-윈도운영체계에 IE로, 지정된 절차만 정확하게 거쳐서-로만 사용한다고) 보안체계를 만든 것도 문제가 될 것 같습니다. 사고의 유연성을 좀 가지고 만들고 검사하면 좋을텐데요..

그리고 손님이 추천해 주신 '개념 상실의 시대'를 읽어보았습니다. 내용은 개념을 상실한 어떤 분이 게시판에 무명으로 들어와 문맥자르기와 말꼬리 잡기로 게시판을 도배하는 내용이더군요. 뭐 흥미진진 하긴 했지만 그리 명작에는 속하지 못할 것 같습니다.
뭐 인터넷뱅킹이니 엑티브엑스니 하는 것과 떨어져 살아서 별 관심 없었는데 격렬한 토론이다 보니 배울만한 글들이 꽤 되는군요.. 손님의 좋은 기능이라 생각합니다만.. 죄송하게도 손님의 글만 빼면 좋은 쓰레드가 될 것 같은 생각이 들어 마음이 무겁습니다.
댓글을 보고 있으면 빌게이츠보다 훨씬 더 MS의 기술을 잘 이해하고 동향을 잘 알고 계신 세계 최고의 프로그래머 같으신데요..^^
그 훌륭한 엑티브 엑스 이용해서 평생에 남을 만한 프로그램 하나 만들어 주십시요.. ^^
가볍게 차단해 드릴테니까요..
다음번 쓰레드에선 좀더 세련된 화법과 정곡을 찌르는 좋은 댓글 기대하겠습니다. 이 쓰레드는 할만큼 하신 것 같습니다.

wkpark의 이미지

buff wrote:
bs0048 wrote:
그리고 후킹을 감지하는 경우도 잘 알려진 후킹 모듈을 탐지할 수는 있지만 100% 막을수는 없다고 하는 글을 본 적이 있는데 혹시 잘 아시는 분이 계시면 설명 부탁드립니다..

예전에 MS 기반에서 게임 보안 일을 잠깐 했었습니다. 대략 타 프로세스 메모리 임의 열람방지, 키로그 방지 기능 등을 작성했었습니다.

키로그는 크게 두가지 부류가 있는데, 윈도우 메시지 후킹 방식이랑 디바이스 드라이버 방식이 그 두 가지 입니다. 윈도우 메시지 후킹이 좀 더 윗단에 속하고 드라이버가 밑단이죠.. 몇 년 전 악명을 떨쳤던 백오리피스 등은 메시지 후킹 방식에 속합니다.

제가 키보드 드라이버 부분을 직접 담당한 건 아니지만, MS 기반은 구조가 아주 유연해서 키보드에서 프로세스로 키가 처리되는 과정과정마다 (서너개 정도의 레이어로 기억) 뭔가를 삽입해서 중도에 훔쳐볼 수 있었던 것으로 기억합니다. 문제는 무슨 모듈인가가 끼어 있어도, 이것이 도대체 키로깅을 하는 놈인지 다른 프로그램에서 키로그를 막으려고 하는 것인지 특수한 키보드 드라이버인지.. 알 수 없어서, 함부로 막을 수 없었던 것으로 기억합니다.

간단히 뭔가 비정상적인 게 설치되어 있는 경우, 실행을 중지하게끔 하면 되긴 하지만, 만일 그것이 키로그 프로그램이 아니었다면, 사용자 입장에선 난리나는거죠.. 멀쩡한 컴터인데 안된다고... 즉 설치된 것이 무엇무엇이다, 그것을 제거하려면 어떻게 해야 한다..이런 것까지 말 해 줄 수 있어야 실행을 중지시키는 정책을 적용할 수 있는데.. 그것이 완전히 case by case 라서 쉽지가 않죠.. 이렇게 보안이란 것이 사용자 편의성과 상충되는 측면이 있어서, 개발사 입장에서 의심간다고 해서 함부로 막을 수 없는 이런 애로 사항;;;이 있었습니다. (더군다나 사용자가 일반 대중들인 게임이나 인터넷뱅킹 같은 분야는 더욱 그러하겠죠..)

이래저래 개발 과정에서 키로거를 하나 둘씩 테스트 했었는데,, 이상했던 점이 은행 인증서 프로그램이 간단한 메시지 기반 키로그도 막지 못하는 것이였습니다. 국내에서 제일 큰 모 은행 (제 주거래은행ㅡ.ㅡ;;)에서 테스트를 해 봤는데, 드라이버 이런 거 없이 메시지 후킹 방식 순수 win32api 로만 작성한 샘플 키로거에 바로 노출이 되더군요....

제 생각에는 이것도 위에서 말한 애로 사항 때문에 그러지 않았나.추측을 했는데.. 아무튼 그 다음부터는, 저는 믿을 수 없는 곳에서 절대로 비번 그냥 치지 않습니다. 굳이 쳐야 한다면, 노트패드 같은 거 열어서 비번 랜덤하게 쳐 준 다음 마우스로 한글자씩 복사-붙여넣기 식으로 해 주고요..

이상한 프로세스 검사하는 분도 계신데, 프로세스 목록도, ProcessNextA () 같은 win32API 간단히 변조해 주면, 맘껏 속일 수 있기 때문에, 근본적으로 믿지는 않습니다. 몇 년 전 유행했던(?) 백오리피스.. 이런 프로그램들은 개발은 중지된 것 같지만, NT 기반으로 완전히 넘어간 지금도 아직도 효력을 그대로 발휘하고 있구요..

시간이 없어서 횡설수설;;했는데, 아무튼 아직까지는 최선책은 중요한 작업은 믿을 수 있는 PC에서만 한다..인 것 같습니다...

새나루 같은 입력기 프로그램 소스를 보면 immsec.c라는게 있어서
main에서 psa = CreateSecurityAttributes ();를 호출합니다. 그리고 이게 AddAccessAllowedAce()를 호출하고요.
(소스를 보면, 현재는 no security attribute라고 나와있습니다.)

msdn에서 봐도 이게 무슨 역할을 하는지 잘 모르겠던데, 혹시 경험 있으신 분들 조언 부탁드립니다.

온갖 참된 삶은 만남이다 --Martin Buber

serialx의 이미지

voljin wrote:
허허..반응이 황당하군요.

SP2가 통합된 설치CD에서는 랜선을 뽑을 필요가 없습니다. 뭔가 workaround를 생각해야하는 것은 그 인스톨본이 outdated 라는 이야기고, 그렇다면 우디나, 보안상 결함이 있었던 과거 배포판의 인스톨을 그대로 하는 것과 마찬가지라는 이야기입니다.

현실적으로 SP2 integrated CD를 과거 SP1 버전이나 XP 누드(?) 버전을 구매한 사용자가 통합된 CD로 교환받을 방법이 애매하다는 점을 지적하셨다면 더 나았을 것입니다. 하지만 이것은 정책의 문제이지, 제품 자체의 결함으로 지적하는 것은 무리가 있죠.
수많은 independent 배포판이 존재하는 오픈소스 운영체제도 이런 형태의 위협(이미 프레스되어 배포된 배포판에 치명적인 결함이 포함된 경우)으로부터 결코 자유롭지 않으며 발생했던 선례가 없는 것도 아닙니다.

로그인 안하고 쓰니까 별 소리를 다 듣는군요. 뭐 그래도 앞으로 계속 손님으로 글 쓸겁니다만.

그러는 님도 손님으로 글을 쓰실때 말투는 아주 가관이던데요?

이런 토론에 임하시기에 앞서 자기 의견을 주장하시려면 기본적인 예의부터 갖추심이 어떻겠습니까?

Together의 이미지

깨끗한 라이브CD로 부팅해서 인터넷 뱅킹을 하는게 보안상의 해결책이 될 수 있지 않을까 싶네요.

해킹툴이 깔려 있지 않다고 확신할 수 있고 바로 부팅해서 쓸수 있는 OS 자체를 가지고 다니는게 최선의 방법인 것 같습니다.

- 험한 세계에서 자주국방 없는 경제력은 경비없는 은행이다. -

오만한 리눅서의 이미지

페이지