리눅스 우체국 뱅킹 지연

jjangiya의 이미지

윈도우에서 사용하는 인터넷뱅킹과 똑같은 기능을 구현하고자 했던

우체국의 리눅스 인터넷뱅킹이 난항을 겪고 있는것 같네요..

http://news.naver.com/news/read.php?mode=LSD&office_id=138&article_id=0000011489&section_id=0&menu_id=0

보안소프트웨어의 개발이 많이 미흡한것으로 보이네요.

윈도우에서의 인터넷뱅킹은 방화벽,백신,키보드보안등의 보안 소프트웨어가

엑티브X로 편리하게 설치되며, 나름대로 충실한 기능을 하고 있다고 보는데요,

물론 아직까지 보안뿐만아니라, 보안소프트웨어의 기능에 여러 문제점이 발생하는 것도 사실이지만요..

이런 윈도우의 보안기능을 리눅스에서 구현하기가 쉽지는 않으리라 생각합니다.

윈도우는 98,2000,xp 등의 버젼정도만 신경써서 프로그램을 제작하면 되지만,

리눅스의 경우 워낙 많은 배포판과 커널버젼이 존재하기 때문에, 커널레벨의 프로그램이

제작된다면, 각 배포판 및 각 커널버젼에서 빌드된 모듈들이 따로 존재해야 되지 않을까요?

ActiveX의 기능은 Mozilla의 XPCOM 기능으로 어느정도 비슷하게 구현은 가능하리라 보지만....

꼭 윈도우와 똑같은 방향으로 리눅스 인터넷뱅킹이 가야 할까요?

키보드보안, 방화벽, 프로세스 인증등의 기능뿐만 아니라, 백신기능까지... 우체국의

리눅스 인터넷뱅킹을 시작으로 이러한 리눅스용 보안 소프트웨어들이 개발된다면

우리나라 리눅스의 발전에 크게 한몫 할 수 있을것이라는 희망은 들구요..

또,, 리눅스에서 보안소프트웨어들이 설치되면, 리눅스를 좀 깊게 이해한다고 생각하는

많은 사용자들이 공부삼아, 재미삼아 취약점 찾는데 열을 올릴듯 싶기도 하네요.

그냥 두서없이 글을 올려봅니다. 어쨋든 리눅스가 친숙하고 편안하게 많은 사람들에게

다가갈수 있다면 좋겠다는 생각을 해보네요. ^^

g00g1ej04의 이미지

키보드 보안 프로그램을 강제로 까는 게 싫다고 하시면서 자바 런타임 프로그램은 강제로 깔아도 된다고 생각하시는 이유가 뭔지??

썬 직원이신가..--;;

글구 강제도 아닙니다. 키보드 보안 프로그램 깔기 싫으면 안깔고 인터넷 뱅킹 안하면 됩니다.

워3를 하는데 왜 워3 클라이언트를 강제로 내 컴퓨터에 깔아야 되냐고, 난 웹 브라우저로만 워3 하겠다고 우기는 분위기 같네요.

lacovnk의 이미지

자꾸 오해하시는군요.. :(

자바를 예로 든 건 OS별로 개발하지 않아도 편이를 위해서 예로 든 것입니다.

프로토콜이 공개되면 다양한 구현이 가능하겠지요. python에 물리던가..

인터넷 뱅킹에 왜 키보드 보안 프로그램이 깔려야 합니까? 그게 의문입니다. "강제"에 대해서는 글을 잘 읽어보시길 바랍니다.

1. 왜 activeX로만 가능한가? 다른 구현으로도 가능하게 프로토콜을 정하자.
2. 왜 키보드 보안 프로그램이 꼭 깔려야 하는가?

저도 pynoos님처럼, 외국은 어떻게 하는지 궁금합니다. 소액 카드 결제는 그냥 https로 처리해버리던데.. 우리나라와 같은 인증서를 활용한 예가 있는지 궁금합니다.

g00g1ej04의 이미지

벽에다 대고 얘기하는 것 같은 기분...--;;

1. 프로토콜이 무슨 뜻인지 몰라서 무턱대고 말씀하시는 모양인데 표준 프로토콜은 SEED라는 것이구요.

그 SEED를 ActiveX로 구현한 것 뿐입니다.

무슨 프로토콜이 표준이 안되어 있다느니 같은 허위 기사와 추측성 보도는 지양하시길...--;;

자바로 구현하든 C++로 구현하든 그 프로토콜을 구현하기만 하면 됩니다.

근데 왜 못 구현하냐구요? 업체에서 기술이 딸려서 할 줄 아는게 ActiveX 밖에 없다는데 어쩌란 겁니까. --;;

그 시간에 왜 lacovnk님은 자바로 SEED 보안 모듈 못 만드세요? --;;

실력이 없으니까 못 만드는 거 아닙니까. 그 보안 업체들도 마찬가지에요. 실력이 없으니까.

2. 왜 키보드 보안 프로그램이 깔려야 하느냐 하면 법에 보호장치를 해놓으라고 명시가 되어 있고 은행에서는 법이 시키는 대로 한 것 뿐이라니까요? --;;

누구는 보안 프로그램이 깔리고 누구는 안깔리고 그러면 그게 보안입니까? --;;

내가 보안 프로그램을 안깔아서 해킹을 당하든 말든 무슨 상관이냐구요.

lacovnk님이 해킹 당해서 돈이 빠져나가는 순간 은행도 그만큼 시간적 금전적 손해를 보는 거죠.

근데도 보안 모듈을 깔지 말아라? --;;

이런 궤변을 어느 은행이 귀담아 들어줄지 의문이군요. --;;

듣자 하니 외국에서는 SSL인가로 보안을 구현한다고 하더군요.

근데 지금 제가 쓰는 OS에 SSL이 전혀 구현이 안되어 있어서 그 외국 은행에서도 인터넷 뱅킹이 안됩니다.

그래서 은행 앞에 가서 SSL을 왜 깔아야 하느냐 난 SSL 쓰기 싫다고 데모하면 은행이 들어 줄 것 같습니까? --;;

SSL 안써서 해킹 당하든 말든 다 내 책임으로 하겠다는데 왜 암호화를 강제로 해야 합니까?

정태영의 이미지

Quote:
1. 프로토콜이 무슨 뜻인지 몰라서 무턱대고 말씀하시는 모양인데 표준 프로토콜은 SEED라는 것이구요.

SEED 는 프로토콜이 아니라 암호화 방식입니다.

http://www.kisa.or.kr/seed/index.html

-----------------------------------------------------
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...

http://mytears.org ~(~_~)~
나 한줄기 바람처럼..

lacovnk의 이미지

1. 은행과 activeX 사이에 정보를 보내고 받는 규칙"을 말합니다. 정태영님 말씀대로 SEED는 그 동안에 사용하는 암호와 알고리즘일 뿐입니다.

2. 키보드 보안 프로그램이 필요한가 아닌가는 위에서 열심히 얘기했으므로 생략합니다.

잘못 생각하시는 것 같아 하나 덧붙이면, 다른 컴퓨터는 하나도 믿어서는 안됩니다. 다른 컴퓨터에 보안 프로그램이 깔려 있든 말든 상관 없이 잘 동작해야 보안이지, 모두가 깔아야 보안이면 그게 보안입니까? :)

참고 삼아 링크를 달아놓습니다.

프리뱅크 운동과 크로스 브라우징 공인 인증서 이용 서명 및 암호화 단기 해결 방안 - 2005년까지 반영된 것 같습니다.

그리고 프리뱅크 운동이 기억에 맥 쪽에서 진행되었던 것 같습니다.. 예전에 여기 게시판에서도 한 번 나왔던 적이 있고..

그리고, 오독과 곡해를 하시는 것 같아 더이상 g00g1ej04님이 이 글에 남기는 답글에 답도 달지않겠습니다...

g00g1ej04의 이미지

벽에다 대고 얘기하는 것 같은 기분...--;;

1. 프로토콜이 무슨 뜻인지 몰라서 무턱대고 말씀하시는 모양인데 표준 프로토콜은 SEED라는 것이구요.

그 SEED를 ActiveX로 구현한 것 뿐입니다.

무슨 프로토콜이 표준이 안되어 있다느니 같은 허위 기사와 추측성 보도는 지양하시길...--;;

자바로 구현하든 C++로 구현하든 그 프로토콜을 구현하기만 하면 됩니다.

근데 왜 못 구현하냐구요? 업체에서 기술이 딸려서 할 줄 아는게 ActiveX 밖에 없다는데 어쩌란 겁니까. --;;

그 시간에 왜 lacovnk님은 자바로 SEED 보안 모듈 못 만드세요? --;;

실력이 없으니까 못 만드는 거 아닙니까. 그 보안 업체들도 마찬가지에요. 실력이 없으니까.

2. 왜 키보드 보안 프로그램이 깔려야 하느냐 하면 법에 보호장치를 해놓으라고 명시가 되어 있고 은행에서는 법이 시키는 대로 한 것 뿐이라니까요? --;;

누구는 보안 프로그램이 깔리고 누구는 안깔리고 그러면 그게 보안입니까? --;;

내가 보안 프로그램을 안깔아서 해킹을 당하든 말든 무슨 상관이냐구요.

lacovnk님이 해킹 당해서 돈이 빠져나가는 순간 은행도 그만큼 시간적 금전적 손해를 보는 거죠.

근데도 보안 모듈을 깔지 말아라? --;;

이런 궤변을 어느 은행이 귀담아 들어줄지 의문이군요. --;;

듣자 하니 외국에서는 SSL인가로 보안을 구현한다고 하더군요.

근데 지금 제가 쓰는 OS에 SSL이 전혀 구현이 안되어 있어서 그 외국 은행에서도 인터넷 뱅킹이 안됩니다.

그래서 은행 앞에 가서 SSL을 왜 깔아야 하느냐 난 SSL 쓰기 싫다고 데모하면 은행이 들어 줄 것 같습니까? --;;

SSL 안써서 해킹 당하든 말든 다 내 책임으로 하겠다는데 왜 암호화를 강제로 해야 합니까?

n13800의 이미지

제글에 자바 런타임을 강제로 깔거나 혹은 ActiveX를 해결하는 방책으로 자바로
반드시 해야 한다고 적었는지요?

워3 안하면 그만입니다. 근데 게임과 개인이 인터넷 뱅킹을 사용한다는것은 별계
의 문제이고 워3를 웹브라우저로만 한다고 말한적도 없는데 비유가 약간 짜증 나군요.

웹접근성이나 다른문제는 이미 토론되는 주제의 전혀 다른주제이고 헛소리로 빠지는 경향
이 있는데 국정원 조건-애초에 다른곳에서 확인되는 글로는 사건을 무마시키기위한 수단으로
밖에는 보이지 않았지만-이야기가 어디서 나온지는 정확하게 알고 혹은 이때까지의 상황에
대해 엉뚱한 소리를 하거나 말도 안되는 소리를 하고 계신데
그럼 웹접근성 문제를 발생시킨이가 누구이며 그문제에서 갈라져 나온 배경이 무엇이라고
생각하시는지요?

마지막으로 해드릴 말은 지금 웹뱅킹에 대해서 안쓰면 그만이지라고 물으면 전 이렇게
대답해드립니다. 그럼 리눅스에서 웹뱅킹에 관해서 사용안하면 그만이지 이토론 왜합니까?
----좀 비유적으로 표현하자면 사용안하면 그만이다라고 이야기 하는 사람은
이때까지의 쓰레드가 나아간 방향에서 헛소리 제시자로 밖에는 보이지 않는군요.
아 이용가능하긴 이용가능 할껍니다.다른 편법적인 방법을 찾는다면요.

물론 그렇다고 제글이 완전히 헛소리가 아니라는 소리는 하지 않았습니다.

아 그리고 리눅스 이용하는 사람을 오타쿠라고 적어놨던데 오타쿠를 무슨뜻으로 사용했는지
모르겠지만 이미 일본에서는 오타쿠를 좋지 않은 단어로 사용하는거 아닌지요?예전뜻이
어떻게 됬든 말입니다. 기분나쁘군요.

나는오리의 이미지

Quote:
마지막으로 해드릴 말은 지금 웹뱅킹에 대해서 안쓰면 그만이지라고 물으면 전 이렇게
대답해드립니다. 그럼 리눅스에서 웹뱅킹에 관해서 사용안하면 그만이지 이토론 왜합니까?

글타래 본 주제는 '리눅스 우체국 뱅킹 지연'이지만
지금 열띤 토론의 주제는 '키보드 보안 프로그램의 사용'입니다.

Quote:
----좀 비유적으로 표현하자면 사용안하면 그만이다라고 이야기 하는 사람은
이때까지의 쓰레드가 나아간 방향에서 헛소리 제시자로 밖에는 보이지 않는군요.

제가 위에 이미지로 길~게 첨부한것 보시면 아시겠지만
사용 안하면 그만 아닙니까?

아무래도 빗겨난 주제를 캐취 못하시고 본 주제와 잘못 연결하여 글 쓰신듯 합니다.

p.s. 국정원은 아니지만 한국전산원(http://www.nca.or.kr/)에 이메일로 인터넷 뱅킹 프로그램 개발 관련해서 질문했는데 담당자가 아니라서 모르겠고,
그런 문의는 QnA를 이용하라더군요.
처음부터 QnA를 이용 안하고 메일 보낸건 QnA를 쓸려면 이름과 민번을 넣어야하는게 싫어서였습니다.
그래서 다른 방법으로 알아 볼 수 있는 방법을 찾고 있습니다.

---
관심과 간섭, 애정과 집착은 동전의 양면과 같다. - 세계정복을 꿈꾸는 오리
질문에 답변하는 법 : http://controller.tvpot.media.daum.net/mflvPlayer.swf?vid=9K53aQisBLc$
아바타 : http://kldp.org/node/71954#comment-339140

n13800의 이미지

아 글 잘못 적었습니다. 리눅스 왜씁니까..?
그수준의 토론으로 번진 길~게 첨부한 헛소리 답변으로 밖에는 안보였는데요.

나는오리의 이미지

그럼 낚이신겁니다.

파닥파닥...
---
관심과 간섭, 애정과 집착은 동전의 양면과 같다. - 세계정복을 꿈꾸는 오리
질문에 답변하는 법 : http://controller.tvpot.media.daum.net/mflvPlayer.swf?vid=9K53aQisBLc$
아바타 : http://kldp.org/node/71954#comment-339140

jshin의 이미지

g00g1ej04님, 좀 전후 사정이나 현재 쓰이고 있는 기술 등에 대해 공부 좀 하시고 글을 쓰시지요.

인터넷 뱅킹은 안 해도 된다고 칩시다. 하지만, 키보드 보안을 설치할 수 없다면 대한민국 전자 정부를 사용할 수 없다면, 이것은 대단히 심각한 문제입니다. 헌법부터 시작해서 공정 거래법, 전자 금융 거래 관련 법규 등 여러 가지 법률에 모두 걸릴 수 있습니다. 아시겠어요? 대한민국 전자 정부를 문 닫게 만들어야 할 정도로 중요합니다.

그리고, 실력이 없어서 ActiveX로만 만들었다고요? 좀 뭘 알고 쓰세요. 이미 업체들은 Java applet도 만들어 놓았고, xpcom으로도 만들어 놓았습니다.또 과거에 netscape plugin도 만들어서 한때 쓰기도 했고요. 업체들 실력이 아니라 '키보드 보안' 등 말도 그 알짜 효과가 의심스러운 보안 기술의 제공 여부를 조건으로 내세워서 이미 개발된 대안 기술의 사용을 가로막고 있는 국정원 등이 문제입니다.

violino의 이미지

한국 사이트들이 유별나게 친IE 성향인것 같아요.
미국에 나와 살면서도 한국 사이트들을 자주 접속하게 되는데요.
말안해도 다 아실 싸이월드를 비롯한 대다수 사이트들이 ActiveX를 이용해서 구현되어 있어
불편한게 이만 저만이 아니더군요. (싸이월드는 많이 해결되었다는데도 아직 멀었어요)
미국 사이트들 중에서 불여우써서 접속하고 사용하는데 장애있는 곳은
많아야 5%도 안되는 듯 합니다. 물론 인터넷 뱅킹도 문제없죠.
그렇다고 그 많은 사이트들이 모두 보안에 헛점이 있는건 아닐텐데요.
당연히 리눅스, 유닉스, 맥 등에서 모질라 이용해도 대다수 같은 결과죠.

우리나라 인터넷 문화나 패러다임이 전체적으로 크게 변하지 않는한은
단시일내에 해결될 문제는 아닌 듯 싶네요.

vio:

pynoos의 이미지

우체국 인터넷 뱅킹이 시험서비스 될 때에 키보드 보안 프로그램이나 백신이 없었던 것이 아닙니다.

http://kldp.org/node/63822

다만 있냐 없냐로 보면 문제 없지만 어느 정도 수준이냐의 문제인 것이죠.

우체국에서 처음 리눅스 뱅킹을 시범서비스 할 때는 심사를 통과할 것으로 생각했을테고,
심사 결과 부적합 판정되어 중단된 것입니다. 만약 보안 심사를 오픈하기 전에 했으면 이런 상황이 되지 않을지도 모르지만
그렇다고 그것이 무슨 절차상의 오류는 또 아니죠.

법률 얘기보다는 전 외국의 인터넷 뱅킹 사례를 좀 더 듣고 싶습니다.
특히 리눅스를 선택했다는 뮌헨시에서는 뱅킹을 어떻게 하는지..
외국의 맥 사용자들은 어떤 식으로 하는지..
등등이죠.

jshin의 이미지

일단 미국에서는 그냥 HTTPS를 씁니다. 이것을 우리가 쓰지 못 한 이유는 이미 잘 알고 있듯이 97-8년 경에 미국의 수출 규제로 보안성이 떨어지는 암호 기술만 브라우저에 탑재되었기 때문입니다. 또하나는 한국과 달리 (대다수의) 미국 은행은 개인별 인증서(personal certificate)를 사용하지 않습니다. 이 말은 SSL/TLS로 암호화는 하지만, 개별 거래에 대해 자신의 인증서로 서명을 해서 부인 방지하는 방법을 쓰고 있지 않습니다. 따라서, SSL/TLS를 쓰는 '어느' 브라우저(여러 가지 이유로 모든 브라우저는 아닐 수 있지만, 주요 GUI 브라우저에서는 OS에 관계 없이 - Mac OS 8.x/9.x이든 OS X이든, Solaris, HP/UX, Digital/Compaq Unix이든, AIX, SGI IRIX이든 *BSD이든 Linux이든, Windows이든 - 사용 가능합니다. 물론, 은행에 따라 이상한 JS 코드를 쓰거나 해서 특정 브라우저에서만 동작하는 경우도 있겠지요)로나 아이디/패스워드로 로그인한 후에 인터넷 뱅킹을 자유롭게 쓸 수 있습니다.

법규 얘기가 나왔는데, 법규 상으로는 대칭 암호 기법으로 SEED와 3DES를 모두 써도 상관 없습니다. 또, 공인 인증서를 사용하지 않아도 됩니다. 어떻게 HSBC가 계속 HTTPS(위에 적은 미국 방식)를 그동안 (이제는 아니지만) 써 왔는지 의아했는데, 공인 인증서 사용 방식이 의무가 아니기 때문에 (인증 방식으로 세 가지를 제시하고 있고, 그 중에 하나는 '사용자의 지식'에 기반을 둔 방식입니다. 즉, 아이디와 암호이지요) 가능했던 것이더군요.

독일은 자체 뱅킹 관련 프로토콜을 만들어서 공개하고, 클라이언트는 알아서 만들어서 쓰면 되는 듯 합니다. 이 프로토콜에 맞게 만든 클라이언트만 있으면 (그게 자유/오픈 소스 프로그램이든 상용 프로그램이든) 자유롭게 쓸 수 있어 보입니다.

궁극적으로 인증서를 사용하는 게 (다른 나라에서도 앞으로) 나아가야 할 방향이고, 우리가 이를 쓰는 것에 대해서 뭐라고 하기는 힘들다고 봅니다. (옛날에 잘 모를 때는 이에 대해서도 이해할 수 없다고 했습니다만). 다만, 공인 인증서를 발급하는 CA 및 그 대리인이 오직 특정 플랫폼에서 특정 브라우저에서만 쓰일 수 있는 방식을 쓰느냐 아니면 좀더 많은 브라우저/플랫폼에서 쓰일 수 있는 방법을 쓰느냐가 한국의 CA 및 그 대리인과 다른 외국의 CA들과의 차이입니다. 후자라고 해도 사용자 편의성을 감안하지 않는다면 - 즉, 사용자에게 비대칭 암호화에 쓸 키 쌍을 수동으로 생성하게 하고, 이를 html form으로 전송하게 하는 등- 거의 모든 브라우저를 통해 인증서를 발급할 수 있지만, 사용자 편의성을 살리는 방식을 쓸 경우에는 지원하는 브라우저/플랫폼에 제약이 있습니다. (외국 CA들의 경우 플랫폼 독립성을 최대한 살리려고 할 경우 Java applet을 씁니다.) 그래서, 이 부분에서 하루속히 표준화가 필요합니다.

또, 실제 인증서를 써서 개별 거래에 대한 서명을 하는데 필요한 표준 (API)도 마련되어 있지 않습니다. (MS IE와 Netscape/Gecko 계열 브라우저에는 제한적이나마 방법이 있기는 하지만, 서로 다르고, 표준화된 게 아닙니다.) 브라우저에서 제공하지 않거나 미흡한 이런 부분(거기에 대칭 암호화를 위해 SEED를 써야 하지요)을 위해서 ActiveX, Java applet, xpcom 모듈, 'netscape plugin' 등이 필요합니다. 이 부분에서도 스페인 같은 나라는 최소한 MS IE와 Netscape 4/Gecko 계열 브라우저를 지원하는 방법을 택했고, 다른 곳도 Java applet 등을 검토하는데 반해 한국은 '별 고민 없이'(??) ActiveX를 택했습니다. 물론, 보안 업체에서는 Java applet, xpcom 등 방식을 개발했고, 현재 일부 쓰이고 있기는 합니다. 하지만, 대한민국 전자 정부나 우체국 인터넷 뱅킹 등의 보안 심사를 맡은 국정원이 이번 경우처럼 '키보드 로깅 방지 프로그램' 등 추가 조건을 내세우면 대한민국 전자 정부는 (위에서 언급한 두 부분의 표준화가 이뤄지고 대부분 브라우저에서 이를 잘 지원해서 별도의 '플러그인' 사용이 불필요해진다고 해도) 계속 특정 플랫폼과 특정 브라우저 사용자에게만 열린 곳으로 남겠지요. 수많은 - 수백에 이를 - OS와 CPU 조합을 지원하는 문제는 일단 논외로 하고 (ARM 기반 휴대용 컴퓨터 장치에서는 Windows CE를 써도 대한민국 전자 정부는 사용 불가능합니다), 32bit 인텔 x86에서 돌아가는 리눅스만 고려한다고 해도 현재 쓰이는 여러 리눅스 커늘 버전에서 동작하는 그런 프로그램을 만들 수 있기나 할까요? [1] 설령 그런 프로그램이 만들어진다고 해도 제대로 역할을 하기는 할까요? (똑같은 얘기를 Windows용 해당 프로그램에 대해 할 수 있습니다. 따라서, 이런 프로그램 하나 설치하게 해 놓고 사용자로 하여금 '보안에 무신경하게' 하는 게 보안에 더 큰 문제일 수 있습니다. ) 에 보면 우체국 인터넷 뱅킹 프로그램에 들어 있는 키보드 로깅 프로그램이 동작하지 않는다는 보고가 두 건 올라와 있네요.

[1] 키보드 관련 처리 부분(이게 어디 한두 군데인가요?)을 '암호화'(?)하도록 하는 커늘 패치를 만들어서 리눅스 커늘에 아예 포함시켜 버린다? 그렇다고 해도 이를 무력화시킬 방법이 나오겠지요. 리눅스는 그렇다고 치고, 또 다른 OS는? 물리적 장치 (스마트 카드)나 키보드 로깅이 아무런 효과가 없는 방법 - one time password-을 쓰는 게 훨씬 범용성도 있고, 보안면에서도 낫다는 결론에 자꾸 도달할 수 밖에 없습니다.

g00g1ej04의 이미지

제가 위에서

간단한 해결책은 오픈 소스 커뮤니티에서 개발자들이 모여 직접 리눅스용 보안 모듈을 개발해서 테스트 및 검증을 마치고 국정원으로부터 인증을 받아서 은행측에 공짜로 공급하고 유지보수까지 공짜로 계속 해주면 모든 은행들이 틀림없이 다 리눅스를 지원해 줄 것 같습니다.

라고 적었는데 아무도 호응이 없군요. --;;

n13800의 이미지

.....
아마 이야기 나온곳을 살펴보면 원인을 알수 있을꺼라고 여겨집니다.

g00g1ej04의 이미지

님의 글은 대꾸할 가치가 없는 것 같아서 앞으론 댓글 안달겠습니다.--;;

lacovnk의 이미지

공짜로 공급과 공짜로 유지보수라.. 오픈소스를 잘못 생각하시는 것 같습니다 :(

다른 답글에도 적었듯, 금융 거래 프로토콜이 정해지면 여러 구현체가 나올 수 있습니다. HTTP 규약이 정해지면 브라우저를 개발하듯.

그리고 그런 식으로 개발되면, "정부 인증"은 다른 의미가 될 것입니다. 예를 들면 "IE와 Firefox는 안전한 브라우저다"라고 말해주면, 사람들이 주로 그 구현을 쓰겠지요..

덧붙여, 궁금한건, 그런데 어쩌다가 국정원에서 저걸 맡나요? -o- 암호화 알고리즘 인증에 관계된 걸로 듣긴 했지만, 금융 거래의 절차에 관한 것이 국정원에 갈 이유는 없어 보이는데..

참고로 재경부 등등에서 입법한 것 같습니다..
전자거래기본법
전자금융거래법 제정안 입법예고

pynoos의 이미지

보안 심사를 하는 이유는 우체국이라 그럴 것입니다. 다른 은행은 그러지 않을 걸요. 다른 은행은 금융감독원이 할려나?

g00g1ej04의 이미지

허허 참...--;;

지금 은행들이 리눅스 지원 안해 주는 이유가 사용자도 몇명 없는데 리눅스 보안 모듈 개발하려면 개발비용이 수익보다 더 들어서 적자 나니까 안해주는 거라고 몇번을 얘기해야 이해를 하실 겁니까? --;;

그런 은행들한테 리눅스 보안 모듈 개발해 줄테니 돈을 달라고 요구한다니..--;;

그리고 집에서 쉬는 시간에 취미로 리눅스 보안 모듈을 개발하는데 비용이 어디에 필요합니까? --;;

lacovnk님은 여친이나 와이프랑 놀아주는 대가로 한시간에 얼마씩 돈 받습니까? --;;

그리고 금융 거래 프로토콜은 SEED가 있다니까 자꾸 없다고 우기는 이유가 뭔지도 모르겠군요. --;;

멀쩡한 SEED 프로토콜 놔두고 무슨 프로토콜을 새로 만들고 새로 구현체를 만들고 등등의 소설을 쓰시는지...--;;

jjangiya의 이미지

우선 어떠한 키로거들이 존재하는지 알필요가 있습니다.

현재 리눅스에서 사용되는 키로거들을 보게되면,

(1) xkey, xspy
(2) lkl
(3) vlogger

위의 키로거들을 뽑아 볼 수 있습니다.

xkey와 xspy는 X레벨에서 입력되는 키값을 후킹하는 키로거구요,
lkl은 키보드의 입력포트에서 ioperm 등의 함수를 써서 키값을 후킹하구요.
vlogger 는 드라이버 모듈로 제작되었으며, 터미널 드라이버에 입력되는 키값을 후킹합니다.

이밖에 더많은 키로거들이 존재 할 수도 있겠지만, 위의 키로거들은 리눅스 각 레벨에서
키값을 후킹 하고 있습니다.

리눅스 키보드 보안프로그램이 만들어 진다면 키보드의 입력포트에서부터 암호화가 진행되야
하지 않겠습니까, 게다가 키보드 암호화 드라이버(따로 개발이 필요하겠죠)로 키값이 이동해야
될테고, X로 키가 전달되기때문에 X 서버에서도 뭔가 대처를 해야겠고.. 키를 복호화해서 출력해야하므로... 입력기까지 건드려야 되나... 어쨋든... 복잡하다고 보아집니다. 쉽게 접근할 수 있는 부분이 아니지
않겠습니까? 특히 키보드 입력포트로 부터 후킹되는 값을 암호화등의 방식으로
어떻게 보호할 수 있겠습니까? 키값의 안전한 암호화 루틴이 입력단계부터 드라이버를 거쳐 X를 지나
출력 엔트리까지 암호화가 된다하더라도,.. 이렇게 제작된 모듈이 수많은 리눅스 각 배포판에 따른 커널
버젼과 특성에 따라, 안정된 호환성을 유지할 수 있을까요?

제가 생각하는 리눅스에서의 키보드 보안 프로그램을 제대로 만들기 위해서는 위와같은 절차를 거쳐야
된다고 생각합니다. 현재 윈도우의 경우에도 드라이버부터 암호화가 되는것으로 알고 있습니다.

혹시 좀더 심플하고 좋은 아이디어가 있으신분 있으십니까?

pynoos의 이미지

찾아 보셨군요... ;)
실제로 가장 강력한 녀석이 lkl입니다. PS/2 포트의 상태값을 직접 읽어서 로깅하는 것인데, 이를 방지하기 위해 특허로 나온 것들이 있습니다.
하나는 인터럽트를 받자마자 포트를 상태를 클리어하는 것이고 또 하나는 포트에 마치 키 입력을 누가 한 것 처럼 i8042 를 제어하여 랜덤키를 넣는 것입니다. 그리고 그 랜덤키는 커널에서 위로 올라가기전에 제거되어 lkl 같은 녀석에게 노이즈를 전달하는 것이죠.

그 외에도 여러 특허들이 있습니다.

그리고 주어들은 썰을 좀 더 풀자면, 윗부분의 댓글중에 프로토콜 SEED 얘기가 나오는데, 키보드로부터 직접 스캔코드를 입력받아 상위 어플리케이션에 직접 전달하는 경로에 대한 프로토콜은 사실 표준화 대상은 아닙니다. 게다가 공인 인증서 업체의 라이브러리까지 껴서 키보드로부터 직접 스캔코드를 입력받은 것이 거의 지불결제시스템까지 암호화되어 가고 그 경로에 SEED가 쓰이지만, 이것이 일반화 되어 아무 언어로 다 만들어지는 것은 아닙니다. 각 라이브러리 업체들이 제공하는 언어로 만들어지는 것일 뿐입니다.
실력하고도 무관하죠. SEED야 공개되어 있으니 가져다가 쓰는 것일 뿐이구요.

g00g1ej04의 이미지

실력이 있는데 왜 보안성 심사에서 탈락했나요...--;;

실력하고 무관하다면 재수가 없어서 떨어졌다고 밖에는 설명이 안될 것 같습니다.--;;

lacovnk의 이미지

키보드 하드웨어에서 어플리케이션까지 오는 경로의 보안을 유지하는 것은 인터넷 뱅킹이 필요로 하는 "보안의 기준"에 해당될 것입니다. 말씀대로 프로토콜과는 별 상관이 없습니다.

프로토콜은 은행 서버와 클라이언트가 주고 받는 내용을 정하게 되겠지요. 은행은 클라이언트에게 공인인증서의 서명을 요구하고, 클라이언트는 적절한 처리를 거쳐 전달해줄 겁니다
.
문제는 클라이언트의 적절한 처리, 즉, 안전하게 처리 하는 것을 어떻게 보장하느냐인데, 이 보안은 클라이언트가 따로 책임져야 하는 부분이라고 생각합니다. 백도어가 열려있든, 키로거가 동작하든, 은행은 적절하게 서명해서 날아온 자료 (네트워크의 보안은 보장되어 있음)에 대해서 적절하게 처리해주면 됩니다.

문제는 이것이 금융 관련이다보니, 직접적인 금전적인 피해가 발생한다는 점입니다. 예전에 키로거로 인한 누출 피해는 사실 법적으로 배상 책임이 없다고 합니다. 그렇다면 사람들이 어떻게 안심하고 인터넷 뱅킹을 사용할 수 있을까?

이에 대해 적절한 가이드가 있어야 한다고 생각합니다. "키보드 보안 프로그램 A,B,C" 중 하나라도 깔려 있으면 안전하다고 볼 수 있다... 라는 식의 가이드가 있어야 합니다. 그러나 클라이언트 단의 보안을 책임져 줄 수는 없습니다. 법에 명시되어 있듯이, 전자거래당사자들은 보호장치를 할 의무가 있는데, 사용자가 클라이언트의 보안을 허술히 해서 발생하는 문제는 사용자의 책임입니다.

반면, "클라이언트 프로그램 D,E, 그리고 플러그인 F,G의 보안을 보증한다"라고 명시적으로 할 필요가 있습니다. 프로토콜과 이를 구현한 프로그램들이 오동작할 경우, 이에 대한 책임은 작성자가 져야 합니다. 그리고 사용자가 안심하고 사용하기 위해서는 정부가 "보증하는 프로그램"들을 권고할 수 있습니다.

이렇게 되면 어느 분이 제안하셨듯, 언젠가 인터넷 뱅킹 전용 리눅스 liveCD가 나올 수도 있습니다 :)

g00g1ej04의 이미지

법에 전자거래시 보호장치를 하라고 가이드라인이 제시가 되어 있는데 뭔 또 새로 가이드라인을 만듭니까. --;;

백도어가 열려있든, 키로거가 동작하든, 은행은 적절하게 서명해서 날아온 자료에 대해서 적절하게 처리해주기 위해서 윈도그에서는 인터넷 뱅킹 접속하면 안티바이러스도 깔리고 키보드 보안 모듈도 깔리는 것인데 조금전에는 그런 거 깔지 말라고 했다가 이번에는 깔라고 했다가 자기가 무슨 얘길 하는 건지 한번 되돌아 보세요. --;;

그 중간에서 (네트워크의 보안은 보장되어 있음) 이 말도 너무 말이 안되는군요. --;;

백도어가 열려 있고 키로거가 동작하는데 네트워크의 보안이 어떻게 보장됩니까. --;;

엔드 투 엔드의 개념부터 정립을 하셔야 되겠네요. --;;

jjangiya의 이미지

댓글은 못지우나...쩝..

g00g1ej04의 이미지

지금 보면 완전히 소설을 쓰고 계시는 분이 있습니다.

제가 찾아서 공부를 해본 결과 현재 인터넷 뱅킹을 구현하는 방식은 SSL/TLS 보안 프로토콜 안에 데이터 암호화를 SEED 알고리즘을 쓰도록 되어 있군요.

아시다시피 SSL/TLS 프로토콜과 SEED 알고리즘은 전부 국제 표준이거나 국내 표준입니다.

그렇기 때문에 공개 안된 것 하나도 없습니다.

은행들이 자기네들 맘대로 프로토콜 만들어서 비공개로 몰래 쓰는 거 아닙니다.

그냥 그 구현을 ActiveX로 한 것 뿐이죠.

그런데도 국제/국내 표준은 놔두고 무슨 프로토콜을 새로 만들어야 한다느니 말도 안되는 주장을 꾸역꾸역 하는 분이 계십니다. --;;

그렇게 해서 새로 만든 프로토콜은 당연 국제 표준도 아니고 국내 표준도 아니겠죠. --;;

프로토콜을 설계할 능력도 없고 표준에 대한 개념도 없는 분이 난데없이 자기 맘대로 프로토콜을 만들어서 모든 사람들이 그걸 써야한다고 주장하니 소설이 아니고 뭐겠습니까. --;;

jshin의 이미지

SEED가 국제 표준으로 채택되었지만, 그렇다고 해서 모든 브라우저가 즉각 지원해 주는 것이 아닙니다. 현재 SEED를 지원해 주는 브라우저는 하나도 없습니다. SSL/TLS에서 SEED를 지원해 주는 브라우저가 나온다고 해도 문제가 해결되지 않습니다. (현재 법규 상으로 SEED 대신 대부분 브라우저가 지원하는 3DES도 사용할 수 있습니다.) SEED를 써서 SSL/TLS를 쓴다고 해도 '부인 방지'기능은 현재 브라우저 독립적인 방법으로 구현할 수 없습니다. 마찬가지로, 인증서를 사용한 부인 방지 기능을 제공하기 위해 필수적인 인증서 발급/관리 기능을 위한 표준적인 방법도 없고요. MS IE에 CAPICOM(?) (Xenroll 등도)인가 하는 방법이 있고, Netscape 4.x와 gecko 계열 브라우저에 crypto.*와 keygen tag 등이 있지만, 이들은 표준과는 거리가 멉니다. 따라서, 외국의 CA들은 인증서를 발급을 할 때 브라우저 검사를 해서 둘 중의 한 방법을 사용하거나 Java applet을 사용합니다. (한국의 인증서 발급 기관은 ActiveX를 씁니다.)

웹 브라우저를 통한 인증서 발급/관리를 사용자 편의성을 최대한 살리면서 브라우저/플랫폼 중립적인 방법으로 가능하게 하고, 나아가 인증서를 이용한 전자 서명을 쉽게 하기 위해서는 모든 브라우저가 지원할 수 있는 표준 API의 제정이 절실합니다. 아래 문서의 14쪽을 보세요.
http://middleware.internet2.edu/pki06/proceedings/rundgren-websigning.ppt

하지만, 이런 표준이 나오고 대다수 브라우저가 지원한다고 해도 국정원 등에서 계속 '키보드 보안 기술' 설치를 강제한다면 대한민국 전자 정부 등은 계속 특정 플랫폼에서 특정 브라우저를 사용하는 이들에게만 열려 있겠지요.

g00g1ej04의 이미지

새로운 프로토콜을 만들어야 된다고 하시는 분이 새로운 프로토콜 없이도 인터넷 뱅킹 가능하게 만든 리눅스 우체국 뱅킹 지원, 농협 리눅스 인터넷 뱅킹, 맥에서 인터넷 뱅킹 가능 같은 링크를 소개해 주셨네요. --;;

우체국, 농협, 맥은 새로운 프로토콜을 만들지도 않았는데 어떻게 인터넷 뱅킹을 가능하게 만들었나요? --;;

1day1의 이미지

아예 실패로 끝난것인가요?
http://www.leejeonghwan.com/media/archives/000716.html

실패이유 - 키보드보안프로그램과 백신프로그램이 없기 때문?

F/OSS 가 함께하길.. (F/OSS서포터즈 : [[FOSS/Supporters]], [[FOSS/Supporters/Group]])

F/OSS 가 함께하길..

jachin의 이미지

그냥 외국계 은행에 돈 맡겨놓고 거래하는게 좋을 것 같아요.

절이 싫다는데 중이 떠나야지요.

요즘 제가 KLDP 에서 글을 자주 못 읽고 있습니다만, q00q1ej04님은 누구시지요?

언제 서북부 모임에서 만나뵙고 직접 얘기를 나눠보고 싶군요. :)
====
( - -)a 이제는 학생으로 가장한 백수가 아닌 진짜 백수가 되어야겠다.

오리주둥이의 이미지

g00g1ej04 의 글들을 쭈욱 읽다보니.. 옆에 나오는 강아지 아이콘과 똑같다고 느껴지는건 저뿐인지..

머 잠시 딴얘기였습니다.
토론의 방식과 어투의 방식을 바꾸셔야 할듯..

행복한고니의 이미지

리눅서도 아니고 개발자도 아니구나...하는 생각을 했습니다.
주제와 관계없는 딴소리였습니다. ^^a

__________________________________
나는 세상에서 가장 중요한 사람이다.

jachin의 이미지

딴소리가 많아지면 안되지만, 너무 잘 지적해 주셔서... ^^;
저도 가끔 리눅서가 아닌 사람들과 만나 얘기할 때가 있지만.
'자유 소프트웨어' 개발자가 무료로 개발해주는 사람이라고
생각하시는 분도 종종 있으시더라고요...
====
( - -)a 이제는 학생으로 가장한 백수가 아닌 진짜 백수가 되어야겠다.

페이지