국내 인터넷 뱅킹에 ActiveX 가 꼭 필요한가요?
글쓴이: tiffang / 작성시간: 월, 2008/10/06 - 5:41오후
많이 시원해지긴 했지만..
1. SSL 로 구현해도 안전한가요? 은행거래내역에 대한 부인 방지가 가능한거겠죠?
2. 인증서 사용은 SSL 로 해도 쉽게 구현 가능한가요?
3. 사용자 동의 없이 sw 를 설치하는건 합법인가요?
== 원래글 ==
아무래도 무지로 인해 발생한 궁금증인것 같은데
누가 좀 속 시원히 알려주시면 감사하겠습니다
방법1. 공인인증서 로그인 + 거래내용 트랜잭션의 내용을 암호화
방법2. WEB 에서 비밀번호 입력 + SSL 사용
두 가지 방식으로 인터넷 뱅킹을 웹상에서 제공할 수 있을 것으로 생각했는데요
질문0.
이렇게(두가지 방법) 생각한것이 근본적으로 이상한건가요?
질문1.
방법2로 "부인방지" 를 해결할 수 있는건가??
질문2.
방법1시에 공인인증서 사용은 현재 꼭 ActiveX 로만 구현 가능한가요?
질문3. (보나스)
키보드 보안은 개인이 알아서 PC 관리 해야하고 로컬 PC에 깔려있는 악성SW로 인해 비밀번호등이
유출되는건 개인의 책임이라고 개인적으로 생각합니다.
심지어는 인터넷 뱅킹을 하고 나면 사용자 허락 없이 윈도우 부팅될때마다 서비스로 실행되게끔 해놓던데..
이거 위법아닌가요? 허락없이 SW 막 깔아 버리는..
Forums:
보안 채널을 만드는
보안 채널을 만드는 것은 HTTPS 를 활용하는 것과 현재처럼 플러그인/ActiveX 를 사용하는 것 모두 가능하며, 실제 구현에 있어 편의성 등을 생각하면 HTTPS 가 3만배 유리해 보입니다.
공인인증서 로그인 부분에 있어서 이 ActiveX 가 내 공인인증서를 외부로 유출시키지 않는다는 것을 어떻게 내가 신뢰할 수 있는가에 대해 참 의문입니다. 기술적으로는 서버측에서 보내준 임의의 문자열을 클라이언트 측에서 공인인증서로 암호화 해서 보내면, 그에 해당되는 공개키로 원 문자열을 복원해내는 것을 확인하면 될 것 같기는 한데, 이렇게 구현되어있다는 걸 확신할 수 있는 길이 없거든요. -_-;
그리고 공인인증서를 이용한 서명은 이미 플래쉬로도 나와있고 모질라의 플러그인 API 로도 얼마든지 구현 가능합니다. 지금처럼 ActiveX 를 제공하는 것이 아니라 공인인증 API 와 공인인증을 위한 mimetype 을 표준화 하고, 이에 대한 구현물 중 어떤 것을 이용할 지에 대해서는 제약을 두지 않는게 맞을 거 같은데...
ㅠ.ㅠ
--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...
http://mytears.org ~(~_~)~
나 한줄기 바람처럼..
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...
http://mytears.org ~(~_~)~
나 한줄기 바람처럼..
그러니까,
그러니까, 오픈소스가 아닌 한 "믿어라, 믿는자에게 보안이 있나니" 뭐 그런 뜻인 것 같습니다. -_-;
공인인증 회사나 은행은 어디까지나 이익 추구를 목적으로 하는 사기업인데 말이죠.
--------------------------
snowall의 블로그입니다.
http://snowall.tistory.com
피할 수 있을때 즐겨라! http://melotopia.net/b
네 이익을 추구하는 사기업이고
ActiveX 개발자도 먹고 살아야하는 문제지요.
IE 새 버전 나오면 또 일거리 창출하고...
사기에 한표 모르면 속는다에 한표.. 한마디로 우롱하는거죠
http://nametag.naver.com/04449cOadeMKdcAU
먹고 살자고 사기 치면 감방가야죠
돌고 돌아 몇중으로 보안을 하나
하나를 두껍게 만드나 똑같죠
이미 세계은행이나 유럽은행들도 쓰지 않는 걸
한국만 쓰는 거죠
어떻게 보면 더 안전한 걸수도 있고
전혀 아닌 돈만 쓰는 걸수도 있고
마지막으로 사용자 동의 없이 서비스를 설치 하는것(리소스 축내기)
는 영원한 불법이 되어야 합니다.(현재 불법임)
--------------------------------------------
세종대왕+주시경=만쉐이
http://nametag.naver.com/04449cOadeMKdcAU
ActiveX에 국한되지 않는다면
대한민국 IT 활성화 된다 한표
---------------------------------------------
svn + trac + my project --> success ???
---------------------------------------------
---------------------------------------------
git init
git add .
git commit -am "project init"
---------------------------------------------
ActiveX를 사용하지
ActiveX를 사용하지 않게 된다면..
ActiveX만 만들 수 아는 비교적 저렴한 개발자들을 활용할 수 없기 때문에
IT계에는 일대 혼란이 야기될 것같습니다.
장기적으로는 세계화에 동참하고 새로운 보안 기술 연구개발에 도움이 되긴 하겠지만..
그 동안의 혼란은 말단 사용자들을 불편하게 만들겠지요..
게다가 ActiveX 이외의 보안 솔루션을 개발하려면 상대적으로 비싼 개발자들을 모셔야합니다.
보안 기업이나 은행 입장에서는 지극히 바람직하지 않은 일이지요.
게다가 ActiveX가 전 세계적으로 줄어가는 지금과 같은 추세라면
오히려 세계적으로 사용자가 적고 해킹시도가 줄어서 국내에 한해 안정성은 더 높아질 것같습니다.
결국 우리나라는 정부가 나서서라도 MS사를 어떻게든 꼬셔서..
혹은 기업 단체에서 웃돈 얹어주고라도 ActiveX를 되게 할겁니다.
아마도 IE8도 한국판에 한해서만은 ActiveX가 이전과 다름없이 편하게 잘 될것같습니다.
뭐, 구글 크롬도 곧 지원할 꺼라는 얘기가 있으니까요.
ㅡ_ㅡ;
키보드 보안은 개인이 알아서 PC 관리 해야하는게 맞는데...
현재 인터넷 뱅킹에서 사고 나면 무조건 은행 책임입니다.
이것은 인터넷 뱅킹 초기에 사람들이 인터넷 뱅킹을 사용하도록 종용하기 위해서 제도를 그렇게 만든겁니다.
말도 안되지만 애초에 그렇게 만들어 놓았기 때문에 뒤집기가 쉽지 않습니다.
이런 상황에서는 은행이 자기 방어를 위해서 ActiveX만으로 구현하는 것을 욕해봤자 헛발질 밖에 안됩니다.
인터넷 뱅킹에서 사고가 날 때 책임 소재를 명확히 가리도록 제도를 먼저 고쳐야 합니다.
근데... 그렇게 바뀌고 나면 일반인들이 인터넷 뱅킹을 안쓰겠죠.
이상한 방향으로
이상한 방향으로 흐를 것 같아 댓글답니다.
심지어 통장거래를 하더라도 비밀번호 유출등에 의한 책임은 개인에게 있습니다.
인터넷 뱅킹도 마찬가지로 인증서를 노출하거나 계좌거래 비밀번호등을 노출한 것은 모두 개인의 책임입니다.
강도에게 협박당해서 어쩔 수 없이 노출됐다하더라도 마찬가지고요.
키보드보안 등의 도구가 설치되는 까닭은,
은행 측에서 덤터기를 쓸만한 어떤 건덕지도 남기지 않기 위해서입니다.
말하자면, 사고 발생시 원인제공자가 고객측이 되도록 최대한의 삽질을 하는 것 뿐입니다.
은행 측의 이익 대변단체인 사단법인 금융결제원에서 도구들에 대한 일련의 지침과 기준을 정하고,
은행 측에 권고하는 형태로 알고 있습니다.
다만, 한번이라도 뚫리면 전체가 뚫리는 것은 시간문제고,
뚫렸을 때의 사회적인 여파가 대단하기 때문에 정부에서도 어느 정도 그 '기준'이라는 것에 개입하고 있는 것 같더군요.
은행 측에선 검증된 솔루션을 구입해서 쓰는 것 뿐입니다.
어찌보면,
MS windows, IE 를 제외한 다른 플랫폼용의 솔루션이 개발되지 않은 것이 문제라고 보여질 수도 있지만,
근본적으로는
'사고발생시 은행(혹은 정부기관?)측이 원인제공자가 될 가능성 자체를 기술적으로 완전 배제'하기 위해 고객의 선택을 엄청나게 제한하려 하는 것이 실체적인 문제입니다.
OTL
명확한 설명 감사합니다
은행이 왜 ActiveX에 목메고 있는지 명확하게 설명을 해주셨네요. 제가 잘못 알고 있는 점을 바로 잡아 주셔서 감사합니다.
이 상황에서 고객의 선택권을 제한하지 않으면서 사고발생시 은행측이 원인제공자가 되지 않을 방법은 어떤 것이 있을까요? 설마 사고가 나더라도 은행이 고객의 선택권을 제한해서는 안된다고 하시는 분은 없겠지요?
그리고, ActiveX 외에 중국 해커가 뿌려 놓은 키로거나 바이러스가 일반사용자(KLDP에 상주하는 소수의 전문가를 제외한)의 비밀번호와 인증서를 빼가는 것을 막을 현실적인 대안이 있습니까?
전자금융거래법
전자금융거래법 제9조 1항에는 "금융기관 또는 전자금융업자는 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다.
" 라고 나와있습니다.
예를 들어 인터넷 뱅킹을 사용하기 전에 이미 백도어 혹은 해킹등으로 인해 개인이 모르는 사이 PC가 타인에게 장악되어 있는 상태이더라도 고객이 인터넷 뱅킹을 사용중에 인증서나 비밀번호가 유출이 되면 해당 기관이 책임을 지게 됩니다.
이에 대한 책임을 회피하기 위해서는 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결해야 합니다.
이와 같은 약정을 체결하기 위해서는 전자금융거래법 제9조1항,2항,3항을 준수해야 하고 제9조2항에는 금융위원회가 정하는 보안 기준을 준수해야 한다고 나와 있습니다.
그 금융위원회가 정한 보안 기준이 문제의 핵심인데요. (물론 전자금융거래법도 무리가 많긴 합니다.)
금융위원회의 기준에 따르면 전자적 전송이나 처리과정에서의 데이터 암호화는 필수고요. 안티 키로거 서비스 역시 필수 사항입니다.
그러니까. 은행 입장에선 사고 발생시 책임 안질려면 키보드 보안 S/W를 필수적으로 제공해야 된다는 말이거든요.
bushi님이 말씀하신
와는 사실 조금 차이가 있습니다. 단지 권고사항만으로 끝나는게 아니기 때문이죠.
귀찮아 질걸 방지하기 위해 하는게 아니라 은행도 울며 겨자 먹기식으로 어쩔 수 없이 하고 있는 상황입니다.
물론, 전자보안을 Active-X로 해야된다고 명시한건 절대 아니지만...
문제는 키보드 보안 솔류션나 전자보안 솔류션이 국내에선 Active-X로 구현된거 밖에 없다는게 문제죠.
이런 보안 솔류션을 필수적으로 도입해야 되는데 국내업체들은 Active-X로만 만들어서 은행입장에선 Active-X를 쓸 수밖에 없습니다.
뭐..은행측이 반드시 웹표준을 준수하는 솔류션만 도입하겠다고 나선다면 당연히 국내업체들도 Active-X를 사용하진 않겠죠.
결론은 첫째 금융위원회의 보안 기준이 문제가 많고,
둘째 금융기관 및 국내 보안업체의 웹표준 준수에 대한 개념 혹은 의식이 없고,
셋째 Active-X를 써야 단가를 낮출 수 있다는 고정관념이 문제입니다.
네, 제가 사실을
네, 제가 사실을 정확히 알아보지 않고 어깨넘어로 본 것으로 대략적인 짐작을 한 것을 적어서 미흡했던 것 같습니다.
다만,
누가 정하고 누가 따르느냐의 방향성과
은행(금융결제원,혹은 모기관)에서 그런 '방법(키보드보안,개인방화벽)'을 고집하는 이유가
어떤 경우에도 자신들이 책임질 만한 기술적인 근거를 없애기 위해서라는 점을 강조하고 싶었습니다.
ActiveX 는, 제가 생각하기엔 s/w 가격문제가 맞습니다.
제대로라면 특정 은행 전용의 전문 뱅킹s/w 가 만들어져야 하겠죠.
싼 값에 하려다보니 IE + ActiveX 라는 조합이 나올 수 밖에.
은행이 뭘 알겠습니까. 저 솔루션을 만들어서 은행을 설득한 그놈은 우리 동료입니다.
지금 이 시간에도 'ㅂㅅ들 조낸 떠들어라...' 하고 지켜보고 있겠죠.
OTL
저 역시 bushi님의
저 역시 bushi님의 말씀을 충분히 공감하고 있습니다.
지금의 인터넷 뱅킹에서 사용되고 있는 Active-X는 어떻게든 최소한의 비용으로 사고 발생시 책임을 회피하기 위한 결과물이 아닌가 생각합니다.
현재와 같이 Active-X가 남용되는걸 막기 위해선 우선적으로 전자금융거래법부터 개정해야 된다고 생각합니다.
전 법이란 사회구성원이 공감하고 있는 상식을 현저히 위반해서는 안된다고 생각하는데요.
그런데, 전자금융거래법의 몇몇 조항은 어처구니 없을 정도로 희안하다고 생각되거든요.
상식적으로 개인의 부주의로 계좌 비밀번호가 유출되었는데 이걸 어떻게 은행이 책임을 진다는 건지...
결국엔 bushi님이 언급하신데로 개인의 행동을 극도로 제한을 해야만 은행이 책임을 회피할 수 있다는 결론이거든요.
제가 쓴글에 오류가
제가 쓴글에 오류가 있었네요.
에서 "제9조1항,2항,3항"이 아니라 "제21조1항,2항,3항"입니다.
그리고, "제9조2항에는 금융위원회가 정하는 보안 기준"이 아니라 "제21조2항에는 금융위원회가 정하는 보안 기준"입니다.
오프라인에서 통장의
오프라인에서 통장의 비밀번호가 유출되서 사고가 발생한다면 이용 고객의 책임이죠.
이는 당연한 거라 은행(금융기관)을 탓하는 사람은 없을 겁니다.
그런데 웃기게도 온라인으로 넘어오면 이게 전자금융거래법 때문에 책임의 주체가 180도 바뀌거든요.
고객의 실수로 사고가 나도 은행이 책임저야 한다는게 문제입니다. 이런 사고에대한 책임을 회피하기 위해선 니가 잘못한 경우엔 책임 못진다.는 약정을 체결해야 되고요.
당연한 일을 약정을 체결해야지만 책임을 안지게 된다는게 웃기는 일이죠.
어쩌면 Active X라는
어쩌면 Active X라는 점보다 오픈소스가 아니라는 점이 더 무서운데요?
은행에 의해 제공된 프로그램은 은행에서 외주를 주어 만들었을 텐데, 그 프로그램 자체가 해킹 프로그램이 아니라는 보장은 누가 할까요?
-------------------------
snowall의 블로그입니다.
http://snowall.tistory.com
피할 수 있을때 즐겨라! http://melotopia.net/b
은행권에서도 보안
은행권에서도 보안 용 소프트웨어를 구매/외주 할 때는
엄격한 심사를 거칠거라고 생각합니다.
은행들도 대충 아무 소프트웨어나 사거나 외주 맡겨서
보안용 소프트웨어로 사용할거라고 생각하신다면...
글쎄요...
엄격한 보안 정책을 가지고 있는 기관/회사들이
모든 보안 소프트웨어를 자체적으로 만들어서 사용할 것이라고 생각하신다면 오산이라고 생각합니다.
당연히 믿을만한 기술적 심사를 통해 보안 소프트웨어를 선택한다고 생각합니다.
AX가 보안상
AX가 보안상 취약하다는걸 인식시켜주기 위해서
그리고 공론화 하기 위해서
보다 많은 일반인들이 '내 돈'에 대한 위기의식을 가지게 하기위해서
인터넷뱅킹에 사용되는 AX만의 취약점을 찾아 발표하는게
현 시점에서는 은행들이 AX를 버리게 만드는 가장 빠른 방법이 아닐까 합니다.
무엇보다 고지식한 은행권의 생각을 바꾸게하는 계기가 필요한 시기인것 같습니다.
그러면...
그렇게 되면 신문에 "현재의 ActiveX 보안문제 심각!"이라고 기사가 나고, 보안문제를 "해결"하기 위해 더욱 강력한(?) 보안솔루션이 등장할 겁니다.
그 강력한 보안솔루션 역시 ActiveX로 만들겠죠. 아니면 아예 별도의 client program으로 만들어 배포한다든지. (물론 말할 것도 없이 Windows 전용.)
웹사이트 보안을 개판으로 해놔서 이용자 주민번호가 검색되는 걸 가지고 "구글에 주민번호 우글" (= 그러므로 구글 잘못) 같은 기사가 조선일보에 나는 걸 보면 이놈의 나라 아직 갈길이 참 멀다는 생각이 듭니다.
* disclaimer: 현재 구글 직원입니다. 뭐, 구글 직원이 아니었더라도 똑같은 얘기를 할 거지만.. -.-;;
갈때까지 가보는것도
갈때까지 가보는것도 재미있지 않나요? ㅎㅎ
정말 신문에서 그렇게 AX보안 문제 심각이라고 때려만 준다면 얼마나 고맙겠습니까
그걸 해결하기위해 더욱 강력한 보안 솔루션이 등장하긴 하겠지만 그게 AX로 만들어진다는 보장은 없잖아요.
그리고 AX보안 문제를 때렸는데 설마 AX로 다시 만들겠어요.
뭐 AX보안이 문제가 아니라 현재 프로그램이 문제다 라고 기사 쓰면 다시 AX로 만들지도 모르겠네요.
현재 시점에서 제 생각은 이렇든 저렇든 한번쯤은 크게 이슈화가 되어줬으면 하는 겁니다.
근데 국내외로 시끄러운 지금은 조금 아니고 어느정도 조용할때 크게 터져 줬으면 하네요.
제 생각에는 그
제 생각에는 그 "설마"를 다시 붙잡을 듯...
--------------------------
snowall의 블로그입니다.
http://snowall.tistory.com
피할 수 있을때 즐겨라! http://melotopia.net/b
바로 ...
그 "설마" 를 ... 개량해서 '보안 문제 없는 AX' 를 만들겠다고 덤빌 겁니다.
여태까지 해온 게 그다지 달라질 거라고 보지는 않습니다.
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
http://akpil.egloos.com
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
ActiveX 를 사용하는게 프로토콜 때문이 아닙니다.
단순 프로토콜 문제라면 당연히 HTTPS로도 해결이 됩니다.
하지만 키로깅이나 기타 등등 여러가지 문제를 막기 위해서죠,
또한 사용자 UI문제도 있습니다. 초창기에 국내에 ActiveX가 무분별하게 사용되던 이유중에 하나가 브라우저로 가능한 UI 가 너무 불편했던 점도 있었고요 ..
대안이 나와야 겠지만 단지 프로그래머 수준이 낮아서 ActiveX 를 쓰는건 아니라고 생각되네요.
아뇨. 생각하시는
아뇨. 생각하시는 것과는 달리 처음에는 프로토콜때문이었습니다. 초창기에는 미국의 암호화 수출 제한때문에 벌어진 일이었습니다. 당시 브라우저는 40비트 암호화밖에 지원하지 않았고 그래서 독자적으로 구현할 수밖에 없었습니다. 하지만 이것도 2000년에 미국 법이 개정되면서 할 필요가 없는 얘기가 됐습니다.
지금처럼 키보드보안이나 백신을 의무화한 건 2003년인가 큰 규모의 금융 사고가 있었기 때문입니다. 그 때 범인은 키보드를 가로채서 전송하는 스파이웨어를 공개자료실에 올려서 불특정 다수에게 배포했었죠.. 그 사건 이전에는 키보드보안이나 백신같은 기능은 의무사항이 아니라 고객서비스였습니다. 지금처럼 자동으로 업데이트하지도 않았고 적어도 브라우저에서 확인 버튼은 눌러야 했습니다.
IE6 에서도 구글 apps
IE6 에서도 구글 apps 는 충분히 훌륭한 UI 를 보여주고 있습니다. UI 가 너무 불편했다기보다 브라우져에서 제공하는 기능들을 제대로 활용할 수 있는 자바스크립트 개발자가 없었다거나 그런 개발자 인건비가 너무 컸던거겠죠.
그에 비해 activeX 는 넘쳐나는 윈도우 apps 개발자들로 대체할 수 있었을테구요.
그리고 인터넷뱅킹에서 보여줘야 하는 내용들이 일반 테이블이나 리스트로 커버가 안되는 것들이라고는 생각되질 않네요.
--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...
http://mytears.org ~(~_~)~
나 한줄기 바람처럼..
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...
http://mytears.org ~(~_~)~
나 한줄기 바람처럼..
사실 통신상 보안의
사실 통신상 보안의 문제는 다들 아시다시피, https로 충분합니다.
하지만 키로거 등의 클라이언트에 설치 된 해킹 프로그램들이 문제가 되는거고
그거야 사용자 책임이다...무슨 상관이냐..난 내 컴터 관리 잘하고 있다
그러니 해킹 프로그램 설치되어서 내 은행 정보가 유출되든 말든
은행을 신경쓰지 말아라.
라고 하기엔...글쎄요..
돈이란게 워낙 민감한 문제고, 대부분의 "일반" 사용자들이 바이러스의 위험에
너무나도 쉽게 노출되어있다는 관점에서 봤을 때
사용자들에게 인터넷 뱅킹 이용시, 특정 키로거 방지, 안티 바이러스 프로그램의 사용을
"강요" 하는건 어느정도 현실적인 측면에서 볼 때, 타당하다고 생각합니다.
대부분의 사용자들은 자신이 키로깅 당하고 있다는것 조차도 인식 못 할지도 모릅니다.
물론, 그거야 지네 책임이지 은행이 왜 그런걸 강요하냐라고 생각하신다면..뭐...;;;
어쨋든,
그럼 그 프로그램 사용을 어떻게 강요하느냐..
해당 프로그램을 사용자 스스로 다운로드 해서 인스톨 하게끔 유도하거나
또는 CD를 통해 배포를 해서 사용자 스스로 인스톨 하게끔 하는 방법이
있을 수가 있을텐데
단지 그 배포/설치를 간편하게 하기위한 방법으로 ActiveX를 사용하는 것 뿐입니다.
결국은 그냥 Win32 application 일 뿐이죠.
만약에
은행들이 ActiveX를 이용한 배포를 하지 않았었고
그냥 다운로드 해서 사용자 스스로 설치하게 하거나, CD등의 배포를 선택했었다면
그래도 ActiveX가 보안에 취약하다는 둥 그래서 현재 인터넷 뱅킹 방식은 보안에 취약하다
그런 소리가 나왔을까요?
제가 하고 싶은말은, 가끔 ActiveX의 보안 이슈를 문제 삼아 현재 인터넷 뱅킹의 보안문제를 얘기하시는 분들이 있는데
그 두가지는 전혀 상관없는 얘기라고 생각합니다.
현재 인터넷 뱅킹의 문제는
1. 현재 한국의 은행들이 "일반" 사용자들을 위해서, 특정 보안 소프트웨어의 이용을 "강요"하는데( 키로거 방지 목적이 제일 크겠죠 )
과연 모든 사용자들이 그런 것들을 "강요" 받을 필요가 있는가. 나는 그런거 "강요" 받기 싫다. 라는 쪽의 이슈와
2. 그런 보안 소프트웨어 이용을 강요하는건 어느정도 현실적인 측면에서 봤을 때 이해는 하는데 그럼 왜
여러 O/S 용 바이너리를 별도로 제공하지 않는가. 왜 only win32 binary만 제공을 해서 결과적으로 win32에서만 해당 보안소픈트웨어를 쓸 수 있게 하는가..
두가지 이슈가 되어야 하지, ActiveX 얘기는 아무런 문제가 될게 없다고 생각합니다.
ActiveX와 그냥 win32 application는 같은 것 입니다. 단지 배포 방식만 다른 것 일뿐 이라고 생각합니다.
현재 인터넷 뱅킹과 관련 된 문제들이 바로 "그 배포 방식" 때문에 생겨나는 문제들인가요??
어쨋든, ActiveX 얘기는 안나왔으면 좋겠습니다.
소프트웨어를 배포 할 때, ActiveX를 이용해 배포 했을 경우와
직접 인스톨 프로그램을 제공해서 배포 했을 경우의 장단점, 보안에 대한 이슈는
다른 쓰레드에서 소프트웨어 배포의 관점에서 따로 얘기가 되는게 낫다고 생각합니다. 인터넷 뱅킹과는 큰 연관이 없어보입니다.
* 개인적 의견으로는..배포 방법이야 어쨋든, 그런 보안용 소프트웨어 사용의 강요는 현실적으로 acceptable 하다고 생각합니다. 단지, 그런 소프트웨어들을 여러 O/S를 지원하게끔 만드는 쪽으로 은행들이 생각을 바꾸게 하는게 좋은 접근이라고 생각합니다.
http://static.nid.naver.com/e
http://static.nid.naver.com/enclogin/enc_help.html
네이버에서는 1~3단계 보안을 고를 수 있게 해놓았고, activeX 등을 사용할 지 안할지를 쉽게 선택할 수 있는 환경을 제공하고 있습니다.
저정도면 초초보들을 위한 3간계 보안과 자기 컴퓨터에 activeX 를 설치하기 싫은 사람을 위한 2단계 보안, 그리고 handheld 디바이스 처럼 플래쉬도 설치되어 있지 않은 장비를 위한 기본 1단계 보안 시스템으로 불편을 느끼지 않게 만들 수 있을거라 생각하네요.
뭐 은행권 입장에서는 잘 돌고 있는거 괜히 추가 비용 들여서 다시 구축할 이유가 없는거겠죠. 얘네들이 빠져나가면 장사할 곳이 없을텐데 키보드보안 프로그램을 제공하는 회사들에서 가만있지도 않을거고...
--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...
http://mytears.org ~(~_~)~
나 한줄기 바람처럼..
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다...
http://mytears.org ~(~_~)~
나 한줄기 바람처럼..
그 보안
그 보안 소프트웨어를 다른 OS에서도 똑같이 돌리는 건 무리가 있습니다. 국정원의 그 보안 기준은 계획적으로 만들어졌다기 보다는 지금까지 MS 윈도우즈에서 이용하면서 문제되었던 사항을 막아 나가면서 MS 윈도우즈에 맞춰진 기준이거든요. 위에서 썼듯이 이런 보안 기준을 강제하게 된 계기가 바로 스파이웨어를 이용해 돈을 인출한 금융범죄때문이었습니다.
지금 소프트웨어진흥원에서 배포하고 있는 리눅스용 키보드 보안을 보시면 리눅스에서 이 기준을 구현한다는 게 얼마나 비현실적인지 드러납니다. (http://data.oss.or.kr/sw/view.html?sort=name&num=990&page=1)
1. MS와 같은 기능의 백신 프로그램 (윈도우즈에서 돌아가는 바이러스 잡아서 뭐하게?)
2. 소스 공개 불가 원칙 (커널 버전, 라이브러리 버전에 따라 지속적으로 관리 필요. GPL 위반 소지.)
3. 시스템 권한이 필요하므로 브라우저를 루트 권한으로 실행 (과연 이게 더 안전한가?)