인터넷 뱅킹과 SSL… 변명은 이제 그만…

얼마 전 Viz란 닉네임을 사용하시는 분이 OpenWeb의 ‘Frame: 웹페이지 주소 감추기‘란 글에 현 체제(ActiveX체제)가 갖는 장점에 대한 코멘트를 남기셨습니다. 대략 그 내용은 다음과 같은데요.

ps. 최근 몇몇 글에서 조금은 전문적인 시각에서 현 체제에도 장점이 전혀 없는 것은 아니다.. 라고 주장했더니 부끄러움을 호소하는 글도 심히 반박당하는군요 -_-

ps2. 금융권 쪽에서 SSL을 통해 암호화 하는 방향으로 변화하기 위해서는 일단 SSL가속기를 사야하는 추가적인 부담 and/or 화려한 홈페이지를 전반적으로 수수하게 변경해야 하는 문제가 있습니다. 쇼핑몰의 경우 전체 사이트에서 ‘로그인’과 ‘결제정보 입력’ 등의 아주 일부분만 보안연결이 필요한 반면 금융권 사이트의 경우 거의 모든 부분이 보안연결이 필요합니다.

ps3. SSL이 요구하는 연산비용은 만만한게 아닙니다.

Continue reading 인터넷 뱅킹과 SSL… 변명은 이제 그만…

인터넷 뱅킹이 뚫렸네요.

한겨레 일보에 따르면 키로깅을 통해 700만원씩 3번에 걸쳐 2,100만원이 인출되었는데, 오프라인으로 관리되는 보안카드가 어떻게 뚫렸는지가 의문이라고 합니다.

http://www.hani.co.kr/arti/society/society_general/337813.html

여기서 중요한 점은 키로깅을 막겠다고 덕지덕지 붙여놓은 키보드 보안 모듈이 효과가 없었다는 점이죠.

예전부터 열심히 주장하고 있는 바이지만 ActiveX를 이용해서 ActiveX를 막으려고 해서는 안됩니다. ‘이 툴을 설치하시겠습니까?’ 라는 경고창이 떴을 때 조건 반사처럼 ‘예’를 클릭하게 될 경우 어떤 문제점이 있는지를 꾸준히 흥보하면서 사용자의 의식이 개선시켜 나가야 하는 문제인데, 우선 눈 앞에 닥친 문제를 가리기 위해 키보드 보안 모듈이나 백신같은 별 효과도 없는 것들을 덕지덕지 붙여서야 눈가리고 아웅하는 정도죠.

사실 저는 어떻게 뚫렸는가라는 사실보다 추후 인터넷 뱅킹이 어떻게 바뀔지가 더 궁금하네요. 지금까지의 추세를 봤을 때 또 새로운 무언가를 설치하도록 요구할 것 같지만…

또 새로운 무언가를 설치하도록 요구한다면, 사용자들은 ‘이 프로그램을 설치하시겠습니까?’라는 경고창에 ‘예’를 클릭해야만 할테고, 더더욱 깊이 각인되겠죠. ‘이 창이 떴을 땐 그냥 예를 클릭해야 한다.’라는 사실이 말입니다. 정말 언제쯤 이 악순환이 끝날지…

번역: 한국의 홈브류 인터넷

오랫만에 일찍 학교에 나온 김에 아침부터 서핑을 즐기다가, 제가 아침에 공개한 글과 관련된 좋은 내용의 글을 발견해서 살짜쿵 번역을 해봤습니다. ‘국내 CA 시스템 = 공인인증 시스템’ 이라고 이해하시면 되겠습니다. 약간의 의역이 있고, 오역도 있을 수 있습니다. -_-a

읽다보면 참 부끄러운 부분이 많아요.

원문: http://web.archive.org/web/20071225181340/http://webstandard.or.kr/en/2007/03/17/korean-home-brew-on-the-web/


Vladimir씨는 SEED에 관련된 기술적인 문제를 얘기하기 위해 한국의 인터넷 뱅킹을 이용해본 경험을 이야기 했습니다. 그가 한국 사이트에서 겪었던 문제들 덕분에 그 문제에 대해 기술적인 부분을 설명할 기회가 왔네요. (이 글을 읽기 전에 Vladimir씨가 쓴 “It’s gone to SEED”를 먼저 읽으시기 바랍니다.)

1997년에 SEED가 처음 나왔을 당시엔 암호화를 위해선 ActiveX나 NSPlugin(브라우져 전쟁 이후에 사라졌음)를 이용할 수 밖엔 없었습니다. 이 플러그인들은 국내 전용의 CA들로부터 개인 인증서를 발행하고, 관리하는 역할과 돈을 보낼 때 계좌번호 같은 “중요한 텍스트” 들에 “전자 서명을 더하는” 역할을 담당했습니다. INISafeWeb 또한 이런 플러그인들 중 하나입니다. (한국에는 금융/전자상거래 및 전자 정부 사용 등의 서비스를 위한 국내 전용 CA들이 8개 정도 있습니다. 이런 서비스를 이용하기 위해서는 같은 기능을 하는 ActiveX를 최소 3개 이상 설치해야만 합니다. 참 웃긴 일이죠.)

Continue reading 번역: 한국의 홈브류 인터넷

인터넷 뱅킹과 크로스 브라우징

나는 오늘도 인터넷 뱅킹을 위해 모 은행의 홈페이지로 접속했고, 플러그인을 설치해야한다는 페이지를 5분동안 보고 있어야 했다. ‘왜 안넘어가는거야!’ 라고 짜증을 내며 브라우저를 보니 firefox다. 비굴하게 32bit 버젼의 인터넷 익스플로러를 사용해서 접속하니 나도 모르게 실행되는 백신과 키보드 보안 프로그램 그리고 XecureWeb…

이 은행에 있던 돈을 다른 은행에 있는 계좌로 이체를 시킨 뒤 잔고가 얼마인지 확인하기 위해 또 다른 은행사 홈페이지로 접속을 했고, 또 다른 프로그램들이 실행되기 시작했다.

도대체 XecureWeb, INISafeWeb등이 뭐하는 프로그램이길래 설치를 강요받아야 하고, 또 무슨 근거로 신뢰를 강요받아야 하는걸까?

XecureWeb / INISafeWeb 도대체 얘네 뭐하는 애들이야?

크게 인터넷 뱅킹에서 필요한 기능은 두 가지 이다. 인터넷 뱅킹을 하는 동안 오가는 데이터를 중간에서 가로챈다고 하더라도 그 내용을 알아 볼 수 없게 하기 위해 보안 채널을 구성하는 것이 그 첫번째이고, 거래(계좌 이체 등)를 한 사람이 본인이라는 사실을 증명하는 것이 그 두번째이다.

Continue reading 인터넷 뱅킹과 크로스 브라우징