여러분의 인터넷 뱅킹은 Happy한가요?

작성자 :  dolf 2007.07.23 17:37
우리나라가 위대하신(?) 빌형제국(?)의 노예라는 것은 웬만한 사람들은 다 알고 있는 일입니다. 다른 나라라고 빌형 제국의 노예가 아닌 것은 아닙니다만, 다만 그 노예근성(?)이 심해서 그 종속에서 달아나려고 시도하는 사람들을 사용자들 스스로가 깔아 뭉개려 하는 점이 다른 나라와 다른 점이라고 해야 할까요.

Linux나 BSD같은 대안 운영체제를 '그딴거 왜쓰니'라며 시도 자체를 무의미한 것으로 만들며 'Windows에서 되는게 안되면 쓰레기야'라고 비웃기만 합니다. 그 사람들의 대부분은 Linux나 BSD 화면도 제대로 본 적이 없죠.


그런 빌형제국 노예들(?)이 올해 초에 빌형제국에 돌을 던지는 사태가 벌어졌습니다. 빌형제국의 신병기, Windows Vista 때문입니다. Windows Vista는 게임도 잘 안돌고 인터넷 뱅킹도 안된다는 불평이 끊이지 않았기 때문입니다. 노예들(?)은 주인(?)인 빌형제국에 대해 '인터넷 뱅킹 되게 해줘'라고 시위도 해보고 빌기도 했습니다. 그 결과 웬만한 은행은 Windows Vista에서 인터넷 뱅킹 서비스를 할 수 있게 되었습니다.

그런데 이렇게 된 것이 위대하신 빌형(?)께서 백성들을 굽어 살피시어 된 것일까요? 앞으로 나올 운영체제에서는 이런 문제가 없을까요? 오래 끄는 이번 사건(?)의 책임이 진짜 빌형제국에 있는 것일까요? 조금 지난 떡밥(?)일지 모르지만 아직 현재 진행형인 만큼 한 번 다뤄보도록 하겠습니다. 참고로 조금 깁니다.


■ 사태의 근원

이 사태의 원인을 따져보려면 '액티브X(ActiveX)'라는 물건이 무엇인지 알고 넘어가야 합니다. 액티브X는 쉽게 설명하면 '웹에서 실행할 수 있는 PC용 프로그램'이라고 보면 됩니다. Javascript나 Flash같은 같은 것도 웹에서 실행하는 것은 마찬가지지만 액티브X는 실제 'PC용 윈도우 프로그램'에서 할 수 있는 일을 웹에서 그대로 할 수 있게 하는 점이 다릅니다. Flash로 웹용 백신을 만들고 Javascript로 메모리 에디터를 만들 순 없거나 매우 어렵지만 액티브X는 이것을 매우 쉽게 해줍니다.

액티브X를 쓰면 따로 복잡한 로컬 프로그램을 설치할 필요 없이 간단한 액티브X 컨트롤 파일만 다운로드하면 되는 만큼 웹 서비스의 편리함과 가능성이 매우 커집니다. 문제는 액티브X가 사실상 Windows용 프로그램과 같다보니 너무나 많은 권력을 쥐고 있다는 점입니다. 웹 브라우저의 범위를 벗어나지 못하는 다른 언어나 기능과 달리 액티브X는 PC의 로컬 프로그램과 동등한 권한을 가집니다. 현재 사용자 권한이 Administrator 또는 이와 동급 권한이라면 레지스트리 변경, 파일 삭제, 외부 파일 다운로드 및 실행까지 자유롭게 할 수 있습니다. 액티브X를 만드는 사람의 의지에 따라서 자유로움이 '제어할 수 없는 권력'으로 바뀔 수 있습니다.

액티브X의 이런 점은 크래커와 불법 광고 업자의 눈에 오래 전에 들었습니다. 그래서 특정 사이트에 들어가 액티브X를 설치하면 마구 포르노 사이트 광고가 뜨고 개인 정보가 마구 빠져나가며 윈도우 프로그램 실행 권한까지 바꿔버리는 별의 별 일이 다 일어났습니다. 폐해가 너무나 크다보니 빌형제국에서도 '이래선 안되겠다'며 액티브X라는 이름의 야생마 휘어잡기에 나섰습니다. Windows XP SP2는 액티브X를 휘어잡는 첫 번째 시도가 되는데, 액티브X 설치를 복잡하게 만들어 사용자가 액티브X 설치 전 한 번 더 검토할 수 있도록 한 것입니다. 그렇지만 액티브X가 안되면 인터넷 서비스의 상당 부분이 되지 않는 우리나라에서 이런 경고가 먹힐 리 없습니다. 웹 서비스 업체들은 공공연히 '일단 깔고 봐라'는 식으로 나섰고, 이것에 익숙해진 사용자들은 '에이, 귀찮아' 하면서 마구 액티브X를 설치하는 습관을 버리지 않았습니다. '한국식 인터넷'의 독특한 습관이 빌형제국의 처음 생각을 뛰어 넘어버린 셈입니다.

그러다 빌형제국은 Windows Vista에서 지금까지 하지 않던 일(?)을 저지릅니다. 바로 사용자에게 Administrator 권한을 주지 않는 것입니다. 모든 사용자는 User 권한을 갖고, Administrator 권한이 필요하면 별도의 확인 절차를 거치는 방법으로 달라졌습니다. 이는 이미 Unix나 Linux에서는 보편화된 방법이지만 다른 점이 있다면 Windows Vista는 기본적으로 Administrator 암호를 묻지 않고 '실행할래'만 표시한다는 것입니다. 불편함이 줄어드는 것은 사실이지만(실제로 Linux보다 훨씬 불편합니다. 적어도 Linux는 시작 메뉴의 아이콘 하나 옮길 때 마다 Root(Administrator) 권한을 요구하진 않습니다.) 트로이목마 등 위험 어플리케이션을 막는 역할로는 부족한 것도 부인할 수 없습니다. 그렇다고 해도 빌형제국이 보안 문제의 심각함을 깨닫고 '강제로라도' 해결하겠다는 생각을 실천에 옮겼다는 것 만으로도 가치는 있는 일입니다.

다만 엉뚱하게도 이런 보안 강화는 액티브X에도 적지 않은 영향을 미쳤습니다. 빌형제국이 Windows Vista에서 액티브X 실행을 하지 못하도록 한 것은 아니지만 'Made in Korea' 액티브X를 무력화하는 데 충분했습니다. 수 많은 국산 액티브X 컨트롤은 Administrator 권한을 갖고 그 권한에 따른 모든 기능을 쓰도록 하고 있습니다. 하지만 이제 사용자는 User 권한만 갖고 있으며 이 권한으로는 Administrator 권한이 필요한 액티브X는 제대로 돌지 않습니다. 액티브X를 완전히 새로 만들거나 다른 방법으로 액티브X를 대체해야 하는 상황이 닥친 것입니다. 아예 사용자 권한을 Administrator로 줄 수 있다면 이야기는 달라지지만, 이렇게 하는 것이 일반 사용자에겐 쉬운 일이 아닙니다.

지금까지 맘 편하게 액티브X를 만들던 인터넷 업체는 물론이고 이 액티브X에 목매달고 살던 사용자들은 결국 빌형제국에 '아이고, 아이고'하며 곡소리를 낼 수 밖에 없었습니다. 그렇다고 '한국식' 습관을 들어줄 빌형제국이 아닙니다. 한국식 습관을 들어주면 '강제로라도 보안을 지키겠다'는 근본이 흔들리기 때문입니다. 결국 수 많은 업체들이 액티브X를 다시 만들거나 다른 방법을 찾기 시작했고, 또 다른 곳들은 지금까지도 '대책 없음'으로 버티고 있습니다.

■ 인터넷 뱅킹, 왜그런거여?

그러면 우리나라에서 인터넷 뱅킹을 하려면 몇 가지 액티브X를 설치해야 할까요? 하나? 아니면 두 개?

정답은 '최소 4개'입니다.

먼저 모든 인터넷 뱅킹 사이트에서 설치해야 하는 것이 암호화 프로그램입니다. 대표적인 것이 XecureWeb 같은 프로그램인데, 이것은 PC와 서버 사이의 데이터 전송을 128비트 암호화 합니다. 이미 인터넷 익스플로러가 128비트 암호화가 되어 있는데 뭣하러 이런 액티브X를 설치해야 하냐구요? 그게 나름대로 사정이 있습니다.

처음 우리나라에서 128비트 암호화 이야기가 나왔을 때만 해도 128비트 암호화 기술은 미국의 수출 금지 품목 가운데 하나였습니다. 당시에는 40비트 암호화 기술만 전 세계적으로 쓸 수 있었습니다. 그렇지만 40비트 암호화를 금융거래에 쓰기엔 너무나 불안했기에 나름대로 우리나라에서 한국정보보호진흥원(KISA)국가정보원을 중심으로 한 곳에서 만들어낸 것이 '국산 128비트 암호화 규격'인 SEED입니다.

참고로 SEED는 모 일본 애니메이션과 아무런 관계가 없는 단어입니다.^^

SEED는 128비트 암호화를 우리나라에서 쓸 수 없었을 때 전자상거래 보안을 위한 선택이었던 만큼 의미가 있으며, 그 완성도도 결코 뒤지지 않습니다. 다만 그것을 구현하는 방법이 지나치게 '현실지향적'이었던 것이 문제의 시작입니다. SEED는 우리나라에서 만든 국내 표준 규격인 만큼 빌형제국에서 만든 Internet Explorer 5/6/7에는 기본으로 들어가지 않습니다. 보안과 관련된 사항은 까다로워야 하는데다, 정치적인 입장까지 얽혀 SEED는 웹 브라우저에 기본으로 들어가지 못했습니다.

그러다보니 선택한 방법이 '플러그인' 형식의 별도 프로그램 형식이었고, Internet Explorer에서는 액티브X가 기본(?)이니 당연히 이것을 쓰게 된 것이 지금까지 내려온 것입니다. 현재 그 어떤 웹 브라우저와 운영체제도 SEED를 기본으로 하지 않으며, Firefox가 그나마 차기 버전에 SEED를 넣겠다는 계획을 밝힌 것이 전부입니다. SEED가 기본으로 들어가도 웹 브라우저의 기본 SEED로 보안 처리를 하도록 웹 프로그래밍을 다시 해야 하는 만큼 크게 손을 보는 것은 피할 수 없습니다.

두 번째가 공인인증서 관리자입니다. 우리나라는 별도 파일 형식의 공인인증서를 이용하여 본인 확인을 합니다. 이는 전자서명법에 명시된 사항으로서 법적인 효력도 있습니다. 다만 이 공인인증서를 선택해 정보를 불러들이고 복사/폐기/이동을 하는 관리자가 액티브X로 되어 있다면 이야기가 다릅니다. 아무리 웹 브라우저에 SEED가 들어가고 웹 프로그램을 그에 맞게 바꿔도 공인인증서 관리자가 액티브X를 그대로 쓰면 인터넷 뱅킹은 할 수 없게 됩니다. 현재 국내 시중은행 가운데 공인인증서 관리자를 액티브X가 아닌 다른 방법으로 구현하는 곳은 없습니다. MacOS에서 인터넷 뱅킹을 할 수 있게 하는 신한은행은 아예 공인인증서를 쓰지 않는 전통적인 방법을 씁니다.

세 번째가 키보드 암호화 프로그램입니다. 이것이 강제(?)가 된 것은 트로이목마, 바이러스, 웜, 스파이웨어가 키보드의 입력을 가로채 전송하는 후킹(Hooking)이 문제가 된 이후입니다. 온라인 게임에서는 의외로 이런 후킹으로 인한 피해가 적지 않은 것도 사실인 만큼 키보드 암호화가 전혀 불필요한 것은 아닙니다. 하지만 전자상거래에서 이것은 필수는 아닙니다. 그도 그럴것이 전자상거래는 이미 충분한 암호화가 되어 있는데다, 이미 공인인증서와 보안카드 등 다중 확인 시스템이 갖춰진 금융거래에서는 후킹으로 빼낸 정보는 그리 가치가 없기 때문입니다. 공인인증서와 보안카드를 전부 빼낸 뒤 후킹으로 정보를 알아내는 것이 아닌 한 문제가 일어날 가능성은 거의 없습니다. 현재 Windows가 아닌 다른 운영체제용 키보드 암호화 프로그램은 단 한 종류도 나와있지 않습니다. 또한 금융거래에 키보드 암호화 프로그램을 강제하는 것은 우리나라 뿐입니다.

마지막이 바이러스 백신입니다. 백신은 강제보다는 옵션에 가까운데, 후킹이나 백도어 툴을 검색하는 역할을 합니다. 모든 바이러스를 검색하는 것이 아닌 금융거래에 필요한 최소한의 안전을 보호하는 역할을 하는데, 이것은 없어도 인터넷 뱅킹이 잘 되는 경우도 많습니다. 이 네 가지 이외에 몇몇 은행은 피싱(Phising) 방지 툴을 옵션으로 설치할 수 있도록 하고 있습니다.

우리가 인터넷 뱅킹을 하려면 이 네 가지 액티브X를 기본으로 설치해줘야 합니다. 특히 암호화, 공인인증서 관리, 키보드 암호화는 지금의 인터넷 뱅킹에서는 절대 뺄 수 없는 것이며 이 가운데 하나만 없어도 우리나라 인터넷 뱅킹은 물 건너 갑니다.

■ 지금 상황은 어떻게 되고 있는가?

위에서 말한 네 가지 액티브X가 다른 방법으로서 바뀌지 않는 한 빌형제국의 신형 운영체제의 웹/보안 정책이 바뀔 때 마다 똑같은 삽질(?)을 반복해야 합니다. 또한 그 기능이 빌형제국 운영체제에 종속되는 한 다른 운영체제나 웹 브라우저에서 인터넷 뱅킹을 하는 것은 꿈같은 일이 됩니다. 그렇다면 지금 상황은 어떻게 되고 있을까요?

먼저 SEED를 살펴보면 정치적인 협상에 따라서 Internet Explorer의 차기 버전에 SEED가 들어가는 것은 불가능한 일은 아닙니다. SEED는 이제 국내 표준만이 아닌 세계적인 암호화 규격으로 자리잡았기 때문입니다. 다만 정치적인 문제가 여전히 있는 만큼 우리나라의 협상력에 따라서 결정될 사항입니다. 이런 표준화가 끝나도 은행들이 SEED 암호화 처리를 액티브X 대신 웹 브라우저 내장 엔진으로 바꾸지 않으면 의미가 없습니다. 현재 플러그인 방식(액티브X)를 쓰지 않는 은행은 없으니 몇 년은 더 고생(?)을 해야할 것입니다.

그나마 SEED는 가능성이라도 있지만 다른 세 개는 참으로 답답한 상황입니다. 공인인증서 관리자는 충분히 Java 등 다른 표준 기술로서 대체할 수 있습니다만 경제성을 이유로 그 어떤 업체도 이것을 시도하지 않고 있습니다. 키보드 암호화도 마찬가지인데, 경제성을 이유로 그 어떤 업체도 타 웹 브라우저용 플러그인을 개발하지 않고 있습니다. 키보드 후킹 방지는 이미 보안 기술이 충분해 불필요하다는 의견에 대해 우리나라 금융의 3대 악(?)인 재정경제부, 정보통신부, 국가정보원은 한 목소리로 '배째!'를 외치고 있습니다. 절대 그것만은 양보할 수 없다는 식으로 버티고 있는 한 우리나라에서 타 웹 브라우저로 인터넷 뱅킹을 하는 세상은 오지 못합니다.

바이러스 백신은 국가정보원이 반발하는 부분으로서, 역시 양보할 수 없다는 입장입니다. 키보드 후킹 방지는 뜻 있는 사람들이 모이면 어떻게 개발할 수도 있지만(실제 개발도 했습니다.) 바이러스 백신은 민간 사업자의 의지가 없다면 절대 할 수 없는 일입니다. 국가정보원의 이런 '똥배장' 덕분에 우체국의 타 웹 브라우저 인터넷 뱅킹 프로젝트가 좌절된 바 있습니다. 나머지 부분은 기술적으로 해결했지만 백신만큼은 해결하지 못했기 때문입니다.

지금까지 글을 읽어보면 'Internet Explorer를 쓰면 되겠네'하는 생각이 들 것입니다. 빌형제국 신민(?)이라면 당연히 들 생각이며 이것 자체가 나쁜 것은 아닙니다. 그렇지만 현실은 전혀 그렇지 못합니다. Windows Vista에서 바뀐 사용자 권한과 어플리케이션 호환성에 맞춰 모든 액티브X를 뜯어 고쳐야 했습니다. 일부 은행은 여전히 모든 것을 고치지 못하고 있습니다.

더 웃긴 것은 64비트(x64) 운영체제입니다. Windows XP Professional x64 Edition은 액티브X에 대해 그 어떤 제한도 두지 않습니다. 당연히 액티브X 실행 자체에는 문제가 없습니다. 그렇지만 '키보드 보안 프로그램이 x64용이 아직 없다'는 이유만으로 인터넷 뱅킹을 차단하고 있습니다. 필자는 여러가지 문제로 Windows Vista가 아닌 Windows XP Professional x64 Edition을 쓰고 있는데, 국내 1, 2위 은행 모두 저런 소리를 하며 인터넷 뱅킹 로그인조차 거부합니다. 빌형제국이 하사한 물건이라고 해서 만만세를 부를 상황은 전혀 못됩니다. 다음에도 비슷한 상황이 벌어지면 그 때는 어디를 욕하겠습니까?

인터넷 뱅킹 사건에서 빌형제국은 의외로 별 책임이 없습니다. 국내에 액티브X를 쓰라고 강요한 것도 아니며, 보안 문제가 있다는 것을 깨닫고는 나름대로 조치를 취한 죄 밖에 없기 때문입니다. 오히려 대부분의 책임은 개발이 쉽다는 이유로 액티브X 떡칠을 한 금융사와 솔루션 개발업체, 정부에 있습니다. 특히 정부는 대안 기술 개발을 장려하진 못할망정 오히려 부적절한 기준을 내세워 다 만든 기술도 죽이고 있습니다. 그러면서 사람들이 인터넷 뱅킹 대란에 허덕이면 그 때 가서 '빌형제국에 빌어보련다'는 식으로 움직이고 있습니다. 아무리 전 세계 PC 운영체제를 거머쥔 악의 제국(?) 빌형제국이라도 이런 불쌍한(?) 구걸이 반복되면 귀찮아 할 것은 뻔합니다. 오히려 우리나라 인터넷 뱅킹이 빨리 국제 표준 규격을 따르는 것이 빌형제국이 바라는 일이 아닐까요.

댓글을 달아 주세요

  1. ㅡ,.ㅡ
    2007.07.24 00:20 신고

    몇가지 지적할 것이 있어서 덧글을 답니다.

    참고로 저 스스로는 공인 인증 제도가 별 의미가 없다고 생각하며, 지금의 기형적인 '강제' 보안 프로그램 설치 또한 사용자의 불편을 초래하고 있다고 생각합니다.

    그러나 본문 중에서 부분적으로는 효용을 인정해야 하고, 어떤 부분에서는 나름 중요하게 여겨야 하는 것이, 논리 전개를 위해서인지 굉장히 작게 다뤄지고 효용성이 부정되는 것 같아서 이건 아닌데 싶어서 추가합니다.

    우선 국내의 모든 전자금융거래에는 공인인증서가 필요합니다. 따라서 신한은행도 공인인증서를 쓰지 않는 전통적인 방법이 아니라, 자체적으로 공인인증서 관리자를 구현했을 가능성이 있는데, 본문에는 쓰지 않는다고 되어있습니다. 이것은 직접 확인해보신 것인지요?

    공인인증서와 보안 카드 등의 다중 확인 시스템이 갖춰진 금융거래에서는 후킹으로 빼낸 정보는 그리 가치가 없다고 하였는데, 공인 인증서 자체가 보안적으로 큰 의미가 없고, 보안 카드의 경우 반복된 정보 입력을 통하여 만에 하나라도 새어나갈 위험성이 있다는 것에 대해서는 어떻게 생각하시는지?

    만약 OTP의 예를 드셨거나 스크린 키보드 - 마우스로 번호를 찍게 하는 - 를 채택하거나, 일부 은행처럼 0~9 대신 임의의 알파벳을 입력하여 숫자를 치게 하는 것의 예를 드셨다면 동의할 수 있었을 것입니다. 공인인증서가 뚫리더라도 패스워드를 알아내는 것이 매우 어려워지니까요. (OTP는 사실상 불가능에 가깝고요)

    백신은 강제보다는 옵션에 가깝다고 하셨습니다. 맞습니다. 현재 인터넷 뱅킹에서 설치하는 프로그램 중, 대부분은 그냥 띄워 놓고 감시만 시킬 뿐 그 기능은 이용하지 않습니다. 예외로는 대한생명 웹 창구등이 있는데, 얘네는 안랩 키보드보안 솔루션의 기능을 실제로 이용하여 이것이 깔려있지 않다면 아예 진행이 되지 않습니다.

    그러나 그렇지 않은 (프로그램을 강제로 깔지 않는) 경우, 사용자가 백신을 정상적으로 구매해서 사용중이어야 한다는 전제가 붙습니다. 또한 공공장소 또는 피씨방 등지에서는 인터넷 뱅킹 등의 작업을 하지 않아야 하고요. 불행히도, 어느 것도 잘 지켜지지 않습니다. 은행에서는 이 경우 만에 하나라도 자신들이 책임을 지게 되는 것을 당연히 꺼리죠. 인터넷 뱅킹 사고 발생시, 백신을 강제 설치하고 키 프로텍션이 깔려 있는 상태에서도 당했다면 은행이 책임소재를 질 위험이 있습니다만 그렇지 않은 경우는 사용자에게 책임이 전가되기도 합니다. 아예 분쟁을 피하기 위해서인지 금융감독원인가에서는 보안 수칙을 제시하며 은행들에게 저걸 강제 설치하라고 전가시키고요.

    또한 위에도 예를 들었지만, 키보드 프로텍션이나 백신 등은 사실 '떠 있으면' 되기 때문에 기타 브라우저 플러그인에서 해당 프로그램을 '띄울' 방법만 제시되면 포팅하기 어렵지 않습니다. 다만 현재 뱅킹 솔루션 자체가 IE를 벗어나지 않으므로 개발하지 않고 있고요. 물론 아무리 날고 기어도 윈도우를 벗어날 수는 없다는 제한점은 여전히 존재합니다만.. 사실 키보드 프로텍션을 리눅스에서 걸 수 없다는 것에는 그냥 웃을 수밖에 없지요. 리눅스도 안전할 것은 없습니다. 다만 절대적인 사용자 수가 적고, 요새 배포본들은 좀 까다롭게 깔려서 그런지 (그리고 사용자들이 불편함을 감수하고 공부하면서 깔아서 그런지) 문제가 적게 발생할 뿐이지요.

    인터넷 뱅킹 문제는 굉장히 복합적인 문제입니다. 일차적으로 사용자 편의성을 위해 보안과는 거리가 먼 정책을 취하다가 뒤늦게 소 잃고 외양간 고치기 시작한 빌횽네도 빌횽네지만, 불법 복제에 맛들이다 못해서 백신도 어디 공짜로 줘야 깔거나, 어디서 복사해서 깔다가 인증에 걸리면 제조사 욕이나 하고, 보통은 잘 깔지도 않는 사용자도 그 한 축입니다. 또한 금융의 공공성 측면을 챙기기보다, 책임면피를 위해서 사용자에게 불편을 강요하는 금융권도 한 축이고요. (부추긴 정부는 더욱 할말이 없지요 :P)

    의식 개혁을 목표로 쓰신 글로 보이지만, 오히려 생각하면 생각할수록 꼬여들어가는 문제를 너무나 간단하게 쓰신 것 같아서 좀 안습입니다. 모든 것이 잘못되긴 했죠. 아 요새는 안심클릭에서도 각종 키보드 보안 솔루션 설치를 의무화합디다.

    저요? 개인적으로는 차라리 뱅킹을 하려는 사람은 OTP를 의무화하는 것이 제일 안전하지 않나 생각합니다.

    삭제 답글 댓글주소
  2. ㅡ,.ㅡ
    2007.07.24 00:24 신고

    다만, 각종 '최첨단' 기법 자체는 지금 외국보다 한국에서 이미 하나씩은 다 상용화가 되었다는 것에는 의미를 부여할 수 있었으면 합니다.

    일본의 인터넷 뱅킹에서는 이제 플래시를 이용한 스크린 키보드가 쓰이기 시작했고, 해외 사이트에서 결제 도중 Visa 3D-Secure 인증을 시작한다고 나오고 다음 페이지로 넘어가니 익숙한 안심클릭창이 뜨더라고요. 내심 황당했습니다만, 우리에게 익숙한 신원 확인 기술이 사실 해외에서는 시험 단계였다는 것이지요. -_-

    삭제 답글 댓글주소
  3. mrnoface
    2007.07.24 09:51 신고

    사실 SSL+인증서만으로 최신 해킹 기법을 막는 건 무리가 있긴 합니다. 저 역시 PayPal 피싱 사이트에 한 번 당할 뻔 했고요. 피싱 사이트 주제에 SSL로 접속되고 인증서도 있더군요. 완전 낚일 뻔 했죠.

    확실히 모든 디바이스에서 사용할 수 있는 웹사이트가 있다면 좋겠지만 실제로 IE 의존적인 태그나 ActiveX로 떡칠된 곳이 많아서 그러긴 힘듭니다. 그렇다고 이런 기능을 다 빼자니 수정하는 데 엄청난 공수가 들고 기능 구현도 어렵고... 딜레머죠 뭐. `~`;

    삭제 답글 댓글주소
  4. 지나가던 이
    2007.07.24 09:56 신고

    빌형제국에 굴복한 이유가 대부분의 PC 게임이 윈도우 전용이라는 사유였는데, 게임이 안 돌아간다구라 -,.-
    인터넷 뱅킹은 차치하고라도 빌형 나빠요~

    삭제 답글 댓글주소
  5. 2007.07.27 08:28 신고

    먼저 좋은글 잘 읽었습니다. 상당히 잘 정리해 주셨네요^^;
    키보드 보안관련 잠시 말씀드리면,
    현재 공인인증이나 기타 보안프로그램이 있더라도 키보드 해킹 프로그램 하나 있으면 모두 뚫리게 되어 있습니다.
    실제로 작년 외환은행 해킹 사건도 이것 하나로 고객의 공인인증서 까지 새로 발급받는 경우가 있었습니다.
    저도 금융쪽 IT에 있다 보니 이런 문제에 민감한데요.
    혹여나 고객 PC 에 키로거에 의한 해킹이 발생하면, 현재 우리 나라 언론들은, "어느 어느 회사 해킹에 무방비" 라고 큰 타이틀로 난리칠게 뻔합니다. 그 후 사정은 생각만해도 끔찍합니다. 해당 회사는 고객들로 부터 신뢰를 회복하기 힘든 상황이 될게 뻔하니까요

    제 개인적인 생각은,
    OTP 와 키로거 이거 2개는 적어도 필수입니다.
    그게 ACTIVEX 가 되었던 뭐든 상관없구요..
    (다행히 OTP 는 곧 거의 모든 금융기관에서 무료 발급 되더군요)
    사실 가장 문제가 심한건 공인인증입니다 --; 비밀번호로 고객을 인증하는 이전 방식보다 나아진 것도 없고
    실제 다 뚫립니다.
    오히려 보안카드가 더 나은데, 정통부가 공인인증 하나면 문제 없다는 식으로 무대뽀로 밀고 나갔다고 생각합니다.
    그러고도 안되니 오만 보안프로그램 다 설치하게 만들고 ㅠㅠ;;;

    아 얘기가 길어졌네요 키보드 보안프로그램이 중요하단걸 말씀드릴려다 보니. ^^

    삭제 답글 댓글주소
  6. 잘쓰셧습니다
    2009.04.03 23:24 신고

    저도 그렇게 생각합니다

    삭제 답글 댓글주소


FeedCount