Creative Commons License

보안, 보안 프로그램만 방법이냐? IT



요즘 스마트폰 시장이 커지면서 인터넷뱅킹이나 카드결재 등에 얽힌 ActiveX가 다시 한 번 도마에 오르고 있다. PC에서도 너무 짜증나는 보안툴끼리 오탐이나 키보드 먹통, 기타 인터넷 서비스 정지 등의 문제는 아직도 빈번히 발생하고 있으며, 차라리 ARS를 통한 폰뱅킹이 더 편해 보이기까지 한다.

컴퓨터 보안, 중요하다. 돈이 걸려 있으면 더욱 더 조심해야한다. 하지만 이렇게까지 써야할 필요가 있나 싶다. 사실 통신보안(데이터 전송에 한 함)은 현존 표준 TLS/SSL인증서만으로도 충분히(당연히 지속 발전해야 한다) 지킬 수 있다고 본다.

문제는 클라이언트이다. 클라이언트 환경에 아무리 정교한 보안툴을 깔아봤자 각종 VoC나, 충돌 및 오탐까지 해결하다 보면 어쩔 수 없이 구멍이 생기기 마련이다. 더욱이 클라이언트 환경이 정확히 동일하지 않다. 같은 Windows라고 해도, XP/2000/Vista/7 등 다양하게 존재하고, 같은 Windows XP라고 해도 최종 사용자 컴퓨터엔 어떤 패치와 프로그램이 깔려 있을지는 신도 모른다. 이런 지저분하기 짝이 없는 클라이언트 환경을 지키려고 노력하는 것이 과연 적절한지 의문이다.

그렇다고 보안을 하지 말자는 이야기는 아니다. 대안을 찾자는 것이지...

클라이언트 환경에서 크래커가 패킷/화면/키보드입력을 훔쳐가더라도 중요한 이체/대출/결재 같은 중요한 행위를 할 수 없게 만들어야 하는데, 대표적인 것이 OTP가 아닐까 한다. 물론 휴대전화 SMS를 통해 제공하는 OTP(인증번호)도 있지만 이것은 좀 위험(개인이 계정관리 잘못을 통한 메신저 도용)해 보이고, 휴대전화에 설치하는 OTP도 스마트폰에선 좀 위험(어플이나 어플 데이터를 크래커가 분석할 기회가 높아지므로)해 보이지만, 은행에서 제공하는 외부와 완전히 단절된 OTP 기기(삐삐 같이 생긴 것)를 이곳저곳에서 제휴해서 쓸 수 있으면 편리성을 덜 해치고 보안도 지킬 수 있지 않을까 싶다.

덧붙여 개인도 보안에 대해 관심과 공부를 지속해야 할 것이다.


덧글: 암튼 완벽히 깨끗하고 동일한 클라이언트 환경이란 존재하지 않으니, 지금 같은 보안 패러다임 보단 다른 쪽으로 아이디어를 짜보는게 좋을 것 같다. 나중에는 OTP기기도 크기는 신용카드 크기와 너비, 태양전지를 전원으로 해서, 들고 다니기 편하게 했으면 좋겠다.
덧글2: 다음 보안 패러다임이 나올 때까지 기존 패러다임 유지는 찬성한다. 모바일을 위해 페이지를 따로 만들면 되지 않냐 어쩌냐 같은 초딩 수준 보안 이야기는 공부 좀 더 하고 오라고 말해주고 싶다. 서버는 클라이언트를 믿을 수 없다.
덧글3: Java 같은 VM이 얼추 동일한 환경을 제공하지만, VM을 돌리는 Host OS(Windows뿐만 아니다!)가 충분히 더러울 수 있다.
덧글4: 나중에 국가사용자보안시험 같은 걸 만들어서, 통과해야 인터넷 뱅킹 등을 사용하게 만들어야 할지도... ㅋㅋㅋ


덧글

  • ㅉㅉ 2010/02/28 17:19 # 삭제

    OTP만으로는요 세션을 변조할 수 있거든요? 야매 쇼핑몰 같으면 1000원 쓴걸 10000원으로 만들 수 있어요
    그리고 인증서(개인 인증서를 말하는 거겠죠?)는 써야 한다고 하면서 ActiveX는 싫다니 무슨 말 하는지 모르겠네요
  • 샘이 2010/02/28 17:25 #

    나도 당신이 무슨 말 하고 있는지 모르겠네요. 푸하하하!! 공부 좀 더하고 오세요. 어차피 일회성으로 찍 깔기고 다시 돌아오지 않을꺼 같지만...
  • ㅉㅉ 2010/02/28 17:55 # 삭제

    무슨 말인지 못 알아듣다니 공부는 누가 해야 할지 모르겠군요? ㅋㅋ
    OTP만으로는 변조 방지도 못하고 부인 방지도 못하는건 아시죠? 모르면 불쌍한건데.
    그리고요 개인 인증서는 현재로는 웹 브라우저별 플러그인 없이 쓸 방법이 없거든요
    그런데 ActiveX는 싫다면서 인증서는 써야 한다면서요 대체 무슨 소릴 하는 거에요?
  • 샘이 2010/02/28 17:59 #

    공부는 당신이 해야할 것 같군요.

    OTP만으로 통신보안은 당연히 안 되죠. 그래서 공인인증서를 사용하는 TLS/SSL로 통신보안을 하자는 소리구요. 이거 모르면 불쌍한건데.

    그리고 개인 인증서는 현재 웹 브라우저랑은 별 상관 없어요. 은행용도로 발급한게 특별한 인증서가 아니라 X.509 표준을 지키고 있지요. 다만 해당 인증서를 인증해주는 기관(Issuer)이 Microsoft Windows에 기본 탑재한 신뢰하는 인증기관으로 되어 있지 않아서 그냥 쓰려면 웹 브라우저에서 띵띵거리지요.

    "ActiveX == 인증서"라는 무식한 소리는 공부 좀 더 하고 오셔서 말씀하세요.
  • ㅉㅉ 2010/02/28 18:25 # 삭제

    ㅉㅉ 내가 이럴 줄 알았네요 그래서 ㅉㅉ 그런건데
    개인 인증서를 웹 브라우저에서 자동으로 읽어서 결제창 띄우고 보여주나요? 에이구
    ActiveX가 대체 왜 쓰이는지도 모르고 그냥 SEED 지원만 추가되면 문제 끝인 줄 아는 분들이 많아요 참 안됐어요
  • 샘이 2010/02/28 18:58 #

    네, 열심히 안 되었다고 생각하세요.
    웹 브라우저에서 자동으로 읽어주지 않습니다. 당연히 웹브라우저에 등록시켜야 하는 등, ActiveX에 비해 비참할(?) 정도로 UX/UI는 떨어지죠. 그러나 사용할 수 없는게 아니죠.

    (SEED관련 댓글은 언제 보셨데... 써놓고 아니다 싶어서 지웠는데...)
  • 샘이 2010/02/28 19:01 #

    추가로 제가 ActiveX에 대해 말하고 있는 것은 인증서 부분이 아니고, 키보드 보안 등을 포함한 각종 보안툴에 대한 것이고, 이것을 개선할 방안에 대해 말하고 있는 것이죠.
  • 샘이 2010/02/28 22:50 #

    오픈웹 행보가 딱히 좋아보이진 않지만, 이미 OTP에 대해 언급하고 있고, 이미 카드형 OTP도 있다능... orz OTL

    - http://openweb.or.kr/?p=2614
    - http://openweb.or.kr/foreign_banks.pdf
  • ㅉㅉ 2010/03/01 00:27 # 삭제

    SSL도 도청은 막을 수 있지만 변조나 부인 방지가 안되는건 마찬가지에요. 그건 아시져? 야매 쇼핑몰에서 조작하면 분쟁 생길 수 있져.
    OTP랑 개인인증서를 같은 잣대에 놓고 비교하는 순간 오픈웹에 낚인 고기가 될 뿐. 퍼덕퍼덕
  • 샘이 2010/03/01 00:45 #

    도대체 무슨 말씀을 하는지 모르겠군요. <ActiveX로 깔리는 각종 보안툴>이 <야매 쇼핑몰에서 조작>하고 도대체 무슨 관계가 있는지 모르겠군요. 또한 오픈웹 낚시질하고 또 무슨 상관인가요?

    ActiveX로 깔리는 각종 보안툴이 야매 쇼핑몰 조작을 막아주나요? 그리고 제가 OTP와 개인인증서를 같은 잣대에 놓고 비교하고 있었나요?

    아까부터 그다지 본문 내용과 상관 없는 내용이 계속 되어 그냥 댓글 잠그렵니다.
※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.

Google Adsense

Google Adsense

Google Analytics



C로그팬박스