관리 메뉴

미닉스의 작은 이야기들

[웹툰05] 공인인증서의 치명적 문제 1/2 본문

IT이야기 시즌2-도난당한 패스워드

[웹툰05] 공인인증서의 치명적 문제 1/2

미닉스 김인성 2012.09.18 22:58

작업에 속도가 붙기 시작했습니다. 


앞으로 무조건 2주에 한 회씩 올릴 예정입니다.


이 번 화를 그리느라고 수고해 주신 이상님 소개 페이지는 여기입니다.


(이상님께: 빨리 블로그 만드세요. 다음 화 나올 때까지 안나오면 얼굴 사진 공개함.)


길어서 반 씩 올립니다. 재미있게 읽어 주시기 바랍니다.


김인성.













나머지는 다음 화에... 클릭 하세요.


저작자 표시 비영리 변경 금지
신고
24 Comments
  • 프로필사진 jin76 2012.09.19 09:17 신고 오래 간만에 두편 한꺼번에 연제 인가요..ㅎㅎㅎ

    무식한 문과쟁이가 잘 배우고 있어요 ^^
  • 프로필사진 Favicon of http://minix.tistory.com BlogIcon 미닉스 김인성 2012.09.19 23:07 신고 감사합니다.^^
  • 프로필사진 Favicon of http://wiinemo.tistory.com BlogIcon 위네모 2012.09.19 21:51 신고 정말 보안쪽에도 문제 많네요...
    몰랐던 사실 이 글을 통해 배워 갑니다.
  • 프로필사진 Favicon of http://minix.tistory.com BlogIcon 미닉스 김인성 2012.09.19 23:08 신고 감사합니다.^^
  • 프로필사진 ㄴㅇㄹ 2012.09.27 19:47 신고 이거 퍼가도 되나요?
  • 프로필사진 BlogIcon Ares 2012.10.03 13:54 신고 USB 는 꼽는게 아니라 꽂는거에요 ㅋ
  • 프로필사진 Favicon of http://minix.tistory.com BlogIcon 미닉스 김인성 2012.10.03 16:08 신고 죄..죄송합니다. 모..몰랐습니다.^^;;
  • 프로필사진 Favicon of http://netstat.tistory.com BlogIcon p0p0pret 2012.10.04 03:48 신고 http://www.dailysecu.com/news_view.php?article_id=3017
    사이트의 인증서가 유출된경우는 이런걸 말하는건가요? ㅎㅎ
  • 프로필사진 하늘빛 2012.12.04 21:11 신고 자세히는 모르겠지만 인증서 자체가 유출된 것이 아니라 인증서로 파일을 인증하는 체계에 해커가 접근하는 사태가 벌어져서 해커가 가진 파일(악성코드) 2개에 인증서로 서명이 되었다는 것 같습니다. 그 2개 파일이 사용자들에게 배포될 경우 사용자는 그 파일이 어도비에 의해 인증된 것으로 오인하기 때문에 해당 인증서를 취소한 것입니다. 인증서가 유출된 것과 거의 마찬가지 상황이네요.
  • 프로필사진 Favicon of http://www.artilda.co.kr BlogIcon 아르틸다우산 2012.10.12 22:12 신고 아이구 머리야.. ㅠㅠ 우리나라 인터넷 사용에 이렇게 많은 문제가 있을줄이야 .. 진짜 몰랐네요 ㅠㅠ
    하나하나 정주행하며 어제부터 읽고있습니다
    정성어린 포스팅 진심으로 감사합니다
  • 프로필사진 Favicon of http://www.artilda.co.kr BlogIcon 아르틸다우산 2012.10.12 22:12 신고 아이구 머리야.. ㅠㅠ 우리나라 인터넷 사용에 이렇게 많은 문제가 있을줄이야 .. 진짜 몰랐네요 ㅠㅠ
    하나하나 정주행하며 어제부터 읽고있습니다
    정성어린 포스팅 진심으로 감사합니다
  • 프로필사진 하늘빛 2012.12.04 21:15 신고 브라우저나 운영체제 자체의 개인키 보관 방법에 대해 더 자세히 알 수 있는 글이나 웹페이지 링크를 알고 계신 분 있으시면 부탁드리겠습니다. 위 만화에서는 '사용자들도 알 수 없는 방법'으로 암호화했다고 하는데 그러면 개인키로 뭔가를 암호화해야 하거나, 공개키로 암호화된 뭔가를 복호화해야 할 때, 즉 개인키를 써야 할 때 어떻게 개인키를 메모리로 불러오나요?
  • 프로필사진 공인인증서가 더 안전합니다. 2012.12.04 21:37 신고 PKCS8, PKCS11, PKCS12를 따릅니다.
    공인인증서랑 똑같아요. -_-

    공인인증서를 훔칠 수 있다면
    브라우저에 포함된 인증서도 똑 같이 훔칠 수 있습니다.

    "사용자들도 알 수 없는 방법"
    잘 모르니 이런 표현을 쓴거죠. 암호화 기법은 절대 "잘 모르는 기법"을 안 씁니다.
    단지 웹툰 작성자가 모르는것일 뿐.

    웹툰 작성자는 뻥도 정도껏 치시길....


    그리고 제가 이후 웹툰에 남긴 질문과, 님의 뻥에 대한 답변 및 해명을 바랍니다.

    어줍잖은 지식으로 여론 호도하지 마시고요.
    네이버로 재미좀 보셨더니, 이제 공인인증서, 심지어는 "암호학"까지 건드리면서 유명세좀 타고 싶으신가본데..


    안타깝게도 공인인증서는 건드려서 재미좀 보시겠습니다만
    "암호학"은 건드려 봐야 님이 아는게 없다는게 여실히 드러날 뿐입니다.



    이번편 웹툰은 판타지 of 판타지군요.
    도저히 댓글로 지적할 엄두가 안납니다. 너무 많이 모르고, 너무 많이 틀려서.
  • 프로필사진 하늘빛 2012.12.05 03:45 신고 댓글 감사합니다. 송구합니다만 그것에 관해(브라우저 자체의 개인 키 보관 방법에 대해) 더 공부할 수 있는 웹사이트나 페이지, 기사, 또는 책이라도 추천해 주시면 더욱 감사하겠습니다. 제가 관심은 있는데 잘 몰라서요.
  • 프로필사진 허.. 2013.03.26 21:21 신고 공인인증서가 더 안전합니다.// 글쓰는 태도가 무쟈게 오만하신데 지적좀 해주시죠.. 엄두가 안난다니(어이쿠!) 자고로 능력있는 사람은 몇페이지분량의 서류를 한페이지정도로 요약할 수 있어야한다고 누가 그러더군요.

    그렇게 장황하게 써놓기만 하면 블로거님글이 더 신뢰가지 님말이 더 신뢰가 가진 않습니다. 그리고 암호학이라니 글앞부분에 나온거만 보고 댓글단 티가 역력한데 웬툽이나 제대로 읽었습니까? 암호학은 서두에 SSL에 대한 글을 쓰기위한 발판에 지나지 않았습니다.

    대체 글을 어떤 눈으로 읽으면 암호학을 건드렸다는 이야기가 나오는건지..참 님글읽는 태도가 신기하군요.
  • 프로필사진 안녕하세요~ 2013.06.24 16:48 신고 이런 웹툰이 보안의식향상에 좋아지는것은 사실이나 너무 왜곡시키는게 안타갑네요.
    공인인증기관 폐지라는 주제에 알맞게 공인인증을 까는내용이니..
    한국의 공인인증기관은 인증서를 발급해주는 기관입니다. 보호해주는 기관은 아니지요.
    발급한뒤 인증서를 보안토큰에 넣으실수도 있고, 지문보안토큰에 넣으실수도 있고, PKCS12(이동복사가 안되는 인증서 형태)로 내보실수도 있습니다. 다만 좀더 편안하게 이동 저장이 가능한 형태도 지원해주는 것인데 공인인증 체계가 문제라느니 말들이 많더군요. 현재 공인인증서도 만화에서 말하는 키 저장소에 얼마든지 저장할 수있거든요...
    단지.. 키 저장소?? 국민중 얼마나 아실까요?? 지금도 대부분의 사람들이 모르실거라 생각됩니다만, 공인인증서가 나온지 10여년가까이 된걸로 압니다. 그시절에 키저장소에 넣고 사용하는게 활발했었나요?? 제가 생각하기에 한국의 공인인증서는 한국 IT발전에 엄청난 역활을 했다고 생각합니다. 즉시 계좌이체, 전자세금계산서, 전자입찰, 전자정부 문서발급 등 수없이 많이 사용되고 삶을 윤택하게 했다고 생각합니다.
    물론 정보기술이 발전함에 따라 공인인증의 보안체계도 향상되어야 됬겠지만.. 이런식으로 체계가 잘못됬다느니.. 특히 고대교수님 말씀처럼 공인인증을 없앤다면, 각 사이트별로 인증서를 발급받고, 각자의 저장방법도 각기틀려지만 그야말로 멘붕일거같습니다.
  • 프로필사진 제비 2013.06.24 19:30 신고 무슨 말도 안돼는 만화를 그려 노셨어요... PKI 개념도 모르시는 분같은데....

    공개키는 자물쇠 역활이고 개인키가 열쇠인데... 공개키는 말그대로 공개 되는 키입니다... 열쇠가 없다면 절대 열리지않죠 1024길이의 키를 풀려면 슈퍼컴으로 10년을 돌려야 알아낼수있는길이죠... 그나마도 고도화를 통해 2048길이로 바뀌었고 이건 20년 걸린단 말이죠... 그리고 세상에 집열쇠랑 차열쇠랑 금고열쇠를 한번에 다 같이 쓰는 사람이 어딨습니까? 설령 썼다해도 그건 사용자 잘못 같아보이는데.... ?

    말그대로 공개키는 백날 해킹되어봐야 개인키가없다면 열쇠없는 자물쇠에 지나지 않습니다... 뭘 알고 좀 그리시지.....?
  • 프로필사진 너는 그냥 it 툴 노예 2014.01.07 15:07 신고 뭔개소리야 이건 여기어디에 공개키때문에 위험하다는말이있어 ㅡ;

    공개키 가지고있어도 사용못한다고 되있는데

    그리고 어르신들도 요즘인터넷쓰고 우리 부모님도 쓰시는데

    기억하기 쉽게 비슷한 또는 같은 비번을 많이쓰신다

    지혼자 it 정상에서 살고있나
  • 프로필사진 aaa 2013.06.26 12:09 신고 요는 사용자가 인식하지 못한 상태에서 자연스럽게 보안이 이루어져야 한다는거.
    초등학생들 앉혀놓고 이렇게 암호화하면 안전하고 그렇게하면 위험하다고 가르칠수도 없는노릇.
    엄청 좋은걸 만들어노면 뭐하나, 쓰지를 못하는데.
    그런의미에서 공인인증서는 별로..
  • 프로필사진 Gerald 2013.07.17 22:58 신고 안녕하세요. 이 만화 페북에 올려보고 싶은데 퍼가도 되는 건가요??
  • 프로필사진 질문입니다. 2014.09.14 14:19 신고 공인인증서라는게 공개키 + 개인정보를 인증기관의 개인키로 암호화 한 것이고,

    그중 개인키만 사용자 컴퓨터에 보관한다고 하셨는데요.

    그렇다면 흔히말하는 NPKI라는 폴더에는 공인인증서가 아닌 개인키가 저장되어 있는것 아닌가요??

    그리고 공개키와 개인정보를 합쳐 인증기관의 개인키로 암호화 하면

    브라우져의 인증기관 공개키로 암호를 풀면 개인정보와 공개키가 나오잖아요.

    이렇게 되면 대체 사용자가 가지고 있는 개인키는 무슨 의미가 있는 것이죠??

    답변해주시면 감사하겠습니다. ^^
  • 프로필사진 frontier19 2014.09.16 16:05 신고 질문입니다...님 글을 보니 제가 아는대로 답변을 드려야 겠다는 생각이 드네요..

    우선 공인인증서 = 공개키+개인정보를 인증기관의 개인키로 암호화...=> 이 부분 이해가 잘 안되신 듯 합니다.

    NPKI폴더안에 파일을 보면

    signcert.der signPri.key 파일 두개가 있을건데요..

    signcert.der 파일이 인증서이고, signPri.key 파일이 개인키를 사용자의 비밀번호로 암호화한 파일입니다.

    당장 signcert.der 파일을 더블클릭해서 열어보시면 여러 정보(인증기관, 주체, 사용자..... 그리고 공개키)들을 볼 수 있는데요..

    이..인증서 파일안에 사용자 정보와 공개키가 있습니다. 공개되어도 아무 상관없는 파일이죠..

    그리고 signpri.key 파일이 개인키인데.. 이 개인키가 그냥 저장되어 유출되면 안되니까

    흔히 알고 있는 "공인인증서 비밀번호" 라는 걸로 암호화 되어 있는 상태인 겁니다.



    그러니까 NPKI 폴더안에는 사용자정보와 공개키를 포함한 인증서 파일과..

    내 비밀번호로 암호화된 개인키 파일이 저장되어 있는 것이죠..



    그리고 실제 은행거래시에는 거래정보를 signpri.key의 개인키로 "전자서명" 한 후

    signcert.der 파일과 함께 전달해서 이 거래는 내가 한게 맞다! 라고 증명하는 셈이 되는 겁니다.



    뒤에 물어보신 공개키와 개인정보를 합쳐 인증기관의 개인키로 암호화 하고

    브라우저의 인증기관 공개키로 암호를 푼다는 것은 SSL 인증방식에서 설명한 부분이고..

    여기서 말한 공개키와 개인정보는 "내 꺼"가 아닌 "은행 또는 기타 다른 기관꺼" 입니다.



    인증서 정보와 공개키는 얼마든지 공개되어도 상관없는 부분이구요...


    도움되셨으면 합니다~
  • 프로필사진 홍홍 2014.10.09 15:47 신고 안녕하세요
    궁금한게 있는데요
    표준 보안 방식에서는 사이트가 책임지고 서버에 저장해서 사용자가 접근하지 못하게 한다고
    나와있잖아요
    이 말이 무슨 말인지 잘 모르겟어요
    외국에선 개인키를 보관해주는 사이트가 따로 있나요?
    그렇다면 대칭키를 개인키로 풀려고 할 때는 사이트에 공개키로 암호화된 대칭키를 줘야하나요?
  • 프로필사진 d 2015.03.03 14:02 신고 근데 이후에 나오는 보안카드나 OTP의 분실/도난에 대해서는
    그건 보안 문제가 아닌 분실/도난 문제라고 하셨으면서
    왜 공인인증서의 개인키를 누가 몰래 내 컴퓨터에서 복사해가거나
    공인인증서가 담긴 USB의 분실/도난을 문제점으로 지적하시는거죠?
댓글쓰기 폼