관리 메뉴

미닉스의 작은 이야기들

[웹툰08] 한국식 보안 상황에서 살아남는 법 2/2 본문

IT이야기 시즌2-도난당한 패스워드

[웹툰08] 한국식 보안 상황에서 살아남는 법 2/2

미닉스 2012.10.07 02:17



이 페이지에 있던 보안 웹툰은 사정에 의해서 가리게 되었습니다.


그 이유가 궁금하신 분은 <여기>에서 확인하실 수 있습니다.


김인성.



저작자 표시 비영리 변경 금지
신고
91 Comments
  • 이전 댓글 더보기
  • 프로필사진 흐뢰니르 2012.10.19 23:21 신고 공인 인증서가 싫은 이유는 딱 하나입니다.

    이렇게 뻘짓해서 인증서 만들게 시켜놨다면 보안성이 더 뛰어나야 하는게 맞지만,
    실제로는 별반 차이가 없다는 것이죠.

    그리고 공인인증서 발급 절차가 지니는 불편함 때문에 발생하는 여러가지 부대비용들 역시 문제일 겁니다.
    - 그 부대비용이 사실상 피해, 내지는 불이익에 해당한다고 생각되네요.
    공인인증서 시스템을 다른 나라들과는 다르게 구축함으로 발생하는 초기의 시스템 구축비용 + 구축이후의 유지비용, 거기에다 항시 발급/재발급해야하고, 비번 까먹어서 잘못 쓰면 다시 바꾸러 은행을 찾아가야하는 등의 번거로운 절차 & 불편 감수 속에서 매년 전국민으로부터 발생하는 간접비용들도 상당할 것으로 여겨집니다.
    사업자 범용 공인인증서는 유료이기도 합니다...
    (안타깝게도 이런식의 비용 규모에 대한 자세한 조사&보도자료는 없는듯 하네요;;)

    일단 이렇게 불편하니까, 또 이렇게 불편하게 만들어 놓고도 개인정보 유출로 인해 우리나라에서 벌어지는 피해가 기타 미국 및 유럽 국가들의 피해규모(인구 및 경제규모 대비 피해규모의 비율)과 별반 차이가 없다면..
    이건 무슨 뻘짓입니까..

    딱히 이런 절차(공인인증서 시스템)을 만든 의의가 없는게 아닌가.. 하는 회의가 드는 것은 분명한 듯 합니다.

    PS - 그리고 그 8자리 번호 외우는거.. 솔직히 정말 싫습니다.. 짜증나고요..
    이렇게 털릴거면, 애초에 왜 인증서를 만들게해서 비번&절차 땜에 머리 쥐나게 한건지.. (저희 어머니도 매번 인터넷 뱅킹하실때마다 모니터에다 욕하십니다..아버지는 아예 할 줄 모르시구요.. 뭐하는 뻘짓인지.. 5천만이 놀아난 희대의 사기극이라는 생각밖에는..)
  • 프로필사진 엔지니어 2012.10.22 17:20 신고 다른 보안적 의미를 들기 보다...
    불편하다면 그것으로 의미는 있다는 반증은 됩니다.
    사용자가 불편한 만큼 해커는 더 고민하고 정교하게 만들어야 하니까요...

    어쩌면 공인인증서 덕분에 해킹사고가 그나마 이정도만 발생할 수 있는 것으로 해석할 수도 있습니다.
    해외의 어마어마한 사고 통계를 접할 수 있는데
    이는 자동화된 악성코드가(일명 제우스 봇) OTP의 취약점을 정교하게 공격하고 있기 때문입니다.
    현재 OTP의 한계 -> 1분간은 변경되지 않음

    OTP가 정말 오픈웹이 말하는 대로 보안성을 보장하려면
    1분단위도 아닌 완벽하게 원타임 으로만 동작하도록 구현이 되어야 하는데
    아직까지는 그렇지 못하기에 허무하게 뚤리고 있는 상황입니다.

    반면 우리나라의 경우 바이러스 같은 자동화된 시스템에 의해
    인터넷 뱅킹 시스템이 공격당했다는 보고는 없습니다.

    아무튼 공인인증서 보안 논란은 둘째치고..
    좀비 PC 방지법이라고 들어본 적이 있을텐데...
    바이러스 백신 설치를 의무화 한다는 내용이 포함되어 있다는데...

    세계에서 유일하게 좀비 PC 방지법이라는 법율을 통해
    바이러스 백신을 강제하는 나라가 될 수도 있을 것 같네요...

    이런건 정말 아닌것 같다는 생각도 드네요.
    반드시 / 의무적으로 XXX 하게 해야한다...
    이런 방식은 면죄부만 줄 수도 있다는 생각이 들고
    불필요한 통제와 제제만 강화시킨다는 생각이 듭니다.
  • 프로필사진 지나가는 이 2012.10.22 19:11 신고 공인인증서 말고 다른 갈라파고스 정책을 덕지덕지 발라도 한국 인터넷 뱅킹이 지금의 사고율을 유지했을 것입니다. 공인인증이 위대한 게 아니라, 그냥 갈라파고스 + 조직적 범죄집단이 노릴 만한 시장이 되지 않음 두 가지의 조합일 뿐입니다. 갈라파고스인 까닭에 보편적인 털이법이 먹히지 않는데다가, 공격자 입장에서는 보편적인 털이법으로 공격할 만한 많은 먹잇감을 두고 굳이 갈라파고스를 공격하지 않는 까닭이죠.

    아직 한국은 범죄조직의 치밀한 해킹사고를 당해 본 적은 없어요. 그래서 계속 갈라파고스로 가는 게 답인가요? 문제는 동종교배의 취약성이 특정 생물이 외세에 의해 멸절되는 것과 마찬가지 사건이 일어날 위험성이 있다는 거죠. 한국이 보안성이 좋아서 안 들어온 건 아니란 말이거든요.
  • 프로필사진 리눅스사용자 2012.10.27 14:32 신고 국내에 엄청난 해킹 사고 통계는 왜 애써 무시하나요?
    제가 신문기사 링크 드렸잖아요.
    은행권에서만 최소 수백억원이고 타은행 합치면 대략 1000억원은 될 것 같은데
    카드사 합하면 1000억 확 넘고, 보이스피싱 합치면 2천억 넘어버립니다.
    외국보다 사고가 결코 적다고 말할 수 없는데... 외국은 규모라도 크지..

    그리고 자동화된 악성코드(제우스봇)이 공인인증서의 취약점을 정교하고 공격하고 있기 때문에...
    ---
    국내 금융기관 겨냥한 `제우스 봇넷` 발견
    2011.05.26
    http://www.etnews.com/news/computing/public/2493557_2564.html

     이번에 발견된 제우스 봇넷 악성 파일은 국내 인터넷뱅킹 사용자들을 정조준해 한글로 제작됐을 뿐만 아니라 국민은행을 비롯한 27개 국내 대부분의 주요 인터넷뱅킹 사이트를 겨냥하고 있다는 점에서 충격을 준다.
    ...
     제우스 봇넷 악성 파일은 인터넷뱅킹 사용자의 △공인인증서(NPKI) 파일과 비밀번호 △입금계좌 비밀번호 △보안카드 비밀번호 △일회성 비밀번호(OTP) 등을 탈취한다. 이를 통해서 사용자의 개인 예금을 불법 인출할 수 있다. 특히 이번에 발견된 악성 파일은 인터넷뱅킹 이용에 사용하는 인증서 로그인 입력창을 화면 그대로 복제, 허위로 출력하는 등 고도로 지능화됐다.
    ---
    공인인증서가 무용지물이 되었습니다.
    현재 공인인증서의 한계 --> 1년간은 변경되지 않음.

    공인인증서가 정말 엔지니어님이 말하는대로 보안성을 보장하려면
    1년 단위도 아닌 완벽하게 원타임으로만 동작하도록 구현이 되어야 하는데...
    그게 불가능하기 때문에 공인인증서만으로는 허무하게 뚫리고 있는 상황입니다.

    그나마 지켜주는 것이 20초~1분에 한번 바뀌는 OTP 입니다.
    이 OTP를 뚫으려면 해커가 20초~1분내에 실시간으로 해킹해야 하거든요.
    해킹하기가 굉장히 어렵다는거죠.

    엔지니어님의 주장에 어느 정도 동감을 했었는데...
    이건 정말 아니다 싶네요.
    자기는 아무 근거없이 허위사실 유포까지 하면서 주장하며 오픈웹보고 근거 자료 내놓으래요.ㅎㅎ
    근거 자료 주면 며칠 동안 아무말 없다가 괜히 엉뚱한 부분 꼬투리 잡고 늘어지고...ㅎㅎ
    그게 계속 반복되고 있네요.
    손바닥으로 하늘을 가릴 수 없습니다. 그래서 계속 논파당하시고 있는 거에요.
    궤변도 적당히 펼치시길..
  • 프로필사진 iagm 2012.10.22 20:47 신고 딱 한가지만 알아두셨으면 합니다.

    '보안'은 '완벽'이 없습니다. (막는것이건 뚫는것이건 불가능은 없기 때문이죠)
    '상대적으로 안전하다'만 존재하는거랍니다.
    따라서, 이 웹툰에서 주장하는 국제 표준방식이 '상대적으로 안전하다'라는거지 '완벽하다'라는 이야기가 아닙니다. 그리고 이 웹툰에서는 '상대적으로 가장 안전한 방식'을 이용하자고 하는겁니다.
    하나 여쭈어보지요. SSL의 키값등을 가져가려면 보통 Adobe같은 회사의 Sever에 접근하여 탈취해야합니다. 그러나 사용자의 Personal Computer에 .KEY와 같은 파일들을 저장한다면 굳이 Adobe같은 회사의 Sever에 접근할 필요없이 그냥 아무 사용자던지 Personal Computer만 해킹하면 인증서를 그냥 획득할 수 있습니다. 위에서 인감도장으로 비교하셨죠. 즉, '상대적으로 위험한' 방법이라는겁니다.
    더 안전한 방법이 있는데 뭐하러 위험한 방법을 고수합니까? (살짝 논외지만)사용자가 더 편리하게 이용할 수 있고 유지보수도 편한 '웹표준'을 지키지 않습니까? 저는 기득권들(구세대 기술을 가지고 있는 사람)이 자기의 자리와 돈을 지키려고 새로운 변화를 받아들이지 않고 (소위)발악하는것 같습니다.

    사람이 뭐하러 약속을할까요? 사람은 편한방식을 추구합니까, 불편한 방식을 추구합니까?

    실제로 일어나야만 인정하고 대비해야합니까? 소 잃고 외양간 고치는거랑 다를바 있습니까? 모든 가능성을 인정하고 대비하는게 옳지 않습니까?

    레인보우 테이블, 믿기지 않으십니까? 저는 웹사이트를 운영하면서 암호화 관련 자료 찾다가 이와 비슷한 기능을 하는 사이트를 무수히 많이 보았습니다. (Ex. http://www.md5encryption.com/ , http://www.md5decrypter.com/ , http://www.md5decrypt.com/ 등) 예제의 사이트는 사용자가 방문을 하면 MD5로 암호화를 하여 DB에 저장하고 앞으로 그에대한 암호화코드를 대면 DB에 저장된것을 찾아 암호화하기전의 문구를 알려줍니다. 이게 단방향이다 하더라도 헛점이기도 하면서 실제로 그 헛점을 이용한 사이트가 존재하는 사례랍니다.

    실제로 보안관련된 분야에서 활동을 한 경험으로도 웹툰의 내용이 가능성이 매우 높은 이야기입니다. 완벽은 아니더라도 더 나은 방식이 있음에도 불구하고 기존것을 고수할 필요는 없지 않습니까?
  • 프로필사진 엔지니어 2012.10.23 09:22 신고 그렇죠.. 어떤 기술을 사용하라고 정부가 법율로 강요하는것...
    이건 좀 문제가 있다고 생각하고, 오픈웹의 주장에 그나마 공감을 하는 부분입니다.

    처음 오픈웹은 이런 논리였는데요..
    법학자의 경험으로 충분히 문제 제기를 할 수 있는 부분이라고 생각했고,
    저역시 많은 부분 공감을 했던 부분입니다.

    왜 지금은 공인인증서를 폐지하고 OTP 를 사용하라고 하나요?
    보안 표준이다, 외국은 안전하고, 한국은 취약하다등의 억지를 쓰면서요..

    OTP만 사용했을때 제우스 봇같은 악성코드에 허무하게 뚤리는 지금 상황에서..
    해커는 악성코드만 배포하면 앉아서 기다리기만 하면 되는데.
    왜 일반 사용자를 더 위험에 빠뜨리려고 하나요?
  • 프로필사진 detective1 2012.10.26 02:27 신고 봇에 감염되었으면 이미 좀비가 된 거 아닙니까? 이미 상황 끝났는데 무슨 안전을 따집니까? 남이 뻔히 지켜보는 상황에서 비밀번호를 쳐넣는 것과 마찬기지인데 무슨 OTP가 뚫리느니 마느니 하는 소리하고 있나요? 한국형 공인인증서는 좀비 컴퓨터에서도 안전한 청정거래시스템인 모양입니다. 도데체 이런 좋은 방식을 왜 세계는 알아주지 않는지 의문이에요.

    한국형 공인인증서는 외국의 인증서와 동일함에도 불구하고 운영방식 즉 처리 프로세싱을 표준적인 방법에 맞추지 않았기 때문에 생명력이 없습니다. 그나마 이 정도로 해 먹을을 수 있었던 것은 한국이 MS 윈도우즈 XP에 치우친 환경을 구축했기 때문에 가능했던 일입니다.

    이제 변화가 다가왔습니다. 마이크로소프트도 이제는 자기네 미래가 클라우드라고 내놓고 밝히고 있습니다. 스마트폰, 데스크탑, 서버 등 모든 기기에서 동일한 플랫폼 전략을 구사하기로 했습니다. 여기에 ActiveX는 없습니다. 끝난 걸 가지고 더 이상 안 떠들었으면 좋겠습니다.

    제대로 된 보안회사라면 베리사인 같은 회사의 인증서로 서명된 ActiveX를 배포한다고 떠들던 사람도 있던 것 같던데 이제는 베리사인 뚫렸다고 SSL을 까고 있네요. 인증서 발급 회사가 뚫리면 그 인증서를 쓰는 모든 게 영향을 받게 되어있는데도 베리사인 서명된 ActiveX는 안 보이고, SSL만 보이는지. 공인키 시스템이 무너지면 현재 인터넷 보안을 구성하는 전부가 무너지는 건데 도데체 개념들이 없어요. 자체발광 아니 자체서명 엔지니어님들은 소셜엔지니어링만 합니까?
  • 프로필사진 리눅스사용자 2012.10.27 05:43 신고 공인인증서만 쓰면 뻥뻥 뚫리는데...
    그래서 OTP, 보안카드를 병행하잖아요.
    OTP 안 쓰면 공인인증서가 이렇게 허무하게 뚫려요

    보험사 ‘공인인증서 보안’ 취약…해킹에 무방비
    http://news.kbs.co.kr/economic/2012/10/12/2550684.html

    아휴... 피곤하다..
  • 프로필사진 엔지니어 2012.10.26 18:55 신고 오픈웹 지지자 분들과 온라인에서 토론하면서 가장 황당한 부분이...

    이 웹툰같이 공인인증체계 자체를 폐지하자는 내용에 대해 문제점을 지적하면,
    (외국 방식대로 하자고 하는데 외국은 더 취약한 현실...)
    지적한 내용과는 전혀 상관없는 난데없는 ActiveX 문제를 들먹이면서 흥분하네요..

    그러면 주장의 취지가 공인인증서를 ActiveX 가 아닌 순수웹 방식으로 사용하자는 것이냐
    아니면 공인인증서를 강제하는 제도를 바꾸자는 것이냐 라고 반문하면

    역시 이에 대해 대답은 안하고
    취약하고 문제가 많은 공인인증서를 계속 사용하자는 것이냐며 엉뚱한 말만 하시네요...

    ActiveX ?
    이미 데스크탑에서 모바일로, 웹에서 앱으로 넘어가고 있는 큰 흐름에서
    오픈웹에서 없애라고 하지 않아도, 몇년후에는 자동으로 잊혀질 이슈입니다.

    ActiveX 타령만 하지 말고 다양한 보안 / 인증 기술이 사용되는 인터넷을 위해.
    좀더 좋은 방식을 연구하고 고민했으면 좋겠네요..

    그리고 정말 기술적 보안에 대해서 논하고 싶으면..
    김교수님 말만 그대로 리바이벌 하지 마시고,, 공부를 하세요..
    아니면 웹서핑을 통해 자료수집을 해 보시던가..

    김교수님이 말하는 보안 표준이란것이 실제 있는것인지..
    그 표준대로 한다는 해외는 정말 상대적으로 안전한건지
    김교수님이 주장하는 공인인증서 취약점 논리에 비현실 적인 부분은 없는지

    정말 제대로 알지도 못하면서,,
    보안 엔지니어들에게 욕만한다고 밖에는 볼 수 없습니다.
  • 프로필사진 detective1 2012.10.27 03:01 신고 엔진이 잘 안돌아가서 불스원샷이라도 한잔 하셔야 할 것 같습니다.
    내가 본 오픈웹의 입장은 보안에 뭐뭐를 하라고 정부가 강요하지 말고 민간 자율에 맡기라는 것입니다. 이것은 스위스 바젤에 있다는 국제은행연합의 권고안(?)과 같은 것입니다.

    정부가 간섭하지 말고, 또 법에도 마구 간섭하라고는 안되어 있는데 임의로 금감원 같은 감독기관이 자의적으로 이래라 저래라 하는 걸 멈춰라가 대답입니다.

    이미 오픈웹은 댁 같은 질문에 몇 차례나 답을 했습니다.

    이렇게 대답하면 댁 같은 양반들이 나타나서 한국형 공인인증서가 최고라고 설레발을 치고, 또 공인인증서를 쓸 수밖에 없으면 다른 시스템에서도 돌아가게 구현하라고 하면, ActiveX가 좋다고 난리고.
    사람바꿔가면서 처음에 했던 질문 또 하고, 똑같은 짓하고. 댁들이 하는 짓거리는 사람을 지치게 하고, 그냥 시간 끄는 것 뿐이지. 뭔 고민과 연구가 필요하겠소. 가만히 있으면 정부가 알아서 팔아주는데.

    10 몇 년을 같은 방식으로 일관해오다가 이의를 제기하니까 더 연구하고 고민하라는 훈계까지. 정말 감사합니다.

    막말로 PKI, 공인인증서, SSL 이런 걸 한국이 개발했습니까? 전부 미국에서 갖고 온 거예요. 갖고 왔으면 제대로나 쓸 것이지 확 꽈배기처럼 꽈 놔서 다른 시스템에서 돌아가지도 못하게 만들어 놓고 훈장질이십니까?

    댁갈은 사람들 때문에 우리나라는 IT 분야를 이끌어 가지 못해요. 돈이 왔다 갔다 해야 물건이 팔리는데 결제시스템을 꽁꽁 묶어 놓고 있으니까 꽃이 피지도 못하고 죽어요. 한국 포탈들이 외국 포탈에 뒤진 것이나, 스마트폰 기술 개발해 놓고도 애플에 선수를 빼앗긴 것, 새로운 운영체제의 개발, 2000년대 초 리눅스 붐, 클라우드를 이용한 크롬같은 새로운 운영체제. 다 돈이 안 도니까 싸움도 못 해보고 주저앉는 거 아녜요.

    애플, MS, 구글은 미국 시장끼고 임베디드에서 클라우드, 수퍼컴퓨터까지 하나의 플랫폼으로 묶으려고 하는데, 한국은 기반시장이 돈이 못 돌게 되어있느니까 시작도 못합니다. 거기에 가장 큰 책임을 느껴야 할 보안 따까리들이 엔지니어 운운하며 다른 사람더러 공부하라 연구하라 훈장질하시면 '네'하고 종아리 걷을 것 같나요.
  • 프로필사진 리눅스사용자 2012.10.27 06:10 신고 국내 금융기관 겨냥한 `제우스 봇넷` 발견
    2011.05.26 20:30
     이번에 발견된 제우스 봇넷 악성 파일은 국내 인터넷뱅킹 사용자들을 정조준해 한글로 제작됐을 뿐만 아니라 국민은행을 비롯한 27개 국내 대부분의 주요 인터넷뱅킹 사이트를 겨냥하고 있다는 점에서 충격을 준다.
    ...
     제우스 봇넷 악성 파일은 인터넷뱅킹 사용자의 △공인인증서(NPKI) 파일과 비밀번호 △입금계좌 비밀번호 △보안카드 비밀번호 △일회성 비밀번호(OTP) 등을 탈취한다. 이를 통해서 사용자의 개인 예금을 불법 인출할 수 있다. 특히 이번에 발견된 악성 파일은 인터넷뱅킹 이용에 사용하는 인증서 로그인 입력창을 화면 그대로 복제, 허위로 출력하는 등 고도로 지능화됐다.

    ---------
    계속 저한테 논파당하시면서... 지겹지도 않으세요?
    엔지니어님, 손바닥으로 하늘을 가릴 수 없습니다.
    적당히 좀 하시죠.

    공인인증서가 그렇게 안전하면 공인인증서만 쓸 것이지...
    공인인증서만 있으면 뚫리니까...
    보안카드도 뚫리니까...
    은행들이 너도나도 OTP를 도입하여 실제 사용하고 있네요.

    보안카드보다 OTP로 거래할 수 있는 금액이 더 큰 거 아시죠?

    현재 공인인증서만으로 상거래할 수 없으나
    OTP만으로 소액 거래 가능한 것도 알고 계신지요?
  • 프로필사진 리눅스사용자 2012.10.27 06:12 신고 아... 피곤하다보니 실수했네요.. 쇼핑몰에서 공인인증서만으로도 결제가 되는군요.
  • 프로필사진 리눅스사용자 2012.10.27 06:15 신고 엔지니어님이 그렇게 안전하다고 주장하는 공인인증서가... 보안카드나 OTP 가 보조해주지 않으면 "허무하게" 뚫려요.

    보험사 ‘공인인증서 보안’ 취약…해킹에 무방비
    http://news.kbs.co.kr/economic/2012/10/12/2550684.html

    그러니까.. 결국엔 보안카드,OTP가 지켜준다는 의미에요.
  • 프로필사진 김상민 2012.10.26 21:40 신고 진짜 문제는 공인인증서라는 함정으로 인하여 일반인들은 공인인증서만 믿고 보안의식에서 멀어져만 간다는거지요 ....

    그러므로 이것저것 불편한 액티브X만 믿고 다른 보안대책은 생각치도 않지요 일반인들은요....

    그나마 컴퓨터에 딸랑 알약하나 설치하고 땡일걸요???

    차라리 그런 조잡한것들을 다 배제시키고 일반인들에게 좋은 보안방법을 제시해주는게 좋겠네요....
  • 프로필사진 행인1 2012.10.27 17:17 신고 지금까지 비밀번호 바꾸라는 말 나올때마다 이번엔 뭘로 바꾸나 고민했는데, 이거 한방으로 해결이네요.

    매우 감사드립니다 ㅎㅎ 앞으로도 좋은 웹툰 그려주세요!
  • 프로필사진 마게 2012.10.27 21:32 신고 음? 쭈욱 읽다보니까... 이상한게 있네요.

    엔지니어님이 OTP의 한계라고 설명하면서 예로든 제우스 봇이라는 악성코드가... 밑의 리눅스사용자님의 기사에는 국내 금융기관 겨냥한 것으로 나옵니다.

    "어쩌면 공인인증서 덕분에 해킹사고가 그나마 이정도만 발생할 수 있는 것으로 해석할 수도 있습니다.
    해외의 어마어마한 사고 통계를 접할 수 있는데
    이는 자동화된 악성코드가(일명 제우스 봇) OTP의 취약점을 정교하게 공격하고 있기 때문입니다.
    현재 OTP의 한계 -> 1분간은 변경되지 않음 " -엔지니어님 댓글-

    " 이번에 발견된 제우스 봇넷 악성 파일은 국내 인터넷뱅킹 사용자들을 정조준해 한글로 제작됐을 뿐만 아니라 국민은행을 비롯한 27개 국내 대부분의 주요 인터넷뱅킹 사이트를 겨냥하고 있다는 점에서 충격을 준다.
    ...
     제우스 봇넷 악성 파일은 인터넷뱅킹 사용자의 △공인인증서(NPKI) 파일과 비밀번호 △입금계좌 비밀번호 △보안카드 비밀번호 △일회성 비밀번호(OTP) 등을 탈취한다. " - 리눅스사용자님 댓글-

    어찌된 걸까요...
  • 프로필사진 엔지니어 2012.10.30 16:24 신고 국제표준보안방식??
    그냥 웃음만 나오네요... 허허허

    '국제표준보안' 이란 용어는 오픈웹 김교수님이
    외국식처럼 해야 한다고 하기에는 안좋으니 '표준' 이라고 지어낸
    세상 어디에도 없는 오직 여기 오픈웹에만 존재하는 말입니다.

    특히 플러그인을 쓰고 안쓰고에 따라 표준이다 아니다의 의미는
    김교수님만의 억지인데,,
    보안을 하셨다는 분이 그대로 그말을 믿다니.. 어이없네요.

    외국의 어느 보안사이트 에서도 인터넷 보안을 논할 때
    STANDARD SECURITY 라는 표현을 본적도 없고 사용하지도 않습니다.

    다만 일반적인 보안 가이드에서는 다양한 멀티 인증을 사용하라고는 있는데,,
    그런 의미를 국제 표준이라고 하면,,
    공인인증서 + 보안카드 + 비밀번호 방식은 표준이겠네요.

    그리고 도대체 어떤 안전한 방안을 사용하지고 주장하는 건가요??
    해커가 직접 공들이지 않아도, 자동화된 악성코드 만으로도 지금도 뻥뻥 뚤리고 있는
    OTP를 사용해야 한다는 건가요??
  • 프로필사진 마게 2012.10.23 00:11 신고 엔지니어님의 댓글을 읽고 드는 생각인데, 일반적인 보안 가이드가 다양한 멀티 인증을 사용하는 거라고 했는데... 그런 의미에서 보자면 공인인증서를 '무조건' 사용하게 되어있는 지금 상황이 더 문제인 것 아닌가요? (법적으로야 30만원 이하는 공인인증서를 사용 '안해도' 된다 고 되어 있지만 그걸 판단하는게 정부쪽 기관이니 뭐... 전에 다른 글에서도 실질적으로 공인인증서를 사용 안하는게 힘들다고 했으니까요) 온 국민의 이름과 주민번호가 공공재가 되어버린 상황에서 공인인증서'만' 뚫리면 정부기관 사이트든, 은행이든 (뭐 여긴 보안카드도 사용하니 그나마 낫겠네요) 공인인증서로 개인 인증하는 모든 사이트가 뚫리는 거니까요.

    제 기억에는 은행에서 계좌 조회할 때 공인인증서로 로그인하는데, 그 창에서 발급자 이름이 보였던 거로 기억합니다. 이미 제 이름에 해당하는 주민번호를 DB로 가지고 있을 텐데... 그럼 뭐 누구의 공인인증서인지도 쉽게 찾을 수 있겠네요.

    차라리 공인 인증서를 무조건 쓰게 하지 말고, 안쓰는 거 심사하지도 말고, 보안 방법을 각 기업마다 자율로 맡기는게 더 나은게 아닌가 하는 생각도 듭니다. 제가 너무 순진하게 생각하는 건가요?
  • 프로필사진 리눅스사용자 2012.10.27 05:42 신고 공인인증서만 쓰면 뻥뻥 뚫리는데... 그래서 OTP, 보안카드를 병행하잖아요. OTP 안 쓰면 공인인증서가 이렇게 허무하게 뚫려요

    보험사 ‘공인인증서 보안’ 취약…해킹에 무방비
    http://news.kbs.co.kr/economic/2012/10/12/2550684.html

    아휴... 피곤하다..
  • 프로필사진 엔지니어 2012.10.30 16:25 신고 오픈웹의 주장은 보안을 자율에 맞기라는 것입니까?
    그 취지로 공인인증서를 폐지하라는 것인지요?
    두 주장은 분명 다른 주장인데, 어찌 이것을 같은 취지라고 하나요..
    두손바닥으로 하늘을 가리는 꼴입니다.

    제발 공부좀 더 하라고 부탁 하고 싶은것은
    국내에서 제우스 봇등 자동화된 악성코드에 의해 실제 피해가 발생하여
    개인의 계좌가 해킹당해 피해가 발생한 사례는 단 1건도 없습니다.

    그 이유는 공인인증서를 복제하고 비밀번호를 크랙하는 과정에서
    100% 자동화 하기 어렵기 때문에 봇에 의한 공격이 쉽지 않기 때문입니다.

    반면 해외의 경우 수많은 피해 사례가 보고되고 있습니다.
    이것이 가능한 것은 인증서 처럼 개인이 소유하고 있는 파일을 복제하는 것이 아닌
    단지 중간에서 전송되는 인자값만을 하이재킹 하여 해커에게 전달하면 됩니다.
    즉 해커는 않아서 어느 은행, 아이디, 비번, otp 비번 등 모든 정보를
    한번에 봇으로 부터 수신하는 것이 가능한 것이죠..

    즉 완전 자동화냐, 해커의 노력이 개입되어야 하는 차이는 엄청난 차이의 결과를 가져옵니다.
    피해 규모에서 비교가 안되죠...
    요즘은 man in the browser attack 이라는 표현도 쓰네요..

    http://www.darkreading.com/authentication/167901072/security/attacks-breaches/240002267/zeus-spyeye-automatic-transfer-module-masks-online-banking-theft.html

    http://www.theregister.co.uk/2010/08/11/zeus_cyberscam_analysis/

    적어도 이 사실 하나만으로.. 한국 보안 시스템을 맹목적으로 비난하기 이전에.
    전반적인 국내 인터넷 뱅킹 보안 환경이 해외 보안 보다 안전하다고 말할 수 있는 객관적인 근거입니다.

    수십 수백건의 제우스 봇에 의한 실제 피해사례가 인터넷에는 검색되지만
    한국의 피해 사례는 단 한건도 없습니다.
  • 프로필사진 리눅스사용자 2012.10.30 21:32 신고 국내 인터넷 뱅킹도 자동화 공격이 가능하다고 하네요.

    아래는 참고 논문

    국내 인터넷뱅킹 계좌이체에 대한 MITB 취약점 분석
    www.kisa.or.kr/jsp/common/libraryDown.jsp?folder=9011743
    인용;
    문제는, 이렇게 사용자의 눈을 속이고 사용자의 의심없이 공격자가 원하는 내용으로 거래를 완료시키는 것이 인터넷뱅킹 계좌이체에서도 가능하다는 것과 그 공격이 자동화될 수 있다는 것이다. 공격자가 인터넷뱅킹 계좌이체에 대해 문서변조 공격을 자동화하기 위해서는 계좌이체가 이루어지는 문서를 변조할 수 있어야 하고 공격자가 의도하는 거래정보를 문서에 강제로 입력할 수 있어야 한다. III장에서는 이 두 과정에 대해 소개하도록 한다.
    ------

    그외에도 위 논문에는
    공인인증서는 고정된 암호
    OTP는 고정된 암호보다 안전하다.
    반드시 "예" 누르라는 환경에서 악성 프로그램이 어렵지 않게 배포될 수 있다는 사실을 예측할 수 있다고 하네요. ㅎㅎㅎ
  • 프로필사진 엔지니어 2012.10.30 16:30 신고 글쓰기가 차단된다고 나오니 더이상 글을 다는것은 무의미 할 것 같네요..

    정말 마지막으로 정말 한마디만 충고 하자면..
    오픈웹의 주장에 대한 이론 / 근거에 대해서
    조소거리, 비야냥의 대상이 되지 않도록 더 준비하기 바랍니다.

    다양한 보안 기술이 사용되는 환경.. 저도 보고 싶네요.
  • 프로필사진 Taris 2012.11.01 19:56 신고 5달 전 뉴스 들이대며 근거로 제시하는 뻘짓이나 벌이는 분이니 누가 믿어줄까요? 간단히 정리하자면 한국식 방식은 불편한데다 이점도 없는 병맛입니다. 이건 님이 제아무리 물타기 하면서 변론해 봐야 변하지 않는 진실입니다. 하시는 거 보니 사내 정치는 매우 잘 하시겠네요. 입코딩이랑.

  • 프로필사진 ㄴㅇㄴㅇ 2012.11.07 12:28 신고 엔지니어님. 고만하시죠.

    그 한국식 보안은 이미 국정감사장에서 시연하던 당시 의원님
    털어서 실시간으로 예금은 물론 주민등록등본까지 떼버렸습니다.

    외국의 사례가 어쩌고 저쩌고 ㅋㅋㅋ
    그 대목에서 웃으면 됩니까?


    미국에는 한해 범죄자에 의한 살해, 상해를 당하는 경우가 우리나라와 비교도 안될정도로 많습니다.

    이게 미국 경찰이 무능해서인가요?
    아니면 미국 경찰이 우리나라 경찰보다 장비가 안좋아서인가요?


    일반적인 평범한 가정집에 도둑이 들어서 피해액이 당시 집안에 있던 현금 100만원이고.
    높은 담장, 경비원, 경비견, 보안시스템에 중요물품은 모두 특별금고에 보관한 집에 도둑이 들어서 피해액이 10억이면
    후자가 훨씬 보안이 허접한건가 보네요.

    이게 지금 님 논리입니다. ㅋㅋ

    전자는 개나소나 그냥 담 넘어 들어가면 가능한 일이고
    후자는 경비원 매수에 보안시스템 해제 전문가 와 전문 금고털이범까지 가세해야 가능한 일입니다.

    통계같은 소리좀 작작하시죠.
  • 프로필사진 Zernith 2012.11.26 12:40 신고 어떻해가 아니라 어떡해...
    국어공부도 좀...
  • 프로필사진 Favicon of http://minix.tistory.com BlogIcon 미닉스 2012.11.26 17:19 신고 ㅠㅠ
  • 프로필사진 공인인증서가 더 안전합니다. 2012.12.05 01:15 신고 MD5 털린게 10년 넘었습니다.
    아직 MD5를 쓰는 업체가 있다면, 그 업체가 막장입니다.
    10년간 대응을 전혀 안 했다는 소리거든요.

    사실 왜곡도 적당히 하시기를 바랍니다.


    앞에서는 GPGPU가 답인 것 처럼 말씀하셨는데, 디지털 암호화는 겨우 그 정도의 성능개선으로는 꿈쩍도 안 합니다.
    계산기 두드려 보십시오.

    이미 수학적으로 증명된 사안을 "그럴 듯 하게" 유언비어 퍼뜨려서 좋을 것은.. 님이 유명해 지시겠군요.



    Password의 Plaintext-Ciphertext Pair String을 만든다고요?
    님이 좋아하시는 MD5도 Full Pair 만드는데 용량이 얼마나 나오는지 계산은 해 보셨는지요.


    Weak/Strong pair resistance라는 개념은 혹시 아시는지?
    현행 암호화 알고리즘은 무조건 pair resistance를 갖습니다.
    Full Dictionary 만드는데 용량도 용량이거니와, 전 세계의 컴퓨터를 싸그리 모아도 만드는데 수백 수천년 걸립니다.



    암호학이 수학이죠.

    공인인증서야 지적할게 있다지만,
    한글 맞춤법 틀리는 사람이, 암호학을 그리 만만하게 볼 학문은 아닐텐데 말입니다?



    암호학 건드린건 잘못하신겁니다.
    공인인증서 건드리면 재미좀 보시겠으나,
    암호학 건드려봐야 나오는건 님이 그만큼 모른다는게 털릴 뿐입니다.



    답변 바랍니다.
  • 프로필사진 하늘빛 2012.12.04 23:21 신고 띄어쓰기 틀리신 것 몇 개만 적습니다.
    털린게→털린 게
    수천년→수천 년
    건드린건 잘못하신겁니다→건드린 건 잘못하신 겁니다.
    그 외 몇 개…….

    分写法(中國語의 單語로 本是 韓國語에서는 그 名稱이 相異하나 無分別한 英語 使用의 弊害를 摘示하기 爲하여 例로 듦)이라는 槪念은 或是 아시는지?
    現行 韓國語 正書法은 條件에 따라 單語 間에 一定한 空間을 갖습니다.
    正書法의 重要性도 重要性이거니와, 昨今 假想空間에서 發生하는 言語 破壞 現象을 觀望하고만 있자니 數百 年 歷史를 지닌 한글이 危殆해 보입니다.

    맞춤법은 국문학이죠.

    암호학이야 지적할 것이 있다지만,
    한국어 띄어쓰기 틀리는 분께서, 맞춤법을 그리 만만하게 볼 것은 아닐 텐데 말입니다.

    맞춤법 건드리신 것은 잘못하신 것입니다.
    암호학 건드리시면 재미 좀 보시겠으나,
    맞춤법 건드려봐야 나오는 결과는 글쓴이 분께서 그만큼 모르신다는 것을 털리는 것뿐입니다.

    답변 바랍니다.

    …….

    제가 위에 쓴 글은 이 토론에 전혀 도움이 되지 않습니다. 건설적인 토론을 하려고 쓴 글이 아니라 상대방을 공격하려고 쓴 글이기 때문입니다. 혹시 같은 어리석음을 범하고 계시지는 않으신지요.
  • 프로필사진 공인인증서가 더 안전합니다. 2012.12.05 01:12 신고 하늘빛// 맞춤법 검사기 돌리느라 수고하셨습니다. ^^

    뭐 저는 제 지식의 짧음을 알기에 글쓴분처럼 '난척'하며 웹툰을 그리며 모르는 사람에게 호도하진 않습니다.

    남에게 가르치려면 본인이 잘 알고 가르쳐야죠.
    여기 주인장처럼 자기 자신도 제대로 알기는 커녕 어디서 주워담은 엉터리 지식으로 확대 과장 왜곡해서 모르는 사람에게 뻥 치는 행동은, 저는 안 합니다.
  • 프로필사진 너는it툴노예 2014.01.07 16:06 신고 난척 안하신다는분이 글에 난척으로 도배가 되있네요

    어디서 감히 암호학을 건드리느냐 천한 공인인증서나 건드릴것이지!!

    엣헴! 이런건 난척이아니라 가르침이라고 봐야되나요 ?

    어디 혼자 암호학 하는척하세요 ...
  • 프로필사진 2012.12.12 16:53 신고 시도때도 없이 맞춤법 지적하는 사람들보면 한심하다는 말 밖에는 안 나오네요.-_-;
    맞춤법 하나 안 틀렸다는게 그렇게 자랑 할 거라고 남을 비꼬는지

    맞춤법 지적이 필요 없는 상황에서 은근슬쩍 얘기 올려서 비아냥 거리는거, 한심합니다.
  • 프로필사진 gringo 2013.06.22 20:28 신고 외국보다 한국 보안이 더 안전하다...
    해커들에 의해 공인인증서가 뚫린 적이 단 한 번도 없다...
    이 부분에서 웃어도 되나요? 쓴웃음도 웃음이니까요.
    어떤 기사를 보고 그렇게 쉴드를 치는지는 모르겠지만 기득권 입맛에 맞춘 그런 매체 기사만 본 것 같네요.
    누가 누구를 왜곡한다는 겁니까? 자기소개 하고 계시는듯.

    아무튼 웹툰 잘 보고 있습니다. 심각성은 잘 알고 있었지만 만화로 보니 더 이해가 잘 되네요.
  • 프로필사진 지나가던 2013.07.11 13:46 신고 공인인증서 털린적없죠 ;;
    물론 '공식적'으로만 ㅋ

    개인이 털리면 털려도 잘모르죠
    그리고 책임을 개인에게 부과하는방식이니.
    털려도 기관보단 개인책임이 크다는거죠
  • 프로필사진 에스티스 2013.10.20 22:32 신고 만화 잘 보고 있습니다만, 보안 관련 내용인데 치명적인 오류가 있네요.

    글 내용에 나와있듯 SSL이든, 공인인증서든 실질적으론 같습니다. 헌데, 공인인증서만 키로깅으로 탈취될 수 있다는 뉘앙스의 글이 기재가 되어있네요.
    보안키(공인인증서)를 가지고 있다는것은 분명 위험도가 훨씬 높지요. 이건 확실한 사실입니다. 더군다나 개인 PC 보안이 허접해서 뚫리기도 쉽죠.

    또한 공인인증서를 가져갈 정도의 보안 수준이라면 키로깅, 백트랙, 백도어는 이미 시스템을 장악한 후입니다. SSL은 클라이언트 to Svr, Svr to Cli 송수신에서 보호가 될뿐, 키로깅에 대한 해결책이 아닙니다.

    패킷감청,백트랙 등의 가능성 낮은 방법보다 개인 PC의 보안향상이 주가 되어야하는데, 이 내용은 아주 살짝 나오고 마네요.

    제가 글쓴이에게 묻고싶네요..
    90% 이상의 컴맹, 일반인들에게
    국내 금융권과 paypal을 쓰라고 하면 어떤것이 안전할까요?
    30%라도 막아내는 허접한 보안프로그램 vs 아무것도 없는 백지

    때문에 보안수준 향상이 우선되어야 하는것인데.....

    XecureWeb이 뚫리면 국내 공인인증서 서버 자체가 털리죠. 재앙입니다. 헌데, 이런 수준으로 얘기하자면, paypal이 뚫려도 미국 관련업계, 일반 거래 등에 훨씬 큰 재앙입니다.

    백신 수준 공개, 정부 기관에서 엄격한 인증, AV-test.org 등의 홍보는 전혀 안나오고.........


    단순히 컴퓨터 조금 아는 사람들 이상만 금융거래를 한다면 저는 당장에 ActiveX, 허접한 보안프로그램 강제 설치 등을 전부 폐지하라고 얘기할겁니다.
    허나, 금융권 거래는 컴퓨터 숙련자 이상이 쓰는것이 아니기때문에 더더욱 신중해야한다는겁니다.
  • 프로필사진 너는it툴노예 2014.01.07 16:09 신고 그래서 공인인증서를 강제하지 말라는겁니다

    진짜 아무런 대책없으신분들은 Ax 를 깔라고하시고

    어느정도 지식있는분들은 페이팔을 사용하게해주세요

    이건 무슨 하향평준화도아니고
  • 프로필사진 도무지 2014.10.16 12:40 신고 다수의 이용자가 컴퓨터 숙련자가 아니기 때문에, activex 문제가 많이 생기지 않나요? 뭔가 문제를 호도하는 느낌이네요.
  • 프로필사진 webp 2013.12.04 04:36 신고 눈떠서 감기전까지 컴퓨터하고있지만, 이 웹툰 상당부분이 제 개인적인 생각과 동일하네요.

    그런데 한국에서 아무리 찍고 떠들어봐야, 공기관에서도 구형 ie를 상당수 사용하는 시점에서 답답하기만 하군요.
  • 프로필사진 Favicon of http://grape15.tistory.com BlogIcon grape15 2013.12.06 22:40 신고 아 네..보안에 좀 더 신경쓰야 하겠네요.. 그런데 좀 귀찮아서 쿨럭..
    그런데 시간 되면 제 블로그 보고 평 좀 남겨주면 감사요..보안평이 아니고 그냥 삼국지 이야기인데..그냥 의견 이런거..
댓글쓰기 폼