분류 전체보기 (69)
Life Story (22)
Music Story (12)
My Play (10)
Security (20)
Scrap (3)
Virtualization (1)
보안  연주  ActiveX  웹접근성  가상화  웹표준  인터넷뱅킹  security  인터넷 뱅킹  악플  웹 접근성  Recording  Jazz  jimi  hijacking  blues  블루스  Schecter  기타  기타연주  hacking  Gartner  srv  schecter SD-II  guitar  구글어스  전자금융  전자정부  마이클잭슨  Virtualization 
 오픈웹 v. 금..
└>Open Web
 ActiveX 알고..
└>日常茶飯事
 Vista ActiveX..
└>SNAIPER의 조..
 마이클잭슨 내..
└>[Noenemy]'s m..
«   2017/12   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            
+ VMblog.com -..
+ virtualizatio..
+ Virtualizatio..
+ VMTN Blog
+ Total : 72,684
+ Today : 6
+ Yesterday : 2
  

 

 

 

Trackback용 포스트
+   [Security]   |  2007.01.23 14:11  

아래 글은 "해외 인터넷 뱅킹은 역시 안전합니다"에 대한 Trackback.
-----------------------------

글 잘 봤습니다. 다만, 몇가지 부분에서 조언드리고 싶은 내역이 있어 이를 몇자 적어 봅니다.

조언 1 : "City은행의 보안이 뚫렸다. → 엄밀히 말해서 은행 차원의 보안은 뚫리지 않았다."
==> 암호가 뚫렸다는 것도 알고 보면 암호 알고리즘이 뚫렸다는 말은 아닙니다. 하지만, 모두들 암호 알고리즘이 뚫렸다는 것으로 착각하죠. 마찮가지로 OTP, 인증서, ActiveX 모두가 그 차제가 뚫린다기 보다는 연동구간 인터페이스에서 발생하는 것이 대부분입니다.(물론 그 자체가 Buffer Overflow와 같은 극단적 방법을 통해서 뚫리기도 합니다.) 따라서 이러한 일을 막아내기 위해서 직접통제와 대체통제적 관점에서 2~3중의 보안장치를 만드는 것이라고 봅니다. 이 경우에는 피싱 사이트를 통해 OTP 키를 유출하고 Relay, Replay 공격이 가능하다면, 이것은 뚫렸다고 보는 것이 맞다고 봅니다. Relay, Replay 공격이 가능하다는 의미는 OTP 솔루션 아키텍처에 문제가 있다는 의미죠.(OTP 솔루션 마다 물론 다르고, OTP 전체를 의미하는 것은 아닙니다)

조언 2: "해외는 피싱 피해가 심각하다. → 피싱 밖에 방법이 없었다"
==> 죄송합니다만, 글 내용과 제목 좀 안맞는다고 보구요. 말씀하시고자 하는 의도는 알겠으나, "피싱 밖에 방법이 없었다"라는 제목 선정은 무리가 있다고 봅니다. 오늘 뉴스를 보니까, 해커들에 의해 홈페이지 변조(Deface) 피해를 입은 웹 사이트 정보를 파악하여 서비스하는 것으로 유명한 Zone-h.org 웹 사이트가 사우디 아라비아 해커들에 의해 뚫렸다고 하는군요.(가끔 이 사이트 보면 우리나라 사이트 목록도 엄청 올라 옵니다. ^^) 이런 보안 사이트도 뚫리고 MS도 뚫려서 윈도 소스코드가 노출이 되었다는 이야기도 있었지요. 보안에 엄청난 예산을 투자하는 CIA, NASA도 뚫리는 것이 현실인데, 피싱 방법밖에 방법이 없었다고 단언하는 것은 오류의 가능성이 높다고 봅니다. (본문 내용을 보면 제목과는 다른 내용이어서 사실 제가 이 부분에 대한 조언을 하는 것이 맞는지도 모르겠어요...)

조언 3: "우리나라의 보안 솔루션은 대부분 수입제품입니다"
==> 98년부터 우리나라에서는 정보보호제품의 평가 및 인증 제도를 시행하고 있으며, 국제공통평가기준인 CC 제도를 도입한 것은 2006년으로 얼마전이죠. 이때까지는 정보통신 기반시설로 지정된 국가, 금융, 통신 사업자는 국가에서 지정한 정보보호제품 인증을 득한 제품을 쓸 수 밖에 없었으며, 2006년까지 인증받은 정보보호제품 인증을 득한 제품은 100% 국산제품이라고 보아도 무방합니다. 따라서 우리나라의 보안솔루션은 대부분 수입제품이라는 말씀은 무리라고 봅니다.

조언 4: "해외 인터넷뱅킹은 역시 안전합니다"
==> 제가 볼때는 전체적인 내용을 뜯어 보면, 말씀하시고자 하는 논지는 아래 3단계로 분해 가능하다고 봅니다.

가) 해외 인터넷 뱅킹은 안전하다.
나) 우리나라는 그 수많은 ActiveX 등의 비표준화를 통한 보안 노력에도 불구하고, 해외 인터넷 뱅킹과 비슷하거나 수준이 오히려 낮다.
다) 따라서 해외 인터넷 뱅킹 사례와 같이 해외 인터넷 뱅킹 사례와 같이 좀 더 웹 접근성을 향상 시킬 수 있는 방향으로 가는 것이 맞다.

으로 생각합니다. 솔직히 말씀드리자면, 님의 의견에 상당수 공감하는 것도 사실입니다. 하지만, 도입부분에서의 주장때문에 오히려 다수의 사용자가 잘못된 사실을 인지하는 것은 또 다른 문제라고 보기 때문에 몇가지 조언을 드리게 되었습니다.


신고

 
 
     , , ,
     0   4
BlogIcon wizmusa 2007.01.23 19:42 신고
글을 마무리 짓기 위해 고민을 좀 했습니다. 그런데 이런 저런 경우의 수를 몽땅 언급하려다 보니 글이 엄청 길어져서 중간에 지겨워졌습니다. 이렇게 보완해주시니 저야 고맙지요. 블로그의 트랙백 시스템이 빛을 발하는군요. ^^
BlogIcon Jerry 2007.01.24 16:02 신고 
보완을 해 주어서 고맙다는 표현을 써주시니 보람을 느끼게 되는군요. 사실 블로그의 트랙백이 뭐 그리 효과가 크겠냐는 생각을 했었는데, 블로그를 막상 쓰고 나 보니, 정말 클수도 있겠다는 생각을 갖게 됩니다. Offline에서 이야기 하는 것 보다, Online에서 이야기하는 것이 요즘엔 효과가 더 있는 것 아닌가? 하는 생각도 가져 봅니다. 좀 웃기는 것 같기도 합니다만... ^^
BlogIcon 정호씨ㅡ_-)b 2007.01.24 17:30 신고
activex를 통한 은행보안이 시작된 이유는 비표준화 논쟁이전에 미국에서 128비트암호화 기술을 외국에 팔지 못하게 했기 때문입니다. 그리고 계속 activex를 써왔기 때문에 관습화 된거구요. 거기에는 무언가 깔려야 안전하다라는 고객들의 무관심도 반영된거 겠지요.
BlogIcon Jerry 2007.01.24 18:15 신고 
글 남겨 주셔서 감사합니다. 예, 맞습니다. 사실 미국의 암호화 기술을 외국에 팔지 못하게 한 것도 중요한 요인이기도 하죠. 다만, '고객들의 무관심'이라고 하는 것은 좀 그래요... 인터넷 뱅킹을 사용하고 싶은 고객은 최소한 정보처리기능사 2급이라도 따야 한다고 할 수도 없는 노릇이죠... 누구나 편하게 인터넷 뱅킹 서비스를 이용하게 하겠다는 것은 사실 정말 쉽지 않은 일임에는 틀림없는 것 같습니다. (버스 노선 안내도 바로 앞에서 버스노선을 물어보시는 분들을 보면 도구만 가지고 뭔가를 완전히 해결할 수 없음을 느낍니다.) 또한 사용자의 PC 환경을 신뢰할 수 없는 현실도 한몫하고 있죠. 잘 아시겠습니다만, 현실적으로 게임방과 같은 공용 PC에서 인터넷 뱅킹 서비스를 이용하는 것은 거의 자살행위와 같다고 많은 사람들이 이야기 하고 있는 것이 현실입니다. 쉽다고 이야기들 하지만, 사실은 이거 무척이나 어려운 문제죠. OTL

아이디 
비밀번호 
홈페이지 
비밀글   

 

<<이전 | 1 | ··· | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | ··· | 69 | 다음>>

bluesman's Blog is powered by Daum & Tattertools

 

티스토리 툴바