분류 전체보기 (69)
Life Story (22)
Music Story (12)
My Play (10)
Security (20)
Scrap (3)
Virtualization (1)
기타연주  구글어스  기타  보안  마이클잭슨  Schecter  Jazz  블루스  hacking  가상화  schecter SD-II  Recording  Gartner  ActiveX  인터넷 뱅킹  전자정부  hijacking  웹 접근성  blues  jimi  연주  웹접근성  security  전자금융  웹표준  악플  srv  인터넷뱅킹  guitar  Virtualization 
 오픈웹 v. 금..
└>Open Web
 ActiveX 알고..
└>日常茶飯事
 Vista ActiveX..
└>SNAIPER의 조..
 마이클잭슨 내..
└>[Noenemy]'s m..
«   2017/06   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  
+ VMblog.com -..
+ virtualizatio..
+ Virtualizatio..
+ VMTN Blog
+ Total : 71,559
+ Today : 0
+ Yesterday : 2
  

 

 

 

전자금융 _해당되는 글 2건
2007.07.04   '윈도비스타 SP1 인터넷뱅킹 안전 크게 위협? 
2007.03.07   '웹 구조개혁의 제안' 내역에 대한 감상문 

 

'윈도비스타 SP1 인터넷뱅킹 안전 크게 위협?
+   [Security]   |  2007.07.04 14:38  

오늘 전자신문을 보다가 보니, "'윈도비스타 SP1' 인터넷뱅킹 안전 크게 위협 "이라는 제목으로 기사가 나와 있더군요. 기사를 보다가 보니, 몇가지에 대해서 생각이 드는데... 일단은 답답하다는 생각이 먼저 들더군요.

'윈도비스타 SP1 인터넷뱅킹 안전 크게 위협?

정말로 윈도비스타의 SP1이 인터넷 뱅킹에 위협이 되는지의 여부를 확인해 볼 필요성이 있는데, 이것은 사실 정말 웃기는 노릇이죠. 사실 MS 입장에서는 키보드 보안 프로그램도 악성 코드인지 정상적인 코드인지의 여부를 판단할 수 있는 명확한 기술적 근거는 없는 것이 사실입니다. MS가 아니라 그 누구도 악성코드인지 정상적인 코드인지의 여부를 판단할 수가 없기 때문에 OS 제조사인 MS 입장에서는 OS의 Security Architecture에서의 한계성을 느끼고 기존의 아키텍쳐를 수정한 것이 VISTA에서 부터 적용된 OS 기술입니다. 따라서 정확히는 키보드 보안 프로그램이 해야 할 역할을 OS 자체에서 이미 구현했다고 보아도 무방하다는 의미이지요.

그러나, 윈도비스타 SP1이 키보드 보안 프로그램의 정상적 설치를 방해하기 때문에 금융권 보안이 위협 받을 수 밖에 없다는 논지의 기사가 올라오는 것을 보면... 좀 답답하네요.

기본적으로 국내 금융권에서는 법률적으로 전자금융을 제공하는 사업자가 금융사고에 대한 책임을 지는 구조이기 때문에 외국과는 달리 인터넷 뱅킹 사용자의 PC를 사업자가 신뢰할 수 있을 정도의 보안성을 갖추게 만들 수 밖에 없습니다. 이러한 사용자 PC의 보안성에 대한 규정에 따라서 PC 방화벽, 키보드 보안, 트랜젝션 암호화, 공인인증서를 쓸 수 밖에 없습니다. 요즘에는 Anti-Fishing 관련 대응까지 하는 은행들이 나오는 상황이니까, 은행 업무를 보기위해 인터넷 뱅킹 사이트에 접속하면, 5가지 정도의 ActiveX를 사용자는 좋던 싫던 인스톨 할 수 밖에 없는 상황이고, 이것은 사용자에게 짜증을 유발하는 주요 요소라고 봅니다.

이러한 상황에서 감독기관은 PC 방화벽, 키보드 보안, 트랜젝션 암호화, 공인인증서를 쓰는지 안쓰는지를 감독하는 것도 중요합니다만, OS 레벨에서 이미 해당 기능이 수행된다면, 해당 솔루션의 사용여부를 물어보지 않도록 하는 것이 어떨까 싶습니다. 이미 통제 방식이 존재하는지 안하는지의 여부와는 관계없이 감독기관에서 PC 방화벽, 키보드 보안, 트랜젝션 암호화, 공인인증서의 사용 여부를 체크하고 사용치 않는 전자금융 사업자를 제재한다면 이것은 좀 문제라고 봅니다. 따라서 감독기관은 시대가 변한 만큼 기존의 통제방식에 대한 준거성 여부를 좀 더 현실성 있는 통제방식으로 수정해야 할 필요성이 있다고 봅니다.


신고
크리에이티브 커먼즈 라이선스
Creative Commons License

 
 
     ActiveX, SP1, 윈도우 비스타, 인터넷뱅킹, 전자금융
     0   0

아이디 
비밀번호 
홈페이지 
비밀글   

 

 

'웹 구조개혁의 제안' 내역에 대한 감상문
+   [Security]   |  2007.03.07 20:57  

최근에 일이 많아지고 설상가상으로 회사 주식 증자 문제까지 겹쳐서 그 동안 블로그나 인터넷 관심사와 담을 쌓고 살았던 것 같은데, 오늘 김국현님(IT평론가)께서 쓰신 "웹 구조개혁의 제안"에 대한 글을 보게 되었고, 간단히 감상문을 좀 적어 보도록 해 보겠습니다. 좀 늦은감이 없지 않아 있는 것 같습니다.

일단 김국현님께서 쓰신 "웹 구조개혁의 제안" 문장 구조를 살펴 보면...

1. 웹 구조개혁이 필요하게 된 Issue 제시

2. 원인에 대한 분석
--> 공인인증서는 정말로 필요한 것이었을까? 등등

3. 문제점 제시
--> 문제는 '공인'이다.

4. 대안제시
--> 내역 아래 참조

정도로 압축이 될 것 같습니다. "웹 구조개혁의 제안"에서 제시하고 있는 대안제시 부분은 아래와 같습니다.

구조개혁 1 : 공인 인증서에 의한 인증 의무화 폐지
--> 대안 1 : 접근 허가시 사설 인증서 허용 및 다단계/다각도의 질의식 인증.
--> 대안 2: OTP(One time password) 및 HSM(Hardware Security Module), 그리고 생체 인식 등 신기술의 적용

구조개혁 2 : 독자적 암호화 통신 알고리즘 이외에 SSL 3.0 적용 허용
--> 대안 : 서비스 업자가 어떠한 기술을 쓰든(즉 SEED를 쓰지 않더라도) 그 것이 가이드라인을 만족시키면 개입하지 않는다.

구조개혁 3 : 공인인증서에 의한 서증(書證)의 적용 범주 재정의
--> 현실에서 인감이 필요로 하지 않는 모든 상황은 온라인 상에서도 공인인증서에 의한 전자서명을 요구해서는 안 된다. [중략] PKI 방식이 아닌 다양한 기술적 가능성에 대해서도 그 가능성을 열어 두어야 한다.

구조개혁 4 : 프로그램의 선택과 설치라는 개인과 시장의 자유 재량과 권리를 보호
--> 많은 플러그인은 요긴하지만 그 것을 사용할지 여부는 철저하게 사용자와 서비스 사이의 판단이지, 이를 제도나 행정이 강요해서는 안될 일이다

[개인 감상문]
이 부분은 제 개인적 의견 입니다.

1. 구조개혁 1 관련
==> "웹에서 쓸 수 있는 인증수단은 '공인인증서'만이 아니다"라는 말에는 동의 합니다만, 이것은 현재 시점에서 그렇지 인터넷 뱅킹이라는 개념이 등장하던 90년대 후반에 존재하던 개념은 아닐 겁니다. 물론 현재는 OpenID를 비롯해서 많은 대안이 태동하고 있는 시기이기는 합니다만, 같은 논리로 이야기를 한다면, "지금 알고 있는 것을 그때는 왜 몰랐냐?"는 질문과 흡사하다고 봅니다.

==> PKI가 나타나게 된 배경이 TCP/IP가 완전하지 않다는 점이며, 이것이 IPv6로 이어지게 되었고, 전송구간 측면이 아닌 상호간의 Communication 측면에서 부인방지와 같은 부가적 기능이 필요로 하게 되었었는데, 이 기능이 단순한 새로운 인증만 구현하면 해결될 문제인가?하는 의문이 듭니다.

==> 가상 키보드, OTP, HSM, 생체인식 문제는 일단 가상키보드가 보안성을 높여준다고 보기 힘들고, OTP는 사실 공인인증서 Client에 대한 문제점이 발견되고 이를 위한 대응책 확보 및 대체통제 관점에서 현재 감독기관이 추진하고 있는 내역이나, 이 조차도 기존의 문제를 해소할 수 있을지는 의문입니다. HSM이나 생체인식은 사실 돈문제죠. 예전에 하이텔 단말기 기억하시는 분들 계실텐데, 은행마다 이와 같은 전용 단말기를 사용자에게 배포하는 수준의 행위가 있어야 할 겁니다. 개인적 의견으로는 구조개혁 1이 현실적 대안이 되기는 힘들어 보입니다.

2. 구조개혁 2 관련
==> "서비스 업자가 SEED를 쓰지 않더라도 가이드라인을 만족시키면 더 이상 감독기관은 개입하지 말라"는 것은 금융감독 기관이 가이드라인과 대비 동일하거나 더 높은 수준의 방식을 이용하더라도 이를 인정하고 보안성 심사 등에서 불이익을 주지 않도록 하는 것인데... 글쎄요... 이 부분은 뭔가 공감대가 있어야 할 부분인 것 같습니다. 사실 이 부분에 있어 기술적인 제약은 없을 것으로 보고 있기 때문이죠.

3. 구조개혁 3 관련
==> 글쎄요. 전자서명없이 부인방지와 데이터의 보호를 구현할 수 있는 현실적 대안히 극명히 존재하나요? 가능성을 열어 놓는 부분에 대해서는... 법률은 항상 악의적으로 해석하고자 하는 사람들로 인해 법률 존재 그 자체가 위협받는 경우도 많은 것 같습니다. 법률 자체에서 다양한 방법에 대한 가능성을 열어놓는 부분에 대해서는 현재의 방식이 Best가 아닐 수도 있다는 현실적 문제점에 대한 확고한 인지가 먼저 선행되어야 할 것 같은데, 문제는 그동안 감독기관이나 법률이 과거의 행위 위주의 제제 방안 구현에 머물러 왔다는 점에서 확실히 문제점은 있다고 봅니다. 하나의 시스템이 안정화 단계에 있으면 보통 금융권에서는 안정화 단계의 시스템의 변화를 원치 않는 금융권 특유의 보수적 입장도 한몫하는 부분이겠지요.

4. 구조개혁 4 관련
==> "프로그램의 선택과 설치를 제도와 행정이 강요해서는 안된다"는 부분은 아마 오히려 은행들이 좋아할 만한 대목일 것 같습니다. 전자금융거래법에 따르면 현재의 "전자 금융 사고에 대한 책임은 법규상 전자금융 사고시 이용자의 고의 중대한 과실이 아닌 경우에는 전자금융업자가 책임을 부담하게 돼 있다"고 명시되어 있습니다. 따라서 이러한 경우에는 "프로그램의 선택과 설치를 개인이 알아서 하는 구조에서는 은행이 책임질 필요가 없다"고 선언할 가능성도 있다고 봅니다. 고의 중대 과실은 고의적으로 사용자가 범죄자에게 비밀번호를 알려주는 것과 같은 극단적인 경우를 의미하죠.

사실 외국의 경우에는 금융사고의 책임을 전자금융업자가 지게 되는 경우가 많지 않은 것으로 알고 있으며, 국내의 경우에는 거의 전자금융업자가 대부분의 사고에 대한 책임을 지게되는 구조입니다. 사실 각종 플러그인이나 클라이언트는 인터넷 뱅킹 서비스의 장애요소가 되었으면 되었지 인터넷 뱅킹 서비스 그 자체에 도움이 되지 않으며, 사실 은행도 이런거 좋아하지 않죠. 어쩔 수 없이 할 뿐이라고 보는 것이 좀 더 정확한 시각이라고 봅니다. 전자금융사업자는 고객의 PC 환경을 신뢰할 수 없기 때문에 전자금융사업자는 일종의 면피용으로 사용자 PC에 인터넷 뱅킹을 이용할 만한 수준의 각종 플러그인과 클라이언트를 깔게 됩니다.
 
아마 프로그램의 선택과 설치를 제도와 행정이 강요해서는 안된다고 하면, 만일 금융사고가 발생되었을 때, 다수의 사용자는 전자금융사업자의 역할과 책임과는 관계없이 스스로를 스스로가 보호할 수 밖에 없을 겁니다. 금융사고는 결국 대다수 개인의 손해로 이어질 수 있다는 것이 구조개혁 4의 문제점이 될 수도 있다고 봅니다.


신고
크리에이티브 커먼즈 라이선스
Creative Commons License

 
 
     웹 구조개혁의 제안, 인터넷뱅킹, 전자금융, 전자금융거래법
     0   0

아이디 
비밀번호 
홈페이지 
비밀글   

 

<<이전 | 1 | 다음>>

bluesman's Blog is powered by Daum & Tattertools

 

티스토리 툴바