-
[---] 한국보안 웹툰에 대한 생각2012.11.08 PM 07:47
LINK : //minix.tistory.com/410
잘 이해가 안간달까... 몇가지 의문을 느낀 부분이 있습니다. 저는 그다지 잘 아는 편은 아니고 그냥 IT와 오픈웹에 관심있는 非공돌이입니다.
먼저 저는 공인인증서가 소비자가 쥐고 있는 대신 해커로 하여금 해킹에 들이는 수고를 두배로 만드는 효과가 있다고 알고 있습니다. 그래서 긍정하는 편이었고요. 그런데 웹툰에서는 공인인증서때문에 보안이 약해진다고 하고 있습니다. 잘 이해가 안가는 부분인데요. 가령 피싱사이트에서 개인정보를 빼앗겼다면 공인인증서때문에 안될 가능성도 있는 거 아닌가 합니다. 물론 글쓴 분께서는 보안에 취약한 분들을 대상으로 글을 쓰셨기에 둘 다 뺏기는 경우를 가정하셨겠지만 SSL은 돈을 뺏기는데 공인인증서는 안 뺏기는 상황은 실제로 생기는 거 아닌가 하네요. 특히 피싱사이트가 사이버금융범죄의 주가 된 걸로 알고 있는데(신문으로 어디서 본 거라 정확하진 않습니다. 아니라면 지적 부탁드릴게요~) 보안과 편함이 반비례하는 시대에 하나의 절차가 더 있다는 건 고의건 아니건 보안에 도움이 되는 수단이라고 생각해서요.
두번째로 보안카드가 분실되는 상황에서는 인간의 부주의로 일어나는 해킹을 별개로 두셨으면서 공인인증서에는 흔한 일인 것처럼 넣으신 것에 의문이 갑니다. 보안카드 지갑에 넣고 다니는 분 별로 없죠. 공인인증서 USB와 마찬가지로 컴퓨터에 저장한 사진을 해킹하지 않더라도 충분히 손에 넣을 수 있습니다. 그런데 작가분께선 공인인증서에서는 오프라인에서 NPKI를 복제하는 상황에 대한 경고는 '해커는 누구나 손에 넣을 수 있는 수단(USB 메모리 등에 대해)'이라는 식으로 강경하게 그리시곤 보안카드에 대해선 '하나씩 구하려면 굶어 죽는다니까'라고 그리셨죠. 뭔가 안 맞는 것 같습니다. 보안카드도 사진만 찍으면 복사 OK인 수단인데 말이죠.
세번째는 공인인증서와 엑티브X 말인데 말이죠... 이건 질문에 가까운 건데 이젠 더 이상 이 둘을 안 묶어도 되지 않나요? 공인인증서 이제 다수의 브라우저에서 지원한다고 들어서... 공인인증서를 굳이 엑티브X를 통해서 하는 건 은행의 타성이라고 알고 있습니다. 보안회사 등의 로비 등도 있겠죠. 그런데 보안회사 등의 로비가 있다면 공인인증서를 없애도 엑티브X를 비롯한 비표준 보안은 계속 밀고 나가지 않을까 하는 생각이 듭니다. 공인인증서는 언제까지고 엑티브X와 함께 할 수밖에 없는건가요?
제 생각은 이 정도입니다. 아마추어에 불과해서... 여기 계신 전문가분들의 지적이 기대되네요. 생각을 열고 기다리고 있겠습니다~
----------------
본문에 이렇게 댓글을 썼는데 어떻게 덧덧글이 올지 기대되네요 안드로메다로 탈탈 털려도 재밌겠고~
댓글 : 9 개
- 충전완료
- 2012/11/08 PM 07:55
잘 몰라서 답변 불가....ㅜㅜ
저도 잘 모르지만 공돌로써 답변을 드리면..
SSL은 인증서 서버와 개인컴 둘다 털어야 되기 때문에 해킹 숙력도 높아야 하고..
공인인증서의 경우는 그냥 개인컴만 털어도 공인인증서랑 비번 훔칠수 있으니 해킹 숙련도가 SSL에 비해 낮아도 털수 있어서 그런거 아닐까 하네요..
두번째거는.. 그래서 보안카드 사진찍어 두지 말라고 중간에 나오는데...
세번째꺼는.. 이제 공인인증서 엑티브x와 안해도.. 다른 플러그인 깔라고 나오죠.. ㅠㅠ
결국 대체하는 프로그램이 생겼어요...
SSL은 인증서 서버와 개인컴 둘다 털어야 되기 때문에 해킹 숙력도 높아야 하고..
공인인증서의 경우는 그냥 개인컴만 털어도 공인인증서랑 비번 훔칠수 있으니 해킹 숙련도가 SSL에 비해 낮아도 털수 있어서 그런거 아닐까 하네요..
두번째거는.. 그래서 보안카드 사진찍어 두지 말라고 중간에 나오는데...
세번째꺼는.. 이제 공인인증서 엑티브x와 안해도.. 다른 플러그인 깔라고 나오죠.. ㅠㅠ
결국 대체하는 프로그램이 생겼어요...
- 알면용취^^
- 2012/11/08 PM 08:13
//답변 감사합니다.
1번의 경우 지금 해킹의 대세(?)인 피싱사이트를 가정해서 생각한 거예요. 실제로 피싱의 비율이 압도적으로 높다고 알고 있어서...
2번은 보안카드에 대한 얘기보단 공인인증서를 오프라인에서 앗아갈 위험을 지나치게 과장한다는 제스쳐고
3번은 역시나... 꿈도 희망도 없군요 ㅋㅋ
1번의 경우 지금 해킹의 대세(?)인 피싱사이트를 가정해서 생각한 거예요. 실제로 피싱의 비율이 압도적으로 높다고 알고 있어서...
2번은 보안카드에 대한 얘기보단 공인인증서를 오프라인에서 앗아갈 위험을 지나치게 과장한다는 제스쳐고
3번은 역시나... 꿈도 희망도 없군요 ㅋㅋ
- 風影
- 2012/11/08 PM 08:40
전문가는 아니고 최근 수업에서 관련 내용을 논의한적이 있어 몇가지 적습니다.
1. 소비자가 가지고 있음으로 인해서 책임을 소비자 책임으로 몰고 갈 수 있다는 문제가 있습니다. 자신들은 보안에 대해서 철저하게 했지만, 소비자가 카드/인증서 관리를 잘못했기 때문에 기업은 책임이 없다는 식으로 말이죠. 실제로 외국에선 사고가 발생하면 기업이 자신이 책임이 없다는 것을 증명해야 하지만, 우리나라에선 반대로 개인이 기업 책임이라는걸 증명해야 한다고 하죠.
공인인증서 라는것 자체가 일반 파일로 존재하는 데다가 위치도 고정되어 있기때문에 액티브엑스 플러그인을 악용하여 개발하는 사람이 존재하면 원격으로 인증서를 빼돌리는 것도 가능합니다. 또, 결제 시스템으로 위장해서 패스워드까지 입력받으면 유저키를 통째로 빼앗기게 되는거죠. 불편은 한데 그렇게 안전하진 않습니다.
2. 보안카드에 대한 이야기는 건당 노력에 대한 이야깁니다. 1번에서 수고를 늘린다는게 여기에 해당하는 겁니다. 공인인증서는 인증서 파일과 패스워드가 있으면 통과가 되지만 보안카드는 전체 넘버가 있어야 통과가 가능(정확히는 랜덤한 두 파트의 두자리 숫자 이지만 그렇게 운이 좋다는 가정을 제외하고)하다는 거죠.
3. 액티브엑스가 아니더라도 결국 외부 프로그램을 설치해야 하고 해당 프로그램을 웹페이지에서 접근해서 시스템 내부의 파일에 접근해야 한다는게 문제입니다. 프로그램 설치가 필수라고 한다면 IE에선 액티브엑스가 오히려 편리할 수도 있습니다. 설치하겠냐는 질문에 네라고 클릭만 하면 프로그램이 설치가 되니 말이죠. 프로그램을 안쓰는 방법 외엔 답이 없는데 이건 공인인증서 사용을 하지 말자는거랑 또 연결이 됩니다. 윗분 말씀대로 꿈도 희망도 없습니다.
1. 소비자가 가지고 있음으로 인해서 책임을 소비자 책임으로 몰고 갈 수 있다는 문제가 있습니다. 자신들은 보안에 대해서 철저하게 했지만, 소비자가 카드/인증서 관리를 잘못했기 때문에 기업은 책임이 없다는 식으로 말이죠. 실제로 외국에선 사고가 발생하면 기업이 자신이 책임이 없다는 것을 증명해야 하지만, 우리나라에선 반대로 개인이 기업 책임이라는걸 증명해야 한다고 하죠.
공인인증서 라는것 자체가 일반 파일로 존재하는 데다가 위치도 고정되어 있기때문에 액티브엑스 플러그인을 악용하여 개발하는 사람이 존재하면 원격으로 인증서를 빼돌리는 것도 가능합니다. 또, 결제 시스템으로 위장해서 패스워드까지 입력받으면 유저키를 통째로 빼앗기게 되는거죠. 불편은 한데 그렇게 안전하진 않습니다.
2. 보안카드에 대한 이야기는 건당 노력에 대한 이야깁니다. 1번에서 수고를 늘린다는게 여기에 해당하는 겁니다. 공인인증서는 인증서 파일과 패스워드가 있으면 통과가 되지만 보안카드는 전체 넘버가 있어야 통과가 가능(정확히는 랜덤한 두 파트의 두자리 숫자 이지만 그렇게 운이 좋다는 가정을 제외하고)하다는 거죠.
3. 액티브엑스가 아니더라도 결국 외부 프로그램을 설치해야 하고 해당 프로그램을 웹페이지에서 접근해서 시스템 내부의 파일에 접근해야 한다는게 문제입니다. 프로그램 설치가 필수라고 한다면 IE에선 액티브엑스가 오히려 편리할 수도 있습니다. 설치하겠냐는 질문에 네라고 클릭만 하면 프로그램이 설치가 되니 말이죠. 프로그램을 안쓰는 방법 외엔 답이 없는데 이건 공인인증서 사용을 하지 말자는거랑 또 연결이 됩니다. 윗분 말씀대로 꿈도 희망도 없습니다.
- 風影
- 2012/11/08 PM 08:44
사족을 더 붙이자면 국내 시스템이 정말 안전하고 흠이 없다면 외국에서 굳이 이 시스템을 안쓸 이유가 없습니다. 또, 정말 안전해서 털기 힘들면 옆나라에서 굳이 우리나라를 타겟으로 사건을 터트릴 일도 없겠죠.
불편은 불편대로 일어나고 사건은 사건대로 터지고 최악의 상태 아닌가 싶네요.
불편은 불편대로 일어나고 사건은 사건대로 터지고 최악의 상태 아닌가 싶네요.
- 알면용취^^
- 2012/11/08 PM 08:45
風影//
1번의 경우 예전에도 관련 이슈를 들은 적 있긴 한데 역시 소비자에게 책임을 돌리는 형식인 거군요.
2번에서 제가 말하는 건 웹툰 내용에 대해서입니다. 오프라인에서 복제 가능성에 대해 보안카드와 공인인증서의 보안 취약성에 대한 서술이 극명하다 싶을 정도로 차이가 있어서요~
3번같은 경우엔 역시... 공인인증서가 프로그램 파일에 있는 건 정말...
1번의 경우 예전에도 관련 이슈를 들은 적 있긴 한데 역시 소비자에게 책임을 돌리는 형식인 거군요.
2번에서 제가 말하는 건 웹툰 내용에 대해서입니다. 오프라인에서 복제 가능성에 대해 보안카드와 공인인증서의 보안 취약성에 대한 서술이 극명하다 싶을 정도로 차이가 있어서요~
3번같은 경우엔 역시... 공인인증서가 프로그램 파일에 있는 건 정말...
- 알면용취^^
- 2012/11/08 PM 08:48
風影//공인인증서 관련 보안 사고 자체는 그렇게 심각하지 않은 걸로 알고 있습니다. 그래서 저도 의문인 거고...
보통 이쪽도 유출되면 피싱사이트와 보이스피싱이 메인이라... orz
보통 이쪽도 유출되면 피싱사이트와 보이스피싱이 메인이라... orz
- 風影
- 2012/11/08 PM 09:06
음... 크게 논란이 안되었을 뿐이 아닐까 싶네요.
http://kfcc.co.kr/01_banking/banking0206.jsp
아이디/패스워드도 결국엔 부르트포스가 아니면 스니핑이나 피싱으로 유출되는 거고 결국 보안 레벨은 거기서 거기라고 생각합니다.
아니 오히려 사용자가 안전하다고 믿기 때문에 관리를 더 안하게 되서 불안할 수도 있겠죠.
http://kfcc.co.kr/01_banking/banking0206.jsp
아이디/패스워드도 결국엔 부르트포스가 아니면 스니핑이나 피싱으로 유출되는 거고 결국 보안 레벨은 거기서 거기라고 생각합니다.
아니 오히려 사용자가 안전하다고 믿기 때문에 관리를 더 안하게 되서 불안할 수도 있겠죠.
- 알면용취^^
- 2012/11/08 PM 09:09
링크해주신 곳은 피싱과 파밍으로 한건데요 ㅠ 어쨋든 진짜 피싱사이트 해킹은 해킹의 메인인 것 같아요 ㅎㄷㄷㄷ
user error : Error. B.