South Korea’s online security dead end
https://palant.info/2023/01/02/south-koreas-online-security-dead-end/
Hacker News 토론 (위 블로그 작성자 아이디 : palant )
https://news.ycombinator.com/item?id=34231364
외국인의 시각에서 현재 한국의 인터넷뱅킹 상황을 정리하고 평가한 글입니다.
- C++이 아닌 C로 개발함
- C 사용을 문제로 보는 이유 : 버퍼 오버플로 같은 보안 취약점에 취약하기 때문
- 그나마 보안 문제를 완화할 수 있는 최신 컴파일러를 쓰지 않고 15년 전 Visual Studio에 의존
- 번들된 오픈소스 라이브러리도 업데이트가 안 됨 (10년 이상 업데이트 안 된 것도 있다고 함)
- 글쓴이는 가짜(bogus) 보안 애플리케이션 시장이 한국에 형성되어 있다고 보고 있음. 은행이 계속 사주는 한 사는 것이 가치가 있는 것처럼 겉보기에만 치중할 뿐, 실제 보안 투자는 거의 이뤄지지 않는다는 것입니다.
- 관련 벤더들에 본인이 찾은 내용을 고칠 수 있는 시간 90일을 주고 블로그에 내용을 공개한다고 합니다.
이에 따라 오는 1월 9일과 23일, 2월 6일, 3월 6일에 후속 글을 올린다고 합니다.
개발자들은 새로운 사업 수요가 생기는건데요?ㅎㅎ
회사는 저걸 개무시할거고
만약 발칵 뒤집히면 신규 개발 수준으로 가야할테니
차라리 이참에 근본적으로 변화가 오면 좋겠어요
특히 ast 너무 싫습니다. ㅠ
가짜 보안시장이 한국에 형성되어 있는 원인에 대해 보충 설명 드리자면
아마 2005년도 외환은행 사건으로 보안프로그램 강제 설치 때문에 그런걸로 알고 있습니다.
특히 보안 업체들과 한국인터넷 진흥원이 보안프로그램 강제설치 주장 했었죠.
보안프로그램 안깔면 인터넷뱅킹 못한다 - 2005년도 기사
https://www.hani.co.kr/arti/society/society_general/41352.html
이런데 소위 글로벌 스탠다드를 들이대야 할거 같은데요.
금융은 대표적인 규제산업이고, 금융업계가 안주하는 것이 아니라, 규제가 그렇게 조건을 만들고, 기계적으로 충족만 하면 면죄부를 주기 때문입니다. 해외처럼 보안과 관련해서는 자율권을 주되, 문제가 발생했을 때 책임을 크게 지도록 규제가 바뀌어야만 업계가 변화해갈텐데, 그럴리가 없겠죠..;;;
규정만 지키면 보안 뚫려도 면죄부를 주는게 아니라, 규정을 없애고 책임을 지라고 하는게 맞죠.
.
.
다만 취약점이 엄청나게 많을거 같다는건 예상은 가는데, 아직까진 작게는 엉뚱한 통장으로 이체된다던가 크게는 대규모 금융범죄 같은건 아직 안일어난건 또 미스터리네요..
좋은 지적이네요..
관련 업체들이 모두 해당될지 궁금해집니다.
규제에 맞춘 보안인가? = 0
법이나 시행령에서 이런식으로 정의하게 되면 이런식의 기형적 발전을 하게되는 경우가 종종 있죠
터진 곳만 덮는 수준입니다.
때가 되었군요.
관련업체들은 뼈맞은것 같을것 같습니다. ㅎㅎ
금융권 초기에 개발한것 가지고 게속 우려먹는거 업계 관행인것 같기도 하고..
심지어는 개발만 끝나면 핵심개발자를 자르고(연봉이 높으니..) 초급으로 유지보수하는 경우도 꽤 봤습니다.
이런 경우 솔루션 코어는 못건드리죠.
말로만 윈도우11 지원이니 멀티브라우저 지원이니 하지만 실상은 이제 사용자 퍼센테이지에도 안잡히는 윈도우XP에 IE기반이니.. 이게 마소가 암만 윈도우 신버전 내놓고 해봐야 윈도우 플랫폼의 중심은 계속 구버전에 머무를 수 밖에 없는 구조고 결국 윈도우 플랫폼의 경쟁력을 깎아먹는거죠
그 전에는 전부 고객에게 떠넘기다 언론에 오르내리는 몇 건만 개별 보상하는 싸게 막는 장사니까요
진짜 엄청난 핵심이군요..ㅋㅋ
이체도 어려운 계좌번호보다 그냥 이메일로 보내면 끝.
카드 도용은 가끔 있어도 계정 털린 적은 한 번도 없었습니다.
It강국은.. 예전부터 아니였었죠.
공인인증서를 폐지하고 공동인증서를 쓰는 나라입니다
카르텔 있다고 생각하면 영화를 너무 많이 본거겠죠?
Visual Studio 2005로 금융 보안 프로그램을 개발했으니까요. 그 코드 그대로 지금까지 유지보수만 해왔으니 말다한거죠 ㅋ
...이라죠.
그리고 6자리 숫자로 그 보안툴들 다 무시하고 로그인을 하죠.
전에 지적했던 부분도 다루어 주셨네요. 동일한 보안 솔루션 제품인데 어떤 사이트는 구형 버전을 요구하고 어떤 사이트는 버전에 관계없이 돌아간다고...
이거 이야기 나왔을 때 클량에 어떤 분께서 '은행이 그렇게 요구해서 어쩔 수 없다'는 말도 안되는 이유를 대셔서 벙쪘던 기억이 납니다
전부 보안에 대한 책임을 기관이 아니라 사용자에게 돌리는 상황이죠.
전 세계적으로 유명해지고 있다고 봅니다.
그리고 vs2005도 아마 겨우 업뎃해서 쓰는 게 그거일꺼라 봅니다. 그런 것도 없었으면 아마 6.0 시절 코드를 보고 있었을지도요...
한국에서 보안 프로그램 강제 설치 하는 이유는 보안 프로그램 만능주의 혹은 보안 솔루션 만능주의, 생색내기식 보안만능 주의 때문이라고 봅니다.
인터넷 보안 프로그램 강제 설치하게된 계기가 있었어요.
약 2005년도 쯤에 외환은행 해킹 사건이 있었는데, 해킹 사고 원인이 키보드 보안 프로그램 설치 인해서 해킹 당했다고 결론 지었죠 그 사건 계기로 보안프로그램 강제 설치 되었어요.
키보드 해킹(키로거)을 막으려면 키보드 보안 프로그램 설치 해야한데요.
지금도 그렇지만 그런 억지스런 얘기를 국민들에게 태연하게 생색내고 있죠.
[집중취재]① 인터넷 뱅킹 뚫렸다 - KBS 2005.06.03
https://news.kbs.co.kr/news/view.do?ncd=735696
[집중취재]② 은행 보안프로그램 허점
https://news.kbs.co.kr/news/view.do?ncd=735697
⊙기자: 특히 금감원 조사 결과 이번에 문제가 된 보안프로그램은 윈도95와 98을 쓰는 컴퓨터에는 프로그램이 제대로 작동해도 해킹에 노출될 수 있는 것으로 드러나 금감원이 해당 은행에 개선을 지시했습니다.
이에 따라 보안 프로그램 실행을 의무화하고 보안카드제도의 허점을 보완하는 등 보안강화가 은행의 시급한 과제로 떠올랐습니다
⊙조인국(외환은행 시스템관리팀장): 해킹방지 프로그램을 의무화하도록 그걸 고객하고 약속을 해서 약관에 집어넣는다라든가...
에휴
사회 곳곳의 문제를 관통...
문제점 지적한 보안 전문가 한국 입국하면 바로 체포되겠네요.
저걸 터뜨린 사람 압수수색하고싶어 할듯 ㄷ ㄷ
문젠 c++ 과 자바가 유행할때도 포트란 코볼 이딴거쓰다가
2000년도 들어와서 겨우 c로 바꿧는데
문제는 그것을 분석하고 마이그래이션할
개발자가 시장에 없죠.
더해서
개발의 절대 원칙 일단 돌아가면 건들지 마라 ㅠ
X돼도 내 탓 아니라고 할 양반들입니다
이런식으로 차근차근히 후진국이 되가다가 우리만 괜찮아 하면서 정신승리하고
외국에서는 한국보고 근데 쟤네는 아직 저러네.. 몇년도를 사는거야 그렇게 되가는거겠죠
해외 해커들이 한국인들의 예금을 털어먹을 마음만 먹는다면....
근데 그게 다른것도 아닌 은행이라면.... 설사 바꾼다 해도 빨리빨리의 민족이라 일정도 많이 안줄거고, 다른거 땜빵해야 하는데 저런거 신경쓸 시간이 어딨을까요?? 지금도 주 52시간은 개나줘버린 불쌍한 개발자들 응원합니다... 그래도 토스같은 인터넷 뱅킹들은 신생업체라 조금 상황이 낫겠죠. 10년뒤에 어떻게 될지 모르지만요
3개 설치해서 구멍 뚤리면...다음엔 4개 설치하게 하고....다음엔 5개로....6개로 계속 늘리면 알아서 책임을 다했다고 판정해 주니 해결될 수가 없죠.
https://palant.info/2023/01/09/touchen-nxkey-the-keylogging-anti-keylogger-solution/