한국 인터넷뱅킹 보안을 지적한 외국 보안 연구자의 글 : 클리앙

새로운소식

한국 인터넷뱅킹 보안을 지적한 외국 보안 연구자의 글 98

300

아름다운별

45,864

2023-01-04 11:46:53 수정일 : 2023-01-09 18:44:39 117.♡.1.77

South Korea’s online security dead end

https://palant.info/2023/01/02/south-koreas-online-security-dead-end/

Hacker News 토론 (위 블로그 작성자 아이디 : palant )

https://news.ycombinator.com/item?id=34231364

외국인의 시각에서 현재 한국의 인터넷뱅킹 상황을 정리하고 평가한 글입니다.

- C++이 아닌 C로 개발함

- C 사용을 문제로 보는 이유 : 버퍼 오버플로 같은 보안 취약점에 취약하기 때문

- 그나마 보안 문제를 완화할 수 있는 최신 컴파일러를 쓰지 않고 15년 전 Visual Studio에 의존

- 번들된 오픈소스 라이브러리도 업데이트가 안 됨 (10년 이상 업데이트 안 된 것도 있다고 함)

- 글쓴이는 가짜(bogus) 보안 애플리케이션 시장이 한국에 형성되어 있다고 보고 있음. 은행이 계속 사주는 한 사는 것이 가치가 있는 것처럼 겉보기에만 치중할 뿐, 실제 보안 투자는 거의 이뤄지지 않는다는 것입니다.

- 관련 벤더들에 본인이 찾은 내용을 고칠 수 있는 시간 90일을 주고 블로그에 내용을 공개한다고 합니다.

이에 따라 오는 1월 9일과 23일, 2월 6일, 3월 6일에 후속 글을 올린다고 합니다.

아름다운별 님의

300명

댓글 • [98]

메모동기화

을 누르면 회원메모를 할 수 있습니다.

아캄

보안을 신경쓰는 척만 해도 책임지지 않을 수 있는 나라니까요.

빅버그

@아캄님 나라 보안도 척만 하는 나라입니다.

WoWman

@아캄님 면피용 공문 발송...

주택금융공사

금융권 개발자들.. 안녕.. 사요나라.. 짜이찌엔...

plaintext

@주택금융공사님
개발자들은 새로운 사업 수요가 생기는건데요?ㅎㅎ

회사는 저걸 개무시할거고
만약 발칵 뒤집히면 신규 개발 수준으로 가야할테니
차라리 이참에 근본적으로 변화가 오면 좋겠어요
특히 ast 너무 싫습니다. ㅠ

M4XiMUEL

재투자 없는 체리피킹의 폐해일까요..

Naleo_

조만간 피바람이 불겠군요. 몸사려야겠는데...

겸이님

규정이 웃겨서 빠져나갈 구멍이 너~무 많아서 그렇지요...

저녁놀

만능 치트키 북한이 있잖아요...

비발디

들통난 건가...

Flyer

하는 척만 하면 판검새들이 알아서 면죄부를 주니까 고칠 필요가 없는거죠.

김나실

이렇게 구멍 투성이인데 애플페이 보안 운운하면서 미룬다는게 참...

5896ㅛ

"가짜 보안시장이 한국에 형성되어있다"

에피네프린

가짜 보수 정치도 형성되어있죠

skymont

@5896ㅛ님
가짜 보안시장이 한국에 형성되어 있는 원인에 대해 보충 설명 드리자면
아마 2005년도 외환은행 사건으로 보안프로그램 강제 설치 때문에 그런걸로 알고 있습니다.
특히 보안 업체들과 한국인터넷 진흥원이 보안프로그램 강제설치 주장 했었죠.

보안프로그램 안깔면 인터넷뱅킹 못한다 - 2005년도 기사
https://www.hani.co.kr/arti/society/society_general/41352.html

물처럼

문외한이지만, 공인인증서도 그렇구 보안업계 자체가 너무 폐쇄적이고 신문물을 안 받아들이고 안주하는 느낌입니다.
이런데 소위 글로벌 스탠다드를 들이대야 할거 같은데요.

@물처럼님
금융은 대표적인 규제산업이고, 금융업계가 안주하는 것이 아니라, 규제가 그렇게 조건을 만들고, 기계적으로 충족만 하면 면죄부를 주기 때문입니다. 해외처럼 보안과 관련해서는 자율권을 주되, 문제가 발생했을 때 책임을 크게 지도록 규제가 바뀌어야만 업계가 변화해갈텐데, 그럴리가 없겠죠..;;;

콜라맛홍삼

@님 이게 맞지요..
규정만 지키면 보안 뚫려도 면죄부를 주는게 아니라, 규정을 없애고 책임을 지라고 하는게 맞죠.

어이쿠아리앙

월급 루팡들 잘려나가는 위기가오나요?

https://www.clien.net/service/board/park/17700582CLIEN

유죄

어이쿠아리앙님// .
.

유죄

cl2m2ncy님// .
.

아마티

90일? 혹시 프로젝트 제로 팀인가요?
다만 취약점이 엄청나게 많을거 같다는건 예상은 가는데, 아직까진 작게는 엉뚱한 통장으로 이체된다던가 크게는 대규모 금융범죄 같은건 아직 안일어난건 또 미스터리네요..

한-라-산

보안이라고 쓰고 내부용 백도어라고 읽는다?

GJ!!!!

PERL

스스로 컴퓨터를 폭파 시킨 알약이 생각나네요.

알게뭐야

본문 읽어 보니 한국 보안 시장을 본질을 잘 파악하고 있네요. '보안 애플리케이션의 고객은 실제 사용자가 아닌 은행이다. ', '은행은 면피용으로 보안 SW의 설치를 강제한다.' '때문에 해킹 사고가 발생해도 은행의 책임은 없다.' '실제 보안 개선에 대한 투자 없이 은행의 요구에 맞춰 가짜 애플리케이션의 쓸데 없는 기능만 늘어났다.'

잇구루

보안사고 터져도 은행은 안망하고 세금으로 메꿔줄테니 별로 심각하게 보질 않겠죠.. 은행 부실해도 계속 세금으로 살려주는 우리.. 횡령 사건 터져도 멀쩡한 우리 국민.. 여론조사와 선거 투개표 시스템 보안문제도 누가 좀 나서주면 좋을듯

plaintext

언어 및 기반 모듈들이 구형일거란 생각은 못했는데
좋은 지적이네요..
관련 업체들이 모두 해당될지 궁금해집니다.

memberst

보안에 맞춘 보안인가? = x
규제에 맞춘 보안인가? = 0
법이나 시행령에서 이런식으로 정의하게 되면 이런식의 기형적 발전을 하게되는 경우가 종종 있죠

@memberst님

@memberst님

해질무렵

@memberst님

https://www.clien.net/service/board/park/17264333CLIEN

꽃길만걷자!

제대로 사건 한번 터져야 싹 물갈이 되겠군요

규민

@꽃길만걷자!님
터진 곳만 덮는 수준입니다.

connec2u

한 번 뒤집어 엎어야 이 판이 살아나죠.
때가 되었군요.

가짜 보안 어플리케이션이라 함은 술상무들 즐비할 것 같은 플러그인 보안 프로그램 업체들을 이야기 하는 건가요?

CRLF

엎는건 좋은데, 이때만 회피할 뿐 보안에 관심을 가질거라고 생각되지는 않아 아쉽기도 합니다.

luxmea

보안에 대한 재투자가 되지 않는다....
관련업체들은 뼈맞은것 같을것 같습니다. ㅎㅎ
금융권 초기에 개발한것 가지고 게속 우려먹는거 업계 관행인것 같기도 하고..
심지어는 개발만 끝나면 핵심개발자를 자르고(연봉이 높으니..) 초급으로 유지보수하는 경우도 꽤 봤습니다.
이런 경우 솔루션 코어는 못건드리죠.

빨간LED

진짜 이런 자칭 보안 프로그램들은 마소에서 설치 금지시켜야 합니다.
말로만 윈도우11 지원이니 멀티브라우저 지원이니 하지만 실상은 이제 사용자 퍼센테이지에도 안잡히는 윈도우XP에 IE기반이니.. 이게 마소가 암만 윈도우 신버전 내놓고 해봐야 윈도우 플랫폼의 중심은 계속 구버전에 머무를 수 밖에 없는 구조고 결국 윈도우 플랫폼의 경쟁력을 깎아먹는거죠

STOWA

금융사고의 책임을 금융사에게 물으면 저절로 보안이 좋아 질겁니다

클라우스

보안 털려서 은행이나 금융사 몇곳 진짜 문 닫아야 고치는 시늉이라도 하겠죠
그 전에는 전부 고객에게 떠넘기다 언론에 오르내리는 몇 건만 개별 보상하는 싸게 막는 장사니까요

엽차

핵심을 정확하게 찌르네요. 보안책임은 금융기관이 지지 않는 현실이죠. 무조건 개인만 지도록 되어 있죠.

Peregrine

"가짜(bogus) 보안 애플리케이션 시장이 한국에 형성"
진짜 엄청난 핵심이군요..ㅋㅋ

@Peregrine님 N읍읍 A읍읍..... 진짜 싹 다 숙청해버리고 싶습니다

레이꽁

으으.. 금융권 개발은 가기도 싫음..

nomadism

기대가 되는 글이며 activeX의 남용, 인터넷 은행 싸이트에서 "구라" 앱 설치 등 각종 문제점을 비교적 잘 보고 있네요. 기대가 됩니다.

kwatch

안랩좀 망했으면

플라타너스

와 이걸 같은 한국인도 아니고 외국인이 하는걸 보게될줄이야… 부끄럽네요 정말.

LinkeneitoR

애초에 법안에서 요구하는 최소한의 한도만 갖춰놔도 책임이 면제되는 시스템이 문제인거죠

레인슽릿

캐나다에선 뱅킹 로그인도 그냥 아이디, 패스워드뿐이죠.
이체도 어려운 계좌번호보다 그냥 이메일로 보내면 끝.
카드 도용은 가끔 있어도 계정 털린 적은 한 번도 없었습니다.
It강국은.. 예전부터 아니였었죠.

기대됩니다. ㅎㅎ

체크카드컬렉터

ActiveX를 폐지하고 .exe를 쓰는 나라
공인인증서를 폐지하고 공동인증서를 쓰는 나라입니다

카르텔 있다고 생각하면 영화를 너무 많이 본거겠죠?

에어임팩트

@체크카드컬렉터님 ActiveX를 폐지하고 .exe를 쓰는 나라-> 마소한테 강제로 액티브X 손절 당하고 대체제라고 내놓은게 가짜 보안 프로그램 강제설치... 라고 해야죠 ㅎㅎ

CRLF

@체크카드컬렉터님 적어도 개발자 레벨에서는 카르텔의 흔적을 보기는 어렵네요.

-rwxrwxrwx

금융 보안 프로그램으로 유명한 회사에 7년 있었는데…
Visual Studio 2005로 금융 보안 프로그램을 개발했으니까요. 그 코드 그대로 지금까지 유지보수만 해왔으니 말다한거죠 ㅋ

우앜앜

-rwxrwxrwx님// I뭐 회사인가요?

M4XiMUEL

@-rwxrwxrwx님 ???: 비쥬얼 스튜디오 채신쓰면! 어! 콤파일 에러만! 나고! 일만! 늘어! 마!

FluffyFox

애초에 한국의 금융 보안 프로그램은 책임 회피용이지 진짜 보안용이 아니니까요 ㅋㅋㅋㅋ

InTheMoodForLove

자랑스런 인터넷 강국
...이라죠.

TokayDrago

"가짜 보안" 명확한 분석이군요.

우주-

술상무들 바빠지겠네요

과달카날

@우주-님 듣보잡이라 신경 안 쓴데요

암비

다섯가지 정도의 보안툴을 컴퓨터에 깔아서 보안을 강화합니다.

그리고 6자리 숫자로 그 보안툴들 다 무시하고 로그인을 하죠.

삽질

좋은 글이네요
전에 지적했던 부분도 다루어 주셨네요. 동일한 보안 솔루션 제품인데 어떤 사이트는 구형 버전을 요구하고 어떤 사이트는 버전에 관계없이 돌아간다고...
이거 이야기 나왔을 때 클량에 어떤 분께서 '은행이 그렇게 요구해서 어쩔 수 없다'는 말도 안되는 이유를 대셔서 벙쪘던 기억이 납니다

@삽질님 개발자 입장서 고객이 요구하면 어쩔 수 없는 것도 사실입니다...

시베리안허세킹

공인인증서나 ActiveX, Ahnlab 쓰던 모양새를 보면, 90일이 아니라 9개월을 줘도 조치가 안될 것 같은데요... -.-;;

로봇돌이

@시베리안허세킹님 깊이 공감합니다.

jayBoogie

90일 후에는 폭탄이 터지는건가요?

clearbible

그나마 금융계가 모바일로 대동단결하고있어서 진짜 다행이에요..ㅎㅎ

fluorocarbon

공인인증서, 보안프로그램, 쓸데없는 비밀번호 규칙들.
전부 보안에 대한 책임을 기관이 아니라 사용자에게 돌리는 상황이죠.

아이러브사람

이것과 비슷한 시각의 이야기를 7년전 이스라엘에서 들었던 적이 있었습니다. 개발 언어에 대한 이야기는 아니었고..(사실, 이것도 해당이 될거라 생각은 듭니다.) 개발 환경이나 보안에 대한 컨셉이 낙후되어 있다 라는 이야기를 들었네요. 간단하게 정리하자면, 보안트렌드에 민감한듯 하나, 실제 보안 트렌드를 쫓아갈만큼 절실하게 보안에 신경쓰지 않는다. 오히려, 사고가 나면 그때 그때 임기응변식으로 한다는 이야기를 실무자와 책임자에게 동시에 들었다고 하더군요. 모..알만한 유명 금융권 보안 담당자였다고.. 이 이야기와 함께, 국내 ISP의 보안 정책도 상당히 문제가 많다는 이야기도 했었습니다. 보안 점검 자체를 하지 않으려고 하는..분위기.. (일 늘어날까봐도 그렇고, 손대기 시작하면 한도 끝도 없단 이야기도 ..) 가장 쉽고, 책임 떠넘기기 좋은 보안 패치만 하는 정도라고 하더군요. 그래서.. 당시에 들었던 좀 충격적인 이야기가 한국의 서버가 해커들이 연습하기에 좋은 곳(?)이라는 이야기도 있었습니다. 그 이유도 그럴듯했구요. 어디에서부터 손봐야하는지.. 갑갑하다는.. 당시에 어떤 보안 담당자는 한국내 보안 솔루션이나, 보안 컨셉을 초월하는 어떤 존재가 있다고까지 이야기 했었지요. 대충 들어서 알긴하는데.. 에휴.. 보안만 그럴지..

규링

이미 공인인증서나 active x, exe 프로그램 덕디덕지 붙은 것들에서부터 가짜 보안이라고 한국 내에서도 말 많았던 거가 뭐...
전 세계적으로 유명해지고 있다고 봅니다.
그리고 vs2005도 아마 겨우 업뎃해서 쓰는 게 그거일꺼라 봅니다. 그런 것도 없었으면 아마 6.0 시절 코드를 보고 있었을지도요...

skymont

이제야 외국 보안 전문가가 한국 보안에 대해서 문제점을 제기 하는군요.

한국에서 보안 프로그램 강제 설치 하는 이유는 보안 프로그램 만능주의 혹은 보안 솔루션 만능주의, 생색내기식 보안만능 주의 때문이라고 봅니다.

인터넷 보안 프로그램 강제 설치하게된 계기가 있었어요.
약 2005년도 쯤에 외환은행 해킹 사건이 있었는데, 해킹 사고 원인이 키보드 보안 프로그램 설치 인해서 해킹 당했다고 결론 지었죠 그 사건 계기로 보안프로그램 강제 설치 되었어요.

키보드 해킹(키로거)을 막으려면 키보드 보안 프로그램 설치 해야한데요.
지금도 그렇지만 그런 억지스런 얘기를 국민들에게 태연하게 생색내고 있죠.

So_What

@skymont님 그 사건!기억납니다.외환은행이었는지는 가물가물했네요.그 이후 그 빌어먹을 키로깅 방지가 은행 공공 아주 덕지덕지가 되버렸죠

skymont

@So_What님 기억이 가물가물 하시니 떠올리게 해드리겠습니다.

[집중취재]① 인터넷 뱅킹 뚫렸다 - KBS 2005.06.03
https://news.kbs.co.kr/news/view.do?ncd=735696

[집중취재]② 은행 보안프로그램 허점
https://news.kbs.co.kr/news/view.do?ncd=735697
⊙기자: 특히 금감원 조사 결과 이번에 문제가 된 보안프로그램은 윈도95와 98을 쓰는 컴퓨터에는 프로그램이 제대로 작동해도 해킹에 노출될 수 있는 것으로 드러나 금감원이 해당 은행에 개선을 지시했습니다.
이에 따라 보안 프로그램 실행을 의무화하고 보안카드제도의 허점을 보완하는 등 보안강화가 은행의 시급한 과제로 떠올랐습니다
⊙조인국(외환은행 시스템관리팀장): 해킹방지 프로그램을 의무화하도록 그걸 고객하고 약속을 해서 약관에 집어넣는다라든가...

미망

한국 전체를 꿰뚫는 말 같습니다.

슈퍼소닉

보안 뚤리면, 북한 해커 소행이라고 핑계대면 되는 것 아니었던가요.

memory

그래도 비쥬얼 베이직이 아니라 C로 만들었군요.... 미국에서 인터넷 뱅크나 각종 관공서 관련 온라인 서비스쓰면서 느낀게 한국 인터넷 환경은 뭔가 잘못되어있는거 같아요.

Kanilea

망분리규제가 구식 시스템에서 벗어나지 못하게 하죠

Nera

매번 깔리는 그 수개의 보안프로그램이 제대로 작동할거라고 생각해본적도 없어요. 근데 안깔면 이용조차 못하게 막으니까... 니책임 니책임 니책임 니책임 깔고 로그인하는거죠
에휴

choochooo

한국에서 보안이란 사업자 밥그릇 지키기 위한 어그로

호록룩

- 글쓴이는 가짜(bogus) 보안 애플리케이션 시장이 한국에 형성되어 있다고 보고 있음. 은행이 계속 사주는 한 사는 것이 가치가 있는 것처럼 겉보기에만 치중할 뿐, 실제 보안 투자는 거의 이뤄지지 않는다는 것입니다.

사회 곳곳의 문제를 관통...

삭제 되었습니다.

빨간소금

금감원 이것들은 관심도 없겠죠?
문제점 지적한 보안 전문가 한국 입국하면 바로 체포되겠네요.

thexero

애초에 키보드보안같은거 설치하면 오히려 내 정보 뺏길것같은 느낌이죠..ㄷㄷ

이것도 참 오래된 카르텔인데
저걸 터뜨린 사람 압수수색하고싶어 할듯 ㄷ ㄷ

보라빛꿈

c++이 좋은줄 모르고 안쓰겟습니까?
문젠 c++ 과 자바가 유행할때도 포트란 코볼 이딴거쓰다가
2000년도 들어와서 겨우 c로 바꿧는데

문제는 그것을 분석하고 마이그래이션할
개발자가 시장에 없죠.

더해서

개발의 절대 원칙 일단 돌아가면 건들지 마라 ㅠ

투더리씨

저번에 털렸을때 x같이 굴었죠..

X돼도 내 탓 아니라고 할 양반들입니다

블루지

일본도.. 지금같은 모양새가 되는데는 하루아침에 저렇게 된게 아니겠죠?
이런식으로 차근차근히 후진국이 되가다가 우리만 괜찮아 하면서 정신승리하고
외국에서는 한국보고 근데 쟤네는 아직 저러네.. 몇년도를 사는거야 그렇게 되가는거겠죠

만체스터레드

인터넷 뱅킹이란게 생긴 이후로 주욱 제가 가지고 있는 걱정과 일치하는군요...
해외 해커들이 한국인들의 예금을 털어먹을 마음만 먹는다면....

구름빵

아주 정확하게 이해하고 있네요. 폭로 터져 나오면 여럿 은행 시끄럽겠군요. 실제로 금융회사만의 문제라고 보기 힘든 것이, 금융 관제 기관들이 지나치게 게으르고 패시브 합니다. 이런 건 최신기술과 안전기술의 중간 영역에 유지하면서 계속 물흐르듯이 함께 발전해 가도록 금융회사를 독려해야 하는 데, 규정 자체를 한심하게 만들거든요. 바이러스 엔드포인트 제품 깔면 조건 만족. 뭐 이런 식이다 보니 제대로 될리가 없죠.

별명뭘로하징

가타부타 말 많지만, 현실은 우리 회사에서 돌고 있는 코드나 플랫폼 바꾸기도 쉽지 않죠....
근데 그게 다른것도 아닌 은행이라면.... 설사 바꾼다 해도 빨리빨리의 민족이라 일정도 많이 안줄거고, 다른거 땜빵해야 하는데 저런거 신경쓸 시간이 어딨을까요?? 지금도 주 52시간은 개나줘버린 불쌍한 개발자들 응원합니다... 그래도 토스같은 인터넷 뱅킹들은 신생업체라 조금 상황이 낫겠죠. 10년뒤에 어떻게 될지 모르지만요