https://www.clien.net/service/board/news/13526023?od=T31&po=6&category=&groupCd=CLIEN
새소게에 있는 activex (이하 ax)취약점을 보다가 문득 예전 생각이 났네요. 2011년경인가 오픈넷이라는 사이트에서 공인인증서와 activex 사용의 폐해를 밝히고 법리 측면에서 ax 필수 사용에 대한 위헌을 추진했었죠. 그리고 당시 제가 보안에 관심이 많아서 구글 그룹에서 bugtruck 이라는 보안전문가(?) 메일링 그룹에 가입했었습니다. 그런데 거기 오고가는 메일쓰레드가 가관이었습니다. 서로 지네들끼리 보안전문가 추켜세워주면서 하는 말들이 김기창 교수와 오픈넷의 활동에 대한 비판을 하더군요. 보안기술에 대해 잘 모르는 양반이 ax 걷어냈다가 위험한줄도 모른다며 자기네들끼리 엄청 까대더군요.
전 뭐 이런 애들이 보안전문가 행세하는걸 보고 아연실색을 했었죠. ssl 은 취약한 기술이고, ax 를 사용함으로서 국내 은행이 외국계은행보다 보안이 우수하다는 논리(?) 를 펼치더군요.
저는 그걸 느낀게 지네 밥줄 놓치기 싫어서 오픈넷을 까는
걸로 밖에 안보이더군요. IE 브라우저 종속적이고, ms 도 쓰지말라고 하는 ax 를 옹호하는 그 논리와 이유들이 참 궁색하더군요.
몇 마디 반대 의견을 냈다가 바로 메일링그룹에서 퇴출당했죠.
제가 그런 경험이 있어서 그런지 몰라도 국내 금융 보안환경이 ax에서 exe로 둔갑하고 눈가리고 아웅하는 지경까지 발전이 없는 것은 정작 이를 개선해야 하는 보안업계 종사자들의 소명의식이 결여되어 있는 것도 한가지 원인이라는 생각이
듭니다.
아니면 bugtruck 이라는 그 보안메일링그룹의 유저들이 ax 환경에 밥 벌어먹고 사는 카르텔이었는지도 모르겠군요.
현 시점에서 exe가 아니면 구현이 안되는 요구사항은 어떻게 해결해야 할지 혹시 조언을 구해도 될까요?
예를 들면 사용자가 키보드 누르는 것을 탈취하는 악성코드로부터 보호하는 것 같은거요.
(현재 고민 중인 이슈라서 ㅠㅠ)
화면에서 위치 랜덤 키보드 제공하는 방법이 유일한가요?
키보드 보안프로그램 효과가 30퍼센트도 안된다는 얘기가 있어요.
키보드보안프로그램 보안효과는 지나치게 과장되어 있어요.
국내 문제점중에 키보드 보안 프로그램등 보안3종세트에 대한 보안성 평가가 지나치게 과대평가 되어 있습니다.
보안프로그램을 설치해야 하니까 엑티브엑스, EXE 프로그램가 필요하고 그로 인해 엑티브엑스, EXE 프로그램 덕지덕지 설치되고....
그러다보니 해결이 안되고 계속 악순환 되고 겉돌기만해요.
해결 방법은 운영체제, 웹브라우저 등 업데이트 최신버전으로 업데이트 하시고, 백신프로그램 설치 및 주기적으로 검사해서 악성코드 제거 하셔야 합니다.
신뢰할수 있는 사이트 이용하시고, 수상한 파일 설치 및 실행하는 것을 조심히 하시고요.
인터넷 뱅킹등 웹사이트는 2중인증하시면 될듯합니다. 물론 은행, 카드사, 결제업체 입장에서 FDS 구축해야 하고요.
TLS(SSL) 통신 내용 암호화 해야 하고요.
사용자에 대한 책임을 전가하기 방편을 고민하는
시간에 이상탐지시스템의 알고리즘을 정교히 하는데 투자하는게 맞다고 봅니다
바이러스 걸린 PC 사용하다 비밀번호 탈취된 과정에 대한 명확한 증거가 있다면 사용자 탓으로 돌려야 하는데...
그걸 예방하겠다고 백신을 또 exe로 제공하게 될 것 같네요.
그들 만의 기술이 들어가 있어 100% 참고 하긴 힘들겠지만요.
그렇게 따지면 대부분 소비자 잘못입니다. 그러면 해킹당한 소비자는 배상할 필요가 없습니다.
물론 따지긴 한더라도 소비자의 과실이 매우 적습니다.
외국에서 소비자가 해킹 사고가 이체사고 발생하면 은행이나 카드사, 결제업체가 배상해줍니다.
소비자가 배상금 받으려고 고의로 일으킨것은 제외이긴합니다.
물론 해킹 사고가 나지 않도록 FDS 등을 이용해서 수상한 거래를 중지시키기도 합니다.
왜냐고요? 소비자는 전문가도 아니고 약자 이잖아요.
그래서 소비자 보호를 위해 해킹으로 인한 이체 사고 발생시 은행, 카드사, 결제업체가 배상해줍니다.
배상을 최소화 하기 위해 exe가 아닌 웹 기술만 가지고도 저런 사례를 예방할려면 지속적으로 연구개발을 해야 할 수도 있겠네요.
담당자들은 솔루션 하나 사서 예방했다 하고 책임질 사항이 생기면 업체로 책임을 돌리면 되니까 지금가지 편하게 연구 개발 없이 activex 나 exe를 도입 한 듯 합니다.
출처 : 중앙일보 - MS도 안 쓰는 보안 시스템 … 외국 가면 은행 업무도 못 봐
https://news.joins.com/article/4037405국내에서 특히 인터넷 뱅킹, 결제, 카드, 보험등 액티브엑스, EXE 설치 문제가 발생한 것은첫번째가 금융감독원, 금융위원회가 보안프로그램 의무설치, 및 공인인증서 의무화 해서 금융회사에게 권고입니다.외국에서는 보안대책을 은행이나 카드사가 알아서 세웁니다. 그런데 국내는 금융위원회, 금융감독원등 정부가 일일이 보안을 권고합니다.두번째가 특정기술 및 보안프로그램에 대한 지나친 보안성 과대평가입니다.특히 아직도 금융감독원과 금융위원화가 이 보안프로그램에 대한 과대평가를 은근히 버리지 않고 있습니다. 보안프로그램 덕지덕지 혹은 강제로 설치하면 보안이 좋아진다는 이상한 믿음을 가지고 있어요.
세번째는 공인인증서와 보안프로그램 구현 및 설치를 위해서는 엑티브엑스나 EXE 프로그램이 필요합니다.
말씀처럼 금융감독원, 금융위원회가 보안프로그램 의무설치, 및 공인인증서 의무화 해서 금융회사에 권고하는 이유가 궁금하네요.
은행 자체에서 사용자 친화적인 보안대책 강구하고 책임지면 안정성으로 경쟁도 되고 좋으련만...
써놓고 보니 그렇지 않으면 분쟁이 많이 생길 것 같아서 그렇게 권고하나 싶기도 하네요.