하나은행 사건..

물론 돈을 잃어버리신 분은 안됐지만…

개인적으로는, ActiveX 기반의 은행시스템 취약점을 만천하에 공개한 일이라 여겨지네요.

그래도 안 바꾸겠죠. 금감원도 있고 MB도 있고…

저런 사건이 한 은행에서뿐만 아니라 여러 은행에서 뻥뻥 터져야 ActiveX에 대한 문제점을 깨우치려나요… ;

더욱 더 ActiveX 사용을 강화하지 않을까 우려되는군요. 8-)

ActiveX 만능주의란… ㅉㅉ

X를 강화해도 별반 소용이 없을듯 싶은데요…
이번 하나은행 사건에서 보았듯이…
컴퓨터에 이미 키로거가 설치되어 있으면…
은행 사이트 들어갈때 보안프로그램과 키로거 차단 프로그램 등등 여러개가 실행되어도
속수무책인걸 보여준 예시가 되겠네요.
다만 보안카드가 어떻게 뚫렸는지가 미지수 이지만…

이럴바에야… 우리들이 원하는… 표준화… 제발…
MS 의존성좀 이번에 해결되었으면 좋겠네요…
정말 엑티브 엑스만이 방패는 아니잖아요…흑흑…

액티브X 남용의 본질은…
몇몇 보안액티브X 프로그램 회사와 인증서 관련 프로그램회사들의 밥그릇 보존과
그것에 맞장구 쳐주는 정부 or 공공기관들에 있습니다.

고작 손에 꼽을 수 있는 회사들이 자기네들 기술을 표준, 혹은 의무로 내세워서
새로운 기술이나 국제적인 표준을 가로 막고 있지요.

기존의 액티브X관련해서 한계가 생겨도, 다른 방법을 쓰는게 아니라 어거지로 기존 프로그램을 다시 사용하는 이유가 거기에 있습니다. (대표적으로 리눅스에서 wine으로 보안 프로그램 돌리는 뻘짓을 비롯하여…)

사건이 몇개 더 터지고나면 이게 해결책이 아니라는걸 알게되겠지요…

각종 보안프로그램을 강제로 사용하게 하고 있으면서 사고가 생기면 책임은 전적으로 개인 사용자에게 전가시키는군요.
그럴꺼면 애초에 보안 프로그램의 사용 유무도 사용자가 선택할수 있게 해줘야 하는거 아닌가요.

제 구실도 못하는 보안 프로그램이 실행된 상태로 해킹당하나 없는 상태로 해킹당하나 어차피 책임은 사용자가 지는건데
왜 사용자 마음대로 보안 프로그램을 선택하지 못하는건지 모르겠네요.

제가 보기엔 ActiveX(물론 여기서 언급하는 ActiveX는 은행의 보안용툴이겠죠.)와는 별개의 문제로 보이는군요.
공인인증서가 유출되고, 키로거로 비번까지 유출된 후라면 ActiveX로 할 수 있는 일은 없겠죠.
일반인들의 PC 보안에 대한 무관심이 화를 부른 것 같습니다.
주변 사람들의 부탁으로 그들의 PC를 살펴볼 경우가 많은데, 바이러스 백신이 설치되지 않은 경우가 허다하더군요.
그나마 백신이 설치된 경우에도 업데이트가 되지 않았다던가, 실시간 감시가 작동되지 않는 경우가 많구요.
Windows 업데이트도 거의 안하는 경우가 태반입니다.
심지어 어떤 회사의 사무실과 관공서 PC의 모니터에 친절하게 붙어있는 ID와 Pass를 봤을 땐 경악을 금할 수 없더군요.
그들에게 키로거 같은 해킹툴에 대해 얘기를 하면, 영화속 이야기 정도로 생각을 하죠.
개개인의 보안의식이 없다면 이런 일들은 계속 일어날 수 밖에 없을 듯 합니다.

관련 기사를 찾아봤는데… 제가 은행을 잘 안 써서 그런지 이해가 안 되는 부분이 있네요. 분명 뚫린것은 하나은행인데

[quote="서울신문":2i1hnbl4]
S씨는 이날 오전 11시쯤 [b:2i1hnbl4]국민은행으로부터[/b:2i1hnbl4] 전날 밤 중국에 등록된 IP로 누군가 자신의 계좌에 접근해 인터넷뱅킹을 시도했다는 연락을 받고 공인인증서를 재발급 받은 지 3시간여 만에 피해를 입었다.

[b:2i1hnbl4]국민은행은[/b:2i1hnbl4] 자체 모니터링 결과 이 IP가 지난해 8월 한 고객이 해킹 피해를 입었을 때 사용된 IP와 동일한 것으로 드러나 S씨에게 연락했다.
[[url=http://www.seoul.co.kr/news/newsView.php?id=20090210008013:2i1hnbl4]해당기사보기[/url:2i1hnbl4]][/quote:2i1hnbl4]
…왜 하나은행 뚫린걸 국민은행에서 통보를 받는건지 아시는 분 계신가요? [url=http://news.hankooki.com/lpage/society/200902/h2009021002524521980.htm:2i1hnbl4]한국일보에서도 똑같이 나와 있고[/url:2i1hnbl4]…

근데 이거랑은 별개로 기자들 정말 돈을 날로 먹는군요. 다 다른 사람이 쓴 기산데 내용은 거의 똑같은… -_-;;;

덧: [quote="ace4ker":2i1hnbl4]제가 보기엔 ActiveX(물론 여기서 언급하는 ActiveX는 은행의 보안용툴이겠죠.)와는 별개의 문제로 보이는군요.
공인인증서가 유출되고, 키로거로 비번까지 유출된 후라면 ActiveX로 할 수 있는 일은 없겠죠.
(중략)
그들에게 키로거 같은 해킹툴에 대해 얘기를 하면, 영화속 이야기 정도로 생각을 하죠.
개개인의 보안의식이 없다면 이런 일들은 계속 일어날 수 밖에 없을 듯 합니다.[/quote:2i1hnbl4]
달걀이 먼저냐 닭이 먼저냐 같은 이야기가 되겠습니다만… "해킹방지" activeX를 그렇게 겹겹으로 깔라고 하고, 보안카드 발급해 주고 인증서까지 써가면서 로그인 하는걸 강제하는 상황에서 일반인보고 더 관심을 가지라고 하는것 자체가 무리라고 생각합니다. 애초에 "저희가 보안을 지켜 드리겠습니다" 라고 하면서 깔게 되어 있는 물건들인데 그 이상을 해야 한다는 생각이 안 드는게 당연하잖습니까? 차라리 웹에서 뭐가 가능하고 뭐가 불가능한지를 인정하고 사용자들에게 이를 알리는 것이 훨씬 피해를 줄일 수 있는 방법일텐데 말이죠.

키보드 보안만을 가지고 하는 이야기긴 하지만… KLDP에서 꽤나 뜨겁게 토론이 이뤄진 적이 있었죠. 상당히 긴 편이니 시간을 좀 두고 읽어 보시는게 좋을겁니다.

http://kldp.org/node/75119 http://kldp.org/node/94282

[quote="ace4ker":7of76kwg]
일반인들의 PC 보안에 대한 무관심이 화를 부른 것 같습니다.
[/quote:7of76kwg]

그건 맞는 말입니다.
개개인의 보안의식이야 말로 최고이자 최후의 방어선이죠.

다만, 은행 보안 프로그램이 그런 무관심을 더 불러 일으키는 면도 있습니다.
사람들이 은행 보안 프로그램만 믿고 있는 경우도 있고 (예를 들어 게임계정해킹을 예방하자며 공공연하게 퍼져 있는 팁중에 하나가 은행 보안 프로그램을 설치하자라는것도 있을 정도입니다)
은행 보안 프로그램에서 문제가 생겨 전화로 문의하면 백신을 끄라고 안내 하는 경우도 있습니다.

그리고 원래 은행 보안 프로그램이 키로거를 막을 목적도 있었습니다만, 최신 기술에는 방어를 못한거죠.

제 생각에는 은행에서 액티브X로 보안프로그램만 설치해서 임시적인 방어력을 갖출게 아니라, 은행 고객들에게 항시 OS를 방어할수 있는 보안 제품(V3같은거라라도…-_- 개인적으로 믿지 않는 브랜드지만) 을 공급했으면 좋겠습니다.

윈도우즈라면 보안 업데이트(대부분 자동으로 설정되어 있죠)하고, 백신(알약, V3Lite, PC그린 등 무료도 많죠) 깔고, 실시간 감시에 자동 업데이트만 해도 충분할텐데요.

[quote="Vulpes":fp69zbuo]"해킹방지" activeX를 그렇게 겹겹으로 깔라고 하고, 보안카드 발급해 주고 인증서까지 써가면서 로그인 하는걸 강제하는 상황에서 일반인보고 더 관심을 가지라고 하는것 자체가 무리라고 생각합니다. 애초에 "저희가 보안을 지켜 드리겠습니다" 라고 하면서 깔게 되어 있는 물건들인데 그 이상을 해야 한다는 생각이 안 드는게 당연하잖습니까? 차라리 웹에서 뭐가 가능하고 뭐가 불가능한지를 인정하고 사용자들에게 이를 알리는 것이 훨씬 피해를 줄일 수 있는 방법일텐데 말이죠.[/quote:fp69zbuo]
제 생각을 말씀드리자면 이렇습니다.
어떤 집이 있습니다. 그집은 대문을 지나면 현관문이 나오고, 현관문을 들어서면 거실에 금고가 있습니다.
금고를 판 회사는 "우리 금고는 특수한 잠금장치가 되어 있으므로 신뢰할 수 있다."고 말했습니다.
그런데 이 금고가 순식간에 털려버렸습니다.
집주인이 대문과 현관문을 열어두고 거실 입구에 금고라고 적힌 열쇠를 놓아두었기 때문이죠.

[quote="draco":fp69zbuo]다만, 은행 보안 프로그램이 그런 무관심을 더 불러 일으키는 면도 있습니다.
사람들이 은행 보안 프로그램만 믿고 있는 경우도 있고 (예를 들어 게임계정해킹을 예방하자며 공공연하게 퍼져 있는 팁중에 하나가 은행 보안 프로그램을 설치하자라는것도 있을 정도입니다)
은행 보안 프로그램에서 문제가 생겨 전화로 문의하면 백신을 끄라고 안내 하는 경우도 있습니다.[/quote:fp69zbuo]
답답하지만 그게 현실이죠.
그래서 제가 개개인의 보안의식의 중요성을 말씀 드린거구요.
컴퓨터를 배우는 단계에서 부터 보안 교육이 좀더 진진하게 이루어져야 한다고 생각합니다.

[quote="draco":fp69zbuo]제 생각에는 은행에서 액티브X로 보안프로그램만 설치해서 임시적인 방어력을 갖출게 아니라, 은행 고객들에게 항시 OS를 방어할수 있는 보안 제품(V3같은거라라도…-_- 개인적으로 믿지 않는 브랜드지만) 을 공급했으면 좋겠습니다.[/quote:fp69zbuo]
가장 합리적인 생각입니다만, 현실적으로 걸림돌이 너무 많죠.
"자물쇠를 여러개 다는 게 안전한가? 하나만 다는 게 안전한가?"의 문제가 될 수도 있겠고,
누군가 모든 은행들의 요구조건을 충족시킨 제품을 개발한다고 해도, 채택 시에는 특혜 내지는 독점 시비에서 자유롭지 못한 상황이 발생할 수도 있을 것 같네요.
게다가 사고 발생 시 모든 책임을 떠안아야 한다는 게 보통 문제는 아니라고 봅니다.

[quote="ace4ker":19gmr7s7]제가 보기엔 ActiveX(물론 여기서 언급하는 ActiveX는 은행의 보안용툴이겠죠.)와는 별개의 문제로 보이는군요.
공인인증서가 유출되고, 키로거로 비번까지 유출된 후라면 ActiveX로 할 수 있는 일은 없겠죠.
일반인들의 PC 보안에 대한 무관심이 화를 부른 것 같습니다.
주변 사람들의 부탁으로 그들의 PC를 살펴볼 경우가 많은데, 바이러스 백신이 설치되지 않은 경우가 허다하더군요.
그나마 백신이 설치된 경우에도 업데이트가 되지 않았다던가, 실시간 감시가 작동되지 않는 경우가 많구요.
Windows 업데이트도 거의 안하는 경우가 태반입니다.
심지어 어떤 회사의 사무실과 관공서 PC의 모니터에 친절하게 붙어있는 ID와 Pass를 봤을 땐 경악을 금할 수 없더군요.
그들에게 키로거 같은 해킹툴에 대해 얘기를 하면, 영화속 이야기 정도로 생각을 하죠.
개개인의 보안의식이 없다면 이런 일들은 계속 일어날 수 밖에 없을 듯 합니다.[/quote:19gmr7s7]

제 생각도 그렇습니다. 이 사건의 경우도 해당 PC가 사실상 활짝 열려 있던 상태가 아닌가 보이는군요. 거기에다 키로거 같은 게 떡하니 들어앉게 되면 그 뒤에는 그거 막는다고 뭔 짓을 해도 막지 못하죠.

Windows 업데이트는 아예 꺼놓고, IE6 보안 안좋고 공식지원도 중단됐으니 쓰지 말라고 그렇게 난리쳐도 IE7은 느리다고 죽어도 업데이트 안하며 도리어 '역시 한국에선 IE6이 최고’라고 헛소리하는 놈(제가 IE6 전용 초강력 악성코드로 온나라 쑥대밭 얘기 괜히 하는 게 아님)…백신 업데이트 안하냐고 하면 돈 아깝다고 크랙 구해달라는 놈(무료백신의 존재 같은 건 아예 모르며 알려고도 안함. 좀 맞아야…) ID랑 패스워드 떡하니 붙여놓기…하여간 별의 별 인간들이 다 있죠. 그런 상황에서는 온 난리를 다 쳐도 사고가 안 날 수 없죠.

다른 얘기지만 이참에 보안도 다양한 플랫폼을 지원할 방책을 좀 강구하면 안되는지…불여우에서는 256비트 암호화를 자체지원하는데 망할 IE 때문에 모 사이트에서 '128비트 암호화 모듈’이라며 ActiveX 컨트롤 깔아대는 꼴을 보고 있자니 원 기가 막히데요.

[quote="ace4ker":22woth3n]제 생각을 말씀드리자면 이렇습니다.
어떤 집이 있습니다. 그집은 대문을 지나면 현관문이 나오고, 현관문을 들어서면 거실에 금고가 있습니다.
금고를 판 회사는 "우리 금고는 특수한 잠금장치가 되어 있으므로 신뢰할 수 있다."고 말했습니다.
그런데 이 금고가 순식간에 털려버렸습니다.
집주인이 대문과 현관문을 열어두고 거실 입구에 금고라고 적힌 열쇠를 놓아두었기 때문이죠.[/quote:22woth3n]
다른 부분은 십분 동감합니다만… 단 한가지: 현재 상황은 "우리 금고는 특수한 잠금장치가 되어 있으므로 신뢰할 수 있다." 라기 보다는 "우리 금고를 들여 놓으면 도둑들에게서 집을 지켜줍니다" 라는 늬앙스를 풍기고 있다고 생각합니다. 어차피 일반인들의 기술 이해는 그 정도까지니까요. 해킹방지 툴이고 이게 보안을 위해 필요하다고 하면 이걸로 해킹 방지가 되는구나 하고 생각하는게 일반인이죠. 이걸 바꿀려면 애초에 은행측에서 자신들의 능력밖의 보안을 약속하지 말아야 하고 보안 취약점이 뭔지 처음부터 고객에게 알려야 한다고 생각합니다.

아무튼 지금의 정책은 여러사람 피해 보는 정책입니다. 모르는 사람은 마냥 모르고 있어서 이렇게 한번씩 피해 보고, 아는 사람은 이게 하등 쓰잘데기 없는 거라는걸 알면서도 안 깔지 못해서 피해 보고… -_-

엑티브액스로 보안프로그램을 까는순간 이미 보안은 뚤린겁니다.

왜냐하면 외부의 프로그램이 사용자의 묵인아래 자유롭게 설치되고

시스템을 제어할수 있기 때문입니다.

이는 자신도 모르는새 이미 자기 정보가 밖으로 술술 샌다는걸 뜻합니다.

핸드폰인증이고 나발이고 맘먹고 덤벼들면 못깰놈 몇놈이나 되겠나요.

남이 통화하는것도 엿들을수 있고 위치까지 추적되는 마당에 …

copy가 자유로운 디지탈세상에선 말이죠
보안이란 스스로 지켜야하는겁니다 남한테 의지해바야 100% 뚤리는거임.

귀농전에 제가 은행간다니까 친구넘이 야 디지털세상에서 무슨 은행을 직접가냐 컴터로 해 컴터로 라고 하길레
제가 한마디 했었습니다. 그런건 너처럼 무식하고 게으른 애들이 쓰는거고 나같은 디지탈리더는 안써 짜샤 라고…

캬 핸드폰 편하죠 여기저기서 언제어디서나 통화할수 있고 너무 편합니다.
근데 이게 족쇄에요…족쇄…삐삐도 족쇠였심…
왜냐구요? 사람이란 몰하던 혼자 있고 싶을때도 있고 뭔가에 열심히 열중일때도 있는겁니다.
어디있냐? 뭐하냐? 왜 전화 안하냐? 너왜 거기있냐?
꺼두면 나중에 그 뒷감당하기란…
개나소나 죄다 손바닥에 카메라 티비 엠피쓰리 다 들고 다니죠
몬 한마디하면 바로 녹음 촬령 들어가죠. 그냥 사진도 아닌 동영상이더군요.
찍은후엔 그자리에서 넷북열고 바로 전송하더군요 무서운세상입니다.
더 이야기 하자면 이야기가 삼천포로 빠질테니…이쯤하고…

여튼 각종카드복사에 핸드폰복사까지 여러분은 과연 자신만의 세상에서 세상을 바라보는걸까요?
아닙니다. 님이 보고 있는것은 님의 눈을 통해서 님의 말을 통해서 이미 세상은 공유아닌 공유를 하고 있습니다.
자신의 아이디 비밀번호 은행 자주만나는 연인도 님들이 모르는 사이 이미 공유되어 가는 세상입니다.

나만은 안전하겠지? 안전불감증이란 단순히 물리적손실만을 일컷는것이 아닌 보안불감증도 같은 말인겁니다.

스스로 지켜야지 남이 깔아주는 보안시스템에 의존해서야 쓰겠습니까.
그런 의미에서 다들 =_= 운동삼아 은행가세요~

[quote="deadsky":5xd3clen]그런건 너처럼 무식하고 게으른 애들이 쓰는거고 나같은 디지탈리더는 안써 짜샤 라고…[/quote:5xd3clen]
뜨끔! :o