תלתעסר

xiii.egloos.com

포토로그 마이가든

아주 조금 더 풀어 쓴 인터넷 뱅킹과 Risk Analysis 문득


*주의

1. "액티브X대신에 플래시를 쓰면 보안성이 좀 올라가지 않을까?"

2. "나도 외국에서 외국 인터넷 뱅킹 쓰는데, 여긴 아무도 불만 없고 사고 났다는 얘기 본적도 없다."

-> 1번에 해당 하시는 분은 그냥 그렇게 생각하시는 건 좋지만, 가능하면 이런 이슈엔 참가하지 마세요.

-> 2번에 해당하시는 분은 자기 컴퓨터에 쉽게 구할 수 있는 키로거 한번 깔아서 뱅킹중에 그게 동작하는지 안하는지 한번 보시고, 가능하면 한국와서 PC방에서 해당 인터넷 뱅킹 써보세요. 그리고 나서 평소에 접하는 미디어에 대한 신뢰를 재고해보세요. 그리고 역시 이런 이슈엔 참가하지 마세요. 

----------------------------------------------------------------------------------------------------

일반적인 개인 유저로 한정한 인터넷 뱅킹 상에 위험 관리를 언급할 경우, 아래와 같은 식으로 간단하게 풀어 볼 수가 있다.

표기 예
붉은 글자 - 실제 형태를 갖춘 위협 요건
푸른 글자 - 보안에서 쉽게 말하는 개념적 통칭
하늘색 - 현 시점에서 해당 기술 자체만으론 꽤 괜찮은(기술적으로 안정된) 보안 솔루션. 

입력 단) 표준입력장치 -> 개인 단말(banking user terminal)
인터랙티브 입력 - id/password - 지식 기반 (키보드 로거/키 입력 후킹,스크린 덤프/화면 표시 후킹:트로이)

+ PKI 기반 인증서(소유 기반/스맛 카드 이외의 경우 해당 인증서 파일 카피:공격형  ,트로이)
+ OTP (소유기반/카드식은 한계가 있으므로, 여기서는 전자식 단말만 언급. 통짜 MITM은 전반적인 취약성이라 OTP취약점으로 보지 않음. 비슷한 의미로 입력 후킹 - last character guessing 을 통한 공격도 OTP 취약점으로는 보지 않음)

(*한국에서 의외로 드문거 , 
-그래픽으로 표시된 키보드를 마우스로 클릭하는 id/passwd 입력 방식
-export 불가능하게 발급된 인증서)

전송 단) 개인 단말(banking user terminal) -> 은행 서버(front end로 한정. banking job front-end)
to 서버 트랜잭션 - 뱅킹관련 job - *특정없음 (암호화/단말 통짜 MITM,공유기 공격형 웜:......)

-실제로 전송단이 차지하는 비중은 작다. 쉽게 말하자면 'SSL 기반 기술이 그렇게 쉽게 터지면 이 세상은 이미 끝났지.' 다.

돈이 오가는 트랜잭션을 감안하여 가용성 부분은 생략.

결론은 사실 단순하다. 

일반 유저를 대상으로 서비스를 할 경우(당연히 기술 전제는 컴퓨터 전혀 모르는 사람이다.)

저 위의 인자를 갖고, 오픈 웹이 주장하는 '그들이 구축 가능하다는 시스템'하고 현행 시스템을 위험분석 해본 다음에 어느 쪽 점수가 더 높은지만 보면 된다. 


포스트 메타 정보

퍼블리싱 및 추천

  • 내보내기
    • 테마 : IT 2009/04/05 13:33

같은 카테고리의 글

트랙백(1)핑백(2) 덧글(2)

트랙백

이 글과 관련된 글 쓰기 (트랙백 보내기)
TrackbackURL : http://xiii.egloos.com/tb/4286514 [도움말]

  • 오픈웹 관련해서 시끄러운 하루하루… 2009/04/06 21:14 #

    요 근래 오픈웹에 반감을 가지는 분들이 굉장히 많아지고 있는 것 같다. 뭐 오늘 읽은 내용만 하더라도 아래 정도? NCHOVY 인터넷 스톰 센터 - 오픈웹의 ActiveX 논쟁 방준영 - 인터넷 뱅킹과 Active...... more

핑백

  • Xeraph@NCHOVY : 오픈웹의 ActiveX 논쟁 2009-04-06 14:10:23 #

    ... 해하기 쉬운 사실오정욱 - 인터넷 뱅킹과 액티브 엑스 논란에 대해서이경문 - 가상소설 : 오픈웹 네버엔딩 스토리서린 - 분석하기 보단 분노하기가 쉽다. 서린 - 아주 조금 더 풀어 쓴 인터넷 뱅킹과 Risk Analysissixthman - ActiveX의 사실과 오해 그리고 공방 이글루스 가든 - professional secur... ... more

  • 오픈웹 관련해서 시끄러운 하루하루… | 내 맘대로 보는 세상 2009-04-06 21:14:30 #

    ... 같다. 뭐 오늘 읽은 내용만 하더라도 아래 정도? NCHOVY 인터넷 스톰 센터 - 오픈웹의 ActiveX 논쟁 방준영 - 인터넷 뱅킹과 ActiveX 서린 - 아주 조금 더 풀어 쓴 인터넷 뱅킹과 Risk Analysis 서린 - 분석하기 보단 분노하기 쉽다 버그 트럭 - 인터넷 뱅킹과 액티브 엑스 논란에 대해서 김휘강 - 오픈웹에서 오해하기 쉬운 사실 #1 이경 ... more

덧글

  • skcom 2009/04/05 16:32 # 답글

    저... 아무리 그래도 그런 단순비교는 조금...

    ActiveX를 통해 시스템 전체를 장악해야만 하겠다는 은행 측 보안 모듈의 태도는, 은행하고 고객 사이에서의 보안도아 높이겠지만, 결국 고객 측 시스템의 보안 정책을 약화시켜, 오히려 더 큰 위험을 일으킨다고 생각하거든요. 그리고 이건 위에서 언급하신 평가 점수에 들어가지 않겠죠.

    ActiveX 보안 모듈을 이용한 보안을 비유를 하자면, 인터넷 상에서 패킷이 중간에서 가로채이지 않을 방법을 고민하는 것과 마찬가지라고 봅니다. 사실상 그런 해결책은 없고, 본질적인 해결책은, 패킷이 가로채여도 상관 없게 양쪽 끝에서 암호화를 해서 보내는 것이죠.

    이것도 역시 마찬가지로, 이런 경우에는, 입력 단이 침입자에게 완전 장악당한 상태(사실, 침입자가 관리자 권한으로 실행 코드만 실행시킬 수 있으면 이건 너무 쉽죠)에서도 금융 사고가 발생하지 않도록 하는 그런 방법을 고민해야 한다고 생각합니다. OTP나 혹은 다른 외부 장치를 양쪽 끝단에 도입함으로서 저는 해결이 가능하다고 믿고요.

    그런 방법이 있다는 조건 아래서라면, 오픈 웹의 80점 정도의 보안성이나 ActiveX의 90점 정도의 보안성이나 크게 중요한 점은 아닌 셈이죠.

  • 서린 2009/04/06 11:02 #

    1. 인자는 단순화 시켰지만, 방법은 단순한게 아닙니다. 저게 모든 보안 솔루션이 선택되어 도입되는 방식입니다.

    2. OTP나 다른 외부 장치를 끝단에 도입하는건 결국엔 비용 문제입니다. 어째서 모든 집 앞에마다 파출소를 설치 하지 않는지(못하는지)를 생각해보세요.

    3. 그런 방법을 쓸 수 없는 상태기 때문에 점수가 중요합니다.
덧글 입력 영역

프로필

검은 수호,그릇된 자들의 왕by 서린

카테고리

최근 트랙백

태그

태그 전체보기

검색

블로그내 검색 영역

RSS

RSS
xiii.egloos.com is powered by Egloos. Subscribe to RSS. Skin design by egloos.