글 잘 봤습니다. 다만, 몇가지 부분에서 조언드리고 싶은 내역이 있어 이를 몇자 적어 봅니다.
조언 1 : "City은행의 보안이 뚫렸다. → 엄밀히 말해서 은행 차원의 보안은 뚫리지 않았다." ==> 암호가 뚫렸다는 것도 알고 보면 암호 알고리즘이 뚫렸다는 말은 아닙니다. 하지만, 모두들 암호 알고리즘이 뚫렸다는 것으로 착각하죠. 마찮가지로 OTP, 인증서, ActiveX 모두가 그 차제가 뚫린다기 보다는 연동구간 인터페이스에서 발생하는 것이 대부분입니다.(물론 그 자체가 Buffer Overflow와 같은 극단적 방법을 통해서 뚫리기도 합니다.) 따라서 이러한 일을 막아내기 위해서 직접통제와 대체통제적 관점에서 2~3중의 보안장치를 만드는 것이라고 봅니다. 이 경우에는 피싱 사이트를 통해 OTP 키를 유출하고 Relay, Replay 공격이 가능하다면, 이것은 뚫렸다고 보는 것이 맞다고 봅니다. Relay, Replay 공격이 가능하다는 의미는 OTP 솔루션 아키텍처에 문제가 있다는 의미죠.(OTP 솔루션 마다 물론 다르고, OTP 전체를 의미하는 것은 아닙니다)
조언 2: "해외는 피싱 피해가 심각하다. → 피싱 밖에 방법이 없었다" ==> 죄송합니다만, 글 내용과 제목 좀 안맞는다고 보구요. 말씀하시고자 하는 의도는 알겠으나, "피싱 밖에 방법이 없었다"라는 제목 선정은 무리가 있다고 봅니다. 오늘 뉴스를 보니까, 해커들에 의해 홈페이지 변조(Deface) 피해를 입은 웹 사이트 정보를 파악하여 서비스하는 것으로 유명한 Zone-h.org 웹 사이트가 사우디 아라비아 해커들에 의해 뚫렸다고 하는군요.(가끔 이 사이트 보면 우리나라 사이트 목록도 엄청 올라 옵니다. ^^) 이런 보안 사이트도 뚫리고 MS도 뚫려서 윈도 소스코드가 노출이 되었다는 이야기도 있었지요. 보안에 엄청난 예산을 투자하는 CIA, NASA도 뚫리는 것이 현실인데, 피싱 방법밖에 방법이 없었다고 단언하는 것은 오류의 가능성이 높다고 봅니다. (본문 내용을 보면 제목과는 다른 내용이어서 사실 제가 이 부분에 대한 조언을 하는 것이 맞는지도 모르겠어요...)
조언 3: "우리나라의 보안 솔루션은 대부분 수입제품입니다" ==> 98년부터 우리나라에서는 정보보호제품의 평가 및 인증 제도를 시행하고 있으며, 국제공통평가기준인 CC 제도를 도입한 것은 2006년으로 얼마전이죠. 이때까지는 정보통신 기반시설로 지정된 국가, 금융, 통신 사업자는 국가에서 지정한 정보보호제품 인증을 득한 제품을 쓸 수 밖에 없었으며, 2006년까지 인증받은 정보보호제품 인증을 득한 제품은 100% 국산제품이라고 보아도 무방합니다. 따라서 우리나라의 보안솔루션은 대부분 수입제품이라는 말씀은 무리라고 봅니다.
조언 4: "해외 인터넷뱅킹은 역시 안전합니다" ==> 제가 볼때는 전체적인 내용을 뜯어 보면, 말씀하시고자 하는 논지는 아래 3단계로 분해 가능하다고 봅니다.
가) 해외 인터넷 뱅킹은 안전하다. 나) 우리나라는 그 수많은 ActiveX 등의 비표준화를 통한 보안 노력에도 불구하고, 해외 인터넷 뱅킹과 비슷하거나 수준이 오히려 낮다. 다) 따라서 해외 인터넷 뱅킹 사례와 같이 해외 인터넷 뱅킹 사례와 같이 좀 더 웹 접근성을 향상 시킬 수 있는 방향으로 가는 것이 맞다.
으로 생각합니다. 솔직히 말씀드리자면, 님의 의견에 상당수 공감하는 것도 사실입니다. 하지만, 도입부분에서의 주장때문에 오히려 다수의 사용자가 잘못된 사실을 인지하는 것은 또 다른 문제라고 보기 때문에 몇가지 조언을 드리게 되었습니다.
1
4
