http://jerry.vmcraft.net/ ko Tue, 03 Jun 2008 07:59:49 +0900 Textcube 1.6.3 : Tenuto http://jerry.vmcraft.net/attach/1/1121403923.jpg http://jerry.vmcraft.net/ 506 800 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment189 아이쿠 장문의 글을 기고하시느라 주화입마 되셨겠습니다. ㅋㅋㅋ (Coderant) http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment189 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment Fri, 04 May 2007 13:11:23 +0900 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment190 관심있어 하는 분야라서 이런저런 이야기 하다가 보니, 글이 계속 길어지는군요. ^^ (bluesman) http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment190 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment Mon, 07 May 2007 14:55:11 +0900 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment185 참.. 제 실수도 마저 언급하려고 합니다. 이번 피싱 건을 보니 OTP 보안도 키보드 해킹을 피할 수 없네요. 일단 표적이 된 사람의 컴퓨터에 해킹 툴을 심고 은행 거래가 발생한 것을 엿보다 잽싸게 가로채는 시나리오가 충분히 가능하겠습니다. 제발 이 사람들이 긍정적인 방향으로 사고를 확장했으면 좋겠어요. 세상이 좀 더 밝아질 텐데요. ^^ (wizmusa) http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment185 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment Mon, 22 Jan 2007 17:50:10 +0900 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment186 예, 맞습니다. 막다른 길에서 헤메이기 전에 뭔가 대책을 세우고, 현실적으로 힘들다면, 장기적인 비젼이라도 있어야 할텐데... AS-IS에 대한 대책만 있고, TO-BE는 없죠. 사실 이 부분은 많은 금융권 컨설팅을 담당했던 사람 입장에서도 솔직히 창피한 부분입니다. 저 스스로도 많은 반성을 하게 되는 요즈음 입니다. (Jerry) http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment186 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment Mon, 22 Jan 2007 19:11:07 +0900 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment187 전 솔직히 정부에서 요구하는 그런 최소한의 수준이 도대체 어느정도 인지가 궁금합니다. 외국과 같은 인증방식을 거절하는 이유가 뭔지 정말 궁금하거든요..본인들의 사이트는 외국인증기관으로부터 인증을 받으면서 왜 요구사항은 그렇게 높게 만들었을까요? 외국의 인증방식에 신뢰가 없다면 정부 사이트도 자신들이 입증하는 국내업체의 인증방식을 사용해야 하는 것 아닌가요? 그런데 정작 대한민국 전자정부 웹서버의 신원을 인증하는 서버인증서는 한국의 공인인증기관이 발급한 것이 아니라, 미국의 Verisign/RSA security 회사가 발급한 것입니다. https://www.egov.go.kr/main?a=AA020InfoMainApp 정부의 모순이 전 참 이해하기가 어렵더군요.. 구런데 제가 워낙 기술적으로 아는 것이 없으니 뭔가 다른 이유들이 있겠지만 저 같은 일반 유저들은 저런 모순된 모습을보면 참 많이 햇갈리는 것이 사실이에요..-.-;; (ENTClic) http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment187 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment Tue, 23 Jan 2007 00:33:28 +0900 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment188 아~ 이 문제는 댓글 차원에서 언급하기에는 좀 힘든데... OTL 일단, 서버 인증서 말씀하시는 것 같군요. SSL 통신은 주로 전송구간 암호화를 구현할 때 사용하고, 이는 국내의 금융, 전자정부 시스템에서 빠질 수 없는 보안 설정 중 한가지라고 봅니다. 이 부분에는 CA, RA에 대한 개념이 필요한데, 국제공인인증서를 토대로 네트워크 회선 도청 공격(Sniffing Attack)을 막아주는데 효과적인 수단을 제공합니다. 아마 국내에서는 Verisign 또는 Thawte를 주로 이용하는데, Thawte가 좀 더 저렴하다고 해서 사실 저희 회사도 Thawte를 이용하고 있습니다. 서버 인증서와 흔히 이야기 하는 공인인증서는 다른 개념이기 때문에 구분하여 생각해 볼 필요성은 있습니다. 우리나라에는 서버 인증을 위한 국제공인인증서를 발급할 Root CA가 아마 없는 것으로 기억됩니다. 따라서 국내 업체의 인증방식을 이용한다는 것은 불가능하죠. 따라서 '한승훈'님께서 질문하신... 흐흐... ^^; "외국인증기관으로부터 인증을 받으면서 왜 요구사항은 그렇게 높게 만들었을까요?"라는 질문은 사실 어쩔 수 없어서 그런 것 뿐이지 외국의 인증방식을 신뢰하고 안하고의 문제하고는 거리가 멀어 보입니다. 정부의 모순이라고 정의할 수 없다는 것이죠. 기억나실 겁니다. 1.25대란때 SQL 서버가 Reverse DNS Query를 다량으로 요청하는 바람에 국제 DNS 서버에 대한 호폭주 현상으로 해외망 접속이 거의 차단된 것도 사실 2003년 당시 우리나라에 ROOT DNS 서버가 없었던 이유가 한가지 이유로 등장하기도 했었죠. 솔직히 IT에서도 국가의 힘이 중요하다고 느껴지는 것은 이런 Root 시스템이 존재하는 나라는 거의 강대국이기 때문이죠. 나라가 내 개인에게 무엇을 해주는지 사실 개인이 느끼기는 쉽지 않지만, 핵심으로 접근할 수록 중요한 것들은 거의 대부분 강대국에 존재한다고 보면 거의 맞다고 봅니다. 대한민국은 좀 더 강해져야 할 필요성이 있죠. 최소한의 관리감독 규정이 뭐냐는 것은 금융감독원 홈페이지를 참조하시는 것이 좋을 듯 싶습니다. 아래 사이트를 참조하시면 될 것 같습니다. http://law.fss.or.kr/kor/lms/index.jsp 이곳에서 '전자금융감독규정'과 '전자금융감독규정시행세칙'을 중점적으로 보시면 될 것 같습니다. 물론 '전자금융감독규정'과 '전자금융감독규정시행세칙' 어디를 봐도 MS 기반기술을 이용해서 공인인증서의 사용을 가능하게 하라는 문구는 없습니다. 공인인증서를 사용하는 목적을 크게 5가지 정도로 구분할때, 새로운 대안으로 떠오르고 있는 OpenID 역시 부인방지 기능을 제공하지 못한다는 점에서 OpenID 역시도 공인인증서를 대체할 수 있는 기반기술로써의 역할은 부족해 보입니다. 공인인증서를 쓰는데 있어 보안측면에서는 공인인증서의 이용은 당연한 것이고, 공인인증서 그 자체가 비난 받아야 하는 이유는 없다고 봅니다. 다만, 이러한 공인인증서가 철저히 MS 기반 기술하에서 구현되는 부분이 비난 받을 수 있는 부분이겠지요. 문제는 이러한 부분에 있어 철저히 왜곡된 시장논리에서 발전이 이루어졌다는 부분인데, 사실 현실에 대해서 정부만 비판하는 것도 무책임한 것이라고 봅니다. 이제부터라도 왜곡된 시장을 좀 바로잡아야 할텐데, 정부도 문제에 대한 새로운 인식과 함께, 뭔가를 좀 보여주어야 할 때가 되었다고 봅니다. (Jerry) http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment188 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment Tue, 23 Jan 2007 06:48:19 +0900 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment184 국내의 금융 보안관리 감독규정이나 지침을 보면, 일단 문제점을 제거 하는 방향으로 가는 것을 알 수가 있는데, 문제점을 제거 하기 위한 방법과 실제 구현상에서 철학이란 것이 끼어들 자리는 없어 보입니다. 문제는 바로 이 부분이라고 봅니다. 문제점에 대한 해결은 반드시 해야 할 부분이겠지만, 땜질식 처방과 부작용은 상당하죠. 하나의 거대한 가이드라인이 만들어지고, 이러한 토대하에서 향후 금융이나 전자정부 서비스가 이루어졌으면 하는 바램을 가져 봅니다. (Jerry) http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment184 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment Mon, 22 Jan 2007 19:07:44 +0900 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment183 오해가 있는 부분이 있어 일단 댓글로 남깁니다. 결국 가치판단의 문제인데요. OTP를 써서 안전하다는 말에 확대 해석의 여지가 있는 건 인정합니다만 그 여지를 약점으로 삼는 일은 없었으면 합니다. 제 뜻이 그렇지 않음을 이미 알고계시겠지만요. 제목 선정은 "액티브엑스로 보안이 구현되지 않은 해외 인터넷뱅킹이 불안하다"라는 글에 대한 반대급부일 뿐입니다. 문제는 철학에서 기인한 것 그 이상도 이하도 아니라고 봅니다. 윈도에서의 보안이야 액티브엑스를 쓰건 말건 사실 별 상관이 없습니다. 설마 은행에서 사용자 컴퓨터를 해킹하거나 하지는 않겠지요. 하지만, 다른 운영체제를 사용하는 컴퓨터에게도 통로를 열어주어야 했다는 점은 누구도 부인할 수 없는 사실입니다. 만약 액티브엑스만이 방법이었다면 액티브엑스를 사용하지 않은 해외의 은행들은 죄다 직무유기를 범하고 있다는 것 밖에는 얘기가 되지 않잖습니까. 방법을 아주 잘 알고 있는 액티브엑스만 찾는 것과 종속되지 않은 방법을 찾아내려는 것 사이의 괴리를 사람들에게 전하고 싶었을 뿐입니다. 그리고 국내의 OTP는 벌써 현실화된 일입니다. 신한은행은 OTP 단말기를 무료로 배포하기로 했고요. 다른 은행은 어떻게든 유료로 배포하고 싶어서 눈치만 보고 있네요. 좌우지간 보안이든 뭐든 남에게 떠넘기는 모습이 보기 좋지 않네요. (wizmusa) http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment183 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment Mon, 22 Jan 2007 17:46:55 +0900 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment181 좋은 내용의 글이군요... (마차리) http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment181 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment Mon, 22 Jan 2007 16:51:11 +0900 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment182 사실 이 내용도 비판적 시각에서 보면 공격 여지가 많을 것 같습니다만, 비판이라는 것 자체가 좀 더 나은 미래를 만든다고 보기 때문에 좀 용기를 내어 봤습니다. ^^ (Jerry) http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment182 http://jerry.vmcraft.net/entry/Trackback%EC%9A%A9-%ED%8F%AC%EC%8A%A4%ED%8A%B8#comment Mon, 22 Jan 2007 17:59:50 +0900