Extended World스마트폰에서의 금융 거래 때문에 요즘 한창 공인인증서에 관련 논의가 뜨겁습니다.
그림상으로 보면 행자부와 금감원을 위시한 PKI 업체 쪽과 오픈웹을 중심으로 한 네티즌 그리고 기업호민관실과 방통위까지 합세한 형태로 보이네요.
스마트폰의 공인인증서 전자결제 아무 문제 없어
http://openweb.or.kr
이민화 호민관 "스마트폰 공인인증서 강제말라"
공인인증서 v. SSL+OTP
공인인증서 vs SSL+OTP [사실버전]
기술적인 논의와 정책적인 논의가 뒤섞여 현재의 공인인증체계는 아무런 효과도 없다던지 이 기회를 통해 범 국가적인 전자 인감 체계인 공인인증체계를 정비하자던지 이런 저런 얘기가 많습니다.
공인인증체계에 관련된 논의는 꽤 오랫동안 있어왔는데 최근 스마트폰 열풍과 함께 스마트폰 금융 서비스를 발목잡는 원흉처럼 비유되고 있습니다.
여기에 심심하면 한번씩 터지는 개인정보유출 문제...
고객정보유출 통보 받고도 쉬쉬~ 얄미운 기업들
개인정보가 타 사이트에서 세어나가고 공짜 AP를 찾으면 신나서 이용하는 현 상황에서 당신이 해커이고 SSL+ OTP 방식의 스마트폰 뱅킹 서비스가 있다면 무엇을 하겠습니까?
제가 해커라면 아래 정도는 시도해 보겠습니다.
물론 위 시나리오가 충분한 기술적 검토를 거친 공격 시나리오도 아니며 이에 대한 기술적, 정책적 보안 대책도 충분히 있겠지만 이 밖에도 재미있는(?) 시도가 훨씬 더 많을 겁니다. PC나 스마트폰을 해킹하는 것보다는 쉬어보이고 해외에 달리 우리나라의 인터넷 뱅킹 규모는 충분히 해킹해서 재미볼만한 수준이라고 생각되거든요. (그러니 해보라는 얘기는 아닙니다 ^^)
요즘 진행되는 공인인증서 관련 논의를 보니 보안 회사를 싸잡아 비난하는 모습이나 보안 전문가가 아니라며 무시하는 모습이나 나름 재미있게 지켜보고는 있지만 좀 답답한 맘에 이런 글도 적어보았습니다.
양측이 바라는 것은 같겠죠? 안전하고 편리한 온라인 금융거래...
보안과 편리함은 언제나 양날의 검이었죠. 이번 논의의 핵심도 결국은 그 접점이 어디에 있냐는 것일 겁니다.
뭐 이미 기술적인 논의를 벗어나 정책적이고 정치적인 단계로 접어들었다고 보이지만요...
이러한 혼돈의 시기에 세상을 구할 영웅이 나온다고 하던데 차분히 기다려보겠습니다. (개인적인 생각으로는 SSL+OTP가 그 영웅이 아닌것은 확실합니다 ^^)
그림상으로 보면 행자부와 금감원을 위시한 PKI 업체 쪽과 오픈웹을 중심으로 한 네티즌 그리고 기업호민관실과 방통위까지 합세한 형태로 보이네요.
스마트폰의 공인인증서 전자결제 아무 문제 없어
http://openweb.or.kr
이민화 호민관 "스마트폰 공인인증서 강제말라"
공인인증서 v. SSL+OTP
공인인증서 vs SSL+OTP [사실버전]
기술적인 논의와 정책적인 논의가 뒤섞여 현재의 공인인증체계는 아무런 효과도 없다던지 이 기회를 통해 범 국가적인 전자 인감 체계인 공인인증체계를 정비하자던지 이런 저런 얘기가 많습니다.
공인인증체계에 관련된 논의는 꽤 오랫동안 있어왔는데 최근 스마트폰 열풍과 함께 스마트폰 금융 서비스를 발목잡는 원흉처럼 비유되고 있습니다.
여기에 심심하면 한번씩 터지는 개인정보유출 문제...
고객정보유출 통보 받고도 쉬쉬~ 얄미운 기업들
개인정보가 타 사이트에서 세어나가고 공짜 AP를 찾으면 신나서 이용하는 현 상황에서 당신이 해커이고 SSL+ OTP 방식의 스마트폰 뱅킹 서비스가 있다면 무엇을 하겠습니까?
제가 해커라면 아래 정도는 시도해 보겠습니다.
1. 계정 도용 및 보이스 피싱 연계 해킹
우선 그렇게 많이 유출되고 쉽게 구할 수 있다는 유출된 개인정보를 구합니다. 주민등록번호와 이름, 연락처 정도만 있음 됩니다.
그리고 번화가에 무료 무선 AP를 설치해놓고선 좋다고 접속해서 네이버, 다음 등 각종 웹 서비스를 로그인하여 사용하는 사람들의 ID, PWD를 쭉 수집합니다.
몇개월정도 이런 식으로 어느정도 정보가 쌓이면 이제 몇몇 사이트에서 주민등록번호로 ID를 조회해주는 사이트를 통해 주민등록번호와 ID를 매칭시켜봅니다. (여러 사이트에서 많은 사람들이 동일한 ID/PWD를 사용합니다)
이제 ID, PWD, 연락처 등의 정보가 깔끔하게 매칭되었습니다.
이제 SSL+OTP로 서비스하는 은행에 접속합니다. 로그인 화면부터 OTP 번호를 요청하는군요. 해당 사람에게 전화를 겁니다. 어디 은행인데 여차저차하여 본인 확인을 해야 하니 보안 카드를 꺼내서 몇번 몇번에 해당하는 번호를 눈치재치 않게 재주껏 물어봅니다. 해당 번호를 얘기하는 순간 해커는 이제 그 사람 계정으로 로그인을 합니다. 안되는 사람도 있겠지만 수집한 정보가 워낙 많다보니 모 걸리는 사람도 있을 겁니다.
그 다음부터는 설명안해도 아시겠죠?
우선 그렇게 많이 유출되고 쉽게 구할 수 있다는 유출된 개인정보를 구합니다. 주민등록번호와 이름, 연락처 정도만 있음 됩니다.
그리고 번화가에 무료 무선 AP를 설치해놓고선 좋다고 접속해서 네이버, 다음 등 각종 웹 서비스를 로그인하여 사용하는 사람들의 ID, PWD를 쭉 수집합니다.
몇개월정도 이런 식으로 어느정도 정보가 쌓이면 이제 몇몇 사이트에서 주민등록번호로 ID를 조회해주는 사이트를 통해 주민등록번호와 ID를 매칭시켜봅니다. (여러 사이트에서 많은 사람들이 동일한 ID/PWD를 사용합니다)
이제 ID, PWD, 연락처 등의 정보가 깔끔하게 매칭되었습니다.
이제 SSL+OTP로 서비스하는 은행에 접속합니다. 로그인 화면부터 OTP 번호를 요청하는군요. 해당 사람에게 전화를 겁니다. 어디 은행인데 여차저차하여 본인 확인을 해야 하니 보안 카드를 꺼내서 몇번 몇번에 해당하는 번호를 눈치재치 않게 재주껏 물어봅니다. 해당 번호를 얘기하는 순간 해커는 이제 그 사람 계정으로 로그인을 합니다. 안되는 사람도 있겠지만 수집한 정보가 워낙 많다보니 모 걸리는 사람도 있을 겁니다.
그 다음부터는 설명안해도 아시겠죠?
2. 창구 업무에 대한 DoS 공격
이건 더 간단합니다. 무료 무선 AP로 ID/PWD만 쭉 수집합니다.
제법 모이면 은행에 전화겁니다. '나 해커인데 내 요구 안들어주면 너네 창구 업무 마비시킨다~'
당연히 안들어주겠죠? 이제 실력발휘(?) 나서야겠죠?
그냥 SSL+OTP로 로그인하는 은행 서비스에 마구 ID/PWD로 로그인을 시도합니다. ID/PWD가 맞아도 OTP 번호가 틀릴테니 당연히 로그인이 안되겠죠?
지금도 그렇지만 몇번 틀리면 창구 방문해서 본인 확인 받아야 된다고 할 겁니다. (무제한으로 시도가 가능하다면 결국 로그인이 될테니까요)
이런식으로 서비스가 막힌 사람은 황당합니다. OTP 오류 횟수 초과로 은행에 방문하라는 안내가 나옵니다. 은행에서는 ID/PWD 관리 잘못한 당신 책임이니 창구 방문 말고는 방법이 없답니다. 창구에 갔더니 맙소사 그런 사람들도 은행에 사람들로 가득차서 난리가 났네요.
이건 더 간단합니다. 무료 무선 AP로 ID/PWD만 쭉 수집합니다.
제법 모이면 은행에 전화겁니다. '나 해커인데 내 요구 안들어주면 너네 창구 업무 마비시킨다~'
당연히 안들어주겠죠? 이제 실력발휘(?) 나서야겠죠?
그냥 SSL+OTP로 로그인하는 은행 서비스에 마구 ID/PWD로 로그인을 시도합니다. ID/PWD가 맞아도 OTP 번호가 틀릴테니 당연히 로그인이 안되겠죠?
지금도 그렇지만 몇번 틀리면 창구 방문해서 본인 확인 받아야 된다고 할 겁니다. (무제한으로 시도가 가능하다면 결국 로그인이 될테니까요)
이런식으로 서비스가 막힌 사람은 황당합니다. OTP 오류 횟수 초과로 은행에 방문하라는 안내가 나옵니다. 은행에서는 ID/PWD 관리 잘못한 당신 책임이니 창구 방문 말고는 방법이 없답니다. 창구에 갔더니 맙소사 그런 사람들도 은행에 사람들로 가득차서 난리가 났네요.
물론 위 시나리오가 충분한 기술적 검토를 거친 공격 시나리오도 아니며 이에 대한 기술적, 정책적 보안 대책도 충분히 있겠지만 이 밖에도 재미있는(?) 시도가 훨씬 더 많을 겁니다. PC나 스마트폰을 해킹하는 것보다는 쉬어보이고 해외에 달리 우리나라의 인터넷 뱅킹 규모는 충분히 해킹해서 재미볼만한 수준이라고 생각되거든요. (그러니 해보라는 얘기는 아닙니다 ^^)
요즘 진행되는 공인인증서 관련 논의를 보니 보안 회사를 싸잡아 비난하는 모습이나 보안 전문가가 아니라며 무시하는 모습이나 나름 재미있게 지켜보고는 있지만 좀 답답한 맘에 이런 글도 적어보았습니다.
양측이 바라는 것은 같겠죠? 안전하고 편리한 온라인 금융거래...
보안과 편리함은 언제나 양날의 검이었죠. 이번 논의의 핵심도 결국은 그 접점이 어디에 있냐는 것일 겁니다.
뭐 이미 기술적인 논의를 벗어나 정책적이고 정치적인 단계로 접어들었다고 보이지만요...
이러한 혼돈의 시기에 세상을 구할 영웅이 나온다고 하던데 차분히 기다려보겠습니다. (개인적인 생각으로는 SSL+OTP가 그 영웅이 아닌것은 확실합니다 ^^)
