| Date | 23/01/10 14:43:24 |
| Name | Hard Rock Cafe, |
| File #1 | 1.png (11.6 KB), Download : 8 |
| Subject | 외국 보안 연구자가 분석한 한국 인터넷뱅킹 보안 |
 https://palant.info/2023/01/02/south-koreas-online-security-dead-end/ (들어가면 한국어 번역본 링크 있습니다.) Wladimir Palant는 크롬 확장프로그램 AdBlocker의 개발자이기도 합니다. 그는 작년 9월, 한국에서 '비정상적으로 높은 사용자 수'를 보유한 프로그램들이 눈에 띄었는데 놀랍게도 전부 보안프로그램이었다고 합니다. 그런 점에 흥미를 느껴 한국 인터넷뱅킹 프로그램을 분석하기 시작했습니다. 현 상황이 발생하게 된 역사적인 배경과 더불어 프로그램의 수준(Software quality), 문제점과 현 상황을 수준 높은 내용이면서, 읽기 쉽게 작성한 아주 좋은 분석글입니다. 그는 대표적인 문제점으로 몇 가지를 짚었습니다. 1. C++ 대신 복잡한 상호작용에 취약한 C언어를 사용. 2. 언어 환경 때문에 메모리 버퍼 등의 취약점 발생 3. 최신 컴파일러를 쓰면 해결되는 취약점도 있는데, 구식 컴파일러 쓰는 15년 된 비주얼 스튜디오를 사용 4. 사용하는 오픈소스도 전부 옛날 버전. 뭐 아무튼 분석해봤더니 여러모로 개판이더라, 라는 내용입니다. 그리고 친절하게 취약점을 각 회사에 공지하였고, 90일 뒤에 이를 공개하기로 했습니다. 그 중 하나가 어제 1월 9일입니다. 취약점이 공개된 프로그램은 '라온 시큐어의 TouchEn nxKey' 입니다. 익숙한 이름이죠? 사용처를 찾아봤는데 이름 나열하기 무의미한 정도입니다. 정부 공공기관, 은행에서 사용하지 않는 곳이 없었습니다. 글 말미에 Wladimir는 취약점 공개 전까지도 수정(or 배포)가 되지 않은 곳이 많다고 언급하였습니다. 놀라운 사실은 아니지만, 암담한 환경을 살갗으로 느끼는 듯하여 한숨만 나오네요. 이 또한 기형적인 현 구조에서 비롯된 것이겠지요. 아래에서 'TouchEn nxKey' 분석글과 함께 다음 공개 일정을 확인하실 수 있습니다. 읽어주셔서 감사합니다. 2023-01-09: TouchEn nxKey: The keylogging anti-keylogger solution 2023-01-23 (January 23rd) 2023-02-06 (February 6th) 2023-03-06 (March 6th) 6
이 게시판에 등록된 Hard Rock Cafe,님의 최근 게시물 |
|
인증서 자체를 HDD, SDD, USB 할거 없이 '개인의 스토리지 공간'에 받아서 저장한다는 점에 있다고 봅니다.
그게 공인인증서 다운로드 인데.. 이게 일반 사용자 PC에 버젓하게 있으니 보안에 도움이 될 리가 없습니다.
(심지어 그 인증서 파일 받는 위치를 사용자 임의로 변경하거나 수정도 못하는 고정위치에 있다는거..)
RSA 인증 방식 자체야 높은 보안성능을 가지고있다지만, 막상 인증서는 개인사용자 PC에 덩그라니 있는 현실이 문제죠
근본적인 원인은, 이로 인해 은행 보안이 뚫림으로 인... 더 보기
인증서 자체를 HDD, SDD, USB 할거 없이 '개인의 스토리지 공간'에 받아서 저장한다는 점에 있다고 봅니다.
그게 공인인증서 다운로드 인데.. 이게 일반 사용자 PC에 버젓하게 있으니 보안에 도움이 될 리가 없습니다.
(심지어 그 인증서 파일 받는 위치를 사용자 임의로 변경하거나 수정도 못하는 고정위치에 있다는거..)
RSA 인증 방식 자체야 높은 보안성능을 가지고있다지만, 막상 인증서는 개인사용자 PC에 덩그라니 있는 현실이 문제죠
근본적인 원인은, 이로 인해 은행 보안이 뚫림으로 인해 사용자가 피해를 보게 되는 경우
은행의 100% 책임이 아닌 사용자 책임 으로 정책을 잡은 점입니다.
1차 원인(사용자) > 2차 원인 (하청 보안업체) >>>>>>>>>>>>>> 모기업(대기업) 순서로 책임을 씌우고 있으니
이게 보안이라고 보는것도 웃기는 일이죠.
보안 전문가는 아니지만 SW개발쟁이 입장에서는 참.. 씁쓸하죠
2) 1 에서 이야기한 모의 해킹, 취약점 분석 같은 업무를 하는 인력이 일반 SW 개발자에 비해 상당히 적습니다. 다른 나라에 비해서 더 적은지는 잘 모르겠지만요. 이런 인력이 적은 이유에 대해서 개인적으로 생각하는 이유는,
가... 더 보기
2) 1 에서 이야기한 모의 해킹, 취약점 분석 같은 업무를 하는 인력이 일반 SW 개발자에 비해 상당히 적습니다. 다른 나라에 비해서 더 적은지는 잘 모르겠지만요. 이런 인력이 적은 이유에 대해서 개인적으로 생각하는 이유는,
가) 필요로 하는 지식이 상당히 많습니다. 원래 SW 쪽에서도 공부 양이 제일 많다고 이야기되는 분야 중 하나가 보안입니다.
나) Job 이 상대적으로 많지 않습니다. 국내 보안회사라고 해봐야 몇개 되지도 않고 그들 대부분도 커봐야 중견 정도 입니다. 그 안에서도 보안 소프트웨어 개발직군이 더 많고 이런 종류의 취약점 분석 업무를 할 수 있는 직군은 정말 소수입니다.
따라서 이런 종류의 분석을 이 정도의 퀄리티로 정리해낼 수 있는 인력이 그렇게 많지 않다고 알고 있습니다.
다만 이 정도로 분석을 하지 않아도 금융권에서 사용하는 보안 소프트웨어에 문제가 많다는 것은 다들 알고 있습니다. 동시에 이건 기술의 문제가 아니라 회사 간의 이권의 문제라는 것도 잘 알고 있었지요. 특히나 금융권 쪽은 자체 IT 개발 인력이 많지 않고 SI 와 SI 스러운 솔루션 업체의 인력들에 의해서 만들어지고 있는데요. 이 구조상 의사결정자(갑)와 실제 개발 인력(을)이 나뉘어질 수 밖에 없고 을은 기술적 이슈로 갑을 설득할 수가 없습니다. 애초에 기술적인 요구사항을 만족시키기 위해 사용하는 솔루션이 아니라서요. 결국 기술적인 이슈를 제기한다고 하더라도 개선이 쉬울리 없습니다.
이번 경우는 오히려 외국인이어서 이런 동기를 잃지 않고 이슈 제기를 하기 쉬웠다고 보입니다. 그리고 그를 뒷받침하기 위한 분석 역량이 뛰어나기도 했구요.
그리고 내부적으로도 SI 나 솔루션 쪽은 다른 B2C 서비스 분야에 비해서 기술 변화가 느리고 새로운 기술 도입에 보수적인 경향이 있습니다. 따라서 자정 작용이 나올만한 동기가 별로 없었을 것으로 추측합니다.
말씀 들으니 일리가 있어 보이는데, 사회 구조적 요인으로 기술적 이슈를 제기할 동기가 줄어들었다는 점은 꽤 안타깝네요. 그 사회구조 역시 충분한 분석 대상이고 사회적으로 문제가 노출 될 이유는 더 크지 않습니까? 그런데 오히려 그것이 제한 요소로 작용했다니 한국에서 문제를 없애는 방법은 문제를 더 크게 만드는 것인지, 하는 생각이 듭니다.
| 목록 |
|
