한국 금융 보안 프로그램의 실태

한 글이 일으킨 파장 #

원본 글

Hacker News

번역본 - woojinkim.org

막다른 골목에 다다른 한국의 온라인 보안 실태 - GeekNews

저는 개발자로써, 맥 컴퓨터를 사용하며 뱅킹을 주로 이용하는데 항상 의문이 많았습니다. ‘왜 우리나라는 아직도 Plugin에서 벗어나지 못했을까?’ 그러던 와중 개발자 분들께 많이 회자되고 있는 한 글의 댓글 내용들을 한번 정리 해보았습니다. 기성 은행권에서는 웹 표준을 준수하는 보안 체계를 만들면 좋겠습니다.

뜻을 그대로 전달하기 위해 어느정도 의역이 들어가있으니 참고 바랍니다. 원본의 글들이 워낙 분량이 많아 제가 최대한 요약을 한 내용입니다. 가능하다면 직접 들어가서 살펴 보시는것이 좋을것 같습니다. 원본의 댓글 출처를 남겨 놓았습니다.

오역한 부분이 있거나, 어색한 점이 있다면 댓글 혹은 이메일 [email protected] 로 말씀해주시면 최대한 빨리 반영 하도록 하겠습니다.

• 한 글쓴이는 한국인임을 밝히며, 한국에서 ActiveX와 설치형 플러그인을 쓰게된 계기를 말함.
  • 1999년에 제정된 전자서명법에서는 디지털 파일 형태로 된 공인인증서 사용만을 제한함. (2020년에 사라짐)
  • 한국의 금융 규제기관은 보수적이지만, 정치인들이나 미디어는 금융 소비자들의 편을 들려고 함. 그래서 사용자의 컴퓨터에 설치된 키로거로 인한 비밀번호 유출이더라도, 사용자의 실수를 은행의 잘못으로 돌림.
  • 법과 금융 규제기관의 규제에 따라 금융기관은 규제를 충족하는 보안 프로그램만 구매할수 있음. 특히 보안 프로그램은 국정원에서 부여하는 CC 인증을 필수로 함. 하지만 국정원에서는 암호 알고리즘의 사용 여부 (국산 암호 알고리즘 SEED, ARIA, LEA 등)를 중점적으로 보지, 구식 컴파일러인지는 신경도 안씀
  • 금융 기관 자체에서 보안에 신경을 쓰지 않음. 글쓴이가 보안 업계에서 일할때 ATM에서 Windows XP SP2를 쓰는것을 목격함. 그 당시는 Windows XP가 단종되었고, 보안 프로그램은 Windows XP SP3 이후를 지원했었음. 더 심각한것은 몇년전에 사이버 공격으로 회사 전체가 마비된 경험이 있던 곳이었음.
  • r2vcap
• 한 글쓴이는 자신이 모질라 직원으로 2007년 한국에 방문했을때가 기억이 난다며, 자신이 당시에 올린 블로그 글을 올림
  • (2007년인 만큼 지금과는 상황이 다른 점을 고려해 주세요)
  • 한국은 기술의 최전선이자 전자 상거래의 선구자이며, 3G 기술을 빠르게 도입한 나라중 하나임. 유토피아같지 않나?
  • 하지만 틀림. 한국은 독점적인 시장으로 99.9%의 사용자가 마이크로소프트 윈도우를 사용중임.
  • 맥 사용자는 온라인 뱅킹도 불가 하며, 물건의 온라인 구매나 전자정부 사이트 접속조차 어려움. 파이어폭스나 오페라도 마찬가지임.
  • 1998년엔 128bit SSL가 완성되지 못함. 또한 당시 한국은 온라인 금융 거래에 40bit 암호화를 법적으로 금지해놓았음. (미국에서 128bit 암호 체계에 대한 수출 규제도 있었음) 128bit 암호 체계의 필요성 때문에, 한국은 KISA (한국인터넷진흥원)을 후원해서 블록 암호 체계인 SEED 암호 체계를 만듬
  • SEED 암호 체계를 사용하기 위해서는 Active X 등의 플러그인이 필요함, 하지만 Active X 는 바이러스의 공격점이 되기도 함.
  • 이 문제들을 해결하려면
    1. 한국의 법을 개방된 인증기관 표준에 맞춰야 함
    2. 새로운 인증서를 모든 웹 사이트에 다시 발급해야 함
    3. 128bit SSL을 지원하도록 사이트들을 모두 재 개발해야 함
  • Gen Kanai
• 한 글쓴이는 한국씨티은행에서 설치하는 Plugin들을 살펴봄
  • oncontextmenu=”return false” 를 이용해서 우클릭을 방지함. 이 기술은 90년대에 사이트에서 퍼가는것을 방지하려고 했던 기술들을 생각나게 함. 그런데 요즘 브라우저들은 개발자 도구가 탑재 되어있어서 좀 어이가 없었음
  • 엄청나게 무거운 난독화된 javascript 코드가 잔뜩 들어있음 심지어 압축(minify)도 되어있지 않고 내부에서 쓰는 주석들은 남아있음
  • 그래도 macOS, Windows, Fedora, Debian을 지원하는 것은 괜찮았음
  • Plugin이 설치 되어있는지 확인은 JSON-P를 이용해서 localhost 웹 서버에 접속을 시도함 (이것 또한 옛 기술임)
  • varenc

제 생각 #

한국의 독자적인 암호 체계에 대해서는 학계에서 우수성을 인정받고, SEED 암호는 국제 표준으로 등록 되었을 정도로 좋은 암호 체계라고 생각합니다. 하지만 이를 적용하는 규제나 법률등은 이제 바뀌어야 한다고 생각합니다. 지금 세계는 하루가 다르게 바뀌고 있습니다. 외국인들은 한국 은행에 접근 자체가 어렵다고 합니다. 저는 금융권의 웹표준 준수를 바라고 있습니다.