링크 : 외국 인터넷 뱅킹 어떻게 하나

링크 : 해외 인터넷뱅킹 보안현황 조사보고서
- 금융보안연구원에서 "해외 인터넷뱅킹 보안현황 조사보고서"발표했으나 금감원에서 언론보도를 막고 있다고... (물론 이미 받아놨음...)

링크 : 한국과 미국의 인터넷 뱅킹
(이 글은 글도 좋지만... 댓글들에 좋은 글들이 많이 있다.)

링크 : 한국은 왜 ActiveX 를 버리지 못하고 있는가?

링크 : ActiveX와 인터넷 뱅킹
(이 글에서는 반대편의 입장에서 이야기하고 있다. 그래서... 댓글이 전쟁터가 되었다.)

관련 뉴스 : 미 인터넷 뱅킹 해킹 사고 증가
- 작년 한해 동안 인터넷 뱅킹에 침입한 뱅킹 트로이 목마는 모두 5만9천117건... 바이러스 검색 프로그램에 적발되지 않기 위해 해커들이 새로운 변종을 겁나게~ 많이 만들어냈다. 이런 요즘 악성 코드는 피해자가 프로그램을 작동할 때 별다른 행동이 필요치 않고 다양한 방식으로 개인정보를 빼낼 수 있다.

금융결제원의 자료 : 미국, 일본 인터넷뱅킹 현황 및 시사점

관련 뉴스 : 미국의 인터넷 뱅킹 사고율은 한국보다 290배 높다!!

링크 : 외국 은행의 웹 접근성 제고 현황 및 사례
- 우리나라는 편리함이라는 목적 단 하나로 장애인들을 인터넷 뱅킹 대상에서 영원히 제외시켰지만, 외국의 경우 이와는 반대로 오히려 장애인들처럼 몸이 불편한 사람들을 위한 뱅킹으로 인터넷 뱅킹을 연구한다는 내용...

링크 : 안전한 온라인 뱅킹을 위해 -  보안접속 프로그램

[인상적인 댓글]
- 미국과 캐나다의 인터넷 뱅킹을 사용해 보았는데요. 그중, 가장 간단한것은 캐나다였습니다. 캐나다는 ID조차 필요없이 패스워드하나만 달랑줍니다. 카드번호와 비번조합으로 인터넷 뱅킹로그인합니다. 아직 캐나다뉴스에서 불평하거나, 보안에 딴지를 걸고 넘어지는 사람없구요. 뉴스에 해킹이나 보안사고기사도 본적이 없네요. 미국은 아이디 패스워드 조합이구요. 맥/리눅스 다 잘됩니다. 미국 증권사 HTS도 맥에서 자바기반으로 다됩니다. 세계에서 유난히 한국만 호들갑을 떨면서 쇼를 하고있네요. 가끔 보안상이 아닌 다른 엉뚱한 이유가 있어서 정부가 이런 정책을 추진하는것은 아닐까 생각도됩니다.

- 국내와 해외의 은행이용행태에 기인한 문제점도 간과할 수 없을 듯 합니다. 국내 인터넷뱅킹은 대부분의 서비스(거래)를 Real-time으로 처리를 합니다. 그에 반해 많은 해외은행들은 조회거래를 제외하고는 Real-time으로 처리하는 거래가 거의 없습니다. 대부분 Application – Proocess 형태를 취하고 있지요. 이는 만약 사고가 발생하였다고 하더라도 충분히 대응할 수 있는 시간을 가진다는 의미이고, 이는 은행에게나 고객에게나 또다른 안전장치의 역할을 하게 됩니다. 금융감독원의 일부 직원들은 ‘전자금융거래’에 대한 해석을 ‘전자적 수단으로 처음부터 끝까지 거래가 완료되는 거래’로 제한하기도 하더군요.

- ”보안경고창이 나타나면 무조건 ‘예’하라”고 안내해야 된다는 발상이십니까?
100%동감, 무조건 예 하라는게 보안인지 참.. 뭐가 뭐를 위해서 존재 하는지 모를 그런…

- 스웨드 뱅크가 고객에게 ‘예’하라고 자신있게 안내하는 이유는 “플래시 플러그인”이기 때문입니다. 고객 컴퓨터에 파일쓰기 권한을 가지는 플러그인(ActiveX)과, 그런 일은 절대로 못하는 플러그인은 구분 하셔야 합니다. 제가 상식 밖이라고 말한 것은 고객컴퓨터를 마구 건드릴 수 있는 ActiveX 플러그인을 내려주면서 ‘예’하라고 지시하는 것입니다. 영어가 되었건, 보안 기술이 되었건 무언가 구멍이 나면 이상한 주장을 펴게 되있습니다.

- 영업시간이 아니면 처음부터 그렇다고 걸어놓으면 되는데, 공인인증서 암호까지 입력을 마치니 오류메세지 뜨면서 지금은 이용가능시간이 아니라고 나오니 열불이 다 나더라구요.

- IT의 I자도 모르는 제 입장에서는 솔직히 뭐가 문제인지 잘 모르겠습니다. 미국에 와 있는데, 미국은행들 인터넷 뱅킹은 불편하고 개판 오분전이라는 느낌 뿐이거던요. 이제 겨우 뭔가 큰 은행들 중심으로 인터넷 뱅킹이 시작되는 분위기라고밖에 안보입니다. 처음엔 한국 인터넷 뱅킹 문젠가보다 하다가 여기 와서 든 느낌은 한국인터넷 뱅킹 짱 이런 느낌이랄까요... 호환성 문제니 어쩌니 해도, Active X까는게 귀찮긴 해도 일반인 입장에서는 나름대로 그 와중에 다른나라보다 먼저 만든다고 고민고민해서 쓸수있는 물건을 만들어 놓은게 고맙달까요. 전혀 IT는 모르지만 다른나라물건을 보고나니 뭔가 그렇게 보안이던 뭐던 남들보다 먼저 가려다 보니 처음에는 덕지덕지 붙여서 갈 수 밖에 없는 사정이 있지 않나 하는 느낌입니다. 한국 물건이 제일 나아요. (어떤 분이 설명좀..)

- 내가 모아논 돈을 지켜내는 게 웹표준이나 OS의 종속보다 더 중요한게 아닐까?

- 금융위·행안부 인증서폐지 "절대 불가" http://2u.lc/3rr 외국은 인터넷 뱅킹 사용율이 굉장히 낮아 우리나라와 사정이 다르다[행안부 관계자], 그럼 이베이와 아마존은 뭐지?

[MS가 자사홈피를 통해 제시한 액티브X “대안과 제안”]

유효한 디지털 서명이 있더라도 ActiveX 컨트롤을 설치하는 데는 신중해야 합니다. ActiveX는 웹 검색 기능을 향상시킬 수 있는 반면 보안상 위험 요소가 될 수도 있으므로 해당 컨트롤 없이 웹 페이지가 작동한다면 사용하지 않는 것이 가장 좋습니다.

…. 중략 …

ActiveX는 사용자에게 더 많은 가능성을 열어 준 기능입니다. 그러나 그 발표로부터 10년이 지난 지금 인터넷은 당시에는 생각하지 못했던 악성 소프트웨어로 보안 위협을 겪고 있습니다. 이는 마이크로소프트도 기술 개발 당시에는 예측하지 못했던 문제로, 스파이웨어나 바이러스 등 인터넷을 통해 사용자의 PC를 파괴할 위험성을 지닌 프로그램이 이 ActiveX에 의존하고 있습니다.

MS는 2002년부터 점차적으로 포괄적인 ActiveX의 권한을 축소해 왔습니다. 인증 받지 못한 ActiveX의 실행을 막았으며, Windows Vista에서는 보호모드를 마련하여 컴퓨터 내의 특정 영역만 사용할 수 있도록 하였고, 관리자 권한도 제약을 두었습니다. 이 제약은 모두 향후 예측할 수 있는 모든 잠재적 보안 위협에 대응하기 위한 방향이고, 더 안전한 OS로 완성하기 위한 MS의 노력과 방향성에 관련 업계는 세계적으로 동의를 보내고 있습니다.(해설: 한국 은행들이 보안의 적인 액티브X를 설치하기 위해서 비스타의 보호모드를 끄라고 강요한 이유가 여기에 있음, 한마디로 강도 잘 들게 열어놓으라는 양아치 짓인 겁니다.)

…. 중략 …

ActiveX 사용에 대한 대안과 제안

ActiveX를 보안과 같이 시스템 레벨에서 사용하는 것은 지양되어야 합니다.
128bit SSL을 비롯한 표준화된 인증 체제, 그리고 암호 발생기 등 다양한 보안 솔루션을 국가적 차원에서 열린 자세로 수용하여, 다양한 플랫폼에서 기 구현되고 검증된 인프라를 활용하도록 하는 것이 바람직합니다.

전문 링크

최근 가장 심각한 위협으로 급성장하고 있는 피싱이 바로 그것이다. 정상적인 웹 서버를 해킹해 위장 사이트를 개설한 후 인터넷 이용자들의 금융정보를 빼내는 수법으로, ‘당신의 신용정보를 재입력하라’는 메시지와 함께 인터넷 뱅킹 아이디와 패스워드 등을 입력하는 웹 페이지를 보여준다. 물론 입력한 정보는 고스란히 악의적인 해커의 손에 들어간다.

해외의 경우 피싱의 피해가 심각하다. 시만텍에 따르면 2004년 12월 기준 피싱 메일은 주당 평균 3300만 건이 발송되는 것으로 집계됐다. 7월의 평균 900만 건에 비하면 반년 만에 4배 가까이 늘어난 것이다. 국내에서도 2월 한달간 총 64건이 발견돼 지난해 같은 기간에 비해 12배나 늘어났다. 그러나 속을 들여다 보면 ebay(23건), Paypal(13건), SouthTrust Bank(5건) 등 국내 금융권에 대한 피싱 시도는 거의 없다. 왜 그럴까?

비밀은 해외의 인터넷 뱅킹 방식과 국내 방식의 차이에 있다. 해외의 경우 아이디와 패스워드만으로 인터넷 뱅킹을 할 수 있지만 국내는 이 외에도 공인인증서와 시크릿 카드가 필수적이다. 해킹대응팀의 성 팀장은 “머리에 있는 패스워드와 직접 소지하고 있는 시크릿 카드, 그리고 인터넷을 통한 공인인증서가 모두 필요하기 때문에 해킹을 한다는 것이 기술적으로도 어렵고 시간도 많이 걸린다”고 말했다.

외국의 경우 현재 뱅킹 시스템에 우리나라와 같은 보안장치를 추가하려면 안정성과 테스트 기간을 고려해 최소 국내보다 3~4배 가량의 비용이 소요될 것으로 예상된다. 보안과 해킹을 대응하기 위한 선투자가 엄청난 사회적 비용을 절감해 준 셈이다.

결론적으로 조사해보니... 미국의 ActiveX가 없는 환경과 우리나라의 반대되는 인터넷뱅킹 사이에는 인터넷 뱅킹 사용 목적의 차이가 주된 차이가 아닐까싶다. 외국에서는 주로 인터넷 뱅킹을 계좌 조회의 목적으로 사용하지만 우리나라에서는 계좌 조회는 물론 이체, 송금, 타행 이체, 해외 송금 등등등... 물론 일단 가장 큰 문제는 우리나라에서는 맥이나 리눅스에서 인터넷 뱅킹이 안된다는 사실!! 한 회사에서 만든 웹브라우저에서만 가동되는 인터넷 뱅킹 환경이 문제다. 이는 최근 유행처럼 번지는 모바일 환경에서도 작동하지 않는다는 것이 문제이다.

한국의 기형적인 웹 환경이 MS사의 IE에 특화되어 인터넷 뱅킹부터 시작해서 쇼핑몰, 전자 정부 등 거의 모든 생활 기본 서비스가 IE 종속적이라서 현실적으로 AX 말고는 사용자 시스템을 보안할 방법이 없다고 주장하는 사람들을 만들어냈다.

"뭔가 항상 설치하는 것을 통하여 보안을 달성하려는 것은 틀린 접근입니다. 기본적으로 아무 부가 프로그램도 설치하지 않아도 되는 이용 환경을 조성함으로써 뭔가 설치되려고 하는 상황을 사용자가 경계할 수 있도록 해주어야 한다는 것입니다." - 우리나라에서 너무 빠르게 인터넷 뱅킹이 생활 전반에 침투하면서 발생한 문제점에 대한 근본적인 비판의 예...

SSL은 국제 웹표준이며 브라우저에 내장되어 있어 별도의 플러그인 다운로드가 불필요.
SEED는 다운로드를 위한 ACTIVE-X 혹은 자바 애플릿이 필요하며 이 과정에서 보안의 취약성이 노출되어 국제적으로 퇴출중
또한 SSL은  서버 인증 기능이 있으나, SEED는 이러한 기능의 부재로 피싱 사기에 취약함이 영국의 논문에서 지적되며, 많은 사례가 있음.
결론적으로 SSL이 SEED보다 저렴하고 보안성이 강함!!

아무튼 이번 주는 여기까지!!!!
(경철아 열심히 조사하자.... 관련 논문이 없다.... ㅠㅠ)