딜라이트닷넷

OTP

친환경이라는 이름의 덫

이수환 기자의 기술로 보는 IT 17.08.07 11:08

 [IT 전문 블로그 미디어=딜라이트닷넷] 친환경(親環境), 말 그대로 환경 친화적인 요소를 의미한다. 사전적 의미로 엄밀하게 따지면 ‘자연환경을 오염하지 않고 자연 그대…

KB국민은행이 보안 3종세트 대신 선택한 것은?

이민형 기자의 인터넷 일상다반사 15.09.08 06:00

최근 KB국민은행이 액티브X(Active-X)를 전혀 사용하지 않고도 인터넷뱅킹을 쓸 수 있는 시스템을 구현했다. 올 상반기 유행하던 범용실행파일(exe) 형태가 아닌 순수 HTML5로 개발한 것이라 업계의 눈길을 끌었다.사실 순수 웹표준으로 인터넷뱅킹을 구현하려는 노력은 오래전부터 있어왔다. 한국전자통신연구원(ETRI)를 비롯해 보안업계에서는 HTML5 웹크립토API를 지원하는 웹브라우저에서 별도의 플러그인 없이 전자서명을 할 수 있는 방법을 논의해왔다. 당연히 PKCS(Public-Key Cryptography Standards) 라이브러리를 채택해 암호…

금융권 IoT 도입, 걸림돌은 무엇?

이상일 기자의 IT객잔 14.10.01 01:03

사물인터넷(IoT)에 대한 사회적 관심이 높아지고 있는 가운데 금융권의 대응도 주목되고 있다.금융권은 웨어러블 결제를 비롯해 고객 위치기반의 금융서비스를 안착시키기 위해 노력할 것으로 보인다.<딜라이트닷넷>은 금융권에서 사물인터넷이 어떻게 소비되고 적용되고 있는지 알아본다.<글 싣는순>①금융권, 채널 혁신의 도구 ‘IoT’②사례로 본 금융권 IoT 도입 사례③금융권 IoT 도입, 걸림돌은 무엇?시장조사회사 가트너(Gatner)는 2020년 IoT의 경제적 부가가치를 1.9조 달러로 전망하고 있다. 특히 이중 제조, 헬스…

아이클라우드 해킹에 사용된(?) ‘브루트포스’ 공격은 무엇?

이민형 기자의 인터넷 일상다반사 14.09.02 09:52

제니퍼 로렌스, 케이트 업튼 등 미국 유명 셀럽(연예인)들에게 지난달 31일(현지시각)은 악몽의 하루였을 것이다. 자신의 누드사진들이 외부 해킹에 의해 대외적으로 노출됐기 때문이다. 셀럽들이 누드사진을 찍는 것은 일상다반한 일이지만 문제는 당사자가 원하지 않았음에도 노출됐다는 점이다.애플, 아이클라우드 해킹 사고 자체 조사 시작1일(현지시각) 애플은 이번 해킹에 사용된 아이클라우드 취약점을 패치하고 자체적인 조사에 착수했다. 아직까지 어떤 해킹 수법이 사용됐는지는 알려지지 않은 상황이다.일부 IT, 보안업계에서…

클라우드 스토리지 서비스, 용량보다 중요한 것은 ‘보안’

이민형 기자의 인터넷 일상다반사 14.08.28 16:13

구글, 애플, 마이크로소프트에 이어 드롭박스도 저장 공간을 늘려 제공하겠다고 밝히면서 클라우드 스토리지 가격 경쟁이 본격화됐다.참고 : Introducing a more powerful Dropbox Pro27일(현지시각) 드롭박스는 9.99달러에 100GB를 부여하는 요금제를 개편해 같은 가격에 1TB를 제공할 계획이라고 밝혔다. 드롭박스가 새로 발표한 요금제는 구글 드라이브와도 동일한 수준이며, MS와 애플에 비해서도 저렴한 편이다.이번 요금제 발표와 관련 주요 외신들은 구글, 애플, MS 등 거대 서비스 사업자들에 대항하기 위한 드롭박스의 전략이라…

보안 업데이트의 생활화가 해킹사고 막는다

이민형 기자의 인터넷 일상다반사 14.08.20 08:52

지난 광복절 연휴기간 동안 넥슨 네오플의 온라인게임 던전앤파이터 홈페이지가 악성코드로 몸살을 앓았다.공격자는 어도비 플래시플레이어의 취약점(CVE-2014-0515)을 악용해 비정상적인 게임 클라이언트를 내려받고 실행하도록 유도했다.어도비 플래시플레이어 최신버전이 설치돼 있지 않은 사용자는 던전앤파이터 홈페이지에 접속하기만 하더라도 피싱 클라이언트로 접속된다는 점이 무서운점이다. 최근 몇 년 사이 유행처럼 번지는 드라이브바이다운로드(DBD)의 확장 버전이라고 봐도 무방할 것이다.피싱 클라이언트는 사용자의 일회…

구글과 에버노트 애용하는 당신, 보안을 위해 OTP를 써보라

이민형 기자의 인터넷 일상다반사 14.07.10 17:29

오늘날 개인 사용자들에게 있어 가장 치명적인 보안사고는 인터넷서비스 계정의 탈취라고 봐도 무방하다.개인정보유출 사고야 개인이 막을 수도 없고, 당장 피해가 발생하진 않지만 계정정보의 유출은 자신의 사생활이 고스란히 노출될 수 있기 때문이다.특히 구글이나 에버노트, 페이스북처럼 개인의 사생활이 집약된 서비스에 대한 계정 정보가 외부로 유출될 경우 그 피해는 상상하기 힘들다.사실 많은 보안전문가들은 인터넷을 사용하는 사람이라면 언제든지 계정정보가 탈취될 수 있음을 인지해야 된다고 지적한다.워터링 홀(Waterin…

삼성전자의 45나노 e플래시 공정 개발은 파운드리 확대 전략 일환

한주엽의 Consumer&Prosumer 13.05.16 17:06

삼성전자가 45나노 임베디드 플래시(e플래시) 로직 공정을 개발하고 해당 공정에서 스마트카드 IC 테스트칩을 뽑아냈다고 15일 발표했다. e플래시 로직 공정은 시스템 반도체와 플래시 메모리를 하나의 칩(다이)에 동시 집적하는 기술로 이미 일본과 미국, 유럽 반도체 업체들이 도입해 마이크로컨트롤러유닛(MCU) 등을 생산하고 있다. 삼성전자도 80나노 e플래시 로직 공정으로 스마트카드IC를 생산하고 있다.로직칩에 플래시 메모리를 동시 집적하는 이유는 설계의 편리함 때문이다. 과거 출시된 MCU는 한 번 쓰면 지울 수 없는 OTP(One…

전자금융거래 공인인증서 의무 규제 풀렸지만...

이유지의 안전한 네트워크 세상 10.03.31 17:22

전자금융거래 공인인증서 의무화 논란이 당분간 이어질 것 같습니다. 31일 전자금융거래 공인인증서 사용 강제 규제를 풀기로 한 정부 방침(관련기사)에 '환영'의 목소리와 함께 일각에선 "실효성이 떨어진다"는 지적이 벌써부터 나오고 있습니다. 전자금융거래에는 '공인인증서와 동등한 수준의 안전성'이 인정되는 보안방법만을 허용한다는 방침 때문입니다. 기업호민관실은 이날 즉각 보도자료를 내고, 전자금융감독규정 제7조 개정안에 대해 “실효성이 우려되는 안”이라고 밝습니다. 보도자료 원문 일부입니다. 이민화 호민관은 현행의 공인인증서 사용을 강제하는 전자금융감독규정 제7조를 공인인증서 이외의 동등한 보안수준 방식의 적용을 가능하게 하고, 이를 금융감독원의 ‘인증방식평가위원회’에서 심의 하도록 규정을 개정하는 것은 실효성이 우려된다고 밝히며,이는 현 전자금융거래시 감독규정 시행세칙 제31조 9항 ‘금융기관 등이 범위를 정하여 공인인증서 적용을 제외할 것을 감독원장에게 요청하고 감독원장이 이를 승인하는 경우’의 예외조항과 큰 차이가 없다.또한, 인증방식의 안정성 심사를 공인인증서 방식 이외의 방식에 대해 부정적인 입장인 금융감독원이 주관하는 것은 전자금융감독규정의 개정 취지를 반영하지 못한다 라고 말했다.일단 최우선 논란거리인 '공인인증서와 동등한 수준의 안전성'을 제공하는 다른 보안 방법이 있는지 여부에 따라 이번 정부 방침의 실효성이 평가될 것으로 예상됩니다. 사실 공인인증서 대안기술로는 그동안 'SSL(암호통신기술)+OTP(일회용비밀번호)' 정도만이 제시됐습니다. 해외에서는 인터넷뱅킹에 'SSL+OTP'가 보안 방법으로 많이 사용하고 있다는 점에서입니다. 오픈웹이나 호민관실 또한 이 방법을 제시했습니다. 그런데 결정적으로 'SSL+OTP'는 공인인증서에 포함된 전자서명이 제공하는 부인방지 기능이 부재합니다. 이 점을 들어 행정안전부와 금융위원회도 기존까지 전자금융거래에서 공인인증서를 사용해야 한다는 완강한 입장을 보여왔습니다. 그렇다면 'SSL+OTP' 이외에 제시될만한 보안 기술 방안이 있는가? 지금으로선 물음표입니다. 그래서인지 금융위원회는 앞으로 관계부처, 금융기관, 보안전문가 등이 참여하는 민관 협의체를 구성해 5월 말까지 안전성 수준에 관한 법적 기술적 가이드라인을 마련하겠다고 밝혔습니다. 금융위원회는 전자금융거래에 필요한 안전성을 정의, 즉 공인인증서가 제공하는 안전성 수준을 파악해 그에 맞는 기술을 가이드라인에 구체적으로 제시할 예정이라고 합니다. SSL이든, OTP이든, 여러 기술 방안을 검토하게 될 것으로 예상됩니다. 은행이나 사용자가 공인인증서이든, 다른 방안이든 선택할 수 있도록 판단기준을 제시하겠다는 겁니다. 그리고 금융감독규정에도 특정 보안방안이 포함돼야 하는지 여부를 가이드라인이 나온 후 정할 것이라고 설명했습니다. 민관 협의체가 만들 가이드라인이 어떻게 나오는 지가 가장 중요해 보입니다. 또 한가지 논란거리는 스마트폰에서의 소액결제입니다. 이날 정부 발표에서는 "30만원 미만의 온라인 소액결제는 새로운 보안방법 도입과는 상관없이 공인인증서를 사용하지 않고도 결제가 가능하도록" 했습니다. '즉시 허용'이라는 용어도 사용했습니다. 원래 PC 기반 전자거래에서도 30만원 미만은 공인인증서를 안써도 됐습니다. 스마트폰도 기존 방침 그대로 하겠다는 것인데요. 문제는 아이폰에서의 소액결제 부분이 될 것으로 보입니다. 제일브레이크 폰에서도 특정 쇼핑몰 애플리케이션이 동작하게 될 경우입니다. 은행들이 제공하는 스마트폰 뱅킹은 제일브레이크 아이폰에서는 동작이 안되게 막혀있는데, 쇼핑몰 등 다양한 온라인거래서비스의 경우는 어떨까요? 규제는 풀렸지만 여러 난제가 남아있는 듯합니다. 그래도 스마트폰 열풍으로 인터넷거래 사용환경의 현주소와 미래에 대한 논의가 활발히 이뤄졌고, 결국은 11년 간 유지돼 왔던 전자금융거래 공인인증서 유일체제는 허물어지게 됐습니다. 그리고 이런 논란 때문에 액티브X 방식으로만 제공됐던 공인인증서를 여러 플랫폼에서 더 편리하게 이용할 수 있도록 하는 방안도 아주 신속하게 마련된 것 같습니다. 공인인증서가 지금까지 해왔던 역할도 재조명이 됐고, 결국에는 더욱 발전될 계기가 만들어지게 됐다고 평가하고 싶습니다. 호민관실은 앞으로도 한국의 인터넷뱅킹 보안 문제에 대해 심도있는 논의를 이어나갈 예정이랍니다. 빠른 시일 내에 옥스퍼드, 캠브리지 대학교 공동논문 ‘On the Security of Internet Banking in South Korea' 의 저자를 국내로 초청해 공청회를 연다는군요. 5월 말, 금감위 등 민관협의체의 가이드라인과 전자금융거래감독규정 개정이 어떻게 이뤄질 지 주목됩니다.&nbsp; 그리고 그 이후 전자거래 보안방안에 대한 금융기관과 인터네서비스 기업, 사용자들의 선택이 어디로 향할지 관심이 모아집니다. 댓글 쓰기

OTP 허점? 해프닝으로 끝난 농협 국정감사

이상일 기자의 IT객잔 09.10.06 10:53

지난 5일부터 국회의 국정감사가 시작됐습니다. 국정감사 자체는 국민들에게 별 관심대상이 되지 못합니다. 딱딱하기 그지없고 이따금 오고가는 고성이 가끔 생동감을 더해줄 뿐입니다. 저 역시 별로 관심은 없었습니다. IT부분에 있어서도 정책관련한 내용이 많이 오고가고 특히 통신분야에서 요금정책 등 그나마 알아먹기 쉬운 내용이 나오는 것 빼고는 고리타분하기 그지 없기 때문입니다. 그런데 저와는 전혀 상관이 없을 듯 한 농림식품위원회의 국감이 관심을 끌더군요. 바로 농협에 대한 흥미로운 감사가 진행돼서 저의 시선을 끌었던 것입니다. 5일 모 국회의원실에서 오전에 배포한 보도자료에 따르면 농협의 OTP(보안토큰)에 허점이 노출돼 인터넷 뱅킹의 해킹이 가능하다는 내용이었습니다. 특히 의혹을 제기한 의원은 국감 현장에서 시연을 통해 이를 증명하겠다고 했습니다. 흥미로운 부분이 아닐 수 없지요. 직접 OTP 허점을 이용해 해킹을 하는 장면은 범죄자 친구를 두지 않은 이상 경험하기 어려운 일일테니깐요. 하지만 결과적으로 해킹 시연은 이뤄지지 않았습니다. 국회에서 도입한 IT시스템 중에 가장 쓸만한 솔루션인 '영상회의록시스템'을 통해 국감장면을 시청했는데요 시연 부분은 커녕 이 부분 자체가 질문에서 빠졌더군요. 국감에선 십수명의 의원들이 돌아가면서 질의를 하게 돼 있습니다. 국감은 자연히 질의과정에 시간이 많이 걸리고 예정된 시간이라는 것이 애시당초 존재하지 않는 시스템입니다. 따라서 애초 의원들이 준비한 질문 중 대부분은 서면질의로 처리되게 됩니다. 실제로 이번 국감에서도 추후에 서면질의로 답변을 바란다는 의원들의 말이 마무리 멘트로 자주 사용되더군요. 처음에는 시연이 언제 이뤄질 지 해당 의원실에 문의했는데요 시간 상 실제 시연이 이뤄질 지는 장담하지 못한다고 했는데 결국 그냥 넘어가더군요. 문제는 애초에 농협의 전자금융시스템에 대한 허점과 여기에 낭비된 농민들을 위한 자금이 허투로 쓰여졌다는 점을 부각시키려 했다는 것인데 여기에 약간의 무리가 있었다는 점입니다. 결론적으로 농협의 OTP는 아무런 문제가 없었습니다. 굳이 문제가 있었다면 키보드 보안에서 생겼다고 할 수 있지요. OTP는 금융권 최후의 보안수단으로 각광받고 있습니다. 시간에 따라 비밀번호가 다르게 생성되기 때문에 현실적으로 비밀번호를 외부에서 알아내기가 어렵죠. 어쨌든 이번 시연이 진행됐다면 OTP보다는 OTP 번호를 사용자가 키보드로 누르는 과정에서 이를 해킹하는 키보드 해킹을 통한 인터넷 뱅킹 해킹 방법이라고 보는 것이 정답일 듯 합니다. 의원실에선 농협의 방만한 경영을 지적하면서 수십억이 투자된 농협의 인터넷 뱅킹 보안에도 문제가 있다. 따라서 시정해라 뭐 이런 의도로 질의를 준비한 것 같습니다. 하지만 업계에서는 이번 의혹 제기가 OTP 자체에 초점이 맞춰져 있었지만 OTP보다는 키보드 보안에 대한 문제라는 의견을 내비치고 있습니다. OTP를 통한 해킹은 현실적으로 어렵다고 합니다.&nbsp; 공인인증서, 인증서 패스워드, 계좌이체 비밀번호 등 민감한 고객 정보가 모두 유출되어 공격자가 의미 있는 OTP 값을 얻어내었다 하더라도, 1분 이내에 공격을 성공해야 하므로, 공격이 성공할 확률은 거의 없는 것으로 알려져있는데요. 하지만 농협의 경우 그동안 법인 사용자의 편의성을 제고하기 위해 1분 이내에 2번의 로그인을 허용했습니다. 농협 관계자 말로는 멀티 로그인이라는 것인데 이를 통해 OTP 값을 얻어내고 공격할 수 있는 가능성이 내비쳐진 것이지요. 어쨌든 이는 OTP의 결함이라고 보기에는 어렵고 메모리 해킹과 키보드 해킹 등을 통한 해킹 방법으로 보는 것이 타당할 것 같습니다. 의원실에서는 '농협 OTP, 뚫려도 너무 쉽게 뚫린다' 라는 내용으로 보도자료도 배포했는데요.(보도자료는 파일로 첨부하니 참고하세요) 결과적으로 보도자료의 제목이 좀 비약된 것 같습니다. 의원실에서도 이러한 문제를 감지해 국감에서 질의를 뺀 것으로 추측됩니다. 차라리 농협 키보드해킹에 속수무책 정도로 질의를 꾸몄으면 시연이 가능했을 수도 있겠네요. 한편 농협은 위에 거론된 문제점에 대비하기 위해 관련 시스템을 오는 11월 도입할 계획으로 알려져 있습니다. 댓글 쓰기