WeissWine Workshop and Icecube S2 : 한국 보안은 국민 감시용

2013년 05월
S	M	T	W	T	F	S
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

한국 보안은 국민 감시용 IT/일반

by 잼아줌마
2012/08/06 19:50
weisswine.egloos.com/5681399
덧글수 : 97

http://minix.tistory.com/389

읽기 싫은 분을 위해 요약하면 '해외는 SSL만으로도 잘만 거래하는데 우리나라만 액티브X 떡칠'이라고 투덜대는 전형적인 그런 만화. 이미 이글루스 뿐만 아니라 IT 커뮤니티에서 여러 번 벌어졌다가 논파당한 사항을 그대로 적어놓고 있다.

아니나 다를까, 2000년대 초반까지 SSL의 해외 수출을 금지한 미국 때문에 우리나라가 전자 상거래용으로 독자 암호체계인 SEED와 공인인증서를 만들게 되었다는 사실에 대해서는 전혀 언급하고 있지 않다. 그리고 SSL 잘만 쓰는 미국에서 피싱사이트 피해가 엄청났음은 언급하지 않는다. 사실 웹 브라우저에 만화에서 말하는 '초록색' 주소표시줄이 도입된지도 얼마 안 됐다. 그전까지는 우측 하단에 자물쇠 표시 하나 달랑 나오고 땡이었다.

그리고 우리나라에서 법적으로 금융보안사고 발생시 은행이 거의 모든 책임을 져야하는 불합리한 구조 역시 언급하지 않고 있다. 개인 PC에 키로거가 깔려서 발생한 사고(전적으로 이용자의 잘못이다)를 은행이 '도의적인 책임'하에 보상해 주었다는 이야기도 없다. 상식적으로 생각해 볼 때, 기업이 SSL이라는 멀쩡한 표준 기술 냅두고 추가 비용 들여서 보안프로그램 떡칠해야 하는 이유가 무엇일까?

중간에 보면 은행이나 공공기관에서 요구하는 액티브X 설치에 누군가 '악성프로그램'을 끼워넣어 사용자의 PC가 좀비가 되는 것 처럼 묘사하는 부분에서는 할 말이 없어진다. 그런 사례가 있었나?

그러면서 하는 말이 '한국 보안은 국민 감시용'이란다. '추악한' 공인인증서란다. 저 만화의 논리에 따르면 미국이 SSL의 해외 수출을 금지한 것은 대한민국 정부가 '추악한' 공인인증서를 만들어서 국민을 감시하게 하기 위함이었다! 고로 미국을 까야 한다.

이 만화에서 전력을 다해 빨고 있는 SSL을 국정원이 이미 해독한 사례가 있는데, 작가는 과연 뭐라고 답할까?

음모론도 이 정도면 병인 것 같다. 그냥 할 말이 없다.

- 추가

광우병 사태 당시 웹툰 작가들이 취했던 스탠스와 1g도 다르지 않은 패턴

태그 : 선동, 공인인증서, SEED, 답이, 없다

공유하기 버튼

포스트 메타 정보

퍼블리싱 및 추천

퍼블리싱 및 추천 정보가 없습니다.

같은 카테고리의 글

트랙백(1) 덧글(97)

트랙백

이 글과 관련된 글 쓰기 (트랙백 보내기)
TrackbackURL : http://weisswine.egloos.com/tb/5681399 [도움말]

외국의 금융사이트는 과연 안전한가? 2012/08/08 14:47 #

한국 보안은 국민 감시용 요즘따라 다시 오픈웹관련으로 발정나서 일어서는 사람들이 많은걸 보니 여름이 덥긴 더운가봅니다 해외는 SSL+OTP로 만사 OK라는 글이 나오는걸 보니 우물안개구리가 따로없군요 최상위계층 보안수준이 아닌 보편적인 보안수준으로 현재 국내의 금융시스템을 SSL+OTP로는 도저히 따라올수없습니다 해외는 그런거 없이 잘쓴다 라고 하지만 그건 책임소지의 차이가 있습니다 국내의 경우 책임소지의 무게가 금융...... more

덧글

다행이네요 2012/08/06 20:17 # 삭제 답글
그럼요 저 만화 구라인 거죠? 지금 쓰고 있는 공인인증서로 제 개인정보나 보안 안 털리는 거죠? 요즘 울나라 보안 하술해서 짱깨나 왜놈만도 못하다고해서 불안했는데 악성 소문이라니 안심했어요
잼아줌마 2012/08/06 20:59 #
님 개인정보는 이미 공공재입니다.
사용자와 서버간의 통신을 아무리 암호화해놔도 서버에 저장되어 있는 정보를 털면 어쩔수 없거든요.
SouL 2012/08/07 12:48 #
서버가 개인정보 저장규악을 잘 지켰다면 패스워드나 주민번호 같은 정보는 해쉬되어 저장되어 복구할 수 없습니다.

....만 모두가 저 규약을 잘 따르는건 아니죠 ^^
...그리고 주민등록번호의 경우 암호화만 하고 해쉬는 안하는 경우도 많고요
그러면 서버 털리면 다 털립니..
데니스 2012/08/06 20:37 # 답글
그럼요 어쩌다 실수(?)로 유출된 개인정보도 다시 찾아오는게 한국의 IT 실력인데요 뭘~
잼아줌마 2012/08/06 20:58 #
제 개인정보도 다시 찾아왔겠죠. ㅅㅂKT
RuBisCO 2012/08/06 20:48 # 답글
저건 정말 할 말이 없군요. 다만 진짜 보안을 보장해주는건 OTP죠. 다만 이거도 은행 서버 자체가 털리는건 답이 없지만.
잼아줌마 2012/08/06 20:59 #
디아블로3이 한때 그 논란에 휩싸였죠.
매드캣 2012/08/07 14:29 #
OTP도 시스템에 따라서는 털립니다. 가장 안전한건 사실 보안카드지요.(그것도 6개월 단위로 보안카드 갱신한다는 전제하에)
maneulyori 2012/08/06 20:49 # 삭제 답글
음... SSL 이 뚫렸다는것에 대해 묻고싶네요. 일단 지금 어디에도 AES나 RSA 가 뚫렸다는 말은 없는 거 같은데 이거 어찌된거죠? :P SSL 이 저 두 알고리즘을 쓰는데 이 두개 중 어느 하나라도 뚫리지 않은 것 같으니 말이죠. 그보다 지금 SSL 으로 전송되는 데이터를 가로채려고 사용하는 MitM 을 말하시는 거라면 크래커에게 양자 컴퓨터가 없는 한 공격 대상은 http://www.sslshopper.com/assets/images/chrome-beta-ssl-3.png 이런 화면만 보게 될 건데 이것에 대해서는 어떻게 보십니까?
잼아줌마 2012/08/06 20:54 #
글쎄요. 특정 조건에서 SSL이 쉽게 복호화 되는 문제는 윈도우즈 과거 버전에도 있었던걸로 압니다.
국정원 이야기는 한겨레에서 본겁니다.
http://www.hani.co.kr/arti/society/society_general/496439.html
maneulyori 2012/08/06 21:03 # 삭제
글쎄요... GMail 이 로그인에서는 SSL을 필수로 쓸지 몰라도 메일 내용 볼 때에는 설정 들어가서 항상 SSL 사용에 체크해주지 않으면 메일 내용은 암호화 안 하거든요. 그거 때문 아니련지... 그보다 RSA, AES 뚫렸다면 이건 전지구적 이슈로 나왔을거에요. 저 알고리즘이 거의 모든 보안이 필요한 데에 쓰이고 있기 때문에 외국 뉴스나 그런데에 BREAKING NEWS 달고 나와도 모자랄 소식이거든요.
maneulyori 2012/08/06 21:06 # 삭제
지금은 GMail 도 항상 https 사용이 기본이긴 하네요. 수 년 전만 해도 그게 기본옵션이 아니었거든요.
잼아줌마 2012/08/06 21:10 #
저도 저 기사만으로는 정확히 어느 레벨에서 감청/복호화를 했다는건지 자세히 안 나와있어서 파악하기 어렵네요.
아무튼 기사에 그렇게 나와 있어서 언급한겁니다.
잼아줌마 2012/08/06 21:45 #
트위터 쓰는 사람들은 진짜 다 이런가...
자기 트위터에서 이러쿵 저러쿵 비아냥거리는것까진 좋습니다.
뒤에서야 나랏님도 욕한다는데. 뭐.
근데 트윗에 쓴 블로그 글 링크 자체가 틀렸고
앞에서도 말했듯이 한겨레에서 본거라고 링크 달아드렸는데
마치 제가 혼자서 국정원이 SSL 해독했다는 주장을 한 것 처럼 이야기하네요.
밑에서 분명 '자세히 안 나와 있어서 더는 잘 모르겠다'고 밝혔는데 굳이 비아냥거리는게 참....
긁적 2012/08/06 22:49 #
1.
이 만화에서 전력을 다해 빨고 있는 SSL을 국정원이 이미 해독한 사례가 있는데, 작가는 과연 뭐라고 답할까?

위는 현재 포스트의 내용을 직접 인용한 것입니다.

2.
한겨례에서 일으킨 오류를 직접 인용했으므로 잼아줌마님께서는 오류에 대한 책임이 없습니다.
그러나 오류를 안 시점에서 이를 수정하지 않은 것에 대해서는 책임이 있습니다.

3.
'X는 오류를 일으켰는데, X뿐 아니라 Y, Z 등도 오류를 일으켰다.'라는 지적은 다음의 둘 중 하나를 함축합니다.
첫째. 해당 오류는 당시 시대에 보편적인 상식으로 받아들여진 것이다. (또는, 적어도 이들의 오류에는 합리적인 근거가 있다.)
둘째. 바보가 하나 이상 있다.

첫째 방식으로 해석한 경우, 이는 해당 오류를 일으킨 사람에 대해 오류의 책임을 경감시키는 효과를 지닙니다.
그러나 오류인 것을 오류가 아닌 것으로 만드는 효과는 없습니다.

4.
그냥 '아 그 부분은 잘못되었네요. 수정하도록 하겠습니다.'하면 충분합니다.
'트위터 쓰는 사람들'로 매도한 부분은 적절하지 못하다고 생각합니다.

5.
어차피 SSL에 대한 지적을 제외하면 포스트의 내용은 유익한 정보를 제공하고 있다고 생각합니다.
아울러, 해당 부분을 수정하면 포스트의 가치는 더욱 올라갈 것이라고 생각합니다.
AirCon 2012/08/07 09:06 #
SSL이 기술적으로 뛰어난 것은 사실입니다만, 만능은 아니죠.
이론적으론 이미 뚫려버린 상태이고, 단지 투입 코스트 대비 효과가 극단적으로 낮기 때문에 시도가 안되고 있습니다만, 그 투입 코스트도 현재는 GPU 컴퓨팅으로 낮추려는 연구가 지속되고 있죠.
과연 이게 깨지는데까지 남은 시간이 얼마나 될거라고 보시는가요?

그리고... 현실적인 레벨로 돌아와서.

보안이란게 해당 기술을 공격할 수 없다면 해당 기술의 기반기술이나 주변기술을 공격하는 방법도 있지 않습니까?
인증서 가지고 장난치는 것도 하나의 사례겠고(작년인가 재작년에 RSA 털려서 인증서 재발행하느니 마니 난리가 났었죠? 게다가 구글과 MS도 인증서 당해서 난리 났었고), 구닥다리 기술이라곤 해도 SSL 1.0은 이미 취약점 분석되서 깨졌죠.
게다가 SSL도 결국 단순히 인증 및 전송 데이터의 암호화 기술일 뿐이지, 키 로거 하나 돌면 그 잘난 SSL도 말짱 황이죠.

보안 관련 업무를 하지 않는 제가 아는 수준에서도 이만큼이면 보안 관련 업무 담당자들이 알고 있는 소위 '쉬쉬'하는 내용은 더 많겠죠?

언급하신 MITM도 결국 사람들이 생각 없이 Proceed Anyway 눌러버리면 그만입니다.
파폭이니 크롬에서 '공격 사이트' 경고 백날 뿌려봐야 사람들은 경고 무시 누를 뿐이고, 제목 표시줄에 SSL 인증서 확인 로고 떠도 거들떠도 안보는게 현실입니다.

보안의 최종방어기제는 결국 사람입니다. 기술은 단지 그것을 보조할 뿐이죠.
제가 봤을 때 이 글의 골자는 그걸 지적(... 인지 단순히 까고 싶었던 것 뿐인지는 필자 본인이 알겠지만서도, 아무튼)하려고 했던 것 같은데, 지엽적이고 기술적인 문제를 가지고 태클 거시는 모습이 썩 보기 좋진 않네요.
긁적 2012/08/07 16:19 #
AirCon // 지엽적이고 기술적인 문제라 해서 문제가 아닌 것은 아닙니다.
아울러 SSL에 대한 위 포스트의 지적이 타당하지 못하다고 해서 포스트의 전체 내용에 문제가 생기는 것도 아닙니다.
잘못된 정보를 기록해 놓은 것을 수정하지 않는 게 좋은 일인 것도 아닙니다.

그래서 묻는데, AirCon님이 보시기에 'SSL에 대한 부분은 수정하겠습니다.'라고 밝히고 포스트를 수정해달라는 요구가 부당한 것인가요?
잼아줌마 2012/08/07 16:50 #
애초에 저 사람이 수정을 요구한 적이 있나요?
처음부터 :P 거리면서 비아냥거리고 자기 트위터에서 '봐 여기 근거도 없는 소설을 믿는 멍청이가 있어'라고 자기 친구들하고 조리돌림한게 다인데.
이런 부분이 잘못된 것 같으니 수정 내지는 설명을 요구했으면 그렇게 따랐을겁니다.

긁적님은 마치 저 사람이 예의바르게 수정을 요구한 것처럼 자꾸 가정하고 이야기하는데
대체 저 분이 수정을 요구한 부분이 어디에 있습니까?
트위터에서 '대체 저 사람은 뭘 믿고 저런 주장을 하는지 모르겠어'가 수정을 요구하는건가요?
논리의 잘잘못 이전에 오는 말이 고와야 가는 말이 고운 법입니다.
긁적 2012/08/08 00:50 #
잼아줌마 //

1. 적어도 덧글은 해당 문제를 무례하게 지적하고 있지 않으며, 트위터의 글은 잼아줌마님의 21:10분 덧글이 올라간 이후에 올라와 있습니다. (트윗은 21:29분에 등록되었습니다.)
1-1. 만일 잼아줌마님의 두 번째 덧글이 '그렇다면 해당 기사를 기준으로 SSL이 뚫렸다고 보기는 어렵겠습니다.'라면 상황은 달랐을 것이라 봅니다.
1-2. 적어도 잼아줌마님의 두 번째 덧글은 SSL에 대한 포스트의 내용이 타당함을 적절하게 입증하고 있지 않습니다. 해당 시점에서 잼아줌마님은 maneulyori님의 타당한 지적을 수용하고 있지 않습니다.
1-3. 'A가 B의 타당한 지적을 적절하게 수용하지 않을 때에도 A는 B를 조롱해서는 안 된다.'라는 주장을 받아들이신다면 잼아줌마님의 지적은 """이 관점에서는""" (2.에서는 다른 관점을 다룹니다.) 받아들일 만 합니다. 그러나 위 포스트의 '추가'부분에 해당하는 내용은 잼아줌마님이 위 주장을 받아들이지 않음을 보입니다.
1-4. 따라서 잼아줌마님의 관점에서 maneulyori님의 조롱은 정당하거나(만일 잼아줌마님의 최종 덧글이 해당 트윗의 원인이 된 경우) 적어도 현재 우리가 가진 자료를 통해 maneulyori님의 조롱이 잼아줌마님의 기준에서 부당하다고 입증하기는 어려워 보입니다.

2. '포스트의 이러저러한 부분은 사실과 다르다'라는 지적이 해당내용에 대한 수정요구와 무관한가요? 저는 포스트의 철자오류에 대한 지적 만으로 해당 포스트의 철자가 수정된 사례를 많이 알고 있습니다. 이 일을 꽤 전문적으로 하는 블로거도 있지요.
잼아줌마님께서 '포스트의 내용중 일부가 사실과 다르다는 지적이 반드시 포스트의 해당부분에 대한 수정요구를 포함하지는 않는다.'라고 생각하신다면 적어도 잼아줌마님의 주장이 모순된 것으로 보이지는 않습니다. 그러나 사실과 다른 것으로 밝혀진 내용을 수정하지 않는 것 보다는 수정하는 것이 낫다고 생각합니다.
2-1. 아울러, 저는 명백히 수정을 요구했습니다. 그러나 포스트의 내용은 여전히 그대로입니다.
2-2. 제가 요청을 해달라고 해서 수정을 해달라는 게 아니라, 임의의 사람이 같은 요청을 해도 그 요청이 정당하기 때문에 수정을 해달라는 것입니다. 만일 '사실과 다른 내용이 포스트에 존재하고, 해당 내용이 사실과 다름을 인지하였으며, 해당 내용에 대한 수정요청이 있을 때에는 언제나 그 내용을 수정해야 한다.'라는 주장에 동의하지 않으신다면 어쩔 수 없겠지만요. 단 저로서는 그 주장에 동의하지 않는 보편타당한 이유가 있을 수 있다고 생각하지 않습니다. (단, 현실적인 제약이 존재하는 경우는 제외합니다. 정당성에만 집중했을 때. 적어도 지금은 현실적인 제약이 존재하는 경우는 아닙니다.)

3. 논쟁을 하는 태도와 주장의 타당성은 무관합니다. 무례한 경우에는 무례하게 대하되 무례한 그 사람이 사실과 일치하는 지적을 하면 해당 내용은 받아들이는 것이 좋다고 생각합니다.

4. 다시 한 번 말씀드리지만, 포스트 내용은 매우 좋습니다. 저도 덕분에 좋은 정보를 많이 얻었습니다. 아울러 SSL에 대한 오류는 포스트의 내용 중에서 사소한 부분입니다. 단지 사소하다고 해서 잘못된 정보에 대한 기록을 수정하지 않는 게 권장할 만한 일은 아닙니다. 제 덧글은 그 이상의 내용을 담지 않습니다.
4-1. 혹여나 해서 첨언하는데, 저는 SSL이 완벽한 보안기술이라고 주장하지 않았습니다. 아울러, SSL을 이용한 보안방식이 '한국적 보안방식'이라고 할 만한 보안방식에 비해 우수하다고 주장하지도 않았습니다.
잼아줌마 2012/08/08 10:24 #
긁적님이 제 말에 대해서 지속적으로 오류니까 수정하는 것이 맞다고 주장하고 있는데,
위에서 maneulyori님이 말한 것 외에 제가 한 주장이 오류라는 근거를 제시해주시기 바랍니다.
참고로 전 AES나 RSA가 크랙되었다고 주장하진 않았습니다. (이건 한겨레도 마찬가지입니다)
굳이 AES나 RSA를 크랙해야만 SSL 데이터 내용을 알 수 있는건 아닙니다.
그리고 익스 구버전에서는 MitM 공격 상황에서도 인증서 오류만 떴고, 이것은 '예'만 누르면 잘만 진행됐습니다.

http://hummingbird.tistory.com/3293
http://dailysecu.co.kr/news_view.php?article_id=698
http://w.dailysecu.com/news_view.php?article_id=762
http://dailysecu.com/news_view.php?article_id=2138
http://gizmodo.com/5501346/law-enforcement-appliance-subverts-ssl

마지막 기사가 가장 흥미로운 내용입니다.
긁적 2012/08/08 20:19 #
잼아줌마 // 간단하게만 언급하겠습니다.

포스트의 문장은 정확하게
<<이 만화에서 전력을 다해 빨고 있는 SSL을 국정원이 이미 해독한 사례가 있는데, 작가는 과연 뭐라고 답할까?>>
이것입니다.

그리고 알려진 사실은 국정원이 Gmail 이용자에 대한 감청에 성공했다는 것이구요.

단지 Gmail 이용자에 대한 감청에 성공했다는 것으로부터 SSL기술에 대한 공격에 성공했다고 주장하기는 어렵습니다. 왜냐하면 Gmail 이용자에 대한 감청방법이 SSL에 대한 직접 공격만 있는 것은 아니기 때문입니다. 이는 <<저도 저 기사만으로는 정확히 어느 레벨에서 감청/복호화를 했다는건지 자세히 안 나와있어서 파악하기 어렵네요.>>라는 잼아줌마님의 덧글에서 확인 가능합니다.

저로서는 추가적인 논의를 지속해야 할 이유를 찾지 못하겠습니다. 이만 줄이겠습니다.
잼아줌마 2012/08/08 21:42 #
<<단지 Gmail 이용자에 대한 감청에 성공했다는 것으로부터 SSL기술에 대한 공격에 성공했다고 주장하기는 어렵습니다. 왜냐하면 Gmail 이용자에 대한 감청방법이 SSL에 대한 직접 공격만 있는 것은 아니기 때문입니다.>>

로그인부터 메일브라우징까지 전 과정에서 SSL을 사용하는 Gmail 사용자를 '패킷 감청'해서 증거(평문)을 얻어낼때, SSL기술에 대한 공격 외에 도대체 무슨 방법이 있는지 곰곰히 생각 좀 해 보았으면 합니다.

<<저도 저 기사만으로는 정확히 어느 레벨에서 감청/복호화를 했다는건지 자세히 안 나와있어서 파악하기 어렵네요.>>

기사만으로는 정확히 어떤 레벨에서 감청/복호화를 했다는지 잘 모르겠다 = 감청 방법이 SSL에 대한 직접 공격만 있는 것은 아니다.

이 코멘트로 알겠습니다. SSL하고 패킷 감청이 뭔지 모른다는 사실을요. 저도 전문가는 아니지만, 님은 저보다 더 모르는 것 같네요.

자신도 앞 사람 코멘트 외에는 별 근거가 없으면서 '저 사람 말이 맞고 니 글 틀렸음. 수정하는게 옳지'라는 어거지 판정 내리기 전에, 상대방이 무슨 말을 하는지도 모르면서 맞다 틀렸다를 판단하려 드는 자신의 오만함부터 어떻게 좀 했으면 하네요. 스스로도 (더 논할 가치가 없으니) 더 논의 안 한다는 싸가지 말아드신 투로 이야기했으니, 저도 그에 상응하는 대답을 해드리고 끝내겠습니다.

뻐큐머겅 ㅗ
데지코 2012/08/06 20:58 # 답글
저분이 그 노란색에 척수반사로 눈물흘리는 그분인가요?
잼아줌마 2012/08/06 21:01 #
저도 노오란 그분이 생각나네요
Centigrade_D 2012/08/06 21:09 # 답글
키로거만 있어도 OTP 뚫는건 쉽죠

OTP 서버를 뚫는단 소리는 하드웨어 레벨에 방화벽이 있는 장치를 뚫는단 소린데, 그런 능력자는 디아블로 터는 푼돈따위 관심 없을겁니다. 그 절도 능력자면 최소 억대연봉 받으면서 일할텐데 ㅋ
잼아줌마 2012/08/06 21:12 #
디아블로3 해킹사태 당시 나왔던 이야기가 OTP 걸어도 계정 털린다는 이야기였는데 그거때문에 한바탕 병림픽이 벌어졌었죠.
블리자드가 서버 털렸는데 모른척(ㅋ)한다는 의견이 많았고....
지나가다 2012/08/06 21:37 # 삭제 답글
우리은행 오픈뱅킹 스마트폰 뱅킹 등이 일상화된 지금 입장에서 보자면
당시 보안업계 젖문가들이 했던 변명들이란건 다음 딱 하나만 빼고 죄다 헛소리.
'ActiveX로 깔리는 백신 방화벽 키로거방지 프로그램들이 추가적인 보안을 제공한다'
물론 백신과 방화벽이 깔리면 안깔린 것보다야 눈꼽만큼은 더 낫긴 하지...
그건 내가 맞다고 해줄께.

진작에 최종방어선은 보안토큰이나 OTP로 갔어야 하는 일이었고
공인인증서는 사실 처음부터 보안용이라기 보단 부인방지용이었잖아?
근데 정작 공인인증서 복제하기가 너무 쉬워서 부인방지라는 제역할도 못했지.

그리고 ActiveX 를 통해 자동으로 깔리는 수많은 플러그인들이
사용자가 무의식적으로 Yes를 누르게 해서 오히려 위험하다고
골백번도 더 얘기했는데
아이폰 뜨기 전까진 끝끝내 고칠 생각을 안했지.

별의 별 말도 안되는 변명 쏟아내던 것들이
아이폰 떠서 플랫폼 딱 하나 더 생기니까
그제서야 닥치고 해야 할 일을 하더군.

지금도 공인인증서가 쓰이긴 하지만
그건 그냥 정부가 하라고 하니까 하는 거지
뭐 딱히 필요성이 있는건 아니지.
정말로 보안에 대한 의지가 있으면 공인인증서가 아니라 보안토큰을 썼어야 한다.
그건 지금도 그렇고.

그리고 키로거 대응은 진작에 좀 변형 스크린 키보드로 가지...
잼아줌마 2012/08/06 21:49 #
저 웹툰에서 유일하게 동감하는 부분이 딱 하나 있는데
서버 보안은 서버측에서 책임지고 나머지 사용자 보안은 사용자에서 책임져야 한다는 말이었습니다.
키로거때문에 털린 돈을 항의에 못이겨 은행이 도의상 갚아줬다는 말이 나올 정도로
책임의식이 허술한 사용자에게 은행이 면피할 수 있는 부분이 AX와 각종 보안프로그램 떡칠밖에 없었던 것이겠지요.
저도 jot같은 엔프로텍트 안보고 살면 소원이 없겠습니다.
군중속1인 2012/08/07 13:46 #
아 참고로 이쪽에서 일하는입장에서 이야기하면 위에 액티브 액스와 보안프로그램 을 안깔게 해도 법상으로는 문제가 전혀 없는걸로 알로 있습니다

단지 정부 모 부처에서 보안프로그램을 권장하라는 '권고'가 떨어집니다 강제력 없는 '권고' 무시하기가 또 힘든게 함정ㅋ
잼아줌마 2012/08/07 14:00 #
법상으로 문제가 없다고 하더라도 실제 판례는 다릅니다.

http://www.fnnews.com/view?ra=Sent1201m_View&corp=fnnews&arcid=201205240100224110013553&cDateYear=2012&cDateMonth=05&cDateDay=24

ID/PW 없이 공인인증서 발급받을 수 있나요?
잼아줌마 2012/08/07 14:10 #
은행들이 고객들에게 보안프로그램 설치를 강요하는 이유는 전자금융감독규정에 해당 사항이 들어있기 때문입니다.

'해킹 등 침해행위로부터 전자금융거래를 보호하기 위해 이용자의 전자적 장치에 보안프로그램 설치 등 보안대책을 적용할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램을 해제할 수 있다)'

그래서 일부 은행 사이트를 보면 '고객이 동의하는 하에' 보안프로그램을 설치하지 않아도 되게 되어 있습니다.
이전에는 공인인증서 사용도 강제였습니다.
최강로봇 도라에몽 2012/08/07 01:00 # 답글
저.만화.한번보고 무서웠눈데 댓글을.읽으니 저.만화에 불신이 가득.... 뭐랄까 사기맞은 기분이더군요 정말 모르는 사람은 바로 바꾸자고 할법한 내용이더균요
잼아줌마 2012/08/07 13:17 #
전작까진 음모론 많아도 재밌게 봤는데 이번걸 보니 전형적인 선동 그 자체네요. 작가의 태도를 보니 더 그렇고.
은화령선 2012/08/07 01:42 # 답글
이러나 저러나 한국민들의 주민은 공공재
란 생각이....
잼아줌마 2012/08/07 13:17 #
3개에 50골드
타누키 2012/08/07 02:30 # 답글
엔프로텍트 죽일놈 만들고 표준보안권장하면서 V3 나올 것 같은 불안감이 스멀스멀...
잼아줌마 2012/08/07 13:18 #
전작에서도 그랬지만 외국을 열렬히 빨아주는 분이라 카스퍼스키나 avast가 나오지 않을지
앨런비 2012/08/07 17:29 #
V3정도면 한국에서는 무난한 정도. 애초에 카스퍼스키와 V3는 지향점이 다른 백신.
allrelease 2012/08/07 05:36 # 답글
공인인증서는 표준기술이고 128bit이상 암호화를 쓰고 싶었는데 당시 SSL이 막혀있어서 SEED가 사용된거고, 쓰려면 국제표준으로 두루 쓰여서 브라우저에 내장되던가 플러그인으로 지원되야하는데 하필 ActiveX용만 만들었습죠. 亡
잼아줌마 2012/08/07 13:18 #
애초에 국내 전자상거래에 쓰려고 나온거라 AX로 나온거죠.
2007년 이후 파이어폭스에 탑재되긴 합니다.
검은하늘 2012/08/07 07:10 # 답글
근데 국민 감시해서 몇 명이나 잡아갔데요? 그리고 일국의 정보기관이라면 그정도는 해야하지 않나요? NSA도 GCHQ해서 강대국 정보기관끼리 에셜론도 운용하는데 그정도 능력도 없으면 국정원 문 닫아야 합니다.

국정원이 한 가지 잘못 했다면 액티브엑시장구조를 안 부순거 밖에 없습니다. 제 이메일, 휴대폰 감시? 하라고 하세요. 시간 낭비죠.
잼아줌마 2012/08/07 13:18 #
감시한다는 근거도 없어요
∀5 2012/08/07 08:20 # 답글
애플 유저로서 액티브X 싫어하긴 하지만....
중간 좀비PC 양산에 북한 드립치는거 보소
잼아줌마 2012/08/07 13:19 #
상식 운운하는게 가증스럽습니다.
aop 2012/08/07 09:31 # 삭제 답글
암호화와 전자서명의 차이를 이해 못한 전형적인 만화군요.
전자서명은 암호화가 아니죠. 차이점을 열심히 설명해 놓아도 자기 보고 싶은 것만 보는듯 합니다.
최근 은행권들의 오픈 뱅킹은 SSL(https)을 사용하는 게 추세입니다. 물론 전자서명도 사용하죠.
잼아줌마 2012/08/07 13:19 #
그런게 보이면 저런 만화가 나올리가 있겠습니까
Ladcin 2012/08/07 10:27 # 답글
일단 액티브 엑스 쓰는 이유는 아주 편해서...
그리고 개인정보는....개인께 아니게 됬쓰요 ㅠㅠ
잼아줌마 2012/08/07 13:25 #
이제 이 개인정보는 제껍니다.
대공 2012/08/07 10:31 # 답글
국민검시용 ㅋㅋㅋㅋㅋㅋㅋㅋㅋ
잼아줌마 2012/08/07 13:25 #
그러니까, 저 분 주장은 국민을 감시하기 위해 사설업체가 만든 보안솔루션을 잔뜩 깔아가면서 공인인증서를 쓴다 이건데
SSL 덜렁 하나 있는게 공격하기 쉬울지, 아니면 여러 단계의 보안솔루션이 있는데 공격하는게 쉬운지
그놈의 '상식적인' 생각도 안 해보고 있어요.
지나가다. 2012/08/07 11:06 # 삭제 답글
뭐 드립이 좀 심하긴 하지만, 액티브엑스를 닥치고 깔라는 건 맞는 소리.
그것들이 심심치 않게 항상 컴퓨터에 상주해서 리소스를 잡아 먹기도 하고.
각종 사이트들의 규격도 없어서 같은 회사의 보안프로그램끼리도 충돌 나기도 하죠.

그리고 은행에서 YES를 안하면 업무를 못봐서 다 YES하기 때문에
다른 액티브엑스 조차도 YES를 누르게 되는 것도 맞는 소리.

저 만화 내용이 어떻든간에. 지금의 액티브엑스 보안구조가 지랄 맞은 건 사실.
잼아줌마 2012/08/07 13:24 #
그러니까 반쪽의 진실이라는겁니다.
왜 액티브X떡칠이 됐는지, 왜 우리나라만 독자 암호체계를 쓰고 공인인증서를 쓰는지
그런 설명은 없고, 오로지 기업과 국가가 강요한다는 말만 써있지 않습니까.
SSL이면 회사책임 끝~ 이야기하는거야 뭐 그렇다고 쳐도
국민 감시를 한다는 거창한 제목에 대한 해답은 전혀 없는 만화입니다.
realythm 2012/08/07 11:36 # 답글
보안이란게 가장 취약한곳의 전체의 취약점이나 다름없고 가장 취약한곳이 사용자 보안인데

과연 저기서 말하는 대로 해서 일반적인 사용자가 뭘할수 있나요.

그리고 부인방지와 암호화의 차이 조차 제대로 풀어놓지 못해놓고 닥치고 까는것 보면 답이없습니다.

뭐 하지만 서버가 털리는건 문제긴 하지만 그게 일반사용자보다 몇배나 강한 보안을 해논거라는걸 말해주고 싶네요
잼아줌마 2012/08/07 13:23 #
저 사람의 주장대로 현재 환경을 개선하면 기업들이 더 좋아할겁니다.
별도로 플러그인 보안솔루션 안 갖다 써도 되거든요
해킹에 대한 책임도 서버가 털린게 아닌 이상 개인 사용자가 다 져야 하구요.
다른 글로는 대기업이 국민을 짓밟는다 운운하는 분이
이상하게 이 문제에서는 오히려 대기업 유리한 방향으로 개선하자고 하는걸 보면
모순도 이런 모순이 있나 싶습니다.
붕붕이 2012/08/07 12:03 # 삭제 답글
파고들면 깔 거리 많은 건 사실이지만, 국내 실정에 SSL보다 나을 것 없는 액티브X 플러그 인을 만들어놓고 깔라고 했으니 아주 틀린 말은 아니죠.
최근 큰 싸이트야 어찌어찌 오픈 규격을 준수하려하지만, 소규모 싸이트는 여전히 액티브X 천국입니다.
액티브X 의 영향력이 계속 되는 한은, 예전 익플 온니 정책은 두고두고 까일 수밖에 없다고 봅니다.

아마 많은 이들이 보기 쉽게 하려고 만화로 만든 것 같은데, 기술적인 문제는 어느 정도까지는 축약할 수밖에 없지요.
그걸 가지고 까는 건 보기 안 좋다고 말씀하신 AirCon님 말에 동의합니다.
이오리 2012/08/07 12:05 # 삭제
동감합니다.
잼아줌마 2012/08/07 13:22 #
근데, 에어콘님은 SSL 깨진게 아니다라고 말한 그 윗분께 하신 말씀 같은데요.

많은 이들이 보기 쉽게 하려고 만화로 만들어서 기술적 문제가 축약된 것과
알아야 할 사실을 축약해서 보여주지 않는 건 전혀 다른 차원의 문제입니다.

광우병 논란 당시에 일부 웹툰 만화가들이 보여줬던 행태를 그대로 답습하고 있어요.
그리고 글 밑에 덧붙여져 있지만 '상식을 믿고 날 따라와라'식의 오만한 태도도 있구요.
랄마린 2012/08/07 12:34 # 답글
만화 읽어보니까 팩트는 괜찮게 나열했는데 중간에 미묘하게 삐딱선을...
개인적으로 공인인증서를 나쁘게 보지 않습니다. 개인정보를 기반으로 하는건 논란의 여지가 있지만 어찌됐건 보안이 향상되긴 하니까. 단지 그 방식에 너무 문제가 컸을뿐이지(...;) 지금은 공인인증서를 액티브 엑스로만 할 필요는 없고 공인인증서 자체를 웹표준에 맞춰서 만들면 되는 문제라서 우리나라도 점점 웹표준에 가까워질거라고 봅니다.

음 그리고 어느분이 OTP가 키로거 한방이면 뚫린다고 했는데 그건 사실이 아닙니다. OTP를 통해 생성된 암호는 일단 한번 인증되면 바로 폐기됩니다. 사용자의 암호를 읽어 들인다해도 사용자가 일단 접속에 성공하면 그 암호는 바로 폐기 되기에 쓸모가 없는거죠. 디아3의 경우, 키로거에다 유저가 서버에 암호를 전송하는걸 어떤 방법으로 막은 다음에 입력했을거같은데.. 그게 정말 가능할런지는..;
잼아줌마 2012/08/07 13:20 #
저 만화가 싫은 점은 반쪽의 진실만 보여주면서 도덕적인 선동을 하고 있기 때문입니다.
∀5 2012/08/07 13:30 #
잼아줌마// 괴벨스가 생각나네요 ㅋㅋㅋㅋ
궁금함 2012/08/07 13:18 # 삭제 답글
공인인증서가 '원리'의 측면에서 가장 확실한 개인 서명 방법이라는건 알겠습니다.

그러니까 요는 거래에 대한 부인방지인데,

1. 오프라인상의 공인인증서 발급 과정이 허술하면 어차피 망하고 (몇번 지적당했으니 좀 나아졌겠죠)
2. 공인인증서 패스워드가 키로깅되면 망하는건 똑같지 않나요.. (그것때문에 잔뜩 깔고 파란화면 뜨는거지만)

공인인증서가 아직까지는 최선일지 모르겠는데 그 밖의 인증 방법에 대한 고민을 과연 하기는 하는건지 궁금함미다.
잼아줌마 2012/08/07 13:20 #
공인인증서가 최선은 아니고, 이미 정부 차원에서 환경을 바꾸기 위해 각종 시행령을 개정하려고 하고 있습니다.
장기적으로 볼 때 공인인증서 제도는 언젠가는 없어질겁니다.
kuks 2012/08/07 13:29 # 답글
에셜론까지 거론하면 세계 보안은 뭐...

예시로 페이팔 등을 거론하긴 했지만 IP대조 등으로 툭하면 계정정지되는 사례가 많아서 딱히 쾌적하다고 할 수는 없지요.
잼아줌마 2012/08/07 14:22 #
뭐 일단 액티브X 덩어리는 안까니까 쾌적하다는 것 같은데
사고발생시에 업체의 잘못임을 증명하지 못할 경우 개인 사용자가 책임지도록 하면 됩니다.
지벨룽겐 2012/08/07 13:33 # 답글
http://clien.career.co.kr/cs2/bbs/board.php?bo_table=news&wr_id=1464632 야! 기분좋다!
잼아줌마 2012/08/07 14:21 #
아무리 보안이 좋아도 사회공학으로 뚫리면 ㅈㅈ
군중속1인 2012/08/07 14:03 # 답글
http://openweb.or.kr/?p=2710
http://openweb.or.kr/?page_id=83
http://openweb.or.kr/?p=3059

예전에 기획할때 자료 조사했던 사이트 링크 올려봅니다.
잼아줌마 2012/08/07 14:23 #
저 만화의 많은 주장이 오픈웹의 주장에 기반하고 있는 것으로 보여지네요.
fatman 2012/08/07 14:13 # 삭제 답글
인프라 구축할 때 딱히 대안이 없어서 IE+액티브X로 구축했는데, 이게 너무 크게 대박이 나서 지금은 고칠려면 어디부터 바꿔야 할지 감도 오지 않는 그런 그런 상황이 아닌가 싶습니다.
잼아줌마 2012/08/07 14:25 #
전자상거래나 금융거래시 개인의 책임(키로거나 트로이 등등)은 모두 개인이 지도록 하고 은행이나 기관이 개인의 보안까지 신경쓰도록 하는 규정을 없애면 됩니다.
상식적으로 생각해 볼 때, 은행 입장에서 사용자가 잘못한 걸 책임질 필요가 없다면 저런 보안 수단을 덕지덕지 발라놓을까요?
나인테일 2012/08/07 14:25 # 답글
근데 제 생각에는 브라우저에 그렇게 AX 떡칠을 하려면 차라리 인터넷 뱅킹에 브라우저를 쓰지 말고 자체 클라이언트 프로그램을 어플리케이션 형태로 뿌리는게 낫지 않나 싶습니다. 그렇게 되면 보안 모듈들도 프로그램 실행 시에 주루룩 실행 되고 끄면 다 같이 꺼지게 하는 것도 가능할 것 같기도 하고 말이죠. 브라우저 설정은 건드리지 않을테니 브라우저 망가진다고 징징거리는 소리도 안 나올테고요. 그리고 웹이 아니니 웹표준 운운하는 소리도 나올 이유가 없겠죠.

이미 스마트폰에선 사용되는 방법이기도 하니..;;; 그냥 데스크톱에서도 이렇게 가는게 서로 마음 편하지 않을까 싶습니다.
잼아줌마 2012/08/07 14:28 #
장기적으로는 해외를 따라가면서 다 없애는 방향으로 갈 것 같네요.
규정은 개정을 통해 삭제하면 그만인데, 가장 큰 문제는 정부가 공인인증서를 고집하고 있다는겁니다.
SSgt 2012/08/07 15:50 # 답글
슬쩍 팩트의 반쪽은 손바닥으로 가려놓고 썰을 풀고 있군요...

제목부터가 이미...
잼아줌마 2012/08/07 16:51 #
완전한 거짓말보다는 반쪽짜리 진실이 사람을 현혹하기 더 좋죠
전뇌조 2012/08/08 08:03 #
10% 의 거짓을 말하기 위해서는 90%가 진실이어야 한다... 였던가요.
siga 2012/08/08 12:15 #
아마 괴벨스가 한 말이었나요 버네이슨가?
2012/08/07 16:03 # 답글
비공개 덧글입니다.
2012/08/07 16:52 #
비공개 답글입니다.
exnoy 2012/08/07 16:18 # 답글
다른 만화도 보니까 네이버는 절대 상종하면 안될 악덕 기업이고 구글은 청렴하고 좋은 기업이라는 투로 이야기 하더라고요. 아니 구글이 성능 좋은거야 알지만 청렴하고 좋은 기업 이미지는 왜 뒤집어 씌우는거야...
잼아줌마 2012/08/08 10:26 #
그래야 네이버는 개새끼라는 자기 말이 정당화 되거든요.
늄늄시아 2012/08/07 16:33 # 답글
국정원측에서 SSL 취약점 분석에 관련된 프로젝트들을 자주 한 것으로 알고 있습니다(주로 학술기관에 많이 의뢰했죠)
암호 알고리즘을 깬다기 보다는 군데군데 취약한 몇몇 요소들을 찾아서 공격법을 제시하는 프로젝트였지요.
잼아줌마 2012/08/08 10:30 #
국정원이 알려지지 않은 방법으로 취약점을 공격했을 수도 있겠지요.
Powers 2012/08/07 16:49 # 답글
IT의 양적인 성장이 배경이 되서 발생한 ActiveX의 남용을 가지고 정부의 음모&책임론(물론 일부 관리 책임은 있겠지만)으로 몰고가는 형식이 작자(作者)의 정치적 성향이 딱 들어나는군요.

수년뒤면 한*오에서 볼 수 있을 듯한 퀄리티..
잼아줌마 2012/08/08 10:32 #
다른 글을 보면 그 매체들과 별 다른 입장이 아님을 알 수 있습니다.
전뇌조 2012/08/07 16:59 # 답글
나와바리 버프가 쩔어주는듯. 나름 키워처럼은 안보이려고 노력하면서 반대 댓글 다는 게 보통 성의는 아닌듯합니다.
잼아줌마 2012/08/08 10:32 #
댓글로 '헐 감동받았어요 ㅠㅠ' 라는 사람들이 넘쳐나는데요 뭐
앨런비 2012/08/07 17:29 # 답글
엄허나. 첩보영화를 무진장 많이 본 듯 'ㅅ'
잼아줌마 2012/08/08 10:31 #
에너미 오브 스테이트요
siga 2012/08/07 22:44 # 답글
아 선동하자~ 아 선동하자~
취지가 의심되는 만화더군요 댓글수준도 몇몇 제외하고는 좀비들이고
아니 무슨 자기들하고 반대되는 의견 가진 사람은 다 일바나 업자래;
전뇌조 2012/08/08 08:04 #
익명성 속에 숨지 말고 나오라는 댓글도 있던데요.
잼아줌마 2012/08/08 10:31 #
자기 딴에는 실명으로 블로깅해야 익명성 속에 숨는게 아니라고 생각하나보죠.
ㅋ 2012/08/08 00:52 # 삭제 답글
이 만화 내용대로면 액티브 액스로 보안프로그램 강요하는 안철수연구소와 그 졸개들은 2MB의 하수인이네요 ^^ 안철수 까야겠네 ^^
잼아줌마 2012/08/08 10:31 #
작자의 성향으로 볼 때 안철수도 깔거같은데요. 외국을 워낙 좋아하는 분이라
Q 2012/08/08 13:47 # 삭제 답글
만화내용이 크게 틀린내용은 없는데,
보안얘기에 정치색이 너무 진하고
너무 편향적으로 얘기를 풀어나간다.
그리고 이런저런 복잡한 사정도 있긴 하지만,
결과적으로 한국웹의 현실이 지랄맞은건 맞지.
잼아줌마 2012/08/08 21:44 #
만화내용이 틀린게 아니에요. 절반의 진실을 보여주는 것 뿐입니다.
WeissBlut 2012/08/12 04:50 # 답글
팩트는 그럭저럭 맞는데 이건 뭐 음모론 돋네요. 한국의 전자금융거래나 보안 구조가 병신같은거야 사실이지만, 그 팩트로부터 어떻게 저런 추론을 할 수 있는지 이쯤되면 존경스러울 지경.
지나가다 2012/08/22 16:11 # 삭제 답글
뭐 일단 액티브X 덩어리는 안까니까 쾌적하다는 것 같은데
사고발생시에 업체의 잘못임을 증명하지 못할 경우 개인 사용자가 책임지도록 하면 됩니다.

--> 누가 증명해야 하나요? 사용자가 증명 해야하나요?