해외사이트도 결제 등에 분명히 허술한 점은 있다고 생각...
2014.02.26 09:49
그저께인가 해외사이트는 왜 카드결제시 비번을 안 요구하냐며 허술한 것 같다고 한 글을 썼는데요,
댓글들 보니 우리나라는 보안이 모두 사용자 PC 중심에만 신경쓰고, 정작 더 중요한 금융업계나 카드사 처리시스템에서 허술하다고 되어 있는 것 같네요. 이부분 동의합니다.
그럼에도 불구하고 제가보기엔 카드결제시 카드 비밀번호를 입력안받고 바로 통과하는건 상식에서 어긋난거라고 생각되는데요...
제가 이상한건가요? 예를 들어 ATM에서 현금서비스 돈 뽑으려고 하는데 비밀번호 없이 되는거랑 거의 같은거잖아요.
해외가 금융업계에 대한 보안도 더 철저, 책임도 더 철저한게 사실이지만, 그렇기 때문에 더더욱, 개인이 관리 잘 못해서 멀어진 일에 대한 책임은 결국 개인이 더 크게 집니다... 은행거래 등 이용시 보안프로그램이 설치되지 않으니 키로그같은 프로그램으로 해커가 키입력을 볼 수 있고, 그런 경로로 해커가 카드를 이용하면, 결국 컴퓨터 보안도 개인의 관리 책임이 되어버리는 겁니다. 이런 사례 꽤 있고요. 해커가 한거라고 말하면 알아보고 취소처리해줄까요? 장담하건데 그럴 가능성 없진 않으나 매우 어렵습니다... 우리나라보다도 더... 해외에 안 있어보신 분들은 무슨 환상이라도 가진마냥, 우리나라와는 달리 해외면, 선진국이면 다 나를위해 해줄거라 생각하는분들 많지만...
어쨌거나, 이부분은 사용자 입장의 보안에서 말한거지, 금융업계 입장의 보안에 관련해서는 100% 우리나라가 너무 허술하다는건 인정합니다. 실제 구축된 시스템도 그렇고, 보안 인식도 그렇고요.
그럼에도 불구하고 해외에서도 적어도 비밀번호 확인쯤은 개선해야 한다고 생각되네요. 애초에 모든곳에서 비밀번호를 꼭 확인한다면 카드번호와 카드일자가 털린들 이토록 불안하기까진 안했겠지요. (업계 실드는 아닙니다. 애초에 고객정보 털린 금융업계 잘못 200%) 우리나라에서는 일부 오프라인을 제외하고 모두 비밀번호를 확인하는데, 카드정보 털린후 대부분 결제된게 해외결제잖아요... 해외에선 자기 주 거래지역이 아닌 다른지역에서 돈이 빠져나가면 바로 문자가 온다고는 하지만, 돈이 빠져나갈때마다 문자오는 서비스는 우리나라도 있고, 애초에 거래시마다 비밀번호 확인하면 될 것을 그게 자랑은 아닌것 같아요.
암튼 우리나라도 해외처럼 장기적으로 ActiveX 전면 걷어내는대신 해외보다 좀더 사용자 입장의 보안도 신경쓰도록 하면 좋을것같아요. 인터넷 거래용 무료 백신, 방화벽 등을 제공하지만 강요는 안 하고, 강조되도록. 물론 업계 보안부터 싹 갈아엎은 후의 일이겠지만.
댓글 [10]
-
라미실 2014.02.26 09:56
-
유기농초코 2014.02.26 10:01
언급하였습니다만, 이번 유출로 해외 결제 사고난걸 해외탓 하는것도 아니고 애초에 그걸 털린 금융업계 잘못이라고 해놓았습니다.
사용자 PC에 그토록 각종 쓰레기 ActiveX들을 설치 강요해대는것도 결국 자신들이 보안에 대한 자신도 없고 그렇다고 돈 써서 신경쓸 의지도 없으니 그냥 알아서 사용자가 털리지 말라고 설치하자 라는대서 비롯된것도 알고 쓴거고, 글을 다 읽어보셨다면 충분히 아셨을 것 같은데 제가 그걸 모르고 쓴게 아니라는것을..
글의 요지는, ~~한 이유로, 또는 해외도 ~~이러니, 우리나라 금융보안은 충분하다. 가 아닙니다. 100% 이상하고 허술하고 싹 갈아엎어야 합니다. 근데 글의 요지는 우리나라 금융보안이 어찌되었건 신경끄고, 해외 사이트 결제부분만 말하는 겁니다..
울나라 금융보안이 그토록 나쁘니 해외 금융보안이 상대적으로 좋아보이는게 있지만 분명히 거기도 허술한 부분이 존재하니까요.
-
♥ZARD 2014.02.26 10:43
해외 금융에도 허술점이 있습니다. 하지만 국내는 그보다 더 허술합니다.
내부에는 보안에 관한 엄격한 룰이 있지만, 인간본성의 귀차니즘과 편리함으로 인해
이러한 룰들이 무시되고 관리되어지는 관행도 한몫합니다.
무엇보다 사용자(고객)를 생각해서 서비스를 개선해야 하지만, 우리나라는 기업위주의 정책으로 바뀌지가 않습니다.
왜 방화벽을 이중으로 설치하고, 키보드 보안툴도 이중으로 설치해야 하는지??
엄밀히 말하면 이건 백신 프로그램이 제공해야 하는 것입니다. 그걸 왜 사이트에서 제공하는지??
액티브 X를 사용함으로 쓰레기인 키보드 보안어플을 왜 강제적으로 설치해야 하는건지??
이런것 부터 걷어내야 된다고 생각됩니다. 장기적으로요...(물론, 이권이 걸렸있기에 불가하다고 보지만...)
한마디 더하자면, 이번 유출사태는 내부의 문제이지 사용자의 문제가 아닌데도...
"보여주시기 식"으로 홈페이지 보안 업데이트(??) 이딴 쓸데없는 짓이나 하고, 마치 이제 보안업데이트 했으니
안심하라는 식으로 얘기하는 것도 웃깁니다. 엄밀히는 기업이 잘못해놓고 말입니다.
더 웃긴것은 보안에 관한 지식이 없는 일반인들은 아 이제 괜찮은가보다 이러고 인식한다는게 더 어이없을 뿐이고...
어차피 이미 털린것 상관없다는 것도 그렇고...
이래저래 회피하기만 하는 것이 정말 답답합니다..
-
유기농초코 2014.02.26 10:52
아 왜이렇게들 기술적인 부분, 정책적인 부분 너무 깊게 파고 들어가죠?.... 제가 하고싶은말은 그냥 하나입니다...
"해외사이트들도 결제시 비밀번호 입력받는게 옳은 것 같다."
그외의 부분은 저도 너무 잘 알고있고요, 알고 쓴겁니다. 관련 말 수도 없이 봤습니다. 글을 충분히 읽으셨다면 아셨을텐데요..
혹여나, 왜 해외사이트들에서 비밀번호 입력을 하지 않는 이유라던지, 비밀번호 입력이 오히려 좋지 않다라는 근거라던지 등에 대한 거라면 말씀해 주셔도 괜찮습니다.
다른 뭐.. Active X 니, 128bit 보안이니, 해외와 국내의 정책의 차이니 뭐니 하는 문제에 대해 토의하고 싶지는 않습니다.... 관련해서 저도 다른 분들의 의견도 수도없이 보았고, 관련 IT 기사도 수도없이 보았습니다.
-
DarknessAngel 2014.02.26 12:05
애초에 카드 비밀번호 입수하는거보다, 물리적 카드를 안 보면 입수 불가능한 cvs쪽이 횔씬 철져하죠 (ATM에서 물리적 카드 요구하는거랑 비밀번호만 알면 카드 없이 뽑는것중 어느게 나을까요?)
개인책임 애기하셨는데, 그럼 국내 수많은 금융기관들 (이랄까 거의 모든 금융기관) 지금까지 몇번이고 유출되었는데, 그거 책임지느라 막대한 배상으로 휘청거린 회사 있긴한가요?
비밀번호 애기 자꾸 하시는데, 오프라인에서 카드 결재할때 비밀번호 넣는경우가 대체 얼마나 있던가요? (물리적으로 카드 있어야하니 안전하다고 말씀하신다면 위에 적은대로 차라리 카드에만 기록된 정보 달라고하거나, USB타입 카드 리더로 인증하라고 시키는게 나은겁니다) (또한 비밀번호도 입력한다면 뭔일 났을때 비밀번호까지 같이 털리겠죠)
엑티브의 문제는 엑티브 쓴다고 보안상 안전해지키는 커녕 보안상 추가 위험을 감수해야하므로 어떤의미에서는 보안상 더 부실해진다는점입니다
직접 적으신대로 시스템이 감염되면 엑티브고 뭐고 무슨 수단을 써도 보안 보장 안 됩니다 (애초에 커널레벨에서 빼가면 뭔짓해도 소용없음) -
유기농초코 2014.02.26 16:29
1) 비밀번호 입력을 받지 않으면, 반대로 물리적 카드만 보면 결제가 가능해집니다. 물리적 카드 없이도 어떤 기회로든간에 카드번호와 만료일자 등만 알게 되면 결제가 가능해집니다.
2) 비밀번호 입력 얘기만 하고있지, 금융기관들의 책임에 대한 토론이 아닙니다. 우리나라의 금융기관들이 보안이 허술하고 인식이나 태도도 문제가 있는 등의 사실을 잘 알고 있다고 본문 및 다른 댓글에서 언급하였습니다.
3) 해외사이트들도 카드결제시 비밀번호 입력받아야 한다는 말과 동일한 이유로, 오프라인에서도 비밀번호를 입력받도록 개선되어야 한다고 생각합니다.
4) Active X 도 마찬가지로, 저는 절대로 지지자가 아닙니다. 본문에서 언급하였지만, Active X 완전한 철거를 바랍니다.
제 글을 충분히 읽으셨는지 의문이네요.
비밀번호를 입력받지 않는 것이 입력받는것보다 타당하다는 근거를 대주시거나 등이면 모를까, 그게 아니라면 자꾸 말씀드리지만 의미없는 토론입니다. 카드 보안 관련 다른 분들 의견들, IT 기사들 등 수도없이 읽어보았습니다.
윗 댓글에 했던 말, 반복하겠습니다.
다른걸 다 떠나서, 제가 하고싶은말은 그냥 하나입니다...
"해외사이트들도 결제시 비밀번호 입력받는게 옳은 것 같다."
-
DarknessAngel 2014.02.26 18:27
1. 하지만 온라인으로 입력하는경우 어차피 컴으로 입력하는값을 훔치는게 전부니 이부분은 무관하거나, 안전할 가능성이 있죠 (어딜 가도 CVS는 저장 안 됨) (해커가 설마 집집마다 찾아다니면서 카드 다 확인하러 다니는것도 아닐꺼고) (랄까 오프라인 사용할때도 카드만 있으면 가능하고, 보통 점원에게 카드 잘 맡기는데 마그네틱 리더만 있으면 1초만에 데이터 다 읽어내서 복제준비 끝입니다)
3. 어차피 유출되기 시작하면 추가로 뭘 받아도 소용없음 (OTP처럼 그때그때 생성하는걸 안 받는한)
4. 엑티브를 응호하진 않으셨지만, 보안프로그램 없음=사용자책임->보안프로그램 필요=엑티브 사용 이런식으로 해석도 가능합니다 (실재로 지금 금융권이 주장하는게 저거거든요)
-
유기농초코 2014.02.26 18:45
자, 반복해서 말씀드리겠지만, 알고 있습니다. 4번과 같이 금융권이 계산하고 있다는것도 너무 많이 들어서 지겹네요. 분명 그런것들 다 알고서 쓴 글이라고, 그런것과 무관한 글이라고 말씀드렸습니다만..
그래서, 결과적으로 말씀하시는 것이, "해외사이트에서도 비밀번호 입력받는 것이 좋겠다는 생각은 옳지 않다." 인건가요?
해커 위주로만 설명하시지만, 지갑을 잃어버리거나, 카드를 떨어뜨리거나 놓고오는 등, 혹은 내 자식이 내 카드를 뒤져서 등의 이유로 내 물리적 카드가 타인의 손에 넘어갈 가능성도 분명히 있으며 그 경우에 비밀번호 없이 결제가 가능하다면 막을 수가 없습니다. 아무리 카드사들이 처리해줄거라 한들, 사전에 결제를 미리 막는것과, 그렇게 결제를 당하고 추후 처리를 하는 것은 다릅니다.
금융계의 시스템이든 보안 정책이든은 미뤄두고, 마치 내가 내 스마트폰에 고급 방법을 쓰면 뚫릴 수 있다는걸 알면서도 최소한의 보호는 해주기 위해 패턴이나 암호 등 화면 잠금을 사용하는 것처럼, 나 자신이 내 정보 최소한이나마 보호한다는 차원에서, 최소한의 비밀번호 확인이라도 거쳐야 한다고 말하는 겁니다. 비밀번호 하나면 보안 걱정 끝이라 생각하고 비밀번호 확인하는게 아니라요.
자, 제 생각과 근거에 반대하신다면 그 부분에 대해서만 말씀해 주시면 됩니다. 다른 시스템이나 정책 관련 부분은, 몇번을 말씀드리는지 모르겠지만 100번이고 200번이고 보았습니다.
-
DarknessAngel 2014.02.26 19:16
엑티브부분 자꾸 애기해봤자 무한히 갈꺼같으니 해당부분은 버리고, 비밀번호쪽만 애기해보죠
그렇게 따지자면 카드를 물리적으로 분실하거나한경우 오프라인에서 사용하는데 어떠한 제약도 안 붙는데, 신용카드 나온지 수십년이 되도 왜 여전히 비밀번호 달라고 안 할까요?
위에도 적었듯이 OTP라도 안 쓰는 한 전혀 효과 없는짓입니다
-
유기농초코 2014.02.26 19:46
그러한 이유로 오프라인에서도 마찬가지로 비밀번호를 입력받아야 한다고 생각한다고 말씀드렸습니다. 미국은 모르지만 적어도 제가 살던 캐나다에서는 오프라인 매장에서 비밀번호 입력받았습니다. 거기는 오프라인에서도 최소한의 비밀번호 확인을 하는데 온라인에서 안 하다니요.
그리고 거듭 말씀드리지만, 비밀번호 확인이 보안을 획기적으로 개선해줄거라고 믿어서 확인해야한다는것고 아니고, 해외사이트는 액티브액스 없으니 비번확인해야한다는것도 아니니 액티브액스랑 전혀 별개문제고요. 집 현관문에 도어락 설치해놓는다고 집을 뚫을 방법이 완전히 막히는줄 알아서 도어락 설치하나요? 집열쇠는 왜하죠? 어짜피 온갖 수단과 방법으로 뚫으면 뚫릴걸 안다면 어짜피 다 소용없는 짓이니 문 잠그지말고 살지요.. 저는 지금 완벽한 보안에 대해 토의하고 있는게 아니라 생활속 아주 간단한, 그러나 최소한의 과정이라도 거치는게 좋겠다 하는겁니다.
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] | gooddew | - | - |
| 20896 | 약자를 돌아 봅시다.... [5] | 구디 | 1155 | 03-03 |
| 20895 | CPR_Song | DOS | 2520 | 03-03 |
| 20894 | 안드로이드_sound meter | DOS | 1877 | 03-03 |
| 20893 | 메트로 ui | cline | 1248 | 03-03 |
| 20892 | 윈도8.1, 편리하게 쓰는 4가지 비법 [1] | 좋은날 | 2773 | 03-03 |
| 20891 | 운명... [2] | 지구여행중 | 1531 | 03-02 |
| 20890 | 제가 올린 AOMEI ISO받은분들 [5] | DarknessAn | 2455 | 03-02 |
| 20889 | 바이오스 포럼은 어딜 갔죠..ㅠㅠ | 음냐라 | 1733 | 03-02 |
| 20888 | 오랜만에출근.원도우포럼 화이팅.!!!! 영자님들 화이팅.!!! | 음냐라 | 1037 | 03-02 |
| 20887 | 허공을 가르는 짧은 다리 | DOS | 1179 | 03-02 |
| 20886 | 갑자기...ㅠㅠ |
|
1163 | 03-02 |
| 20885 | V3IS9 원하는이름/회사 거시기 만들기 |
|
2924 | 03-02 |
| 20884 | 갤럭시노트 12.2 Lte [2] | LittleHeav | 1631 | 03-02 |
| 20883 | 갤럭시노트 프로12.2 매장 판매와 온라인 판매? [2] | LittleHeav | 1457 | 03-02 |
| 20882 | 천체의 크기 비교 | asklee | 1543 | 03-02 |
| 20881 | 울나라 백신은 참... 갈길이 멀군요.. [6] |
|
2275 | 03-02 |
| 20880 | 태양계 행성들이 달 궤도에 있다면? [2] | asklee | 1490 | 03-01 |
| 20879 | 스카이 드라이브에서 무료로 오피스 되는 거 다들 아시나요? [4] | sous_la_pl | 1603 | 03-01 |
| 20878 | Avira antivirus [2] | sisa | 1537 | 03-01 |
| 20877 | "MS, 검색엔진 빙 통합한 윈도8.1 공짜 배포" [17] | JWL | 5343 | 03-01 |
글 내용 자체는 공감합니다만 한국에서 액티브 엑스 설치를 광적으로 해대는 건 보안책임을 사용자에게 떠넘기기 위해서입니다.
정확하게 반대방향으로 이해하고 계십니다. 우리는 각종 액티브 엑스로 할만큼 다했다.. 이거죠.
그리고 이번 유출로 해외 결제 사고난 거.. 그게 해외 탓은 아니죠.