아무래도 이번 공인인증서 문제는 방향을 잘못 잡은거 같습니다.
2014.03.27 20:00
지금 근래 터졌던 굵직굵직한 보안 사고들...
이게 공인인증서 때문인가요?
서버관리 부실로 온갖 개인정보와 카드정보가 다 유출되었는데,
엉뚱하게도 공인인증서를 때려 잡는군요.
그나마 공인인증서라도 있으니까 고액결제를 막아줘서,
카드정보 유출로 큰 피해는 예방된 셈인데,
뜬금없이 공인인증서 없애라니 이게 대체 무슨 날벼락인지...
이제는 신용카드 정말 다 없애야할 때가 온거 같습니다.
체크카드만 남기고, 그나마도 전부 재발급 받고,
비결제계좌로 돈을 몰아놓고, 체크카드에는 소액만 넣고 해야겠네요.
공인인증서가 무슨 악의 근원이라도 되는양 떠들어대는 분들에게 묻고 싶네요.
정말 공인인증서 없었으면,
개인정보 유출이 없었을거 같냐고요.
결코 아니죠.
사고는 똑같이 발생합니다.
중국 시골 영감도 가지고 있다는 우리 개인정보로,
아주 즐겁게 결제하고, 나몰라라 하겠죠.
공인인증서는
오히려 유출됐음에도 불구하고 직접적인 금전피해를 줄여주는 고마워해야하는 안전장치인데,
토사구팽당하듯 내버리려 드는군요.
사실 공인인증서 자체에는 큰 미련이 없습니다.
문제는 '그를 대체할만한 보안은 뭐가있냐'는거죠.
SSL ?
ㅅㅂ 욕나오네요.
https만 해놓고, 암호화 안하고 시늉만 하고 평문 스트링 날리는 사이트가 얼마나 널렸는지는 알고 떠드는지 되묻고 싶네요.
아니, 애초에 SSL은 중간에 가로채도 결제정보 유출되지 말라고 해놓은거지,
내 개인정보 가져간 ㅅㅂ새끼들하고는 아무 관계가 없다니까요.
전 지금 이 상황이 너무 두렵습니다.
아무런 새 보안대책은 내놓은게 없습니다.
근데 그냥 결제할때 공인인증서 쓰지 말랍니다.
집에 드나들때 열쇠 열기 귀찮으니 다 열어놓고 다니겠다는거랑 뭐가 다른가요?
지문키나 번호키도 안달고 그냥 열어놓겠다는 상황이네요. ㅡㅡ;;
댓글 [13]
-
조아세 2014.03.27 20:59
-
메리아 2014.03.27 21:26
공인인증서가 털린 사례는,
공인인증서 자체가 해킹 당한게 아니라,
공인인증서 보관을 잘못해서 털리는거죠.
집열쇠 가지고 다니기 귀찮다고, 대문옆 화분 및에 숨겨두고 다니면서,
나갔다가 집에오니 도둑이 열쇠를 따고 들어왔다며,
열쇠쟁이 불러다 불량 자물쇠랑 열쇠 준거 아니냐고 난리치는거랑 같은 꼴입니다.
그나저나
기사에는 마치 공인인증서 '금지'인 것처럼 표기를 했던데,
'자율'이라는 말씀이군요?
그렇다면 그나마 좀 다행... 일까요?
그러면 사실상 똑같겠네요.
대안이 되는 보안이 없는데,
어떻게 함부로 치울까요?
그리고
'다른 방법'이요?
ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
웃은거 죄송합니다만,
이건 정말 웃어주고 넘어갈 문제라서 죄송합니다.
지금 하는 보안도
돈 아깝다며 철저하게 안해놓는 통에
서버가 털리고, 저급 쓰레기 보안툴만 까는 실정에,
다른 방법을 도입한다구요?
'액티브X금지, 공인인증서 금지'
이런식으로 '금지'로 하지 않는한은
절대로 공인인증서 안치웁니다.
잘해봐야 '외국카드 결제 가능'일겁니다.
그나마도 결제사고 터지고 소송먹고 도로 접을 가능성이 높아요.
왜 안치우겠습니까?
공인인증서수준의 보안을 제공하려면,
그만한 돈을 또 더 들여야됩니다.
공인인증서보다 '획기적으로 뛰어난' 수준이 아니면, 돈을 굳이 더 들일 이유가 없습니다.
그러니 내국인 상대로는 풀어주지 않을겁니다.
설사 하더라도, 결제사고 줄줄이 터지고 소송 먹고 도로 공인인증서 올릴걸요?
'자율'인 이상은 그렇게 됩니다.
추가 비용 지출없이 그만한 보안 시스템 만들기도 쉽지 않으니까요.
제가 자주 말하지만,
공인인증서가 악성코드를 불러오는게 아니라,
사용자가 다른곳에서 악성코드 묻혀와서는 털리는겁니다.
피싱이 저절로 되는거 봤습니까?
뱅킹전용으로 은행사이트만 들어가는데 피싱 되던가요?
결코 아니죠.
각종 불법사이트에서 프로그램 받다가, 야동받다가 걸려서 오는 겁니다.
악성코드와 바이러스의 원흉은 따로 있는데,
공인인증서 치운다고 답이 나오나요?
그나마 은행권은 낫습니다.
OTP나 하다못해 보안카드라도 있죠.
근데 쇼핑몰은...
진짜 암담합니다.
카드정보 다 유출됐고,
얼마전 여기 자게에도 소액결제 수십 만원어치 당한 분도 있는 마당에,
이제 '빗장'을 풀어제낀겁니다.
누가 수백만원짜리 물품 결제하고 튀면?
그건 누가 책임질까요?
지금까지는 공인인증서 덕분에 그게 불가했습니다만,
이젠 됩니다.
보상받는다?
애초에
'보상받을 일이 안생겨야' 좋은거 아닌가요?
애초에 공인인증서가 그러자고 나온겁니다.
공인인증서가 털릴수는 있어도,
없을때보다는 백번 낫습니다. 천번만번 낫습니다.
정말 부디,
공인인증서 기본세팅하고,
요구하는 사람만 풀어주는 형태로 갔으면 좋겠습니다.
풀어줄때는 공인인증,본인인증 다 하고 풀어주기로요.
적어도 그래야 '비교'라도 되지 않을까요?
아무리봐도 외국은 몰라도,
우리나라는 결제사고가 줄줄이 터질게 빤히 보이는데,
제발 제껀 공인인증서 안풀어주길 간절히 바랍니다.
-
조아세 2014.03.27 21:42
공인인증서가 제공하는 "본인이 거래한 것이라는 책임증명" 기능을 믿고
지금까지 금융회사들이 보안에 별로 돈 많이 투자하지 않아도 되었는데
이제는 그렇게 안이하게 넘어갈 수는 없을겁니다.
외국 어느 나라에서도 금융거래 할 때 공인인증서를 쓰도록 강제하는 나라가 없어요.
어디까지나 자율이고
뚫리면 기업이 망하던말던 알아서 책임지는거죠.
우리나라 기업을 뚫려도 책임안져도 되게끔 "무조건 공인인증서를 쓰도록 해"놓았으니
뚫려도 책임안지는데 보안에 돈을 왜 투자합니까?
그러니 뻥뻥 뚫리죠.
앞으로 돈 들이면 더 좋은 방법 도입할 수 있습니다.
우리나라 금융회사들이 돈 들이기 싫어서 안하는 거지 방법이 없는게 아니죠.
외국에 있는 금융회사들은 보안 대충대충 하다가 까딱하다가는 회사망하게 생겼는데 돈 안들일까요?
덩치도 크고 보유한 돈도 국내금융회사 보다 많은데...
수요가 있는데 공급이 없겠습니까?
-
조아세 2014.03.27 21:13
금융보안이라는 것이
금융기관과 소비자 둘 사이의 약속인데
또 다른 누군가도 약속의 내용에 대해서 알고 있다면
금융기관 또는 소비자 둘 중 하나가 약속내용에 대해 다른 사람에게 알려준 것이겠죠.
따라서 약속의 내용을 공개한 책임은 언제나 금융기관 또는 소비자에게 있는 것이죠.
공인인증서를 통해서 결제하면 "소비자 본인이 직접 결제처리한 것과 동일한 증명효과"를 가지도록
제도를 만들어 놓아서
혹여 금융사고가 발생하더라도 금융기관은 공인인증을 통해 거래한 것을 근거로
금융기관 스스로 보안이 뚫린 것에 대한 책임을 피하려고 도입한 제도 입니다.
결국 소비자만 모든 책임을 지게 만들어 놓은 것이죠.
그래서 결제할 때 마다 강제로 공인인증서 쓰도록 해왔던 겁니다.
생각해 보세요.
물건 사는 사람이 돈 내고 사겠다는데, 물건 파는 사람이 물건 팔면서 돈 내는걸 번거롭게 하는 경우도 있나요?
물건 파는 입장에서는 돈 쓰기 편하게 해줘야 되는거 아닌가요?
소비자가 돈을 써야 거기에서 수수료 떼어먹을 수 있는데, 왜 돈 치르기 불편하게 공인인증서 통과하게끔 했을까요?
금융기관이 항상 주장했던 것은
"금융기관은 이제껐 털린 적이 없고 돈 많이 들여서 보안에 신경쓰고 있다.
만약 금융사고가 났다면 그것은 소비자 개인이 보안에 소홀해서 털린거다 그러니 소비자 개인 책임이다"
이에 대한 근거로 공인인증서로 결제했다는 것을 들이밀죠.
공인인증서를 방패로 금융사고 나도 절대 책임안지고 지금까지 우겼는데
이번에 금융기관도 털렸다는 사실이 만천하에 공개되면서
더이상 우격다짐을 할 수 없게 되었고
앞으로 금융사고가 일어나면 꼼짝없이 금융기관이 배상할 수 밖에 없는 상황이 된거죠.
게다가 공인인증서를 위조해서 결제하는 범죄가 워낙 늘어나니
그래서 공인인증서가 아닌 다른 방법을 찾아보라고 하는 것이죠.
-
메리아 2014.03.27 21:44
불편하면 무조건 다 풀어제끼면 되나요?
그러면 백신은 무슨 소용인가요?
백신도 진짜 불편한데, 백신 왜 깔죠? 없으면 참 편하고 좋은데요.
금융기관이 공인인증서 쓰는건
단순히 '회피'용도가 아닙니다.
그게 이유라면, 공인인증서 고도화다 뭐다 기타 여러부분에서 업데이트 할 이유가 없습니다.
회피만이 목적이 아니라,
사고 발생 자체를 줄이자는 겁니다.
역설적으로 그것을 위한 액티브X가 악성코드를 불러들이는 꼴이 됐지만,
적어도 공인인증서의 보안 자체는 성공한 셈입니다.
사용자가 아무데서나 막 Yes맨이 되어서 악성코드 다 긁어올 줄은 몰랐던게 문제일뿐이죠.
현재 공인인증서는 2048비트 보안입니다.
모르던 사람은 자릿수 보면 뭔 뻘소린가 싶을 정로 감이 안올수도 있습니다.
2^2048승입니다. 계산 되시나요?
128비트 SSL만 주구장창 외치는 분들은 정작 이건 모르데요.
겨우(?) 2^128승을 그렇게 찬양하는 분들이, 정작 2048비트는 못 믿으시겠다는군요.
실제로 공인인증서 피해는 대부분이
정말로 '관리소홀'이기 때문에 그런 결과가 나오는겁니다.
공인인증서가 해킹된게 아니라, 공인인증서가 '유출' 된거죠.
혹은 공인인증서 재발급이 가능한 수준의 개인정보가 털린거구요.
게다가 근래 금융기관 털린 유명사례는
공인인증서 문제와는 '100% 관계없습니다.'
서버에 암호화없이 보관하던 정보를 복사해가고,
KT처럼 무작위 대입 가능한 일련번호로 개인정보 조회를 허가해서 털리고,
메모리해킹등으로 웹페이지 자체 해킹으로 계좌번호 바꿔치기등을 하고...
공인인증서의 책임이 없다는 얘기가 아니라,
공인인증서 없이 그 어떤 보안 수단이 있더라도,
똑같이 발생했을 사건들이라는겁니다.
(특히 메모리 해킹의 경우 더 취약할 수밖에 없어집니다. 그나마 공인인증서나 보안툴이라도 안깔아주면...
작년 메모리 해킹 사건도, 보안 제대로 안하고 취약한 은행 2곳에서 벌어진 사건이라더군요. 다른 곳은 '못했다'고 범인이 진술했다고 들었던거 같네요.)
그런데 뭔가 하는 '액션'은 있어야하고, 선거도 다가오니까,
'옳다구나' 싶은겁니다. '꺼리'를 찾은것 뿐이죠.
그리고 윗 댓글에도 말했지만,
'다른 보안' 도 쉽게 못씁니다.
2048비트 보안 할만한게 또 뭐가 있을까요?
있다한들 '추가비용'들여서 만들어야됩니다. 사오거나.
그러느니 욕 좀 먹어도 차라리 공인인증서 유지하는게 낫습니다.
줄소송으로 난리 치느니 그게낫죠.
게다가 지금 나오는 얘기는
보안을 얘기하는게 아닙니다.
그냥 '카드결제만 되게 해라' 이게 답니다.
보안을 강화하거나 동등 수준 유지는 전혀 없이
'외국인들이 물건 못사니까 30만원 이상결제는 공인인증서로 제한하는 현행방침을 없애고,
카드 결제 무제한으로 만들어라' 이겁니다.
그에 대한 대책은 누구도 내놓지 않았습니다.
이런데 전혀 걱정이 안되시나요?
-
조아세 2014.03.27 21:52
공인인증서를 유지하고 안하고는 각 업체가 알아서 할 일입니다.
소비자가 공인인증서 쓰기 싫어하는데 매출에 타격이 온다면 업체가 그걸 계속 써야 할 이유는 없겠죠.
지금도 공인인증서 번거롭게 생각하는 사람 많습니다.
방법을 정해 주지 않은 이유는 정해주면 그 방법만 쓸까봐
그래서 그 방법 뚫리면 또 이렇게 될까봐 안정해주는거지요.
2048비트 보안을 하던 안하던 공인인증서 체계가 이미 뚫렸는데요 뭐
아예 재발급을 받아버리는데 2048비트가 무슨 소용인가요?
암호 넣을 필요없이 그냥 새로 하나 만들면 그만입니다.
너무나 상세한 개인정보가 털려서
지금이라도 공인인증서 재발급받아서 카드결제해버리면 막을방법 있나요?
외국인 카드결제무제한이 된다고 하더라도
카드사 또는 물건 판매자가 책임질 일이지 소비자가 뭐가 걱정인가요?
-
운모 2014.03.27 21:18 맞죠 그래도 공인증서 자체는 보안 토큰이죠.. 나름..
-
메리아 2014.03.27 21:52
정말 어떻게 될지 모르겠군요.
결국 털려봐야 사람들이 정신들을 차릴건지...
-
조아세 2014.03.27 21:56
누군가 금융결제 사기로 크게 탈탈털리고
문제가 되면
비로소 금융기관에서 보안에 투자하기 시작할테고 그 때부터는 안전해지겠죠.
그 전에는 절대 투자 안할테니...
원래 제도 라는 것이 다 그런식으로 발전되어 오는 겁니다. 주택임대차보호법이 원래부터 있었던 것은 아니죠.
다만 그런 시범케이스가 내가 아니길 바라야 겠죠.
-
혜미니 2014.03.27 21:59
사실 팩트는 보안이 좋고 안좋고 그것 때문에 공인인증서 문제가 대두 되는것이 아니고 공인인증서가 엑티브x에 종속되어 있고
결국 이 의미는 스마트os에서는 제약이 따른다는 진실 결국 변화의 바람은 불고 대세는 pc에서 스마트로 가다보니 어쩔수 없는
변화의 시작이 되었다고 볼수 있져 결국 보안문제는 이 문제와 더불어 끼어 있는 작은 제약에 하나입니다
결국 세상은 발전할수록 편리성과 보안 그 중심에서 갈등할것입니다. 결국 따지면 보안도 더 좋아질것입니다 하나의 통일보다
결국 자발적으로 맡기면 경제력 있는것은 살아 남을것이고 안되는것은 도태될것이고 궁극적으로 자유경제의 시장원리처럼
승리한쪽이 살아남는겁니다
-
단유리 2014.03.27 22:13 공인인증서가 털리는이유는 ..다이유가잇습니다..
일단 월래는 액티브가먼저 가져가야되는게아닌게 1순위가 공유키 [공인인증서] 입니다..
공유키가바로 공인인증서와연관되어있는데요. 이키가월래는 브라우져에게 맡겨주면 랜덤쓰기,랜덤읽기이기때문에 위치들키기가 힘들어집니다. 그러나 공인인증서 가 들어선후..
매우 단순합니다 C: \ 프로그램 안에 NPKI GPKI 혹은 *\npki,gpki 만 뒤지면끝나는거기때문이에요..
그리고또 보안토큰도하나의 병맛 중에서 병맛보안인데.. 공인인증서가 탈탈털리는게 악성코드,해킹툴만이아닙니다..
HTTP라써놓고 사이트를 재대로관리못하고 광고떡칠하는 사이트들이문제인거죠..
그리고 액티브 X가 금지되면 당연히 공인인증서도 X돼야됍니다.
액티브 안에서작동하는거기때문이죠. 즉그사이에 비집고 악성 공인인증서 툴이들어가버리면.
본인도모르게 유출됍니다 사이트탓이아니에요, 보안전문가들탓이지 --..
-
단유리 2014.03.27 22:20 그리고 2048 비트가 뭐고 뭐가 중요한게아닙니다.. 암호화방식이죠..
SSL이 왜찬양하는가. 그이유는 털려도 다음날에보강됩니다.. 공인인증서요? 털려도우리나라는 대책을안해요..
언제나그랫다는듯이.. 바로다른걸로 뉴스체인지하고 이슈체인지하는데에만 긴급하지.. 정작보안은신경도안씁니다..
외국에서는 털리면 뉴스로 나오고 바로사과하고 바로보안강화하는데 손씁니다..
우리나라처럼요.. 바로 보안에 돈안됀다고 보안자체에 투자의 투도 안하는나라는 대.한.민.국 하나뿐입니다..
일본도 ,중국도 죄다 SSL 쓰고잇습니다.
그런데도불구하고 해킹당햇다, 유출당햇다가있긴하지만 한.국보다는 훨낮은 피해에 훨낮은 보안유출이죠..
이유가무엇일까요? 액티브 X와 공인인증서 , 만들다가만 미완성 보안 토큰시스템이없고
직결제 - 말그대로 브라우져가 월래 자신이 해야할일을 남의프로그램이 손안쓰게만드는데에서 보안은 시작됍니다.
-
DarknessAngel 2014.03.28 07:44
사인키 비트가 높으면 뭐합니까?
혹시 사인용 키가 길다고 튼튼하다고 믿으신다면 암호학에 대해서 좀 더 공부하시는게 좋을듯 (알고리즘만 충분하다면 키자체는 길던 짧던 기밀성 유지됩니다)
ssl등을 구현 안 해두면 전송과정에서 잭하고 정상 사용자 연결을 끈어버리는 아주 기본적 방법으로도 간단히 가로 챌 수 있습니다
엑티브같은 중간매체를 클라이언트단에서 구현한다면 사용자 눈에 보이는 부분만 변경하거나해서 얼마든지 입금쳐를 바꿀 수도 있습니다
근본적인 해결책은 안 세우고 허구한날 클라이언트단에 덕지덕지 바르기만 10년도 넘었는데, 언제까지 그럴껍니까?
번호 | 제목 | 글쓴이 | 조회 | 등록일 |
---|---|---|---|---|
[공지] | 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] | gooddew | - | - |
21179 | 딥프리즈(Deep.Freeze)와 비슷한 프로그램을 찾고 있습니다 [2] | awd23 | 1634 | 03-28 |
21178 | 티스토리 초대장 필요하신분?? [21] | DSUN | 1139 | 03-28 |
21177 | Oxygen XML Editor 15.2 출시 되었네요 [1] |
|
873 | 03-28 |
21176 | 팟플이 27일자 버전으로? |
|
1176 | 03-27 |
21175 | 영어로 번역 부탁드림니다 [2] | 불터스 | 1179 | 03-27 |
21174 | 공인인증서 사실 팩트는 보안보다 스마트os의 제약입니다 [10] | 혜미니 | 1032 | 03-27 |
21173 | 파랑주의보님께 ^^ [7] | 눈이 | 1067 | 03-27 |
» | 아무래도 이번 공인인증서 문제는 방향을 잘못 잡은거 같습... [13] | 메리아 | 1591 | 03-27 |
21171 | 그냥 질문! [6] | 김뽈로 | 850 | 03-27 |
21170 | windows xp pro 32bit no servicepack 한글판 있으신분 [5] | 부족한그 | 1109 | 03-27 |
21169 | 날씨가 참 좋네요 [7] | 김뽈로 | 1160 | 03-27 |
21168 | 컴퓨터 전원을 끄면 공유기의 불빛이... [8] | 포프럼 | 1964 | 03-27 |
21167 | 혹시 아직 윈98 가지고 계신분 [7] | DarknessAn | 1730 | 03-26 |
21166 | 요즘 크롬이 왜이런지 모르겠습니다. [12] | 클레멘타인 | 2035 | 03-26 |
21165 | 심심한데 요즘 바우님 뭐하시나? [3] |
|
1565 | 03-26 |
21164 | ♬ [5] |
|
1046 | 03-26 |
21163 | 중국 인민폐 [12] | 곰댕이 | 1678 | 03-26 |
21162 | 8.1 에서 에어로글래스를 즐기는 방법.. [9] |
|
1594 | 03-26 |
21161 | BtoB 모델 [1] | 돌 하루방 | 1236 | 03-26 |
21160 | 제 컴퓨터는 최첨단 인공지능 CPU가 장착되어 있나 봅니다. [6] | 고양이2 | 1491 | 03-26 |
공인인증서라고 해도 안전하지도 않으니까요.
공인인증서를 발급할 수 있는 권한이 있는 업체가 날이 갈 수록 늘어나서 이제는 통신사도
공인인증서를 발급할 수 있는 권한을 갖게된다는데
개인정보를 보유하고 있는 곳이 늘어나면 늘어날수록 그 만큼 털릴 위험이 늘어나는 것이죠.
자동차 1주일에 하루 몰고 다니는 사람보다 매일 몰고다니는 사람이 사고확률이 더 높으니까
보험사에서 주행량 적은 자동차는 보험료 깎아주잖아요?
기존의 보안체계가 공인인증 한가지 방법으로만 통일되어 있어서
한 곳의 뚫는 방법 알아내면 다른 곳도 뚫리기가 쉽게 되죠.
그래서 공인인증서"만"사용하고 있는 현행 방법을 고쳐서
공인인증서 쓰고 싶으면 쓰고, 쓰기 싫으면 다른 방법을 "업체가 선택해서" 쓰라는 거죠.
방법을 정해주면 다들 그 방법만 쓰게 되고
그 방법 뚫리면 다시 모두가 털리게 될 위험이 있다는 거죠. 그래서 어느 방법을 쓰라고 지정해주지 않는겁니다.
서로서로 보안방법을 달리해서 그 중에서 안뚫리는 놈이 살아남게 되는거죠.
지금도 공인인증서 털립니다.
다른 방법 쓰면 더 나을 수도 있죠.
이제껏 공인인증서 말고 다른 방법 써본 적도 없잖아요?