Tag Archives: 인터넷뱅킹

ActiveX로 삽질하다

설 연휴 중 윈도우 컴퓨터 앞에 앉았다. 대개의 일을 맥으로 하는 내가 윈도우 컴퓨터 앞에 앉았다는 것은 윈도우로 해야하는 일을 해야한다는 것을 의미한다. 이번은 은행일이다. 수월하게 인터넷 익스플로러를 켜서 은행 사이트에 접속해서 USB 드라이브의 공인인증서를 제출했다. 그런데 오류가 발생했다. 공인인증서를 어쩌고 키가 어쩌구 저쩌고. 음? 몇번을 해봐도 마찬가지다. 포기했다. 연휴가 끝나고 은행에 전화해보니 의외로 간단했다. 원흉은 ActiveX였다. 결국 강제로 언인스톨하고 수동으로 재설치하니 짜잔! 언제 그랬냔 듯이 잘 접속되었고 잘 처리했단 경사스런 이야기. 경사로세 경사로세~

젠장맞을. ActiveX.

안드로이드에서도 은행은 보안 불감증

안드로이드를 통해서 은행을 사용하기 위해서는 필수적으로 백신을 설치해야한다. 그런데 한가지 의문점이 들었다. 나는 알 수 없는 출처에서 앱을 다운로드 하지 않기 때문에 관련 옵션을 해제해 놓은채로 사용하고 있었다(기기를 산지 얼마 되지 않은 상태였다). 그러자 소프트웨어가 권한이 없다면서 에러를 내면서 종료를 했다. 나는 당황해서 옵션을 풀고서 설치를 하고서야 은행을 볼 수 있었다.

이 기능은 본래 마켓 이외의 장소에서 다운로드 받는 앱을 막음으로써 불량 앱의 설치를 막기 위한 안드로이드의 최소한의 안전장치이다. 마치 인터넷 익스플로러에서 이 앱을 설치하겠냐라고 물어보는 노란색 바와 같은 것이라고 봐도 무방하다. 그런데 우리나라 은행에선 이것을 기본적으로 해제하라고 강요하는 것이다. 한마디로 안드로이드 운영체제의 안전장치를 해제함으로써 백신을 까는 대신에 보안 헛점을 노출하는 바보짓을 연출하는 것이다. 뭐가 더 바보짓인지 모르겠다. 그러잖아도 마켓에도 개인정보를 누출하는 앱들이 부글부글한 마당이다. 마켓이외에 어떤 앱이 있을 줄 알고 그것을 차단하는 것을 해제하라는 것인지 정신이 있는것인지 묻고 싶다.

OTP가 고장이 나니까…

지난달 어느 날 새벽에 Gameloft와 Electronic Arts사가 iPhone용 게임을 대거 할인 한 적이 있습니다. 그걸 사기 위해서 새벽에 기프트 카드를 사려고 하는데 이 녀석은 상품권으로 취급되는지라 현금으로만 구매가 되더군요. 그래서 이체를 하려고 신한은행 웹사이트에 들어가서 하나은행에서 발급 받은 카드형 OTP를 켜서 번호를 차분히 입력했습니다만, 틀렸더군요.



제길. 또 시간 보정 해야겠구만 해서, 시간 보정 거래 메뉴에 들어가서 시간 보정을 했는데 어라 에러가 나더군요. 으음… 뭔가 틀림없이 일이 꼬였군. 해서 하나은행에 들어갔습니다. 하나은행에서도 OTP가 문제가 있습니다. 이거 난리가 났습니다.



그렇습니다. 제 통장에 있는 돈을 제가 꺼내지 못하는 상황입니다.  이런…. 그렇다고 이 새벽(당시 새벽 4시)에 누구한테 돈을 부치라고 할 수도 없는 노릇입니다. 당시 제 돈들은 다 OTP로 묶인 통장에 있었습니다…. 헐.



다시 요약하면 이 OTP가 고장난 이상 어느 은행 통장에서도 돈을 한 푼도 이체 할 수 없다. 라는 결론에 도달하게 되었습니다. 그 당혹감이란… 저는 어릴때 돈을 잃어버려서 곤혹을 겪어본 이후로 항상 어딜가나 몸 다음으로 지갑부터 챙기고 지갑에는 긴급시를 대비해서 절대로 쓰지 않는 비상금을 넣어두고, 가방을 휴대할때는 일정금액과 금액을 꺼낼 수 있는 카드를 넣어두고 다닐 정도로 강박이 있던 사람입니다. 어릴 때(13살때인가) 한번 잃어 버린 이후로 한 번도 지갑을 잃어 버리지 않을 정도이니까요. 그러니 내 통장에서 돈을 꺼낼 수 없다는 것은 공포였죠.



뭐 그 공포스런 상황은 제가 편의점의 ATM에서 1700원이라는 압박스러운 수수료를 물고 이체하고 잠도 안자고 8시 59분에 은행 셔터가 올라가자마자 은행직원들이 90도로 창구에서 절하는 것을 보면서 보안카드로 변경하는 것으로 종료 되었습니다만….



당분간은 이 공포스러운 경험으로 말미암아 OTP는 좀 꺼려질 것 같습니다….;  아니면 은행을 좀 더 쪼개 놓을까도 생각중입니다.



ps. 한밤 중이 아니라 낮이래도 참 난감 했겠네요. “나 보안카드가 맛이 갔어, 송금 좀 해줘!” 이거 전형적인 피싱 아닙니까? 이 얘기 하니까 은행원도 웃더군요.

구멍난 인터넷 뱅킹? – ‘I told you so’

‘구멍난’ 인터넷 뱅킹 – 보안 시스템 허술(MBC)

요즈음 인터넷뱅킹 관련한 뉴스를 보고 있다면, 한가지 특징이 있다. 예로 든 방송 꼭지는 개중 하나로, 최근 들어서 나타나는 패턴을 잘 말해주고 있다. 요컨데 ‘한번의 실수도 없이 이체를 해가더라’ 라는것이다. 그리고 그 이유를 들어서 악성 사이트 접속을 통한 악성 프로그램의 다운로드, 그리고 그로 인한 키 유출이라는 것인데.

이전에 썼었던 글
인터넷에서 자유방임주의를 외치다.
차라리 모든 국민에게 공짜 백신을 줘라

윗글에서 내가 공통적으로 주장하는 것은 ASP 형식의 이러한 보안 프로그램이 보안 능력이 의심스럽고, 또 시스템에 문제를 일으킨다는 점이다. 차라리 설치형(standalone) 제품이 문제를 덜 일으키고 문제가 일어날 경우 통제가 가능하며, 무엇보다도 보안적으로도 안전하다는 것을 강조하고 있다.

왜 그런가? 첫째, 현행 인터넷 뱅킹의 보안 제품은 수동적이다(passive). 위의 예처럼 악성 사이트에 접속해서 다운 받는 것을 막는 적극적인 보호가 아니라, 일단 악성코드에 노출되고 나서 정보가 빠져나가는 ‘알려진 통로’에 대한 차단을 하는 것이다. 둘째, 그런 상황에서 방화벽이 완전히 외부로 나가는 포트에 대하여 제어를 하지 않기 때문에(이것을 완전히 이루기 위해서는 OS(정확히 말하면 네트워크 드라이버) 레벨까지 방화벽 소프트웨어가 통제를 하여야 하는데 그렇지도 못하고, 그렇다고 모든 나가는 패킷에 대해서 허락을 묻는것 또한 아니다. 따라서 얼마든지 보안 헛점이 생긴다. 보안 검색 기능이 있어도 역시 ‘알려진 키로거 등에 대한 프로세스 차원의 검색’이다. 따라서 어디까지나 사후약방문일 수밖에 없다.어디에서 일이 터지던, 아니면 운좋게도 보안업체가 발견하기 전에는 무방비나 다름없다. 셋째, 인터넷 뱅킹을 접속하지 않으면 보안기능이 작동하지 않는다. 고로 인터넷 뱅킹에만 접속하지 않으면 허술하게나마 있던 모든 아웃바운드 보안이 꺼지므로,

1) 알려지지 않은 신종 패턴을 통해서 키를 가로 채는 프로그램을 설치하고
2) 알려지지 않은 신종 키로거를 실행해서 인터넷 뱅킹에서 입력하는 키 정보를 수집했다가
3) 인터넷뱅킹을 종료한 이후 언제든지 해커의 호스트로 전송하는

일련의 보안의 디폴트 상태가 형성 되는 것이다.

이런 상황에서는 절대 보안이 이뤄질 수 없다. 이런 구조하에서 보안을 외치는게 야무지기까지 하다. 독립형의 방화벽/안티바이러스 프로그램은 상당한 수준의 악성 코드 대응이 가능할 뿐 아니라, 드라이버레벨에서 모든 포트와 어플리케이션(MD5값이나 용량등의 검증을 통한) 단위의 입출력을 통제할 수 있다. 또, 악성 홈페이지로 의심되는 사이트나 메일에 대한 필터 기능을 갖춘 제품 또한 있다.

이러한 제품을 갖추어야만 안전하다면 안전한 인터넷 뱅킹이 가능한것이다. 현재 시점에서 금융권은 이러한 제품을 제공하지 않고 있으며(나는 앞서도 말했지만 차라리 공짜로 뿌리면 안되냐고 읍소했지만), 돈주고 사는 수밖에 없다. 보안 업체는 잘 알고 있으리라고 생각한다. 특히 업계 1위 업체인 모 회사는 냄새가 난다. 마지못해 공짜로 백신을 뿌렸지만, 결과적으로 안전함을 위해서는 방화벽을 가지고 있어야 한다. 방화벽은 유료이다.

아무튼 이미 시중에 풀리고 있는 보안 프로그램은 1) 수상한 웹사이트 접속을 막고 2) 수상한 프로그램 다운을 막으며 3) 수상한 프로그램의 실행을 막고 4) 수상한 프로그램의 동작을 감시하고 5) 수상한 프로그램의 자료 송수신을 막는다. 6) 마지막으로 수상한 프로그램은 제거한다. 이 이상의 보안 대책은 있을래야 있을 수 없다. 설령, OS의 헛점을 이용하던 위험 투성이인 IE의 헛점을 이용하던 깔아 놓던, 아니면 이용자가 평소 버릇대로 이것저것 막깔다가 묻었는지는 몰라도. 어떤 헛점을 이용해서 어떤 알려지지 않은 해킹 프로그램이 깔려도 3,4,5,6 단계까지 뚫기는 매우 극히 아주 어려운것이다. 결론은 나온것이다. 완전한 보안은 없으니 장담은 못해도 적어도 현상보다는 훨씬 안전하다.

자랑은 아니지만 CIH가 전국민의 PC를 아작내고, 블래스터인가 하는 웜이 전국의 PC를 셧다운 시키는 등 오만가지 온 나라가 대란에 가까운 ‘난리’를 겪는 와중에서도 단 한번도 위해를 입지 않은 것은 간단한 이유이다.

1) 되도록 정품 소프트웨어 쓸것 (크랙 프로그램이나 크랙된 버전, 크랙 사이트 등 홈페이지에 악성코드가 묻는건 이젠 새삼스럽지도 않다)
2) 백신, 보안프로그램 사서 깔아놓고 업데이트 자주하고, 검사 자주 할것(어디 사서 쓰라고는 안한다. 보안 프로그램 홍보가 아니니까).
3) 윈도우와 브라우저 패치 부지런히 깔것(귀찮다고 안깔면 본인 손해일 뿐이다, 레드몬드에 있는 MS에 소송걸텐가?)
4) 쓰잘데기 없는것 깔지 말것, 특히 ActiveX는 정체나 쓸모가 뭔지 모르겠으면 무조건 아니오 누르고 문제가 발생하기 전까지 깔지 말것. 영문이면 더 조심할것.
5) 안전한 사이트만 들어갈것(냄새나는 사이트를 가지 말라는것이다)
6) IE 이외의 브라우저도 써볼것
7) 자신이 관리하는 컴퓨터가 아니면 보안에 민감한 작업을 하지 않을 것.
8) 암호 유추안가게 잘 만들고, 간수 잘할것. 민감한 작업에 사용되는 암호와 통상적인 웹서핑이나 이메일에 사용되는 비밀번호는 당연히 다르게 해야 안전하다.

구글은 사이트를 수집하면서 악성코드가 있을 확률이 있는지를 점검한다. 이 정보를 이용해서 Firefox나 Chrome, 혹은 구글 검색을 통해서 접속하는 경우 위험한 홈페이지라고 경고가 뜨고 접속의 ‘재고’를 요구한다.  한심한 노릇이지만 한국의 홈페이지를 들어가보면 악성코드가 깔릴 위험이 있다고 들어가지 말라고 하는 경우가 왕왕있다. 그게 문제는 중앙일간지나 경제지 같은 유명한 사이트를 포함해서 이름 얘기하면 거기가 그럴까 싶을 정도로 큰데도 그모양이고 자그마한 사이트는 관리 부족으로 인해 왕왕 노출된다. 그러니 웹사이트 접속도 조심하는게 좋다.

중요한 것은 어찌됐던간에 본인이 조심하는것이다. 지갑 간수 허투로 해놓고 지갑을 누가 외투에서 치기해서 훔쳐갔다고 지갑이나 외투 주머니에 보안을 걸지 않았다고 지갑이나 옷 회사에 소송걸지 않듯이. 돈도 오가는 만큼 컴퓨터에 대해서 상식적인 관리는 필요하다. 공짜 너무 좋아하지 말고, 일년에 2~3만원 하는 보안 프로그램 하나 깔아두는건 해둘만하다. 몇 백만원 몇 천만원 날려버리고 후회하면 늦을 뿐이다. 다른 나라 사람들은 상식적으로 다 하는 문제다. 그런 걸 안하고 거저 해주길 바라는 심보가 nProtect 류의 쓰레기 프로그램은 양산시키고, 돈은 돈대로 날려서 중국의 왕서방 좋은 짓거리만 시키는것이다.

내 컴퓨터에 무엇을 설치하는지 나는 알 권리가 있다.

당연한 얘기겠지만, 내 재산을 소유하고 향유함에 있어서 나는 법에 저촉되지 않는 범위내에서 내 재산에 완전하고 명확한 지배를 할 수 있어야 한다. 내가 쓰는 컴퓨터는 나의 재산이며 내가 소유하는 것이다. 따라서 나는 내 컴퓨터에 무엇이 돌아가는지 알아야 할 권리가 있고, 무엇을 설치해야하는지에 대한 통지를 받고 이를 선택하거나(opt-in)  혹은 거부하거나(opt out)할 권리가 있다.

하지만 작금의 인터넷뱅킹에서는 보안을 위해서 뭘 깐다고 잔뜩 창을 띄우고 안띄우면 진행을 안시키는데 어떤 프로그램인지, 버전은 무엇인지, 누가 만든것인지 같은 정보는 알려주질 않는다. 또 어떻게 지우는지 또한 잘 나타나 있지 않다.

현대적인 자동차에는 여러가지 주행안전장치가 있다. 이 장치를 켜면 요컨데 차체의 자세를 제어하여 차가 운전자가 제어를 하지 못할 수준으로 가는 것을 차가 임의로 제한한다. 물론 이 기능은 사용자가 차에 대한 지배를 하는 것을 제한하는 것이며, 이로 인해 불편을 느낀다면 드라이빙의 즐거움을 추구하기 위해서 끌 수 있다. 이렇게 하는 것은 물론 자신의 안전을 걸고 하는 것이다. 하지만 일단 내 차이므로 내가 필요에 의해 끌수 있다.

차라리 모든 국민에게 공짜 백신을 줘라에서 말했듯 차라리 공짜 백신을 주지는 못하겠다면 적어도 무엇을 설치하는지, 무슨 목적인지, 어떻게 제거하는지, 문제가 생겼을때는 어디에 문의해야하는지 이 네가지는 확실히 밝혀야 한다. 또한 이것을 깔지 않고도 할 수 있는 방법을 마련해야한다. 클라이언트의 보안은 어디까지나 클라이언트를 운영하는 사용자의 책임이기 때문이다. 이것에 대해 재미있는 비유를 하신 도아님의 무면허 운전자와 인터넷 뱅킹을 일독해볼 것을 권한다.

적어도 모든것을 깔아야 한다고 치자, 회사마다 제품이 다른데, 만약에 내가 다른 은행으로 거래를 바꾸어서 이젠 더이상 그 제품을 사용하지 않는다면 그 프로그램은 어떻게 할 것인가? 인터넷 사이트에는 설치를 해야하는 요령은 나와 있어도 어디에도 지우는 방법은 잘 나와 있지 않다. 특히 내가 거래하는 신한은행은 최근 ASP 프로그램을 잉카에서 안랩으로 바꿨는데 그것에 관하여 제거 방법등에 대해서 일언반구없다는게 매우 한심스럽게 느껴진다.

차라리 모든 국민에게 공짜 백신을 줘라에서 말했듯, 사용자 마다 상황이 달라서 내 노트북에서는 경우에 따라서 키보드가 먹통이 되는 부작용이 생기기도 한다. 물론 그럴때마다 제작사에 연락해 해결하거나 재부팅하지만, 궁극적으로 이렇게 일일히 사이트마다 다른 것을 깔고 책임소재가 불분명한것 보다 내가 믿을 수 있는 프로그램을 깔고, 그 문제에 대해서 내가 선택한 한 회사에 상담하는것이 훨씬 효율적인 문제임을 알 수 있다. 그렇게 갖춰진다면 아마도 공짜백신을 만들어내느라 업계가 무너지는 상황은 벌어지지 않았으리라.

금융기관은 보안에 신경을 꺼라. 보안은 보안업체와 개인에게 맡겨두면 된다. 사용자들이 보안에 신경 못 쓸정도로 바보가 된게 아니라, 당신들이 일일히 다 해주니깐 바보가 된것이기 때문이다. 보안업체도 금융기관에 납품하는데 신경을 꺼라 모든 기능이 지원되는 백신을 공짜로 뿌리는게 당연해진 작금의 상황은 결국 필요한 보안을 모두 공짜로 주기 시작했기 때문에 생긴 문제다. 안랩은 특히 공짜로 백신을 뿌리는거에 비난할 군번이 아니다.

다시 말하지만 내 PC는 내 재산이다. 내 물건에 손대려면 허락을 받아라.