스위스UBS은행의 인터넷 뱅킹 자료를 우연히 알게되었습니다.
동영상을 보니 국내 인터넷 뱅킹보다 훨씬 간단하고 편합니다.
데스크탑 인터넷 뱅킹1.
데스크탑 인터넷 뱅킹2
“Login with Access Key” 항목 재생
https://www.ubs.com/microsites/digital/en/tips/tutorials.html
액티브 엑스, exe 설치 안해도 그런 거 없습니다.
Exe 프로그램 실행 하더라도, 관리자 권한 요구 하지 않습니다. 그래도 못 믿으시겠다면 밑에 있는 링크에서 다운 받아 보시기 바랍니다.
https://www.ubs.com/5/cwb_docs/UpdateAccessKey_V2.zip
스마트폰 뱅킹1.
스마트폰 뱅킹2.
Tutorial | UBS Banking App
기타 등등
인터넷 뱅킹 데모
https://ebanking-demo-ch1.ubs.com/auth/login1?contractId=11508036&languageCode=en
온라인 뱅킹 시큐리티-서비스
https://www.ubs.com/ch/en/online-services/security.html
스위스 인터넷 뱅킹 정리
1. 스위스에서는 인터넷 뱅킹 할 때 공인인증서 공인인증서? 그런거 안씁니다.
-> 인증매체가, OTP와 스마트카드 결합된 형태의 인증수단을 사용합니다.
2. 은행은 고객한테 키보드보안, 방화벽 등 보안프로그램 설치 없습니다.
(왜냐하면 보안프로그램 강제 설치해도 효과가 없는건 알고 있습니다.)
3. 해외에서 사고가 나면 국내보다 훨씬 배상 받기가 쉽습니다.(소비자의 과실이 적음.)
링크 유럽의 소비자 과실범위 http://www.bloter.net/wp-content/uploads/2015/01/card_fraud_liability_depends_on_conturies.jpg
4. 스위스에서 하드웨어 토큰도 안씁니다. 하드웨어 토큰은 공인인증서를 저장하기 위한 저장장치가 아님. 그러나 국내에서는 언론사들은 스위스가UBS은행에서는 하드웨어토큰(HSM)을 사용한다고 보도 및 기사를 낸다. 해당 언론사에 대한 재평가 하시기를…, 또한 금융회사와 보안업체(?)도 하드웨어 토큰을 저장장치라고 알린다.
2011년 12월에 미국 국립표준기술연구소(NIST)는 '전자적 본인확인기술 가이드라인' Electronic Authentication Guideline (SP800-63-1), 보고서 51-52 요약
- SF One-Time Password Device (암호입력 필요없이 단추만 누르면 일회용 비밀번호6자리가 표시되는, 잠금장치 없는 OTP생성기) - Level 2
- SF Cryptographic Device (암호입력 필요없이 스마트카드 리더기 등에 삽입하기만 하면 되는 장치) - Level 2
- MF Software Cryptographic Token (소프트웨어를 통하여 사용되는 인증서로서, 인증서 사용시 암호입력이 요구되는 것: USB에 저장하건, PC, 스마트폰에 저장하건 공인인증서는 거의 대부분 여기에 해당) - Level 3
- MF OTP Hardware Token (암호입력이 필요한, 잠금장치가 있는 OTP 생성기) - Level 4
- MF Hardware Cryptographic Token (프로세서가 내장된 별도의 하드웨어. 별도 소트프웨어도 설치해야 하고 스마트폰 등에서는 사용 불가. USB 저장장치처럼 생겼지만, USB가 아닙니다, 혼동하지 마세요! 국내 보급율 0.7%미만. 스마트폰에 사용 불가하므로 보급율 늘어날 가능성 없음.) - Level 4
내용출처 : 오픈넷
http://opennet.or.kr/2938
사진출처 : 오픈넷
http://opennet.or.kr/2938
A언론사
"스위스 UBS은행은 공인인증서를 보안토큰에만 저장해 사용한다. 현재 국내 보안토큰 사용률은 10% 미만이다"
출처 : 보안뉴스 - [단독]은행 공인인증서 '보안토큰' 저장 의무화한다
http://www.edaily.co.kr/news/NewsRead.edy?SCD=JA21&newsid=03112726609404344&DCD=A00102
B언론사
"스위스의 UBS은행은 공인인증서를 보안토큰에만 저장해 사용하도록 하고 있다. 그러나 현재 국내의 보안토큰 사용률은 10% 미만인 것으로 알려져 낮은 편이다."
출처 : 보안뉴스 - 공인인증서 유출 위험, 보안토큰 의무화가 대안될까?(참고로 이 언론사는 TLS(SSL)을 비판하였습니다.)
http://www.boannews.com/media/view.asp?idx=46931
국민은행(다른 은행들도 상황은 같습니다.)
국내 인터넷 뱅킹의 플러그인, EXE 설치문제와 배상문제 해결법
- 공인인증서 사용금지
- HTML5를 도입하면 플러그인, EXE프로그램 설치가 공인인증서 문제가 없다?
- 익스플로러11 이하 버전에서는 HTML5 사용할 수가 없음. 국내 익스플로러 사용자가 많기 때문에 HTML5를 도입해서 하는건 비현실적 문제. HTML5를 도입 하는 것보다 공인인증서라는 인증서를 사용하지 않거나 다른 인증수단(OTP, 보안카드, 스마트카드, SMS인증, 기타 등등)을 도입하는게 훨씬 나은 선택 할수 있음. HTML5는 애초에 공인인증서를 위한 기술이 아님.HTML5 기반의 공인인증서 발급 및 로그인 시스템을 도입 하면 추가 비용이 발생 기존 및 향후 일반인증서(절대 무료가 아님) 갱신, 재발급으로 인한 비용 발생. ※공인인증서를 사용 안하면 인터넷 뱅킹으로 인한 플러그인설치 문제가 약퍼센트 감소
- 소비자에게 보안프로그램 설치 및 실행 금지.
우선 인터넷 뱅킹 시 보안프로그램 강제 설치 하는 이유부터 알아야 합니다. 인터넷 뱅킹시 보안프로그램 강제 설치하는 이유:
2005년 9월 금융감독원 발표 및 시행한 “전자금융거래 보안대책”(금융위원회에서 제정한 전자금융감독규정에 근거)으로 인해 인터넷 뱅킹 보안프로그램 강제 설치 및 실행 하지 않으면 서비스 이용 못하도록 금융회사에게 권고 함..
2015년 2월에 보안프로그램 강제 설치 규정이 삭제 되었으나 보안프로그램 강제설치 및 실행은 금지가 아님. 현재 금융회사 회사들이 보안프로그램 강제 설치하는 이유가 그 동안 보안프로그램 강제 설치 및 실행 권고 사항이 오래 동안 적응되다보니 보안프로그램 강제 설치가 안전하다고 생각하기 때문입니다.
보안프로그램 강제 설치한다고 보안성이 나아지지 않습니다대부분 소비자에게 백신이나 방화벽은 설치가 되어 있고백신프로그램이 설치 되지 않는 극소수 사용자들 때문에 설치해야 한다는 것은 다소 무리가 있습니다. 엔프로텍트 혹은 혹은 안랩세이프트랜잰션 설치 및 실행 문제를 해결 하려면 보안프로그램 설치 및 실행 강요보안프로그램 강제 설치 및 실행를 금지해야 해결이 됨. 해당 문제를 해결하면 인터넷 뱅킹 시 플러그인설치 문제가 약40~50퍼센트가 감소 됨. 이 설치 비율은 어림 잡은 비율 굳이 설치를 해야 한다면 선택적 설치는 괜찮으나 설치 권유는 설치 및 실행 강요로 이어 문제가 발생 한수 있음
이러한 문제와 해결법으로 인터넷 뱅킹 이용시 보안프로그램 강제설치 및 실행을 금지 해야 합니다.
인터넷 뱅킹 이용하다 해킹사고시 금융회사가 배상 못하도록 빠져 나갈 수 없게 하고, 소비자의 과실 범위가 적게 법안을 개정해야 함.
현재 인터넷 뱅킹이나 피싱, 파밍으로 인한 이체 사고가 나도 배상 받기 힘든 이유.
- 법정에서 증인으로 출석한 공인인증서 업체는 본인들 잘못이 아니고, 관리를 못한 소비자 및 사용자가 관리 책임 있다고 발언을 함.
- 사용자 및 고객에 관리 책임이 있다면 ID/PW방식과 페이팔 이용 시 이체 사고나 계정 탈취 사건도 사용자 및 소비자가 책임이 있음. 바른 말을 하면 금융회사들이 다른 인증수단을 변경할 가능성과 공인인증서의 신뢰성이 훼손이 가기 때문에 절대 바른말을 할 수가 않습니다.
- 전자금융거래법 제9조 2항과 3항. 그리고 전자금융거래법 시행령 제8조(고의나 중대한 과실의 범위)에 피해보상 면책 및 감경 조항 때문에 소송에서 소비자가 배상 받기가 불가능하거나 배상 받기가 매우 어렵습니다.
- 공인인증서를 사용하면 사고 시 배상을 받을 수 있다고 주장하는 사람이 있으나 받을 수가 없습니다. 배상 받을 수 이유는 다음과 같습니다.
전자서명법 제26조 1항(배상책임 면책 조항)
제26조(배상책임) ① 공인인증기관은 인증업무 수행과 관련하여 가입자 또는 공인인증서를 신뢰한 이용자에게 손해를 입힌 때에는 그 손해를 배상하여야 한다. 다만, 공인인증기관이 과실 없음을 입증하면 그 배상책임이 면제된다.