기글 하드웨어 소프트웨어 포럼
소프트웨어와 인터넷에 관련된 이야기를 자유롭게 나눌 수 있는 곳입니다. 게임에 관련된 글은 게임 포럼을 이용해 주세요.
마이크로소프트가 차세대 브라우저 ‘엣지’에서 액티브X와 툴바를 완전히 몰아내겠다고 선언했다.
미국시간으로 6일 마이크로소프트 엣지 개발팀이 공식 블로그를 통해 이와 같이 밝혔다.
http://m.cnet.co.kr/view.php?p=133168
액티브X가 사라지는건 좋은일이지만 EXE 프로그램이
있기때문에 안되겠죠 ...
미래절망창조과학부의 개선 방안 덕분에 답이 없습니다.
저건 도대체 어떤 사람 머리에서 튀어나온건지 ...
2015.05.10 15:25:14
하지만, 공인인증서 사용과 보안프로그램 강제설치는 계속됩니다.
더블어 엔프와AOS(안랩), 기타등등과의 동거는 계속됩니다.
사실 보안프로그램 고객에게 강제 설치행위는 따지고 보면 끼워팔기 행위인데, 정부가 끼워팔기 조장하고, 합리화, 허용시키니 과연 이 문제가 해결이 될까요?
공인인증서도 따지고 보면 지금까지의 낮은 사고율이 아이디/패스워드+보안카드 혹은 OTP 덕분에 사고가 낮았는데, 그걸 공인인증서가 가로채고 있고, 사고가 나면, 공인인증서가 뚤린게 아니다 사용자가 잘못이다,
사용자 잘못으로 몰고가면 패스워드 방식도 뚤리지 않죠. 암호가 유출되지 안고, 복잡하고 긴 암호를 쓴다면 패스워드 방식도 지금까지 뚤리지 않죠.
저는 정부 관료도 문제가 있지만, 전산담당자 혹은 IT 엔지니어에도 문제가 있다고 봅니다.
공인인증서는 둘째 치더라도, 내용이 하두 기가 막혀서원...
다은은 S금융회사 운영자 답변 입니다.
"당사는 해킹 등의 전자금융사고가 발생에 사전 예방 차원으로 보안 프로그램의 설치를 진행하고 있습니다.
고객님께서 말씀하시는 자체 보안 프로그램이나 안전한 이용으로 보안 사고가 예방되는 경우가 이상적이나,
공공장소에서의 PC이용 등 위험에 노출이 많은 경우나 자체 보안 프로그램 없이 이용하는 사용자의 경우를 예방하고자 하는
조치입니다. (보안 프로그램의 사용이나 인식이 생활화 된 경우보다는 보안이 불안정한 환경을 전제로 말씀드립니다.)
일전에 말씀드렸으나, "이체를 제외"한 다른 서비스의 이용은 AOS 설치를 하지 않으시고 이용이 가능하시니,
AOS 사용이 꺼려지신다면 설치 안내창에서 미설치 이용을 안내드립니다.
공인인증서는 현재 전자금융거래에서 신뢰성 있다고 인정받은 기술입니다.
전 금융사에서 사용중인 공인인증서를 지원 안 할 수 없으며,
공인인증서 이외의 인증 방법을 사용하고자 하는 경우에는 자체 정책 적용이 아닌 평가기관의 안전성 평가를 득해야 이용이
가능한 부분입니다. 인증기관의 다른 대체 인증 기술이 나온다면 적극 도입토록 하겠습니다."
더블어 엔프와AOS(안랩), 기타등등과의 동거는 계속됩니다.
사실 보안프로그램 고객에게 강제 설치행위는 따지고 보면 끼워팔기 행위인데, 정부가 끼워팔기 조장하고, 합리화, 허용시키니 과연 이 문제가 해결이 될까요?
공인인증서도 따지고 보면 지금까지의 낮은 사고율이 아이디/패스워드+보안카드 혹은 OTP 덕분에 사고가 낮았는데, 그걸 공인인증서가 가로채고 있고, 사고가 나면, 공인인증서가 뚤린게 아니다 사용자가 잘못이다,
사용자 잘못으로 몰고가면 패스워드 방식도 뚤리지 않죠. 암호가 유출되지 안고, 복잡하고 긴 암호를 쓴다면 패스워드 방식도 지금까지 뚤리지 않죠.
저는 정부 관료도 문제가 있지만, 전산담당자 혹은 IT 엔지니어에도 문제가 있다고 봅니다.
공인인증서는 둘째 치더라도, 내용이 하두 기가 막혀서원...
다은은 S금융회사 운영자 답변 입니다.
"당사는 해킹 등의 전자금융사고가 발생에 사전 예방 차원으로 보안 프로그램의 설치를 진행하고 있습니다.
고객님께서 말씀하시는 자체 보안 프로그램이나 안전한 이용으로 보안 사고가 예방되는 경우가 이상적이나,
공공장소에서의 PC이용 등 위험에 노출이 많은 경우나 자체 보안 프로그램 없이 이용하는 사용자의 경우를 예방하고자 하는
조치입니다. (보안 프로그램의 사용이나 인식이 생활화 된 경우보다는 보안이 불안정한 환경을 전제로 말씀드립니다.)
일전에 말씀드렸으나, "이체를 제외"한 다른 서비스의 이용은 AOS 설치를 하지 않으시고 이용이 가능하시니,
AOS 사용이 꺼려지신다면 설치 안내창에서 미설치 이용을 안내드립니다.
공인인증서는 현재 전자금융거래에서 신뢰성 있다고 인정받은 기술입니다.
전 금융사에서 사용중인 공인인증서를 지원 안 할 수 없으며,
공인인증서 이외의 인증 방법을 사용하고자 하는 경우에는 자체 정책 적용이 아닌 평가기관의 안전성 평가를 득해야 이용이
가능한 부분입니다. 인증기관의 다른 대체 인증 기술이 나온다면 적극 도입토록 하겠습니다."
2015.05.10 19:49:30
HTS 처럼 전용프로그램이 가도 HTS 사용자분들 아실지 모르겠지만, HTS 설치 및 실행하면 이상한 프로그램도 덕지덕지 설치 됩니다.
M사의 HTS 설치 및 실행하면 알랩의 AOS, interezen에서 만든 IPinside Agent(실행파일 I3GEX) 킹스정보통신(주)에서 만든 키보드 보안프로그램 실행 파일이름은 GSZWAAAA 종료하면 이 프로그램은 계속 프로세스에 상주 됩니다.
작업관리자로 AOS와 I3GEX는 강제종료가 되기는 하지만 GSZWAAAA 프로그램은 강제종료가 되지 않습니다.
문제는 거기서 끝나지 않습니다. 해외에서는 엑티브엑스를 설치할때 굉장히 조심한다고 합니다.
다음은 대런 빈 미국변호사의 의견입니다.
인터넷 쇼핑몰에서 생수라도 사려면 뭔지도 모를 프로그램을 계속 깔아야 한다. 미국에서는 생각조차 한 적 없는 상황이다.
“미국에선 이런 걸 설치할 때 굉장히 조심해요. 그래서 액티브X 설치하라는 메시지만 보면 저는 손이 떨려요. 컴퓨터가 갑자기 뻗어버릴까봐 안 깔려고 하죠. 하지만 한국에서는설치할 수밖에 없어요. 대학교에서 e메일만 보내려고 해도 액티브X를 3개 깔라고 해요. 한국에선 뭐 중요한 일만 하려고 들면 액티브X를 설치하라고 덤비니 미칠 노릇이죠.”
대런 빈 변호사는 “액티브X를 설치하려면 컴퓨터 권한을 전적으로 내줘야 한다”라며 “보안 프로그램을 전적으로 신뢰하라는 말인데, 여기 악성코드 하나만 숨어 있어도 내 모든 정보를 내주게 된다”라고 꼬집었다.
“한국에선 온라인 쇼핑 포기했어요”
http://www.bloter.net/archives/218543
M사의 HTS 설치 및 실행하면 알랩의 AOS, interezen에서 만든 IPinside Agent(실행파일 I3GEX) 킹스정보통신(주)에서 만든 키보드 보안프로그램 실행 파일이름은 GSZWAAAA 종료하면 이 프로그램은 계속 프로세스에 상주 됩니다.
작업관리자로 AOS와 I3GEX는 강제종료가 되기는 하지만 GSZWAAAA 프로그램은 강제종료가 되지 않습니다.
문제는 거기서 끝나지 않습니다. 해외에서는 엑티브엑스를 설치할때 굉장히 조심한다고 합니다.
다음은 대런 빈 미국변호사의 의견입니다.
인터넷 쇼핑몰에서 생수라도 사려면 뭔지도 모를 프로그램을 계속 깔아야 한다. 미국에서는 생각조차 한 적 없는 상황이다.
“미국에선 이런 걸 설치할 때 굉장히 조심해요. 그래서 액티브X 설치하라는 메시지만 보면 저는 손이 떨려요. 컴퓨터가 갑자기 뻗어버릴까봐 안 깔려고 하죠. 하지만 한국에서는설치할 수밖에 없어요. 대학교에서 e메일만 보내려고 해도 액티브X를 3개 깔라고 해요. 한국에선 뭐 중요한 일만 하려고 들면 액티브X를 설치하라고 덤비니 미칠 노릇이죠.”
대런 빈 변호사는 “액티브X를 설치하려면 컴퓨터 권한을 전적으로 내줘야 한다”라며 “보안 프로그램을 전적으로 신뢰하라는 말인데, 여기 악성코드 하나만 숨어 있어도 내 모든 정보를 내주게 된다”라고 꼬집었다.
“한국에선 온라인 쇼핑 포기했어요”
http://www.bloter.net/archives/218543
2015.05.10 19:53:15
그런데 국내 보안 전문가 라는 사람은 다음과 같은 의견을 내놓습니다.
2009년도에 나온 기사입니다.
글을 작성한 사람은 빛스캔의 전상훈 대표 입니다.
"인터넷 뱅킹 및 온라인 거래에 있어 공인인증서와 액티브X는 단지 도구다. 사고를 방지 하기 위한 도구로서 활용된 것이고 도구로서의 역할은 부족한 점이 있지만 충분한 역할을 지금껏 수행해 왔다고 생각한다. 도구는 목적을 달성하기 위해 도입된 것이다. 도구에 대해 대안을 제시 할 때는 근본적인 목적을 충분히 달성 할 수 있는지가 핵심이 되어야 한다. 지금의 논란은 목적과는 동떨어진 방향으로 진행되고 있어 심각한 우려를 자아내게 한다."
"공인인증서 사용에 대한 규제 철폐를 주장하는 측에서 대안으로 제시하는 것은 SSL +OTP 조합이다. 여러 기술적인 설명이야 차지하고서 보안이라는 관점에서 PC에서 발생되는 이슈를 이 단순한 조합으로 보호 할 수 있다는 것은 넌센스다.
개인 PC에 설치된 악성코드들은 어떻게 해결 할 것이며 특정 은행이나 기업만을 대상으로 한 악성코드에 대한 대응은 어떻게 할 수 있을 것인가? 또 최근 많이 발견 되고 있는 특정 사이트의 보안 수준을 인위적으로 낮추기 위해 HTML을 변조하여 화면상에 표시하는 경우 대책은 무엇인가?
OTP를 입력 한다 하여도 화면상의 계좌와 실제 전송되는 계좌가 다르다면 어떻게 거래 내역을 입증 할 수 있을까? 현재 나타나는 악성코드들로도 충분히 가능한 상황이다. 해외 은행의 거래정보를 탈취하는 제우스 봇(Zeus bot)의 경우 현재 미국에만 360만개의 에이전트(Agent) Pc가 존재한다.
키입력을 가로채는 악성코드가 몇 백만대가 기본으로 설치된 상황에서 만약 미국내 은행에서 자유로운 타인, 타행계좌로의 입출금이 웹을 통해 가능하게 된다면 재앙을 맞이하는 것은 한 순간이다. 이제는 금융거래를 활성화 하기 위해서는 보호방안을 먼저 고려한 이후에 활성화 해야 하는 상황에 직면한 것이다. 앞으로 상당기간 국내 수준으로 활성화 되기는 어려울 것으로 보고 있다.
SSL+OTP 조합을 사용 했을 경우 아래의 경우에 대책들이 있어야 한다.
키보드 입력 보호는 하지 않는가?
MITM(Man in the Middle attack)을 통한 거래내용의 변경을 하는 악성코드 유형은 대안 있는가?
OTP를 사용할 경우 페이지 변조 여부에 대해서 신뢰 할 수 있는가?
한 지역 혹은 ISP 단위의 침해사고가 발생하여 중간 경유 장비에서 트래픽을 전환할 경우 신뢰성을 확보할 방안은?
또한 ARP Spoofing등을 통해 위조된 주소로 접근 한다면?
DNS 변조로 인해 역시 위조된 주소로 사용자가 접근한다면?
또한 인증서를 위조한 경우에는?
(모든 케이스들이 다 발견된 사례들이다. ) "
[칼럼]빗나간 공인인증서 논란-1
http://www.zdnet.co.kr/column/column_view.asp?artice_id=20100401115240&type=det&re=
[칼럼]빗나간 공인인증서 논란-2
http://www.zdnet.co.kr/column/column_view.asp?artice_id=20100405101249
2009년도에 나온 기사입니다.
글을 작성한 사람은 빛스캔의 전상훈 대표 입니다.
"인터넷 뱅킹 및 온라인 거래에 있어 공인인증서와 액티브X는 단지 도구다. 사고를 방지 하기 위한 도구로서 활용된 것이고 도구로서의 역할은 부족한 점이 있지만 충분한 역할을 지금껏 수행해 왔다고 생각한다. 도구는 목적을 달성하기 위해 도입된 것이다. 도구에 대해 대안을 제시 할 때는 근본적인 목적을 충분히 달성 할 수 있는지가 핵심이 되어야 한다. 지금의 논란은 목적과는 동떨어진 방향으로 진행되고 있어 심각한 우려를 자아내게 한다."
"공인인증서 사용에 대한 규제 철폐를 주장하는 측에서 대안으로 제시하는 것은 SSL +OTP 조합이다. 여러 기술적인 설명이야 차지하고서 보안이라는 관점에서 PC에서 발생되는 이슈를 이 단순한 조합으로 보호 할 수 있다는 것은 넌센스다.
개인 PC에 설치된 악성코드들은 어떻게 해결 할 것이며 특정 은행이나 기업만을 대상으로 한 악성코드에 대한 대응은 어떻게 할 수 있을 것인가? 또 최근 많이 발견 되고 있는 특정 사이트의 보안 수준을 인위적으로 낮추기 위해 HTML을 변조하여 화면상에 표시하는 경우 대책은 무엇인가?
OTP를 입력 한다 하여도 화면상의 계좌와 실제 전송되는 계좌가 다르다면 어떻게 거래 내역을 입증 할 수 있을까? 현재 나타나는 악성코드들로도 충분히 가능한 상황이다. 해외 은행의 거래정보를 탈취하는 제우스 봇(Zeus bot)의 경우 현재 미국에만 360만개의 에이전트(Agent) Pc가 존재한다.
키입력을 가로채는 악성코드가 몇 백만대가 기본으로 설치된 상황에서 만약 미국내 은행에서 자유로운 타인, 타행계좌로의 입출금이 웹을 통해 가능하게 된다면 재앙을 맞이하는 것은 한 순간이다. 이제는 금융거래를 활성화 하기 위해서는 보호방안을 먼저 고려한 이후에 활성화 해야 하는 상황에 직면한 것이다. 앞으로 상당기간 국내 수준으로 활성화 되기는 어려울 것으로 보고 있다.
SSL+OTP 조합을 사용 했을 경우 아래의 경우에 대책들이 있어야 한다.
키보드 입력 보호는 하지 않는가?
MITM(Man in the Middle attack)을 통한 거래내용의 변경을 하는 악성코드 유형은 대안 있는가?
OTP를 사용할 경우 페이지 변조 여부에 대해서 신뢰 할 수 있는가?
한 지역 혹은 ISP 단위의 침해사고가 발생하여 중간 경유 장비에서 트래픽을 전환할 경우 신뢰성을 확보할 방안은?
또한 ARP Spoofing등을 통해 위조된 주소로 접근 한다면?
DNS 변조로 인해 역시 위조된 주소로 사용자가 접근한다면?
또한 인증서를 위조한 경우에는?
(모든 케이스들이 다 발견된 사례들이다. ) "
[칼럼]빗나간 공인인증서 논란-1
http://www.zdnet.co.kr/column/column_view.asp?artice_id=20100401115240&type=det&re=
[칼럼]빗나간 공인인증서 논란-2
http://www.zdnet.co.kr/column/column_view.asp?artice_id=20100405101249
2015.05.10 22:27:57
우선 오해 하신점이 해당 보안전문가를 너무 믿고 계십니다.
예전에 마이크로소프트에서 엑티브엑스를 쓰지 말라고 분명히 권고를 내렸습니다. 또한 구글이나 파이어폭스에서도 NPAPI라는 플러그인을 단계적으로 차단하고 있습니다. 보안으로 목적이라도 말이죠. 그런데, 국내 보안업체와 전문가, 서비스업체 담당자 누구라도 그 권고 사항을 수용하였나요?
해외의 보안프로그램 제조업체도 엑티브엑스나 NPAPI로 플러그인을 만드는 보안업체가 드뭅니다. 게다가 엑티브엑스로 만든 보안프로그램을 마구 배포하지 않죠.
카스퍼스키만 봐도 엑티브엑스나 NPAPI로 된 보안프로그램이 있는데, 플러그인으로만 제작된 프로그램은 배포하지 않습니다. 백신프로그램 설치 되고나서 설치가 되고, 옵션으로 끌수도 있습니다.
참고로 대런 빈 미국 변호사라는 분이 국내 쇼핑몰이나 금융서비스 이용 관련 기사가 있는데요. 내용은 다음과 같습니다.
"인터넷 쇼핑몰에서 생수라도 사려면 뭔지도 모를 프로그램을 계속 깔아야 한다. 미국에서는 생각조차 한 적 없는 상황이다.
“미국에선 이런 걸 설치할 때 굉장히 조심해요. 그래서 액티브X 설치하라는 메시지만 보면 저는 손이 떨려요. 컴퓨터가 갑자기 뻗어버릴까봐 안 깔려고 하죠. 하지만 한국에서는설치할 수밖에 없어요. 대학교에서 e메일만 보내려고 해도 액티브X를 3개 깔라고 해요. 한국에선 뭐 중요한 일만 하려고 들면 액티브X를 설치하라고 덤비니 미칠 노릇이죠.”
대런 빈 변호사는 “액티브X를 설치하려면 컴퓨터 권한을 전적으로 내줘야 한다”라며 “보안 프로그램을 전적으로 신뢰하라는 말인데, 여기 악성코드 하나만 숨어 있어도 내 모든 정보를 내주게 된다”라고 꼬집었다."
해외 금융사고시 보상관련 규정이 나와 있는데요.
고객의 책임은 매우 적다고 규정이 나와있습니다.
자세한 것은 다음링크 참고 바랍니다.
http://www.bloter.net/archives/218543
클라이언트쪽에서 보안에 대한 문제를 제기 못하는데, 서버쪽에 보안 대해서 문제를 지적할수 있을까요.
애초에 둘다 문제가 있는데도, 제대로 정확히 문제를 제기를 못하는게 문제이고, 문제를 제기 하든 안하든 보안전문가의 능력과 양심에 대한 평가를 받아야 하겠죠.
애초에 엑티브엑스로 보안프로그램 만들고 강제 설치하는 것부터 이미 보안성을 상실했다고 보셔야 합니다.
예전에 마이크로소프트에서 엑티브엑스를 쓰지 말라고 분명히 권고를 내렸습니다. 또한 구글이나 파이어폭스에서도 NPAPI라는 플러그인을 단계적으로 차단하고 있습니다. 보안으로 목적이라도 말이죠. 그런데, 국내 보안업체와 전문가, 서비스업체 담당자 누구라도 그 권고 사항을 수용하였나요?
해외의 보안프로그램 제조업체도 엑티브엑스나 NPAPI로 플러그인을 만드는 보안업체가 드뭅니다. 게다가 엑티브엑스로 만든 보안프로그램을 마구 배포하지 않죠.
카스퍼스키만 봐도 엑티브엑스나 NPAPI로 된 보안프로그램이 있는데, 플러그인으로만 제작된 프로그램은 배포하지 않습니다. 백신프로그램 설치 되고나서 설치가 되고, 옵션으로 끌수도 있습니다.
참고로 대런 빈 미국 변호사라는 분이 국내 쇼핑몰이나 금융서비스 이용 관련 기사가 있는데요. 내용은 다음과 같습니다.
"인터넷 쇼핑몰에서 생수라도 사려면 뭔지도 모를 프로그램을 계속 깔아야 한다. 미국에서는 생각조차 한 적 없는 상황이다.
“미국에선 이런 걸 설치할 때 굉장히 조심해요. 그래서 액티브X 설치하라는 메시지만 보면 저는 손이 떨려요. 컴퓨터가 갑자기 뻗어버릴까봐 안 깔려고 하죠. 하지만 한국에서는설치할 수밖에 없어요. 대학교에서 e메일만 보내려고 해도 액티브X를 3개 깔라고 해요. 한국에선 뭐 중요한 일만 하려고 들면 액티브X를 설치하라고 덤비니 미칠 노릇이죠.”
대런 빈 변호사는 “액티브X를 설치하려면 컴퓨터 권한을 전적으로 내줘야 한다”라며 “보안 프로그램을 전적으로 신뢰하라는 말인데, 여기 악성코드 하나만 숨어 있어도 내 모든 정보를 내주게 된다”라고 꼬집었다."
해외 금융사고시 보상관련 규정이 나와 있는데요.
고객의 책임은 매우 적다고 규정이 나와있습니다.
자세한 것은 다음링크 참고 바랍니다.
http://www.bloter.net/archives/218543
클라이언트쪽에서 보안에 대한 문제를 제기 못하는데, 서버쪽에 보안 대해서 문제를 지적할수 있을까요.
애초에 둘다 문제가 있는데도, 제대로 정확히 문제를 제기를 못하는게 문제이고, 문제를 제기 하든 안하든 보안전문가의 능력과 양심에 대한 평가를 받아야 하겠죠.
애초에 엑티브엑스로 보안프로그램 만들고 강제 설치하는 것부터 이미 보안성을 상실했다고 보셔야 합니다.
2015.05.10 22:49:55
물론 국내 사고가 서버 쪽 사고가 언론을 통해 많이 알려져 있습니다. 하지만, 국내 개인이 해킹이나 피싱으로 인한 사고에 대한 통계가 나와있지 않습니다. 다음 밑에 한국, 미국, 영국에 대한 사고 통계가 나와 있는데요.
어떻게 생각하시는지요?
이상하다고 생각 안드시나요?
문제점이 무엇이라고 생각 하시는지요?
저도 공인인증서+보안프로그램 옹호론자들이 내세우는 자료에 반박을 못했습니다.
하지만, 시간이 지나니 잘못된점을 알게되더라구요. 애초에 국내 온라인뱅킹 사고에 대한 통계가 나와 있지 않았습니다. 또한 이러한 통계를 내려면 가트너와 같은 제3의 신뢰성인는 기관이 조사해서 통계를 내야 신뢰할수 있습니다.
물론 해당 기관에 사고 관련 자료가 나와 있습니다. 하지만 그건 통계가 아닙니다.
사전에 의하면 "통계란 수집된 자료를 정리하고 그 내용을 특징짓는 수치를 산정하여 일정한 체계에 따라 숫자로 나타냄"
우선 조사하여 자료를 정리하고 그 내용을 특징짓는 수치를 산정하여 일정한 체계에 따라 숫자로 나타내야 합니다.
우선 한국의 사고 통계 건수가 터무니 없고, 말도 안되게 사고가 너무 낮습니다. 그래서 금융감독원에 전화를 해봐서 본인들이 조사 해서 이런 통계가 나온것이냐고 문의 해보니 본인들은 조사조차 안했답니다. 금융기관 통해서 사고관련 민원을 전달 받은 것 뿐이랍니다.
인터넷 뱅킹, 한국/영국/미국 사고 통계
한국
금융감독원 - http://biz.heraldm.com/common/Detail.jsp?newsMLId=20100827000185
2010년 상반기, 4건, 4천7백만원
2009년 23건, 3억4천2백만원
2008년 8건, 1억5천6백만원
영국
Financial Fraud Action UK - http://www.zdnetasia.com/uk-online-banking-fraud-rockets-as-fraudsters-get-smarter-62058443.htm
2009년 상반기, 26,000건, 6천2백만 미국 달러 (대략 700억원)
APACS - http://www.themoneystop.co.uk/042009/online-banking-fraud-is-on-the-rise-in-the-uk.html
2008년, 5천2백만 파운드 (대략 900억원)
미국
Anti-Phishing WG & Gartner, http://www.darkreading.com/smb-security/security/attacks/showArticle.jhtml?articleID=227200174
2010년, 10억 달라 (약 1조원) 넘을 수도...
가트너 - http://www.msnbc.msn.com/id/5184077/
2004년, 약 200만 계좌, 2억달라 (약 2천억원)
2004년이면 너무 옛날 자료이지만 일단 미국의 경우 자료를 많이 못 찾아서 일단 이 자료도 추가 합니다. 참고로 대부분의 국가에서 인터넷 뱅킹 피해액은 매년 증가 추세인 듯 합니다.
--
마지막으로 참고 삼아, 한국의 보이스 피싱 피해 규모를 추가합니다.
한국 > 보이스 피싱
경찰청 - http://www.todaykorea.co.kr/news/articleView.html?idxno=81724
2008년, 8천450건, 877억원
2007년, 3천980건, 434억원
어떻게 생각하시는지요?
이상하다고 생각 안드시나요?
문제점이 무엇이라고 생각 하시는지요?
저도 공인인증서+보안프로그램 옹호론자들이 내세우는 자료에 반박을 못했습니다.
하지만, 시간이 지나니 잘못된점을 알게되더라구요. 애초에 국내 온라인뱅킹 사고에 대한 통계가 나와 있지 않았습니다. 또한 이러한 통계를 내려면 가트너와 같은 제3의 신뢰성인는 기관이 조사해서 통계를 내야 신뢰할수 있습니다.
물론 해당 기관에 사고 관련 자료가 나와 있습니다. 하지만 그건 통계가 아닙니다.
사전에 의하면 "통계란 수집된 자료를 정리하고 그 내용을 특징짓는 수치를 산정하여 일정한 체계에 따라 숫자로 나타냄"
우선 조사하여 자료를 정리하고 그 내용을 특징짓는 수치를 산정하여 일정한 체계에 따라 숫자로 나타내야 합니다.
우선 한국의 사고 통계 건수가 터무니 없고, 말도 안되게 사고가 너무 낮습니다. 그래서 금융감독원에 전화를 해봐서 본인들이 조사 해서 이런 통계가 나온것이냐고 문의 해보니 본인들은 조사조차 안했답니다. 금융기관 통해서 사고관련 민원을 전달 받은 것 뿐이랍니다.
인터넷 뱅킹, 한국/영국/미국 사고 통계
한국
금융감독원 - http://biz.heraldm.com/common/Detail.jsp?newsMLId=20100827000185
2010년 상반기, 4건, 4천7백만원
2009년 23건, 3억4천2백만원
2008년 8건, 1억5천6백만원
영국
Financial Fraud Action UK - http://www.zdnetasia.com/uk-online-banking-fraud-rockets-as-fraudsters-get-smarter-62058443.htm
2009년 상반기, 26,000건, 6천2백만 미국 달러 (대략 700억원)
APACS - http://www.themoneystop.co.uk/042009/online-banking-fraud-is-on-the-rise-in-the-uk.html
2008년, 5천2백만 파운드 (대략 900억원)
미국
Anti-Phishing WG & Gartner, http://www.darkreading.com/smb-security/security/attacks/showArticle.jhtml?articleID=227200174
2010년, 10억 달라 (약 1조원) 넘을 수도...
가트너 - http://www.msnbc.msn.com/id/5184077/
2004년, 약 200만 계좌, 2억달라 (약 2천억원)
2004년이면 너무 옛날 자료이지만 일단 미국의 경우 자료를 많이 못 찾아서 일단 이 자료도 추가 합니다. 참고로 대부분의 국가에서 인터넷 뱅킹 피해액은 매년 증가 추세인 듯 합니다.
--
마지막으로 참고 삼아, 한국의 보이스 피싱 피해 규모를 추가합니다.
한국 > 보이스 피싱
경찰청 - http://www.todaykorea.co.kr/news/articleView.html?idxno=81724
2008년, 8천450건, 877억원
2007년, 3천980건, 434억원
2015.05.10 22:50:11
그리고 사고 통계에 대한 해석도 단순히 개인의 피해액수 만인지, 아니면 개인의 피해액수+보상액수+그외의 기타등등(사회적비용(?)) 등인지 봐야하고, 대부분 사고가 높은 국가가 인구가 많거나 경제규모가 큰나라 입니다. 또한 영어권 국가인지도 고려해 봐야 합니다. 인증방식 또한 아이디/패스워드+SSL+보안카드 혹은 OTP 혹은 기타다른 인증수단등 2 팩터 인증(?) 아무튼 2번 인증을 하는데, 한국은 특이하게 공인인증서를 포함하여 3 팩터(?) 인증을 합니다. 이것은 공격자 입장에서 생각해보면 많이 쓰이는 인증방식을 공격하는게 이익라고 생각할수 밖에 없습니다. 비유 혹은 예를 들자면 윈도우나 리눅스의 경우 많이 쓰이다보니 취약점이 많이 발견되고, 해커들의 표적이 되기 쉽습니다. 만약에 많이 쓰이지 않는 듣보잡 같은 운영체제가 나온다면 해커가 윈도우나 리눅스를 표적을 많이 삼지. 많이 쓰이지 않은 듣보잡 같은 운영체제를 타겟으로 삼을까요?
작성된지 2주일이 지난 글에는 새 코멘트를 달 수 없습니다.