breaktime

한국의 인터넷 뱅킹 본문

스크랩

한국의 인터넷 뱅킹

블루제리 2010.03.20 14:58
참고: http://blog.naver.com/realtiamat/130082087969  (번역본 있음)
논문 원본 링크: http://www.comlab.ox.ac.uk/files/2835/RR-10-01.pdf

옥스포드 대학의 논문이라는데 정확히는 어떤 저널에 퍼블리싱되지는 않은것으로 보인다.
그리고 저자를 보니 옥스포드 대학에 다니는 한국인 유학생이 쓴것으로 보이기도 하다.

내용 요약

한국 뱅킹 시스템은 타국에 비해 더 많은 보안 메카니즘을 요구
하지만 더 복잡할뿐 더 안전하다는 보장은 없음

그 이유...
(1) 피싱 공격
각 웹브라우저는 SSL기반 인증서를 이용해서 피싱사이트를 구별할 수 있다.
하지만 한국 뱅킹 시스템은 SSL을 쓰지 않음 (SEED와 같은 자체 프로토콜을 사용)

(2) 디지털 인증서
인증서는 하드디스크/USB 등에 저장되고 개인키로 보호된다.
하지만 개인키 역시 하드디스크에 암호화 되어 저장되고 이는 불필요한 중복

(3) 외부 플러그인의 한계
Anti-virus (V3 같은): 뱅킹하는 동안만 상주하기에 악성코드가 충분히 정보를 외부로 빼낼 수 있음
키보드암호화: 인터럽트 후킹/물리적인 키로거 등에 의해 충분히 빼낼 수 있음

(4) 프로토콜의 안전성
SSL/TLS는 공개되고 수많은 검증을 거쳤지만
한국의 프로토콜(SEED)는 비공되고 KISA만 검증 하였음

※권고사항
사용자 들에게 보안 플러그인에 대해 충분히 숙지시키고 선택할 권리를 주라.
사용자 편의적이고 호환된 매커니즘 구축 필요 (SSL/TLS 같은)

설문조사 결과
외국뱅킹 유경험자 들의 외국뱅킹 선호도는  7:3 (국내 대비)
국내뱅킹 사용자의 95%가 불편함을 호소 (45%가 웹표준과의 호환성 때문이라고 답변)


난 국내뱅킹에서 설치해주는 플러그인이 더 많기에 더 안전하다는 생각..
물론 그 차이는 미세하지만;;; (전문가가 아니라서 잘 모르겠지만...)

사용자에게 보안 플러그인을 선택할 수 있는 권리는 줬으면 함
전문가라면 자신의 컴퓨터를 충분히 보호할 수 있기에 플러그인은 불편함을 초래.
하지만 일반인 들에겐 어느 정도 필요성이 있음.

하지만 active-x의 남용, 비표준 프로토콜, 사용자 불편 등을 초래하는 거라면 없는게 낳다고 생각됨
active-x 남용으로 프로그램 설치 시에 '네' 만 누르게 되고,
비표준으로 인해 IE만 쓰게 하고
시스템을 건드리는 플러그인으로 툭하면 웹브라우저나 컴퓨터 얼게 만들고...
신고

'스크랩' 카테고리의 다른 글

Kuroshio Sea  (0) 2010.03.20
한국의 인터넷 뱅킹  (0) 2010.03.20
estima7님의 美 인터넷이야기  (0) 2010.03.11
블로그 및 트위터 관련 사이트 정리  (1) 2010.03.11
0 Comments
댓글쓰기 폼