2005-05-13

피싱과 ID 도용

Schneier씨는 한 에세이를 소개하면서, 다음과 같은 문구를 인용합니다.

아이디와 비밀번호로 로그인하는 은행이 있다고 하자. 당신은 아이디와 비밀번호가 노출되지 않도록 조심해야 한다, 이게 맞을까요? 아닙니다! 조심해야 할 것은 누군가가 돈을 훔쳐가는 것입니다. 두 가지 시각을 구분하는 것은 매우 중요하다. 만약 계좌에 돈이 없고, 사용하지 않는다면 누군가에게 아이디/비밀번호가 노출된다고 해도 아무런 상관이 없다. 아이디와 비밀번호는 은행이 그것을 아는 사람에게 돈을 인출해주는 경우에 한해서만 가치가 있다. 여기에 진짜 문제가 있다. 은행은 Schneier씨가 "거래를 인증해라, 사람이 아니고"라고 언급한 것을 실행하기에는 너무 게으르거나 무능하다. 누군가가 접근권한을 훔치는 것을 막는 것은 굉장히 어렵운 반면, 외국으로부터 돈이 인출되는 것을 막는 것이 훨씬 쉽다.

사고가 나면, 은행은 당신이 거래를 "인가했다"라고 말할 것이다, 여기서 궁극적으로 거래를 "인가한" 것은 은행이다.
에세이는 구체적으로 다음과 같은 권고를 하고 있습니다.
  • 호주 이외의 국가의 IP 주소를 제한해라
  • 이상한 거래 시간을 제한해라.
  • 접속한 단말을 식별하기 위해 쿠키를 설정해라.
  • 주로 사용하는 IP를 기록하라
  • 주로 접근하는 시간을 기록하라
  • 주/월 중 사용일을 기록하라.
  • 이상한 행동이 감지되면 메일을 보내라
  • 속임수가 의심되면 계정을 잠궈라.
  • 의심스러운 금액의 인출에는 유예기간을 둬라.
  • 위험에 따라 감독을 달리해라.
  • 은행이 아니고 사용자별로 위험을 정의해라

댓글 없음: