2005-06-29

카드사고와 거래 비용

VISA는 PCI(Payment Card Industry) 보안 표준을 만들었으나, 카드시스템사가 보안 표준을 무시했기 때문에 사고가 났다고 합니다. 글 중간 쯤에 Shneier씨의 말을 인용하면,

PCI 표준이 표준을 준수하지 않은 기업들에게 벌금을 부과하여 신용 카드 처리 비용을 상승시키기 때문에 저항이 있지만 비자와 마스터카드가 이 문제를 해결해야 한다고 말했다.
생각해보면, VISA는 보안표준을 만들고 이를 지키지 않으면 카드사고의 손실을 벌금이라는 형태로 신용카드 처리 대행사(VAN사)에게 부과하는 것인 데...
어찌되었건 최소한 금융 네트웍에 있어서 보안은 인프라 비용이 되어가는 것 같습니다.

PCI 보안 표준은 여기를 참고하세요...

2005-06-28

공인인증서는 안전할까?

올 2월에 중국의 학자들이 SHA-1을 깼다고 해서 시끄러웠는데요, 전자서명에 영향이 있느냐 없느냐 등등...

일방향 해쉬 함수는 입력의 길이에는 상관없이 20바이트의 결과값을 내고, 또한 결과값을 안다고 해서 입력값을 역으로 계산하는 것은 불가능한 함수를 말합니다. 보통 원문에 전자서명을 할 때, 해쉬 함수를 통해 원문에 대한 20바이트 해쉬값을 구하고 이 해쉬값에 전자서명을 하게 됩니다.

그런데, 만약 서로 다른 원문이 같은 해쉬값을 가진다면 어떻게 될까요? 가령, 인터넷 뱅킹에 계좌이체 시에 공인인증서로 전자서명을 하는 데, 해커가 해쉬값은 같지만 이체금액은 다른 전문으로 교체가 가능하다는 얘기가 되는 것이지요...

심각하지요?

아뭏든 소문만 무성하던 그 사건에 대한 정식 논문이 온라인에 배포되었습니다.

실제로 위와 같이 조작이 쉬워지는 것인 지, 본 논문이 미칠 영향에 대해서 암호전문가에게 물어봐야겠네요...

2005-06-27

웹 포털 사이트들이 알아야할 개인정보 보호 법칙

지윤님께서 웹 포털 사이트들의 개인정보 보호수준에 대해서 언급해주셨습니다.
글 내용 중에 구글은 "최소한의 정보만을 수집하고, 개인정보보호 정책에 쉽게 접근하도록 했다"라는 부분을 언급하셨는데요.

이는 Identity 제 2법칙, 최소 공개의 법칙에 해당하는 내용이네요.
이 글을 읽게 되시는 분들은 다른 Identity 법칙들도 살펴보시는 것이 개인정보보호를 잘하는 웹 사이트가 되는 길이라고 생각합니다.

참고로, 미국에서 성인인증 관련 법을 강화하고 있다고 합니다. 국내에서 주민번호 보호, 결제 시 부모 동의 등의 인증 절차를 강화하려는 움직임과 일맥상통한다고 생각합니다.

2005-06-21

SIDF - Sender ID 프레임워크

현재 메일을 보내는 도메인의 50% 가량이 SIDF와 Signature를 통해서 outbound 메일을 인증하고 있다고 합니다. 자신의 DNS 레코드를 고쳐서 보내는 메일 서버의 주소들을 명기하자는 것이 주요 아이디어인데요, 이제 머지 않아 스팸 메일도 없어질려나요?

SIDF에 대해서 잘 모르시면 이 발표자료를 참고하세요.

MBC 2580 인터넷 뱅킹 사고의 시작은 다름아닌 백오리피스를 설치하는 피싱메일이었는데요, SIDF를 적극적으로 검토해보시고 DNS도 수정해보는 건 어떨까요?

구글 연내 지불 시장 진출

구글이 올해 내로 전자지불 서비스를 시작한다고 합니다. Paypal과 유사한 모델이 될 것이라고 합니다.

picasa, scholar, adsense 등 지불 서비스와 결합되면, 재미있는 것이 참 많겠다고 생각했었는 데, 드디어 시작하는군요...

제가 맡고 있는 R&D 분야 중에 하나가 지불인 지라 조금 묘한 기분이 듭니다. 어떻게 하는 지 잘 지켜보면 한 수 배울 수 있으려나?

2005-06-05

인터넷 뱅킹 첫 해킹 누구의 잘못인가?

인터넷 뱅킹이 처음으로 해킹을 당했다고 합니다. 동아경제의 기사를 조금 인용해보면

어떻게 빼냈나=‘넷 데블’ 프로그램의 특징은 해커가 지정한 글이나 그림을 클릭하면 자신의 컴퓨터에 자동으로 깔린다는 점.

이용자는 자신의 컴퓨터에 프로그램이 깔리는지를 전혀 알 수 없지만 해커는 상대방이 컴퓨터 자판에 입력하는 내용을 자신의 컴퓨터를 통해 실시간으로 볼 수 있다. 상대방이 어떤 화면을 보는지도 파악이 가능하다.

이 씨는 이런 ‘키 스트로크(key stroke)’ 방식으로 피해자의 거래은행과 계좌번호, ID, 비밀번호, 공인인증서 비밀번호, 보안카드번호를 모두 알아냈다.

전문적인 해커가 아니라 하더라도 이 프로그램을 이용하면 상대방의 개인정보를 빼내는 일이 그다지 어렵지 않다는 것. 이 씨는 4월 자신의 계좌를 이용해 예행연습을 한 뒤 바로 실행에 옮겼다.

위의 사례는 Two-factor 인증은 안전하지 않다에 서 소개한 바 있듯이 Trojan horses를 고려하지 않았기 때문에 발생한 문제이며, 같은 글에서 언급했던 것처럼 진짜 문제는 "사칭에 따른 공격"입니다. 보안이 강화된 Two-factor 인증 방법으로써 대응하지 말고 어떻게 하면 "사칭에 따른 공격"을 막을 것인 가에 대한 고민을 해야 합니다.

금번 발생한 인터넷 해킹 사건의 책임은 누구에게 있을까요? SBS 뉴스를 조금 인용하면,
특히 현재의 전자금융거래 약관에는 이런 경우에 고객이 책임을 지도록 돼 있는 것도 문제입니다.

고객의 잘못이 없는 경우, 금융기관이 책임을 져야 하는 법안이 국회에 제출된 상태지만 금융권의 반발로 처리는 미지수입니다.

피싱과 ID 도용이란 글에서 소개드린 것처럼, 이 사건의 책임은 전적으로 은행에 있습니다. 왜냐하면 은행거래를 허가했기 때문입니다.
은행은 "거래를 인증해라. 사람이 아니고"란 말을 명심하고, 피싱과 ID 도용에서 언급한 권고사항들을 시스템에 반영했어야 합니다. 다시 한 번 적어보면,

  • 호주 이외의 국가의 IP 주소를 제한해라
  • 이상한 거래 시간을 제한해라.
  • 접속한 단말을 식별하기 위해 쿠키를 설정해라.
  • 주로 사용하는 IP를 기록하라
  • 주로 접근하는 시간을 기록하라
  • 주/월 중 사용일을 기록하라.
  • 이상한 행동이 감지되면 메일을 보내라
  • 속임수가 의심되면 계정을 잠궈라.
  • 의심스러운 금액의 인출에는 유예기간을 둬라.
  • 위험에 따라 감독을 달리해라.
  • 은행이 아니고 사용자별로 위험을 정의해라