2018/10/14 21:39

페이스북의 해킹 사태 Critics about news

http://deulpul.net/4161230 (들풀님)

  나는 페이스북이나 구글에 사이트 로그인을 거의 연동시키지 않는 편이며, 드물게도 공인인증서를 변호하는 입장이다. 들풀님이 뉴욕 타임즈의 글을 인용하듯이,

"페이스북은 이용자 개인정보 보호를 위해 최고의 보안 전문가를 고용할 동기가 있다. 막대한 수익을 창출하고 또 명성을 유지하는 것이 그 동기다. 그러나 수많은 온라인 서비스에게는 그런 동기가 없다. 이런 서비스들에서 개인정보가 누출되고 당신이 그 비밀번호를 다른 서비스들에서도 쓰고 있다면, 당신은 물벼락을 맞은 것이나 다름없다."
  
  물론 이전의 공인인증서 및 그 대체재들이 끔직하게 불편하고 여러 브라우저 환경에서 문제가 많기는 했다. 하지만 중요한 은행 등의 보안 체계에 암호화된 문이 하나 더 달려 있다는 점 때문에 얼마나 많은 대형 사고가 막혔을 수 있는지는 한 번쯤은 감안할 필요가 있다고 느낀다.

 漁夫

  ps. 참고로 나는 '국제지름질'도 꽤 오래 해 봤다는 것도 덧붙인다. 처음에 '너무 쉬워서' 놀랐었다 ㅎㅎㅎ

덧글

  • 유월비상 2018/10/15 09:36 # 답글

    1. 바미당 이준석 말에 따르면, 미국엔 개인정보 해킹당해 자기 계좌에서 한 번에 몇$씩 주기적으로 빠져나가는 경우가 종종 있답니다. 본인도 겪어봤다고 하고요.

    2. 다른 나라에서 동시 계좌이체가 안 되는 이유가 이겁니다. 공인인증서 확인 절차가 없다보니, 시스템이 이체신청 후 부정거래인지 아닌지를 확인하는 절차가 따로 필요하거든요.

    + https://post.naver.com/viewer/postView.nhn?volumeNo=10041749&memberNo=11281927 다만 공인인증서도 사용자가 관리 부실하게하면 뚫립니다. 결코 100% 만능은 아닙니다.
  • 漁夫 2018/10/15 22:38 #

    1. 대형으로 하면 금방 들키니 조금씩 털어가는군요.
    지금은 이글루스를 접으신 한 보안 전문가가 단언하시더군요. '미국(이나 다른 나라)의 어떤 사례는 처참함' 이게 대형으로 은행 수준에서 털렸다든가...

    + 비번 자체를 털려서야 공인인증서도 있으나 마나가 당연하죠... 제가 알기로는 그래도 가장 안전한 방법은 read-only만 되는 USB라더군요. (그래도 비번 자체를 털리면 뚫리긴 매한가지지만요)
  • 漁夫 2018/10/15 22:56 #

    페북에서 한 번 언급했지만 https://m.news.naver.com/read.nhn?mode=LSD&sid1=001&oid=138&aid=0002063190&fbclid=IwAR2Bw0WgmRAyEj3b66jkG8Ehp8OOISzkAFGze3SolxmQZUAYsc4YSA8oJpk ..
  • 아빠늑대 2018/10/16 17:57 # 답글

    하지만 국내 공인인증서가 있을 시절에도 털리기는 털렸죠. 농협 사례도 있고 말이죠. 몇년 전인가 모르겠는데 매 300만원인가? 3000만원인가... 새벽 시간대에 야금야금 다 털어가서 아침에 아주머니 (통장주인)이 알았을 때는 0원이 되어 있었더럤죠. 국내 은행들은 "우리탓은 아니다" 라고 항변했지만 얼마 후 다시 농협 사용자들 개인정보가 털렸고 말이죠. 그 뒤로 어찌되었는지는 관심을 두지 않았습니다만... 어쨌거나...

    사실 이것이 엄청난 시도 끝에 겨우 발생한 아주 미세한 일부인지, 시도 몇 번에 인증이고 뭐고 다 털린건지 알 수는 없지만서도 공인인증서를 탓하는 이유중에 하나는 공인인증서라는 제도를 통해 은행들이나 여타 기관들이 "내 탓 아니요" 라는 면피용으로 쓰이고 있다는 것이었죠. 위에 농협 사례도 인증서 통과를 했기 때문에 우리 탓이 아니라는 답신을 했지만, 당시 로그인한 지역이 한국도 아니었고 (중국발이었던가? 그랬던걸로 기억합니다) 계좌 주인도 그 시간 한국에서 자기집에 잘 있었고, 컴퓨터는 쓰지도 않았다는 것이 증명되었음에도 불구하고 피해자가 계좌 관리를 잘못한 탓이라고 주장했었죠.

  • 漁夫 2018/10/20 10:48 #

    "공인인증서라는 제도를 통해 은행들이나 여타 기관들이 "내 탓 아니요" 라는 면피용으로 쓰이고 있다는 것"

    사실 공인인증서 발급 때 어찌 하라고 다 안내를 합니다. 일반인들이 '보지 않거나'(엄청 길고 복잡하니 뭐 어쩔 수 없다 치고요) 'PC 자체의 보안에 주의를 기울이지 않아서' 털린다면 은행 쪽에 책임을 지우기만 할 수는 없는 노릇이죠. 공인인증서가 PC hard에 깔려 있는데 (여러 이유로) 그 비번 자체를 털린다면 공인인증서뿐 아니라 그 할배가 와도 어찌할 수 없잖습니까... [아, 농협의 사례는 저도 뉴스 떴을 때 '뭐 저런 넘들이 다 있어'라 생각했습니다. 자신의 보안을 지킬 의무를 소홀히 한대서야 당연히 씹혀 마땅하죠]
    잘 주목받지 못하는 것이라면, 한국의 이 분야 법은 국제적 기준으로 매우 엄격하다는 것입니다. '면피'가 되는 이유도 '그 정도 수준은 해 놓고 있기' 때문입니다.

    ps. 비의도적으로 공인인증서가 도움을 주는 것이라면, 국제적 크래커들은 시장이 (미국/일본에 비해) 작은 한국에서 공인인증서 뚫는 해킹 툴 만들기보다는 유럽이나 미국 시스템을 뚫는 툴을 만드는 편이 낫다고 하더군요. 훌륭한 갈라파고스화 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
  • 아빠늑대 2018/10/20 23:36 #

    대신 그 갈라파고스만 노리는 북조 해커들도 있잖습니까 ㅋㅋㅋ

    여튼간에 인터넷 뱅킹에 가입한적도 없고, ATM만 쓰던 사람의 계좌에서도 털린 사례도 있는데 농협은 꽤 긴 시간동안 자신들의 책임이 없다는 소리도 했었죠. 아무리 마지노선을 만들어 놓으면 뭐하겠습니까... 벨기에로 우회하면 그만인데 말이죠~ ㅎㅎ
  • 漁夫 2018/10/21 00:59 #

    음... 저하고 생각하는 포인트가 좀 다르신데, '마지노선 만들어 뭐하냐'는 말씀이 '집에 열쇠 달아서 뭐하냐'는 것처럼 들립니다. 사실 가정용 기계식 열쇠는 어느 정도 알면 그다지 뚫기 어렵지 않다고들 하니까요.

    방비책이 하나 더 있어서 '아무나 도전하는' 것을 막는 것은 생각보다 중요합니다. 그리고 우리 나라에서는 은행의 OTP system 자체가 뚫린 일은 한 번도 없어서, 전 은행적 규모로 털린 일이 한 번도 없다고 알고 있습니다(개개 사용자 규모에서 문제가 생기긴 해도, 고객의 수 % 수준에서 난리가 한 번에 난 일이 없다는 의미에서요).
    ... 지금 이글루스를 닫으신 게 아깝긴 한데, (위에서 제가 단 리플에서 말했습니다만) 한 보안 전문가님께서는 "구미의 사례는 처참한 거 많다"고 하십니다.
  • 아빠늑대 2018/10/21 11:16 #

    아뇨, 엄밀히 말하면 "보안의 책무를 사용자에게 떠넘기"지만 않으면 된다는 의미에요. 실상 우리 인터넷 뱅킹 사용에 있어서 업체가 요구하는 것들을 설치하거나 구축하지 않으면 사용조차 할 수 없는 상황임에도, 많은 경우 사용자에게 그 책임을 돌리고 있다는 것 자체가 문제라는거죠.
    사용자의 입장에서 자물쇠가 콤비 방식이든, 전자 방식이든 상관없이 자물쇠 역할만 제대로 하면 되는거지 그 내부 기능에 대해 알 필요가 있는가라는 거죠. 그리고 자물쇠가 뚫리는 것은 그걸 걸은 사용자의 문제가 아니라 제작한 쪽의 문제라는 것이고요. 누구의 시선인가의 차이죠. ㅎㅎ
  • 漁夫 2018/10/21 17:10 #

    .... 그건 이 포스팅 촛점인 '시스템'하곤 상관 없는 거 아닙니까?
  • 아빠늑대 2018/10/22 12:46 #

    맞습니다. 꼭 집어서 틀을 정한 덧글은 아니었어요. :D

    ... 라고 쓰고보니 혹시 시스템 자체를 한정화 시켜 깊게 생각한 것으로 오인시켜 드렸나 보네요. ;;;
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.


내부 포스팅 검색(by Google)

Loading

이 이글루를 링크한 사람 (화이트)

834

통계 위젯 (화이트)

336162
983
1172900