오늘 벌어진 인터넷뱅킹 사고에 대해...

[psail]

오늘 인터넷 뱅킹으로 돈 빼돌린 사건이 벌어졌습니다.

아주 간단한 해킹바이러스 하나로 타인의 pc 에서 인터넷으로 전송되는
ID 와 Password 를 빼내서 들어 갔다는군요..

저번에 어떤 분이 말씀하신 인터넷뱅킹의 헛점과 비슷하게 재연된 사건이었습니다.

즉 로그인 하기 전에 보안이 되어야지 되는데, 로그인 다하고 난 후에 보안이 실행된다는...

언론에선 지금, 일차적으로 본인의 피씨에 방화벽내지 백신을 설치하지 않은 피해자의 과실로 몰고 가고 있군요.

개인이 피씨를 사용하면서 방화벽과 백신을 설치하는 것은 선택사항이지만,
은행에서 제대로된 시스템을 구축해야 하는 것은 의무사항일텐데...
은행은 자신들은 할 일 다했다고 아무 책임이 없다고 떠벌리는군요.

하지만, 이번 사건에서 은행에게도 반이상의 책임을 추궁해야 하는 것은 아무리 피해자의 컴에 해킹프로그램이 깔렸더라도,
피해자가 인터넷뱅킹에 로그온 할 때, 미리 은행에서 강제적으로 방화벽프로그램을 실행시키게 시스템을 만들었다면 아이디와 비밀 번호를 빼내가지 못했을 거라는 점이죠.

즉, 일차적인 원인은 고객에게 있지만 근본적이고 핵심적인 책임은 은행에게 있다는 것이죠. 자사 홈피에 로그인 하려면 방화벽이 설치되어야만 접속이 되게 시스템을 만들었다면 고객의 피씨에 이런 해킹프로그램이 깔렸더라도 범죄자에게 아이디와 비번이 넘어가지 않았을 거라는 것이죠.

뭐, 이제 와서 딴소리들 하면서 책임을 피할려고 하는데,,,
문제는 이미 몇몇 은행에선 그런 식으로 시스템을 운영하고 있었다는 것이죠.

그리고, 혹시나 이번 일이 마소의 ActiveX 하고 관련이 없는가 하는 생각을 해보는데요,
만약에 관련이 있다면 이걸 물고 늘어져서 여론화 시켜서
이 비표준이 판치는 마소의 인터넷 환경을 어케 파폭으로 역전시킬 수 있지 않을까 하는 생각이 드는군요.

어떻게 연관이 없을려나^^

아무튼, 기본적으로 방화벽하고 백신은 설치하고 인터넷 합시다...단결!

[빛알갱이]

오늘 인터넷 뱅킹으로 돈 빼돌린 사건이 벌어졌습니다.

아주 간단한 해킹바이러스 하나로 타인의 pc 에서 인터넷으로 전송되는
ID 와 Password 를 빼내서 들어 갔다는군요..

저번에 어떤 분이 말씀하신 인터넷뱅킹의 헛점과 비슷하게 재연된 사건이었습니다.

즉 로그인 하기 전에 보안이 되어야지 되는데, 로그인 다하고 난 후에 보안이 실행된다는...

그것은 제가 잘못 알고 썼습니다. 로그인할 때에 http를 쓰기는 하지만, 로그인 정보를 전송할 때 그냥 전송하는 것이 아니라 SEED를 써서 encrypt해서 http로 전송합니다. 따라서, clear text로 암호가 가지는 않습니다. firefox에서도 은행에 일단 로그인은 할 수 있다고 (거래는 못 해도) 제가 착각을 해서 그런 글을 썼습니다. 은행이 아닌 온라인 상거래 사이트 가운데는 그런 곳이 있습니다.

이번 사건의 경우 키보드 입력을 가로채는 프로그램을 썼다고 하니까 한국식 방법이든 https이든 막기 힘들었겠지요. 그렇다고 해도 공인 인증서는 어떻게 했는지 궁금하네요. 그것까지 빼내 갔다는 얘기는 기사에 없던데. 또, 거래할 때마다 물어 보는 수십 개의 번호 중 하나도 키보드 입력 내용을 가로채는 것만으로는 알 수 없었을 것입니다. 거래를 몇 십 번 관찰해서 그 번호 모두를 알아냈을 수도 있겠군요. 아니면, 한 1/4 정도 알아내고 확률 게임을 했을 수도 있고요. 아니면, 은행에서 클라이언트쪽으로 오는 정보 (가는 정보는 SEED로 인크립트한다고 해도 오는 정보는 인크립트하는지 모르겠습니다.)를 가로채서 요구하는 번호와 그 뒤에 입력한 번호를 짝지을 수 있었는지도 모르지요.

[psail]

보안카드 번호 입력방식에 헛점이 있었습니다.

은행이 책임을 면키는 어려울 것으로 보이는군요.

보안카드번호를 일단 한 개를 알아냈다고 합니다.

그러고 나선, 될 때까지 연속적으로 집어넣은 게 아니라

한 번 넣고, 안되면 로그아웃, 다시 로그인
한 번 넣고, 또 안되면 같은 방식으로 계속 반복했다네요.
그렇게, 로그아웃, 로그인을 새로하면
같은 보안번호를 원하는 게 아니라 랜덤으로 다른 보안번호를 요구하게 되고,
그렇게 하다가 아다리가 맞았답니다.ㅡ.ㅡ;

참, 단순한 해킹방법입니다.

연속 3회 입력오류만 잡아내고, 로그아웃을 하면 초기화가 된다니...
이런....
이건 참, 뭐라 말하기도 민망한 말로만 IT 강국의 현모습이었답니다.ㅡ.ㅡ;

[빛알갱이]

보안카드 번호 입력방식에 헛점이 있었습니다.

보안카드번호를 일단 한 개를 알아냈다고 합니다.
그러고 나선, 될 때까지 연속적으로 집어넣은 게 아니라
.......
연속 3회 입력오류만 잡아내고, 로그아웃을 하면 초기화가 된다니...
이런....
이건 참, 뭐라 말하기도 민망한 말로만 IT 강국의 현모습이었답니다.ㅡ.ㅡ;

명백하게 은행의 잘못이네요. 초기화할 게 아니라, 그런 경우 지점에 와서 아예 새로 보안 카드를 발급받도록 했어야 했습니다. 정상적인 경우에 보안 카드 번호를 3회 연속 잘못 입력하는 일이 생기기가 무척 힘드니까요. (노인이나 신체 부자유자 같은 경우는 혹시 그럴 수도 있겠군요....)

또, 보안 카드 번호를 애초에 하나 알아내는 일도 서버에서 클라이언트 측 전송이 http가 아니고 https였다면 충분히 피할 수 있었습니다. 클라이언트 측에서 서버쪽 전송 내용만 SEED로 암호화하고, 반대 방향은 그냥 평문으로 전송해서는 아무래도 여러 가지 문제가 생길 수 밖에 없습니다.

이번 경우는 어째서 어드민 권한으로 사용해서는 (사용자가 Win 9x 사용자였다면 별 수 없지만) 안 되는지도 보여 주는 보기인 듯 싶군요. 키보드 입력 내용을 가로채고, 게다가 http로 들어 오는 내용도 가로챈 것 같으니까요. 어드민 권한이 아닌 일반 사용자로 쓰고 있었다면 그런 프로그램이 제대로 작동했을 가능성이 별로 없으니까요.

어드민 권한으로만 설치가 가능한 무분별한 ActiveX (모든 ActiveX 플러그인이 그럴 리는 만무한데, 유독 그렇게 만든 게 많더군요) 배포가 어드민 권한으로 사용하는 것을 부추기고 있다는 사실도 좀 알려져서 ActiveX와 MS IE 사용이 좀 줄었으면 좋겠군요.

[saysix]

어드민 권한으로만 설치가 가능한 무분별한 ActiveX (모든 ActiveX 플러그인이 그럴 리는 만무한데, 유독 그렇게 만든 게 많더군요) 배포가 어드민 권한으로 사용하는 것을 부추기고 있다는 사실도 좀 알려져서 ActiveX와 MS IE 사용이 좀 줄었으면 좋겠군요.

동감입니다. 저도 컴퓨터를 유저 권한으로 사용하고 있는데, 다른 사람과 컴퓨터를 같이 쓸 경우 원성을 많이 듣습니다. 액티브엑스 설치가 안 돼서 인터넷 쓰는데 불편이 많다구요. 꿋꿋이 버티고는 있는데, 혼자 마냥 고집 부리고 있기도 뭐해서 어드민 권한으로 돌려 놓기도 합니다.

웹 환경이 바뀌지 않는 한 개인 사용자로서는 어쩔 수 없는 부분인 것 같습니다. 이럴 때는 엑티브엑스를 강요하는 웹 개발자들이 슬쩍 미워지기도(^^; ) 합니다. 사정이 있어서들 그러는 것이겠지만요.

[bopy]

흠. 제가 듣기로는
은행에서 인터넷 금융을 할때 보안카드번호를 요구하는데
그때 나온 번호가 자기가 알고 있는 번호가 아니면 로그아웃 후 재시도
라는 방법을 썼다고 합니다.

그 크랙커는 아예 입력오류조차 내지 않은 셈이죠.

그나저나 ActiveX를 쓰지 않으면 키보드 입력 내용을 가로채는 프로그램은 막을 수 없는 걸까요?

[psail]

흠. 제가 듣기로는
은행에서 인터넷 금융을 할때 보안카드번호를 요구하는데
그때 나온 번호가 자기가 알고 있는 번호가 아니면 로그아웃 후 재시도
라는 방법을 썼다고 합니다.

그 크랙커는 아예 입력오류조차 내지 않은 셈이죠.

그나저나 ActiveX를 쓰지 않으면 키보드 입력 내용을 가로채는 프로그램은 막을 수 없는 걸까요?

----------
이용자들이 거래할 때마다 30여개의 다른 비밀번호 가운데 하나를 매번 새로 입력토록 하고 있지만 30여개의 보안카드번호 가운데 단 하나라도 유출되면 30번 이상 끈질기게 비밀번호를 입력하다 보면 결국 한번은 유출된 비밀번호가 맞게 돼 계좌에 접근할 수 있다는 것이 경찰측 설명이다.
----------

보안카드의 특정번호 2가지를 다 알아낸 게 아니라, 해킹 프로그램으로 피해자가 입력한 어느 순번대의 뒷번호(3자리 숫자)만 알 수 있었던 거죠.

결국은 로그인 상태에서만 입력오류 3회시에 이체 정지를 시켜논 시스템의 헛점인 거죠.
한 번 입력오류 내고 로그아웃하면 초기화 된다는 점을 노린 방법이랍니다.

그렇게 액티브엑스 보안이 철통같다고 자랑하더니만,,,,
이런 우스운 방법으로 뚫리니 더 어이가 없는 거죠.
금고를 아무도 못부수고 못열게 초합금으로 외벽을 둘러쌌더니, 번호 다이얼이 고장이나서 열린 셈...

역시, 발명은 단순한데서...ㅋㅋㅋ

[박민권]

입력한 보안카드번호가 틀리면 다음부터 그 카드번호는 사용하지
못하게 막아 버리고 새로 발급해야 하겠군요.
하나 틀려놓고 새로 발급받으려면 귀찮아 질테니 40여개의 번호를
발급하고 잘못된 번호 입력으로 30개정도까지 줄어들었다면 새로운
번호를 발급받도록 한다면 괜찮지 않을까요

[빛알갱이]

이미 앞선 글에서 얘기했지만, 저는 우리 나라 은행이든 어디이든 https를 써야 한다고 봅니다. SEED는 국가 규격이고, 규정이니까 쓰고, 그렇게 인크립트한 정보를 보낼 때에는 http로 보내도 상관이 없지만, 문제는 서버에서 클라이언트쪽으로 오는 정보입니다. 이 정보는 제가 아는 한 (틀렸기를 바라고, 그렇다면 기쁘게 제가 틀렸다고 인정하겠습니다.) 그냥 http를 통해서 평문으로 날아 오는데, 여기에 민감한 정보가 많이 들어 있습니다. 계좌 잔고, 거래 일시, 거래액 등이 다 평문으로 날아오는 셈입니다. 또, 이번에 문제가 된 보안 카드 번호 30+ 개 가운데 어는 것을 넣을 것인지에 대한 요구도 평문으로 날아 옵니다. packet sniffer만 있으면 어렵지 않게 잡아낼 수 있습니다. 만일, https를 써서 이런 정보도 인크립트되어 있었다면 (물론, https에 대해 잘 아는 이라면 사용자 컴퓨터에 있는 사용자측 키를 읽어 내는 방법을 고안해서 이것마저 깰 수도 있었겠지만요.) 이번 사고는 발생할 수 없었겠지요. 단, 신문 기사에서 키보드를 가로 채는 프로그램에 화면을 캡쳐해 전송하는 기능도 같이 있다고 나와 있던데, 그게 사실이라면 https를 썼어도 어떤 보안 번호를 요구했는지에 대한 정보가 누출되었겠지요.

[nemorami]

서버쪽에서 클라이언트에게 보내는 정보도 평문으로 오는게 아닙니다.
이정보 역시 암호화 되어 클라이언트에 보내지고 클라이언트에 설치되어
있던 보안툴킷이 먼저 해석하여 평문으로 바꾼후 웹브라우저에 전달합니다.
이 보안툴킷이 파폭용이나 다른 브라우저 용으로 나오질 않아서 IE에서만
인터넷 뱅킹이 가능한겁니다.

문제는 키보드 입력이 보안툴킷에 전달되어 암호화 되기 전에 가로챗다는 것입니다.
이런 프로그램이 설치되어 있는 피시에서는 보안툴킷 역시 무용지물입니다.

[빛알갱이]

서버쪽에서 클라이언트에게 보내는 정보도 평문으로 오는게 아닙니다.
이정보 역시 암호화 되어 클라이언트에 보내지고 클라이언트에 설치되어
있던 보안툴킷이 먼저 해석하여 평문으로 바꾼후 웹브라우저에 전달합니다.

그렇다면 기꺼이 - 이미 적은대로 - 제가 잘못 알고 있었음을 인정하겠습니다.

문제는 키보드 입력이 보안툴킷에 전달되어 암호화 되기 전에 가로챗다는 것입니다.
이런 프로그램이 설치되어 있는 피시에서는 보안툴킷 역시 무용지물입니다.

위의 사실이야 이미 잘 알고 있고요. 문제는 서버에서 요구한 보안 카드 번호 (몇 번을 요구했는지에 대한 정보)가 어떻게 새어 나갔느냐를 추측하는 과정에서 위와 같은 생각을 했던 것입니다. 물론, 이번 사건을 보도한 기사 중 하나에서 언급한 대로 화면을 전송하는 기능까지 있는 프로그램을 썼다면 - 이미 앞선 글에서 적은 바와 같이- 그 번호가 새어 나간 것도 이상할 것이 하나도 없습니다.