FF 1.5.0.5와 Inisafe Web 6

[brofkims]

가입 인사 대신 뉴스가 될지 뒷북치는 수준이 될지 모를 유용한(?) 정보를 올립니다.(초기 화면에서 사전에 검색을 해봐도 관련 내용을 담은 최근 기사는 별로 보이지 않더군요.)
ms 윈도우즈 XP SP2에서 Firefox는 어제, Thunderbird는 오늘, 1.5.0.4에서 1.5.0.5로 업그레이드했는데, 재미있는 경험을 했습니다.
저에게 신협 계좌가 있고 인터넷 뱅킹을 하는데, 평소에 ActiveX 컨트롤 등의 이유로 인터넷 익스플로러 6.x를 사용하다가, firefox로 접속해보았습니다.
초기 화면의 '전자금융' 메뉴를 누르면, 로그인 버튼이 나타나는데, 이것을 누르면 공인 인증 절차를 시작하는데(공인인증서는 IE를 통해 이미 등록해두었습니다), 이 단계에서 firefox 화면 상단에 '플러그인 설치'에 관한 메시지가 나타나길래, 플러그인을 설치하도록 하자 '다운로드 간리자' 화면에서 설치, 저장 여부를 묻더군요.
여기서 디스크에 저장하도록 하였고, C:\Program Files\Mozilla Firefox\plugins 디렉토리에 npINISAFEWeb60.dll 파일을 저장하고 firefox를 재시작했습니다.
혹시 몰라서, INIS60.exe 파일을 powerarchiver를 이용해서 설치는 하지 않고 다른 디렉토리에 압축 해제하고 그 속의 xpt 파일을 mozilla 화면으로 끌어서 놓았더니, 설치를 진행하는 듯ㅤㅎㅏㄷ가가 에러가 나타나더군요. 실험 목적이니 이건 무시하고 다시 firefox로 신협 홈페이지에 접속한 뒤 '전자금융->로그인'을 클릭하니 공인인증 비밀번호를 묻는 입력창이 나타났고 제 비밀번호를 입력하자 아무 에러 없이 다음 단계로 넘어가고 환영 메시지가 나타나더군요.
이 상태에서 계좌 조회는 아무 문제 없이 할 수 있었는데, 이체에는 실패했습니다. 신협에서는 특이하게 이체 실행 전에 '받는 분 ../이체 추가' 버튼'을 눌러 받는 사람의 계좌 번호 등을 확인하는 절차가 있는데, 이 단계에서 실패하고, 최종적으로는 이것 때문에 이체 실행 버튼을 누르면 계속 이에 대한 메시지만 나타납니다.

신협 이야기는 이 정도로 하고, 실험 목적상 하나은행 홈페이지로 들어갔습니다.
애로를 예상했는데, 로그인(하나은행은 항상 전통적 로그인을 거치도록 하고 있습니다)
단계를 거쳐서 계좌 조회 등 조회를 하고, 이체 실험을 했는데, 앞의 신협과는 다르게, 여기서는 아무 에러 없이 공인 인증 비밀 번호 입력 후에 이체 실행이 성공적으로 이루어졌습니다.
국민은행의 경우에도 공인 인증 단계, 계좌 조회는 아무 문제 없었는데, 이체 실험은, 현재 국민은행 계좌에 남은 돈이 1500원밖에 없어서 이체 마지막 단계에서 '잔액이 부족해서 이체할 수 없다'는 요지의 메시지만 나타났지 아무런 에러도 보이지 않았습니다.

이제 실험은 돈이 드는 과정이니 1인이 하는 것보다는 만인이 소액으로 실험해보는 게 낫겠죠.

지금까지 firefox 1.5.0.5에서 이니텍의 inisafe Web v6 공인 인증 모듈(플러그인)을 설치하고 신협, 하나은행, 국민은행 등에서 공인인증 조회 단계를 문제 없이 넘어가고, 이체 단계에서만 신협은 실패하였고, 하나은행은 성공하였으며, 국민은행은 위에 적은 이상한 사유로 실험이 아쉽게도 중단되어버렸습니다.

참고로, 신협은 초기 화면에 큰 flash 동화상이 뜨는 바람에 제가 쓰는 저성능 노우트북의 CPU 점유율이 100%에 이르는 상태가 일정한 시간 지속되면서 다른 작업은 못할 때가 있는 반면, 이체 실패 외에는 어떤 에러도 나타나지 않습니다.
국민은행의 경우는 초기 접속 후 화면이 빨리 바뀌는 통에 전체를 볼 수는 없지만 ActiveX 컨트롤 설치를 수동으로 하라는 요지를 담고 있습니다만, 진행 단계에서는 이로 인해 어떤 문제가 나타나지는 않습니다.
하나은행의 경우는 거의 환벽한 수준입니다.
다만, 현재 아주 구체적으로 언급하기는 힘든데, 이런 실험을 각각의 은행에 대해서 하다가 firefox를 종료할 무렵에 firefox 오류 보고 화면이 나타나고 사용자의 인적 사항과 오류 발생 조건과 경위를 쓰는 단계가 간혹 나타나는데, 아직 써서 보내지는 않았습니다.
그리고, 이 실험은, 아래에서 언급하는 확장 기능, 혹은 플러그인들을 하나씩 제거해가면서 다시 해보아야 하는데, 이건 여러 분들의 경험을 모아보는 게 좋을 것같습니다.
그리고, 이 글의 한계는 ms 윈도우즈 XP SP2에서의 좁은 테두리라는 것인데, inisafe web v6같은 공인 인증 플러그인이 리눅스나 맥 OS X 등에도 포팅되거나 새로운 공인 인증 방법이 개될되어, 다양한 OS에서 이런 경험이 누적된다면 보다 풍성한 결실을 맺을 수 있겠죠.

마지막으로 현재 저의 시스템에 설치된 확장 기능은 아래와 같습니다.(모두 최신 버전입니다.)

GreaseMonkey, Session Saver, Screen Grab, Flashgot, Scrapbook, Sage, Web Developer, Adblock

이밖에 플러그인으로, 자바 플러그인 1.5.0.7, Mozilla AciveX 플러그인, flash 플러그인, 윈도우즈 미디어 플러그인, user script로 iemediamimic086.user.js가 있습니다.

[astraea]

viewtopic.php?t=4782

일단 관련글을 살펴봐주세요^^

하나은행도 잘 된다니 다행이네요

가장 처음에 되었던 (구) 한미의 경우
전산 통합후 새로 완전 개편된 씨티은행 페이지에서도
전혀 문제없이 되고 있어요^^;;


근데 조금 흥미로운건
국민은행인데요
국민은행은 inisafeweb 이 아니라
xecureweb 을 사용하는데
어떻게 공인인증단계를 통과하셨는지 궁금하네요
mozilla active x 플러그인 덕분인가요?


그런데 이게 또 진전이라고 할 수 없는게
국정원이 우체국 리눅스 인터넷 뱅킹 시도에 태클을 걸었다죠-_-
http://www.leejeonghwan.com/media/archives/000716.html
우려했던대로 공인인증서는 통과해도
키보드 해킹 방지, 방화벽, 백신 등이 안 된다면서 탈락시킨,,orz

물론 일반 은행들은 금감원 지침을 따르니 다르긴 하겠지만
앞장서 추진하던 우체국이 좌절했으니,,orz

[brofkims]

댓글을 써서 올린다고 올렸는데 사라져 버렸네요. 다시 써야 하나 ...
글을 읽고 하단에 있는 버튼 중 '인용'을 눌러 글을 작성한 뒤 '미리보기'를 하고 '제출' 버튼'을 눌렀었는데 ...
이번에는 곧바로 '답글' 버튼을 눌러서 시도해봅니다.

[빛알갱이]

http://kldp.org/node/63822

이번에 국정원이 중지시킨 우체국 인터넷 뱅킹의 경우에 키보드 로깅 방지 프로그램도 같이 들어 있었나 보군요. 그런데, 그 키보드 로깅 방지 프로그램이란 게 너무나 당연하게 리눅스 커널 버전 등에 영향을 받을 수 밖에 없습니다. 그러니까, 위의 KLDP 글에 보면 실제 사용 가능한 경우가 극히 제한됩니다. 설치된다고 해도 윈도우즈용 키보드 로깅 방지 프로그램도 마찬가지이지만, 리눅스용도 모든 경우(root로 사용하지 않으므로, 애초에 이런 불량 프로그램이 설치될 가능성이 Windows 경우보다 낮기는 하지만, 그렇다고 해도 막아지지 않은 '보안 구멍'이 있어 이를 통해 이런 키보드 해킹 프로그램이 설치되어 돌아가고 있다고 한다면)에 완벽하게 동작한다는 보장도 없습니다. 기술만으로 해결이 불가능하디시피한 문제를 마치 해결 가능한 것처럼 해서 정작 더 필요한 시스템 관리자 및 일반 사용자 보안 교육이나 보안 의식 제고를 소홀히 하고 있으니 헛웃음만 나옵니다. 게다가 그렇게 키보드 해킹이 두려우면 왜 스마트 카드 사용이나 one time password를 의무화하지 않는지 모르겠습니다. 뭐, 국정원 하는 꼴로 보아서는 스마트 카드를 쓰려면 '사설 경비 업체와 경비 용역 계약을 체결해야'한다고 요구할 지도 모르겠군요. 아니, 스마트 카드를 사용할 개인은 개인 경호원을 채용해서 스마트 카드 분실 방지에 만전을 기해야 한다고 할 지도 모르지요.


국정원이 보안 심사를 하는 정부 관련 기관에서 (대한민국 전자 정부, 우체국 인터넷 뱅킹) 키보드 로깅 방지 프로그램 설치를 강요해서 생기는 문제는 그것만이 아닙니다. 인텔 x86 기반 리눅스만 있는 게 아니고, 수많은 종류의 작은 장치들과 데스크탑에 돌아가는 리눅스 및 다른 OS를 위해 이런 키보드 보안 방지 프로그램을 일일이 다 만들 수는 없을 테니 결국 극히 일부의 장치와 OS만 지원할 수 있습니다. 이것은 방송통신 융ㅤㅎㅑㅂ 등을 운운하고, ubiquitious computing을 내세우며 보급한 많은 기기들에서 대한민국 전자 정부를 쓸 수 없다는 얘기입니다.

[brofkims]

일단 급하게 사실을 밝히는 글을 올려서 엉터리 정보의 확산을 막는 게 중요할 것같군요.
제가 (윈도우즈용) 모질라를 써본 지 얼마 안되어, IE tab이란 것이 있다는 걸 알게 되었고, 이것을 통해서 firefox에서 제가 사용하는 은행 - 국민은행, 하나은행 -을 이용하는 것이 가능한 지를 알기 위해 IE tab을 설치하고 그 국민은행, 하나은행을 쓸 때 IE tab을 사용하도록 해두었습니다.
그리고는 잊어버리고, 은행 업무는 IE로 하다가, firefox의 여러 측면을 살펴보는 시간을 갖다가, 신협에서의 공인 인증 통과에 고무되어 (IE tab 설저에 포함된 것을 까맣게 잊고는) 국민은행, 하나은행 접속을 시도하였고, 거기에서 공인 인증을 통과하고 이체까지도 되는(?) 것을 보고는 좀 흥분한 것같습니다.
결과적으로 제가 애초에 올린 글 중 '신협'에 관한 것만 사실이고, 국민은행, 하나은행의 경우는 (IE tab을 사용하지 않으면) 일어날 수 없는 것을 'firefox에서 된다'고 공개적으로 전파한 것입니다.
이 점에 대해 이 사이트의 여러분들은 물론 간접적으로 접수한 분들께도 깊은 사과의 말씀 올립니다.
일단, 이 정도로 긴급히 사실을 정정하는 글을 올리고 차후에 어떤 비판과 비난이라도 달게 받겠습니다.

[Channy]

일단, 이 정도로 긴급히 사실을 정정하는 글을 올리고 차후에 어떤 비판과 비난이라도 달게 받겠습니다.

안 그러셔도 됩니다. 그럴 수도 있죠.
다시한번 IETab의 중요성이 인식되는 군요. Whitelist만 잘 관리해 주면 일반 유저들은 특별한 어려움을 못느낄 걸로 생각됩니다.

이글 읽고 저도 하나은행에서 해봤는데... 안되더라구요.
그러나 InisafeWeb과 XeureWeb 소프트웨어가 파이어폭스 플러그인을 만들어 넣는 것은 사실입니다. 서버쪽 자바스크립트를 잘 고치면 가능하게 할 수 있을 것 같긴 한데 말이죠.

[빛알갱이]

그러나 InisafeWeb과 XeureWeb 소프트웨어가 파이어폭스 플러그인을 만들어 넣는 것은 사실입니다. 서버쪽 자바스크립트를 잘 고치면 가능하게 할 수 있을 것 같긴 한데 말이죠.

그리스몽키?

국민/하나는 안 되어도 시티 은행(구 한미 은행)은 아직도 된다니까, 거기는 서버쪽 스크립트 변경을 했나 봅니다.

[astraea]

그리스몽키?

국민/하나는 안 되어도 시티 은행(구 한미 은행)은 아직도 된다니까, 거기는 서버쪽 스크립트 변경을 했나 봅니다.

http://down2.initech.com/info/index.html

이니텍에서 친절하게 저렇게 소스도 안내해주는데

물론,, 저 소스만으로 충분한지는
테스트 해보질 않아서 모르겠지만;;;

왜 다른 은행들은 안 해주는지,,흑ㅠㅠ