StudioEgo's Thoughts, seasonⅡ

우리은행 오픈뱅킹

우리은행에서 국내 최초 멀티 OS, 멀티 웹브라우저 오픈뱅킹 출시를 하였다고 합니다.

우리은행에서 선보이는 우리 오픈 뱅킹은 아래와 같이 OS에 종속되지도 않고, 멀티 OS지원, 멀티 웹 브라우저를 지원한다고 합니다.

1. W3C인증을 획득한 웹표준 인터넷뱅킹입니다.
2. 윈도/맥/리눅스 환경에서 IE/Safari/Firefox/Chrome/Opera 등 다양한 웹브라우저를 지원합니다.
3. 텍스트 기반이라 빠르며, 주요 화면 키보드 단축키 적용으로 편리한 이동이 가능합니다.
4. 이체 거래시 OTP발생기 필수사용으로 보안이 더욱 강화되었습니다.

참고로 OTP가 있어야 인터넷 뱅킹이 가능합니다. 대한민국에서 SSL기반의 뱅킹이라는건 혁명입니다.

우리은행 직원분이 클리앙에서 우리은행 오픈뱅킹(웹표준) 7월 9일 출시 에 사람들이 궁금해하는 내용을 아래와 같이 정리를 하였습니다.

Windows에서 IE의 ActiveX기술을 이용한 공인인증서와 nProtect를 꼭 사용해야하는 인터넷 뱅킹이 아닌 외국처럼 어느 플랫폼에서 어느 웹브라우저를 쓰든 SSL+OTP로 인터넷 뱅킹을 할수 있게 되었습니다^^

Windows XP + Ubuntu 10.04 (Linux)에서 주로 Firefox와 Chrome을 쓰고 있는 저로서는 정말 반가운 소식입니다.

이제 은행 업무를 하기 위해 Ubuntu에 virtual box에 Windows XP를 까는 일을 하지 않아도 되겠군요.

ps. 스마트폰(hTC Desire)용 모바일 뱅킹때문에 하나은행으로 쭉 썼는데, Ubuntu를 쓰고 있는 저로선 우리은행으로 주거래 은행을 바꿔야할지 고민입니다.^^ 

ps2. 당장 우리은행에 가서 OTP발급을 받아야되겠습니다^^

블로그를 둘러보다 재미있는 포스트를 보았습니다.

해킹아~ 물렀거라, 지피지기면 백전백승

한국인터넷진흥원에서 발표된 국가정보보호백서 2010에 나온 2009년 정보보호 이슈 10가지를 요약해서 정리를 하여 보여주더군요.

내용은 엔시스님의 생각이 가미되어 나옵니다.

1. 7.7. DDoS 공격 사고 발생
2. 소셜 메시징 인프라 기반 피싱 기승
3. 허위 보안 제품 등장
4. 온라인 게임 해킹 급증
5. 성적 조작을 위한 대학 전산망 해킹
6. 개인정보 유출 피해자 집단 소송 판결
7. 정보보호 관련 법, 제·개정 활발
8. 새로운 IT기술과 정보보호 - 스마트 그리드, 클라우드
9. 아이폰 등장으로 인한 스마트폰 보안 증가
10. 응용프로그램 제로데이 공격 증가

 위의 10가지가 국가정보보호백서 2010에 나왔습니다.

보안이라는 건 나 자신부터 잘 실천학 챙겨야 합니다.

사실 저는 고백할 것이 있습니다.

제가 2007년 4월부터 2008년 4월전까지 학과 홈페이지를 유지보수한 적이 있습니다.

학과 홈페이지를 유지 보수하면서 운영기에서 바로바로 기능 추가하고 개발 및 테스트를 하였습니다.

다행이도 문제가 없이 돌아가니 문제가 없었지만 잘못하면 큰 일이 일어날 가능성이 있습니다.

이번 이글루스에서 일어난 권한오류를 보면 개발 및 테스트를 운영기에서 작업하다 일어나는 실수를 볼수 있고, 일이 터지만 공지사항에 안내하는 수준으로 올려 고객들의 항의를 엄청 많이 받는건 당연합니다.

대기업인 SK컴즈에서 운영하는 Egloos 블로그조차도 저렇게 허술하게 운영되는데, 대기업, 공공기관 홈페이지도 운영기에 바로바로 개발할 것 같은 생각을 하니 이런 문제가 또 일어날 가능성이 있습니다.

2009년 7월 7일엔 무슨 일이 있었을까요?

1년전의 일을 생각하는 건 그리 쉽지 않습니다. 그러나 2009년 7월 7일에 일어난 일들이 너무나 강렬하여 아직도 제 기억엔 많이 남습니다.

첫번째로는 7.7. DDoS사태

두번째로는 티맥스 윈도우 발표

이렇게 2가지의 엄청난 사건으로 기억이 남습니다.

첫번째로는 7.7. DDoS 대란입니다.

나라를 떠들썩하게 했던 7.7 DDoS 공격이 있었습니다.

[7.7DDoS 1년]7.7 DDoS 공격, “어떤 사건이었나?”

보안뉴스에 있는 자료를 보면 국내·외 주요 사이트들에 DDoS공격이 있었습니다.

출처: 보안뉴스 [7.7DDoS 1년]7.7 DDoS 공격, “어떤 사건이었나?”

2009년 7월 4일 미국 주요사이트들을 대상으로 공격이 시작되어 지난 2009년 7월 7일부터 7월 10일까지 국내·외 주요 웹사이트를 대상으로 동시다발적으로 DDoS 공격이 발생했다.

당시 DDoS 공격을 유발했던 좀비PC 악성코드 특징은 기존과 다른 양상을 보였다. 우선 다른 DDoS 공격에서는 실시간으로 이용됐던 C&C서버(명령제어 서버)가 실시간이 아니라 정해진 스케줄대로 진행됐다는 점이 돋보였다.

당시 악성코드는 실시간 명령을 받는 것이 아니라, 악성코드의 기능 및 공격대상을 업데이트 할 수 있는 숙주서버에 특정시간에 일정 주기로 접속해 공격대상 및 공격 시간 스케쥴링 명령을 받게 돼 있었다. 공격대상과 공격시간을 명령받은 십만 대 이상의 좀비PC는 이미 정해진 명령에 따라 공격대상 웹사이트를 동시에 공격했다. 기존 DDoS 공격의 경우 공격자가 C&C 서버에서 실시간으로 명령을 받았을 때 공격을 진행했다.

▲7.7 DDoS 침해사고 개요도 ⓒ방통위 - 출처: 보안뉴스

[TV 7.7 DDoS 대란 1년 특집] 이명수 한국인터넷진흥원 단장 인터뷰

[TV 7.7 DDoS 대란 1년 특집] 구자만 다음커뮤니케이션 정보보호팀장

두번째로는 티맥스 윈도우 발표.

황우석 사태의 재판으로 불리고 싶습니다.

황우석 연구팀이 월화수목금금금 이렇게 연구하여서 조작한것처럼, 티맥스 윈도우 개발팀도 월화수목금금금 그리고 제대로 돌아가지 않는 OS를 공개하려고 하는 것을 보고 엄청나게 실망하였습니다.

황우석 연구팀보다 낫다는 점은 실체가 있다는 정도?

완성도가 낮은 소프트웨어를 가지고 많은 사람들에게 공개하여 망신을 당했습니다. 

만약에 티맥스가 모바일용 OS를 만들었으면 안드로이드의 대항마니, WebOS와 대적하고 삼성 바다OS와 대항할수 있을거니란 칭찬이 들었을겁니다. 

레드오션인 데스크탑 OS에 뛰어들다 말도 안되는 일정을 가지고 개발자들을 혹사시키면서 까지 품질 않은 소프트웨어를 만들어 판다는 Tmax의 무모한 도전은 이미 멸망이 되었고 티맥스 윈도우를 만들던 티맥스 코어는 삼성 SDS에 인수가 되었습니다.

참으로 할말이 안나오던 날이였습니다.

혜민아빠(홍순성)님께서 보안뉴스와 트위터 인터뷰를 한 동영상입니다.

전문가들은 자신의 사생활이나 정보를 무분별하게 노출함으로써 혹시 모를 개인정보유출에는 각별한주의가 필요하다고 지적한다. 자신의 정보 노출의 범위가 어디까지인가 항상 생각을 해야 하고 적절한 통제가 필요하다고 조언한다.

트위터와 같은 SNS는 보안에 취약하다고 생각됩니다. 우선 SNS를 쓰다보면 자기 자신의 정보를 필요 이상으로 노출하는 경우가 많습니다.

자신의 정보 노출 범위가 어디까지인지에 대해서 진지하게 고민을 하고 트위터, 미투데이, 요즘과 같은 SNS를 사용해야지 별 뜻없이 무심코 SNS에 글을 올리다간 필요 이상의 개인정보가 남들에게 노출되는 부작용이 있습니다.

항상 SNS을 쓸때마다 적절한 통제가 필요하다고 느낍니다만 스마트폰등 컴퓨터를 이용하지 않고도 바로 본능적으로 글을 바로바로 올려 사용하는 상황에선 자기 자신의 위치를 노출한다는거나 등의 일을 많이 벌이지 말아야할 것입니다.

SNS를 사용할때 개인정보 노출을 하지 않도록 노력해야할때입니다.

ps. Facebook 창시자 마크 주커버그가 프라이버시의 시대가 종료하였다는 발언을 한 이후에 SNS에서의 보안에 대해서도 많은 생각을 해보았습니다. SNS의 보안은 본인 스스로가 조심해야지, 스스로가 조심하지 않으면 개인정보 노출같은 피해상황이 나올수가 있습니다.

Linux용 nProtect가 출시된다고 합니다.

리눅스용 nProtect가 출시되니 리눅스용 공인인증서 개발이 가능하겠군요?

그래서 리눅스(Ubuntu, Fedora Core, CentOS, Debian, Gentoo, Mandriva, etc) 배포판에 nProtect가 들어가서 은행 홈페이지에 쉽게 접속하여 은행 업무를 할수 있겠군요.

라고 쓰면 페이크이고 보안상 문제가 분명 있을것이다.

Windows용으로 나온 nProtect를 보면 각종 버그와 프로그램 오류로 Windows를 새로 설치해야하는 부작용도 있고, nProtect가 해킹의 위협이 될수도 있다. 

Linux용으로 nProtect를 낸다면 키보드 보안한다고 키값 매핑을 root권한으로 가로채고 하다 root권한 뺏기면 어떻게 하려고?

그리고 배포판마다 은근 설정할 값이 달라서 문제일건데 모든 배포판에 뿌리려면 개발 비용 상승도... 

Windows같이 권한이 강력하지 않은 OS야 해킹의 문제가 있겠다만, Linux같이 권한문제에 대해 강한 OS에서 root권한이 필요하다고 프로그램이 요구해서 쓰다 root계정이 뚫려 털리면 답없습니다. 

nProtect의 여러가지 문제점 중에서 키보드 보안 모듈을 깠지만... 보안프로그램 치곤 여러군데에 허점들이 많습니다. 그걸 Linux에 적용한다면 헬게이트로 갈 위험성이 ㅎㄷㄷ

ps. 이러다 Linux Kernel에 Dalvik VM을 올린 Android OS에 nProtect가 올라가는건 시간 문제. 이제 nProtect때문에 root권한을 자동적으로 얻어 해킹또는 바이러스 감염될 위험성이 커질수도 있겠음. (root권한이 있어야 키보드 관련해서 맵핑 건드리죠)

ps2. nProtect에 대해서 성토하는 글 쓰려다 시간이 늦어서 이렇게 줄여 쓴다만, 인터넷에 검색하면 nProtect의 문제점을 조목조목 알 수 있습니다.

이번에 학과 홈페이지를 관리하면서 왜이리 정신이 없는지 모르겠다.

이번에 학과 홈페이지 서버를 서버관리자님께서 바꾸면서 PHP버전도 올리면서 보안을 이유로 PHP소스를 좀 많이 수정을 가하였다.
그래서 학과 홈페이지에 어떤 부분이 작동 안될듯한 버그들이 요즘 자주 보고되고 있다. 방학때라 학과 홈페이지에 찾아오는 사람들이 없어서 조금 고치고 거의 해결했다고 봤던 소스들이 이제 개강이 가까워짐에 따라 버그들이 많이 발견되고 있다.
요즘따라 버그때문에 잔뜩긴장하고 있다. -_-;; 하던일도 요즘 손에 안잡히고 여러모로 스트레스다.

그리고 예전에 썼던 기능이 이번에 학과장님의 지시로 인해 서버를 새로 바꾸면서 서버관리자님께서 모르고 기능추가를 안하거나 보안상의 이유로 기능을 추가 안한 것들이 많아서 골치가 아프다.
당연한듯한 기능이 일반 사용자들이 사용 못한다고 나에게 물어보면, 나는 PHP 소스를 찬찬히 살펴보면서 내가 관여할 부분이 아닌 부분 (즉, root에서 고쳐야 하는 기능들)이 있다. 그럴때에는 난 책임 없음 ㅡㅡ;

이번주 내에 서버관리자님에게 메일을 몇통씩이나 보내고 있었더라?  여러모로 웹관리자도 힘들고 서버관리자도 힘들다 ㅠㅠ

이번에 학과사무실에서 기능 작동안된다고 난리나서 확인한 결과, 이건 서버 환경설정 변경안한 것이라는 결론과 함께 기다려주세요라는 말밖에 못하였다.

예전 서버에는 500MB라는 여유공간밖에 없어서 걱정했는데, 이번에는 서버 환경설정이 보안을 이유로 많이 바뀌고, 서버관리자님이 서버환경설정을 안해서 내가 더 힘들다.

9월달 지나면 할일이 싹 줄겠지?^^, 개강이 다가옴에 왜이리 몸이 모자라는 듯한 기분이 든다.

ps. 학과 홈페이지는 다 뜯어 고칠 기운은 없다만 최소한 index라도 고치고 싶다.
드림위버였나? 거기에 있는 스크립트 보고 OTL했던 기억이 생생 -_-;;