모든 해킹을 막는 방법 입니다.

1. 그냥 가진게 전혀 없는 저와 같은 무일푼 인생이면 상관없습니다.

2. 금으로 바꾼 다음 마늘밭에 묵혀두면 되죠. 한 110억 쯤? ㅎㅎ

오.. 그렇군요.. 그래픽카드를 연산에 이용할수있군요.. 처음알았네요..

저 사람 말은 거창한데, 실제로는 일어나기 힘든 일을 수없이 가정하고 쓴 글이라 걱정하지 않으셔도 됩니다.

확률적으로 따질 때, 파리님 개인에게는 사실상 안 일어날 일입니다.

로또 1등 걸릴 확률보다도 한참 낮을겁니다. ^^

몇 가지 간단하게 적자면

1. 발뻄이 아니라, "본인이 로그인함을 인증함"에 1회 + "본인이 계좌이체함"에 1회입니다.

이걸 1회로 줄이면 공인인증에 의미가 없습니다. 공인인증=서명이니 둘 다 서명해야 맞습니다.

2. 저 웹툰에서 잘못 이해하고 있습니다. (주인장이 워낙 똥꼬집이라 절대로 안고친다네요.)

브라우저의 보안기술이 더 안전한 것은 아닙니다. 각기 장단점이 있고, 암호학적 보안수준은 동일합니다.

레이어 단위에서 대한민국공인인증시스템이 더 취약하긴 하지만, 암호화 프로토콜 단위에서 커버됩니다.

또한 저 웹툰에서 말하는 것 처럼, "브라우저가 알려지지 않은 방식으로 공인인증서를 안전하게 저장하는 기능을 사용"하는게 좋다고 하는데, '알려지지 않은 방식'이란 없고 이미 다 공개되어 있습니다. 만약 '알려지지 않은 방식'이라면, 보안상으로 훨씬 더 취약합니다. -> 이게 뭘 말하냐면, 이 사람이 사실상 아는건 없고 그냥 인터넷 검색해다가 쓴 글을 짜깁기 해 둔 웹툰이란겁니다.

즉 둘의 암호화 수준엔 차이가 없습니다.

3. 개뻥입니다. 웃겨 넘어가는줄 알았어요.

이론적으로는 가능합니다만, 현재로선 택도 없습니다.

전 세계의 모든 하드디스크를 총 동원해도 저장 못합니다.

암호학의 근간이 power of 2인데, 가볍게 무시하는 센스? 무지??

걱정 안하셔도 됩니다.

4. 이게 문제입니다.

그런데 요건 공인인증서 자체의 문제가 아닌데, 은근슬쩍 끼워넣어서 물타기하고 공포감 조성하는 모습.. =_=

5. 그래봐야 의미가 없습니다.

power of 2는 겨우 1000배 10000배 100000배 빨리지는걸론 그다지 영향이 없습니다.

더군다나 과거에는 64비트 -> 128비트로 키 사이즈를 늘렸기에 1000000배쯤 빨라지면 영향이 있었지만

지금은 128비트 -> 256비트로 늘리고 있기 때문에.. 10000000배 빨라져도 꿈쩍도 안합니다.

게다가 공개키는 2048비트를 쓰죠. 저렇게 무식한 방법으론 안뚫립니다.

웹툰 제작자가 암호학 하나도 모르는 사람이라는게 티나요.. 티나도 너~무 티나! =_=

6. 5번과 같습니다. 해봤자...입니다.

공인인증서 시스템이 불편한건 Active X의 플랫폼 종속성때문입니다.

그 기능때문에 그러는게 아니고요.

웹툰보면 OTP도 못 믿어, 보안카드도 못 믿어, 다 못 믿어 이러는데

- OTP도 유출되었다고 가정하고, 보안카드도 유출되었다고 가정하죠 -

그냥 뭐 다 털렸다고 가정하고 쓴게 저 웹툰입니다.

개인의 사이트별 ID와 패스워드, OTP정보, 보안카드 정보, 주민등록번호, 컴퓨터의 모든 정보를 접근하고 통제할 수 있는 권한 획득, AES나 RSA 등 수학적으로 증명된 암호를 깰 수 있는 능력(!)이 있다고 가정한 글입니다.

한 개인이 그 정도로 털릴 확률은 인구대비로 따졌을 때 로또보다 훨씬 낮을겁니다. : )

현재의 공인인증서 시스템은 분명 문제가 있습니다.

하지만 암호학적 문제는 없습니다.

공인인증서 시스템의 가장 큰 문제는 "사회공학적 공격에 취약해지는 것", "플랫폼 종속성", "사용효율성 저하" 정도입니다.

하지만 이 웹툰에서는 공인인증서를 통한 사회공학적 공격에 암호학적 취약점을 섞어 말하고 있습니다.

수학적으로 증명된 알고리즘이 취약하다고 말하는 것은 둘중 하나입니다.

첫째. 그 사람이 천재다.

둘째. 그 사람이 사기꾼이다.

인터넷엔 정말 허위사실, 유언비어, 선동이 넘쳐납니다.

이 사람이 그리 싫어하는 "네이버"가 하는 짓을, 이 사람이 똑 같이 하고 있습니다.

싫어하면 닮으니까요.

공인인증서는 많은 문제가 있지만, 이 웹툰에서 말하는 암호학적 문제는 없습니다.

걱정하지 않으셔도 괜찮습니다. (다만 사용이 뭐같이 불편한게 문제;;)

SEED를 제정할 때가 제가 대학다닐 때 입니다. 교수님이 암호학회장이셔서 수업중에 관련 얘기를 많이 해주셨죠. SEED에 대해서 말이죠.

무선 저 웹툰의 글은 뻥이 과합니다. 어디까지나 그냥 경각심 고취의 차원에서 보시기 바라고요.

공인인증서의 가장 큰 문제는 암호화 방식이나 알고리즘같은게 아닙니다. 바로 인증서와 개인키가 함께 배포되고 있다는게 문제입니다. 레인보우 테이블이니 하는 것들은 사실 큰 걱정거리는 아닙니다. MD5가 안전한 암호기법의 하나로 당연히 통용되던 90년대 말까지의 걱정거리였다고 보시면 됩니다. 제가 key와 cert관련해서 간단하게 웹서버에 사설인증서 설치하는 것을 여기 KPUG에서 적었었는데요, 1024바이트가 기본입니다. 요즘 권장은 2048바이트고요.

다시 본글로 돌아와서 개인키가 저장되는게 왜 무서운가 하면요.

공인인증서 해킹을 하기 위해서는 필수적으로 2가지가 확보되어야 합니다.

1. 개인키와 전자서명을 포함하는 공인인증서파일들

2. 개인키를 사용하기 위한 비밀번호

입니다.

1번이 개인PC에 저장된다는 것은 크래킹툴이나 스파이웨어에 의해서 노출 될 수 있다는 것을 의미하죠.

그래서 정부권장이 USB나 스마트폰에 저장하라는 것인데 해커가 어떤 특정인을 목표로 한다면, 그 목표인의 USB나 스마트폰을 훔치는게 데스크탑을 훔치는 것보다 쉽다는 점에서 더 위험한 상황이 나올 수도 있습니다.

2번은 키스토러지 류를 사용하지 않으면 노출의 위험성은 언제나 존재합니다.

가장 우선적인게 키로깅으로 우리를 그 짜증으로 몰고가는 ActiveX 형식의 플러그인들은 대부분 이 키로깅을 방지하기 위한 것입니다.

그 다음은 이제 사회공학적해킹입니다. 비슷한 웹사이트를 만들어서 비밀번호를 따내는 것이 대표적이죠.

이 2가지가 합쳐져야만 공인인증서 해킹이 가능합니다. 둘 중 하나라도 만족하지 않는다면 거의 불가능에 가깝고요.

1번이 확보가 되었다면 웹툰에서 말한바와 같이 부르트포스로 아주 간단한 비밀번호 값들(love라던가 하는 사전식의 비번값들)을 프로그램을 짜서 대입해서 2번을 얻을 확률도 있습니다. 그런데 이 말은 비꼬면 좀 복잡한 비밀번호(사전식이 아닌)라면 당연히 2번이 불가능하다는 것입니다.

여튼 키관리와 비밀번호복잡성에 대한 경각심 개념으로 접근하시면 됩니다. 너무 겁내실 것도 없습니다.

제가 이야기하고 싶었던 바를 예스비님이 너무 명쾌하게 정의해주셔서 속이 후련하군요. 덧붙여 얼마를 끄적어보면...

많은 이들이(특히 자칭 IT 인프라에 대한 선진적 마인드를 가진~) 거부하는 것은 '보안'이라기 보다는 '액티브X'라는 매개체인데, 이걸 너무나 확대하는 경향이 있습니다. 더군다나 담합에 가까운 불합리가 존재함은 사실이나 왜 액티브X 기반의 독자적인 암호화를 도입해야 했는지 배경에 대한 이해도 전무하며, 심지어 이를 풀어내기 위해서는 원인부터 제거해 나가야 함에도 불구하고 심각하게 목적 그 자체에 함몰되어 있기까지 합니다.

발전이야 당연한 것이고 환경 변화에 대응해 가야 하지만 작금의 이런 류 논란의 다수는 '내 환경에서는 왜 불가능하지?' 혹은 '이것 때문에 내가 피해보는 거야?'라는 다분히 국지적인 불만을 확대하는 경향이 크다고 할 수 있습니다. 예를 들면 과거 프리뱅크 프로젝트에서 맥 전용 솔루션들이 모습을 보이기 시작하고 모 은행에서 현실화되자 썰물같이 빠져나가 보란듯이 리눅스와 안녕을 고하며 일정한 목적을 달성했다고 자평했던 맥 유저들의 사례는 이런 측면에서 곰곰 생각해봐야 할 필요가 있습니다. 

다시 돌아와 보안 자체만 보자면... 이런 류 논란에서 그들의 편을 일방적으로 들 수 없어 삐딱한 자세가 되어버리는 근본적인 이유는 '보안 위험을 IT 시스템이 제거할 것이다'라는 믿음이 가지는 오류가 너무나 쉽게 무시된다는 것 때문입니다. 보안 위험의 가장 1차적인 책임은 그 누구도 아닌 사람, 즉 운영자와 사용자에게 있고, 그를 방조 및 가속하는 것은 인프라 시스템이 아닌 기획, 도입 및 관리의 매니지먼트 시스템에 있습니다. 예를 들어 사용자 정보가 유출되었다면 그것의 암호화 여부 및 수준을 따져야 하기 보다는 해당 인프라까지의 접근이 허용된 배경인 부실한 접근제어등 지원 시스템들과 관리 체계가 우선 비난 대상이 되어야 하지요. 현 시스템이 나쁜 점을 조목조목 따지고 고쳐나감도 매우 중요한 일이지만, 인프라가 아무리 바뀌어도 절대 해결되지 않을 인프라 외의 요인들을 근본부터 바꿔나가는 것이 더욱 중요합니다.

휴... 업무보다 갑자기 글이 길어졌네요. ㅎㅎ;;; 그럼 이만 줄이겠습니다~

과격하게 글 쓸 뻔 했는데..위에서 좋은 덧글이 많이 나와서 피했습니다. 다행입니다. ㅎㅎ

다만, 에스비님 말씀에 살짝만 토를 달면.. 위의 모든 것을 할 줄 아는 사람이 있긴 합니다. ^^

그리고.. 관련 업계에 다니든 안 다니든 집중 관리대상으로써 이미 왠만큼은 관리되고 있습니다.

댓글 보고 많이 배웁니다. 

저도 댓글 보고 많이 배웁니다.

다만, 저희 부모님 처럼 아무 것도 모르고 계속 엑티브엑스 설치하시는 분들은 도무지 어떻게 될지 걱정이에요. 그래서 아버지는 아직도 인터넷 뱅킹을 안하십니다.

저도 옛날에 연구실에 레드핫 설치해 놓고 root 비밀번호를 1111로 해서 모든 사람들이 쉽게 데스크탑을 사용하라고 kiosk PC를 만들려 한적이 있었죠. 그런데 몇일 뒤 전산원 담당자들이 컴퓨터를 통째로 들고 가더라고요. 그게 좀비 PC가 되서 전 세계에서 불만 메일이 들어왔다고 하네요. ㅠ_ㅠ 그뒤로 조금 겁이 많아 졌습니다. 그리고 워낙 개인 신상정보가 많이 털려서 몇개 가능성 있는 암호 대입법만으로 쉽게 풀리는 게 많을것 같습니다.

이래저래 걱정입니다. ㅎㅎ

댓글 보고 많이 배워갑니다. 액티브엑스의 무분별한 설치는 확실히 문제이긴 한 것 같네요.

덜덜덜더덜덜덜~

솔직히 암호만 이상하게 생성해서 좀 길게해서 쓰면 뚫일일 없다고 봐도 사실 무방합니다.

패스워드가 password 가 뭐예요~ 진짜 !!!

많은 분들이 자신의 PC가 언제 뚫리고 포맷이 될까 두려움에 떨지만, 사실 불특정 다수 가운데 한두명을 공격하는 것은 에너지 효율성이 낮습니다. 시간만 남아도는 자칭 크래커라고 쓰고 시간 남는 중고딩이라고 읽는 인간들이나 하는 일입니다. 일반적인 보안 원칙만 잘 지켜도 자신의 PC나 금융 정보가 뚫리는 것은 집에 도둑이 들어 통장과 인감을 털릴 가능성보다 낮습니다.

오히려 문제가 되는 것은 위에서 많은 분들이 적어주신 바와 같이 사회공학적인 부분입니다. 사내의 정보 유출은 외부의 해킹보다 내부 직원의 소행이 압도적으로 많고, 비밀번호를 통일하고 단순화한 결과 한 곳이 뚫릴 때 그것으로 다른 곳도 뚫리는 문제가 생깁니다. 최소한 '뚫렸다' 기사가 날 때 암호는 다 바꾸고 봐야 합니다.

3번을 약간, 수정했습니다.

해커들이 몇몇 사람들 암호를 뚫기 위해 노력하는게 아니라, 한국의 대형 포털을 통해 이미 많이 퍼갔으니까 그런 정보들이랑 암호 대입법을 병행하면 얻어질 수 있는 개인 신상 정보가 많아 진다는 사실입니다.

역시 능력자 분들이 너무 많으셔....

내공도 후덜덜하고요.

인터넷 초창기때라면 가능한 이야기도 있네요. 예전에 다음 사이트 암호 알아내는 비베 코드가 마소 잡지에 실린적도

있었는데.. 대형 포탈 사이트에서 그런 단순한 실수를 하는 것에 놀랐습니다. 보통 암호가 틀리게 되면 일부러 몇초정도의

시간을 두고 재입력 받도로 하는데 그게 안 되어 있어서 코드로 비교 연산이 가능했던 것으로 알고 있습니다.

아무튼 초창기에는 누구라도 잔머리만 있으면 암호 같은 것 알아내기 정말 쉬웠습니다.

쉽게 사용했던 방법이..

제가 당시에 다음 사이트의 암호 알아내던 간단한 방법..

당시에 Windows 98에는 PWS라는 자체 웹서버 프로그램 설치가 가능했지요.

그것 설치해 두고 다음 화면을 HTML 그대로 저장한 다음 ASP 코드를 삽입해서

로그인 부분에 일단 입력받은 아이디와 비밀번호를 쿠키 파일 형태로 저장하게 한뒤에

원래의 정상적인 다음 사이트 화면이 보이도록 만든 ASP 파일을 익스플로러 실행하면 바로 홈으로 뜨도록 합니다.

보통 사용자들이 URL주소 나오는 부분을 잘 안 보거나, http://localhost/default.asp 이렇게 나와도 잘 모르는 경우가

많았습니다.(10년 훨씬 전의 이야기..) 그렇게 처음에 아이디와 비밀번호 입력한뒤에 다시 로그인되지 않은 다음 화면이

나오더라도 의심하지 않고 재 로그인하게 되고.. 전 나중에 그 사용자의 PC에 저장된 쿠키 파일만 확인하면..

암호 알아냅니다.

복잡한 해킹 하는 방법 모르더라도 간단한 웹프로그램 짤 정도면 가능했었지요.

한국의 보안문제는 그냥 법에 의한 문제입니다. ActiveX 및 공인인증서 문제는 보안 기술 문제가 아닙니다. 편의 문제 + 사회기반 시설에 대한 접근성 문제이구요. 보통 앞뒤 두서도 없이 그냥 막 나열해놓고 겁을 줘서 트래픽을 늘리는게 저 사람이 잘 쓰는 방식이죠.

법에 의한 문제는 다음과 같습니다.

1. 인터넷 서비스의 해킹에 대한 책임을 서비스업체에 전담하고 있습니다. 물론 해킹당한건 책임을 져야죠. 하지만 그게 해킹을 당한건지 사용자의 부주의에 의한건지에 대한 입증까지 전담시키다보니 불합리한 방식을 자꾸 도입하게 됩니다.

2. 막상 그러면서 실제로 해킹사태가 벌어질 경우 업체에 유리한 자의적 판결을 법원에서 내려버리고 있습니다. 그러다보니 불합리하면서도 겉으로 면피만 할수 있는 상업적인 기술들만 표면에 붙히는 작업을 하고, 내부적인 보안에 대해서는 신경을 쓰지 않습니다. 그리고 집단소송이 불가능하기 때문에, 서버 자체가 해킹이 되어도 피해자들이 1 vs 1으로 소송에 참여해야 합니다. 집단소송이 가능한 체계였다면, 예전 옥션 사태들을 변호사 집단들이 가만 보고 있지 않았을겁니다. 아주 눈에 불을 켜고 덤벼들었겠죠. 이기기만 하면 제대로 때돈을 벌수 있는 기회니깐요.

1번은 초창기에 잘못 규정되었던 거고 이제는 개선의 여지가 보이고 있는데, 2번은 소위 대기업들의 이권을 위해 존재하는거라 아직도 개선될 기미조차 안보이죠.

잘 보았습니다.

저는 창과 방패의 문제라는 생각입니다.