흔히 기업 사내 LAN같은 곳에선 방화벽이나 IPS에다 프록시 붙여서 https라도 다 뜯어봅니다.
-
?
우리나라는 국가가 그걸 하려고 하고 있죠
-
아래쪽 그림의 4단계(인증서 바뀌치기)가 문제인데요...
기업에서는 사무실에 있는 모든 컴퓨터에 자기네 CA를 설치하여 강제로 신뢰하도록 만들 수 있지만
개인 PC라면 해당 CA가 설치되어 있지 않으므로 시뻘건 보안경고가 뜨게 됩니다.
내 돈으로 사서 내가 세팅한 컴퓨터가 아니라면
컴퓨터 주인(기업)이나 세팅한 사람(전산실 직원) 마음대로 뚫을 수 있는 것이 당연하지요.
그건 그 컴퓨터에 백도어가 심어져 있는 것이지, https 프로토콜의 약점이라고 보기는 어렵습니다.
아 물론 KISA라든지, StartCom이라든지... 최신 브라우저들이 인정하지 않는 저급한 CA들은
컴퓨터에 기본으로 설치되어 있더라도 지워버리는 것이 안전하겠지요^^
[사족] http://www.boanserver.com/ 처럼 https를 대체할 수 있다고 주장하는 서드파티 솔루션은
위와 같은 바꿔치기 공격에 전혀 대응이 되어 있지 않으므로 (시뻘건 보안경고조차 안 뜹니다)
저런 걸 믿고 쓰다가는 언젠가 호되게 당할 겁니다.
-
?
막상 글을 쓰고 보니 에이전트같은 엔드포인트 시큐리티 깔려있는걸 고려 못하고 적어버렸네요 ㅡ.ㅡ;
-
?
기업이나 정부 차원에서 깔아놓는 보안프로그램이라는 게 모두 백도어죠 뭐...
심지어 국정원에서 배포하는 보안프로그램도 있어요.
동사무소 직원들 컴퓨터에 깔려 있을 가능성이 높습니다 ㅎㅎ -
저건 man in the middle attack 이라는 건데, 저게 되려면 컴퓨터마다 뭐 하나씩 깔아줘야되요.
일반적으로 중간프록시에서 https를 도청 시도하는순간 통신이 끊깁니다. -
?
뭐가 안전 할까요
수천억씩 빠저 나가도 말도 못하고 당하는 나라인데
특히 은행들 -
?
우리나라 은행에서 수천억이 빠져나간 경우는 없느걸로 알고있습니다.
보안키보드+공인인증서 + 보안카드 조합은 뚫릴 가능성이 희박합니다.
차라리 페이팔등이 암호만 알면 결제가되니 훨씬 더 해킹에 취약합니다. -
?
언론에 나온적이 없을 겁니다
전에 한번 보안 업체에서 나온 이야기 입니다
제가 들은 이야기라서요 언론에 안나가게 확실하게 한다고 하더군요 -
페이팔을 비롯한 외국계 핀테크 서비스들은 암호만 알면 결제가 되지만, 그 대신 이상거래 탐지 시스템에 아낌없이 투자를 합니다. 의심스러운 거래를 실시간으로 파악하고, 문제가 있는 계좌는 자동으로 정지시켜 버립니다. 나중에라도 발견하면 철저하게 소비자 편에서 분쟁을 해결하고요. 판매자에게는 매우 불리한 시스템이지만, 구매자 입장에서는 손해볼 게 없습니다.
페이팔 공동창업자였던 피터 틸은 페이팔에서 갈고 닦은 이상거래 탐지 기술을 활용하여 금융기관이나 정보기관, 경찰 등에 특화된 빅데이터 컨설팅 회사를 차렸고, 이 때 CIA로부터 거액의 투자를 받기도 했는데... 미국이 파키스탄 산동네에서 빈 라덴을 찾아낸 것도 피터 틸 덕분이라는 얘기가 공공연하게 나돌고 있어요. 그만큼 무시무시한 기술을 가졌으니 고객에게 불편을 주지 않고도 충분히 사고를 막을 수 있다는 자신감이 있는 거겠지요. 우리나라는 원천기술이 없으니 공인인증서니 뭐니 삽질하는 거고요... ㅜㅜ -
새로운 사실을 또 기진곰님 덕분에 알게되네요.
감사합니다.~
기술력에 자신이 있다 그거네요.
모든 피해의 책임을 질 자신이 있다니 멋있습니다.
실제로 피해가 발행하면 책임을 져준다고 저도 예전에 본기억이 있어요. -
곰님은 아는게 참 많으신듯 ㄷㄷ 피터 틸 이야기 재미있네요