빗나간 논란? - 과연 이해는 되셨을런지?

http://openweb.or.kr/?p=2928  <- 엮인 글로 다셔서 의견 답니다.

댓글로 달았는데 너무 길어서..직접 게시글로 답니다. ..으. 트랙백으로 엮을려 했더니 이것도 안되네요. 헐

 

 

제가 위 컬럼에서 해결과제로 직시한 내용에 대해서 먼저 답해야 할 것으로 봅니다.
그 내용에 대한 답변은 되지 않은 상태에서 세부적인 조건만을 언급하는 것은 자세가 아니라고 봅니다. 전체적으로 공인인증서를 옹호한 것도 아니지만 SSL + OTP 조합이 매우 허망한 것임을 논의했고 그게 정답이 아니라는 이야기를 하는 것입니다.

그리고 보안 도구들은 뱅킹 시에만 활용되는 것 당연히 알고 있고 인증서 패스워드와 여러 패스워드가 같다는 부분은 인정합니다만 비약이 심한 논리입니다. 여러 키 입력을 빼내 감으로서 유출을 할 수 있다라고 들립니다. 공인인증서 체계 외에도 다양한 도구들을 설치하는 것이 그런 정보 유출을 막기 위한 목적입니다. 정확하게 공인인증서에 대한 암호를 모르더라도 다른 계정 정보를 빼내어 감으로써 충분히 시도를 할 수 있다는 논의는 문제가 있어 보입니다. 말씀 하시듯 PC에서 모든 정보가 유출 되는 것으로 가정한 후에 동일한 패스워드 유형일 것이므로 활용이 가능하다라는 말은 무리가 있습니다. OTP는 나갈 염려가 없으므로 문제가 없다인데 PC의 권한이 나간 상태에서 컨텐츠를 조작하는데 해결 방안 있습니까? 이런 기본적인 질문들에 대해 답변이 되지 않은 상태에서 논지를 펴는 것은 궤변입니다. 가정의 근거도 틀린 것이구요.


인증서 유출 가능성 항상 있습니다. 인정합니다. 이것은 PC에 대한 권한을 가지고 있기 때문에 그런 것이지요. PC에 대한 권한이 유출 되었다 함은 MITM이라 부를 수 있는 사용자가 보는 화면이 조작 될 수 있음도 동일한 의미 입니다. 컬럼중에 게재 했지만 계좌번호만 화면상에 보이는 것과 전송 되는 것이 다를 경우 어떻게 할까요?. 확인 방법 있습니까? 인증서를 통하면 부수적으로 한번 더 체크 하는 것이 가능하기 때문에 보조적인 기능을 한다는 것입니다.

역할에 중점을 두고 서로 보완적인 모델을 가져 가야 하는 것인데 한방향만 바라보는 것은 심각한 오류를 나타낼 수 밖에 없습니다.

제가 주장하는 것은 OTP도 아니고 공인인증서도 아닙니다. 목적을 달성 하기 위해서는 보완이 필요하고 보강해야 될 부분이 분명 있지만 선을 그어서 이건 이거고 저건 아니다.. 이분법 적인 논리는 전혀 도움이 되지 않는다는 점입니다.

ActiveX로 설치되는 보안도구와 공인인증서 체계이던 각각 역할에 맞게 서로 보완해주는 역할을 하고 있다고 컬럼에서 그림까지 그려서 설명을 드렸건만 개별 사안에만 집중하는 것은 진중하지 못한 모습입니다. ssl +otp로 제가 그린 그림의 위험성을 보완 할 수 있는 부분을 언급해 주시면 더 감사할 것 같습니다. 아마 할 수 있을꺼라 생각 하신다면...

마지막으로 국내의 피해 사례는 조사된적이 없어서 신뢰할 수 없다고 하는데 해외라고 제대로 조사된 적이 있을 것 같습니까? 다만 언론에 발표되는 내용은 그중의 극소수라고 할 수 있고 실제 피해를 입은 사례를 따져 보아도 노출대비 나오는 것으로 추정을 합니다. 피해자가 나서지 않으면 모르는 것은 해외나 국내나 마찬가지입니다. 해외에 비해 금융피해의 규모가 사례가 미미한 것은 그만큼 피해가 적기 때문인 것은 왜 인정하지 않는지요?. 명확한 현실 바탕위에야 합리적인 대안 논의가 가능합니다. 현재 논의 하시는 부분은 어긋난 것으로 보입니다. 기본 반박의 전제가 부족합니다.

폭넓은 시각과 인식을 가졌으면 합니다. 지금 국내나 해외나 PC환경이 처한 현실은 상상이상입니다. 이상으로 해결 하기엔 난제가 너무 많다는 의미이며 가볍게 이상적으로 생각 할 부분은 절대로 아니라는 말 끝으로 드립니다. 그럼.