윤석찬 님의 블로그에서 인터넷 뱅킹에 대한 위협을 봤습니다.
궁금하신 분은 http://channy.tistory.com/188 여기로...TV 에서 했다는데, 보질 못했군요.
저도 한 때 보안...특히나 PKI 쪽 계열 업체에 일한적이 있어서 이런 문제는 관심이 많습니다.
보니 결론은 메모리 해킹인데, 예상못한 것은 아니지만 실제로 만드는 사람이 있을 줄을 몰랐습니다.
이 시나리오를 시연까지 하다니...ㅡㅡ; 그렇게 하고 싶었나...누구야 그거 만들어 놓고 방송까지 출연한
사람이...
출금 계좌 번호 자체를 바꾼다고 하고 그다지 시간이 오래 안 걸린다고 했으니까 HTML DOM객체를 조작하는
작업일까요? 좀 더 최악으로 가정해본다면 ReadProcessMemory와 WriteProcessMemory API 를 이용해서 메모리에 특정 번지(당연히 계좌번호 문자열이 들어 있는 변수겠지요.)를 바꾸는 작업이 될 수도 있을 겁니다.
기술 자체야 그다지 새롭지는 않습니다. 게임계에서는 이 정도는 일반적이니까요. 제가 초등학교 땐가
중학교 때인가...해도 그런 툴을 얼마던지 있었습니다.
뭐 게임 정도는 그 때까지만 해도 돈 피해는 없는 정도였지만, 이 경우라면 대략 난감이군요.
윤석찬님은 위 링크 글에서 아주 본질적인 해결책을 얘기하셨지만, 그것만으로는 아주 일부분 밖에
해결할 수 없습니다. 사실 ActiveX 만 감염 경로로 있는건 아니니까요. 메신저나..
심지어 유명 쉐어웨어를 포탈쪽에 자기가 올리면서 슬쩍 끼워넣을 수도 있는 겁니다.
방송까지 탔으니 분명 금감원, KISA 쪽에서 본격적으로 움직일 겁니다. 이 정도까지 하는 이상...빨리
무엇인가 한다는 모습을 보여주지 않으면 안되니까요. Vista 일 때도...약간 그런 면이 있어보이긴 했지요.
Vista 문제일때도 그랬지만, 이번에도 인터넷 뱅킹에 뭔가 보안책을 더 추가하는 방식으로 갈 것 같습니다.
키보드 보안 + 알파가 더 생길지도...왜냐하면 Vista 문제 때문에 회의하러 가서도 느꼈지만, 본질적으로
현재까지 방식을 바꾸기를 그리 좋아하지 않는다는게 문제입니다. Vista 일때도 최소한의 변경을 요구했듯이요.
윤석찬님이 말했던 것처럼 그런 식으로 하게 만들지는 않고 현재에서 뭔가 더 추가하도록 바꿀 가능성이 높아
보입니다. 다들 그렇게 생각하시나요?
정책적인 문제야 그렇다 치고, 기술적인 면에서 볼 때도...그것 참 난감하겠군요.
계좌번호를 다들 어떻게 넘기는지 모르겠지만 웹브라우저 메모리에 있을 가능성이 높겠죠?
XecureWeb 등의 제품을 쓴다고 해봐야...FORM 데이터를 POST로 보내기전에 데이터를 받아 암호화할테니,
그전에 바꿔버리면...흠 ...난감하겠군요. 그래도 HTML DOM 객체를 외부에서 조작하는 정도로 처리하는 정도면 어떻게 되겠지만, 위에서 얘기한 API 까지 쓸 정도까지 가기 시작하면...이거 전쟁의 서막입니다.
게임계쪽의 얘기를 보면 클라이언트 내용은 믿지 마라. 더미 클라이언트로 바라봐라라고 하지만 이 경우는
그렇게 할 수도 없습니다. 입력하는 정보 안 믿으면 뭘 더 해야할지도 난감합니다.
일단 메모리를 들춰볼테니 각 변수를 암호화부터 하겠지만, 그것도 어느 정도겠지요. 결국 어디선가 구멍이
생길 겁니다. 제가 보기에도 은행 측에서 PC 외의 다른 수단을 써서 이체 확인을 들어가는 수 외에는 없습니다.
그게 현재 상황에서는 그나마 안전해 보이는 해결책이군요.
SMS 를 쓰면 편하고 빠르겠지만 비용 문제가 있군요. 감당못할 것은 아니지만...아마 그 요금을 사용자에게
전가하기 시작할 겁니다. 그럼 메일 정도는 어떨까 싶군요. 어떤 사이트는 신규 가입시 메일로 최종 가입 인증을
하게 하니까, 그런 방법을 이용해보는 것도 방법이긴 합니다.
그나저나 ActiveX 때문이다 라고 하실 분도 있을 것 같네요. 그런데 이거 ActiveX를 쓰지 않는 외국 사이트라고
생각해볼 때에는 대책이 있나요? 메모리 자체를 바꾼다는 가정이 들어간다면 ActiveX를 쓰든 안 쓰든 이 공격은
피해갈 수가 없어보입니다. 그렇게들 생각하시나요?
이제는 기본적인 인터넷 뱅킹 매커니즘을 바꿔봐야 할 때가 온것이 아닌가 싶기도 합니다.
ps. http://blog.dreamwiz.com/007jbond/6097233 을 보니 COM Hooking 으로 했을 것이라고 나오는군요.
그런데 지금은 COM Hooking 정도이지만, 그 이후에는....생각하고 싶지 않습니다. 메모리 해킹이라고
방향 잡으면 방법이야 무궁무진하니까요. 본질적인 대책이 필요하겠지요.
이올린에 북마크하기
이올린에 추천하기'개발자로의 생각' 카테고리의 다른 글
| 신입 개발자들에 대한 함정들에 관한 생각 (2) | 2007/09/12 |
|---|---|
| Synap 문제 한번 풀어보고 있습니다. (8) | 2007/09/09 |
| 인터넷 뱅킹 메모리 해킹...그거까지 했어야 하나...ㅡㅡ; (19) | 2007/08/27 |
| 28일 SOA, Web 2.0 세미나를 다녀오면서... (7) | 2007/07/31 |
| VS2005 SP1을 미리 적용한 설치본 만들기 (4) | 2007/07/11 |
| 학교든 회사든 개발은 항상 시간은 작게 준다. (0) | 2007/06/28 |
