황당한 한국 온라인 뱅킹

[빛알갱이]

모질라 개발자들이 한국 금융 거래에 쓰이는 SEED 지원 가능성을 알아 보기 위해 질의를 몇 가지 했습니다. 그에 대해 답하기 위해 HTTPLook이란 http sniffer를 설치하고, 제 은행에 들어가서 송금을 해 보고 나서 그 로그를 보았습니다. 전부터 그런 문제가 있으리라고 짐작하고 있었지만 (여기에 쓴 적도 있는 것 같군요), 직접 확인하고 나니 ......

HTTP를 통해서 제 계좌에 대한 모든 정보 (계좌 번호, 잔액, 만일 조회를 했다면, 입출금 내역 등)가 넘어 옵니다. 비밀 번호 등이야 물론 SEED로 암호화하지만, 계좌 내역, 입출금 내역 등도 민감한 정보인데, 이런 걸 그냥 HTTP로 전송하다니 정말 할 말이 없습니다. 금융 거래를 위해 SEED를 쓴다고 해도, 이런 정보가 새나가지 않도록, 금융 기관은 모두 HTTPS를 써야 한다고 봅니다.

[군]

외국인 개발자들에게 그 사실을 알려주지 마시길..

그래도 예전에 주민등록번호와 아이디, 비밀 번호까지 캐쉬에 남겨 놓던것에 비하면 많이 발전한 겁니다.

[군]

위에 비빌번호까지 남겨놨다는 건 금융기관 얘기는 아닙니다.

[Channy]

모질라 개발자들이 한국 금융 거래에 쓰이는 SEED 지원 가능성을 알아 보기 위해 질의를 몇 가지 했습니다. 그에 대해 답하기 위해 HTTPLook이란 http sniffer를 설치하고, 제 은행에 들어가서 송금을 해 보고 나서 그 로그를 보았습니다. 전부터 그런 문제가 있으리라고 짐작하고 있었지만 (여기에 쓴 적도 있는 것 같군요), 직접 확인하고 나니 ......

HTTP를 통해서 제 계좌에 대한 모든 정보 (계좌 번호, 잔액, 만일 조회를 했다면, 입출금 내역 등)가 넘어 옵니다. 비밀 번호 등이야 물론 SEED로 암호화하지만, 계좌 내역, 입출금 내역 등도 민감한 정보인데, 이런 걸 그냥 HTTP로 전송하다니 정말 할 말이 없습니다. 금융 거래를 위해 SEED를 쓴다고 해도, 이런 정보가 새나가지 않도록, 금융 기관은 모두 HTTPS를 써야 한다고 봅니다.

이 부분에는 약간 오해가 있습니다. 은행 서버에서 HTML이 넘어 올 때 금융 정보들은 Encrypt된 상태로 넘어 옵니다. 플러그인에 의뢰해서 decrypt를 하죠. 국민은행 경우 중요 부분에 full text encrypt를 하고 하나은행의 경우 message encrypt를 하더군요.

Code: Select all

		          	<td class="txt_o" height="24" bgcolor="ffffff" align="center" >
					<script language="javascript">
var clientenc="";
clientenc +="GrdMahEHpc8VR/4NiNlXXQ==\n";
document.write(Idecrypt(clientenc));
</script>/<script language="javascript">
var clientenc="";
clientenc +="9Q6u9sGdcwEgqc3pWZbiQQ==\n";
document.write(Idecrypt(clientenc));
</script>/<script language="javascript">
var clientenc="";
clientenc +="R4OqfOaKOLikHMlsX+mzqA==\n";
document.write(Idecrypt(clientenc));
</script>
					</td>

이런 방식 차이는 SI를 한 회사가 어디냐에 따른 것인데.. 빛알갱이님이 검사하신 은행이 encrypt 안 하는 은행일 수도 있습니다.

문제는 웹에다가 그렇게 레거시에 의존하는 방식이 정답이냐는 것입니다. (HTML에다 인크립트 막아놓고 플러그인에다가 풀게해서 받아오고...) 그야 말로 PKI 업체 먹여 살리는 꼴이고 PKI 업체들도 그런 막일만 하고 살거도 아니고 말이죠. 뭐든 정공법으로 풀어야 합니다.

[빛알갱이]

모질라 개발자들이 한국 금융 거래에 쓰이는 SEED 지원 가능성을 알아 보기 위해 질의를 몇 가지 했습니다. 그에 대해 답하기 위해 HTTPLook이란 http sniffer를 설치하고, 제 은행에 들어가서 송금을 해 보고 나서 그 로그를 보았습니다. 전부터 그런 문제가 있으리라고 짐작하고 있었지만 (여기에 쓴 적도 있는 것 같군요), 직접 확인하고 나니 ......

HTTP를 통해서 제 계좌에 대한 모든 정보 (계좌 번호, 잔액, 만일 조회를 했다면, 입출금 내역 등)가 넘어 옵니다. 비밀 번호 등이야 물론 SEED로 암호화하지만, 계좌 내역, 입출금 내역 등도 민감한 정보인데, 이런 걸 그냥 HTTP로 전송하다니 정말 할 말이 없습니다. 금융 거래를 위해 SEED를 쓴다고 해도, 이런 정보가 새나가지 않도록, 금융 기관은 모두 HTTPS를 써야 한다고 봅니다.

이 부분에는 약간 오해가 있습니다. 은행 서버에서 HTML이 넘어 올 때 금융 정보들은 Encrypt된 상태로 넘어 옵니다. 플러그인에 의뢰해서 decrypt를 하죠. 국민은행 경우 중요 부분에 full text encrypt를 하고 하나은행의 경우 message encrypt를 하더군요.

이런 방식 차이는 SI를 한 회사가 어디냐에 따른 것인데.. 빛알갱이님이 검사하신 은행이 encrypt 안 하는 은행일 수도 있습니다.

국민 은행은 그렇다면 '황당한 은행'의 범주에 들지 않겠군요. 모든 은행이 그렇게 엉터리는 아니라니 다행이기는 합니다. 하지만, 우리 은행(Woori Bank)은 분명히 계좌 번호, 계좌 잔고, 거래 내역 등이 모두 clear text로 HTTP를 통해 넘어 옵니다. 아무런 암호화를 하지 않고요.

문제는 웹에다가 그렇게 레거시에 의존하는 방식이 정답이냐는 것입니다. (HTML에다 인크립트 막아놓고 플러그인에다가 풀게해서 받아오고...) 그야 말로 PKI 업체 먹여 살리는 꼴이고 PKI 업체들도 그런 막일만 하고 살거도 아니고 말이죠. 뭐든 정공법으로 풀어야 합니다.

SK Telecom처럼 이메일 청구서도 이른바 '암호화'를 해 놓고서 ActiveX를 통해서만 암호를 풀어서 볼 수 있도록 해 놓은 곳도 있지요. 그 사람들에게는 S/MIME, PGP/GNU PG, SSL, HTTPS 등은 딴 나라 얘기인가 봅니다.

[Channy]

SK Telecom처럼 이메일 청구서도 이른바 '암호화'를 해 놓고서 ActiveX를 통해서만 암호를 풀어서 볼 수 있도록 해 놓은 곳도 있지요. 그 사람들에게는 S/MIME, PGP/GNU PG, SSL, HTTPS 등은 딴 나라 얘기인가 봅니다.

은행들이 의뢰하는 회사에 따라서 Encrypt 하는 곳도 있고 아닌 곳도 있는 가 봅니다.
그나 저나 http://openlook.org/blog/1028 에 보시면 Perky님이 OpenSEED를 OpenSSL에 탑재하는 패치를 넣었다고 합니다. 우리 나라 보안 업체들 도대체 뭐하는 데인지 모르겠습니다. 일개 대학생(은 아니지만)이 할 수 있는 일을...

[astraea]

이런 방식 차이는 SI를 한 회사가 어디냐에 따른 것인데.. 빛알갱이님이 검사하신 은행이 encrypt 안 하는 은행일 수도 있습니다.

문제는 웹에다가 그렇게 레거시에 의존하는 방식이 정답이냐는 것입니다. (HTML에다 인크립트 막아놓고 플러그인에다가 풀게해서 받아오고...) 그야 말로 PKI 업체 먹여 살리는 꼴이고 PKI 업체들도 그런 막일만 하고 살거도 아니고 말이죠. 뭐든 정공법으로 풀어야 합니다.

레거시에 의존하는 방식이 정답이냐의 문제 이전에...
encrypt 안 하는 은행도 있다는건.
정말 심각한 문제 아닌지요-_-;;

그런건 근본적 개혁이..
금융결제원, 정통부등에서 금융거래 안전을 외쳐대도.
정작 기본 수준이...

정말 울나라 인터넷의 암호체계는 마음에 안 들어요...ㅠ0ㅠ