은행/ 증권 / 시스템 / 보안 / 해킹 / 금융 보안
한국 금융 회사 보안 솔루션 문제
Adblock Plus로 유명한 독일의 개발자 블라디미르 팔란트(Wladimir Palant)의 글
다 읽기 귀찮으면, “한국의 금융보안: 중간 결론”" 만 읽어도 충분하다.
이정도 수준인데도 큰일 없는 것 보면, 확실히 보안은 애매한 것 같다.
우리 금융회사 시스템은 점차 바뀌어야 할 시점인듯 싶다.
- GitHub - alanleedev/KoreaSecurityApps
- 2023-01-09: TouchEn nxKey: 키로깅 방지를 위해 키로깅하는 솔루션
- 2023-01-25: IPinside: 대한민국의 필수 설치 스파이웨어
- 2023-02-06: TLS 보호 약화하기, 한국 스타일
- 2023-02-20: 한국의 금융보안: 중간 결론
windows의 인증서 관리 콘솔
- 인증서 관리 콘솔 :
certmgr.msc
- ‘신뢰할 수 있는 루트 인증 기관 –> 인증서’ 로 가면 찾을 수 있다.
- 루트 인증서 이슈에 대한 구라제거기의 접근법은…
우리나라 보안업체의 무지한 대답
- 보안 취약점 저격 당한 국내 보안업계 “국내 환경 이해 부족” - 군사 마이너 갤러리, 2023-01-16
팔란트는 해당 취약점을 2022년 10월 한국인터넷진흥원(KISA) 인터넷보호나라(KRcert)에 먼저 신고했다. 이번에 그는 라온시큐어와 직접 연락하고자 했지만 연락 수단이 전화번호 외에는 없었다고 밝혔다.
이 같은 언급에 라온시큐어는 12일 이뉴스투데이와 통화에서 다른 의견을 제시했다. 라온시큐어 관계자는 “지난해 KISA로부터 전달받은 내용을 바탕으로 해당 취약점을 보완하는 패치를 개발 완료했다. 하지만 이용사 일정에 맞춰 적용해야 해서 아직 배포하지 못했다”고 해명했다.
이어 그는 “솔루션 취약점에 대한 공유는 솔루션을 발전시킬 수 있어 바람직하다”며 “그러나 이번 건(취약점 지적)은 국내 보안 시장 환경자체를 충분히 이해하지 못했다고 본다”고 반박했다.
그는 “키보드 보안은 호환성이나 시스템 레벨 접근과 같은 권한이 필요한 특이상황으로 C언어를 사용할 이유가 있다”며 “개발사가 환경이나 특성에 맞게 언어를 선택해 개발하고 있고, C++이 C보다 더 좋다고 해서 무조건 변경해야 하는 것은 아니다”라고 말했다. 건축 양식이 각 나라 환경에 맞게 발전하듯 보안 프로그램도 한국 상황에 맞게 만들어지고 있다는 설명이다.
라온시큐어에 따르면 PC로 은행 업무를 볼 때 설치하는 보안프로그램은 서로 연계가 돼, 하나의 보안 프로그램이 해킹의 위험에 노출되더라도 (다른 프로그램 도움을 받아) 방어할 수 있다. PC로 은행 업무를 볼 때 설치하는 여러 보안 프로그램이 각자 담당 영역을 나눠 해킹 위협으로부터 방어하는데, 이것이 은행의 보안 대책이라는 설명이다.
라온시큐어 관계자는 “(팔란트가) 국내 상황을 충분히 이해하지 못한 상태에서 당장 개발 언어를 바꿔야 안전하다고 말하는 것은 단편적인 부분만 바라본 것”이라고 주장했다.
그는 “라온시큐어 내부 방침으로 KISA와 공식적인 루트를 통해 일을 진행한다”며 “취약점이 밝혀지면 KISA와 긴밀하게 협의해 개발 일정을 지속적으로 보고하며 진행하고, 이번에도 그 절차를 밟았다”고 이야기했다.
댓글 없음:
댓글 쓰기