(한 동안 이런저런 일들을 처리하느라 글쓰는 일에 소홀했었습니다. 죄송합니다.)
최근에 OTP와 관련된 기사들이 많이 나오고 있어 가사들의 맥락을 보고 있자니 OTP 솔루션에 대해 오해를 불러일으킬만한 것 같아 몇 자 적어 볼까 합니다.
가장 최근에 이슈가 되었고 저희 고객분들도 걱정어린 눈빛으로 "이러저러하면 위험한 것 아니냐"라거나 "그럼 쓸모 없는 거 아니냐"하는 등의 반응을 보인 사건(!)이 있었습니다.
바로 국민은행 인터넷 뱅킹 해킹(!) 사건입니다.
관련기사 :
국민銀 인터넷 뱅킹 '해킹'…7천만원 '허공으로' 서울파이낸스 경제 2008.02.24 (일) 오후 11:24
금융권, 여전히 메모리 해킹 등에 무방비 보안뉴스 IT/과학 2008.02.26 (화) 오후 1:05
주요한 이슈는 OTP 솔루션을 사용했음에도 불구하고 해킹을 당했다는 류의 논조였습니다. 아래 보안뉴스의 내용처럼 국민은행 인터넷뱅킹의 해킹은 메모리 해킹에 관한 것이었습니다.
결론적으로 말씀드리면 OTP는 완전한 방패가 아닙니다. 다만 적용이 가장 현실적이고 가격합리적인 일반 대중 인증시스템이라는 고려가 있었던 것이겠죠.
OTP는 기본적으로 MITM(Man in the middle) 공격에 취약할 뿐만 아니라, 피싱에 대해서도 완전히 안전하지 않은 보완책일 뿐입니다. 그러나 OTP는 여타 다른 방법들에 비해 인터넷경제에서 적절하게 사용될만한 범용적이고
경제적인 인증방법으로 채택되고 있습니다.
위 기사에서 보면 OTP 솔루션 이외의 다른 시스템의 불안정함 때문에 마치 OTP 솔루션이 뚤린 것처럼 보입니다. (사실 메모리 해킹 얘기가 나오면 어떤 보안 방법이 뚫리지 않을 수 있을까요.)
OTP 솔루션은 메모리 해킹의 보안책이 되지 않습니다. OTP는 보다 안전한 소유인증을 담당하는 방법입니다. 위의 국민은행 해킹 관련 기사의 논점은 이런 의미에서 바르지 않다고 봅니다.
기자의 몇 줄 커멘트로 OTP가 쓸모 없는 것으로 인식될까 걱정스럽습니다.
OTP는 이미 세계적으로 널리 쓰이고 있는 보편적인 보안 수단에 하나입니다.
완벽하지 않다는 것을 이미 다 알고 있음에도 주요한 보안책으로 사용중입니다.
만약 아래와 같은 기사라면 그나마 그 논지에 반대하지 않았을 것입니다.
피해 고객을 나무라는 ‘국민은행’ 서울파이낸스 경제 2008.03.01 (토) 오전 7:56
그런데, 게다가 최근 OTP 솔루션 자체의 문제에 대한 기사도 나오더군요. 아마도 보안뉴스의 길민권 기자님이 이 기사의 초고를 넘기고 나서 이곳저곳의 항의를 받으셨거나 문제가 있다고 판단하셨던지 기사의 상당부분을 수정하셨습니다.
처음 기사는 OTP 사용주의!...심각한 보안취약점 발견 다소 선정적인 제목이었습니다만, 이후 OTP, 배포처인 은행과 사용자간 시각차 발생 이렇게 순화(?) 되었네요.
(http://www.boannews.com/media/view.asp?page=2&gpage=1&idx=9011&search=&find=&kind=0)
이 기사의 주요 내용은 다음과 같습니다.
제보자 박모씨는 H은행에서 OTP 토큰을 2500원에 구입 사용합니다. 시험삼아 토큰에서 발생된 OTP 5개를 적어놓았다가 몇 일 후 사용해 봅니다. 인증 성공.
이러한 기사들이 나오고 있으니 이 참에 현재 도입되고 있는 OTP 일부에 대해 간단히 훑어보겠습니다. 위 토큰 OTP는 당연히 이벤트 싱크 방식입니다. 이벤트 싱크 방식은 2005년에 CItibank에서 무력화 가능성이 보고된 사례가 있습니다.
(http://blog.washingtonpost.com/securityfix/2006/07/citibank_phish_spoofs_2factor_1.html)
그래서 그런지 이벤트 싱크 방식으로 유명한 시큐어 컴퓨팅은 국내에서 상대적으로 선전하지 못하고 있습니다. (타임싱크 방식의 토큰을 출시하기도 했죠.)
이벤트 싱크 방식은 상대적으로 위험할 수 있다고 알려져 있습니다. 대신 사용자들에게 좀 더 편리함을 제공합니다. (버튼만 누르면 바로 바로 OTP 생성) 이벤트 싱크를 도입한 기업들은 보안성과 편리성이라는 Trade-off 시소놀이에서 편리함을 좀 더 고려한 것입니다.
(사견입니다만, 현재 OTP 토큰을 도입하고 있는 금융권 회사들은 타임싱크나 타임이벤트 싱크를 좀 더 선호하고 있는 것 같습니다.)
카드형의 OTP의 경우는 타임싱크 제품이 아닌 이벤트 싱크방식이 주를 이루고 있습니다. (카드다운 타임싱크 타입 카드는 없다고 생각하는 편이 현재로서는 맞는 것 같습니다.)
전기영동(電氣泳動. Electrophoresis) 방식의 Sipix 모듈을 쓰고 있는 incard의 경우 전기영동 방식의 속성상 생성된 OTP의 잔상이 상당히 오랜 기간 (거의 하루 이상) 그대로 남기 때문에 잘 보관하지 않으면 위와 같은 위험성에 노출될 가능성이 있습니다.
즉, 타임싱크 방식의 OTP도 상당히 여러 곳에 도입되었습니다. 편리하기 때문입니다. 보안성과 편리성을 두루 고려한 타임이벤트싱크 방식도 물론 활발하게 도입되고 있습니다.
이벤트싱크 방식 자체의 속성에 대해 위험하다고 인식한다면 그렇습니다. 위험할 수 있겠습니다.
그러한 OTP의 속성에 대해 충분히 설명하지 않은 것은 전적으로 배포사(은행)의 잘못이라고 생각합니다. 이벤트 싱크의 문제가 OTP는 허술하다는 류로 확대되는 것은 동의하기 힘듭니다.
이벤트 싱크는 이러이러한 면에서 위험성이 있고 이에 대한 공지가 필요하다라면 모를까 말입니다. 그리고 이벤트 싱크의 문제점은 단말기에서 생성된 번호를 계속 기록해서 가지고 다니는 경우 단말기 자체가 필요 없을 수도 있다는 것입니다.
따라서 금보연의 설명대로 어떤 수단이든 잃어버리면 다 위험하다는 말씀도 딱히 납득이 가진 않습니다. 위 OTP 카드의 잔상을 옆 사람이 보고 입력한다면 유효할 수도 있다는 얘기인데 살짝 보고 기억해서 쓰는 위험성과 분실 사용의 위험성을 동일시 하는 건 좀....
그나저나 국내 뿐 아니라 전세계를 통틀어 타임싱크 혹은 타임이벤트싱크 방식의 카드형 OTP는 언제 나올까요?
그리고 참, 이벤트 싱크에도 이렇게 관대하신 금보연은 Mobile OTP에 대한 편협한 시각에서 언제쯤 벗어나실까요?
일본은 30개가 넘는 은행에서 모바일 OTP를 사용하고 있는데 말입니다.
최근에 OTP와 관련된 기사들이 많이 나오고 있어 가사들의 맥락을 보고 있자니 OTP 솔루션에 대해 오해를 불러일으킬만한 것 같아 몇 자 적어 볼까 합니다.
가장 최근에 이슈가 되었고 저희 고객분들도 걱정어린 눈빛으로 "이러저러하면 위험한 것 아니냐"라거나 "그럼 쓸모 없는 거 아니냐"하는 등의 반응을 보인 사건(!)이 있었습니다.
바로 국민은행 인터넷 뱅킹 해킹(!) 사건입니다.
관련기사 :
국민銀 인터넷 뱅킹 '해킹'…7천만원 '허공으로' 서울파이낸스 경제 2008.02.24 (일) 오후 11:24
금융권, 여전히 메모리 해킹 등에 무방비 보안뉴스 IT/과학 2008.02.26 (화) 오후 1:05
주요한 이슈는 OTP 솔루션을 사용했음에도 불구하고 해킹을 당했다는 류의 논조였습니다. 아래 보안뉴스의 내용처럼 국민은행 인터넷뱅킹의 해킹은 메모리 해킹에 관한 것이었습니다.
결론적으로 말씀드리면 OTP는 완전한 방패가 아닙니다. 다만 적용이 가장 현실적이고 가격합리적인 일반 대중 인증시스템이라는 고려가 있었던 것이겠죠.
OTP는 기본적으로 MITM(Man in the middle) 공격에 취약할 뿐만 아니라, 피싱에 대해서도 완전히 안전하지 않은 보완책일 뿐입니다. 그러나 OTP는 여타 다른 방법들에 비해 인터넷경제에서 적절하게 사용될만한 범용적이고
경제적인 인증방법으로 채택되고 있습니다.
위 기사에서 보면 OTP 솔루션 이외의 다른 시스템의 불안정함 때문에 마치 OTP 솔루션이 뚤린 것처럼 보입니다. (사실 메모리 해킹 얘기가 나오면 어떤 보안 방법이 뚫리지 않을 수 있을까요.)
OTP 솔루션은 메모리 해킹의 보안책이 되지 않습니다. OTP는 보다 안전한 소유인증을 담당하는 방법입니다. 위의 국민은행 해킹 관련 기사의 논점은 이런 의미에서 바르지 않다고 봅니다.
기자의 몇 줄 커멘트로 OTP가 쓸모 없는 것으로 인식될까 걱정스럽습니다.
OTP는 이미 세계적으로 널리 쓰이고 있는 보편적인 보안 수단에 하나입니다.
완벽하지 않다는 것을 이미 다 알고 있음에도 주요한 보안책으로 사용중입니다.
만약 아래와 같은 기사라면 그나마 그 논지에 반대하지 않았을 것입니다.
피해 고객을 나무라는 ‘국민은행’ 서울파이낸스 경제 2008.03.01 (토) 오전 7:56
그런데, 게다가 최근 OTP 솔루션 자체의 문제에 대한 기사도 나오더군요. 아마도 보안뉴스의 길민권 기자님이 이 기사의 초고를 넘기고 나서 이곳저곳의 항의를 받으셨거나 문제가 있다고 판단하셨던지 기사의 상당부분을 수정하셨습니다.
처음 기사는 OTP 사용주의!...심각한 보안취약점 발견 다소 선정적인 제목이었습니다만, 이후 OTP, 배포처인 은행과 사용자간 시각차 발생 이렇게 순화(?) 되었네요.
(http://www.boannews.com/media/view.asp?page=2&gpage=1&idx=9011&search=&find=&kind=0)
이 기사의 주요 내용은 다음과 같습니다.
제보자 박모씨는 H은행에서 OTP 토큰을 2500원에 구입 사용합니다. 시험삼아 토큰에서 발생된 OTP 5개를 적어놓았다가 몇 일 후 사용해 봅니다. 인증 성공.
이러한 기사들이 나오고 있으니 이 참에 현재 도입되고 있는 OTP 일부에 대해 간단히 훑어보겠습니다. 위 토큰 OTP는 당연히 이벤트 싱크 방식입니다. 이벤트 싱크 방식은 2005년에 CItibank에서 무력화 가능성이 보고된 사례가 있습니다.
(http://blog.washingtonpost.com/securityfix/2006/07/citibank_phish_spoofs_2factor_1.html)
그래서 그런지 이벤트 싱크 방식으로 유명한 시큐어 컴퓨팅은 국내에서 상대적으로 선전하지 못하고 있습니다. (타임싱크 방식의 토큰을 출시하기도 했죠.)
요 녀석은 타임싱크.
이벤트 싱크 방식은 상대적으로 위험할 수 있다고 알려져 있습니다. 대신 사용자들에게 좀 더 편리함을 제공합니다. (버튼만 누르면 바로 바로 OTP 생성) 이벤트 싱크를 도입한 기업들은 보안성과 편리성이라는 Trade-off 시소놀이에서 편리함을 좀 더 고려한 것입니다.
(사견입니다만, 현재 OTP 토큰을 도입하고 있는 금융권 회사들은 타임싱크나 타임이벤트 싱크를 좀 더 선호하고 있는 것 같습니다.)
카드형의 OTP의 경우는 타임싱크 제품이 아닌 이벤트 싱크방식이 주를 이루고 있습니다. (카드다운 타임싱크 타입 카드는 없다고 생각하는 편이 현재로서는 맞는 것 같습니다.)
전기영동(電氣泳動. Electrophoresis) 방식의 Sipix 모듈을 쓰고 있는 incard의 경우 전기영동 방식의 속성상 생성된 OTP의 잔상이 상당히 오랜 기간 (거의 하루 이상) 그대로 남기 때문에 잘 보관하지 않으면 위와 같은 위험성에 노출될 가능성이 있습니다.
전기영동방식의 Incard 멋진 퍼포먼스를 보여줍니다.
즉, 타임싱크 방식의 OTP도 상당히 여러 곳에 도입되었습니다. 편리하기 때문입니다. 보안성과 편리성을 두루 고려한 타임이벤트싱크 방식도 물론 활발하게 도입되고 있습니다.
이벤트싱크 방식 자체의 속성에 대해 위험하다고 인식한다면 그렇습니다. 위험할 수 있겠습니다.
그러한 OTP의 속성에 대해 충분히 설명하지 않은 것은 전적으로 배포사(은행)의 잘못이라고 생각합니다. 이벤트 싱크의 문제가 OTP는 허술하다는 류로 확대되는 것은 동의하기 힘듭니다.
이벤트 싱크는 이러이러한 면에서 위험성이 있고 이에 대한 공지가 필요하다라면 모를까 말입니다. 그리고 이벤트 싱크의 문제점은 단말기에서 생성된 번호를 계속 기록해서 가지고 다니는 경우 단말기 자체가 필요 없을 수도 있다는 것입니다.
따라서 금보연의 설명대로 어떤 수단이든 잃어버리면 다 위험하다는 말씀도 딱히 납득이 가진 않습니다. 위 OTP 카드의 잔상을 옆 사람이 보고 입력한다면 유효할 수도 있다는 얘기인데 살짝 보고 기억해서 쓰는 위험성과 분실 사용의 위험성을 동일시 하는 건 좀....
그나저나 국내 뿐 아니라 전세계를 통틀어 타임싱크 혹은 타임이벤트싱크 방식의 카드형 OTP는 언제 나올까요?
그리고 참, 이벤트 싱크에도 이렇게 관대하신 금보연은 Mobile OTP에 대한 편협한 시각에서 언제쯤 벗어나실까요?
일본에서는 잘만 쓰고 있구만, 왜 mOTP만 갖구 그래~(29만원 버전)
일본은 30개가 넘는 은행에서 모바일 OTP를 사용하고 있는데 말입니다.
