기본 콘텐츠로 건너뛰기

무엇이 다른가

보안, 보안 프로그램만 방법이냐?

요즘 스마트폰 시장이 커지면서 인터넷뱅킹이나 카드결재 등에 얽힌 ActiveX가 다시 한 번 도마에 오르고 있다. PC에서도 너무 짜증나는 보안툴끼리 오탐이나 키보드 먹통, 기타 인터넷 서비스 정지 등의 문제는 아직도 빈번히 발생하고 있으며, 차라리 ARS를 통한 폰뱅킹이 더 편해 보이기까지 한다.

컴퓨터 보안, 중요하다. 돈이 걸려 있으면 더욱 더 조심해야한다. 하지만 이렇게까지 써야할 필요가 있나 싶다. 사실 통신보안(데이터 전송에 한 함)은 현존 표준 TLS/SSL인증서만으로도 충분히(당연히 지속 발전해야 한다) 지킬 수 있다고 본다.

문제는 클라이언트이다. 클라이언트 환경에 아무리 정교한 보안툴을 깔아봤자 각종 VoC나, 충돌 및 오탐까지 해결하다 보면 어쩔 수 없이 구멍이 생기기 마련이다. 더욱이 클라이언트 환경이 정확히 동일하지 않다. 같은 Windows라고 해도, XP/2000/Vista/7 등 다양하게 존재하고, 같은 Windows XP라고 해도 최종 사용자 컴퓨터엔 어떤 패치와 프로그램이 깔려 있을지는 신도 모른다. 이런 지저분하기 짝이 없는 클라이언트 환경을 지키려고 노력하는 것이 과연 적절한지 의문이다.

그렇다고 보안을 하지 말자는 이야기는 아니다. 대안을 찾자는 것이지...

클라이언트 환경에서 크래커가 패킷/화면/키보드입력을 훔쳐가더라도 중요한 이체/대출/결재 같은 중요한 행위를 할 수 없게 만들어야 하는데, 대표적인 것이 OTP가 아닐까 한다. 물론 휴대전화 SMS를 통해 제공하는 OTP(인증번호)도 있지만 이것은 좀 위험(개인이 계정관리 잘못을 통한 메신저 도용)해 보이고, 휴대전화에 설치하는 OTP도 스마트폰에선 좀 위험(어플이나 어플 데이터를 크래커가 분석할 기회가 높아지므로)해 보이지만, 은행에서 제공하는 외부와 완전히 단절된 OTP 기기(삐삐 같이 생긴 것)를 이곳저곳에서 제휴해서 쓸 수 있으면 편리성을 덜 해치고 보안도 지킬 수 있지 않을까 싶다.

덧붙여 개인도 보안에 대해 관심과 공부를 지속해야 할 것이다.


덧글: 암튼 완벽히 깨끗하고 동일한 클라이언트 환경이란 존재하지 않으니, 지금 같은 보안 패러다임 보단 다른 쪽으로 아이디어를 짜보는게 좋을 것 같다. 나중에는 OTP기기도 크기는 신용카드 크기와 너비, 태양전지를 전원으로 해서, 들고 다니기 편하게 했으면 좋겠다.
덧글2: 다음 보안 패러다임이 나올 때까지 기존 패러다임 유지는 찬성한다. 모바일을 위해 페이지를 따로 만들면 되지 않냐 어쩌냐 같은 초딩 수준 보안 이야기는 공부 좀 더 하고 오라고 말해주고 싶다. 서버는 클라이언트를 믿을 수 없다.
덧글3: Java 같은 VM이 얼추 동일한 환경을 제공하지만, VM을 돌리는 Host OS(Windows뿐만 아니다!)가 충분히 더러울 수 있다.
덧글4: 나중에 국가사용자보안시험 같은 걸 만들어서, 통과해야 인터넷 뱅킹 등을 사용하게 만들어야 할지도... ㅋㅋㅋ

[#ALLBLET|2249#]

댓글

이 블로그의 인기 게시물

SQLite에서 파일 크기 줄이기

간단한 개인 프로젝트를 하고 있는데, SQLite DB파일 크기가 매우 커져서 테이블에 필요 없는 레코드를 날렸다. 그런데 날리고도 파일크기가 그대로라서 여기저기 뒤져보니 VACUUM 커맨드를 사용하란다. 사용법은 매우 간단하다. 그저 "VACUUM;"이라고 날려주면 동작한다. (참조: http://sqlite.org/lang_vacuum.html ) 다만, 동작이 매우 느려서 자주 쓸만한 것은 아니다. 실제로 100MB짜리 파일을 7KB로 줄이는데 수 분이 걸렸다. 소스를 봐야겠지만, DB를 EXPORT한 뒤에, 파일을 지우고 다시 IMPORT하는게 아닐까 하는 의구심이 든다. 매번 하기 귀찮으면 "PRAGMA auto_vacuum=1;"를 하면, 새로운 빈 페이지(DELETE나 DROP TABLE 같은...)가 생길 때마다, VACUUM을 실행한다. 다만, SQLite구조 문제로 테이블을 생성하기 전에 미리 날려야하는 안타까움이 있다. (참조: http://sqlite.org/pragma.html#pragma_auto_vacuum )

OpenSSL supports Multi-threading

내가 스레드를 별로 좋아하지 않는데, 별 수 없이 써야할 경우가 종종 있다. 그와 별개로 OpenSSL 쓰기를 좋아하는데, OpenSSL을 멀티 스레딩 환경에서 쓰면 자칫 알 수 없는 이유로 죽곤한다. 이유는 OpenSSL 각종 알고리즘엔진이 멀티 스레딩 환경을 고려하지 않은 엔진이라, 경합이 발생하여 충돌이 발생하기 때문이다. 참조: https://www.openssl.org/docs/crypto/threads.html 멀티 스레딩 지원은 0.9.5b-dev부터 지원하였으니, 이하 버전은 포기하자. (응?) (사실 그 전에도 약간은 지원했으나, CentOS5 기준 0.9.8이니, 이전 버전은 포기하는게 정답이다) 맨페이지를 보면 "crypto/threads/mttest.c 파일에 예제가 있어요 뿌잉뿌잉~"이라는데 나중에 찾아보기 귀찮으니 블로그에 옮겨 놓...으려고 봤는데, 주석도 길고 모든 OS에 대한 전처리기도 있고, C++11도 나왔는데 구닥다리 코드를 쓸 생각이 없으니 내 맘대로 다시 구성했다. #include <openssl/crypto.h> #define OPENSSL_THREAD_DEFINES #include <openssl/opensslconf.h> #if !defined(OPENSSL_THREADS) # error "OpenSSL version is not supported multi-thread" #endif // C++11 mutex support #include <mutex> // Global locks for OpenSSL static std::mutex* g_locks(nullptr); // Locking callback function for OpenSSL static void funcLock(int mode, int type, char* file, int line) { if ( mode bitand CRYPTO_LOCK ) g_locks[

Bash Array, Map 정리

Bash에서 Array, Map에 대한 정리. (매번 찾기 귀찮) 찾아보진 않았지만, Bash에서 Array든 Map이든 동일하게 Map(C++에서 Unordered Map)으로 동작하는 것 같다. 왜냐하면, Array의 Index가 연속하지 않아도 동작한다. 그저 Key가 0 이상의 정수인 Map이랑 비슷하게 동작한다. 예) 1, 2, 3, 9, 10 Array # 생성 declare -a empty_array declare -a ar=(haha hoho baba "long string haha hoho") # 접근 echo "ar[0]=${ar[0]}" echo "all as array=${ar[@]}" # 큰따옴표 안에서 각 원소를 따로따로 전달한다. echo "all as one=${ar[*]}" # 큰따옴표 안에서 각 원소를 문자열 하나로 합쳐 전달한다. echo "indexes=${!ar[@]}" echo "indexes=${!ar[*]}" echo "length=${#ar[@]}" echo "length=${#ar[*]}" echo "last=${ar[-1]}" echo "last=${ar[@]: -1}" # 콜론 뒤에 빈 칸이 꼭 필요하다. 옛 방식 # 현재 상황 declare -p ar #(출력) declare -a ar=([0]="haha" [1]="hoho" [2]="baba" [3]="long string haha hoho") ar[100]=hello # 인덱스를 건너 뛰어도 동작한다. declare -p ar #(출력) declare -a ar=([0]="haha" [1]="hoho" [2]="baba" [3]=&