2011년 6월 20일, 코엑스개인정보 Lock & 樂 컨퍼런스에서 발표한 자료입니다.
발표자료 Sns와 프라이버시
View more presentations from 대선 최.
- 2010/05/03 01:02
- decisive.egloos.com/5307711
- 덧글수 : 0
- 셀리브리티가 아닌 사람의 경우는 소통(팔로잉, 멘션. RT)이 트윗을 풍성하게 해주는 유일한 수단 RT @okgosu: 소통하지 않는 아이는 듣지않고 자기말만 하므로 말을 잘하지못한다. 트위터도 비슷한 느낌이오 #okgosu
- 재밌는 것은 "건강보험 당연지정제 폐지"와 "공인인증서 의무사용 폐지"는 주장의 배경 사상과 내용 및 여파가 동일한 것임에도 불구하고 전자는 넷심의 반대를 후자는 넷심의 지지를 얻는게 아이러니죠..
- @durian0606 sns의 미래.. 전 베르나르의 소설 "뇌"에 나오는 것처럼 BCI (Brain Computer Interaction)이 되면, 사고와 소통과 반응이 동시에 일어날 듯 하네요..
- 블로그 시대엔 1%가 쓰고 20%가 퍼나르고 나머지 80%는 그걸 읽었다. 트위터 시대엔 몇 %가 쓰고 있을까? 10%?
- #생활상식 1 : 고속도로 과속 단속 카메라는 20km 까진 봐준다. 게다가 자동차 속도계는 실제속도보다 5%정도 높게 나온다.. 고로 제한속도 100km 인 곳에서는 120까지 맞추면 아무 문제없다는.. 근데 제한속도 올리는 건 언제하남..
- @chunsoo @every97 @cara4243 다자녀에 상속세 감면? 상속세 과세 대상자 고작 4천명, 애낳는 순간 상속을 생각? 찰하리 허경영식으로 애한명에 1억원씩, 20년 분할 지급.. 이게 예산이 젤 적게 드는 방법일듯..
- 아이뽕에다 모바일오피스를 차릴리는 없고 역시 안들호나 wm이.. RT @ayoung_k: RT @cjrain CEO 10명중 8명 '3년 내에 모바일 오피스로 바꾼다' http://bit.ly/aj4SN6 #SPhoneSa
- @mywho88 @ChiefTree 세스콤은 어떨까요 거기 홈피 운영하듯 기업이 소셜미디어를 운영하면 성공할까요? 기업이라는 entity자체가 social net의 하나의 노드가 되기엔 부적합한 것은 아닌지
- 은퇴하면 심심하게 살진 않을것 같다. 매일할게 너무 많다. 악기연습 2시간, 트레이딩 주야로 4시간, 트위터2시간, 음악감상 2시간, 블로깅 2시간, 등산 및 웨이트 2시간, 웹서핑 2시간, 강의준비 3시간, 토탈 19 시간 현실은 3시간도 없다는
- 악기 배우는 즐거움: 매번 조금씩 어려운 과제가 주어진다. 한계단 한계단 끊임없이 올라가는 계단 (도전) 이랄까. 그래서 곡 연주보다 오히려 교재 연습이 더 재밌다는
- @mywho88 identity 기반 맞춤형 서비스 관점에서 relation은 중요한 identity 일부라고 생각합니다. 다만 relation은 explicit하게 설정하지 않아도 공통 attention으로부터 자동으로 찾아질수도 있다는
- 소셜 서비스가 반드시 소셜 "네트웍"에서만 가능한 건 아닐 겁니다. link 될만한 사람을 찾아서 그들이 검색하거나 내놓는 정보을 이용하면 되는 거지요. 꼭 explicit link가 존재할 필요는 없겠죠.. @ebizstory @lee_sang @mywho88
- 이용하지 않아도 그만인 종교서비스와는 달리 정치란 서비스는 생활에 영향을 주니깐..RT @AniRush: RT @leejik: RT @meesarang 나쁜 관리들은 투표하지 아니한 좋은 시민들에 의해서 선출된 것이다. -조지 진 나단
- 애플이 생각하는 모바일 에코시스템의 진화 : 컨텐츠 -> 앱 -> 광고.. // 이걸 위해 필요한 모든 걸 할 듯, 모바일기기 염가판매, 통신사인수를 통한 무료(염가) 이동통신.. 아이패드가 부풀린 아이뽕이 아니라 새로운 BM의 출시란걸 인정
광고를 실어주는 매체 자체의 가격이 낮아지거나 공짜인 건, 신문, 잡지, 웹페이지, TV방송 등 끝도 없죠. 단말만 싸게 파는게 아니고 종국에는 통신요금도 RT @Kim_Eunha: ipad 가격이 낮은 이유 http://bit.ly/9gKlUe
@FotoCiti 웹으로 안되는게 많아서 앱이 우후죽순이지만 플랫폼 중립적이면서도 핵심 기능을 제공하는 기술(ETRI 가 개발한 스마트폰 웹전자서명같은..)이 등장하면 점차 웹으로 많이 가겠죠..
@MrHyuk 보상기변이란 뭔가 단말기값을 쳐주는 개념인데 지금은 사실 단말기값을 쳐주긴 커녕 외상값을 물어내라고 할판이라 문제가 되는 거죠. 고객의 정서는 보상을 받는 건데 실제론 KT에 보상을 해줘야 할판이니
KT, 아이폰 4G 도입 부정적인 이유: 평균가입기간이 6개월도 안된 기존 3G 이용자들이 대거 4G로 넘어가며 남은 할부금을 보상해달라고 시끄럽게 굴게 뻔하며, 그랬다간 완전 개털될거시기 때문
건강보험 당연지정제 폐지 <= 이것도 건강 보험을 없애자는게 아니고 병원 자율에 맡기자는 것 | 공인인증서 의무사용 폐지 <= 공인인증서를 없애자는 게 아니고 은행 자율로 하자는 것..... 헐 완전히 똑같네..
- 2010/04/29 19:36
- decisive.egloos.com/5305269
- 덧글수 : 2
호민관실에서 주최한 "한국 전자금융거래 보안기술 세미나"에 참석했다.
내용을 잘 정리해 전달할 수많은 블로거나 매체가 있을 것이고, 나는 그냥 내 나름대로 하고 싶은 말만 한다.
1. 예상했던 대로, 브루스가 일반론 ( weakest link, social element의 중요성, Kerckhoffs principle ... )을 폈다..
open되어 검증된 메커니즘을 써야 한다고 했다. 그러면서 open source얘기까지 했는데
브루스가 CSO로 있는 BT조차 source open은 안할 것이다.
또한 브라우저 embedded SSL도 source open 안되어 있다. 단지 충분히 검증된 표준 SSL프로토콜을 쓴다는데.. 내가 알기론, 저쪽에서 proprietary 라고 주장하는 국내업체 솔루션도 대개 openSSL에다 국제표준 알고리즘인 SEED만 추가한거다.. 뭐가 다른가?
그리고 identity authentication의 한계에 대해 얘기했는데 이부분은 한국 실정과는 많이 다르다. (주
민번호, 금융실명제 등)
한편 공인인증서는 전자인감이고 인감의 역할을 하면 되는 거다.. 공인인증서는 사용자 인증 보다 우선하여 메시지에 서명 (message integrity & authentication, non-repudation을 위해..)하는 도장인 것이다.
2, 그리고 한국 유학생들이 (왜 1명은 영어로 발표를 했는지.. Q&A때는 한국말을 그리 잘하더니..그렇게도 "해외" 파로 보이고 싶었을까? 하긴 왜 외국에서 쓰는 방식을 안쓰고 한국 독자 방식을 쓰냐고 하는 사람들이니.. 외국에서 쓰는 영어를 쓰고 한국말을 쓰지 말아야 일관성있기도 하다) 보따리를 풀었다..
유학생들의 주장 1: 효과가 낮은 방법을 mandate하면 안된다
나의 생각 : mandate해야 하는 것은 기능이지 솔루션이 아니다. 소방설비를 예로 들면, 소화기능 (솔루션은 소화전, 스프링쿨러), 대피기능(솔루션은 비상계단, 비상구표시), 생존기능(솔루션은 제연설비, 산소마스크) 이렇게 된다. 정부는 건물주에게 소화기능, 대피기능, 생존 기능을 mandate하여야 한다.
현존하는 생존기능 솔루션 중 최고인 제연설비의 효과가 30%라고 해서 생존기능을 mandate하지말아라? 효과가 30%면 10명 중 3명의 목숨은 구하는 거다. 3명 밖에 못살리니까 아예 의무화하면 안된다?
건물주가 맘대로 하라고 하면, 건물주는 3명이 더 죽으면 어차피 돈으로 때우지 뭐 이러고 생존솔루션을 설치안할 가능성이 크다.
이렇게 해야 하나?
이부분은 브루스도 강제를 안해야 기술이 발전한다고 거들었다.. 과연 그럴까?
강제를 해야 시장이 생기고 그 시장을 보고 업체는 경쟁을 한다. 그 경쟁 과정에서 기술이 발전하는게 아닐까?
미국에서 사베인옥슬리 같은 걸 하니까 (이것도 똑같은 강제 규제다) 솔루션 시장이 생기고 그 솔루션을 위해 기술을 개발하는건데..
- 유학생들의 주장 2: 영국이 한국보다 피해액은 크지만 정부 통계는 오류가 있고 샘플이 작아서 인정할 수 없다.(이부분은 호민관도 정부통계를 인정할 수 없다고 단언 <- 호민관실은 정부기관아닌가?). 그리고 한국이 피해가 적은 것은 공격을 덜받기 때문이다.
=> 나의 생각 : 피해액 자체를 팩트로 인정할 수 없다면, 그런 현상이 나온것은 언어장벽을 포함해서 공격을 덜받기 때문이라고 설명을 뭐하러 갖다 붙였을까? 팩트가 아니라고 주장하면 그만인 것을.. 분명히 팩트는 우리나라의 피해액이 훨씬 작다는 거다.
그리고 언어 장벽등이 있어 공격을 덜받는다? 한국 해커들은 매년 세계해킹 대회 상위권을 휩쓸고 있다. 외국에만 나쁜 놈들이 있고 한국에는 없을까?
언어장벽 => 외인 해커들이 한글을 몰라 한국 인터넷 뱅킹을 공격 안한다고 한다. 그런데 3번째 세션에서 루카스는 proxy를 이용해 가짜 국민은행 사이트를 보여주는 시연을 했다. 루카스는 한글을 아는 모양이지?
공격을 덜받고 있다? 한국은 DDoS 경유지 1위, malware 배포지 1위 란다. 그럼 한국 PC들이 compromise되지 않으면 어떻게 이런일이 일어날까.. 외국 해커들은 위해 한국PC를 해킹한뒤, 돈이 되는 인터넷 뱅킹은 놔두고, DDos경유, malware경유로만 이용했단 얘긴가? 단지 한글을 몰라서? 브루스는 구글 translation 얘기도 했다..
3. 루카스는 세일즈를 했다.. 모질라 브라우저 좀 많이 써달라고.. 전체적으로 발표가 산만하여 이부분에 공감하는 사람은 많지 않았을 거 같다.
4. 내맘대로 한마디로 정리 : 전반적으로 오픈웹의, 오픈웹에 의한, 오픈웹을 위한 세미나였다.
이제 정치적 레토릭은 사라지고 기술 논쟁(공인인증서 동등 수준 보안이 무엇인지)으로 접어들려는 시점이라, 입맛에 맞는 해외 전문가를 초빙해 주장을 설파하는 건 매우 좋은 전략인거 같다. 전략가에게 박수를 보낸다.
내용을 잘 정리해 전달할 수많은 블로거나 매체가 있을 것이고, 나는 그냥 내 나름대로 하고 싶은 말만 한다.
1. 예상했던 대로, 브루스가 일반론 ( weakest link, social element의 중요성, Kerckhoffs principle ... )을 폈다..
open되어 검증된 메커니즘을 써야 한다고 했다. 그러면서 open source얘기까지 했는데
브루스가 CSO로 있는 BT조차 source open은 안할 것이다.
또한 브라우저 embedded SSL도 source open 안되어 있다. 단지 충분히 검증된 표준 SSL프로토콜을 쓴다는데.. 내가 알기론, 저쪽에서 proprietary 라고 주장하는 국내업체 솔루션도 대개 openSSL에다 국제표준 알고리즘인 SEED만 추가한거다.. 뭐가 다른가?
그리고 identity authentication의 한계에 대해 얘기했는데 이부분은 한국 실정과는 많이 다르다. (주
민번호, 금융실명제 등)
한편 공인인증서는 전자인감이고 인감의 역할을 하면 되는 거다.. 공인인증서는 사용자 인증 보다 우선하여 메시지에 서명 (message integrity & authentication, non-repudation을 위해..)하는 도장인 것이다.
2, 그리고 한국 유학생들이 (왜 1명은 영어로 발표를 했는지.. Q&A때는 한국말을 그리 잘하더니..그렇게도 "해외" 파로 보이고 싶었을까? 하긴 왜 외국에서 쓰는 방식을 안쓰고 한국 독자 방식을 쓰냐고 하는 사람들이니.. 외국에서 쓰는 영어를 쓰고 한국말을 쓰지 말아야 일관성있기도 하다) 보따리를 풀었다..
유학생들의 주장 1: 효과가 낮은 방법을 mandate하면 안된다
나의 생각 : mandate해야 하는 것은 기능이지 솔루션이 아니다. 소방설비를 예로 들면, 소화기능 (솔루션은 소화전, 스프링쿨러), 대피기능(솔루션은 비상계단, 비상구표시), 생존기능(솔루션은 제연설비, 산소마스크) 이렇게 된다. 정부는 건물주에게 소화기능, 대피기능, 생존 기능을 mandate하여야 한다.
현존하는 생존기능 솔루션 중 최고인 제연설비의 효과가 30%라고 해서 생존기능을 mandate하지말아라? 효과가 30%면 10명 중 3명의 목숨은 구하는 거다. 3명 밖에 못살리니까 아예 의무화하면 안된다?
건물주가 맘대로 하라고 하면, 건물주는 3명이 더 죽으면 어차피 돈으로 때우지 뭐 이러고 생존솔루션을 설치안할 가능성이 크다.
이렇게 해야 하나?
이부분은 브루스도 강제를 안해야 기술이 발전한다고 거들었다.. 과연 그럴까?
강제를 해야 시장이 생기고 그 시장을 보고 업체는 경쟁을 한다. 그 경쟁 과정에서 기술이 발전하는게 아닐까?
미국에서 사베인옥슬리 같은 걸 하니까 (이것도 똑같은 강제 규제다) 솔루션 시장이 생기고 그 솔루션을 위해 기술을 개발하는건데..
- 유학생들의 주장 2: 영국이 한국보다 피해액은 크지만 정부 통계는 오류가 있고 샘플이 작아서 인정할 수 없다.(이부분은 호민관도 정부통계를 인정할 수 없다고 단언 <- 호민관실은 정부기관아닌가?). 그리고 한국이 피해가 적은 것은 공격을 덜받기 때문이다.
=> 나의 생각 : 피해액 자체를 팩트로 인정할 수 없다면, 그런 현상이 나온것은 언어장벽을 포함해서 공격을 덜받기 때문이라고 설명을 뭐하러 갖다 붙였을까? 팩트가 아니라고 주장하면 그만인 것을.. 분명히 팩트는 우리나라의 피해액이 훨씬 작다는 거다.
그리고 언어 장벽등이 있어 공격을 덜받는다? 한국 해커들은 매년 세계해킹 대회 상위권을 휩쓸고 있다. 외국에만 나쁜 놈들이 있고 한국에는 없을까?
언어장벽 => 외인 해커들이 한글을 몰라 한국 인터넷 뱅킹을 공격 안한다고 한다. 그런데 3번째 세션에서 루카스는 proxy를 이용해 가짜 국민은행 사이트를 보여주는 시연을 했다. 루카스는 한글을 아는 모양이지?
공격을 덜받고 있다? 한국은 DDoS 경유지 1위, malware 배포지 1위 란다. 그럼 한국 PC들이 compromise되지 않으면 어떻게 이런일이 일어날까.. 외국 해커들은 위해 한국PC를 해킹한뒤, 돈이 되는 인터넷 뱅킹은 놔두고, DDos경유, malware경유로만 이용했단 얘긴가? 단지 한글을 몰라서? 브루스는 구글 translation 얘기도 했다..
3. 루카스는 세일즈를 했다.. 모질라 브라우저 좀 많이 써달라고.. 전체적으로 발표가 산만하여 이부분에 공감하는 사람은 많지 않았을 거 같다.
4. 내맘대로 한마디로 정리 : 전반적으로 오픈웹의, 오픈웹에 의한, 오픈웹을 위한 세미나였다.
이제 정치적 레토릭은 사라지고 기술 논쟁(공인인증서 동등 수준 보안이 무엇인지)으로 접어들려는 시점이라, 입맛에 맞는 해외 전문가를 초빙해 주장을 설파하는 건 매우 좋은 전략인거 같다. 전략가에게 박수를 보낸다.
- 2010/04/28 23:01
- decisive.egloos.com/5304726
- 덧글수 : 18
보도자료 이외의 이야기
특징1 : 모든 웹브라우저에서 공인인증서 기반 전자서명이 가능해짐
-SmartSign앱을 설치하고 웹페이지에서는 SignText() 형태의 javascript을 호출하면 됨
-일부 브라우저에서만 제공되던 SignText()를 앱과 브라우저의 interaction을 통해 모든 브라우저에서 제공하게 된 셈
특징 2 : 플랫폼 중립성 확보
-SmartSign앱 자체는 물론 OS마다따로 개발되어야 함
-모든 웹브라우저에서 동일하게 동작
-웹페이지는 브라우저 및 OS마다 따로 구성할 필요 없음 : 가령한 은행이 SmartSign방식으로 웹페이지 구성해놓으면, SmartSign이존재하는 모든 플랫폼의 모든 브라우저에서 인터넷 뱅킹이 가능
특징 3 : 보안 모듈의 중복성 탈피
-뱅킹앱마다 인증서 모듈을 중복해서 갖고 있을 필요없음
-인터넷 뱅킹 웹페이지마다 새롭게 플러그인이 설치될 필요없음
특징 4 : 표준성
-전자서명 메시지는 PKCS#7 준용, 서버 쪽은전혀 바뀔게 없음
-클라이언트 쪽의 SmartSign방식의 국내/국제표준화 추진 예정
특징 5 : 세계최초
-이런 방식은 세계최초
특징 6 : 타분야에 적용가능
-전자서명 뿐만 아니라, 전자지불 및 기타 기존의 플러그인이 설치되어 동작하던 모든 응용에 대체적용 가능
특징 7 : 앱지원
- 브라우저 뿐 아니라 모든 앱에서도 별도 전자서명 모듈없이 동작
특징 8 : PC에서도사용가능
-SmartSign앱만 제공되는 환경이면 PC에서도모든 브라우저에서 플러그인 없이 공인인증서 이용 가능
특징 9 : 보안성
-전자서명이 일어날 때 마다 SmartSign 앱이 사용자 확인 및 PIN입력을 거침. -> 앱에 공인인증서 및 비밀키를 “갖다바치는” 방식과의 차이..
-Usim에 저장 및 usim내에서전자서명 생성으로 보안성 강화
특징 10 : 단일한 인증서 관리
-인증서가 각 앱마다 따로 중복 저장 및 관리되는 일 없음
-인증서를 각 브라우저의 keystore에 넣어서 중복 저장되는 일 없음
- 2010/04/28 09:12
- decisive.egloos.com/5304132
- 덧글수 : 0
공인인증서에 대해 "강제 규정 철폐"니 하는 정치적 레토릭이 사라진 지금 시점이 이성적으로 기술에 대한 논의를 하기 좋은 시점으로 보인다.
비판만 하지말고 기술적 솔루션을 이야기해야 할 시점이다..
모바일 뱅킹/쇼핑 등 모바일 전자거래를 위한 보안 솔루션이 지향해야할 목표를 생각해 본다.
다음은 모바일웹포럼의 Mobile Banking&Payment AG에 올렸던 내용이다.
1. 보안 기능 목표
갖춰야 할 보안 기능 중 침해 위협 관련 부분은 zdnet에 게재되었던 "빗나간 공인인증서 논란" 글에서 구간별로 잘 정의하고 있는 것 같습니다.
거래 자체의 보안과 관련해서는 피싱 방지, 상호인증, 채널 보안, 메시지 인증/무결성, 부인방지, 프라이버시 등을 고려해야 합니다.
(사실 이 부분은 10년이상 잘 정리 및 이해가 되어 있는 부분인데, 새로이 논란이 있다는 것 자체가 난센스라고 생각합니다. 더 이상 얘기 안 했으면 하는 작은 소망이 있습니다.)
2. 보안 기술 적용 목표
유선 환경에서 상기 보안 목표를 달성함에 있어 여러 가지 부작용이나 불편이 있었는데, 모바일로 가는 마당에는 이를 좀 해소해야된다고 생각합니다.
(사실 이부분만 새로 논의하면 되는 거 아닌가요!!!!!!!!!!!)
2.1 보안 솔루션 중복설치 배제
- 은행마다 다른 키보드 보안 프로그램이 여러 개 깔리는 건 정말 싫더군요. 하나의 키보드 보안 프로그램으로 여러 은행에서 다 썼으면 좋겠습니다 (적어도 각 회사 제품 별로라도..1개씩만)
물론 이렇게 하면 각 은행에 솔루션을 팔던 걸 팔 수 없어지겠지만, 이 부분은 공통 모듈에 대한 사용료 측면에서 접근하면 해결되리라 봅니다.
- 공인인증서 모듈도 마찬가지입니다. 현재 공인인증서 모듈은 인증서관리/저장, 인증서 사용(서명), 상호인증 및 채널 보안 모듈 3개가 합쳐진 형태입니다. 이 모듈이 역시 각 은행마다 붙어 중복되어 설치되지요..
KISA의 공통앱은 인증서저장/관리는 부분을 떼어내어 공통화 시킨 것이죠.. 그래서 기존보다 낫지만 실제 인증서를 가져가서 서명하고 하는 부분은 중복이 되지요. 전자서명 생성 부분까지도 공통화 시킬 필요가 있다고 봅니다. 이렇게 하면 app으로의 비밀키 유출 문제는 저절로 해결되겠지요.
2.2 플랫폼 중립 유지
- 특정 브라우저에서만 되는 또는 각 브라우저마다 customizing이 필요한 솔루션 대신, 모든 브라우저와 앱에서 지원하는 방법을 써야 합니다.
- n개의 플랫폼을 모두 지원하라고 하는 건 말도 안되는 규격이고, 언젠가는 한쪽으로 쏠림이 있을 것이며, 그럼 IE&ActiveX 문제가 다시 나옵니다. (사실 이게 자연스러운 시장 흐름이지만)
아무도 이걸 원하진 않을테구요..
- 공인인증서의 경우 특정 플랫폼 keystore에 넣자는 주장은 activeX만 쓰자고 하는 주장과 똑같은 얘기라고 생각됩니다.
(특히 아이폰 keyring처럼 패스워드도 묻지 않고 비밀키를 제공하는 store에 넣는 건 천부당 만부당합니다)
- 플러그인에 대해서도, 아예 안 쓰는 쪽으로 가는 게 맞는 것 같습니다. activeX도 결국 플러그인의 1종일 뿐, 플러그인 방식을 쓰는 한 activeX문제가 이름만 바꿔서 다시 발생할 걸로 보입니다.
- 2010/04/27 15:48
- decisive.egloos.com/5303501
- 덧글수 : 1
스마트폰 환경
• 플러그인 개발이 어려움
– 기존 PC상의 웹브라우저 공인인증서 지원은 모두 ActiveX등 플러그인 방식이었음
• 모바일 웹의 인증, 지불 등 보안 기술 수요 제기
• 모바일 웹보다는 모바일 앱 방식으로 우선 개발
스마트폰 공인인증서 문제
• 인터넷 뱅킹/쇼핑 => 모바일화 문제
– 공인인증서/신용카드지불 클라이언트 모듈이 필요
– 한 App의 저장공간은 다른 App에서 접근 불가
– 개별 app마다 모듈 및 저장공간 필요 (중복)
• 웹에서는 안됨
– Plug-in 부재
스마트폰 지불결제 규제완화
• 공인인증서 의무 적용 규정 해제
– 30만원 이하 용
• 뱅킹 부분 및 30만원 이상은 공인인증서 동일 보안성 제공 필요
• 신용카드 지불 모듈도 여전히 필요
– 안심클릭(xMPI)에선 필요없음
• 중복성도 계속 남아있음
KISA의 공통앱
• 아이폰 앱용
– KT의 “쇼인증서”
– PKCS#12 로 각 App에 [인증서 + Key ]제공
– 각 App의 공인인증서 모듈은 PKCS#12 풀어서, 비밀키 패스워드(PKCS#5) 넣고 사용
– 전자서명 모듈의 중복성은 여전
• PKCS#12데이터를 아무 앱에서나 획득 가능하다는 지적
금결원 개발 자바애플릿 방식
• 웹에서 인증서 사용
– Java applet
– 저장 방식은 N/A (ascrow도 가능)
– 매번 applet 다운로드 => 느림
• 이 방식도 실제로 스마트폰 브라우저에서 정상 동작하지 않는다고 함
오픈웹 주장
• OS keystore 및 SDK사용
– Password 없이 접근(아이폰)
– 타 앱에서 저장한 것에 접근 불가
• 중복저장 필요 (default)
• app_id만 알면 접근 가능함.. (보안취약점)
– 웹기반 전자서명 지원 안됨
스마트폰 공인인증서 문제 요약
• 웹브라우저에서 전자서명 솔루션 없음
– 일부 제시된 솔루션들도 기술 검증 실패
– 금결원 자바 applet 방식
• 앱용 솔루션 (공통앱)의 문제
– 보안성 지적
– 전자서명 모듈 중복
- 2010/04/27 13:48
- decisive.egloos.com/5303436
- 덧글수 : 0
l 업체 방식
90년대 후반에 SSLeay 라는 오픈 툴킷이 있었다. 이게 현재 OpenSSL의 전신
S사와 I사가 이를 바탕으로 인증 및 채널 암호화 솔루션을 만들어 팔았다. SSL 대신 자체 솔루션솔 쓴 것은 잘 알려진대로, 당시에는 SSL의 암호알고리즘이 40bit RC4로 제한되어있었기 때문이다. 인증 및 채널 암호화에 필요한 인증서는 은행마다 사설 CA를 구축해서 공급했다.
왼쪽에 있는 것이 채널암호화를 위한 클라이언트 모듈이고 이는 처음부터 ActiveX 또는 netscape plug-in 방식이었다. (당시에는 이 2가지 브라우저 밖에 없었다)
<공인인증체계 이전 사설 PKI 솔루션 구성>
l ETRI 개발 CA 시스템
1999년 당시 정부에서는 전자서명법을 기반으로 공인인증체계를 만들고자 했다.
은행들도 각자의 CA를 버리고 금융결제원에서 제공하는 공인CA 서비스를 받으려고 했다.
당시 ETRI는 SSLeay를 이용한 것이 아닌 자체 풀 솔루션을 보유하고 있었고, 공인인증기관이 되려는 금융결제원과 한국증권전산의 요청에 따라 공인 CA 서버 시스템을 개발, 구축하게 된다. 필자도 이 프로젝트에 연구원으로 처음부터 끝까지 참여하여 시스템 설계 및 개발을 수행했다.
업체가 이미 갖고 있던 사설방식의 CA대신 ETRI의 국제표준 방식의 CA 시스템이 채택된 것은 사설 방식에 보안상 결함이 있었기 때문이었다. 사설 방식에서는 클라이언트가 인증서를 요청할 때 PKCS#10방식을 사용했었는데 PKCS#10에서는 공격자가 이를 변조해서 자기의 키쌍을 집어 넣어도 알수가 없게 된다(Man in the middle attack).
개발된 공인인증시스템 클라이언트는 아래와 같은 모양을 띄었다. 클라이언트는 애플리케이션용 API, ActiveX, netscape plug-in 이렇게 3가지 방식으로 제공되었다. 당시에는 IE와 netscape밖에 없었기 때문이다.
금결원과 증권이외의 나머지 4개 CA는 ETRI로부터 기술이전을 받은 업체가 CA서버를 구축 납품했고, 서버 및 클라이언트 모듈은 30여 개가 넘는 업체에 기술이전이 되었다.
<ETRI 개발 공인PKI 시스템 구조>
l 공인인증체계 출범 뒤
S사와 I사 같은 업체는 공인인증체계 출범과 함께 은행 CA시장을 잃어버리게 되었다. 그렇지만 그들은 여전히 인증 및 암호 채널 툴킷을 팔길 원했다. 따라서 공인인증시스템에 기존의 자신들의 인증 및 채널 암호화 솔루션을 결합하여 클라이언트와 서버 모듈을 판매하게 되었다. <공인인증체계이후 PKI 솔루션구조> 
클라이언트는 HTS 등 애플리케이션용 API형태로 HTS에 결합되거나 ActiveX 방식으로 웹브라우저에 연동되어 구축되기 시작했다. ActiveX 위주로 구성된 것은 이렇게 시장이 흘러갔기 때문이며, 업체별로 타 플랫폼 지원 버전을 출시하기도 했다. 아무튼 이런 형태로 현재까지 흘러왔고, ETRI는 기술 개발 및 기술이전 후는 시장에서는 멀어져 PKI 고도화 기술 (OCSP, SCVP, VA시스템, 무선PKI 시스템)을 개발하게 된다. 원래 ETRI는 솔루션업체에 기술이전을 하고나면 시장과는 무관한 기관이다. 2003년부터는 연구소레벨에서 PKI관련해서 더 이상 개발할 것도 없었고 해서, SSO, ID 관리 기술 개발로 자연스럽게 전환하게 되었다.
- 2010/04/23 21:55
- decisive.egloos.com/5300934
- 덧글수 : 0
공인인증서를 브라우저 keystore에 넣자는 주장이 있다.
PC 기준으로 보면 MSCSP store에 넣자고 주장한다. 그럼 firefox말고 다른 브라우저에서는 다 쓸 수 있다고 한다.
(firefox가 안되는 건 굳이 빼놓고 주장하더라)
아이폰에서는 프로파일 keyring의 넣자고 주장한다. 그럼 safari에서만 쓸 수 있다.
(아이폰 keyring은 패스워드도 안물어보고 app-id만 같으면 무조건 비밀키를 내준다는 걸 알고 하는 얘길까)
본문의 주제는 과연 저렇게 저장된 인증서가 쓸데있는 건가이므로 다른 문제점을 나열하는 건 일단 나중으로 미룬다.
현재 나와있는 쓸데란
SSL에서 Client Certificate을 이용한 인증, 그리고 몇가지 이메일 클라이언트에서의 전자서명, PDF에 전자서명 정도이다..
뒤에거는 쓰는 사람이 없을 것이다. 지금도 쓰고 싶은 사람은 걍 P12로 export/import해서 쓰면 된다. 하지만 쓸사람이 거의 없을 거다..
SSL Client Certificate이 관건인데.. 이걸 아직 써본 사람이 별로 없어서 이게 얼마나 불편한지 모른다.
https가 되는 페이지가 들어갈 때마다 서비스랑 상관없이, pop up이 빵하고 뜨면서 인증서 선택 및 비번 입력을 해야 한다. 아마 무지 짜증날거다.. (물론 아이뽕은 비번입력안한다. <=무지막지하게 취약하다..)
또한 아래 그림처럼, 주민번호랑 인증서만 선택해서 편리하게 로그인할 수 있는걸 전혀 쓸 수 없다. 아래거가 편한건 써본 사람은 안다..
SSL Cert로도 로그인이 된다고?
no way .. 사전에 등록한 인증서에 대해서는 되겠지만, 처음 방문한 사이트에서도 편하게 본인인증을 제공하는 아래 저 기능을 구현할 수는 없다.
자.. 인증서를 브라우저 key store에 넣자고 주장하는 사람은 위에 말한대로 p12로 넣어라..
근데 과연 쓸데를 발견할지 모르겠다. 괜시리 여기저기 keystore에 넣어두면 관리도 안되고 유출 위험만 가중될 거시다..
쓸데있는 걸 얘기해라.. 쓸데없는 얘기하지 말고..
쓸데없는 것의 정의는 쓸데가 없는 것이다.
- 2010/04/17 21:53
- decisive.egloos.com/5296057
- 덧글수 : 1
조선일보를 보다 끄덕거릴게 있다는건 자신이 타락했단 얘기죠. 자기 점검용으로 가끔 보는것도 괜찮을듯.
일부러 터트린 더블딥의 신호탄인 듯.. RT @LEOSUN1 이런 일 좀 안터지면 안되남 ㅡ.ㅡ;; 골드만 충격에 전세계 금융시장 '요동'
헉.. 피우는 독이 담배면 콜라는 마시는 독인건가.. 하긴 인산염.. RT @bcpar 콜라먹으면 췌장암 발병이 2배정도 높아진고 정자도 30% 감소한다는군요.
아인슈타인왈 "꿀벌이 사라지면 4년뒤 세상이 종말.." 꿀벌 감소 얘기 나온지 2년쯤 된거 같은데. 여전히 지속되는 현상인 듯 http://bit.ly/cws0r6 역시 2012 인가ㅋㅋㅋ
전세 대란도 재개발 재건축이 지어져 공급되면 어느덧 역 전세난이 될듯. 물론 몇년 걸리지만.. 인구분포상.. 실수요도 급감한다는..
쩝.. 난 8년 전부터 RAID 쓰다가 몇 번 날리고 몇년뒤 포기.. SSD 2년전부터 쓰다가.. 역시 몇번 날아가서 최근 포기.. 넘 빨리 쓰기 시작해서 개피보고 막상 쓸만해지면 안쓰는 건가..
바에는 혼자 가야 좋죠.. 여러명이 같이 가서 모두가 만족하긴 어렵던데.. 한명이 바텐과 재밌게 얘기할때 다른 사람은 소외되기도 하고..
아이슬란드 화산 분화가 얼마나 지속될 지.. 지구의 역사에는 ""100만년"" 동안 지속된 분화도 있었음.. 그로인해 전 생물 종의 99% 멸종 ..
엠트론 SSD AS의뢰하려고 찾아보니까 홈피도 없고 그렇던데요.. 판매는 되나요? 쩝.. 다시 HDD로 원위치 했는데.. 부팅 시간만 좀 더 오래걸리고 별로 아쉽지 않다는..
아이뽕 (<-넘 좋은 표현이듯) USB케이블 정품가가 2만 얼마.. 옥션에서 짝퉁 1700짜리 5개 사서 주변에 나눠주고 나도 하나썼습니다. 정품과의차이는 전혀 모르겠던요..
일부러 터트린 더블딥의 신호탄인 듯.. RT @LEOSUN1 이런 일 좀 안터지면 안되남 ㅡ.ㅡ;; 골드만 충격에 전세계 금융시장 '요동'
헉.. 피우는 독이 담배면 콜라는 마시는 독인건가.. 하긴 인산염.. RT @bcpar 콜라먹으면 췌장암 발병이 2배정도 높아진고 정자도 30% 감소한다는군요.
아인슈타인왈 "꿀벌이 사라지면 4년뒤 세상이 종말.." 꿀벌 감소 얘기 나온지 2년쯤 된거 같은데. 여전히 지속되는 현상인 듯 http://bit.ly/cws0r6 역시 2012 인가ㅋㅋㅋ
전세 대란도 재개발 재건축이 지어져 공급되면 어느덧 역 전세난이 될듯. 물론 몇년 걸리지만.. 인구분포상.. 실수요도 급감한다는..
쩝.. 난 8년 전부터 RAID 쓰다가 몇 번 날리고 몇년뒤 포기.. SSD 2년전부터 쓰다가.. 역시 몇번 날아가서 최근 포기.. 넘 빨리 쓰기 시작해서 개피보고 막상 쓸만해지면 안쓰는 건가..
바에는 혼자 가야 좋죠.. 여러명이 같이 가서 모두가 만족하긴 어렵던데.. 한명이 바텐과 재밌게 얘기할때 다른 사람은 소외되기도 하고..
아이슬란드 화산 분화가 얼마나 지속될 지.. 지구의 역사에는 ""100만년"" 동안 지속된 분화도 있었음.. 그로인해 전 생물 종의 99% 멸종 ..
엠트론 SSD AS의뢰하려고 찾아보니까 홈피도 없고 그렇던데요.. 판매는 되나요? 쩝.. 다시 HDD로 원위치 했는데.. 부팅 시간만 좀 더 오래걸리고 별로 아쉽지 않다는..
아이뽕 (<-넘 좋은 표현이듯) USB케이블 정품가가 2만 얼마.. 옥션에서 짝퉁 1700짜리 5개 사서 주변에 나눠주고 나도 하나썼습니다. 정품과의차이는 전혀 모르겠던요..
- 2010/04/17 21:50
- decisive.egloos.com/5296055
- 덧글수 : 0
곧 트위터 차단하는 기업들 마니 나올듯
아이슬란드 화산 폭발로 유럽 항공 운항 점진 폐쇄, 지진과 달리 화산은 전세계적으로 영향을 미침, 조선시대에도 인니 화산폭발로 인한 기근으로 전인구 삼분의일이 굶어죽은적도
12년전 현 직장에 입사 지원할때 면접시,, 어떤 분이 추천서에 전자서명을 받아서 이메일로 제출하지 그랬냐고 핀잔을 주던데.. 아직도 그런 문화는 없네요.
아이패드 재고 부족으로 해외 출시 지연 이유 => 버그 패치 하는 중이라 그런거 아닐까요
BT로 테터링 하다가, 아이튠 깔고 USB로 해보니.. 남들은 유선 -> 무선 으로 가는데 나는 무선 -> 유선.. 근데 아이폰도 네트웍보다 브라우저가 느리구먼..
아무리 프리미엄 전략이라도, 의도적 공급 제한이 IT산업에서의 사용할 만한 마케팅 전략인지는 의문입니다. 단순히 부품 공급난 땜에 생긴일을 꿈보다 해몽이 아닐지요..
아이슬란드 화산 폭발로 유럽 항공 운항 점진 폐쇄, 지진과 달리 화산은 전세계적으로 영향을 미침, 조선시대에도 인니 화산폭발로 인한 기근으로 전인구 삼분의일이 굶어죽은적도
12년전 현 직장에 입사 지원할때 면접시,, 어떤 분이 추천서에 전자서명을 받아서 이메일로 제출하지 그랬냐고 핀잔을 주던데.. 아직도 그런 문화는 없네요.
아이패드 재고 부족으로 해외 출시 지연 이유 => 버그 패치 하는 중이라 그런거 아닐까요
BT로 테터링 하다가, 아이튠 깔고 USB로 해보니.. 남들은 유선 -> 무선 으로 가는데 나는 무선 -> 유선.. 근데 아이폰도 네트웍보다 브라우저가 느리구먼..
아무리 프리미엄 전략이라도, 의도적 공급 제한이 IT산업에서의 사용할 만한 마케팅 전략인지는 의문입니다. 단순히 부품 공급난 땜에 생긴일을 꿈보다 해몽이 아닐지요..
최근 덧글