호민관실에서 주최한 "한국 전자금융거래 보안기술 세미나"에 참석했다.
내용을 잘 정리해 전달할 수많은 블로거나 매체가 있을 것이고, 나는 그냥 내 나름대로 하고 싶은 말만 한다.
1. 예상했던 대로, 브루스가 일반론 ( weakest link, social element의 중요성, Kerckhoffs principle ... )을 폈다..
open되어 검증된 메커니즘을 써야 한다고 했다. 그러면서 open source얘기까지 했는데
브루스가 CSO로 있는 BT조차 source open은 안할 것이다.
또한 브라우저 embedded SSL도 source open 안되어 있다. 단지 충분히 검증된 표준 SSL프로토콜을 쓴다는데.. 내가 알기론, 저쪽에서 proprietary 라고 주장하는 국내업체 솔루션도 대개 openSSL에다 국제표준 알고리즘인 SEED만 추가한거다.. 뭐가 다른가?
그리고 identity authentication의 한계에 대해 얘기했는데 이부분은 한국 실정과는 많이 다르다. (주
민번호, 금융실명제 등)
한편 공인인증서는 전자인감이고 인감의 역할을 하면 되는 거다.. 공인인증서는 사용자 인증 보다 우선하여 메시지에 서명 (message integrity & authentication, non-repudation을 위해..)하는 도장인 것이다.
2, 그리고 한국 유학생들이 (왜 1명은 영어로 발표를 했는지.. Q&A때는 한국말을 그리 잘하더니..그렇게도 "해외" 파로 보이고 싶었을까? 하긴 왜 외국에서 쓰는 방식을 안쓰고 한국 독자 방식을 쓰냐고 하는 사람들이니.. 외국에서 쓰는 영어를 쓰고 한국말을 쓰지 말아야 일관성있기도 하다) 보따리를 풀었다..
유학생들의 주장 1: 효과가 낮은 방법을 mandate하면 안된다
나의 생각 : mandate해야 하는 것은 기능이지 솔루션이 아니다. 소방설비를 예로 들면, 소화기능 (솔루션은 소화전, 스프링쿨러), 대피기능(솔루션은 비상계단, 비상구표시), 생존기능(솔루션은 제연설비, 산소마스크) 이렇게 된다. 정부는 건물주에게 소화기능, 대피기능, 생존 기능을 mandate하여야 한다.
현존하는 생존기능 솔루션 중 최고인 제연설비의 효과가 30%라고 해서 생존기능을 mandate하지말아라? 효과가 30%면 10명 중 3명의 목숨은 구하는 거다. 3명 밖에 못살리니까 아예 의무화하면 안된다?
건물주가 맘대로 하라고 하면, 건물주는 3명이 더 죽으면 어차피 돈으로 때우지 뭐 이러고 생존솔루션을 설치안할 가능성이 크다.
이렇게 해야 하나?
이부분은 브루스도 강제를 안해야 기술이 발전한다고 거들었다.. 과연 그럴까?
강제를 해야 시장이 생기고 그 시장을 보고 업체는 경쟁을 한다. 그 경쟁 과정에서 기술이 발전하는게 아닐까?
미국에서 사베인옥슬리 같은 걸 하니까 (이것도 똑같은 강제 규제다) 솔루션 시장이 생기고 그 솔루션을 위해 기술을 개발하는건데..
- 유학생들의 주장 2: 영국이 한국보다 피해액은 크지만 정부 통계는 오류가 있고 샘플이 작아서 인정할 수 없다.(이부분은 호민관도 정부통계를 인정할 수 없다고 단언 <- 호민관실은 정부기관아닌가?). 그리고 한국이 피해가 적은 것은 공격을 덜받기 때문이다.
=> 나의 생각 : 피해액 자체를 팩트로 인정할 수 없다면, 그런 현상이 나온것은 언어장벽을 포함해서 공격을 덜받기 때문이라고 설명을 뭐하러 갖다 붙였을까? 팩트가 아니라고 주장하면 그만인 것을.. 분명히 팩트는 우리나라의 피해액이 훨씬 작다는 거다.
그리고 언어 장벽등이 있어 공격을 덜받는다? 한국 해커들은 매년 세계해킹 대회 상위권을 휩쓸고 있다. 외국에만 나쁜 놈들이 있고 한국에는 없을까?
언어장벽 => 외인 해커들이 한글을 몰라 한국 인터넷 뱅킹을 공격 안한다고 한다. 그런데 3번째 세션에서 루카스는 proxy를 이용해 가짜 국민은행 사이트를 보여주는 시연을 했다. 루카스는 한글을 아는 모양이지?
공격을 덜받고 있다? 한국은 DDoS 경유지 1위, malware 배포지 1위 란다. 그럼 한국 PC들이 compromise되지 않으면 어떻게 이런일이 일어날까.. 외국 해커들은 위해 한국PC를 해킹한뒤, 돈이 되는 인터넷 뱅킹은 놔두고, DDos경유, malware경유로만 이용했단 얘긴가? 단지 한글을 몰라서? 브루스는 구글 translation 얘기도 했다..
3. 루카스는 세일즈를 했다.. 모질라 브라우저 좀 많이 써달라고.. 전체적으로 발표가 산만하여 이부분에 공감하는 사람은 많지 않았을 거 같다.
4. 내맘대로 한마디로 정리 : 전반적으로 오픈웹의, 오픈웹에 의한, 오픈웹을 위한 세미나였다.
이제 정치적 레토릭은 사라지고 기술 논쟁(공인인증서 동등 수준 보안이 무엇인지)으로 접어들려는 시점이라, 입맛에 맞는 해외 전문가를 초빙해 주장을 설파하는 건 매우 좋은 전략인거 같다. 전략가에게 박수를 보낸다.
내용을 잘 정리해 전달할 수많은 블로거나 매체가 있을 것이고, 나는 그냥 내 나름대로 하고 싶은 말만 한다.
1. 예상했던 대로, 브루스가 일반론 ( weakest link, social element의 중요성, Kerckhoffs principle ... )을 폈다..
open되어 검증된 메커니즘을 써야 한다고 했다. 그러면서 open source얘기까지 했는데
브루스가 CSO로 있는 BT조차 source open은 안할 것이다.
또한 브라우저 embedded SSL도 source open 안되어 있다. 단지 충분히 검증된 표준 SSL프로토콜을 쓴다는데.. 내가 알기론, 저쪽에서 proprietary 라고 주장하는 국내업체 솔루션도 대개 openSSL에다 국제표준 알고리즘인 SEED만 추가한거다.. 뭐가 다른가?
그리고 identity authentication의 한계에 대해 얘기했는데 이부분은 한국 실정과는 많이 다르다. (주
민번호, 금융실명제 등)
한편 공인인증서는 전자인감이고 인감의 역할을 하면 되는 거다.. 공인인증서는 사용자 인증 보다 우선하여 메시지에 서명 (message integrity & authentication, non-repudation을 위해..)하는 도장인 것이다.
2, 그리고 한국 유학생들이 (왜 1명은 영어로 발표를 했는지.. Q&A때는 한국말을 그리 잘하더니..그렇게도 "해외" 파로 보이고 싶었을까? 하긴 왜 외국에서 쓰는 방식을 안쓰고 한국 독자 방식을 쓰냐고 하는 사람들이니.. 외국에서 쓰는 영어를 쓰고 한국말을 쓰지 말아야 일관성있기도 하다) 보따리를 풀었다..
유학생들의 주장 1: 효과가 낮은 방법을 mandate하면 안된다
나의 생각 : mandate해야 하는 것은 기능이지 솔루션이 아니다. 소방설비를 예로 들면, 소화기능 (솔루션은 소화전, 스프링쿨러), 대피기능(솔루션은 비상계단, 비상구표시), 생존기능(솔루션은 제연설비, 산소마스크) 이렇게 된다. 정부는 건물주에게 소화기능, 대피기능, 생존 기능을 mandate하여야 한다.
현존하는 생존기능 솔루션 중 최고인 제연설비의 효과가 30%라고 해서 생존기능을 mandate하지말아라? 효과가 30%면 10명 중 3명의 목숨은 구하는 거다. 3명 밖에 못살리니까 아예 의무화하면 안된다?
건물주가 맘대로 하라고 하면, 건물주는 3명이 더 죽으면 어차피 돈으로 때우지 뭐 이러고 생존솔루션을 설치안할 가능성이 크다.
이렇게 해야 하나?
이부분은 브루스도 강제를 안해야 기술이 발전한다고 거들었다.. 과연 그럴까?
강제를 해야 시장이 생기고 그 시장을 보고 업체는 경쟁을 한다. 그 경쟁 과정에서 기술이 발전하는게 아닐까?
미국에서 사베인옥슬리 같은 걸 하니까 (이것도 똑같은 강제 규제다) 솔루션 시장이 생기고 그 솔루션을 위해 기술을 개발하는건데..
- 유학생들의 주장 2: 영국이 한국보다 피해액은 크지만 정부 통계는 오류가 있고 샘플이 작아서 인정할 수 없다.(이부분은 호민관도 정부통계를 인정할 수 없다고 단언 <- 호민관실은 정부기관아닌가?). 그리고 한국이 피해가 적은 것은 공격을 덜받기 때문이다.
=> 나의 생각 : 피해액 자체를 팩트로 인정할 수 없다면, 그런 현상이 나온것은 언어장벽을 포함해서 공격을 덜받기 때문이라고 설명을 뭐하러 갖다 붙였을까? 팩트가 아니라고 주장하면 그만인 것을.. 분명히 팩트는 우리나라의 피해액이 훨씬 작다는 거다.
그리고 언어 장벽등이 있어 공격을 덜받는다? 한국 해커들은 매년 세계해킹 대회 상위권을 휩쓸고 있다. 외국에만 나쁜 놈들이 있고 한국에는 없을까?
언어장벽 => 외인 해커들이 한글을 몰라 한국 인터넷 뱅킹을 공격 안한다고 한다. 그런데 3번째 세션에서 루카스는 proxy를 이용해 가짜 국민은행 사이트를 보여주는 시연을 했다. 루카스는 한글을 아는 모양이지?
공격을 덜받고 있다? 한국은 DDoS 경유지 1위, malware 배포지 1위 란다. 그럼 한국 PC들이 compromise되지 않으면 어떻게 이런일이 일어날까.. 외국 해커들은 위해 한국PC를 해킹한뒤, 돈이 되는 인터넷 뱅킹은 놔두고, DDos경유, malware경유로만 이용했단 얘긴가? 단지 한글을 몰라서? 브루스는 구글 translation 얘기도 했다..
3. 루카스는 세일즈를 했다.. 모질라 브라우저 좀 많이 써달라고.. 전체적으로 발표가 산만하여 이부분에 공감하는 사람은 많지 않았을 거 같다.
4. 내맘대로 한마디로 정리 : 전반적으로 오픈웹의, 오픈웹에 의한, 오픈웹을 위한 세미나였다.
이제 정치적 레토릭은 사라지고 기술 논쟁(공인인증서 동등 수준 보안이 무엇인지)으로 접어들려는 시점이라, 입맛에 맞는 해외 전문가를 초빙해 주장을 설파하는 건 매우 좋은 전략인거 같다. 전략가에게 박수를 보낸다.
덧글
cp 2011/04/03 21:22 # 삭제 답글
"공인인증이 인감과 같다구요?" http://blog.daum.net/blueori/5
지나가다 2011/06/20 14:46 # 삭제 답글
모질라 브라우저 써달라는게 세일즈면 우분투 써달라는것도 세일즈가 되겠네요?...