ActiveX 없이 인터넷 뱅킹 하는 새로운 방법 - 스마트채널 인증/지불/서명/피싱

PC나 노트북에서 3종 세트의 브라우저 플러그인을 깔고,
공인인증서를 설치해서 인터넷 뱅킹을 하는데 불편하셨죠..
크롬, 사파리 등 다른 웹 브라우저를 써서 인터넷 뱅킹을 하거나
Mac에서도 인터넷 뱅킹을 제대로 하고 싶으셨을 겁니다.
또 아이패드나 갤럭시 탭 같은데서는 인터넷 뱅킹을 제대로 할 수 없어 또한 불편하셨을 겁니다.
PC 방 등 내 PC가 아닌 곳에 인증서를 옮기고 비밀번호 등을 입력하는게 불안하지 않으셨나요?

PC, 노트북, 아이패드, PC방, 스마트TV 어디에서건 
크롬, 사파리 가리지 않고 아무 웹 브라우저만 있으면
플러그인없이 편리하게 인터넷 뱅킹 (쇼핑)을 하는 기술
을 개발했습니다.



<스마트채널 개념도>


로그인, 전자서명, 카드결제 같이 보안이 중요한 기능과 
인증서, 신용카드, 비밀 번호 등 중요 정보가 있어야 하는 기능은
모두 스마트폰으로 보내서 하는 개념입니다.

카드, 신분증, 도장 이런 건 원래 지갑에 넣어갖고 다니는 것 들이 잖아요
스마트폰이 지갑이니..  인증, 지불, 서명 같은 건 지갑으로 보내서 지갑에서 하자는 말이죠..



<인터넷 뱅킹 로그인>
(데모를 위한 mock-up 사이트입니다)

이렇게 브라우저에서 [로그인] 버튼을 누르면
이렇게 QR코드가 나오고



<QR코드>


스마트폰에서 스마트채널 앱을 구동하여


<QR코드 찍기>


QR코드를 찍은 다음




<스마트채널 로그인>


이렇게 스마트폰에서 비밀번호를 입력하면 로그인이 됩니다.
스마트폰과 웹서버 간의 상호인증을 하여 피싱, 파밍도 방지할 수 있습니다. 



<인터넷 뱅킹 전자서명>


이체를 위해 전자서명이 필요한 경우에도, 브라우저에서 [전자서명]을 눌러주면
마찬가지로 QR코드가 나오고
이를 스마트채널 앱으로 찍으면



<스마트채널 전자서명>


서명할 내용을 확인한 후



<인증서 선택>


인증서를 선택하고 비밀 번호를 입력하여 전자서명을 할 수 있습니다.



<스마트TV 이용시>


이렇게 TV에서도 이용할 수 있고요
스마트폰에 앱과, 공인인증서를 한번만 설치해 두면  

공인인증서를 PC에서 스마트폰으로 이동하는 편리하고 안전한 방법은 여기에

PC, 노트북, 아이패드, PC방, 스마트TV, Mac ... 어디에서건 플러그인 없이
 웹 브라우저 (크롬, 사파리 등 브라우저 종류도 상관없습니다) 만으로 
인터넷 뱅킹 (쇼핑)을 할 수 있겠죠?


사실 요게 이미 이렇게
[보도] ETRI '스마트채널' 기술 개발
보도가 되었던 내용이고

이렇게
최대선, "N-Device환경의 인증, 지불, 전자서명을 위한 스마트채널 기술", KCC 2012 (paper.pdf )
논문도 발표했던 내용입니다.



여기서 발표도 했고요..

자세한 배경이나 기술 구성은 차차 소개하기로..
지불도 같은 방식으로 가능합니다만 다음 기회에 소개하기로..


지갑에 들어있는 카드, 현금, 신분증 등을 스마트폰으로 옮기는 체험기 도 연재하고 있는데 많이 봐주세요




핑백

덧글

  • 리눅스사용자 2012/10/03 05:02 # 삭제 답글

    최대선님, 그건 대안이라 보기 어렵죠. 기존 방법은 스마트폰 없이도 가능한 방법인데, 최대선님의 방법은 플러그인을 스마트폰으로 대체하여 스마트폰 없으면 뱅킹을 할 수 없네요. 스마트폰과 웹서버간의 보안 채널은 어떻게 하실건지요. SSL을 사용하지 않는다면 서버측에 별도의 프로그램이 필요하겠군요.

    제게 더 좋은 대안이 있습니다.

    1. 전자 서명 프로그램
    여러 프로그램들 중에 사용자가 원하는 프로그램을 설치하여 사용하듯이, 자신이 원하는 전자서명 프로그램을 시중에서 선택할 수 있게 제도를 바꾸고 관련 명세와 프로토콜을 100% 완전 공개하면 간단하게 해결됩니다.
    그러면 회사, 단체, 개인들이 전자서명 프로그램을 만들어서 출시를 할 것이고 개인은 여러 전자 서명 프로그램들 중에 자신이 원하는 것을 설치하여 사용하면 됩니다.

    2. 보안 접속 프로그램은 웹 브라우저에 내장된 기술인 HTTPS로 교체하고,(플러그인 불필요)

    3. 개인 방화벽은 MS윈도에 내장되어 있으므로 그걸 사용하면 됩니다.(플러그인 불필요)
    그리고 개인 방화벽을 강제하는 이유가 암호, 공인인증서 파일 유출을 막기 위해서인데,
    80번 포트(http 포트)로 유출되는 것은 막을 방법이 없습니다. 따라서 개인 방화벽은 인터넷 뱅킹에 보안과는 관련이 없으므로 강제해서는 안 되겠습니다. 필요한 사람은 개인적으로 자신이 원하는 것을 시중에서 선택하여 설치하면 됨.

    4. 키보드 보안 프로그램은 화상 랜던 키보드로 교체(플러그인 불필요)

    5. 백신 프로그램은 개인적으로 자신이 원하는 것을 시중에서 선택하여 설치하면 됨.(플러그인 불필요)

    어느 사이트를 들어가던지 전자 서명 프로그램 1종만 있으면 됨. 우리가 크롬, 파이어폭스, 오페라 브라우저를 선택하여 설치하듯이 시중에서 출시된 여러 전자 서명 프로그램들 중에 소비자가 선택할 수 있어야 합니다. 이런 방식은 옛날부터 해오던 상식적인 방법입니다.

    이렇게 간단한데 그걸 일부러 안 하고 있는 거죠. 왜 그럴까요?
  • 최대선 2012/10/03 12:06 #

    좋은 지적 감사합니다.

    스마트폰과 웹서버간 보안채널은 "당연히" 포함되어 있습니다.

    사실 PC 한군데에서의 문제라면.. 말씀하신 방식도 있고

    스마트채널의 전작인 스마트사인 http://decisive.egloos.com/5691570 같은 방식도 있습니다.

    스마트채널이 해결하려는 문제는 개인이 사용하는 디바이스가 여러 개일때.

    플러그인 문제 뿐 아니라, 크리덴셜 중복/분산 저장 문제까지 고려한 것입니다.

    물론 이 문제를 해결하는 방법은 스마트채널 이외에도 여러가지가 있을 수 있습니다.

    저도 그런 여러가지 방식들을 고민하는 과정을 거쳤고, 추후 포스팅을 통해 살펴보도록 할 예정입니다
  • 리눅스사용자 2012/10/03 05:05 # 삭제 답글

    또한 최대선님 방식은 기존 방식에 스마트폰, 무선 공유기가 추가되는 방식입니다. 굉장히 비싼 방식입니다.
  • 최대선 2012/10/03 12:00 #

    무선공유기는 필요없는데요..

    2012년 1분기 현재 스마트폰 가입자 수가 2571만명 이라고 합니다.

    인터넷 뱅킹 이용자 중에서 스마트폰을 사용하지 않는 사람이 얼마나 될지 궁금합니다.

    또한 이 방식이 사용된다고 해서 기존 방식이 없어지지 않으므로, 스마트폰 미 보유자가 인터넷 뱅킹을 못하게 되는 것도 아닐 것이고요.
  • 리눅스사용자 2012/10/03 16:02 # 삭제

    최대선님은 "플러그인 문제 뿐 아니라, 크리덴셜 중복/분산 저장 문제까지 고려한 것입니다." 이렇게 말씀하셨는데 PC에서 사용하는 기존 방식을 금지하지 않고서 스마트채널이 "크리덴셜 중복/분산 저장 문제"를 어떻게 해결할 수 있다는 건가요? 그건 한곳에만 저장하도록 강제해만 달성할 수 있는 일이지, 컴퓨터 기술로는 수천년이 지나도 결코 달성할 수 없습니다.
    동일 기능을 하는 플러그인들의 중복 설치를 방지해야 합니다.
    은행에서 내려주는 동일 기능의 플러그인을 종류별로 설치해야 하는 것에 익숙해서 이해를 못하시는 것 같은데,
    무슨 말이냐면, 예를 들자면,
    각 사이트 들어가서 pdf 문서를 볼 때 사이트 별로 내려주는 pdf 플러그인만을 사용해만 pdf 문서를 볼 수 있도록 설계를 해 놓으면 사용자 컴퓨터에는 사이트 별로 여러 종의 pdf 플러그인이 중복 설치 됩니다. 이게 얼마나 황당한 일입니까?
    이러한 일이 국내 보안에서 일어나고 있습니다.
    그러니가 우리은행에서 발급받은 OTP를 타 은행에서도 사용할 수 있듯이,
    사용 OS가 같다면 우리은행에서 다운받아 설치한 전자서명 프로그램을 타 은행에서도 사용할 수 있어야죠.
    그건 당연한 겁니다. 굳이 은행에서 다운받게끔 설계하고, 웹 플러그인만으로 만들어야할 이유도 없죠.

    뱅킹을 하기 위해 웹 브라우저를 제작사에서 다운받는 것처럼,
    전자서명을 하기 위해 전자서명 프로그램을 제작사(또는 신뢰할 수 있는 저장소)에서 다운받는 것이 당연한 겁니다.
    은행에 접속하여 전자서명할 때, 전자서명 루틴을 호출할 것이고 호출에 실패하면 전자서명 프로그램을 설치하라고 안내 메시지를 띄우면 됩니다. 이러한 방식이 일반적인 설계 방식입니다.

    pdf 파일로 예를 들자면,
    현재의 뱅킹은 은행 사이트에서 pdf 문서 볼 때, adobe pdf 리더 못쓰게 만들고 은행에서 제공하는 pdf 뷰어로 강제하는 것이라 비유할 수 있습니다. 타은행 가면 또 타은행 pdf 뷰어를 설치해야 되고요.

    이건 완전히 비정상적이고 비상식적인 방법입니다.

    우리나라 보안은 보안 개념이 아예 없이 모래성 위에 쌓아 놓은 것입니다.
    우리나라에는 보안 전문가가 아예 없습니다.

    그리고 스마트폰 사용자 중에는 표준요금제를 사용하는 사람도 있습니다.
  • 리눅스사용자 2012/10/03 18:08 # 삭제 답글

    스마트폰 사용자 중에는 표준요금제를 사용하는 사람도 있기 때문에
    이런 사람들은 이동통신사에 다달이 3만원 이상 되는 요금을 내거나
    1만원 정도 하는 무선 상품 요금을 다달이 내거나
    다달이 내기 싫으면 무선 공유기를 구입하여 집(또는 회사)에 설치해야 됩니다.
    그래서 굉장히 비싼 방식이라고 말한 겁니다.

    그리고, 현재 PC는 어쩔 수 없이 은행,증권,기관 별로 각각의 액티브X, 각종 보안 플러그인으로 떡칠이 되었는데,
    그게 스마트폰으로 옮겨가는 것이라 보면 되겠습니다.
    스마트폰이 보안 앱으로 떡칠이 되는 방식입니다.

    거듭 얘기했듯이, 다음이 전제되어야 합니다. 제도를 뜯어 고쳐 은행,증권,기관들이 보안 프로그램을 선택하여 사용자에게 강요하는 것을 하지 못하게 해야 합니다. 우리가 웹에서 pdf 문서를 볼 때 특정 pdf 뷰어를 강요받지 않는 것처럼 특정 보안 프로그램을 강요받지 않게끔 제도를 고쳐야 합니다.
    나머지는 그 다음에 논의해야 할 문제입니다. 기본 골격이 잘못되어 있는데 땜빵을 해봤자 똑같은 문제가 그대로 발생할 수밖에 없습니다. PC에서 발생하는 문제(각종 플러그인 떡칠, 충돌 등)가 스마트폰에서 그대로 재현됩니다.

    일단, 스마트폰 설정 메뉴에서 "신뢰할 수 없는 소스로부터 설치"에 강제적으로 체크(이건 보안을 약화시키는 행위인데, 그렇게 안 하면 뱅킹 불가)
    은행은 애드립표 스마트채널을 강제하고, 증권사는 프로텍트표 스마트채널을 강제하고, 기관은 소프트회의표 스마트채널을 강제하고, 카드사는 아놔텍표 스마트채널을 강제하고... 어느 회사는 v3 강제, 어느 기관은 하누리 강제,.... 스크린 키보드 등등 수십 개 앱이 스마트폰에 떡칠되는 것은 안 봐도 뻔합니다.

    이게 보안인가요?
    기본 골격이 잘못되어 있는데 그걸 보완하고자 땜방하면 또 다른 문제가 발생.
    이건 보안에 대한 기본 개념이 아예 없다는 걸 의미하는 거죠.
    다들 아시면서 외면하면 안 되죠!!!
  • 권혁진 2013/08/19 08:04 # 삭제 답글

    발전적인 토론을 보게되어 너무 좋습니다. 방통위에서도 국민의 소리를 듣고 천천히 바꿔 가는듯 하니 지켜 보도록 합시다.

    논점에서 벗어난 글이긴 하지만.... 정통부를 다시 만들어야 한다는 생각이 부쩍 드네요.
  • 최대선 2013/08/19 11:44 #

    반갑습니다.

    저희 역할은 문제에 대한 기술적인 대안을 만들어 내는 일이니, 이것 저것 최선을 다해 만들어 보는 것이죠..

댓글 입력 영역