:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
23/01/10 00:51
예전에 (지금도) 아주 유명한 키보드 보안앱 실행한 상태에서 키로거 깔아서 직접 테스트 해봤는데 키로깅을 전혀 막지못하고 잘만되던 기억이 납니다. 완전한 방패라는건 없는 거 겠지만, 그 후로 키보드보안에 대한 신뢰가 팍 떨어지더군요. 가짜 보안 애플리케이션이 시장이 형성되어 있다는 게 그런 얘기겠죠. 아직도 여전한가 봅니다.
23/01/10 01:29
인터넷 초창기부터 이건 공공연한 비밀이었던거 아닌가요. 보안프로그램 깔지만 사실상 해당사이트에서 책임을 전가할려는 방법일뿐이며, 효용성은 떨어진다고. 키로깅 문제되서 키로깅 막는다고 마우스클릭 랜덤숫자 뭐 별쇼를 다 하지만, 크게 효용성 없는 방법이라고.
23/01/10 02:40
애초에 보안업체는 대기업에서 보안문제 터지면 그거 뒤집어쓰는 역할입니다. 보안업체는 그걸 곧이 곧대로 뒤집어쓰지 않고 어케든 제로데이 취약점이라 포장해서 잘 넘기는게 실력이구요 ex) 이런 취약점은 대응이 공학적으로 왜 불가능한지에 대한 박사급 지식이 필요한 보고서 제출.
23/01/10 07:03
애초에 보안을 하려고 만든 프로그램이 아니라 면피를 하려고 만든 프로그램들이라서요. 아이폰으로 은행 업무 보게 되면서 저런거 안봐서 되서 너무 좋습니다
23/01/10 07:41
그냥 뚫린 문제를 넘어 모든 권한을 가진 보안 프로그램이 뚫린거라 아예 없는것 보다 더 심하게 문제가 된다고 하는 분도 있더군요.
23/01/10 09:29
댓글 중에 이 분 말이 제일 사실에 근접한 것 같네요.
정확히는 모든 권한을 갖진 않지만, 렌더링을 위해 제공하는 권한보다 조금 더 높은 권한을 갖습니다. 그래도 충분히 시스템을 장악할 수 있을 만한 권한입니다. 보안 프로그램으로 인하여 오히려 더욱 쉽게 해킹될 가능성을 높여준 건 사실입니다.
23/01/10 08:31
[편리하고 강력한 보안방식]
우린 이걸 표준이라고 부르기로 했어요... 전세계 전문가들이 협심해서 발전시키는 기술이 있는데 뭐 잘났다고 버티는지 모르겠네요. 정 기기해킹이 걱정되면 2 factor auth만 해도 훨씬 안전한걸 고객 책임 증명용으로 쓰이는 사례가 훨씬 많을듯
23/01/10 09:02
저도 정확하게 아는건 아닌데
1.은행은 보안대책을 강구해야함. 2.안하다가 털려? 그럼 은행 니네 책임이야. 3.근데 보안대책을 해놨는데 털려? 그럼 뭐 어쩔 수 없지. 괜찮아. 너 무죄. 이런식이라 저런 보안업체들이 하는 일이 진짜 보안을 위해 툴을 만들기보다 면책용, 보여주기식 보안 이라는걸 들었습니다. 결국 사고나도 은행도, 보안업체도 책임안짐. 피해는 소비자만. 여기도 카르텔 엄청 빡센거 같던데 누가 의원님들 계좌 좀 털어주시면 좀 바뀔지도? 크크크
23/01/10 09:39
은행은 싼값에 보험비용 수준으로 사고가 났을때 면피가 가능하고
개발업체는 꾸준하게 허들을 세워둔 이상 새 업체가 못들어온다면 영업이 수월하고 매출도 꾸준하고 관련 법령 규제와 실제 감사를 하는 기관들은 개발업체 카르텔로부터 적절하게 갑질이 가능해지고... 개발업체쪽에 금융위나 관련 기관 퇴직인력이 영업담당, 고문등으로 자리잡고 있는지도 찾아보면 충분히 나올법 한데 말입니다.
23/01/10 10:28
제가 이래서 온라인뱅킹 절대 안합니다. 그리고 비단 은행만 이런게 아니라 민감정보 다루는 공공기관 수준이 다 이래요. 진짜 한숨나올지경.
23/01/10 10:50
안그래도 지난번 글( https://pgrer.net/freedom/97640 )을 올린 다음에 한페이지가 넘어가서 새로 글를 쓸까 하고 있었는데 먼저 정리해 주셨네요. 감사합니다.
취약점들이 공개되고 대대적으로 보안사고가 일어나더라도 우리나라의 보안시장 방향이 크게 바뀌지는 않을것 같아요. 딱 사고가 난 그 부분만 ad hoc으로 대응하고 끝나지 않을까요.
23/01/10 14:45
에고 제가 이쪽분야는 잘 몰라서 제가 멋도 모르고 글을 쓴 게 아닌가 싶네요
다음번은 선생님이 올려주실거라 믿습니다(떠넘기는건 아니에요!)
23/01/10 12:49
이거는 뭐 예전 한 10년 전에도 나오던 얘기라 항상 결론은 보안 관련 법 개정이 필요하다는 거였죠.
크롬에서 실행되는 앱하고 .exe 파일 다운로드 받을때 웃음이었는데.
23/01/11 12:35
인터넷뱅킹은 굳이 설명이 필요 없을 것 같고, 공공기관, 정부기관, 공기업 상대로 거래하는 자영업자들은 정말 지옥이죠.
일부 정부기관은 결제 받으려면 자체 결제시스템을 통해서만 가능한 곳이 있는데 로그인 할 때 한 번, 뭔가 입력할 때 키보드 보안 관련 한 번, 수수료 낼 때 한 번씩 뭔가 깔아야 됩니다. 자체 결제 시스템이 아닌 경우 보통 나라빌이라는 걸 사용하는데 이것도 뭔가 깔아야 되죠. 그리고 종종 업데이트(...)를 합니다. 최악은 조달청 시스템인 나라장터인데 이건 정말이지 구식 시스템의 끝판왕입니다. 접속해 보시면 아시겠지만 아, 이거 쉽지 않겠구나 라는 느낌이 들 정도로 예전 인터페이스인데다가 일반 금융인증서(나 예전 공인인증서)는 사용 불가하고, 범용 인증서라는 걸 사용해야 되는데 1년에 10만원(!)이고 3년에 21만원 정도 합니다. 가입하면 커피 쿠폰 줍니다(...) 문제는 접속할 때마다 뭔가 깔아야 됩니다. 어제 깔았는데 오늘 다시 들어갈 때도 예전꺼 지우고 다시 깔아야 되요;
23/01/11 22:14
부모님께서 자영업하시는데 고향 내려갈 떄 마다 제가 컴퓨터 관리를 합니다
조달청 나라장터는 진짜 답이 없습니다... 이거 때문에 5600g 사무용컴 제가 맞춘거 2대 중 한 대가 말씀하신 재설치 증상 걸려서 윈도우 재설치했고 한 대 또한 접속 직후 원인 불명의 윈도우 망가지는 증상으로 재설치 했습니다. 근데 조달청이 독보적 개판이라 그렇지 다른 공공기관 역시 진짜 개판이더군요 차라리 개인, 기업뱅킹은 양호한 수준
23/01/17 12:13
TouchEn nxKey의 공개된 취약점에 대한 상세내용이 한국어로 번역되어 추가합니다.
https://github.com/alanleedev/KoreaSecurityApps/blob/main/01_touchen_nxkey.md
|