은행 원타임패스워드(OTP) 사용해 보니

Security Skill&Trend 2009/08/12 08:55


안전한 인터넷 뱅킹을 하려면 OTP를 사용하자.


인터넷 뱅킹이 일반화 되어 있는 가운데 금융거래시에 사용되는 2가지 중요한 것이 있었으니 그것은 바로 '공인인증서' 와 '보안카드' 이다.

이 두가지가 없으면 인터넷에서 금융거래를 하지 못한다. 또한 한가지만 있어도 할 수가 없다. 여기서 말하는 '보안카드' 라는 것은 은행에서 계좌를 개설할때 인터넷뱅킹을 신청을 하게 되면 일정한 네자리수가 있는 번호가 적힌 카드를 받게 된다.

인터넷뱅킹시에 그중에서 앞이나 뒤에 2자리씩 이 카드에 있는 번호를 요구 하게 되는데 인터넷 뱅킹시에는 반드시 필요한 카드이기도 하다. 그래서 우리는 이를 '보안카드' 라 지칭을 한다.

이러한 보안카드는 분실이 되거나 일부 사용자가 관리상 번거로움으로 인하여 스캔을하여 이미지 파일로 하드디스크에 저장 하는 일들이 있는데 이것이 곧 보안사고로  빈번하게 발생을 한다.

그것도 그렇것이 인터넷뱅킹시마다 일일이 열어보고 확인하고 해 주어야 한다. 이런것 마져도 번거롭다고 여기는 사용자들이 있다. 그런데 이것이 잘못 관리를 하였을 경우 보안에 취약하고 또한 자주 사용하는 숫자의 경우 '키로거' 프로그램을 이용하여 해당 보안카드 숫자를 추출해 낼 수 있어 늘 보완이 필요했다.

그래서 필자는 오늘 기존에 쓰던 보안카드 보다 더 안전한 OTP (OneTime Password)라는 것을 신청하였다. OTP는 일회성 패스워드 임으로 한번만 사용할 수 있는 것이 장점이다.

혹시 모를 키로거 프로그램등으로 인하여 숫자가 노출이 되었다 하더라도 더 이상 사용 할 수 없는 것이다. 즉, 한번쓰고 버리는 것이다. 

거래은행인 우리은행에 OTP를 살펴 보자.



 

우리 은행에서 발급하는 <카드형 OTP>를 신청을 하였다.  신용카드 두께와 동일 하였으며 지갑에 넣어 다녀도 손색이 없다. 아래 사진의 오른쪽에 카드 그림에 전원 버튼을 힘껏 누르고 있으면 위 카드 창에 6개의 숫자가 나타난다. 이것을 인터넷 뱅킹시에 <보안카드> 대신에 숫자를 넣으면 되는 것이다. 

오늘 그 첫 거래를 해 보았는데 제법 안전할꺼 같다는 느낌이 들었다.  혹시 주거래 은행에서 발급하고 있는 OTP 가 있으면 지금 당장 발급하여 사용하길 권장한다. 그것이 안전한 인터넷 뱅킹을 위한 보안습관이 되겠다.




그럼 비용은 얼마이고 어떻게 OTP를 발급받지?



우선 주 거래은행에 가는데 필자는 국민은행과 우리은행을 거래하고 있어 두 곳에 사정만 알고 있어 이야기 해 보고자한다.

    • 국민은행 - 우수회원을 대상으로 하여 메일을 보냈다고 하고 있으며 메일을 받은 고객은 무료로 지급하고 있다.  하지만 그렇지 않은 고객은 5000원의 발급 수수료를 지불해야 함. 모양은 이런 카드형이 아니라 두께가 있는 모양을 지급해 준다.
    • 우리은행 - 우리은행은 마찬가지로  3000원짜리 OTP가 있었는데  필자의 경우 카드 포인트가 있어 3000원짜리 보다는 카드형 OTP를 포인트로 계산하여 발급을 받았다. 그냥 발급 받으면 카드형은 10,000원이다. 
    • 거래은행 한곳에서 발급을 받아 타 은행에 등록을 하고 같이 사용할 수 있다,. 그것은 공인인증서와 사용방법이 같다고 보면 되겠다.


우리은행 홈페이지 메인에 올라온 공지사항



기존에 '보안카드'로 얼마든지 인터넷 뱅킹을 사용하는데 무리가 없었지만 보안을 연구 하는 사람으로서 일반 시중에 OTP가 어떻게 이루어지고 있으며 또한 이러한 OTP에는 또 다른 보안 위험성이나 취약성은 없는지 알아 보기 위하여 실제 체험해 보고 경험해 보아야 알 수 있는 것이다. 모든 것이 완벽한 것은 없다. 

하지만 지금까지 나온 대안중에서 가장 안전하다 할수 있으니 인터넷 뱅킹을 사용하는 이용자들은 시중 은행에 방문이나 전화로 잘 알아 보고 안전한 인터넷 뱅킹을 위한 OTP 사용을 많이 이용을 했으면 하는 바램이다.  @엔시스.



'Security Skill&Trend' 카테고리의 다른 글

보안 전문가 준비, 과연 애로사항은?  (6) 2009/08/21
Open SSH 취약점 경고, 익스플로잇도 조심 할 것  (4) 2009/08/16
은행 원타임패스워드(OTP) 사용해 보니  (19) 2009/08/12
보안카드, 인증서 PC에 저장하면 해킹당한다.  (3) 2009/08/11
우리은행 타이핑 오타 쳤더니  (2) 2009/08/11
다시 DDoS 공격 당하고 있는 트위터  (2) 2009/08/07
Posted by 엔시스
TAG IT, OTP, 금융사기, 안전한인터넷뱅킹, 원타임패스워드, 인터넷뱅킹
트랙백 0, 댓글 19개가 달렸습니다

보안카드, 인증서 PC에 저장하면 해킹당한다.

Security Skill&Trend 2009/08/11 15:43

인터넷뱅킹 사고를 보면 대부분 보안의식이 없거나 또는 귀찮이즘으로 인하여 보안카드나 인증서를 스캔하여 하드디스크에 저장을 해두는 경우에 많이 발생을 한다.

관련기사: http://news.chosun.com/site/data/html_dir/2009/08/11/2009081100047.html?Dep0=chosunmain&Dep1=news&Dep2=headline2&Dep3=h2_01


관련기사 제일 마지막 부분에 보면 이번에 침해사고를 당한 인터넷 뱅킹 사용자들도 대부분 보안카드나 공인인증서를 하드디스크에 저장을 하고 있었다.

그럼 우리는 어떻게 하면 안전한 인터넷 뱅킹을 할 수 있을까?

안전한 인터넷뱅킹 노하우 베스트 5

  • 공인인증서는 반드시 이동디스크에 저장을 한다.
  • 인터넷 뱅킹 사용을 위한 보안카드는 하드디스크에 스캔하여 저장하지 않는다.
  • 안전한 인터넷 뱅킹을 위하여 OTP (One Time Password)를 사용한다.
  • 가끔 공인인증서 재발급 하면서 패스워드를 교체한다.
  • 은행거래시 1일 1회 최대 한도를 최소화 한다.


인터넷뱅킹이 은행 창구를 이용하는 업무보다 더 많고 이제는 실 생활에서 생활화가 되어진 만큼 금융, 즉 돈 거래와 관련된 내용인 만큼 각별한 사용자 보안의식을 가져야 하고 늘 조심하고 또 조심해야 할 것이다.




'Security Skill&Trend' 카테고리의 다른 글

Open SSH 취약점 경고, 익스플로잇도 조심 할 것  (4) 2009/08/16
은행 원타임패스워드(OTP) 사용해 보니  (19) 2009/08/12
보안카드, 인증서 PC에 저장하면 해킹당한다.  (3) 2009/08/11
우리은행 타이핑 오타 쳤더니  (2) 2009/08/11
다시 DDoS 공격 당하고 있는 트위터  (2) 2009/08/07
구글, 트위터, 페이스북도 DDoS 공격엔 속수무책  (3) 2009/08/07
Posted by 엔시스
TAG IT, 공인인증서, 금융침해사고, 인터넷뱅킹, 해킹
트랙백 2, 댓글 3개가 달렸습니다

[칼럼-85] 인터넷뱅킹, 진정 IE만 사용할수 밖에 없는가?

Lecture&Comlumn 2009/03/30 18:37

최근 오픈웹을 이끌고 있고 웹표준 운동을 하고 있는 김기창교수님이 민사소송 판결에서 패소를 하였다. 그래서 잠시 우리나라 웹표준과 타 브라우져는 진정 사용할 수 없는지 살펴 보기로 하자.


관련기사:  오픈웹, 금결원과의 민사소송 2심서 패소


서버와 클라이언트 문제

우리가 인터넷을 사용하려면 클라이언트에서 서버에게 데이터를 요청하면 서버는 데이터를 클라이언트에게 넘겨 줍니다. 그런데 이 수단으로 우린 브라우져라는 것을 사용하게 되죠...처음에는 네스케이프가 인기 있는 시절도 있었습니다..저도 처음에는 네스케이프를 깔아서 인터넷을 시작했었습니다..

무엇보다 유닉스 머신에서 주로 인터넷을 했던 기억이 납니다..하지만 어느순간 MS의 윈도우가 PC급 데스크탑 운영체제로 급부상을 하면서 운영체제에 IE를 탑재하여 판매하기 시작하였습니다.


무의식 속에 의식

그렇게 우리는 운영체제 윈도우에 길들여져 갔고 데스크 탑 운영 체제는 국내에서는 MS윈도우가 독보적인 자리에 서게 되었습니다. 그렇다 보니 모든 것들이 윈도우 운영체제 위주로 개발되고 초점이 맞추어지는 것은 사실입니다..하지만 이러한 것 중에 외국에서는 꼭 MS가 아니더라도 다른 브라우져를 통하여 사용되는 경우가 많았습니다..그것은 파이어폭스, 사파리, 구글,,등등..


한 브라우져에만 호환이 된다(?)

한 곳에 너무 치중하다보니 웹 표준을 지키지 않아 타 브라우져를 사용할 경우 국내 웹 서비스를 이용하는데 어려움이 있는 것입니다. 그것은 인터넷뱅킹 같은 경우 엑티브엑스 설치서부터 다른 브라우져를 사용하다보면 인터넷 뱅킹을 하려면 결국 PC를 다른 것을 사용하던지..아니면  PC에서 IE브라우져를 띄우고 사용을 해야만 합니다. 결국 웹표준이 안되어 있다는 것이죠..


우리나라는 결국 MS왕국인가?

국가에서 민사 소송으로 하여 패소 함으로 인하여 나라에서조차 인정해 버린 우리나라는 MS왕국인가 하는 느낌마져 듭니다,. 안그래도 국내 98-99%가 MS에 의존 하는 드문 나라라는 것은 아시는 분들은 이미 모두 알고 있는 사항입니다.  참 안타까운 일이 아닐수 없습니다..

오픈웹을 이끌고 있는 김교수님은 지금까지 참 외로운 싸움을 하고 있었습니다. 비록 도움되는 것 하나 해 드린 것은 없지만 가끔 힘내시라고 글남긴 정도였습니다..그러나 패소에 따른 거대 권력과 일반 개인과 단체가 거대한 단체를 대상으로 하여 대항하는 것은 결국 안되는일인 모양입니다.. 참 안타까운 현실입니다...@엔시스




'Lecture&Comlumn' 카테고리의 다른 글

[강연-5] 개인정보보호이해 - 결혼중개협회 (2)  (0) 2009/04/26
[강연-4] 개인정보보 특강 - 결혼중개업협회 (1)  (0) 2009/04/26
[칼럼-85] 인터넷뱅킹, 진정 IE만 사용할수 밖에 없는가?  (7) 2009/03/30
[칼럼-84] 여러분 조직은 보안교육에 얼마나 신경쓰시나요?  (2) 2009/03/19
[인터뷰-3] 여자대학교 학보 신문 -멘토링제도 코멘트 했습니다.  (5) 2009/03/09
[인터뷰-2] 연세대 영자신문 - 인터뷰 기사 올라왔네요  (9) 2009/03/06
Posted by 엔시스
TAG IT, 오픈웹, 인터넷뱅킹
트랙백 1, 댓글 7개가 달렸습니다

인터넷뱅킹, 안전하게 사용할수 있는 방법은 없을까?

Security Skill&Trend 2009/02/12 11:50

최근에 인터넷 뱅킹 해킹으로 인하여 다시한번 사용자들에게 불안한 마음을 던져주고 있습니다. 하지만 늘 보안은 그렇듯이 게으른 사람, 실천하지 않는 사람들이 손해를 보게 되어 있습니다. 따라서 인터넷뱅킹을 안전하게 사용할수 있는 방법이 없는지 한번 살펴 보도록 하겠습니다.

최근 모 금융기관으로부터 인터넷 뱅킹 해킹으로 인하여 또 한번 언론 기사에 떠들썩 하고 있습니다. 하지만 지금 대부분 인터넷 뱅킹을 하고 있는 사용자입장으로서는 불안 할수 밖에 없습니다. 그리고 보안에 대하여 잘 모르는 사람들은 정말 인터넷 뱅킹을 써야 할까..아니면 다시 일반 창구로 돌아가야 할까 고민 할수도 있겠습니다.

하지만 우리가 편리해진 일상 생활에서 다시 불편한 창구로 돌아가기엔 그리 쉽지 않을꺼라는 생각이 듭니다. 그러면 정말 인터넷뱅킹을 안전하게 사용할수 있는 방법을 없을까요? 다 같이 한번 고민해 보아야겠습니다.


 인터넷뱅킹을 안전하게 사용할수 있는 방법

1. 공인인증서는 PC에 저장하지 말고 반드시 이동저장장치(USB)에 저장을 한다.

2. 보안카드도 스캔하여 PC에 저장하지 말고 따로 휴대하여 사용시마다 눈으로 보고 한다.

3. 자신의 PC에 최신 백신을 설치하여 항상 PC를 모니터링 할수 있도록 백신을 설치한다.

4. 휴대전화 공인인증서 관리 " 유비키 서비스" 이용 한다. 또는 OTP 서비스를 받는다.

5. 인터넷뱅킹시에 이체가 되거나 하면 자동으로 SMS 문자가 올수 있도록 서비스를 신청한다.

6. 신뢰되지 않는 사이트는 함부로 방문하지 않는다.

7. P2P싸이트를 통한 신뢰 받지 못한 파일은 절대 다운로드 받지 않는다.


인터넷이 일상 생활이 되어 버린만큼 인터넷뱅킹을 사용 안 할순 없겠지요., 그렇다면 보다 안전하고 편리하게 사용을 해야 하는데 이러한 해킹으로 인한 불안함에 일반 사용자는 어떻게 해야 하나 하는 고민에 빠질수도 있습니다. 따라서 각 금융기관에서는 보다 안전하게 인터넷 뱅킹을 할수 있는 기술적인 대안을 늘 연구하고 만들어야 하며  사용자 입장에서도 항상 보안에 대한 마인드를 가지고 평소 인터넷을 사용하는 습관을 가지셔야 합니다..그것은 바로 실천으로 이어집니다..알고 있는 사항은 꼭 실천합시다.. @엔시스

'Security Skill&Trend' 카테고리의 다른 글

어도비 아크로벳 원격코드 실행 가능한 취약점 발견  (7) 2009/02/23
보안전문가를 위한 캐리어 로드맵  (6) 2009/02/21
인터넷뱅킹, 안전하게 사용할수 있는 방법은 없을까?  (17) 2009/02/12
일명 '이력서 피싱' 취업자들 조심하세요  (2) 2009/02/11
해킹된 싸이트 안내해주는 zone-h.kr 싸이트 악용될 소지 있어  (8) 2009/02/06
KISA, 연구과제 조기 발주 봇물  (2) 2009/01/28
Posted by 엔시스
TAG IT, 인터넷뱅킹, 해킹
트랙백 0, 댓글 17개가 달렸습니다