"SSL/TLS 가 과연 취약한가?" 페이지 보기

[youknowit]

http://groups.google.co.kr/group/open-web/web/ssl-tls?hl=en을(를) 클릭하거나 연
결되지 않을 경우 브라우저의 주소창에 해당 URL을 복사하여 붙여넣기 하세요.

[Haisoo Shin]

기대했지만, 그쪽에서는 이미 거부한 것 같지요. 다른 분이라도 도전해주셨으면 하는 바람입니다.

애초에 그쪽의 주장은 SSL이 SEED+키보드보안+백신보다 취약하다는 것이었겠죠. SSL보다 현재의 플러그인 암호화가 우월하다
는 제대로 된 근거는 아직 본 적이 없습니다. 누군가가 애플리케이션 단에서 암호화를 하기 때문에 안전하다고는 했지만, 이 역시
결국 클라이언트 PC에 해킹 프로그램이 설치된 경우를 상정한 것이겠지요. 보안을 요구하는 부분만 암호화를 하기 때문에 서버 부하
를 줄일 수 있다는 장점도 있긴합니다.

클라이언트 PC 또는 중간 라우터 등을 점거하지 않는 이상 SSLv3 통신을 뚫는 것은 아직까지 불가능하다고 생각합니다. 결국
교수님의 제안을 받아들이는 사람이 할 수 있는 일이라고는 클라이언트 PC를 공격하는 일 정도겠지요. 그런데 이 것이 성공한다고
해서 SSL이 SEED보다 허술한 것은 아닙니다. 클라이언트 PC가 넘어가면 SEED도 손쉽게 해킹이 가능할 것이니까요.

사실 어렵게 시연해줄 필요도 없지요. 해킹이란게 워낙 시간을 소모하는 작업이니까요. 다만 현재의 플러그인 방식이 https에 비
해서 어떤 장점이 있는지 이론적으로라도 알려줬으면 하는 바람입니다. 그래야 그에 따른 대안을 고민해볼테니까요.

[Tae-young Jung]

제가 아까 블로그에 남겼던 글에서 장황하게 써두었지만...

MITM 공격을 간단히 설명하자면

1. 공격자가 AP를 가장
2. 사용자가 인터넷에 사용하기 위해 AP를 가장하고 있는 공격자로 접속 - 이를 통해 인터넷질...
3. 인터넷 뱅킹등을 이용하려고 하면 변조된 DNS 등을 이용하여 아래와 같은 식으로 통신을 하게 됩니다.

클라이언트 <-HTTPS통신-> 공격자 <-HTTPS-> 서버

물론 클라이언트 측에서는 보안 경고창이 뜨겠죠. 서버 인증서가 유효하지 않다고, 하지만 (통계적으로) 90%에 달하는 사용자들
이 이에대해 '예' 를 클릭한다고 합니다. 그로 인해 정보를 가로채고 위 변조 할 수 있게 되는 문제죠.

그런데, 이게 플러그인 방식이라고 다르냐! 똑같은 문제가 발생할 수 있습니다. 결론부터 얘기드리자면 그놈이 그놈이란 겁니다.

다른 글에서 방준영씨는 '해외 이용 사례 중 페이팔 피싱'을 들어 외국에서도 문제가 많음을 얘기하고 있습니다. 또한 '공인인증서
와 보안 접속은 상관없으니 공인인증서를 사용하지 말자? 헛소리!' 정도 얘기를 하고 있는데,

우선 공인인증서와 보안 접속은 상관이 없기 때문에 위 이야기는 조금 핀트가 어긋났다고 할 수 있습니다.

공인인증서는 보안 채널을 생성하는데 사용되는 것이 아니라 자신이 거래했다는 것을 증명하기 위한 목적으로 (마치 PGP
Signature와 같이) 사용됩니다. OpenPGP를 활용해서 자신이 보낸 이메일을 입증하는 방식으로는 Enigmail 등이
있으며, 이 방식이 딱 공인인증서 + 거래증명 과 동일한 것을 의미한다고 볼 수 있을 것입니다.

참고로 Enigmail은 다음과 같이 동작합니다.

1. 이메일 내용을 해슁
2. 해슁한 문자열을 자신의 비밀키로 암호화
3. 이메일을 받는 사람은 자신의 공개키로 암호화된 문자열을 복호화하고, 메일 내용의 해쉬값과 비교!

결과적으로 보낸 사람을 증명할 수 있음.

전자 서명은 어떨까요?

1. 전송되는 값을 해슁
2. 이 해슁 값을 공인인증서로 암호화
3. 받아보는 쪽에서 디코딩해서 증명...

뭐 내용 증명이건 내용 확인이건... 어쨌거나 표현의 차이일 것 같고... 위에서 예로든 Enigmail과 동일한 것을 볼 수
있습니다.

kldp의 '리눅스, 키보드 보안'과 같은 글들을 보게 되면 리눅스 등에서 키보드 보안 모듈을 깔려고 하는 것이 얼마나 비상식적
인 것임을 알 수 있습니다. 맥에서도 비슷한 얘기일 것으로 보이고요.

윈도우는 아무래도 비상식적인 사용자들이 많고, 오랫동안 취약점 등이 노출되어 왔습니다. 이런 취약한 OS와 다른 OS에 동일한
기준을 적용한다는 것은 넌센스라고 생각하며, 절충안으로 Windows+ IE에서는 지금과 같은 체제를 유지...

하지만 타 브라우져, 타 OS에 한해서는 안티바이러스, 안티키로거 기능 사용을 Optional하게 처리할 수 있도록 해야한다고
봅니다.

그리고 해결해야할 문제가 둘 더 있죠. 공인인증 플러그인과 보안 채널 바로 그것인데요. 이와 관련해서는 100번을 생각해도 똑같
은 답 밖에는 생각나질 않습니다.

* 보안 채널은 HTTP over SSL로 전환
* 공인인증을 위한 마임타임 및 API를 표준화

뭐 보안 채널 문제야 별로 얘기할 필요가 없을 것 같고... 공인인증 API 표준화 부분...

ActiveX나 plugin이나 어떤 마임타입을 가지는 object가 삽입되었을 경우 그에 대한 핸들러로써 호출이 됩니다. 또
한 둘 다 동일하게 javascript로 해당 객체를 조절할 수 있는 인터페이스를 가지죠.

자 그렇다면 공인인증을 위한 mimetype을 표준화하고, 공인인증 API (플러그인에 값을 넘겨주고 전자 서명된 값을 넘겨받
기 위한 인터페이스) 를 표준화할 경우 다음과 같이 사용할 수 있을 것 입니다.

1. 공인인증용mimetype을 가지는 object가 삽입 -> 이 mimetype에 대한 플러그인이 활성화 (종류는 상관 없
음)
2. 이 object의 메쏘드를 사용하여 공인인증 진행
3. 만약 공인인증용 플러그인이 존재하지 않는 플랫폼이라면 표준 문서를 보고 직접 구현을 하면 됨.

끝! 사람들은 모두 행복하게 인터넷 뱅킹을 사용할 수 있게 되었습니다.

낼 아침 첫 수업이라 일찍 자야하는데, 글이 길어졌네요.

[xeraph]

이것 참.. 해수 씨까지 헛소리에 동참하면 곤란하죠 -_-

김 교수님, 지금까지 얘기한 거 다 뭘로 들으셨습니까?
한참 엔드포인트 뚫리는거 얘기했는데 그냥 귀막고 계셨나요?
그 컴퓨터에 키로거 하나만 깔아도 그냥 끝난다고 몇 번 말씀드려야 합니까?

[youknowit]

그러니, 제 컴퓨터에 키로거를 깔아보시라는 것입니다.

[dasony]

"그 컴퓨터"가 어느건가요? 클라이언트PC 말고 다른 컴퓨터인가요?

[xeraph]

당연히 뱅킹을 시도하는 단말을 말하는거죠.

매달 MS 취약점 몇 건씩 발표되는데, 또 애플리케이션도 제로데이가 계속 나옵니다.

사용자 PC에 취약점이 없으리라고 어떻게 그렇게 호언장담하십니까?

아.. 진짜 쇠귀에 경 읽는 것도 적당히 해야겠다는 생각이 드는군요.

[dasony]

저는 분명히 "클라이언트 PC 또는 중간 라우터 등을 점거하지 않는 이상"이라고 했습니다.
그리고 키로거가 깔린 컴퓨터에서 현재 플러그인 기반 암호화시스템은 안전한가요?

키로거/백신 설치 문제와 SSL vs SEED 문제는 별개로 봐야되는데 자꾸 논의가 섞이니까
서로 쇠귀에 경 읽고 있네요.

[youknowit]

예, 제 컴퓨터를 말합니다. ip 주소는 116.44.202.41 입니다.

On Apr 7, 12:26 am, xeraph <xer...@nchovy.com> wrote:

[xeraph]

저는 교수님을 대상으로 말씀드린 것이니 대신 반응하실 필요 없고요.

이 부분은 해수 님이 읽어보셨을지 모르겠지만 이전 오픈웹 사이트에서의 논의의 연장선 상에 있는 것입니다.

뱅킹 보안을 논하면서 SSL만 가지고 논의하면 무슨 소용이 있습니까?

[youknowit]

하나씩, 하나씩 밝혀보면 되겠습니다.

별도 플러그인 방식의 "보안접속"은 한국 외에는 아무데도 하는 곳이 없고, "보안접속"에 관한 한 SSL 을 능가하는 안전한 해
법은 없다는 것이 오픈웹의 입장입니다. 이 문제 부터 분명히 매듭을 짓고, 그 다음 문제를 논하면 될 것으로 저는 생각하고 있습
니다.

지난 며칠동안 댓글을 다신 분들은 마치 "SSL/TLS 보안접속"이 금방 공격될 수 있다는 식으로 사람들을 오도했다고 저는 이해
하고 있습니다. 그러니, 그것부터 한번 입증해 보시면, 더 이상 불필요한 지면 낭비는 필요없지 않겠습니까?

[dasony]

제랍님께서 저까지 헛소리에 동참한다고 하시기에 당연히 저한테
하시는 말씀이라고 생각했습니다만 죄송합니다.

위에 정태영님 글을 읽어보시면 알 수 있듯이 많은 분들은
1) SEED/플러그인 방식의 암호화를 SSL 등의 표준으로 바꾼다
2) 전자서명은 표준화를 하든지 크로스플랫폼을 한다.
3) 키로거/백신을 opt-out할 수 있게 한다.
을 요구하는 것이잖아요.

차례대로 해야하니까 SSL만이라도 논의하는 것은 의미가 있습니다.
3번에 반대한다고 해서 1번이 안될 이유는 없으니까요.

그리고 교수님/ 교수님 PC가 뚫리지 않는다는 것은 별 의미가 없는
것 같습니다. 애초에 보안 의식이 허술한 사용자까지 상정하고
가야하니까요.

On Apr 7, 12:31 am, xeraph <xer...@nchovy.com> wrote:

[xeraph]

저는 해수 님이 지금 말씀하신 1, 2, 3에 대해서 이견이 없습니다.
3번은 물론 사용자가 책임을 진다는 전제를 달아야 하고요.

그러나 다 갈아엎어라, 해명해보아라, 어디 한 번 뚫어보아라 식은 매우 불쾌합니다.

그리고 아무도 SSL을 따로 떼어놓고 취약하다고 하지 않았습니다.

[dasony]

문제를 분리해서 하나씩 접근하면 서로 만족할 수 있는 안이 나오리라 믿습니다.
2번의 기술적인 문제와 3번의 법적인 문제가 가장 큰 문제가 되리라 생각합니다.
그런데 계속해서 1번에서 머물러있으니 답답한 마음이 큽니다. 서로 흥분 상태에
있어서 그렇다고 생각합니다. 개인적으로는 오픈웹에서 보안업계에 문제를
제기하는 과정이 조금 공격적이었던 것이 아쉽습니다. 그 동안 답답한게 많아서
그랬겠지만요.

우리끼리 대안을 찾아내도 훨씬 큰 두 장애물(정부와 은행)이 기다리고 있지요.
그 두 장애물을 넘고나면 그 다음엔 구현 및 deploy라는 또다른 문제가 있고요.

조금 한 발 물러서서 오픈웹은 보안의 입장에서, 보안쪽 분들은 오픈웹의
입장에서 생각해보면서, 논쟁보다는 논의를 했으면 하는 것이 저의
주제 넘은 바람입니다. Channy님 블로그에서 어느 분이 이번 주에 있는
코드게이트에 김교수님과 Channy님 등이 참석해서 직접 이야기해보는
것이 어떠냐는 의견을 주신 적이 있는데, 그것도 괜찮은 생각 같고요.

그리고 세랍님 위에 닉네임 잘못 써서 죄송합니다 ^^;

[youknowit]

제가 보기에는 "SSL 보안접속이 별도 플러그인 방식의 보안접속"보다 취약하다는 주장은 원래부터 근거가 없었습니다.

그러므로, 우선, "보안접속용 플러그인"은 걷어내면 됩니다.

공격자가 키로거를 아무 컴퓨터에나 설치할 수 있는 것은 아닙니다. 위험을 정확히 분석하고 대책을 세워야지, 위험을 과장하고 호들
갑을 떤다고 보안에 도움이 되는 것은 아니라고 저는 생각합니다.

안티 키로거를 지금처럼 플러그인 방식으로 제공하되,

1. 미리, 그런 플러그인이 제공된다는 정보(information)를 고객들에게 제공함으로써, '영문도 모르고 예를 눌러야 하
는' 현재의 사태를 시정하고,
2. 그 플러그인 설치를 거부하는 경우, 해당 페이지에 접속할 때마다, 설치를 요구하는 경고창이 뜨도록 해두고,
3. 그 플러그인 게시자를 '신뢰할 수 없는 게시자로 등록하는 방법'을 아는 이용자(고급이용자)는 그렇게 등록해두면, 더 이상
경고창 없이 그 다음 단계로 넘어갈 수 있도록 해두라는 것이 제 생각입니다.

이런 해법이 지금의 설계를 크게 바꾸어야 하는 것도 아니고, 금융거래를 더 위험하게 만드는 것도 아니라고 저는 생각합니다.

Xeraph 님의 생각도 그리 다르지는 않을 것으로 예상하는데, 어떤지요?

On Apr 7, 12:43 am, xeraph <xer...@nchovy.com> wrote:

[xeraph]

dasony/
오픈웹 하는 행동 보면 전혀 참여할 마음이 안 듭니다.
(아래는 오픈웹을 대상으로 하는 말이니 혹시나 오해하지 마세요.)

이제는 마치 보안 전문가들이 오픈웹 DDoS 때린 것 아니냐는 투로 떠들고 다니시고..
진짜 전문가들이 마음먹고 공격하면 고작 IP 2개로 다 드러나게 허접하게 공격 안 합니다.

이 페이지에 쓴 글도 그렇고 이전에 쓴 글들도 그렇고..
마치 안 한다고 하면 거봐라 저것들 돌팔이 아니냐는 식으로 분위기를 몰아가는 것도 대단히 불쾌하고..
(무슨 모의해킹이 장난이나 마술인 줄 아십니까 뿅 마음만 먹으면 그냥 되게.. 그거 비싼 돈 받아가면서 몇 주씩 작업합니다.)
4월 2일 덧글에서도 보였듯이 저것들 믿을 수 없다고 농락하는 것도 불쾌하고 그걸 농담이라고 둘러댄 것은 더 불쾌하고..

대체 뭘 하자는건지 모르겠다는 겁니다.

분명히 사과하지 않으면 다들 거부할거라고 예상합니다.
보안 전문가들 다 적으로 돌리고 이제 DDoS 받고 나니 어디 하소연할데라도 있으신지.. 것 참..

김 교수님/
1, 2, 3 동의합니다. 마찬가지로 사용자의 책임이 전제되어야 합니다.

[youknowit]

4.2. 댓글이 농담이라고 생각하신다면, 별로 할 말이 없습니다.

제가, 저의 웹블로그 댓글 작성란에 댓글 다는 사람의 한메일 id 와 password 를 입력하도록 요구한다고 생각해 보시기 바
랍니다. Xeraph 님은 입력하시겠습니까?

[dasony]

교수님/
당시에 다른 분이 "만우절 농담이라고 생각하세요"라는 취지의
리플을 달았습니다. 그것을 두고 말씀하신 것 같네요.

xeraph님/
오픈웹 자체가 커뮤니티도 아니고 무슨 단체도 아니고 애매합니다.
거기 리플 다시는 수많은 분들이 다 오픈웹의 공식입장이라고 보시면
안된다는 구차한 말씀밖엔 드릴 수가 없겠네요. 물론 아시다시피 저도
오픈웹이랑 아무런 관련 없는 사람이고요. ^^;

그만큼 보안업계에 평소에 불만을 가지고 있던 분들이 꽤 있었다 정도로
이해할 수도 있지 않을까요? 그분들이 다 오픈웹의 "선동"으로 인해
보안업체에 대하여 나쁜 인상을 가지게 된 것은 아닐테니까요.

[정태영]

덧: 이경문씨 홈페이지는 로그인을 하지 않으면 글을 쓸 수 없기 때문에 이미 아이디를 만드신 것으로 보이는 dasony님이
경문님을 메일링리스트로 인도해주셨음 좋겠습니다.

경문님께서는 SSL 과 SEED 를 직접적으로 비교하고 있는데요. 이건 잘못된 것입니다. 이는 마치 HTTP 와 UTF-8 을
비교하고 있는 것과 마찬가지입니다.

SSL 은 암호화 방식이 아닌 전송 계층에 해당됩니다. Secure Socket Layer라는 이름에 괜히 Layer가 들어가는 것이 아니죠.

SSL을 사용할 경우 AES등 다양한 암호화 방식을 사용할 수 있습니다. 물론 SEED도 (클라이언트와 서버가 모두
지원한다면) SSL에 사용될 수 있는 것으로 알고 있습니다.

참고로 OpenSSL: The Open Source toolkit for SSL/TLS 에도 이미 SEED가 구현되어 있습니다.

09. 4. 7, 정태영 <nae...@gmail.com>님이 작성:
> 우선 제랍 님이 얘기하시는 애물단지 말단 클라이언트에 대한 얘기는 논외로 하구요.
>
> 얼마 전 토론 - 김기창 교수님과 이경문씨와의 토론-에서의 핵심은 SSL 보다 플러그인 방식이 안전하느냐 였던걸로 기억합니다.
>
> http://www.gilgil.co.kr/bbs/zboard.php?id=free&no=2793
>
> 자 이분이 열심히 얘기하시는 MITM 이 무엇인지 궁금하면 다음 링크 중간에 있는 프레젠테이션 파일의 4번째 페이지를 참고해주세요.
>
> http://securitytube.net/SSL-MITM-Attack-Over-Wireless-video.aspx
>
> 아래 쪽에 데모 링크를 누르시면 실제 데모도 볼 수 있습니다.
>
> 간단하게 AP를 가장해서 값을 가로채겠다는 건데, 정말 최말단에 붙은 후에야 가능한 공격으로 보입니다. 사실 이 공격의 경우
> 사용자의 주의가 있다면 어느정도 피해갈 수 있을 것으로 보이구요. (유효하지 않은 인증서 오류)
>
> 그런데 이 공격이 SSL에만 해당하느냐! 그게 아니란 거죠. XecureWeb 등 HTTPS 와 비슷하게 Secure
> channel을 제공하는 플러그인도 이런 공격은 피해갈 수 없습니다.
>
> 뭐 결론은 둘 다 거기서 거기란 거고, 그렇다면 이미 대부분의 브라우져에 구현되어 있는 HTTPS를 쓰는게 낫지 않겠냐는게 제
> 입장입니다.
>
> 09. 4. 7, youknowit <keecha...@googlemail.com>님이 작성:

> --
> --
> 오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다.
>
> http://mytears.org
>

--
--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다.

http://mytears.org

[xeraph]

둘러대지 마십시오. 입력하고 안 하고는 자유입니다.

그러나 그걸 가지고 자세한 사실 관계 파악도 없이,
국내에서 10년 넘게 보안 전문가로 일해 온 사람을,
허세나 부리는 믿을 수 없는 사기꾼 취급한 것에 대해 분명히 사과하셔야 합니다.

뱅킹 보안은 그렇게 열심히 공부하신 분이 그런 변명을 하십니까?
그리고 비단 이 건만이 문제였습니까?

그리고 논쟁에 접근하는 태도를 분명히 하셔야 합니다.

지금까지처럼 자기 주장에 불리한 정보는 고의로 무시하거나 누락하고,
유리한 내용만 갖다 붙이는 행동을 계속 하시면 누구도 돌아보지 않을 것입니다.

또 다른 문제..

분명히 예전에는 다른 브라우저 플러그인을 지원해야 한다고 하시더니
요새는 플러그인 자체가 악이라고 주장하시고.. 어느 장단에 맞춰야 합니까.

[정태영]

우선 제랍 님이 얘기하시는 애물단지 말단 클라이언트에 대한 얘기는 논외로 하구요.

얼마 전 토론 - 김기창 교수님과 이경문씨와의 토론-에서의 핵심은 SSL 보다 플러그인 방식이 안전하느냐 였던걸로 기억합니다.

http://www.gilgil.co.kr/bbs/zboard.php?id=free&no=2793

자 이분이 열심히 얘기하시는 MITM 이 무엇인지 궁금하면 다음 링크 중간에 있는 프레젠테이션 파일의 4번째 페이지를 참고해주세요.

http://securitytube.net/SSL-MITM-Attack-Over-Wireless-video.aspx

아래 쪽에 데모 링크를 누르시면 실제 데모도 볼 수 있습니다.

간단하게 AP를 가장해서 값을 가로채겠다는 건데, 정말 최말단에 붙은 후에야 가능한 공격으로 보입니다. 사실 이 공격의 경우
사용자의 주의가 있다면 어느정도 피해갈 수 있을 것으로 보이구요. (유효하지 않은 인증서 오류)

그런데 이 공격이 SSL에만 해당하느냐! 그게 아니란 거죠. XecureWeb 등 HTTPS 와 비슷하게 Secure
channel을 제공하는 플러그인도 이런 공격은 피해갈 수 없습니다.

뭐 결론은 둘 다 거기서 거기란 거고, 그렇다면 이미 대부분의 브라우져에 구현되어 있는 HTTPS를 쓰는게 낫지 않겠냐는게 제 입장입니다.

09. 4. 7, youknowit <keecha...@googlemail.com>님이 작성:

[youknowit]

피싱사이트에서도 id와 password 를 입력할지 말지는 이용자의 자유입니다.

그분의 사이트가 피싱사이트라는 이야기가 아닙니다. 10년 넘게 보안일을 해 오셨다는 분이 그런 식으로 자신의 사이트를 설계한다
는 것 자체가 저는 신기할 따름입니다.

제 댓글에 설명된 내용을 이해못하시는 분도 부지기수이고, 바로 그 당사자 분도 아직 자신이 무슨 일을 하시는지 이해하시는 것 같
지는 않습니다.

[정태영]

2009년 4월 7일 (화) 오전 1:13, xeraph <xer...@nchovy.com>님의 말:

dasony/
오픈웹 하는 행동 보면 전혀 참여할 마음이 안 듭니다.
(아래는 오픈웹을 대상으로 하는 말이니 혹시나 오해하지 마세요.)

이제는 마치 보안 전문가들이 오픈웹 DDoS 때린 것 아니냐는 투로 떠들고 다니시고..
진짜 전문가들이 마음먹고 공격하면 고작 IP 2개로 다 드러나게 허접하게 공격 안 합니다.

죄송합니다만 사실 관련된 말은 제가 한 것입니다.

제 입장에서 그렇게 생각하지 않을 이유가 있을까요? 제가 개인 서버를 운영한지 8년째이고, 도메인도 처음부터 지금까지 같은 도메인을 사용해오고 있습니다.

3년쯤 전에 호스팅 업체를 옮기면서 아이피가 한 번 변경되긴 했습니다. 제 서버를 사용하시는 분들 외부에 큰 소리 나올 일 없이 좋은 소식들 많이 전하려고 노력하는 분들이고 악의를 살만한 분도 없었습니다.

뭐 어쨌거나 지난 8년간 운영하면서 한 번도 받지 않았던 DDoS 어택을 이 시점에 받았습니다. 제 입장에서 어떻게 생각할 것 같습니까? 고작 아이피 2개로 다 드러나게 허접하게 공격을 한건지 아니면 더 있는데, 업체 측에서 로그를 그렇게 준건지까지는 모르겠습니다. 어쨌거나 보안 업계 분이라면 보기 싫은 오픈웹을 보지 않기 위해 제 서버를 서비스 불능으로 만드는 거야 어렵지 않았을거라 생각하며, 아까도 말했듯이 상황이 상황이니만큼 저로써는 그렇게 생각할 수 밖에 없었습니다.

덕분에 8년 만에 처음으로 제 의지와 상관없이 이틀간 접속을 못하고 있고, 오늘 하루에만 전화를 수십통이나 받아야 했습니다. 업체 측에서는 제 서버에서 불법 도박 사이트 등이 운영되는건지 체크하기 위한 목적으로 루트 비밀번호까지 요구했구요. 

제 서버를 함께 사용하는 친구들로부터 문자, 전화, 메시지 등도 수 없이 받아야 했습니다. 상황을 알고 있기 때문에 저한테 뭐라고 하지는 않지만 그 때문에 저는 더 힘든 상황입니다.

네 보안 업체 분들 대단한 거 알겠습니다. 

다시 한 번 말하지만 덕분에 호스팅 업체에서 쫒겨날 위기에 빠졌고, 제 서버를 함께 쓰던 사용자 분들은 그 잘난 DDoS 공격자 덕분에 최소 삼일 에서 일주일정도는 자신의 홈페이지에 접속하지 못하게 되었습니다. (최소 내일까지는 접속을 못할테고, 옮긴다고 하면 네임서버 변경 후 1~2일 불안할테니 4~7일 정도는 불편을 겪게 되겠네요.)

 

이 페이지에 쓴 글도 그렇고 이전에 쓴 글들도 그렇고..
마치 안 한다고 하면 거봐라 저것들 돌팔이 아니냐는 식으로 분위기를 몰아가는 것도 대단히 불쾌하고..
(무슨 모의해킹이 장난이나 마술인 줄 아십니까 뿅 마음만 먹으면 그냥 되게.. 그거 비싼 돈 받아가면서 몇 주씩 작업합니다.)
4월 2일 덧글에서도 보였듯이 저것들 믿을 수 없다고 농락하는 것도 불쾌하고 그걸 농담이라고 둘러댄 것은 더 불쾌하고..

대체 뭘 하자는건지 모르겠다는 겁니다.

분명히 사과하지 않으면 다들 거부할거라고 예상합니다.
보안 전문가들 다 적으로 돌리고 이제 DDoS 받고 나니 어디 하소연할데라도 있으신지.. 것 참..

김 교수님/
1, 2, 3 동의합니다. 마찬가지로 사용자의 책임이 전제되어야 합니다.

참고로 제가 썼던 글에서는 안한다고 돌파리라고 몬 것이 아니라, 잘못된 내용이 보여서 정정하고 싶었던 것입니다. 참고로 DDoS 공격을 받은 건 김기창 교수님이 아니고 접니다. 하소연할데 없네요. 

행복하신가요? 

뭐 더 하고 싶은 말은 많지만 여기서 줄이겠습니다.

[dasony]

애초에 blogger.com 사이트가 그렇게 설계된 것을 가지고,
그것이 어떠니 저쩌니 하는 것은 의미가 없는 것 같습니다.
그냥 상대방 흠집 내기 그 이상도 그 이하도 아니니까요.

[xeraph]

그 때 덧글 보고 실수한 걸 깨달으신 줄 알았는데 아직도 모르시는군요.

다시 가서 제대로 확인하시기 바랍니다.

구글에서 원래 그렇게 만들어 놓은 것 뿐인데.. 구글이 이제 보안에 무지한 기업이 되겠군요. 헛 참..

[youknowit]

제가 댓글을 쓰기 전에 blogger.com 이 어떻게 설계 되어 있는지를 확인하고, 댓글을 적었습니다.

blogger.com에 가서 확인해 보시기 바랍니다. blogger.com 은 그런식으로 설계되어 있지 않습니다. 댓글 다는 사
람의 구글계정 id와 password 를 개별 블로거 홈페이지에서 입력하도록 설계되어 있지 않습니다.

[정태영]

2009년 4월 7일 (화) 오전 1:29, xeraph <xer...@nchovy.com>님의 말:

그러나 그걸 가지고 자세한 사실 관계 파악도 없이,
국내에서 10년 넘게 보안 전문가로 일해 온 사람을,
허세나 부리는 믿을 수 없는 사기꾼 취급한 것에 대해 분명히 사과하셔야 합니다.

그만 잘라고 했는데 딱 한 가지만 더  묻겠습니다. 

당신들 보안 관계자들에게는 지금 이 시스템이 그렇게 만족스럽고 자랑스러운가요?

[xeraph]

이보세요 정태영 씨.
지금 서버가 공격 받아서 화나고 당황스러운건 잘 알겠습니다.

그런데,
누가 자랑스럽다고 이렇게 시간 들여서 쇼하고 있는 줄 아십니까?
저라고 블로그에서 악플 아주 한 트럭 받아가면서 그럴 이유가 있었을까요?

오픈웹이 지금보다 더 취약한 뱅킹을 만들자고 주장하는데,
게다가 보안 전문가들을 기만하고 우롱하고 있는데 가만 있을 수 있습니까?

누가 먼저 공격했습니까?
물론 정태영 씨는 아니겠죠. 그런데 그렇다고 저보고 뭐라고 하시면 곤란합니다.

[xeraph]

김 교수님은 끝까지 자기가 맞다고 주장하시는데 제가 더 할 말이 없네요.

방준영 씨가 왜 그렇게 깠는지 이해가 안 되시는게 당연하겠네요.
http://bangjunyoung.blogspot.com/2009/04/blog-post.html

더 말해봐야 잠 잘 시간만 줄어들 뿐이고..
Matt님이 Channy님 블로그에 오프라인에서 보자고 써놓으셨으니 저는 더 말하지 않겠습니다.

http://channy.creation.net/blog/689#comment-482025

한 번 오프라인에서도 끝까지 맞다고 우겨보세요.

[xeraph]

http://xeraph.egloos.com/4902688
링크된 글과 덧글을 정독해보시길 바랍니다.

[youknowit]

방준영님의 블로그(그것도 blogger.com입니다)에서 댓글을 한번 달아보시기 바랍니다. 구글 계정 id와 password를
방준영님 블로그 페이지에서 입력해야 하는지를 잘 관찰하시고, 그 결과를 알려주시기 바랍니다.

구글이 그런식으로 설계하지는 않습니다.

On 4월7일, 오전1시57분, xeraph <xer...@nchovy.com> wrote:
> 김 교수님은 끝까지 자기가 맞다고 주장하시는데 제가 더 할 말이 없네요.
>

> 방준영 씨가 왜 그렇게 깠는지 이해가 안 되시는게 당연하겠네요.http://bangjunyoung.blogspot.com/2009/04/blog-post.html

[dasony]

키로거와 백신이 없으면 잘 모르는 사용자들의 컴퓨터가 취약해집니다.

On Apr 7, 1:58 am, cogniti <cogn...@gmail.com> wrote:
> "더 취약한 뱅킹"에 대한 근거를 부탁드립니다.
> 정말 몰라서 그럽니다.

[Matt Oh]

제가 여기에 썼습니다. 기록 삼아 올립니다.
"""
http://channy.creation.net/blog/689#comment-482025
Matt
2009 4월 07 1:48
DDOS 공격에 보안 업체를 일단 걸고 넘어지시는 이유가 무엇입니까? 발언 수위를 조절하셔야 할 필요가 있는 것 같습니다. 오해
를 풀려고 하던 보안 전문가들이 오해를 키울 이유가 있을까요? 그리고 보안 업체와 보안 전문가를 구별해서 사용하시기 바랍니다.
보안 업체는 아직 오픈웹에 대해서 공식 대응한 업체가 없습니다. 단지 보안 전문가들이 오픈웹의 잘못을 지적하고 있을 따름입니
다. 용어의 정확성이 뒷받침 될 필요가 있을 것 같습니다.
그리고 몇몇 보안 전문가들은 오프라인에서의 모임을 갖고 싶어 하고 있습니다. 이 글에 제 메일 주소가 남으니 연락 주시기 바랍니
다. 제가 주선해 드릴 수 있습니다.

[dasony]

cogniti님/
앞선 논의를 읽어 봐주시길 바랍니다. 순수하게 SSL만 따로 때놓고
이야기 했을때 문제 없다는데까지는 xeraph님도 동의하셨습니다.
현재 가장 의견이 충돌하는 부분은 부분은 키보드 보안과 백신의
ActiveX 배포 부분입니다. 그리고 이 것이 있는 것이 없는 경우보다
안전하다는 것 지극히 상식적인 이야기이기도 하고요.

참고로 구글 그룹 이메일로도 가능합니다. 오른쪽의 Edit my
membership 부분에서 설정하시면 됩니다.

On Apr 7, 2:10 am, cogniti <cogn...@gmail.com> wrote:
> xeraph
> 구글그룹....적응이 잘 안 되는군요...^^
> (메일링 리스트를 웹에서 하는거 같군요. 그냥 이메일로 하는 방법은 없나요.)
> 워냑 드루팔에 익숙해 있어서요^^
>
> ssl 이 mitm 에 취약하다고 하는데...
> 이것을 말씀하시는 건가요?

[Matt Oh]

문제는 여기서 결론을 내어 봐야 소용이 없다라는 사실입니다.

보안 전문가나 보안 업체가 결정권을 가진 사안이 아니고, 결국 금융권이 결정하게 될 사안일듯 하구요.

보안 업체나 보안 전문가를 애초에 오픈웹에서 비방하실 이유가 없었다라는 것이 결론이라면 결론입니다.

이제 오해가 풀렸으니 더 이상의 플레임워는 없어도 될 것 같군요.

2009/4/6 Hodong Kim <cog...@gmail.com>

그럼 결론이 나왔네요...

[peterpan]

저기 여기 글쓸려고 가입했는데요...

아이디랑 패스워드 구글이나 오픈웹에 피싱당하는거 아닌가요?

> > > 요새는 플러그인 자체가 악이라고 주장하시고.. 어느 장단에 맞춰야 합니까.- 따온 텍스트 숨기기 -
>
> - 따온 텍스트 보기 -

[dasony]

보안 전문가들의 바로 그런 태도가 지금의 상황에 간접적인 이유가
되었다고 생각합니다. 모두들 오픈웹의 대의명분에는 동의하면서,
결국 금융권이, 결국 정부가 정해야 하는 일이다라고만 하시니까요.

금융권이, 정부가 오픈웹의 말만 듣고 결정하면 얼마나 좋겠습니까?
심지어 소송을 걸고 편지 보내고 서명운동하고 하지만 다 실패했습니다.

보안과 오픈 양쪽 다 만족할 수 있는 대안을 누군가가 만들어야 합니다.
제대로 된 대안을 가지고 정부/은행에 가져가야 하지 않을까요?
오픈웹도 보안 전문지식이 부족하지만, 정부 은행은 더합니다.

어쩔수 없다, 현실이 그렇다, 이런 말씀만 하시지마시고, 대안을 같이
찾아 갔으면 좋겠습니다. 여기서 결론을 내봐야 소용없다고요?
여기서 결론 내리면 보안전문가들과도 합의한 안이다라면서
정부에게 은행에게 들고 갈 수 있습니다. 저는 거기에 마지막 희망을
걸고 있습니다.

On Apr 7, 2:22 am, Matt Oh <oh.jeongw...@gmail.com> wrote:
> 문제는 여기서 결론을 내어 봐야 소용이 없다라는 사실입니다.
> 보안 전문가나 보안 업체가 결정권을 가진 사안이 아니고, 결국 금융권이 결정하게 될 사안일듯 하구요.
> 보안 업체나 보안 전문가를 애초에 오픈웹에서 비방하실 이유가 없었다라는 것이 결론이라면 결론입니다.
> 이제 오해가 풀렸으니 더 이상의 플레임워는 없어도 될 것 같군요.
>

> 2009/4/6 Hodong Kim <cogn...@gmail.com>

>
>
>
> > 그럼 결론이 나왔네요...
>
> > On Mon, 2009-04-06 at 10:14 -0700, dasony wrote:
> > > cogniti님/
> > > 앞선 논의를 읽어 봐주시길 바랍니다. 순수하게 SSL만 따로 때놓고
> > > 이야기 했을때 문제 없다는데까지는 xeraph님도 동의하셨습니다.
> > > 현재 가장 의견이 충돌하는 부분은 부분은 키보드 보안과 백신의
> > > ActiveX 배포 부분입니다. 그리고 이 것이 있는 것이 없는 경우보다
> > > 안전하다는 것 지극히 상식적인 이야기이기도 하고요.
>
> > > 참고로 구글 그룹 이메일로도 가능합니다. 오른쪽의 Edit my
> > > membership 부분에서 설정하시면 됩니다.
>
> > > On Apr 7, 2:10 am, cogniti <cogn...@gmail.com> wrote:
> > > > xeraph
> > > > 구글그룹....적응이 잘 안 되는군요...^^
> > > > (메일링 리스트를 웹에서 하는거 같군요. 그냥 이메일로 하는 방법은 없나요.)
> > > > 워냑 드루팔에 익숙해 있어서요^^
>
> > > > ssl 이 mitm 에 취약하다고 하는데...
> > > > 이것을 말씀하시는 건가요?
>

> --
> -matt

[Matt Oh]

적어도 이유없이 남을 비방하는 태도 보다는 낫지 않을까요?

얼마나 많은 보안 전문가들과 접촉을 시도하였는지 모르겠지만, 적어도 공개적으로 알려진 분들은 그러한 접촉을 받아 본 적이 없는 것 같습니다만.
왜 자꾸 남을 평가하려고 드시는지 이유를 알 수 없습니다.

2009/4/6 dasony <das...@gmail.com>

--
-matt

[NamX]

그 동안 어떤 사람하고 토론을 했는지 참... 이렇게 기본적인 상식도 없는 사람과... 제 스스로가 후회스럽습니다.

그러니까 지금 교수님의 주장은 김휘강 옹께서 www.blogger.com 페이지를 만질 수라도 있다는 말인거죠?

교수님께서는 이 사건의 진실이 밝혀지고 나면 그에 대해서 책임지시는 모습을 보여주기 바랍니다.

오픈웹의 대표라는 자격을 가진 사람으로서,
오픈웹 사이트에서 한 업체의 보안책임자의 명예를 심하게 훼손하였으니,
그에 합당한 책임을 지기 바랍니다.

제 생각에는 나중에 오픈웹 다시 오픈하고 나면 그에 대해 사과 공지 하는 것 정도가 적절해 보이네요.
물론 사과 공지에는 무엇을 잘 못 했는지 상세히 써야 하겠지요.

> > 한 번 오프라인에서도 끝까지 맞다고 우겨보세요.- 따온 텍스트 숨기기 -

[NamX]

peterpan 님이 하신 말씀은... 다음과 같은 김교수님의 주장 때문인 듯 하네요.

By youknowit -- 2009.04.02 @ am12:26

이런 말씀 드리면, 댓글 분위기가 "험악"해 질 수 있겠지만, 언제가는 한번 짚고 넘어가야 할 내용이라서, 말씀드립니다.

자기의 개인 블로그에서 스스로를 유수 기업의 '보안총괄책임자'라면서 자랑스럽게 자신을 소개하시는 어느 분의 경우, 그 블로그에
댓글을 다는 독자들에게 (그 독자의) 구글 계정 id 와 password 를 그 "보안총괄책임자"라는 분의 웹블로그에서 "직접
입력"하도록 칸을 만들어 두고 있습니다.

그분이 어떤 생각으로 이런 "서비스"를 제공하는지는 짐작이 갑니다. 구글의 블로그 서비스(www.blogger.com)의 경
우, 구글계정이 있는 어떤 독자가 댓글을 달려면, 구글계정 로그인 페이지로 자동 리디렉트 됩니다. 독자가 구글 페이지에서 id
와 password 를 입력하면, 페이지는 또다시 자동으로 해당 블로그로 돌아 오고, 댓글이 나타납니다.

'보안총괄책임자'라는 이 분은 페이지가 자동으로 구글로 갔다가, 다시 자기 블로그로 자동으로 돌아오는 과정을 "거추장 스럽
다"고 생각하신 듯 합니다. 독자들에게 모든 것을 "원 스톱"으로 한꺼번에 해결해 주면 "컴맹 독자들도 쉽게 댓글을 달 것"이라
고 생각하셨을 것입니다.

그래서, 아예 자기 페이지에서 독자들이 (독자의) 구글 id 와 password를 "입력"하도록 칸을 만들어 주시는 결정을 하
신 것 같습니다.

이렇게 친절하게 칸까지 만들어 주니, 아마, 하라는 대로 그 칸에 "아무 생각 없이" 자기의 구글 id 와 password를 또
박또박 입력하고 클릭을 누르는 독자들도 있을 것입니다.

저는 이 분이 자기 블로그에 방문하는 사람들의 구글 id 와 passord 를 챙기기 위하여 이런 짓을 한다고는 생각하지 않습니
다.

그분 스스로가 "워낙 정직하기 때문에" 모든 독자들이 자신을 "전적으로 믿고" 자기 페이지에서 독자의 구글 id 와
password를 그냥 입력하라고 권유하는 것입니다.

이런 분이 보안총괄책임자로서 활동하는 그 회사는 불행합니다.

저는, 국내에서 "보안전문가"라며 행세하는 분들의 수준을 신뢰하지 않습니다.

이와 유사한 사례를 워낙 많이 봐 왔습니다.

On 4월7일, 오전2시35분, Hodong Kim <cogn...@gmail.com> wrote:
> // peterpan
> 피싱 안 당해요...
> 이메일로 메일링리스트처럼 사용할 때,
> 메일 클라이언트, From 이름부분 확인하시고요...
> 전,,깜박해서 실명 공개되었습니다. ^^

>
>
>
> On Mon, 2009-04-06 at 10:22 -0700, Matt Oh wrote:
> > 문제는 여기서 결론을 내어 봐야 소용이 없다라는 사실입니다.
> > 보안 전문가나 보안 업체가 결정권을 가진 사안이 아니고, 결국 금융권이
> > 결정하게 될 사안일듯 하구요.
> > 보안 업체나 보안 전문가를 애초에 오픈웹에서 비방하실 이유가 없었다라는
> > 것이 결론이라면 결론입니다.
> > 이제 오해가 풀렸으니 더 이상의 플레임워는 없어도 될 것 같군요.
>

> > 2009/4/6 Hodong Kim <cogn...@gmail.com>

> > 그럼 결론이 나왔네요...
>
> > On Mon, 2009-04-06 at 10:14 -0700, dasony wrote:
> > > cogniti님/
> > > 앞선 논의를 읽어 봐주시길 바랍니다. 순수하게 SSL만 따로 때놓
> > 고
> > > 이야기 했을때 문제 없다는데까지는 xeraph님도 동의하셨습니다.
> > > 현재 가장 의견이 충돌하는 부분은 부분은 키보드 보안과 백신의
> > > ActiveX 배포 부분입니다. 그리고 이 것이 있는 것이 없는 경우
> > 보다
> > > 안전하다는 것 지극히 상식적인 이야기이기도 하고요.
>
> > > 참고로 구글 그룹 이메일로도 가능합니다. 오른쪽의 Edit my
> > > membership 부분에서 설정하시면 됩니다.
>
> > > On Apr 7, 2:10 am, cogniti <cogn...@gmail.com> wrote:
> > > > xeraph
> > > > 구글그룹....적응이 잘 안 되는군요...^^
> > > > (메일링 리스트를 웹에서 하는거 같군요. 그냥 이메일로 하는
> > 방법은 없나요.)
> > > > 워냑 드루팔에 익숙해 있어서요^^
>
> > > > ssl 이 mitm 에 취약하다고 하는데...

> > > > 이것을 말씀하시는 건가요?- 따온 텍스트 숨기기 -

[youknowit]

peterpan/
google.com 웹주소로 된 페이지에서 입력하는 정보는 모두 google.com 이 (원하기만 하면) access 할 수 있
습니다. 물론, 비밀번호는 쉽게 접근할 수 없도록 조치를 하긴 하지만. openweb.or.kr 웹주소로 된 페이지에서 입력하
는 정보는 모두 openweb.or.kr 이 access 할 수 있습니다.

제가 문제 삼는 것은 blog.**security.net 라는, (구글 도메인이 아닌 어떤 웹주소로 된 페이지에서), 독자가 구
글 계정 아이디와 pasword 를 입력하도록 권유하는 것은 보안의 상식에 어긋난다는 점입니다.

구글이 *.blogspot.com 이라는 도메인에서 개인블로그 서비스를 제공하고 있지만, 이 도메인에 있는 어느 개인의 블로그
에 접속하여 댓글을 남기려는 독자들에게 해당 블로그 페이지에서 "구글 id 와 password 를 입력하도록" 설계하지는 않습니
다.

구글이 구현하는 방법을 잘 관찰하시면, 독자는 오직 *.google.com 웹주소로 된 페이지에서만 구글 id와
password 를 입력하도록 해 두었습니다.

그렇기 때문에, blogspot.com 에 개설된 개인블로그에 댓글을 달려면, 해당 페이지와 구글을 "왔다 갔다"하게 되어 있습
니다. 이렇게 "왔다 갔다"하는 중요한 보안상의 이유가 있습니다. 이점을 이해하지 못하시면 할 수 없고요...

[dasony]

저는 평가한게 아니라 부탁드린 겁니다. 지난 몇 년동안처럼
남의 일처럼 보고만 계시지 마시고, 좀 proactive하게 나서 달라고요.

욕 해놓고 이런 소리한다고 생각하시겠지만, 저는 이 상황이
더 악화될까봐 뒤늦게 플레임에 뛰어들은 사람일 뿐입니다.

김기창 교수님이 개인적으로 누구와 접촉을 했는진 저도 모르겠습니다.
또 어떤 일이 있었길래 오픈웹이 그렇게 공격적인 스탠스를 취했는지도
잘 모르겠습니다. 저는 그냥 안타까울 뿐이죠.

처음부터 엔지니어들끼리 기술로 대화했으면 좋았겠죠.

[NamX]

이런 기초적인 것을 보여 드려야 합니까. 정말 초딩도 아니고 너무하네...

C:\Documents and Settings\남세동>nslookup blog.hksecurity.net
Server: kns.kornet.net
Address: 168.126.63.1

Non-authoritative answer:
Name: ghs.l.google.com
Address: 209.85.171.121
Aliases: blog.hksecurity.net, ghs.google.com

[dasony]

일반 사용자들이 리플 달때마다 IP조회 해가면서 구글 사이트 맞나 확인하는거
아니잖아요. 애초에 구글이라는 것을 확실히 알 수 있는 페이지에서 로그인하도록
하는 것이 올바른 방법이겠고요. 이런 소모적인 대화가 계속되어서 안타깝군요.

[NamX]

오픈웹의 대표가 다른 사람을 "명예훼손", "인신공격" 하였습니다.
이거 소모적인 논쟁이 결코 아닙니다.

올바른 방법? 무슨 얘기입니까?

김교수는 저걸 그렇게 설계 했다고 주장 하는데...
저걸 어떻게 설계 합니까?
서버 자체가 구글 서버인 걸...

> > Aliases: blog.hksecurity.net, ghs.google.com- 따온 텍스트 숨기기 -

[Matt Oh]

예. 그 부분에 대해서는 dasony님과 저는 의견이 일치하네요.

저도 안타깝습니다. 앞으로 양측이 서로 물고 뜯는 관계가 아니라

도울 것은 돕고 이해할 것은 이해하는 관계가 되기를 진심으로 바랍니다.

2009/4/6 dasony <das...@gmail.com>

[Matt Oh]

reply 달려고 하시면 blogger.com으로 페이지가 리다이렉트 되고 있습니다. 지금 확인해 보시길.

2009/4/6 dasony <das...@gmail.com>

--
-matt

[dasony]

Matt님/
예. 저도 그 사실을 알고 있습니다. 그래서 김교수님이 착각하신건지
그 사이 설정이 바뀐것인지 모르겠네요. 오픈웹 블로그에 스크린샷이
있었는데 확인할 수가 없으니.

아니면 google.com이 아니라 blogger.com이 나왔다는 것 자체를
문제 삼으신 것일 수도 있긴 하겠네요. 구글 측에서는 이 문제를
Google/Blogger 어카운트를 입력하라는 식으로 피해가고 있습니다만;

NamX님/
제가 소모적이라고 한 것은 중요하지 않다는게 아니라
이 모든 토론의 목적을 벗어난 이야기라는 의미였습니다.

저는 그저 이 상황이 답답할 뿐입니다..

[dasony]

뭐가 됐든 저는 이제 내일을 위해 자야겠네요 ㅠ

오픈웹과는 별개로 보안 전문가, 웹 표준 전문가 등이 모여서 가장
좋은 대안을 찾을 수 있는 공간이 필요할 것 같습니다. 현실이나 법
따위를 고려하지 않고 순수하게 기술적인 토론만 하는 곳으로요.

공인인증서, 플러그인 암호화, ISP결제, 안심결제, 키보드 보안,
온라인 백신.. 풀어야할 것들이 너무 많은데 말이죠.

김교수님도 피곤하실텐데 푹 주무시고 건설적인 방향으로 일을
진행시킬 수 있는 방법을 함께 고민했으면 좋겠습니다.

그럼 모두들 좋은 밤 되세요.

[NamX]

예.
저도 답답 하다는 점에 공감합니다.
그 근본 원인 중 하나는 "비전문가의 헛소리"에 있다고 생각하기 때문에, 이에 대해서 사과를 듣지 않고서는 못 넘어 가겠네요.

해당 사이트의 설정이 바뀌었건 어쨌건 간에 해당 사이트는 애초에 구글 서버였습니다.
구글 서버인 이상 구글의 서비스를 이용할 뿐 그런 것을 설계한다는 것은 말이 안 됩니다.
그렇다면 구글의 서비스를 이용하는 수많은 사람들이 다 그렇다는 것이고,
그런 기능을 제공하는 구글이 그렇다는 것인데,
김교수의 의견은 분명 그런 의견은 아니었으며, 그런 의견이라면 거참... 그것 또한 황당할 따름입니다.

> > -matt- 따온 텍스트 숨기기 -

[정태영]

지메일이 아닌 계정으로 open...@googlegroups.com 에 가입하게 되면 메일링 리스트에 글이 달릴 경우 메일로 답변이 옵니다.

쓰레드 방식으로 볼건지 말건지는 자유일테고, 답글을 달고 싶으시면 open...@googlegroups.com 으로 답장을 보내면 됩니다.

2009년 4월 7일 (화) 오전 2:10, cogniti <cog...@gmail.com>님의 말:

xeraph
구글그룹....적응이 잘 안 되는군요...^^
(메일링 리스트를 웹에서 하는거 같군요. 그냥 이메일로 하는 방법은 없나요.)
워냑 드루팔에 익숙해 있어서요^^

ssl 이 mitm 에 취약하다고 하는데...
이것을 말씀하시는 건가요?

--

[youknowit]

NamX/
당사자 본인께서 이제 이해하시고, 수정하셨으니, 더 이상 이문제로 논란을 벌이는 것은 별 의미가 없다고 생각합니다. 저의 지적
이 "비전문가의 헛소리"인지 여부는 해당 블로그를 운영하시는 분께 문의하시는 것이 오히려 좋겠습니다.

4.1.자 스크린 샷(부분)은 http://open-web.googlegroups.com/web/sakai_trim.png 에
있습니다. 해당 블로그의 내용과 날짜 등이 모두 포함된 풀 스크린 샷을 게시할 필요는 없을 듯하네요.

[NamX]

"비전문가의 헛소리"인지 여부는 당사자 포함, 구글 및 전세계 보안 관계자들에게 문의해야 할 듯 하고요.

해당 블로그의 내용/날짜 등은 "화이트"로 지우고 올리셔도 되니 풀 스크린샷을 올려 주시죠.

> > > - 따온 텍스트 보기 -- 따온 텍스트 숨기기 -

[youknowit]

NamX 님

요청하신대로 http://open-web.googlegroups.com/web/sakai_reply.png 에 게시하였습니
다.

화를 푸시기 바랍니다.

[NamX]

지금 장난 칩니까?

법 공부한 교수라는 사람이,
대표 자격으로 인신 공격이나 하고,
그것도 보안 문제 다룬다면서 보안의 기초도 모르면서 헛소리 하고,
그거 덮으려고 은근 슬쩍 넘어가려고 하고,
이래도 되는 겁니까?

애초에 풀스크린샷은 왜 안 올렸습니까?

정말 짜증이 너무 심하게 나서 도저히 참기 어렵네요.

On 4월7일, 오전3시43분, youknowit <keechang....@googlemail.com> wrote:
> NamX 님
>
> 요청하신대로http://open-web.googlegroups.com/web/sakai_reply.png에 게시하였습니

[NamX]

그러고보니 거짓말까지 했군요.

당사자가 뭘 이해하고 뭘 수정 했다는 겁니까?

지금도 보니까 댓글 다는 과정이 그때 그대로인데.

4월2일 당일에 "만우절 개그에요" 했던 것도 본인이 안 했다고 주장 하는데,
이제 그것도 믿기 어렵군요.

실력도 없고, 인신 공격이나 하고, 거짓말까지...
오픈웹을 위해서 오픈웹의 대표에서 물러 나시죠.

[Won-Kyu Park]

오픈웹이 김기창교수님 혼자가 주체가되어 돌아가는 것도 아니고
보안기초지식 운운하면서 왜 매도하는지 도대체 이해 안되는군요.

2009년 4월 7일 (화) 오전 3:48, NamX <dgtg...@gmail.com>님의 말:

> 지금 장난 칩니까?
>
> 법 공부한 교수라는 사람이,
> 대표 자격으로 인신 공격이나 하고,
> 그것도 보안 문제 다룬다면서 보안의 기초도 모르면서 헛소리 하고,
> 그거 덮으려고 은근 슬쩍 넘어가려고 하고,
> 이래도 되는 겁니까?
>
> 애초에 풀스크린샷은 왜 안 올렸습니까?
>
> 정말 짜증이 너무 심하게 나서 도저히 참기 어렵네요.
>

그냥 말없이 이 글을 구독하는 ROM구독자들이 이런 글을 읽으면 상당히 괴롭습니다.
글쓰신분의 수준을 가늠할 수 있는 그런 말은 되도록이면 자제해주시고
본 토론에 임해주시길 간곡히 부탁드립니다.

--
온갖 참된 삶은 만남이다 -- 마르틴 부버

[NamX]

다시 얘기 하자면, 본인 스스로 "오픈웹" 사이트에 사과 공지를 올리지 않는다면,
제가 제 블로그에 그 동안 있었던 "blog.hksecurity.net" 사건의 AtoZ를 올리도록 하겠습니다.

블랙 코미디가 따로 없겠군요.

이제 잡니다. 정말 어이가 없어서...

[Matt Oh]

오픈웹쪽에서도 점점 얘기가 통하시는 분들이 나오는 것 같아서 반갑습니다.

잘 얘기가 되기를 원합니다. 개인적으로 심한 말로 인식 공격한 부분은 제가

당사자가 아니니 이래라 저래라 할 수 있는 상황은 아닌 것 같구요.

 

일단 실수는 인정하신 것 같으니, 토론을 계속하는 것이 좋을 듯 싶습니다.

 

2009/4/6 Won-Kyu Park <wkp...@gmail.com>

--
-matt

[NamX]

대표의 자격에 관한 심각한 문제입니다.

진정한 "오픈"웹 유저들은 자신들의 대표의 "무지", "인신공격", "거짓말"에 대해 그냥 넘어가지 않으리라고 생각합니다. "오
픈"이니까요.

On 4월7일, 오전4시05분, Won-Kyu Park <wkp...@gmail.com> wrote:
> 오픈웹이 김기창교수님 혼자가 주체가되어 돌아가는 것도 아니고
> 보안기초지식 운운하면서 왜 매도하는지 도대체 이해 안되는군요.
>

> 2009년 4월 7일 (화) 오전 3:48, NamX <dgtgr...@gmail.com>님의 말:

> 온갖 참된 삶은 만남이다 -- 마르틴 부버- 따온 텍스트 숨기기 -

[youknowit]

저는 위 댓글 중, Matt Oh, dasony 님의 언급을 보고, 저도 다시 확인해 보니, id 와 password 입력부분
이 사라졌길레 그렇게 적었습니다. http://groups.google.com/group/open-web/msg/5263b740c248680a?hl=ko

그 사이 바뀌었는지는 모르겠습니다.

NamX 님 아무쪼록 화를 푸시면 좋겠습니다.

[NamX]

변명 하려 하면 할수록 어이 없어진다는 거 아시죠?

그러니까 지금

"아, 제가 로그인 된 상태에서 댓글을 달 때에는 "아이디/패스워드" 입력창이 안 보이는 거였군요!"

이렇게 주장하려는 참인거죠?

정말 이러고도 오픈웹 대표 자격이 있는 겁니까?

On 4월7일, 오전4시16분, youknowit <keechang....@googlemail.com> wrote:
> 저는 위 댓글 중, Matt Oh, dasony 님의 언급을 보고, 저도 다시 확인해 보니, id 와 password 입력부분

> 이 사라졌길레 그렇게 적었습니다.http://groups.google.com/group/open-web/msg/5263b740c248680a?hl=ko

[Matt Oh]

예...서로 이해할 필요가 있는듯 하네요.

 

법 전공자이시니 저희들처럼 맨날 컴퓨터에 관한 것만 연구하고 업으로 삼는 사람들이랑은 다를 수 밖에 없다는 점을 서로 인정해야 할 것 같습니다.

NamX님도 NamX님이지만 김휘강님이 화를 푸셔야 할듯 합니다.

오프라인 모임도 한번 가져 보는 것도 서로 오해를 푸는데에 좋을 것 같습니다.

2009/4/6 youknowit <keecha...@googlemail.com>

[NamX]

좋습니다. 그럼 이제 이게 다 "무지"의 소산이었다고 칩시다. (믿지 않습니다만)

어쨌든 그럼 오픈웹 대표 자격으로 본인의 "무지"함으로 인해 "오픈웹" 사이트에서 "조롱" 당하고, 인신 공격을 당하고, 명예
훼손을 입은 분께는 사과 공지를 올려 주시기 바랍니다. 그게 오픈웹 대표로서 평소에 운동 해 오던 방식과도 잘 들어 맞는 방식
인 것 같네요.

오픈웹 운동을 하시는 분이니 만큼 마음이 "오픈" 되어 있기를 바랍니다.

On 4월7일, 오전4시28분, Matt Oh <oh.jeongw...@gmail.com> wrote:
> 예...서로 이해할 필요가 있는듯 하네요.
>
> 법 전공자이시니 저희들처럼 맨날 컴퓨터에 관한 것만 연구하고 업으로 삼는 사람들이랑은 다를 수 밖에 없다는 점을 서로 인정해야 할 것
> 같습니다.
>
> NamX님도 NamX님이지만 김휘강님이 화를 푸셔야 할듯 합니다.
> 오프라인 모임도 한번 가져 보는 것도 서로 오해를 푸는데에 좋을 것 같습니다.

> 2009/4/6 youknowit <keechang....@googlemail.com>

[Won-Kyu Park]

저는 이러한 해프닝이 오히려 자연스럽게 이해되는군요.

우리는 기술적인 측면에 너무 의지하고 법쪽 분야에 전혀 전무합니다.

내가 만들어놓은 기술이 일반 사용자에게 어떻게 다가가거나 이해될지를 전혀 알지 못하다가,
어느날 최종사용자의 질문에 한방 얻어맞고 잘못된 것이 있구나를 느끼기도 합니다.

그러기때문에 김교수님의 오픈웹 활동이 많은 사람들에게 지지를 받는것입니다.
기술자적 입장 말고 법률가적인 입장의 발언과 글이 우리에게 힘이되리라고 믿는것이구요.

잘못된 부분은 기술자들이 해결하면 되고, 우리가 할 일이 있고 김교수님이 할 일이 있다는 것으로 이해한다는 것입니다.

그런데 일련의 최근 블로거들이 쏟아내는 엑티브X관련 토론은 기술적 논쟁보다는 되려 김교수님 까대는 얘기라거나,
논쟁의 핵심을 빗겨가는 허수아비 공격들이 주종을 이루더군요.

지금 NamX님이 비전문가 운운하면서 그 실수를 공격하는것도 전혀 이상해 보이지 않을 정도입니다.

그리고 저는 오히려 blogger 사이트에서 버젓이 구글 비번을 입력하라고 나온게 의아할 정도네요ㅋㅋ
구글이 저런 짓을 했던지가 오히려 의심이 들정도로 ㅋ
(저는 웹상에서 댓글달때 거의 익명으로 씁니다. 구글을 선택한 적이 없었기때문에 저런게 있었는지도 몰랐습니다ㅋ)

사소한 것에 오픈웹 사이트 사과 게시 운운은 진정 코메디입니다.
토론의 격을 생각하세요. 오픈웹이 무슨 김교수님 개인사이트도 아닌 것인데 사이트 전체 사과게시 운운 자체가
지금까지 토론의 격을 낮추게 되는 것임을 인지하세요.

2009년 4월 7일 (화) 오전 4:16, youknowit <keecha...@googlemail.com>님의 말:

[Matt Oh]

뭐 오픈웹에서도 근거 없이 비방을 일 삼았던 적이 있으니 이제 이 부분은 당사자들의 결정에 맡겨야 할 것 같습니다. 오픈웹도 이제 토론에 임하실 자세가 된 것 같고 그러니 결과적으로 나쁘지 않은 것 같군요. 뭐 다들 늦었으니 주무시고 내일 또 다시 토론을 해보는 것도 좋을 것 같습니다. 다들 잘 주무시기를...

2009/4/6 Won-Kyu Park <wkp...@gmail.com>

--
-matt

[NamX]

예.

박원규님께서 말씀하신 잣대를 그대로 김교수님께 들이대 보면 되겠군요.

누가 누굴 어떻게 비방하면서 이 일이 일어나게 되었는지...

"비전문가 운운", "논쟁의 핵심을 빗겨가는 허수아비 공격"은 아마 김교수님의 이런 언행,

* "이런 분이 보안총괄책임자로서 활동하는 그 회사는 불행합니다.
* 저는, 국내에서 "보안전문가"라며 행세하는 분들의 수준을 신뢰하지 않습니다. "

이런 언행에 어울리는 말씀이라고 생각 합니다만.

On 4월7일, 오전4시39분, Won-Kyu Park <wkp...@gmail.com> wrote:
> 저는 이러한 해프닝이 오히려 자연스럽게 이해되는군요.
>
> 우리는 기술적인 측면에 너무 의지하고 법쪽 분야에 전혀 전무합니다.
>
> 내가 만들어놓은 기술이 일반 사용자에게 어떻게 다가가거나 이해될지를 전혀 알지 못하다가,
> 어느날 최종사용자의 질문에 한방 얻어맞고 잘못된 것이 있구나를 느끼기도 합니다.
>
> 그러기때문에 김교수님의 오픈웹 활동이 많은 사람들에게 지지를 받는것입니다.
> 기술자적 입장 말고 법률가적인 입장의 발언과 글이 우리에게 힘이되리라고 믿는것이구요.
>
> 잘못된 부분은 기술자들이 해결하면 되고, 우리가 할 일이 있고 김교수님이 할 일이 있다는 것으로 이해한다는 것입니다.
>
> 그런데 일련의 최근 블로거들이 쏟아내는 엑티브X관련 토론은 기술적 논쟁보다는 되려 김교수님 까대는 얘기라거나,
> 논쟁의 핵심을 빗겨가는 허수아비 공격들이 주종을 이루더군요.
>
> 지금 NamX님이 비전문가 운운하면서 그 실수를 공격하는것도 전혀 이상해 보이지 않을 정도입니다.
>
> 그리고 저는 오히려 blogger 사이트에서 버젓이 구글 비번을 입력하라고 나온게 의아할 정도네요ㅋㅋ
> 구글이 저런 짓을 했던지가 오히려 의심이 들정도로 ㅋ
> (저는 웹상에서 댓글달때 거의 익명으로 씁니다. 구글을 선택한 적이 없었기때문에 저런게 있었는지도 몰랐습니다ㅋ)
>
> 사소한 것에 오픈웹 사이트 사과 게시 운운은 진정 코메디입니다.
> 토론의 격을 생각하세요. 오픈웹이 무슨 김교수님 개인사이트도 아닌 것인데 사이트 전체 사과게시 운운 자체가
> 지금까지 토론의 격을 낮추게 되는 것임을 인지하세요.
>

> 2009년 4월 7일 (화) 오전 4:16, youknowit <keechang....@googlemail.com>님의 말:

>
>
>
>
>
> > 저는 위 댓글 중, Matt Oh, dasony 님의 언급을 보고, 저도 다시 확인해 보니, id 와 password 입력부분

> > 이 사라졌길레 그렇게 적었습니다.http://groups.google.com/group/open-web/msg/5263b740c248680a?hl=ko

[NamX]

혹시나 모르시는 분들이 있을 듯 하여,
첨언 드리면 아래 언행은 이번 사건의 바로 그 블로그 담당자에 대해서 김교수님께서 적은 글 중입니다.

[ActiveX사라져라]

아 댓글 어떻게 다나요? 리플로 밖에 못올리겠네요 SSL이 안좋다고 말하는것은 보안업체가 자기들이 장사할려고 밥그릇챙길려고 하
는 헛소리입니다 그걸 공무원들은 모릅니다

On Apr 7, 1:44 am, xeraph <xer...@nchovy.com> wrote:
> 그 때 덧글 보고 실수한 걸 깨달으신 줄 알았는데 아직도 모르시는군요.
>
> 다시 가서 제대로 확인하시기 바랍니다.
>
> 구글에서 원래 그렇게 만들어 놓은 것 뿐인데.. 구글이 이제 보안에 무지한 기업이 되겠군요. 헛 참..
>
> On 4월7일, 오전1시34분, youknowit <keechang....@googlemail.com> wrote:
>
>
>
> > 피싱사이트에서도 id와 password 를 입력할지 말지는 이용자의 자유입니다.
>
> > 그분의 사이트가 피싱사이트라는 이야기가 아닙니다. 10년 넘게 보안일을 해 오셨다는 분이 그런 식으로 자신의 사이트를 설계한다
> > 는 것 자체가 저는 신기할 따름입니다.
>
> > 제 댓글에 설명된 내용을 이해못하시는 분도 부지기수이고, 바로 그 당사자 분도 아직 자신이 무슨 일을 하시는지 이해하시는 것 같
> > 지는 않습니다.
>
> > On 4월7일, 오전1시29분, xeraph <xer...@nchovy.com> wrote:
>
> > > 둘러대지 마십시오. 입력하고 안 하고는 자유입니다.
>
> > > 그러나 그걸 가지고 자세한 사실 관계 파악도 없이,
> > > 국내에서 10년 넘게 보안 전문가로 일해 온 사람을,
> > > 허세나 부리는 믿을 수 없는 사기꾼 취급한 것에 대해 분명히 사과하셔야 합니다.
>
> > > 뱅킹 보안은 그렇게 열심히 공부하신 분이 그런 변명을 하십니까?
> > > 그리고 비단 이 건만이 문제였습니까?
>
> > > 그리고 논쟁에 접근하는 태도를 분명히 하셔야 합니다.
>
> > > 지금까지처럼 자기 주장에 불리한 정보는 고의로 무시하거나 누락하고,
> > > 유리한 내용만 갖다 붙이는 행동을 계속 하시면 누구도 돌아보지 않을 것입니다.
>
> > > 또 다른 문제..
>
> > > 분명히 예전에는 다른 브라우저 플러그인을 지원해야 한다고 하시더니
> > > 요새는 플러그인 자체가 악이라고 주장하시고.. 어느 장단에 맞춰야 합니까.- Hide quoted text -
>
> - Show quoted text -

[ActiveX사라져라]

댓글 어떻게 올리나요?

On Apr 6, 11:19 pm, youknowit <keechang....@googlemail.com> wrote:
> http://groups.google.co.kr/group/open-web/web/ssl-tls?hl=en을(를) 클릭하거나 연
> 결되지 않을 경우 브라우저의 주소창에 해당 URL을 복사하여 붙여넣기 하세요.

[dasony]

힘들게 오해를 풀면서 조금씩 토론을 이어가고 있는데 이런 내용은 지양해주셨으면 합니다.
토론을 통해 플러그인을 이용한 암호화 방식이 SSL에 비해서 근본적인 이점은 없으며,
대체해도 괜찮다는 점에 대해 어느 정도 동의가 이루어졌다고 생각합니다.
이제 form-signing (공인인증서)와 키보드보안/백신의 문제로 넘어갔으면 합니다.

[ActiveX사라져라]

form-singing과 키보드보안/백신은 필요가 없으니 그냥 빼버리는게 어떨까요?

> > > - Show quoted text -- Hide quoted text -

[ActiveX사라져라]

외국에는 그런거 안쓰고 https나 ssl로 해도 보안사고가 거의 없습니다 왜 그런가요?

On Apr 7, 1:13 pm, Hodong Kim <cogn...@gmail.com> wrote:
> 요새 해킹 기법들이 정교해서
> 일반 사용자들은,
> 보안 프로그램이 없으면 해킹 당하기 쉽습니다.
> 배포 방식의 문제이지...
> 보안 프로그램 자체가 문제가 되지는 않는거죠.
>
> 만약 MAC 주소나, 하드 시리얼을 수집한다면,
> 설치시에 동의버튼 만들어 주면 되면 해결되는 부분입니다.
>
> 당장 액티브X로 설치하는 보안프로그램을 당장 걷어내면,
> 내일이라도 금융사고가 터질 가능성도 배제할 수 없는 거고요.

[Seung Wan Lee]

이것은 좀 잡담이긴 한데요..
오픈웹의 주장대로만 가면 가장 이득이 많은것은 베리사인이나 써트같은 외국 SSL 인증서 발행 회사입니다.

이 회사들은 엔터프라이즈 환경 운운하면서 최선의 선택으로 128비트 암호 강도의 인증서를 사용할 것을 권장하고 있습니다.
그런데 이런 128비트 인증서가 1개의 도메인에 1년에 80만원 정도 하는데 비용이 꽤 됩니다.
일반적인 보안 전문가 견해로는 웹에서 SSL용으로 사용하는데 32비트 보안 강도면 충분하다고 합니다.
그런데 32비트, 64비트는 이미 깨졌기 때문에 안전한 인터넷 뱅킹같은 환경을 위해서는
128비트를 사용하라고 권장하고 있으며 가격을 몇배 올려받고 있습니다.

보안 강도를 올리고 얄팍한 상술로 사용자를 기만하고 있는 측면이 있습니다.
128비트 깨진다고 발표되면 강도를 256비트로 올리고 가격도 몇배 더 올릴것이 분명합니다.,'

 

오픈웹 주장대로 하면 이들만 더 배를 불릴수도 있는데

제 입장에서는 상식적으로 불합리 합니다.

 

이런 사항에 대해서 문제제기를 해주실 수는 없습니까?

 

 

2009년 4월 7일 (화) 오후 12:45, dasony <das...@gmail.com>님의 말:

[ActiveX사라져라]

님 ssl은 이제 표준이 되서 로얄티를 받지않습니다 옛날생각을 가지고 계시는듯하네요

> > > > - Show quoted text -- Hide quoted text -

[ds1405s]

음.. 이것도 잡담이긴 한데요,,
표준화된 SSL은 프로토콜이고,,
이 프로토콜대로 동작하려면 서버용 인증서를 (매년)발급받아야 하는데 그 비용을 얘기하신 겁니다..
EV인증서는 좀 더 비쌉니다.

[Seung Wan Lee]

베리사인이나 서트의 같은 공인인증 기관의 서명이 없으면

인증서에 서명이 되지 않았다고 브라우저에 아주 큼지막하게 보안 경고창이 뜹니다.

 

사용자는 그때마다 해당 인증서를 저장하고 사용하겠다는 예 예 를 계속 눌러야 합니다.

개인 피시에 테스트용 SSL인증서를 설치해 보시고 테스트 해 보세요~~

2009년 4월 7일 (화) 오후 1:20, ActiveX사라져라 <retur...@naver.com>님의 말:

[dasony]

ActiveX사라져라님/
SSL은 표준이지만, 공인인증기관에서 공인하는 SSL인증서는 비용이 듭니다.

이승완님/ 비용으로 따지면 윈도로 나가는 비용이 더 크지 않을까요? ^^;
이건 농담이고요, SSL 인증서 발급기관은 국내 KISA도 있습니다.
KISA CA인증서가 윈도나 리눅스 등에 기본 탑재되었는지는 잘 모르겠습니다.
하지만 탑재 과정이 많이 어렵지는 않으니 노력하면 해결할 수 있을겁니다.

그리고 SSL 시장도 이제는 자유 경쟁이 심하다보니, 몇몇 기관들을 제외하고는
저렴하게는 1년에 10불대의 인증서도 있습니다. 아직 MS에 인정은 못받았지만
타 브라우저에서는 잘되는 SSL인증서를 무료로 제공하는 곳도 있고요.

애초에 64비트가 불충분하다고 해서 생겨난게 지금의 SEED이고 지금의
국내 암호화 시스템입니다. 128비트 이상 써야하는 것이 맞고, 시간이
지나면 256비트 써야하는 것이 맞지요. 당장은 가격이 오르더라도,
때가 되면 다시 가격이 내려갈 것으로 생각합니다.

그리고 국내 수많은 업체에서 SSL 인증서를 받아서 사용하고 있는데,
금융 기관 몇개에서 SSL 인증서 사용한다고 해서 걱정할 정도로
외화 반출이 되지는 않을 겁니다. ^^;

On 4월7일, 오후1시20분, ActiveX사라져라 <returni...@naver.com> wrote:

[ActiveX사라져라]

그런가요? 그렇다고칩시다 그럼 보안업체에서 제공하는 자칭 보안프로그램은 돈 안줍니까? 다 돈주고 구입하는겁니다 ssl이나 다른
게 없습니다 오히려 보안을 해치고 돈만 많이 받는 우리의 자칭 보안프로그램은 좀 사라지는게 좋을것같습니다

[dasony]

ActiveX사라져라님.
맥락을 무시하고 동일한 주장을 반복적으로 올린다고 해서 상황이 바뀌지 않습니다.
좀 진정하시고 지금까지 해온 논의를 지켜봐주실 것을 부탁드립니다.
뭐는 나쁘고 뭐는 좋다 무자르듯 잘라서 해결할 수 있는 문제는 아닙니다.
열정만은 감사드립니다.

[Seung Wan Lee]

좋은 말씀 이시네요...

 

이래가나 저래가나 문제는 끊이지 않을 것입니다.

ActiveX 를 당장 웹에서 제거한다면 당장 ActiveX 문제는 해결될 지언정

더 큰 혼란과 예상치 못한 문제를 불러올 수도 있습니다.

 

그런것에 대한 검토는 충분히 이루어 졌는지요?

 

지금 문제가 있다는 대의에는 누구나 공감하는것은 사실입니다.

보다 장기적이고 큰 흐름에서 더 좋은 대안은 있을 것입니다.

 

2009년 4월 7일 (화) 오후 1:43, dasony <das...@gmail.com>님의 말:

[정태영]

답장으로 보내면 됩니다. 클라이언트에서 Thread 보기 (글타래 보기?) 같은 기능을 지원할 경우 트리 형태로 볼 수도 있구요.

2009년 4월 7일 (화) 오후 12:43, ActiveX사라져라 <retur...@naver.com>님의 말:

--
--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다.

http://mytears.org

[ActiveX사라져라]

dasony// 님이야말로 맥락을 무시하고 동일한 쉬운 주장을 반복적으로 고의로 회피한다고 해서 님의 거짓은 바뀌지 않습니다
좀 진정하시고 논의는 할 필요가없습니다

[ActiveX사라져라]

ActiveX가 사라지면 보안업체의 밥그릇이 없어질문제빼고는 아무문제도 없습니다

> > 열정만은 감사드립니다.- Hide quoted text -

[dasony]

On 4월7일, 오후2시09분, ActiveX사라져라 <returni...@naver.com> wrote:
> dasony// 님이야말로 맥락을 무시하고 동일한 쉬운 주장을 반복적으로 고의로 회피한다고 해서 님의 거짓은 바뀌지 않습니다
> 좀 진정하시고 논의는 할 필요가없습니다

제가 무슨 거짓말을 했나요? 너무 힘빠지게 하시는군요.

[ActiveX사라져라]

저도 님 때문에 힘빠지게됩니다

[Mountie Lee]

공인인증 MIMETYPE 표준화 관련 업근해주셨는데
저의 생각은
전자서명 표준 포맷을 XML Signature(XMLDSIG)도 검토하였으면 합니다.
W3C 권고안이고 Application Layer에서의 활용도를 보장할 수 있습니다.

2009/4/7 Tae-young Jung <nae...@gmail.com>

제가 아까 블로그에 남겼던 글에서 장황하게 써두었지만...

MITM 공격을 간단히 설명하자면

1. 공격자가 AP를 가장
2. 사용자가 인터넷에 사용하기 위해 AP를 가장하고 있는 공격자로 접속 - 이를 통해 인터넷질...
3. 인터넷 뱅킹등을 이용하려고 하면 변조된 DNS 등을 이용하여 아래와 같은 식으로 통신을 하게 됩니다.

클라이언트 <-HTTPS통신-> 공격자 <-HTTPS-> 서버

물론 클라이언트 측에서는 보안 경고창이 뜨겠죠. 서버 인증서가 유효하지 않다고, 하지만 (통계적으로) 90%에 달하는 사용자들
이 이에대해 '예' 를 클릭한다고 합니다. 그로 인해 정보를 가로채고 위 변조 할 수 있게 되는 문제죠.

그런데, 이게 플러그인 방식이라고 다르냐! 똑같은 문제가 발생할 수 있습니다. 결론부터 얘기드리자면 그놈이 그놈이란 겁니다.



다른 글에서 방준영씨는 '해외 이용 사례 중 페이팔 피싱'을 들어 외국에서도 문제가 많음을 얘기하고 있습니다. 또한 '공인인증서
와 보안 접속은 상관없으니 공인인증서를 사용하지 말자? 헛소리!' 정도 얘기를 하고 있는데,

우선 공인인증서와 보안 접속은 상관이 없기 때문에 위 이야기는 조금 핀트가 어긋났다고 할 수 있습니다.

공인인증서는 보안 채널을 생성하는데 사용되는 것이 아니라 자신이 거래했다는 것을 증명하기 위한 목적으로 (마치 PGP
Signature와 같이) 사용됩니다. OpenPGP를 활용해서 자신이 보낸 이메일을 입증하는 방식으로는 Enigmail 등이
있으며, 이 방식이 딱 공인인증서 + 거래증명 과 동일한 것을 의미한다고 볼 수 있을 것입니다.

참고로 Enigmail은 다음과 같이 동작합니다.

1. 이메일 내용을 해슁
2. 해슁한 문자열을 자신의 비밀키로 암호화
3. 이메일을 받는 사람은 자신의 공개키로 암호화된 문자열을 복호화하고, 메일 내용의 해쉬값과 비교!

결과적으로 보낸 사람을 증명할 수 있음.

전자 서명은 어떨까요?

1. 전송되는 값을 해슁
2. 이 해슁 값을 공인인증서로 암호화
3. 받아보는 쪽에서 디코딩해서 증명...

뭐 내용 증명이건 내용 확인이건... 어쨌거나 표현의 차이일 것 같고... 위에서 예로든 Enigmail과 동일한 것을 볼 수
있습니다.



kldp의 '리눅스, 키보드 보안'과 같은 글들을 보게 되면 리눅스 등에서 키보드 보안 모듈을 깔려고 하는 것이 얼마나 비상식적
인 것임을 알 수 있습니다. 맥에서도 비슷한 얘기일 것으로 보이고요.

윈도우는 아무래도 비상식적인 사용자들이 많고, 오랫동안 취약점 등이 노출되어 왔습니다. 이런 취약한 OS와 다른 OS에 동일한
기준을 적용한다는 것은 넌센스라고 생각하며, 절충안으로 Windows+ IE에서는 지금과 같은 체제를 유지...

하지만 타 브라우져, 타 OS에 한해서는 안티바이러스, 안티키로거 기능 사용을 Optional하게 처리할 수 있도록 해야한다고
봅니다.

그리고 해결해야할 문제가 둘 더 있죠. 공인인증 플러그인과 보안 채널 바로 그것인데요. 이와 관련해서는 100번을 생각해도 똑같
은 답 밖에는 생각나질 않습니다.

* 보안 채널은 HTTP over SSL로 전환
* 공인인증을 위한 마임타임 및 API를 표준화

뭐 보안 채널 문제야 별로 얘기할 필요가 없을 것 같고... 공인인증 API 표준화 부분...

ActiveX나 plugin이나 어떤 마임타입을 가지는 object가 삽입되었을 경우 그에 대한 핸들러로써 호출이 됩니다. 또
한 둘 다 동일하게 javascript로 해당 객체를 조절할 수 있는 인터페이스를 가지죠.

자 그렇다면 공인인증을 위한 mimetype을 표준화하고, 공인인증 API (플러그인에 값을 넘겨주고 전자 서명된 값을 넘겨받
기 위한 인터페이스) 를 표준화할 경우 다음과 같이 사용할 수 있을 것 입니다.

1. 공인인증용mimetype을 가지는 object가 삽입 -> 이 mimetype에 대한 플러그인이 활성화 (종류는 상관 없
음)
2. 이 object의 메쏘드를 사용하여 공인인증 진행
3. 만약 공인인증용 플러그인이 존재하지 않는 플랫폼이라면 표준 문서를 보고 직접 구현을 하면 됨.

끝! 사람들은 모두 행복하게 인터넷 뱅킹을 사용할 수 있게 되었습니다.

낼 아침 첫 수업이라 일찍 자야하는데, 글이 길어졌네요.

--
Mountie Lee

Tel : +82 2 2140 2700
E-Mail : mou...@paygate.net

=======================================
PayGate Inc.
* WEB STANDARD PAYMENT
* PCI DSS 100% COMPLIANT
* www.paygate.net 
* pay...@paygate.net

[Matt Oh]

일단 분위기가 헐뜯는 분위가 사라진것으로 보고, 일단 제가 틈틈히 관련 있는 보안 이슈들을 알려 드리겠습니다.

 

물론 이러한 내용들은 "이거봐라 SSL이 이렇게 취약하지 않느냐"라는 의미로 해석하시지 마시기 바랍니다.

그냥 저는 보안 쪽에서 주로 어떤 내용이 오가나 참고해 보실 자료를 제공하고 시간이 되면 설명을 해 드린다든지 그런 입장에 서겠습니다.

뭐가 우수하고 어느게 뚫리고 이런 내용은 사실 쉽게 결론 내기 힘든 내용이지요.

 

오늘은 일단 링크 하나를 드리겠습니다.

https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf

최근 블랙햇 DC에서 발표된 내용인데 기술적으로 별로 어려운 내용이 아니면서도 SSL관련된 보안을 무력화 시킬 수 있는 트릭들을 정리해 놓은 내용입니다.

 

참고 삼아서 읽어 주시면 감사하겠습니다. 이러한 내용에 대해서 플레임워가 붙는다든지 하는 일은 없었으면 하구요.

그냥 말 그대로 참고해 주시기 바랍니다.

2009/4/7 Mountie Lee <mou...@paygate.net>

--
-matt

[Mountie Lee]

한번 소개되었던 내용이고
진지하게 검토하였습니다.

제가 생각하는 대응 방안은

SSL Client Certificate를 활성화하는 것입니다.

이렇게 Client인증을 Client Certificate으로 하게 되면 소개한 링크에서의 모든 시도를 무력화할 수 있습니다.

지난번 답변에서 Secure Cookie를 언급하였었는데 sslstrip에서는 불필요한 string을 strip해버리면 되니 secure cookie는 해답은 아닐것 같습니다.

그리고 소개내용중에서 아주 중요한 과정하나가 잘 다루어지지 않았는데

sslsnif나 sslstrip을 유저와 서버중간에 위치시키는 과정이 필요합니다.
중간에 위치시키려면 유저 PC에 침입하여 hosts file을 변경하거나
Network의 DNS Server 응답을 변조하는 등의 과정이 필요하고
공격자 입장에서는 네트웍이나 서버를 공격하기보다
유저 PC를 공격하는게 더 쉽겠다는 생각입니다.

일단 공격자가 유저 PC에 침입하면 sslstrip을 거치도록 유저 hosts file을 변경할 필요없이
다른 행위도 할수 있다는 상상은 충분히 해봅니다.

기존 국내 인터넷 뱅킹도 sslstrip 또는 가칭 http-strip 등을 거치면 마찬가지의 위험에 처한다는 개인 생각입니다.
 

2009/4/8 Matt Oh <oh.jeo...@gmail.com>

[Matt Oh]

아 그렇군요. 제가 인터넷 뱅킹 쪽 프로토콜은 하도 오래 전에 보아서...

스트리핑이 가능한 구조인가요? 제가 알기로는 ActiveX에 페이로드 형태로 전달 되었던 것 같은데.

평문 데이타가 전달 되면 공인 인증 모듈이 받아 들이는지 궁금하네요?

2009/4/7 Mountie Lee <mou...@paygate.net>

--
-matt

[Matt Oh]

아 그리고 얼마전에 발견된 다음과 같은 취약점도 있으니 주지해 놓으시는 것이 좋을 것 같습니다.

http://nchovy.kr/forum/2/article/417

2009/4/7 Matt Oh <oh.jeo...@gmail.com>

--
-matt

[Mountie Lee]

국내 인터넷 뱅킹은
SSL Client 인증과 마찬가지로 인증서로 유저를 인증하기 때문에
역시 sslstrip (가칭 http-strip, sslstrip이라는 용어를 사용할 수 없는 이유는 국내 인터넷 뱅킹은 ssl 을 사용하지 않기 때문에 그냥 가칭 ... 라고 정했습니다.)
이 무력화됩니다.

그래서 공격자들은
공인인증서를 통째로 가져가고 키로거등을 통해서 비밀번호등을 확인하여 다른곳에서 뱅킹 이체를 하지 않았나 생각됩니다.

SSL Client 인증이나 국내 뱅킹에서 사용하는 ActiveX 인증방식이 sslstrip을 무력화할 수 있다는 보안 수준은 동일합니다.
단 동작환경이 SSL Client 인증은 좀더 다양하다는 차이점이 있습니다.

2009/4/8 Matt Oh <oh.jeo...@gmail.com>