Re: 정교한 해킹 기법들에 대한 대응책 모색
dasony
리 인터넷뱅킹을 99.9% 사용할 수 있는 90점짜리 인터넷뱅킹으로 발전시키는 것입니다. 95점이나 100점을 만들 수 있을 것
이라고 생각하지 않습니다. 사실 90점도 어렵겠지요. 90%만의 90점보단 99%의 85점이 낫다고 생각하지만, 이건 동의하지
않는 분들이 많으시겠지요. 그래서 90%를 위한 90점을 유지한 채 9%에게는 80점짜리를 제공하자는 대안을 내놓는 것이고요.
어찌됐든 재미있는 이야기를 하셨으니까 그에 대해 제 의견을 말씀드리면, 아시다시피 완벽한 보안은 없습니다. 그런데 온라인 뱅킹
만 그런 것은 아니죠. 은행에 가서 ATM 카드를 사용하는 것 역시 위험합니다. 은행창구 사용도 위험해요. 정교한 범죄자가 은행
창구에 자기 사람을 심었을 수도 있고, 알고보니 은행 영업점 자체가 가짜였을지도 모릅니다! 그뿐이 아니죠. 집에 오고가는 길에
언제 날치기를 당할지도 모르고요. 집에 돈을 쌓아뒀더니 불이 날지도 모르는 일입니다.
농담처럼 들리시겠지만, 제가 드리고 싶은 말은 결국 각자가 항상 위험을 인지하는 수 밖에 없다는 것이지요. 저는 큰 수의 소인수
분해가 어렵다는 PKI 시스템의 전제가 깨질 수도 있다는 가정까지 하고 살고 있습니다. =)
swlee
보안 대책은 최악의 상황을 기준으로 합니다.(컴맹 + 바이러스 감염된 pc + 백신 없음 + 개인 방화벽 없음)
10만명이 인터넷 뱅킹을 하는데 1명이 문제가 발생하면 십만분의 일이지만..
그 십만분의 일 때문에 보안 대책이 필요한 것이죠..
왜냐면 지금은 십만분의 일이지만 나중에는 만분의 일, 천분의 일이 얼마든지 될 수 있으니까요..
그리고 천분의 일이 될때가지 막을 수 있는 대안이 없다면..
인터넷 뱅킹같은 RISK가 큰 경우는 기업이나 국가 입장에서는 아예 접어야 합니다.
개인이 감수하고 안하고는 정말 개인차일 뿐이거든요,,
현재 ActiveX의 문제점을 개선하기 위한 대안으로
오픈웹의 주장하는 방식대로 웹 표준이 되어 기존의 보안 수준이 제거되었을때
발생할 수 있는 문제점에 대해서도 논의해볼 필요는 있습니다. =)
Won-Kyu Park
> 보안 관계자 분과 오픈웹 관계자 분들의 시선 차이가 아니겠습니까..
>
> 보안 대책은 최악의 상황을 기준으로 합니다.(컴맹 + 바이러스 감염된 pc + 백신 없음 + 개인 방화벽 없음)
> 10만명이 인터넷 뱅킹을 하는데 1명이 문제가 발생하면 십만분의 일이지만..
> 그 십만분의 일 때문에 보안 대책이 필요한 것이죠..
>
FOSS에 관련되신분과 보안관계자(PC 기반)은 기본적으로 이 부분에서 차이가 나는 것 같습니다.
리눅스사용자의 경우는 왠만해서는 root로 로그인 안하도록 학습되어있고, root권한을 일반 사용자가 왠만해서는
쓰지 않습니다. 일상적인 경우에 거의 root권한이 필요 없다고 생각하죠.
root권한이 빼앗겼다고 의심되는 증후에 매우 민감하게 반응합니다. 시스템을 바로 다시 깔거나
조치를 취합니다.
반면 일반PC사용자는 여기서부터 학습이 덜 되어있고 시스템 관리자로 로그인하는 PC가 대부분이거나,
최초 사용자를 시스템관리자의 권한과 동일하도록 설정하여 쓰고있습니다. 그래서 시스템 사용자 권한에
덜 민감하고, 무슨 문제가 발생하더라도 덜 민감하고, 각종 ad-ware가 설치되더라도 별무신경하며
참아가며 PC를 사용합니다.
Vista가 등장하면서 ActiveX 관련된 브라우저의 반응방식이 바뀌자.. 왔던 많은 혼란은, 사실 그동안 제대로
학습하지 못한 일반 사용자들에 대한 반증이기도 했죠.
"왜 자꾸 화면이 까매지면서 겁주고 그래?" 라던지, "이거 선택하면 어떡해 되는거지?" 같은 불안감
다른 표현으로 배우기 귀찮음. 등등.
--------
리눅스 관련된 보안전문가 등등은 이미 몇몇 해킹 툴이 설치되어있거나 한다면 그걸로 게임 끝이라고 생각하는 반면,
PC관련된 보안전문가는 몇몇 해킹툴이 설치되어 있다고 하더라도 좀 더 안전하게 만들 방법이 있다라고 생각하는
그 부분에서 논쟁이나 토론의 핀트가 어긋나고 접근 방법에서부터 차이가 나게 되는 것 같습니다.
그래서 FOSS관련된 사용자나 보안전문가는.. 어떻게 하면 이런 시스템 권한을 필요로 하는 프로그램을 "빼는 방향"으로
얘기를 하는 것이고, PC관련 보안전문가는 어떻게 하면 이런 난관을 극복하면서 피해가는 방향을 모색하는
새로운 보안도구를 "만들수 있는가" 하는 부분에 촛점이 맞춰지구요.
이것에 대해서는 KLDP에서도 키보드 보안에 관련된 논의에서 비교적 심도있게 토론된 적이 있어서
링크를 남깁니다.
리눅스, 키보드보안: http://kldp.org/node/75119
리눅스 "키보드보안" 배포 http://kldp.org/node/94282
>
> 왜냐면 지금은 십만분의 일이지만 나중에는 만분의 일, 천분의 일이 얼마든지 될 수 있으니까요..
> 그리고 천분의 일이 될때가지 막을 수 있는 대안이 없다면..
> 인터넷 뱅킹같은 RISK가 큰 경우는 기업이나 국가 입장에서는 아예 접어야 합니다.
> 개인이 감수하고 안하고는 정말 개인차일 뿐이거든요,,
>
> 현재 ActiveX의 문제점을 개선하기 위한 대안으로
> 오픈웹의 주장하는 방식대로 웹 표준이 되어 기존의 보안 수준이 제거되었을때
> 발생할 수 있는 문제점에 대해서도 논의해볼 필요는 있습니다. =)
>
>
> >
>
--
온갖 참된 삶은 만남이다 -- 마르틴 부버
dasony
> 오픈웹의 주장하는 방식대로 웹 표준이 되어 기존의 보안 수준이 제거되었을때
> 발생할 수 있는 문제점에 대해서도 논의해볼 필요는 있습니다. =)
이미 매우 오랫동안 논의했습니다.
swlee
관점의 차이를 서로 이해해야 토론이 앞으로 나갈 수 있을 것 같습니다.
솔직히 윈도우 설치하고 쓰다보면 왜 이렇지 하고 생각이 들때가 있습니다.
XP 설치하면 사용자를 만들라고 하는데 아무 생각업이 이름을 만들고 로그인을 하면..
계정은 default로 관리자 권한을 가지며 아마 비밀번호도 없을 것입니다.
비밀번호 설정 안하면 로그인도 없이 부팅되죠..
일반 사용자들은 관리자 / 파워유저 / GUSET ???
이런 권한의 개념은 아예 없을 것 같네요..
MS에게 왜 이렇게 설계했냐고 따지고 싶습니다.
실제로 윈도우 쓰지 말고 다 리눅스 써!! 라고 예기 하고 싶은 적도 있어요,,
이런 환경에서 보안을 하려니 여간 힘든게 아니네요,,,ㅎㅎ
On 4월7일, 오후6시33분, Won-Kyu Park <wkp...@gmail.com> wrote:
> 2009년 4월 7일 (화) 오후 5:53, swlee <Bang...@gmail.com>님의 말:
> 리눅스 "키보드보안" 배포http://kldp.org/node/94282
swlee
혹시 오픈웹 내에서만 논의 한 것 아닙니까??
주장에 앞서 보안 관계자 분들에게 논의를 구해 보셨는지요??
이것도 관점의 차이인가요? ㅎ
dasony
"ssl-tls"의 토론을 보시면 이미 많은 이야기가 오고 갔다고 생각합니다.
다운되기 이전의 오픈웹 리플에서도 굉장히 많은 이야기가 오고갔고요.
보안관계자분들을 찾아가서 오프라인에서 함께 논의해야 논의인가요?
그렇다면 이것이 관점의 차이겠네요.
swlee
저는 그렇게 생각하지 않습니다.
일례로 안철수 연구소에게 질의를 보내셨을때
지금 이런 문제들에 대해서 어떻게 생각하고 있으며 대응방안은 무엇이냐라고 물으셨다면
지금보다는 훨씬 건설적이고 멋진 토론이 되었을 것입니다.
이 문제는 이미 보안 업계에서도 고민하고 있었던 문제 이니까요..
그런데 이미 악덕 보안 업체와 + 악덕 ActiveX 의 결론짓고
토론보다는 해명을 요구했습니다. 마치 죄를 추궁하듯이요..
대부분의 쓰레드 주제가 보안업체의 악덕함을 전제로 하고 있었습니다.
정상적인 의견 수렴이라 할 수 없습니다..
교수님께서 원하는 바는 크게 다르지 않느냐는 코멘트를 남긴것을 보았습니다.
그것이 정말 진심이시기를 바랍니다.
> > > 이미 매우 오랫동안 논의했습니다.- 따온 텍스트 숨기기 -
>
> - 따온 텍스트 보기 -
dasony
생각합니다. 하지만 상소 패소 이후 최근 몇개의 쓰레드만을 가지고 판단하기엔
오픈웹의 긴 활동이 아쉽습니다.
그리고 ActiveX에 대한 대안 등은 오픈웹 초기때부터 모두 나왔던 이야기입니다.
보안 업계에서도 오픈웹 활동을 다 알고있었을 것이고요. 보안 업계에 예의바른
질의를 보내지 않았기 때문에, 의견 수렴을 한 적이 없다는 것은 이해가 안됩니다.
뭐가됐든 그 글을 기점으로 오픈웹에 bangrip님 등 다양한 보안 전문가분들이
오셔서 토론이 활발해졌다는 것은 기쁜 일입니다. 물론 다들 마음이 상해서
오신 덕에 토론이 자꾸 끊긴다는게 문제라면 문제겠지만요;
그리고 제가 그건 이미 많이 논의되었습니다라고 말씀드린건, 바로 아래
쓰레드에서도 다양한 대안이 이야기 되었는데, 이를 모두 무시하시고
"이에 대한 논의가 필요합니다"라고 쓰셨기때문에 그렇게 쓴겁니다.
저도 며칠째 오픈웹에서 똑같은 소리를 반복하느라 지쳐서요.
그걸 또 오픈웹의 논의 태도로 끌고갈지 누가 알았겠습니까.
죄송합니다.
swlee
여기 토론하고 계신분들 모두 동감일 것입니다.
똑같은 말의 반복...저도 힘듭니다.
dasony 님도 엄청 힘드실 것입니다.
모두 오픈웹에 가진 열정 때문이니 어떡하겠습니까..
일단 악덕에서 벗어 났으니 다행이네요..
편안히 맘놓고 일할 수 있게 되었습니다.
처음에 예기했듯이 오픈웹의 대의에는 저 역시 공감합니다.
어떠한 방향으로 흘러가든 서로 윈윈하기를 기원하며
좋은 아이디어가 있으면 제안 하겠습니다.
> > 그것이 정말 진심이시기를 바랍니다.- 따온 텍스트 숨기기 -
swlee
일단 민감할 수 있는 부분이 있다면 최대한 클라이언트 측에 보여주지 않도록 설계되는 것이 원칙일 것 같습니다.
그럼에도 불구하고 어쩔수 없이 민감한 부분이 있고 반드시 copy & paste 를 막아야 하는 상황이라면...
근본적으로는 클립보드를 항상 clear 해주는 것 밖에는 답이 없을 것 같은데요,,
윈도우 시스템 자원에 접근해야 하니까..
IE 에서는 ActiveX 이외에는 대안이 없을 것 같습니다.
왜 꼭 막아야 하는지 이유를 알면 좋을것 같은데,,
어쩔수 없다고 하시니.. 할 수 없네요..
On 4월7일, 오후9시04분, Hodong Kim <cogn...@gmail.com> wrote:
> >> 고객에게 보여줄 은행 홈페이지를 설계할 때, 민감한 부분에서는 drag & copy & paste 가 매우 어렵도록 설계해야 합
> >> 니다. 가능하다면 고객 컴퓨터 또는 브라우저 clipboard memory 까지 암호화하면 매우 좋겠습니다.
>
> (암호화가 된다면 drag 는 빼도 되겠네요)
> 이 부분 암호화를 표준적인 방법으로 구현이 가능한지 반드시 고려해야 하며
> 불가능하다면 각각의 웹브라우저 플러그인으로 구현 가능한지 고려해야 합니다.
>
> 둘다 구현 불가능하면,
>
> 인터넷뱅킹 사고 후에 MS IE + ssl + 액티브X 이런 식으로 갈지도 모릅니다.
>
> 그래서, 그전에 구현 가능성만 미리 확인을 하자는 겁니다.
> 나중에 웹표준의 노력이 수포로 돌아갈지도 모릅니다.
> 왜 위에 것을 요구하는지에 대해서는...이해가 잘 안 되시겠지만,
> 보안상 자세한 설명은 못드리는 점 이해 바랍니다.
>
> On 4월7일, 오후8시05분, dasony <das...@gmail.com> wrote:
>
>
>
> > > > 이미 매우 오랫동안 논의했습니다.- 따온 텍스트 숨기기 -
Mountie Lee
시험시간 (24시간 이내)동안 2번 로그인 할 기회를 줍니다.
총 로그인해있을 수 있는 시간은 누적 1시간 또는 2시간입니다.
첫번째 로그인시 문제를 다양한 방법(?)으로 복사해서 공부해서 답을 준비하고 2번째 로그인해서 답을 입력합니다.
사이버대에서는 매우 다양한 보안기술을 써서 문제 복사를 막아두고 있지요
다양한 방법중
어떤분은 손으로 옮겨쓰기도 하고
어떤분은 프린트스크린해서 출력하다가 그게 막히니 다른 방법을 사용합니다.
어떤분은 화면을 대고 디지탈 사진을 찍어서 출력해서 시험문제 확보합니다.
당연히 Copy & paste는 다 막혀있지요.
장모님의 친구분이 디지탈 사진찍는 방법을 동료학생들에게 알려주시는데
그분들이 보안에 대해서는 잘 모르지만 그냥 생각해내십니다.
copy를 막는 이유를 좀 자세히 설명해주세요. 정말 이유를 모르겠습니다.
paste를 막는 이유도 좀 자세히 설명해주세요. 열린 마음으로 듣겠습니다.
--
Mountie Lee
Tel : +82 2 2140 2700
E-Mail : mou...@paygate.net
======================================= PayGate Inc. * WEB STANDARD PAYMENT * PCI DSS 100% COMPLIANT * www.paygate.net * pay...@paygate.net
Won-Kyu Park
> 사이버대학에서 시험을 치러보면
> 시험시간 (24시간 이내)동안 2번 로그인 할 기회를 줍니다.
> 총 로그인해있을 수 있는 시간은 누적 1시간 또는 2시간입니다.
>
> 첫번째 로그인시 문제를 다양한 방법(?)으로 복사해서 공부해서 답을 준비하고 2번째 로그인해서 답을 입력합니다.
> 사이버대에서는 매우 다양한 보안기술을 써서 문제 복사를 막아두고 있지요
>
> 다양한 방법중
> 어떤분은 손으로 옮겨쓰기도 하고
> 어떤분은 프린트스크린해서 출력하다가 그게 막히니 다른 방법을 사용합니다.
> 어떤분은 화면을 대고 디지탈 사진을 찍어서 출력해서 시험문제 확보합니다.
> 당연히 Copy & paste는 다 막혀있지요.
>
> 장모님의 친구분이 디지탈 사진찍는 방법을 동료학생들에게 알려주시는데
> 그분들이 보안에 대해서는 잘 모르지만 그냥 생각해내십니다.
>
> copy를 막는 이유를 좀 자세히 설명해주세요. 정말 이유를 모르겠습니다.
> paste를 막는 이유도 좀 자세히 설명해주세요. 열린 마음으로 듣겠습니다.
>
일부러 알고계시면서 그러시는 것인지, 떡밥 던져서 누군가가 물면 또 득달같이 달려들어
비전문가 오픈웹 지지자를 궁지에 몰아넣지는 않을지 해서 갑자기 메일링리스트가 조용해져 버린 것
같습니다. 아니면 어제저녁 모든 에너지를 소진하고 오늘 생체리듬이 무너져서 주무시고 계신지도
모르겠네요 ㅋ
아무튼 비전문가적인 입장에서 얘기해보겠습니다. 이미 다 아시는 것이겠지만..
제가 키로거 방지쪽에 예전에 관심이 있어서 읽어본 바로는.. (PC쪽)
키로거같은 것은 하드웨어적 접근을 막을 도리는 없지만 확인하기는 비교적 쉬운 것이고
(뒤의 PS/2 포트나 USB포트를 손으로 만져 확인)
소프트웨어쪽에서는 비교적 손쉬운 키보드 후킹에서부터 시작하게 드라이버단의 후킹도 있을것인데
자료를 찾아보면 기술적인 내용 말고 일반적인 내용이 정리되어있는 것이 꽤 됩니다.
(간단한 소프트웨어적 키로깅은 새나루같은 한글 입력기에 내장시킬 수도 있기때문에 (새나루는 키후킹도 사용)
제[가 찾아봤던 자료)
-----
리눅스쪽은 이런 글이 있네요 링크 정보도 풍부한 편이니 참고하시고
http://robot.kaist.ac.kr/~kimsk/blog/word/36
PC쪽은 http://www.raymond.cc/blog/archives/2007/09/20/how-to-beat-keyloggers-to-protect-your-identity/
여기 읽어보면 키보드 이벤트 후킹뿐만 아니라 클립보드 후킹을 통한 클립보드 로거라는 것도 존재하고
몇몇 자유롭게 받을 수 있는 프로그램들은 키로깅 / 스크린캡쳐 / 클립보드 로깅을 방지한다고
써있습니다. 소스가 공개된 것은 별로 없고 위 링크를 둘러보니 sf.net에 등록되어있는 소스가 공개된 델파이 프로젝트가
보이기도 하네요.
2004년정도에 이미 GPL로 공개
http://sourceforge.net/project/showfiles.php?group_id=120504 는
소스를 보니 알려진 키로거 리스트 정보를 가지고 있고, 소프트웨어 후킹을 막는듯 보입니다.
생각없이 쓰다보니 키로거 얘기만 썼네요ㅋ
아무튼.. cut&paste도 소프트웨어적 키후킹을 막아야 하는 이유와 맥락을 같이 하는 것으로 이해하고
있습니다.
--
Mountie Lee
> =======================================
> PayGate Inc.
> * WEB STANDARD PAYMENT
> * PCI DSS 100% COMPLIANT
> * www.paygate.net
> * pay...@paygate.net
>
>
--
온갖 참된 삶은 만남이다 -- 마르틴 부버
swlee
상세한 기술적 부분은 오픈웹의 취지와는 다소 안맞는것 같아서
메일로 정리해서 보냈습니다.~
On 4월7일, 오후10시48분, Hodong Kim <cogn...@gmail.com> wrote:
> swlee 님 메일 드렸는데...
> 30분 넘었는데...
> 답이 없네요.
>
> 그러게...이유를 알고 싶어 하는 이유가 더 수상한 거에요.
> 그런 걸 왜 물어봅니까..
> 뻔하죠.
> 전...이만 빠집니다.
> 보안 문제는 스스로들 알아서 하시기 바랍니다.
> 이상.
> > > - 따온 텍스트 보기 -- 따온 텍스트 숨기기 -
youknowit
Opera 웹브라우저는 마우스 오른쪽 버튼을 비활성화하려는 웹페이지의 시도를 모두 무시합니다. 국제적으로도, copy &
paste 를 막는 시도는 무의미하다는 견해가 중론입니다.
웹페이지 소스를 가리면 보안에 도움이 된다는 류의 생각과 비슷한 발상이 아닌가요?
On 4월8일, 오전12시09분, Hodong Kim <cogn...@gmail.com> wrote:
> swlee 님께...방금 메일 받았고요...
> 어떤 사정이 있었다고 하시네요..
> 경솔한 행동 보여 여러분들께 죄송합니다.
> 아무튼, 보안 관련 부분은 민감한 부분이라...
> 신경이 날카로워질 수 밖에 없습니다.
> 이해해 주시면 감사하겠습니다.
>
> 다른 이야기입니다.
> 왜..그게 그렇게 되는지는...
> 여러 분야의 지식이 필요합니다.
> 한 분야의 사람이 보면...가능성 있다는 결론이 나오지만,
> 여러 분야의 사람이 같이 검토해보면 .... 현실적이구나...
> 대책을 만들어야겠군.
> 이런 결론이 나오죠.
>
> 그 부분에 대한 대책이 있어야 됩니다.
>
> 안녕히 주무세요^^
>
> // Mountie 님
> Mountie님께 한 말은 아닙니다.
>
> On 4월7일, 오후10시48분, Hodong Kim <cogn...@gmail.com> wrote:
>
> > swlee 님 메일 드렸는데...
> > 30분 넘었는데...
> > 답이 없네요.
>
> > 그러게...이유를 알고 싶어 하는 이유가 더 수상한 거에요.
> > 그런 걸 왜 물어봅니까..
> > 뻔하죠.
> > 전...이만 빠집니다.
> > 보안 문제는 스스로들 알아서 하시기 바랍니다.
> > 이상.
>
> > On 4월7일, 오후9시48분, swlee <Bang...@gmail.com> wrote:
>
Seo Sanghyeon
> cut & paste 또는 copy & paste 를 막는 것은, 제가 보기에는 무의미한 과민반응이라고 생각합니다.
웹페이지 소스를 가리면 보안에 도움이 된다는 류의 생각이라기보다는, 스크린 키보드를
쓰면 그냥 키보드로 입력을 받는 것보다 보안에 도움이 된다는 류의 생각이라고 봅니다.
스크린 키보드는 클라이언트에 키로거가 깔려 있을까 하여 쓰는 것이고, copy & paste
방지는 클라이언트에 클립보드 모니터가 깔려 있을까 하여 쓰는 겁니다.
Hyun
거나 디카로 찍어야 하나요?
이건 사용자의 불편이 좀 심합니다. 스크린 키보드의 경우는 내가 스크린키보드를 쓸 지 그냥 키보드를 쓸지 선택할 수 있지만,
“선택”이나 “복사”를 막아둔건 엉뚱한 방법의 보안으로 차라리 백신의 설치를 홍보하거나 해야지 사용자의 불편을 너무 가중시킵니
다.
youknowit
에 있는 내용은 키로거를 설치할 수준까지 이용자의 컴퓨터를 장악한 공격자라면, 캐시를 열어보면 알 수 있을 것이고,...,
저는 copy&paste 를 막는 시도는 "균형감각을 잃은" 것이라는 생각이 듭니다.
예를 들어, 한국씨티은행이 이른바 "웹콘텐츠 보안"이라는 명목으로 copy&paste 를 금지하고 있습니다(지금은 바뀌었는지 모
르겠지만). 그러나, 파이어폭스로 접속하면, copy&paste는 문제없이 됩니다. Opera 로도 됩니다.
물론, MS IE 를 사용하지 않으면, 아예 서비스자체를 거부하고, "보안을 지켜줄테니 모두 MS IE 를 사용해라"는 태도는
선뜻 납득하기 어렵네요.
copy&paste 를 막으려는 외국의 사례는 저는 아직 발견하지 못했습니다.
Seo Sanghyeon
> 이용자가 copy&paste 를 완전히 못하게(웹페이지 외의 자신의 개인 파일의 경우에까지) 해버릴 수도 없을 것이고, 웹페이지에 있는 내용은 키로거를 설치할 수준까지 이용자의 컴퓨터를 장악한 공격자라면, 캐시를 열어보면 알 수 있을 것이고,...,
키보드 보안이나 클립보드 보안같은 논의는 이용자의 컴퓨터가 장악된 상태에서 어떻게 보안성을 제공할 수 있을까 고민하자는 것입니
다. "이용자의 컴퓨터를 장악한 공격자라면 뭐든 할 수 있다"는 식으로 말씀하시면 이것은 논의를 하지 말자는 이야기와 같습니
다. 박원규씨가 적은 글을 다시 읽어 주십시오.
youknowit
그러나, 제가 드린 말씀은, 이용자의 컴퓨터가 장악된 상태에서 이용자가 웹페이지 콘텐트를 copy&paste 못하게 해 본들,
공격자는 캐시를 열어보면 웹페이지 내용을 모두 알 수 있지 않겠나 하는 것입니다.
즉, copy&paste 를 못하게 함으로써 달성하려는 목표가, 실은 달성될 수 없다는 생각이 들어서 적어본 것입니다. 굳이 클
립보드 메모리를 해킹하지 않더라도, 더 쉬운 방법으로 웹페이지 내용을 읽을 수 있지 않겠습니까?
이용자는 copy&paste 를 못해서 고생만 하고, 공격자는 아예 클립보드 메모리를 해킹 할 필요도 없이 웹페이지 콘텐트를 읽
을 수 있고... 이 상황이 납득이 안가서 적은 것입니다.
dasony
종 공격을 하나라도 더 막는 일도 중요한 일인 것 같습니다. 제가 보기엔 해킹 방법 100가지 중 80가지 막으나 90가지 막으
나 비슷하지만, 보안 업체에게는 그렇지 않겠죠. 애초에 보안이라는게 공격 방법 개발 -> 방어 방법 개발의 연속이니까요. 그런
차원에서 이해해야 하지 않을까 싶습니다.
정확히는 모르지만, 키로거를 피하기 위해 사람들이 스크린 키보드 프로그램 등에서 입력을 한 후에 복사를 하는 방법을 사용하니
까, 그에 대응해서 클립보드 모니터가 나오고, 이를 막기 위해 다시 클립보드 보호 기능을 추가하고 이런 것 아닐까요? =) 그리
고 웹페이지 내용을 알아내는 것보다는 클립보드 내용을 아는 것이 구현은 약간 더 쉽습니다. 이런 맥락에서 볼 수도 있겠네요.
뭐 저 개인적으로는 구더기 무서워 장 못담그랴라고 말하고 싶지만;;
Won-Kyu Park
> 옳습니다.
>
> 그러나, 제가 드린 말씀은, 이용자의 컴퓨터가 장악된 상태에서 이용자가 웹페이지 콘텐트를 copy&paste 못하게 해 본들,
> 공격자는 캐시를 열어보면 웹페이지 내용을 모두 알 수 있지 않겠나 하는 것입니다.
>
> 즉, copy&paste 를 못하게 함으로써 달성하려는 목표가, 실은 달성될 수 없다는 생각이 들어서 적어본 것입니다. 굳이 클
> 립보드 메모리를 해킹하지 않더라도, 더 쉬운 방법으로 웹페이지 내용을 읽을 수 있지 않겠습니까?
>
> 이용자는 copy&paste 를 못해서 고생만 하고, 공격자는 아예 클립보드 메모리를 해킹 할 필요도 없이 웹페이지 콘텐트를 읽
> 을 수 있고... 이 상황이 납득이 안가서 적은 것입니다.
>
네 납득이 안가지요. 그것이 지금까지의 우리 오픈소스 진영측에서 말하는 일반적인 견해였구요.
PC보안전문가들은 그렇게 생각하지 않고 있고, 그 대신에 현 PC사용자의 대다수 컴에는 해킹툴이 깔려있을지도
모른다는 기본 가정으로 생각하는 아주 큰 접근법의 차이가 있다는 것입니다.
두 관점 차이를 어느정도 인정하고 토론을 하면서 서로의 의견을 개진하는 것이 지금 상황은 오히려 효과적일 것이라는 것이
라고 생각되고요.
차후에 논쟁이 접점을 찾는 쪽으로 갔을 때는 그때부터는 리눅스쪽 따로 / PC보안쪽 따로따로, 그 차이점에 대해서
집중 논의해도 늦지 않으리라 생각됩니다. 그렇게 진행으로 하는게 불필요한 논쟁을 일단은 줄일 수 있으리라 봅니다.
>
>
> On 4월8일, 오후4시20분, Seo Sanghyeon <sanx...@gmail.com> wrote:
>> On 4월8일, 오후1시37분, youknowit <keechang....@googlemail.com> wrote:
>>
>> > 이용자가 copy&paste 를 완전히 못하게(웹페이지 외의 자신의 개인 파일의 경우에까지) 해버릴 수도 없을 것이고, 웹페이지에 있는 내용은 키로거를 설치할 수준까지 이용자의 컴퓨터를 장악한 공격자라면, 캐시를 열어보면 알 수 있을 것이고,...,
>>
>> 키보드 보안이나 클립보드 보안같은 논의는 이용자의 컴퓨터가 장악된 상태에서 어떻게 보안성을 제공할 수 있을까 고민하자는 것입니
>> 다. "이용자의 컴퓨터를 장악한 공격자라면 뭐든 할 수 있다"는 식으로 말씀하시면 이것은 논의를 하지 말자는 이야기와 같습니
>> 다. 박원규씨가 적은 글을 다시 읽어 주십시오.
> >
>
--
dasony
혹시 링크를 잘못하신건가요?
"시각처리연구"라는게 구글 크롬에 3D 기능을 넣었다는 농담을 말씀하시나요?
시각 처리 연구와 키로거 또는 보안과 어떤 관계에 있나요?
국내에 부족다고 말씀하신 "그러한 준비"가 무엇인지도 궁금합니다.
덧붙여, 오픈웹은 ActiveX를 빼버리고도 동일한 수준의 보안을 제공할 수 있다고
주장한 적은 없을겁니다. 대부분 사용하지 않을 선택권을 달라는 것이었죠.
아니면 지금정도의 보안 수준은 다른 대안으로 보호할 수 있다고 생각하시는
분도 계시겠지만, HTML/CSS/Javascript/Flash/Java 만으로는 당연히
할 수 있는 일에 한계가 있지요.
On 4월8일, 오후6시15분, Hodong Kim <cogn...@gmail.com> wrote:
> 아래 링크를 읽어보시면
> 이해하시는데 더욱 빠르시겠습니다.
>
> 또한, 댓글 중에, 시각 처리에 관한 내용이 일부있는데,
>
> 만우절 농담인지 진짜인지는 제가 확인한바 없습니다.
> 만약, 그러한 "시각 처리 연구"를 어디에선가 하고 있다면
>
> 어딘가에 뭔가 문제가 있기 때문에
> 그것을 보완하려는 의미로 들립니다만,
>
> 외국과 국내의 상황을 단순비교하면 참 곤란합니다.
> 우리나라는 그러한 준비가 없지 않습니까.
>
> 액티브X를 아예 빼버리면 뭔가가 있긴 있어야만 할 겁니다.
>
> http://kldp.org/node/104271
>