시티뱅크에서 고객 보안 강화를 위해 지급한 OTP 시스템에 대한 해킹 사고 사례
http://blog.washingtonpost.com/securityfix/2006/07/citibank_phish_spoofs_2factor_1.html
국내에서는 보안과 관련된 잘못된 미신들이 많아 'OTP는 절대 안뚫린다.', 'SmartCard 해킹은 불가능하다.'라는 전혀 근거없는 주장들이 나돌곤 합니다.
이런 주장은 아래와 같은 두 가지 측면에서 문제가 있습니다.
1. false sense of security
보안에 대한 잘못된 맹신(과신)은 보안에 무척 해롭습니다.
2. '절대 보안'에 대한 잘못된 욕구
보안은 사람과 기술이 복잡하게 어우러져 있기 때문에, '절대'라는 말을 쓸 수 없는 분야입니다. 목표를 잘못 잡으면 목표 지점에 당도할 수 없듯이, '절대 보안'이라는 잘못된 목표를 향해 달리면 지속적인 잘못된 의사 결정으로 목표를 이룰 수 없으며, 많은 기회 비용을 지불하게 됩니다.
위의 사고 사례는 OTP 자체의 기술적 취약점을 공략하기 보다는 OTP 사용 프로세스의 가장 취약한 연결 고리인 사람에 대해 공략을 시도했다는 점에 특징이 있습니다. 피싱 사이트를 통해 OTP 키를 유출하고 man-in-the-middle 형태로 relay 하여 공격하는 것은 전문적인 해킹 지식이 없어도 누구나 손쉽게 할 수 있죠.
국내에서 리니지 해킹 사건 등과 관련해서 OTP 가 보안의 silver bullet 인 듯이 보도되곤 하는데, 베끼는 데 있어 타의 추종을 불허하는 중국 해커들이 위 기사에서 언급된 공격 기법을 통해 사용자를 공격할 수도 있다는 점을 놓치지 말아야 합니다.
http://blog.washingtonpost.com/securityfix/2006/07/citibank_phish_spoofs_2factor_1.html
국내에서는 보안과 관련된 잘못된 미신들이 많아 'OTP는 절대 안뚫린다.', 'SmartCard 해킹은 불가능하다.'라는 전혀 근거없는 주장들이 나돌곤 합니다.
이런 주장은 아래와 같은 두 가지 측면에서 문제가 있습니다.
1. false sense of security
보안에 대한 잘못된 맹신(과신)은 보안에 무척 해롭습니다.
2. '절대 보안'에 대한 잘못된 욕구
보안은 사람과 기술이 복잡하게 어우러져 있기 때문에, '절대'라는 말을 쓸 수 없는 분야입니다. 목표를 잘못 잡으면 목표 지점에 당도할 수 없듯이, '절대 보안'이라는 잘못된 목표를 향해 달리면 지속적인 잘못된 의사 결정으로 목표를 이룰 수 없으며, 많은 기회 비용을 지불하게 됩니다.
위의 사고 사례는 OTP 자체의 기술적 취약점을 공략하기 보다는 OTP 사용 프로세스의 가장 취약한 연결 고리인 사람에 대해 공략을 시도했다는 점에 특징이 있습니다. 피싱 사이트를 통해 OTP 키를 유출하고 man-in-the-middle 형태로 relay 하여 공격하는 것은 전문적인 해킹 지식이 없어도 누구나 손쉽게 할 수 있죠.
국내에서 리니지 해킹 사건 등과 관련해서 OTP 가 보안의 silver bullet 인 듯이 보도되곤 하는데, 베끼는 데 있어 타의 추종을 불허하는 중국 해커들이 위 기사에서 언급된 공격 기법을 통해 사용자를 공격할 수도 있다는 점을 놓치지 말아야 합니다.
덧글