피싱(Phishing) 시도가 가장 많은 사이트 중 하나인 PayPal 이 고객 보호를 위해 PayPal Security Key 라는 OTP를 도입했습니다. 이 키는 아래 화면을 보시면 아시겠지만, 미국 보안 회사 RSA 사의 SecurID 를 닮았습니다.
( PayPal Security Key )
PayPal 고객은 웹 사이트 접속 시 사용자 아이디와 패스워드 외에 OTP 에서 랜덤하게 생성되는 6자리 숫자를 함께 집어넣어야 접속할 수 있겠네요. 현재는 베타 서비스 기간으로 미국, 호주, 독일 등에서만 5 달러에 판매된다고 하네요. 아쉽습니다. 이 키는 eBay 계정과도 연동해서 사용할 수 있는데, eBay 역시 PayPal 과 함께 가장 피싱 시도가 많은 사이트 중 하나죠. 베타 서비스 기간이 끝나면 언젠가 한국 고객들도 이용할 수 있지 않으려나요?
이 보안키는 미국 보안 회사인 VeriSign 과의 계약을 통해 제공되는데, 예상외로 저렴한 5 달러라는 가격은 아마 고객 보호를 위해 PayPal 이 일정 부분 비용을 담당하기 때문이 아닐까 싶네요.
그러면 이 키를 쓰니까 보안상 100% 안전하냐구요? 아쉽게도 그렇지 않습니다. 이렇게 아이디/패스워드, 휴대형 Key 를 이용하는 보안 방식은 Two-factor Authentication 이라고 하는데 공격하는 몇 가지 방법이 있습니다. 이 보안 메커니즘은 본인 이외의 누군가가 아이디/패스워드를 안다고 하더라도, 개인이 휴대한 Key 는 갖고 있지 않을것이라는 가정에서 출발합니다.
이 키가 별 도움이 안되는 경우는 대표적으로 다음과 같은 몇 가지 경우를 들 수 있습니다.
이런 솔루션은 아이디/패스워드 외에 추가적인 보안 계층을 제공한다는 장점이 있으나, 키가 남에게 유출되지 않도록 각별한 주의를 기울여야 합니다.
아참, 요즈음 신한 은행에서도 고객 보호를 위해 OTP 카드를 무료로 제공하고 있습니다. PayPal 이 개인에게 5달러를 받는 것에 비하면 대단하지 않습니까? 모양은 아래와 같이 생겼는데 색상이 다양하다고 하네요. 저희 집은 붉은 색을 받아왔습니다.
( 신한은행 OTP 카드 )
국내 업체 제품인데 RSA 사나 VeriSign 사의 솔루션을 라이센스 한 것인지 아니면 순수 자체 생산인지는 궁금합니다. 세계 최고의 암호학 천재들이 모였다는 RSA 사 SecurID 만 해도 초창기에 보안 취약점이 몇 가지 발표된 사례가 있는데, 순수 자체 생산이라면 안전성은 어떻게 확보가 되는 것인지... 물론 저는 국내 기술 인력들의 실력이 어디 내놓아도 뒤쳐지지 않을 정도로 뛰어나다고 생각합니다만, 사업 목적에 따라 기술력을 십분 발휘할 수 없는 경우도 많다는 것을 알기 때문에...
참고 자료 : 해외 보안 전문가의 PayPal Security Key 에 대한 회의적인 견해
( PayPal Security Key )
PayPal 고객은 웹 사이트 접속 시 사용자 아이디와 패스워드 외에 OTP 에서 랜덤하게 생성되는 6자리 숫자를 함께 집어넣어야 접속할 수 있겠네요. 현재는 베타 서비스 기간으로 미국, 호주, 독일 등에서만 5 달러에 판매된다고 하네요. 아쉽습니다. 이 키는 eBay 계정과도 연동해서 사용할 수 있는데, eBay 역시 PayPal 과 함께 가장 피싱 시도가 많은 사이트 중 하나죠. 베타 서비스 기간이 끝나면 언젠가 한국 고객들도 이용할 수 있지 않으려나요?
이 보안키는 미국 보안 회사인 VeriSign 과의 계약을 통해 제공되는데, 예상외로 저렴한 5 달러라는 가격은 아마 고객 보호를 위해 PayPal 이 일정 부분 비용을 담당하기 때문이 아닐까 싶네요.
그러면 이 키를 쓰니까 보안상 100% 안전하냐구요? 아쉽게도 그렇지 않습니다. 이렇게 아이디/패스워드, 휴대형 Key 를 이용하는 보안 방식은 Two-factor Authentication 이라고 하는데 공격하는 몇 가지 방법이 있습니다. 이 보안 메커니즘은 본인 이외의 누군가가 아이디/패스워드를 안다고 하더라도, 개인이 휴대한 Key 는 갖고 있지 않을것이라는 가정에서 출발합니다.
이 키가 별 도움이 안되는 경우는 대표적으로 다음과 같은 몇 가지 경우를 들 수 있습니다.
- 누군가가 키를 훔치는 경우 (예: 부인이나 자녀, 직장 동료 혹은 도둑이 책상 서랍이나 주머니에서 물래 꺼내서 사용하는 경우).
- 피싱 사이트가 Man-in-the-Middle 공격을 시도하는 경우 (예: 이메일 내용을 보고 접속한 가짜 PayPal 사이트에 아이디/패스워드/Key 값을 집어넣자 마자, 가짜 PayPal 사이트에서 진짜 PayPal 사이트로 값을 집어넣는 경우) : 실제 국내외 사고 사례 다수 있음.
- 악성 프로그램이 깔려 있어서 아이디/패스워드/Key 값을 실시간으로 해커에게 전송하는 경우
이런 솔루션은 아이디/패스워드 외에 추가적인 보안 계층을 제공한다는 장점이 있으나, 키가 남에게 유출되지 않도록 각별한 주의를 기울여야 합니다.
아참, 요즈음 신한 은행에서도 고객 보호를 위해 OTP 카드를 무료로 제공하고 있습니다. PayPal 이 개인에게 5달러를 받는 것에 비하면 대단하지 않습니까? 모양은 아래와 같이 생겼는데 색상이 다양하다고 하네요. 저희 집은 붉은 색을 받아왔습니다.
( 신한은행 OTP 카드 )
국내 업체 제품인데 RSA 사나 VeriSign 사의 솔루션을 라이센스 한 것인지 아니면 순수 자체 생산인지는 궁금합니다. 세계 최고의 암호학 천재들이 모였다는 RSA 사 SecurID 만 해도 초창기에 보안 취약점이 몇 가지 발표된 사례가 있는데, 순수 자체 생산이라면 안전성은 어떻게 확보가 되는 것인지... 물론 저는 국내 기술 인력들의 실력이 어디 내놓아도 뒤쳐지지 않을 정도로 뛰어나다고 생각합니다만, 사업 목적에 따라 기술력을 십분 발휘할 수 없는 경우도 많다는 것을 알기 때문에...
참고 자료 : 해외 보안 전문가의 PayPal Security Key 에 대한 회의적인 견해
덧글
구바바 2007/02/11 01:27 # 답글
OTP가 랜덤하게 숫자를 만들어내는데 어떻게 서버에서는 그 번호가 정당한 것인지 여부를 판정할 수 있는지 궁금합니다. 뭔가 연결이 되어 있는 것 같지도 않은데요...;;;
peterpan 2007/02/11 01:36 # 삭제 답글
OTP 방식별로 다른 알고리즘을 제공하긴합니다만기본적으로 통신기간의 통신없이 알고리즘을 통해서 키를 생성하게됩니다.
1. 시간동기화 방식입니다. 지금 00년00월00일00시00분에 aaa라는 시리얼을 가진 생성기는 bbb라는 키를 생성하게되는 알고리즘입니다. 서버측에서는 같은 방식으로 검증하는것
2. 키를 가지고 검증하는겁니다. 서버는 abc라는 키를 제공하고 생성기에 abc라는 키를 입력했을때 ddd라는 키를 생성기가 생성해주면 접속이 가능합니다.
2번 방법은 은행같은데서는 사용하지 않는걸로 알고있습니다. 저는 OPIE 방식을 서버에 적용해서 사용한적이 있는데 패스워드 스니핑,키로깅같은 수단의 방어 수단으로 적합합니다.
a 2007/02/12 10:06 # 삭제 답글
알고리즘에 대한 것은HOTP(An HMAC-Based One-Time Password Algorithm) 로 검색하면 ,
관련된 자료를 조금 찾을 수 있습니다.
송재훈 2007/02/12 16:04 # 삭제 답글
PayPal에서 제공하는 OTP가 HSBC에서 제공하는 거랑 같은거네요. 물론 무료로 배포하더군요. 아마 이유가 금융감독규정시행세칙 때문 같은데 거기보면 OTP 제공하도록 되어있습니다.
헐랭이 2007/02/12 22:12 # 답글
고객들이 얼마나 비용을 부담해야 하느냐에 대해 아직 각 은행마다 입장이 조금 다르다고 들었는데... HSBC 도 무료로 배포하나 보네요? 시행 일자가 얼마 안남았으니 조만간 다른 은행들도 OTP 를 내놓을텐데, 신한은행과 HSBC의 결정이 어느 정도 영향을 주지 않을까 싶네요. 그나저나 기존의 암호카드와 달리 부피가 있어서 상대적으로 휴대성이 떨어지는데, 여러 은행 거래하는 분들은 귀찮아하실 듯...
송재훈 2007/02/13 12:57 # 삭제 답글
HSBC는 언제 받았는지 기억도 안날 정도로 오래되었고 일반 개인한테도 무료로 나누어줬는데 국내 은행은 아직까지 한번도 준적이 없는 것 봐서는 좀 차이가 있지 않을까 싶네요. 제가 실제로 써봤을 때에는 보안카드 보다는 OTP가 훨씬 편해요. 어디 어디 앞자리 2개 뒷자리 2개 이런식 보다는 쉽더군요.
음.. 2007/08/01 07:22 # 삭제 답글
국민은행 것 오늘 받아 봤는데 보안 카드 방식보다 너무 불편하네요. 이렇게 큰 것을 어떻게 가지고 다니라는 건지..
송재훈 2007/08/01 10:21 # 삭제 답글
Mobile OTP를 이용하면 크기로 인한 불편함은 없을텐데 문제는 각 은행마다 이런 OTP를 배포하면 거래 은행이 많은 사람은 주렁주렁 몇개씩 가지고 다녀야 한다는 불편함이 있고 이는 Mobile OTP도 마찬가지입니다. 공인인증서처럼 범용 OTP가 빨리 나와야 하지 않을가 싶습니다.
헐리 2007/08/08 13:07 # 삭제 답글
OTP는 보안성이 가장 중요시되는데, 그런 측면에서는 RSA가 가장 우수하다고 합니다. 실제 우리가 쓰는 일반 PC나, 휴대폰, 서버, 네트워크 장비 심지어 군사 통신기기 등등에도 RSA 암호화 알고리즘을 사용중이라니...우리나라 은행에서는 늘 그렇듯이,,,싼맛에 저렴한 외산 제품이나 국산 제품들 유/무상으로 제공하고 있는데, 가까운 일본만해도 RSA 제품을 무상으로 배포하지요. 제가 네트워크 장비나 노트북 접근할때 사용해 봤는데, 간편하더라고요. 우리나라에도 몇군데에서는 RSA SecurID를 배포하고 있다니, 가능한 안전하고 좋은걸 사용하심이.