헐랭이와 IT보안 (opt9's IT Security)

덧글

• 쌍부라 2008/03/04 15:55 # 답글

  일단 계좌개설시 실명이 아닌 신분증도 있을 수 있고 (보험증 등), OTP도 아직 보급이 더디고요.
  보안카드만 사용하고 공인인증 서명도 없으니 ^^;

• wssplex 2008/03/04 17:24 # 삭제 답글

  저번에 뉴스 보니깐,.
  방법에 따라선 otp 가 오히려 더 취약하다고 그러던데요,..
  

• zest5815 2008/03/04 19:06 # 답글

  네 저도 봤어요. 1분 동안 OPT 비번이 바뀌지 않는 취약점을 이용했죠 아마..

• 쌍부라 2008/03/04 19:56 # 답글

  저도 관심없다가 OTP 뚫린 건 이제 알았네요.
  그런데 다 뚫린 상태에서 man-in-the-middle이라면 이건 뭐 어찌할 방법이 있나 싶기도 하고요. (하긴 이 때 보안카드는 찍어주는 위치가 달라서;;)
  
  근데 이거 클라이언트의 보안 상태를 제어하려고 하는 것으로는 제대로 막을 수 없다는 사례도 되지 않나 싶습니다만..

• ZIZI 2008/03/05 10:19 # 답글

  그래도 검거는 하는군여..

• 서린 2008/03/06 17:46 # 답글

  OTP가 오히려 더 취약한 경우라는 건 없습니다. 보안카드를 포함한 OTP는 지식기반(비밀번호)위에 올라가는 소유기반의 추가적 보안 feature로 기능할 뿐입니다.
  
  같은 이유로 1분동안 OTP비번이 바뀌지 않는 건 패스워드 발급 주기-설정 나름- 차이일 뿐이며 그런 것을 OTP의 취약점이라고 볼 수는 없습니다. (이 갱신 주기를 10초로 한다면..꽤나 불편해지겠죠.)
  
  OTP가 뚫렸다는 말은 성립하지 않습니다. 만, 기존의 법원 발급시스템에 대해서도, 서류의 완전성에 대한 인적 확인 프로세스의 부재도 마치 '시스템 보안이 뚫렸다'라고 선정적으로 보도하던 언론의 행태를 본다면 이슈 만들기엔 좋았겠네요.
  

• coderant 2008/03/07 00:34 # 답글

  OTP 자체의 보안 취약성이라기 보다는 자체적으로 가지는 Setting 상의 보안헛점이 되겠죠. 사실 위협과 위험이라는 말이 다르듯이 어떤 결과(위험)가 발생할 수 있는 요인(위협)이 될 수 있다고 할 수 있겠죠.

• 헐랭이 2008/03/07 15:40 # 답글

  OPT 보안에 대해서는 보안 뉴스의 이 기사(http://www.boannews.com/media/view.asp?idx=9011&kind=0) 에 달린 댓글이 상당히 상세하게 기술되어 있네요.
  사이트 개편으로 내용이 바뀔 수 있어 전문을 발췌했습니다.
  "위에 분들도 적었지만, OTP 는 크게는 2가지 방식(타임, 이벤트)으로 동작하게 됩니다. 기사는 이벤트 방식의 문제점을 기술한것인데... 이러한 문제를 전체 OTP의 문제처럼 이야기 하는 것은 과장해석한것이네요... 그렇다고 타임방식은 안전하냐... 그또한 그렇지는 않다는 것을 아는 사람은 압니다... 타임방식은 1분동안 그값이 인정되는 건데... 동시에 두군데서 입력을 하거나 하면 인증이 될것입니다.
  그리고 타임이나 이벤트나 모두 마진이라는 것을 가져갈건데.. 타임의 경우 시간으로 하는거라서, 시간이 틀려질것을 대비해서 앞뒤로 몇분의 시간은 맞는걸로 보는 겁니다. 이벤트도 마찬가지로 실수로 눌러지는 것을 예상해서 몇개의 값을 허용하게 됩니다. 따라서 이러한 헛점을 노린다면 OTP도 무용지물이 되겠죠... 실제로 외국에서는 그렇게 해킹도 될구요.. 하지만 우리나라에서는 단지 OTP만 있는는게 아니고 계정과 비밀번호, OTP, 공인인증서 와 같이 다단계가 있어서 좀더 안전합니다.
  그리고 보안 카드보다는 그래도 OTP가 더 안전하죠.. 위에 분이 핸드폰에 매달고 다니다가 누가 몇개 적어 간다고 했는데... 보안카드는 누가 복사해 가면 그야말로 더 문제 아닌가요???ㅎㅎ"
  위의 글을 쓴 독자분이 OTP 보안에 대해 나름 많이 연구하신 듯...