2009.08.31 12:08 Windows/보안


국내의 신용카드사 사이트에서 작동 하는 ActiveX가 Windows 7 에서 정상적으로 작동 하는지에 대한 테스트를 했었습니다.

KB카드/신한카드/우리카드/외환카드/씨티카드/하나카드/삼성/현대/비씨/롯데


Windows 7 RTM 카드사 테스트 #1 (KB카드/신한카드/우리카드)  http://icerainbow.tistory.com/1030
Windows 7 RTM 카드사 테스트 #2 (외환카드/씨티카드/하나카드)  http://icerainbow.tistory.com/1031
Windows 7 RTM 카드사 테스트 #3 (삼성/현대/비씨/롯데)  http://icerainbow.tistory.com/1032

오늘은 그 테스트에 대한 종합적인 결과와 개인 의견 입니다.

대부분의 카드사 홈페이지에서 설치 되는 ActiveX는 이상 없이 설치가 되었습니다.

특별히 롯데카드를 까고 싶은 생각은 없습니다만, 롯데카드사만 ActiveX 설치시에 오류가 발생 했습니다.

이 현상이 발생하는 원인은 권한문제입니다. 당연히 해당 카드사와 보안 업체와의 협의에 의해서 해결 되겠지만, 돈을 쓰는 입장(카드사)에서는 나중에 돈을 써도 된다고 생각할 수 있을 겁니다. (Vista나 Windows 7 사용자가 얼마나 되겠어? 그쵸? 그런데 다른 카드사는 다 적용 했으니까 문제지...)
이 오류는 IE를 관리자권한으로 실행 하면 발생 하지 않겠지만, 사용자들에게 설치가 되지 않을 경우에는 브라우저를 관리자 권한으로 실행 하세요. 라는 말은 하지 마시기 바랍니다. 얼마나 특별 하다고 그 사이트 쓸때마다 그래야 합니까?


그리고 다른 문제로는(ActiveX 프로세스의 문제로 생각 됩니다만)
특정 보안 ActiveX 가 설치 되면서 브라우저를 모두 종료 하는 프로세스가 있는 모양인데,
열려 있는 브라우저에 대해서 닫아도 되겠냐고 묻는 절차 없이 모두 종료하는 일이 발생 합니다.
이 문제가 Windows 7 에서만의 문제인지 전체적인 문제인지 모르겠습니다만, 최소한 열려 있는 브라우저를 닫기전에 닫아도 되겠냐는 질문쯤은 해주시기 바랍니다.

사용자에게 IE를 모두 종료 할꺼냐고 물어 보는 것이

해당 ActiveX를 설치 하지 않을까 두려웠던 걸까요?
아니면 작은 창에 그 멘트를 뿌려 주는 기술이 없는 걸까요?
아니면 열려 있는 다른 IE가 뭐가 중요하다고 물어 보냐는 입장인걸까요?
아니면 IE정도는 묻지 않고 닫는것이 당연 하다고 생각 하는걸까요?

하지만 어떠한 이유라도 정당하지 않습니다.

열려 있던 IE에는 중요한 결재 문서가 작성중일 수도 있고, e-mail이 작성중이었을 수도 있고, 인터넷 강좌를 보고 있었을 수 도 있습니다. 그 ActiveX를 만든 회사(사람)에게는 중요하지 않지만 열려 있던 브라우저가 소리 없이 닫힌 사람의 입장에서는 매우 매우 매우 중요할 수 있습니다. 본인 입장에서 만들지 말고 다른 사람 입장에서 만들어 주기 바랍니다. (뒤에 따라올 수 있는 다른 멘트는 개인적인 품위 유지를 위하여 생략하겠습니다.)

이상으로 은행과 신용카드사에 대한 테스트를 모두 마쳤습니다.

실제로 로그인 하고 은행 업무나 카드 업무가 정상적으로 되는지에 대한 테스트까지는 못했습니다만, 최소한 해당 사이트에서 배포되는 ActiveX가 정상적으로 설치만 된다면 큰 문제는 없으리라 생각 됩니다.

아쉬운점은 그렇게 ActiveX로 떡칠을 해도 뚫을 녀석들은 다 뚫는다는 점이고, 사용자들의 보안 의식은 그렇게 높지 않은 것이 문제라는 것입니다. 과연 더 좋은 방법이 있을까요? 고민 스럽습니다.

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by 얼음무지개

댓글을 달아 주세요

  1. 고민하지마삼 2009.08.31 14:34 신고  댓글주소  수정/삭제  댓글쓰기

    그 고민이라는게 개인이 짊어질 고민은 아니겠죠. 푹신한 의자에 앉아서 까딱까딱 펜대 굴리는 사람들이 할 고민일텐데 그 사람들은 원래 고민 없이 살잖아요.

2009.08.26 12:05 Windows/보안


제1 금융권에 대한 테스트를 한 이후에 '신용카드사에 대한 문제도 있을 것 같다'라는 지인의 의견에 따라 일부 카드사에 대한 테스트도 해보려고 합니다.
이전과 마찬가지로 단순하게 ActiveX 설치 여부에 대한 테스트 까지만 할 계획입니다만, 가지고 있는 카드의 경우 로그인 테스트 까지 하게될것 같습니다.
신용카드사는 은행권 신용카드와 비은행권 신용카드로 구분을 하려고 하는데, 은행권 신용카드의 경우 앞에서 테스트한 은행 테스트와 다르지 않을것 같긴 합니다.

Test OS : Windows 7 RTM 32Bit 영문 + 한글 언어팩



이번 테스트 대상 신용카드는 KB카드 / 신한카드 / 우리카드 입니다.


1. KB카드  http://card.kbstar.com/quics?page=s_crd
   설치되는 ActiveX
   - XecureWeb Control V7.2 : SoftForum
   - XecureWeb UCA Update Control : SoftForum
   - nProtect Security Center (nProtect Netizen V4.0) : INCA
   - Secure KeyStroke 4.0  : Softcamp
   - Secure KeyStroke Elevation COMDLL  : Softcamp
   이상없이 모두 설치됨
   국민은행의 테스트와 비교를 하면 설치 되는 ActiveX 리스트가 약간 다른것을 볼 수 있는데, 실제 내용을 보면 다르지 않은것 같습니다.



2. 신한카드  http://www.shinhancard.com/
   설치되는 ActiveX
   - nProtect Security Center (nProtect Netizen V4.0) : INCA
   - XecureWeb Control V7.2 : SoftForum
   - nProtect KeyCrypt : INCA
   이상없이 모두 설치됨
   신한은행의 테스트와 비교를 하면 설치 되는 ActiveX 리스트가 약간 다릅니다. 신한 카드의 경우 국민은행과는 다르게 은행과 카드사의 차이일 수 있겠다 라는 생각이 듭니다.


3. 우리카드  http://card.wooribank.com/
   설치되는 ActiveX
   - XecureWeb Control V7.2 : SoftForum
   - ClientKeeper KeyPro Keyboard Protecter : SoftForum
   - Ahnlab Online Security : AhnLab
   이상없이 모두 설치됨
   우리은행의 테스트와 비교를 하면 설치 되는 ActiveX 리스트가 약간 다른것을 볼 수 있는데, 실제 내용을 보면 다르지 않은것 같습니다.


ActiveX 들이 설치 되면서 열려 있던 모든 브라우저를 강제 종료하고 새브라우저에 해당 카드사 홈페이지만 뿌려주는 현상이 가끔 발생 합니다. 설치전에 열려 있는 브라우저를 닫아도 되냐고 물어 보는 것이 어려운 일도 아니고 돈이 많이 드는 문제도 아닐텐데요. 물어 보는 일이 조금 쑥쓰러웠나 보네요.  아무리 그래도 물어 보지 않고 다 닫아 버리면 몇몇 고객은 울화통 터지는 일이 생길 수도 있으니까 다음에는 꼭 열려 있는 창을 닫아도 되겠냐고 물어 보는 단계를 중간에 하나 넣어 주세요. 서민들이 복창 터지는 다른 일도 많은데 이런데서 까지 육두문자를 남발하는 것은 민망한 일이잖아요. 다 같이 행복하자고 하는일인데요.


저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by 얼음무지개

댓글을 달아 주세요

2009.08.24 18:04 Windows/보안

국내에서 금융업무를 하는 1금융권에 속하는 은행의 ActiveX 가 정상적으로 설치 되는지 Windows 7에서 테스트를 며칠간 했었습니다.


Windows 7 RTM 금융권 테스트 #1 (국민/우리/신한/외환)  http://icerainbow.tistory.com/1023
Windows 7 RTM 은행 테스트 #2 (기업/하나/산업/제일/씨티)  http://icerainbow.tistory.com/1024
Windows 7 RTM 은행 테스트 #3 (HSBC/부산/대구/광주)  http://icerainbow.tistory.com/1025
Windows 7 RTM 은행 테스트 #4 (경남/전북/제주/농협)  http://icerainbow.tistory.com/1026
Windows 7 RTM 은행 테스트 #5 (수협/신협/새마을금고/우체국)  http://icerainbow.tistory.com/1027

오늘 포스팅은 그 결과에 대한 전체적인 개인 의견 입니다.


비교적 정상 적으로(약간의 에러는 있을 수 있지만) ActiveX 설치가 진행된 은행 입니다.
국민/우리/신한/외환/기업/하나/씨티/HSBC/광주/경남/제주/농협/신협/새마을금고/우체국

물론 ActiveX가 정상적으로 설치 되었다고 인터넷 뱅킹 업무가 정상적으로 된다고 볼수는 없습니다.

또한 보안 관련된 ActiveX 들이 모두 정상적으로 설치 되었다 해도 해킹으로 부터 100% 안전 하다는 보장 또한 없습니다. 이부분은 아무래도 사용자의 의식 변화가 더 필요해 보입니다.


보안제품의 ActiveX 설치시 권한 문제가 발생한 은행 입니다.
산업/부산/대구/전북/수협/

보안 업체와의 M/A 계약 시점이나 가격 문제 인지, Vista나 Windows 7 사용자가 별로 없으니 그냥 가려는 것인지 여부는 모르겠습니다.
개인적인 생각이지만 甲과 乙의 문제라면 어느 한쪽에서라도 조금 더 관대 하게 처리해 주면 쉽게 풀릴 문제라고 생각이 됩니다만...
항상 서로의 이익에 대한 문제가 있기 때문에 제 3자 입장에서 뭐라 할말이 없습니다.
알아서들 잘 해결 하시구요. 이로 인해서 사용자들에게 불편을 주지 않기를 바랍니다.


신뢰사이트 등록 요청 하는 은행
제일/수협/

지난 포스팅에서도 언급을 했지만 이는 무척 위험한 상황이 될 수 있습니다. 비슷한 종류의 보안 제품은 다른 은행에서도 사용을 하는데, 유독 이 두곳에서만 신뢰사이트 등록을 요구 하는 것은 자질 자체를 의심할 수 밖에 없습니다. 지금 까지는 어떻게 했는지 모르겠습니다만 앞으로는 이렇게 하지 말아 주세요.


은행 해킹은 앞으로도 계속 될것입니다. 다만 이렇게 ActiveX로 떡칠을 하는 것이 해킹을 막을 수 있는 최선의 방법은 아닙니다. 물론 해킹을 막을 방법은 위에 계신 분들이 정책 잘 세우고 툴 좋은거 도입해서 잘 막아 주시구요. (내가할 수 있는 부분이 아니라서요....)

근본적인 원인을 찾아서 해결 하지 않고 매번 일이 터져야만 해결 하는척은 이제 그만 해야 하지 않을까 생각해 봅니다.


노컷뉴스 인터넷 뱅킹 통해 4천여만원 빼갔다
조선일보 중(中)동포 해커에 국내 은행들 4억대 털렸다
한국일보 中서 국내 이메일 해킹 인터넷 뱅킹정보 빼내 
노컷뉴스 끈질긴 중국 해커에 개인 은행 계좌 뚫렸다
국민일보 中해커,이메일서 공인인증서·보안카드 해킹 국내 은행서 3억5000만원 빼내
조선일보 인터넷뱅킹 가입 5500만명…보안사고 ‘증가’

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by 얼음무지개

댓글을 달아 주세요

2009.08.20 12:10 Windows/보안

Windows 7 RTM 상에서 국내 약 20여개의 금융권 사이트에 대한 접속 테스트를 진행 합니다.

해당 사이트에 접속 했을때 설치 되는 ActiveX들이 정상적으로 설치되는지에 대한 여부 까지만 테스트 합니다.간혹 일부 키보드 보안 프로그램이 키보드 입력을 방해 하는 사례가 있지만 개인적으로 인터넷 뱅킹을 하지 않는 관계로 로그인 테스트 까지는 하지 못하므로 이에 대한 검증은 하지 못합니다.

Test OS : Windows 7 RTM 32Bit 영문 + 한글 언어팩



이번 테스트 대상은 은행은 수협, 신협, 새마을금고, 우체국 입니다.



 
1. 수협 :  http://www.suhyup-bank.com/
   설치되는 ActiveX
   - nProtect Security Center (nProtect Netizen V4.0) : INCA
   - INISAFEWeb v6 : Initech
   - Secure KeyStroke 4.0  : Softcamp
   - Printmade : Designmade
   - iTrustSite Module : BankTown

수협도 이전에 테스트 했던 일부 은행처럼 보안프로그램의 권한 문제가 해결 되지 않은 제품을 사용하고 있는것 같습니다. Need Admin 오류창이 자주 나타 나는군요.

더!군!다!나!
신뢰사이트 등록을 요구 합니다. 당연히 "동의하지 않음"을 클릭 합니다. 하지만 다음 단계로 이동은 되는군요.

몇개의 ActiveX를 설치 했음에도 불구 하고 트레이에는 아무런 아이콘도 나와 있지 않습니다. (설치된 관련 ActiveX들이 트레이에 올라와 있지 않더라도 정상 동작 할 수 있기도 합니다만, 설치된 ActiveX들이 모두 그런지는 확인 안했습니다.) 로그인을 클릭 했을때 인증서 선택 창은 나옵니다만, 이후에 정상적으로 로그인 되는지에 대한 여부는 테스트 안해봐서 모르겠습니다. 수협에 계좌가 있는 분들중에 Windows 7을 사용 하는 분이 알려 주시면 아주 아주 고마울것 같습니다.


2. 신협 :  http://www.cu.co.kr/
   설치되는 ActiveX

   - nProtect Security Center (nProtect Netizen V4.0) : INCA
   - nProtect KeyCrypt : INCA
   - INISAFEWeb v6 : Initech
   - nProtect KeyCrypt ActiveX Contol : INCA
     CF 모델인 조재현씨 처럼 이상 없이 모두 설치되었습니다.



3. 새마을금고 :  http://www.kfcc.co.kr/
   설치되는 ActiveX
   - nProtect KeyCrypt : INCA
   - nProtect Security Center (nProtect Netizen V4.0) : INCA
   - INISAFEWeb v6 : Initech
   이상없이 설치됨


4. 우체국 : http://www.epostbank.go.kr/
   설치되는 ActiveX
   - EWS Client : 한국정보인증
   - K-Defense 8 : Kings Information&Network
   - OPISASXU : 알수없음
   - Mead Co's Script : Mead & Company
   - Persnal PC Firewall i-Defense : Kings Information&Network
    이상없이 설치됨
    그런데...처음 보는 ActiveX 도 있고, 알수 없는 모듈이 설치 되는 일은 불안요소로 생각이 됩니다.



이번에도 4개의 사이트에 대한 테스트를 간단하게 해봤습니다.
권한문제에 대한 부분과, 신뢰할 수 있는 사이트 등록 요구에 대한 문제가 있었습니다. 알아서 잘들 해결 하시리라 믿습니다만...비스타 때부터 발생한 문제인듯 한데 아직도 저렇게 해 놓은것 보면 어찌될지 모를것 같기도 합니다.

물론 이와 같은 문제 때문에 정상적으로 인터넷 뱅킹을 할 수 없는지까지는 확인안해봐서 모르겠습니다. 추천하지 않지만 보안 프로그램 설치를 우회할 수 있는 방법이 존재 하기 때문에 오류가 발생해도 약간의 불편을 감수 한다면 인터넷뱅킹은 가능하겠죠. 하지만 '우회' 와 같은 비정상적인 방법은 어떤 불상사를 불러 올지 모르기 때문에 그에 대한 위험성은 항상 존재 함을 잊지 마시기 바랍니다.


이것으로 제1 금융권에 대한 테스트는 마지막입니다. 제2금융권이나 제3금융권에 대한 테스트는 없습니다. 아울러 카드사, 증권사에 대한 테스트도 해볼려고 했는데, 상황은 다 비슷한것 같습니다. 그래서 금융권에 대한 테스트는 더 없을것 같습니다. 테스트해야할 다른 것도 아직 많이 남아 있으니까요.

OS나 브라우저에 영향을 받지 않는 세상에 살고 싶습니다.


 

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by 얼음무지개

댓글을 달아 주세요

  1. 행복의지도 2009.08.21 01:11 신고  댓글주소  수정/삭제  댓글쓰기

    다음 테스트도 기대하겠습니다. 저도 이런 영향없는 세상이 오기를 바랍니다.

  2. 궁금한게 있습니다~ 2009.09.16 16:33 신고  댓글주소  수정/삭제  댓글쓰기

    신뢰사이트 등록은 수협외에 다른 금융사이트에선 사라졌나여~?

  3. 궁금한게 있습니다~ 2009.09.17 12:06 신고  댓글주소  수정/삭제  댓글쓰기

    아참~ INISAFE Web 트래이 표시는 옵션입니다 ㅎ 보여지는것과 보여지지 않는것 2가지가 있습니다.

  4. 궁금한게 있습니다~ 2009.09.29 15:16 신고  댓글주소  수정/삭제  댓글쓰기

    수협은 Windows 7에서 모든 거래가 이상없는걸로 확인되었습니다. 그럼 수고하십시오~!

2009.08.18 17:37 Windows/보안


Windows 7 RTM  상에서 국내 약 20여개의 금융권 사이트에 대한 접속 테스트를 진행 합니다.
해당 사이트에 접속 했을때 설치 되는 ActiveX들이 정상적으로 설치되는지에 대한 여부 까지만 테스트 합니다.간혹 일부 키보드 보안 프로그램이 키보드 입력을 방해 하는 사례가 있지만 개인적으로 인터넷 뱅킹을 하지 않는 관계로 로그인 테스트 까지는 하지 못하므로 이에 대한 검증은 하지 못합니다.

Test OS : Windows 7 RTM 32Bit 영문 + 한글 언어팩


 이번 테스트 대상은 은행은 경남은행, 전북은행, 제주은행, 농협 입니다.


1. 경남은행 http://www.kyongnambank.co.kr/
   설치되는 ActiveX
   - INISAFEWeb v6 : Initech
   - ClientKeeper KeyPro Keyboard Protecter : SoftForum
   - nProtect Security Center (nProtect Netizen V4.0) : INCA
     이상없이 모두 설치 됨


2. 전북은행
http://www.jbbank.co.kr/
   설치되는 ActiveX
   - nProtect Security Center (nProtect Netizen V4.0) : INCA (설치 않함)
   - ClientKeeper KeyPro Keyboard Protecter : SoftForum
   - XecureWeb Control V7.2(XecureWeb ClientSM 4.1.1.0) : SoftForum

"Need Admin~"  오류 발생. 이전 포스팅에도 언급 되었지만 예상외로 여러 은행들이 아직 Windows 7 에서 정상적으로 작동 하는 보안 모듈로 업그레이드 하지 않은 모습을 보임.

브라우저 재시작 되면서 Need Admin 창을 IE가 가리게 되어 다음 단계로 진행을 하지 못해 브라우저를 강제로 종료 하고 재시작 해야 상황 발생함.





3. 제주은행 http://www.e-jejubank.com/
   설치되는 ActiveX
   - nProtect Security Center (nProtect Netizen V4.0) : INCA
   - nProtect KeyCrypt : INCA
   - INISAFEWeb v6 : Initech
   - 휴대폰 인증서 보관 서비스 : Infovine
     이상없이 모두 설치 됨

4. 농협 http://banking.nonghyup.com/
   설치되는 ActiveX
   - INISAFEWeb 7.0 Updater : Initech
   - Secure KeyStroke 4.0  : Softcamp
   - Ahnlab Online Security : AhnLab
    이상없이 모두 설치 됨


이번 테스트 대상 은행중에서도 이전에 오류가 있었던 은행들과 같이 권한 문제가 적용 되지 않은 보안 어플리케이션 문제가 있었습니다. 이 부분은 Windows 7 정식 제품 출시할때 쯤이면 수정되지 않을까 기대를 해보긴 합니다만...은행과 보안 업체와의 문제이므로 어찌될지는 두고 봐야할것 같습니다.

테스트를 많이 한것 같은데 아직도 많은 금융권 사이트들이 남아 있군요. 같은 패턴의 반복이라 서서히 지겨워 집니다.
저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by 얼음무지개

댓글을 달아 주세요

2009.08.17 16:24 Windows/보안


Windows  7 RTM 상에서 국내 약 20여개의 금융권 사이트에 대한 접속 테스트를 진행 합니다.
해당 사이트에 접속 했을때 설치 되는 ActiveX들이 정상적으로 설치되는지에 대한 여부 까지만 테스트 합니다.간혹 일부 키보드 보안 프로그램이 키보드 입력을 방해 하는 사례가 있지만 개인적으로 인터넷 뱅킹을 하지 않는 관계로 로그인 테스트 까지는 하지 못하므로 이에 대한 검증은 하지 못합니다.

Test OS : Windows 7 RTM 32Bit 영문 + 한글 언어팩


 


이번 테스트 대상은 은행은 HSBC, 부산은행, 대구은행, 광주은행 입니다.

 

1. HSBC http://www.kr.hsbc.com/
   설치되는 ActiveX
   - nProtect Security Center (nProtect Netizen V4.0) : INCA
   - nProtect KeyCrypt : INCA
   - XecureWeb Control V7.2(XecureWeb ClientSM 4.1.1.0) : SoftForum
    이상없이 모두 설치 됨



2. 부산은행 http://www.pusanbank.co.kr/
   설치되는 ActiveX
   - nProtect KeyCrypt : INCA
   - nProtect Security Center (nProtect Netizen V4.0) : INCA
   - Banktown CxCtl20 Module : Initech
   - Pusan Bank MYBCard Module : BankTown
   - BtShellPsb20 Module: Banktown
   - PKICube Admin Module : Banktown

    
부산은행 첫 접속부터 나를 반겨준 것은 "Need Admin~" 이라는 오류창
     시도 때도 없이 그 오류창은 출현 합니다.

    강제 설치 후 nProtect Netizen이 설치되어 트레이에 올라 왔는데도, 오류창은 계속 나옵니다.
   이 오류창 역시 권한문제를 해결 하지 못한 예전 버전인것으로 생각 됩니다.

정상적으로 작동 하지도 않으면서 참 많이도 설치 되었군요.


3. 대구은행 http://www.daegubank.co.kr/
   설치되는 ActiveX
   - nProtect KeyCrypt : INCA
   - nProtect Security Center (nProtect Netizen V4.0) : INCA
   - INISAFEWeb v6 : Initech

암호화 프로그램 확인 단계에서 "Need Admin~" 창이 지속적으로 나타나며
nProtect Service Updater 관련 UAC 창 역시 마찬가지 입니다.

이 두가지 문제도 부산은행과 마찬가지로 권한 문제로 생각 되며 Windows 7(또는 Vista) 에서 정상작동 되는 업데이트를 적용하지 않은 예전 버전인듯 합니다.



4. 광주은행 http://www.kjbank.com/
   설치되는 ActiveX
   - INISAFEWeb v6 : Initech
   - Secure KeyStroke 4.0  : Softcamp
   - Ahnlab Online Security : AhnLab
     이상없이 모두 설치 됨


이번에는 HSHC와 지방 은행 3곳(부산, 대구, 광주) 에 대한 테스트 였습니다.

부산은행과 대구은행의 오류는 비슷한 케이스로 보이며
해당 보안 모듈(nProtect)이 Vista나 Windows 7 에서 정상 작동 하지 않는 예전 버전으로 생각 됩니다.

아직 미적용된 이유가 무엇이었을까요?

예산? 복지부동? 무대응? 고객무시?

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by 얼음무지개

댓글을 달아 주세요

2009.08.14 15:28 Windows/보안



Windows  7 RTM 상에서 국내 약 20여개의 금융권 사이트에 대한 접속 테스트를 진행 합니다.
해당 사이트에 접속 했을때 설치 되는 ActiveX들이 정상적으로 설치되는지에 대한 여부 까지만 테스트 합니다.간혹 일부 키보드 보안 프로그램이 키보드 입력을 방해 하는 사례가 있지만 개인적으로 인터넷 뱅킹을 하지 않는 관계로 로그인 테스트 까지는 하지 못하므로 이에 대한 검증은 하지 못합니다.

Test OS : Windows 7 RTM 32Bit 영문 + 한글 언어팩



테스트 대상은 은행은

기업은행, 하나은행,

한국산업은행, SC제일은행, 한국씨티은행

입니다.




1. 기업은행 http://www.ibk.co.kr/
   설치되는 ActiveX
   - XecureWeb Control V7.2(XecureWeb ClientSM 4.1.1.0) : SoftForum
   - ClientKeeper KeyPro Keyboard Protecter : SoftForum
   - nProtect Security Center (nProtect Netizen V4.0) : INCA
   이상없이 모두 설치 됨 / 브라우저가 설치 완료를 인식 못하는지 브라우저를 몇번 재시작 해야 했음



2. 하나은행 http://www.hanabank.com/
   설치되는 ActiveX
   - INISAFEWeb 7.0 Updater : Initech
   - Secure KeyStroke Elevation COMDLL  : Softcamp
   - Printmade : Designmade
   - Ahnlab Online Security : AhnLab
   이상없이 모두 설치 됨


3. 한국산업은행 http://www.kdb.co.kr/
   설치되는 ActiveX
   - nProtect Securelog Client : INCA
   - nProtect KeyCrypt : INCA
   - nProtect Service Updater : INCA
   - npz ActiveX Control Module : INCA
   - nProtect Security Center : INCA
   - INISAFEWeb v6 : Initech

몇가지 문제점
INCA의 nProtect 제품들이 설치 되면서 오류 발생.
보안프로그램 설치 페이지와 산업은행 홈페이지를 왔다 갔다 하면서 오류창을 계속 띄우는 현란한 모습을 보여주는데, 아마도 해당 보안 모듈은 권한 상승 패치가 적용 되지 않은 예전 제품으로 예상 됩니다.
(그렇다면 아마도...Vista에서도 마찬 가지 상황 일겁니다. 예전 보안 제품으로 오랬동안 버텨 오셨군요.)



강제 설치를 시도 했을 경우 실패창을 보여 주는 것으로 마무리 됩니다.

뭐...그래도 들어올 만한 것들은 들어와서 자리 잡고 앉아 있는 모습이네요.

그나마 다행인 점은 국책은행인 한국산업은행은 개인 예금을 취급 하지 않기 때문에 인터넷 뱅킹을 이용 하는 이용자가 많지 않을 것이라고 생각 했습니다. 하지만 그것은 내 생각이었을 뿐이고...

산업은행 가계대출·개인예금도 취급
산업은행에 개인 요구불예금·대출 허용
이렇게 바뀌어 가고 있군요.


더군다나 아래 기사를 읽으면...짠~~ 해집니다.

산업은행 1인 평균 연봉 9,300만 원
'연봉킹' 산업은행, 9300만원이 '평균'
산업은행 연봉 9300만원 또 최고
'연봉킹' 산업은행, 9300만원이 '평균'
"산업은행 1억 연봉 497명...방만경영 여전"
산업은행 돈잔치...월급 수당 '펑펑'
[광화문] '연봉 100억의 산업은행장'
(부러우면 지는 거다!!!)

이젠 보안투자도 '업계킹' 으로 하시지요!


4. SC제일은행
http://www.scfirstbank.com/
   설치되는 ActiveX
   - SC FirstBank TrustSite ActiveX Module : SC 제일은행(Initech OEM)
   - Microsoft Visual C++ 2005 Redistributable Package : Microsoft
   - INISAFEWeb 7.0 : Initech
   - Ahnlab Online Security : AhnLab

몇가지 문제점
중간에 Microsoft Visual C++ 2005 Redistributable Package 를 설치 하더군요.

   VC++ 2005 로 개발된 Application이 CRT, ATL, MFC를 사용하여 개발이 되었을 경우, VC++ 2005가 설치되지 않은 PC(우리나라에는 설치 되지 않은 PC가 훠~얼~씬 많겠죠)에 배포하게 될경우 이 Library(혹은 Runtime)를 해당 PC에  설치하도록 합니다. 뭐 굳이 해당 은행 사용 하는데 꼭 설치가 필요하다면 해야겠죠. 하지만, 한글 OS와 같은 DBCS OS환경에서는 가끔씩 해당 Package가 설치되지 않는 경우가 있습니다. 이 부분에 대한 안내가 필요할것 같습니다.

또하나

   어떠한 경우라도 어떤 사이트라도 개인 사용자에게 해당 사이트 사용을 위해서 "신뢰사이트 등록"을 요구 하는 일은 없어야 합니다. 지구상에 있는 어떠한 사이트라도 100% 안전한 사이트는 없습니다. 만약 해당 싸이트가 해킹 된다면 그 사이트에 접속 하는 모든 사용자는 엄청난 일을 당하게 될지도 모릅니다. 타 금융권과 별다른 보안 제품을 사용하지 않는다면 조속히 해결해주시기 바랍니다.


"동의하지 않음" 을 선택 할 경우. (당연히 실패 하겠지...)

그리고 '컨트롤 이름을 사용할 수 없습니다', '사용할 수 없음' 과 같은 오류 내용은 브라우저의 오류인지 배포되는 ActiveX의 오류 때문인지는 모르겠지만 이 역시 보기 좋지는 않습니다.

그래도 일단 로그인 까지는 되는가 봅니다.
계좌도 없고 인터넷 뱅킹도 안하고 해서...로그인이 정상적으로 되는지는 모르겠습니다.


5. 한국씨티은행 http://www.citibank.co.kr/
   설치되는 ActiveX
   - INISAFEWeb 7.0 Updater : Initech
   - Secure KeyStroke 4.0  : Softcamp
   - Ahnlab Online Security : AhnLab
이상없이 모두 설치 됨



이번에는 5개 은행에 대해서 테스트를 해봤습니다.

아직 준비 상황이 미비한 은행이 두곳(한국산업은행, SC제일은행)이 발견(!) 되었습니다. 아직 두달여의 시간이 남아 있으니 그때 까지는 잘 마무리 하셨으면 하는 바램 입니다. 

돈은 쓸곳에 사용되어야 돈으로서의 가치가 빛나는 것이라고 생각 합니다.

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by 얼음무지개

댓글을 달아 주세요

  1. 은행들은 2009.08.15 13:48 신고  댓글주소  수정/삭제  댓글쓰기

    산업은행 기사 보면 참 갑갑 하네요. 불쌍한 개발자들 3~4명쯤 되는 연봉이 평균 연봉이라니...

2009.08.13 16:12 Windows/보안



Windows  7 RTM 상에서 국내 약 20여개의 금융권 사이트에 대한 접속 테스트를 진행 합니다.
해당 사이트에 접속 했을때 설치 되는 ActiveX들이 정상적으로 설치되는지에 대한 여부 까지만 테스트 합니다.간혹 일부 키보드 보안 프로그램이 키보드 입력을 방해 하는 사례가 있지만 개인적으로 인터넷 뱅킹을 하지 않는 관계로 로그인 테스트 까지는 하지 못하므로 이에 대한 검증은 하지 못합니다.

Test OS : Windows 7 RTM 32Bit 영문 + 한글 언어팩





이번 테스트 대상은 은행은


국민은행
우리은행
신한은행
외환은행

입니다.




1. KB국민은행 :
http://www.kbstar.com/
   설치되는 ActiveX
   - nProtect Security Center (nProtect Netizen V4.0) : INCA
   - XecureWeb Control V7.2(XecureWeb ClientSM 4.1.1.0) : SoftForum
   - INISAFEWeb v6 : Initech
   - INIIE8Assist : Initech
   - Secure KeyStroke 4.0  : Softcamp
     이상 없이 모두 설치 됨



2. 우리은행 : http://www.wooribank.com/
   설치되는 ActiveX
   - XecureWeb Control V7.2(XecureWeb ClientSM 4.1.1.0) : SoftForum
   - ClientKeeper KeyPro Keyboard Protecter : SoftForum
   - Ahnlab Online Security : AhnLab
   - XecureWeb UCA Update Control : SoftForum
   - WRebw : Interzen
     이상 없이 모두 설치 됨 / 가끔 AOS 로딩중에 IE8 종료 후 복구되는 현상 발생



3. 신한은행 : http://www.shinhan.com/
   설치되는 ActiveX
   - INISAFEWeb 7.0 Updater : Initech

   - Secure KeyStroke 4.0  : Softcamp
   - Secure KeyStroke Elevation COMDLL  : Softcamp
   - ProWorksGrid : Iniswave
   - Ahnlab Online Security : AhnLab
     이상 없이 모두 설치 됨

'노피싱' 설치 유도 함. 유해한 프로그램은 아니므로 설치 해도 무방 하지만 트레이에 올라와 있는 '노피싱"은 대부분의 사용자가 어떤일을 하는 프로그램인지 모르는듯.

ASPLnchr.exe (Ahnlab Online Security 프로세스) 가 정상적으로 설치 되었으나, 작업 관리자의 프로세스 리스트에 보임에도 불구 하고 트레이에서 자취를 찾을 수 없음. (이유? 나야 모르지...)

뭔지 모를(알아도 모르는 척) 추가 기능들이 겁나게 많이 들어와 있는데

주범은 INISAFEWeb 7.0


4. 외환은행 : http://www.keb.co.kr/
   설치되는 ActiveX
   - VeraPort : WIZVERA

   - VeraPort Main : WIZVERA
   - nProtect Security Center (nProtect Netizen V4.0) : INCA
   - ClientKeeper KeyPro Keyboard Protecter : SoftForum
   - XecureWeb Control V7.2(XecureWeb ClientSM 4.1.1.0) : SoftForum
     이상 없이 모두 설치 됨


4개 은행에 대해서 간단하게 ActiveX 설치 여부를 확인해 봤습니다.

"아쉽게도..., 아직도 준비 못한..." 이라고 하면서 은행과 보안 업체를 까고 싶었는데 예상외로 설치는 잘 되는군요. (하지만 아직 테스트할 은행은 많이 남아 있습니다.) 실제 은행에 로그인 되고, 은행업무가 정상적으로 처리 되는지 여부는 미리 말한 것처럼 테스트 안해서 패스 합니다. (아마 다른 누군가가 테스트 해서 포스팅 하리라 생각 됩니다. 그분께 미리 수고 하셨다고 말씀 드리겠습니다.)

비스타 때와 너무 다른 양상을 보여서 한편으로는 다행이다 싶기고 하고 한편으로는...(응? 하고 싶은 말이?)

노컷뉴스 인터넷 뱅킹 통해 4천여만원 빼갔다
조선일보 중(中)동포 해커에 국내 은행들 4억대 털렸다
한국일보 中서 국내 이메일 해킹 인터넷 뱅킹정보 빼내 
노컷뉴스 끈질긴 중국 해커에 개인 은행 계좌 뚫렸다
국민일보 中해커,이메일서 공인인증서·보안카드 해킹 국내 은행서 3억5000만원 빼내
조선일보 인터넷뱅킹 가입 5500만명…보안사고 ‘증가’

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by 얼음무지개

댓글을 달아 주세요

  1. 행복의지도 2009.08.13 20:59 신고  댓글주소  수정/삭제  댓글쓰기

    Tag 보고 흠칫 하다가 웃었습니다.

  2. Favicon of http://jellapi.net BlogIcon 젤라피 2009.08.17 16:42 신고  댓글주소  수정/삭제  댓글쓰기

    헉;;.. ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ;; 재밌습니다.

  3. Favicon of http://jellapi.net BlogIcon 젤라피 2009.08.17 16:54 신고  댓글주소  수정/삭제  댓글쓰기

    ^^;;;;;;;; 헬로마스터는 제가 만든게 아니라서 ==;;

  4. Favicon of http://kawon.tistory.com BlogIcon darin 2009.08.18 23:56 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요.. HelloMaster를 운영중인 darin입니다.

    window7에서 캐릭터와 풍선창의 외각선이 많이 거칠게 보인다고 말씀해주셨는데..
    혹시 스크린 캡쳐 이미지를 kawon@paran.com으로 보내주실수 있을까요?

    궁금한데 테스트할 방법이 없어서 부탁좀 드리겠습니다.

2009.07.16 17:07 Windows/보안



올해 7월 7일은 흥미롭고 재미있는 일들이 많았습니다.

개그콘서트 현장이 되어 버린 어느 회사의 신제품 발표회 (윤하 지못미 ㅡ..ㅡ)
우리나라 전체 PC의 1%도 않되는 숫자로 먹통이 되어버린 10여개의 대형 사이트.

'국가종합대책'은 사고 났을때만 나오는 상투적인 단어일 뿐이고, 예산에서 삭감 대상 1호는 '보안 투자' 이면서 'IT 강국'임을 자부 하는 나라.


한번 두번은 실수라고 봐줄 수도 있습니다.
실수 하면 고치고, 개선하고 기억하고 있다가 같은 실수를 범하지 않으면 됩니다.


세번 네번 또 그런일을 겪는다면 그건 실수가 아닙니다.

전체적으로 잘 모르는거죠. 이런 경우에는 보통의 경우 알아 들을때까지 반복적으로 교육을 하면 대부분 고쳐 집니다.


다섯번 여섯번 또 그런일이 일어난다면...

실수도 아니었고, 교육의 효과가 전혀 없다면 그건 바보죠. 바보중에서도 아주 꼴통 바보 입니다.


사회에 필요 없는 惡이 된다면 버려야 합니다.


비록 과거에 선량한 사람들 대부분이 인터넷을 사용할 때의 좋은 기술이어도

현재 그것이 惡의 축이 되어 사용된다면 더 이상 고민할 필요는 없을것 같습니다.


ActiveX


버리기에는 너무 아까운 좋은 기술임에는 분명 합니다. 하지만 아무리 좋은 기술이어도 국가 기반이 흔들릴 정도로 영향을 준다면 심각한 일입니다.


이와 관련된 것들을 한순간에 모두 버릴수는 없을겁니다.

이미 모든 관공서는 ActiveX로 떡칠이 되어 있고, 금융기관들은 ActiveX로 설치 되는 보안 프로그램이 작동 하지 않으면 아무것도 할 수 없습니다.

관련 지침과 대응방안 마련하고, 관련된 모든 소스들도 수정해야 할거고... 오래걸리겠죠.
지금부터 ActiveX를 최소화 하기 위해 뭔가를 한다고 해도 2~3년은 지나야 할것 같습니다.



컴퓨터를 잘 아는 사람보다 잘 모르는 사람들이 더 많습니다.

설치 되려는 ActiveX가 필요한 것인지 악성인지 구별 못하는 사람이 더 많습니다.
기본적인 보안 원칙을 지키지 않는 사람들이 더 많습니다.
비스타 사용자 중에 UAC를 끄고 사용하는 사람이 더 많다고 합니다.



우리나라에 이 정도도 잘 모르는 사용자가 얼마나 될까요?

10만명? 100만명?


컴퓨터를 잘하시는분들이 4400만명이라고 해도 2~3만대의 PC로 10여개의 대형 사이트를 무너뜨리고, 증거 인멸시키기 위해 일끝내고 스스로 PC까지 파괴하고, 스스로 복제하고 스케줄에 따라 움직이는 악성코드라면 예전의 "대란" 이라는 수식어를 붙였던 일들과는 상대가 되지 않는 상황으로 몰구 갈수있습니다.


잘 모르는 사람 몇만명만 있어도 우리나라를 쑥대밭으로 만들 수 있다는 것을 이번일로 확실하게 알게 되었죠.


계속 책상에 앉아서 예산 타령만 하고, 추가 예산 잡는다고 하고, 대응팀 만든다고 하고, 방어하기 위한 장비 구입한다고 하고, 그러다가 사건이 조용해 질만할때 쯤이면 모든 걱정 훌훌 털어 버리고 다시 원위치로 가겠죠. 다시 예산 짜르고, 대응팀 간판도 만들지 않을거고 그럴거죠?



"한두번 그랬나요. 매번 그랬잖아요."


정책이 마련되지 않고 지지부진 하다면...

마지막으로 믿는 것이라고는  IE 9이 나올때 쯤이면 ActiveX 를 사용하지 않게 되기를 바랍니다.
(물론 지금 ActiveX가 지원되지 않는 브라우저도 있긴 합니다.)

하지만 IE 9이 나올때쯤이면 아마도 우리는 이번일과 같은 참담한 일을 몇번은 더 겪은 이후겠죠. (이런일 한두번 겪은것도 아닌데 이제 별 걱정도 되지 않네요.)


개개인의 성숙한 보안의식이 점점 중요해 지고 있습니다만...

머리따로 손따로 몸따로, 따로따로 움직이는 IT 강국에서 살고 있습니다.

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by 얼음무지개

댓글을 달아 주세요

  1. 짱아 2009.07.21 12:44 신고  댓글주소  수정/삭제  댓글쓰기

    이번 비사태도 그렇구요. 매일 터져서 다치고 돈 잃고 사람잃고 고생해야 다시 국민혈세로 복구하는척
    임시방편( 다들 어차피 국민세금이니까 내돈아니니까 대충하자는 심리가..)이런 마인드(직장에서도 눈에 보이는것만)
    이런 마인드가 온 국민의 혈관을 관통하는거 같아요. 이번 시험지유출사건도 그렇고..
    수능도 비싼 유치원도 찌질하고 비싼명풍거품같아요.

이전버튼 1 이전버튼

블로그 이미지
얼음무지개
free counters

글 보관함


티스토리 툴바