이미 2007년에 Active X 는 해킹에 쉽게 뚫린다는게 시연되었다.
관련기사 `액티브X` 해킹툴 첫 공개 ‥ 10분만에 인터넷뱅킹 암호 빼내
관련기사 “이대로 가만있으면 중국 크래커들 공격에 속수무책 당할 것”
이후 인터넷뱅킹 해킹사건이 계속 생기고 있다.
08년 2월 : 국민은행 인터넷뱅킹 7,000만원 해킹 사고.
08년 08월 : 국민은행 인터넷뱅킹 해킹사고. 피해금액은 숨김.
08년 10월 : 우리은행 인터넷 뱅킹 1,300만원 해킹사고.
08년 12월 : 씨티은행 1,430만원 해킹으로 빠져나갔습니다.
09년 2월 : 하나은행 2,100만원이 해킹사고.
09년 4월 : 우리은행 640만원 해킹으로 무단인출
모두 중국발 해킹인 것으로 추정되지만 범인 검거는 물론 구체적인 원인 규명 조차하지 못하고 있는 실정이다.
시중은행 또 인터넷 뱅킹 해킹...'속수무책' http://www.ytn.co.kr/_ln/0102_200904160501247267
1. Active X 에 의존한 국내 인터넷 뱅킹의 보안시스템에 상당한 문제가 있다.
2. 인터넷 뱅킹 관련 기술이 마이크로소프트(이하 MS)사의 인터넷 익스플로러(이하 IE)에만 맞춰 개발돼 사용되다보니 한국의 전자금융거래가 외국의 한 회사 프로그램의 변경에 따라 좌지우지되고 있는 상황이다. 이번에 MS가 IE8을 출시하니까 금감원과 정부가 프로젝트 팀을 구성해서 기존 프로그램을 고친다고 또 난리법석 중이다. 비표준으로 만들어진 사이트가 얼마나 혈세를 낭비하는지 잘 보여주고 있다.
3. 웹표준기술에 맞추어서 개발하면 이런 문제가 없다. 실제로 외국 유명사이트(e-bay, Amazon 등)은 Active X 없이도 잘만 결재된다.
4. 전자금융시행세칙에 따라 금융기관은 전자금융 거래시 반드시 사용자의 PC에 키보드보안프로그램과 개인 방화벽, 전송구간 암호화 프로그램 등의 보안프로그램을 설치하도록 규정하고 있다.
문제는 이러한 프로그램을 설치하기 위해서는 액티브엑스(ActiveX)라는 기술을 사용하고 있는데 이 프로그램은 MS의 Windows라는 운영체제에서 사용할 수 있는 IE에서만 사용할 수 있어 Linux나 Unix, OS/2 혹은 맥 OS X 등에서는 사용할 수 없다.
윈도우를 운영체제로 쓴다고 해도 타 브라우저에서는 인터넷 뱅킹이 불가능하다. 최근 구글에서 발표한 웹 브라우저인 ‘크롬’이나 애플의 ‘사파리’에서 인터넷 뱅킹을 하는 것은 불가능하다.
5. MS도 Acitve X 기술을 되도록 쓰지마라고 공개적으로 표명하였다. 즉 Active X 는 MS도 포기한 기술이다.
http://www.microsoft.com/korea/windows/compatibility/activex.mspx
이는 액티브엑스가 구조적으로 보안 문제에 취약하기 때문이다.
----
해결책은.
MS 종속적인 한국 인터넷 구조를 국제 웹표준에 맞게 관계법령과 제도를 뜯어 고치는 거다.
근데 이런 상식적인 일이 왜 안되고 있는 것일까?