Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

그간 국내 금융계의 보안실태와 무대포식 운영과 사고발생시 전적으로 고객에게 떠넘기는 행태에 
개인적으로 불만이 많았습니다. 요즘 통장하나 만들기 정말 불편하고 힘이 듭니다.
물론 취지는 이해가 가지만 매번 해결책이라고 내놓는게 오히려 불편함만 가중시키고 있으며
실제적인 성과도 크지 않다고 봅니다. 매번 털리는 개인정보에 대한 강력한 처벌이나 책임도 없고 
매번 불편함만 가중시키고 있죠. 그래서 요즘 금융거래시 보안카드나 OTP와 더불어 2차 인증으로 
문자서비스를 이용하는데 이게 사실상 보안에 취약하여 무방비 상태이며 다른 시스템으로 교체하지 
않으면 딱히 해결책도 없다고 하는군요. 아래 원 게시물 내용을 첨부합니다.

## 혹시라도 본 내용과 관련하여 게시에 문제가 있을시 연락주시면 바로 내리도록 하겠습니다.


SS7 문자메시지 인증 취약점 악용 금융사고

인터넷뱅킹같은 온라인서비스에서 비밀번호 입력 후 전화를 이용하는 추가 인증 방식의 안전
성에 심각한 의문이 제기됐다. 외국에서 음성통화 또는 문자메시지를 동원한 '이중요소(two-
factor)' 보안을 무력화하는 계정 탈취 공격 사례가 발생했기 때문이다.
미국 지디넷은 지난 3일자 독일 일간지 쥐트도이체 차이퉁(Suddeutsche Zeitung) 보도를 인용
해, 현지에서 전화를 사용하는 이중요소인증 보안을 뚫고 온라인 금융거래 계정 탈취를 시도한
사건이 벌어졌다고 전했다.

공격자는 금융서비스 이용자에게 전달되는 문자 메시지를 가로채 그 은행 계좌를 털었다.
이중요소인증 공격 과정은 이랬다. 우선 공격자는 로그인을 위한 1차 인증에 어려움이 없었다. 
이미 다른 계정 정보 유출 사고에서 확보했을 것으로 추정되는 피해자의 계정과 비밀번호를 갖고 있었다.
이어 인터넷뱅킹 로그인을 위해 전화로 통화 또는 코드를 보내 입력받는 이중요소 보안 절차도
통과했다. 이 과정에 시그널링시스템7(SS7)이라 불리는 전화 및 문자메시지 라우팅 시스템의
취약점을 악용했다. 공격자는 1천유로(약 124만4천원)쯤에 살 수 있는 장비를 썼다. 
이걸로 SS7 취약점을 동원해 통화 또는 문자메시지를 가로채고 피해자 인터넷뱅킹의 계좌에 
접근할 수 있는 온전한 권한을 얻었다. 그리고 계좌의 예금을 어디든 그들이 원하는 다른 계정으로 
보낼 수 있었다.

미국 지디넷은 SS7의 해당 취약점은 공격자가 지구상의 거의 모든 전화를 도청해 전화와 문자
메시지를 가로채고 재연결(redirect)하는 데 쓰일 수 있는 것으로 지난 수년간 해커와 정치인들
이 경고해 온 것이라고 지적했다. 이번 사건은 해당 SS7 취약점을 시연할 목적이 아니라, 
실제 공격에 악용된 것으로 확인된 첫 사례로 보인다.
SS7 취약점 공격과 같은 위협을 낮추려면 어떻게 해야 할까. 개인 이용자가 손 쓸 방법은 마땅
치 않다. 온라인서비스 제공자가 이중요소인증을 위한 네트워크의 보안성을 높일 수 있는 대안
을 고민해야 한다.

미국 지디넷 보도에 따르면 SS7 기반의 어떤 네트워크는 여타 시스템보다 나을 수도 있지만,
아무도 그 취약점 자체를 없앨 수는 없다고 지적했다. 기술적인 어려움보다는 서비스 사업자가
문제를 해결하기 위해 치러야 하는 비용 부담이 큰 탓이라는 진단이다.
서비스 사업자가 고려해야 할 비용에는 단순히 시스템을 보완하는 것만이 아니라, 그로 인한
비용 증가 부담이 이용자들에게도 불가피한걸로 여겨지게끔 만드는 것도 포함됐다. 대다수 이
용자는 문자메시지를 쓰는 이중요소인증 체계를 노린 보안 위협을 저평가하고 있기 때문이다.
이용자들의 인식이 앞으로는 달라질 수도 있다. 온라인뱅킹이든, 소셜네트워크든, 이메일이든,
이제 문자메시지를 활용한 이중요소인증은 잠재적으로 위험하다는 실증적 사건이 발생한 셈이
기 때문이다.

컴퓨터과학 배경 지식을 갖춘 미국의 테드 리우 하원의원은 의회에서 이 사안에 대해 경고하며
"금융거래계정과 같이 문자기반 이중요소인증으로 보호되는 모든 계정은 연방통신위원회
(FCC)와 통신업계가 SS7 보안취약점을 철저히 고치기 전까지 잠재적으로 위험에 노출돼 있
다"며 "FCC와 통신업계는 해커가 우리 휴대전화번호만 알아내면 우리의 문자메시지와 전화 통
화를 엿들을 수 있다는 걸 알고 있다"고 말했다.
지난해 미국 국립표준기술연구소(NIST)는 문자메시지 기반 인증 수단으로써의 SS7 기술을 폐
기하도록 조언했다. 이는 구글오쎈티케이터, 오씨(Authy) 등과 같은 앱처럼 다른 형태로 수행되
는 이중요소인증만큼 보안상 안전하지 않다는 이유에서였다.

2017. 5. 9. ZDNet Korea       imc@zdnet.co.kr 임민철 기자     

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

아버지

2017.05.09 11:29
가입일: 2015:11.29
총 게시물수: 17
총 댓글수: 5020

정보 감사합니다...!!!

profile

심청사달

2017.05.09 14:27
가입일: 2015:12.14
총 게시물수: 59
총 댓글수: 820

이것 참 안뚫리는게 없네요. 인터넷 뱅킹 안쓸 수도 없고...

profile

그린조

2017.05.09 14:51
가입일:
총 게시물수: 1
총 댓글수: 373

큰일이네요, 안전한게 없으니...

profile

스뎅형광등

2017.05.09 15:16
가입일: 2019:03.05
총 게시물수: 0
총 댓글수: 47

어디에나 창과 방패가 있는지라.. 보안에 헛점이 없는건 없지요.

profile

목표달성

2017.05.09 17:30
가입일:
총 게시물수: 1
총 댓글수: 382

정보 감사합니다.

profile

k68k69

2017.05.12 10:48
가입일: 2018:12.27
총 게시물수: 2
총 댓글수: 355

정보 감사합니다.

profile

제임스리

2017.05.13 09:09
가입일:
총 게시물수: 2
총 댓글수: 93

정보 감사합니다

profile

가을사랑

2017.05.23 09:40
가입일:
총 게시물수: 4
총 댓글수: 373

정보 감사합니다.

profile

슈가프리

2017.06.01 19:04
가입일: 2017:06.01
총 게시물수: 1
총 댓글수: 89

감사합니다

List of Articles

기타정보 애플 '에어드롭' 이용 시 전화번호 유출될 수 있다

블루투스 패킷 속 정보로 복구 가능   애플 기기에서 블루투스로 파일을 무선 전송하는 '에어드롭' 기능을 사용할 때 기기 전화번호가 유출될 수 있다는 분석이 ...

  • 등록일: 2019-08-02

134

VIEWS

2

COMMENTED

IT정보 Marvell, 업계 최저 전력의 PCIe Gen4 NVMe SSD 컨트롤러 출시 file

    캘리포니아 주 산타 클라라 (8 월 (1), 2019)  - 마벨 (나스닥 : MRVL)는 오늘 업계 최저 전력 PCIe® Gen4의의 NVMe ™ 솔리드 스테이트 드라이브 (SSD) 컨트...

  • 등록일: 2019-08-02

151

VIEWS

2

COMMENTED

유용정보 암세포가 스스로 죽게 유도하는 새로운 방식의 항암제 개발됐다

암세포가 스스로 죽게 유도하는 새로운 방식의 항암제 개발됐다   암세포   암세포가 스스로 죽을 수 있도록 유도하는 새로운 방식의 항암제가 개발됐다.   KAIST...

  • 등록일: 2019-08-01

194

VIEWS

9

COMMENTED

기타정보 대형 보안사고 발생한 美 캐피털원...국내 금융권도 '촉각'

AWS "방화벽 설정 문제일 뿐" 반박 [디지털데일리 홍하나기자] 미국 대형은행인 캐피털원(Capital One)에서 1억600만명이 넘는 고객 개인정보가 해킹당한 사실이 ...

  • 등록일: 2019-08-01

95

VIEWS

1

COMMENTED

기타정보 리눅스 민트 최신 버전 ‘티나’, 사전 다운로드 시작

사용자 편의성 강화, 2033년까지 보안 업데이트 지원 (지디넷코리아=남혁우 기자)높은 대중성을 강점으로 폭넓은 사용자를 가진 리눅스 OS ‘리눅스 민트’ 최신 버...

  • 등록일: 2019-08-01

177

VIEWS

4

COMMENTED

기타정보 통합 보안모듈 공격·인증서 위조' 까지 연이은 공급망 공격

  국내 금융권과 공공기관에서 다수 사용하는 통합보안모듈 개발사와 디지털저작권관리(DRM44) 기업이 연이어 사이버 공격에 노출됐다. 기업과 기관은 물론 일반...

  • 등록일: 2019-08-01

39

VIEWS

기타정보 구글, 새로운 크롬 통해 플래시 지원 중단하고 취약점 해결

맥용, 리눅스용, 윈도우용 크롬 브라우저, 플래시 떨쳐내기 본격적으로 시작 40개 넘는 취약점도 수정해...고위험군에 속한 취약점 다수 해결돼   [보안뉴스 문가...

  • 등록일: 2019-08-01

102

VIEWS

2

COMMENTED

IT정보 인텔 10nm 아이스레이크, AMD 라이젠보다 40% 고성능?

양산에 들어가 올해 말 OEM 제품으로 만날 것으로 기대되는 인텔 10nm 공정이 적용된 10세대 코어 프로세서, 코드네임 아이스레이크의 성능 정보가 확인되었다. ...

  • 등록일: 2019-07-31

284

VIEWS

7

COMMENTED

기타정보 ‘시장 점유율 50%↑’ 구글 크롬 새 버전 31일 배포…가장 큰 변화는 ‘이것’

  인터넷 브라우저 시장에서 50%가 넘는 점유율을 자랑하는 구글 크롬의 새 버전이 한국시간으로 31일부터 배포된다. 이전과 비교해 가장 큰 변화는 크롬 브라우...

  • 등록일: 2019-07-30

273

VIEWS

10

COMMENTED

기타정보 갤럭시 보급형 A90, 9월 출격대기…5G 경쟁 더 치열

삼성전자, 갤럭시 폴드와 비슷한 시기 보급형 5G폰 출시 갤노트10·LG전자 신제품도 출시…5G 고객유치 경쟁 다시 격화될 듯   [이데일리 장영은 기자] 삼성전자가 ...

  • 등록일: 2019-07-30

91

VIEWS

7

COMMENTED

MS소식 MS "엣지·IE, 플래시 기능 단계별 퇴출"

"2020년말 어도비 지원중단 전까지 완전 제거" (지디넷코리아=임민철 기자)마이크로소프트(MS)가 인터넷익스플로러(IE)와 엣지(Edge) 브라우저의 플래시 기능을 ...

  • 등록일: 2019-07-30

71

VIEWS

4

COMMENTED

기타정보 [긴급] ‘MT#0783’ 이상한 제목의 이메일, 첨부파일 확인했다간

인젝터 트로이목마 계열의 악성코드 첨부...현재 상당수 백신에서 탐지 못해 출처가 의심되는 메일의 모든 첨부파일은 삭제하거나 회사 보안부서에 즉시 알려야 [...

  • 등록일: 2019-07-30

975

VIEWS

기타정보 [긴급] 北 추정 해킹그룹, 보안업체 코드서명 인증서 또 악용

라이플 혹은 안다리엘로 불리는 공격조직의 특정 암호 알고리즘 포함된 코드 유포 정보보호 기업 M사의 코드 서명 인증서 발견...해킹 가능성 제기 국내 유관기관...

  • 등록일: 2019-07-30

72

VIEWS

1

COMMENTED

IT정보 삼성 '갤럭시 탭S6' 국내 출시 초읽기…25일 전파인증 통과

▲출처:국립전파연구원  삼성전자 차세대 태블릿PC '갤럭시 탭S6'가 25일 국립전파연구원으로부터 전파인증을 받았다. 인증을 통과한 제품의 모델번호는 'SM-T860...

  • 등록일: 2019-07-29

126

VIEWS

6

COMMENTED

IT정보 삼성전자 프리미엄 스마트폰 '갤럭시노트10' 긱벤치 벤치마크 유출

 삼성전자 하반기 전략 스마트폰 '갤럭시노트10' 내수용 엑시노스 버전이 벤치마크 웹사이트 긱벤치에서 유출됐다. 갤럭시노트10 라인업은 크기에 따라 일반 모...

  • 등록일: 2019-07-29

119

VIEWS

3

COMMENTED