외국인이 한국 인터넷뱅킹 보안 취약점을 공개할 예정

South Koreas online security dead end

Hacker News 토론 (위 블로그 작성자 아이디 : palant)

한국 인터넷 뱅킹이 제공하는 보안 응용 프로그램은 현 보안 기술에서 수십 년 뒤쳐져 있는 수준. 이유는,

- C++이 아닌 C로 개발함

- C 사용을 문제로 보는 이유 : 버퍼 오버플로 같은 보안 취약점에 취약하기 때문

- 그나마 보안 문제를 완화할 수 있는 최신 컴파일러를 쓰지 않고 15년 전 Visual Studio에 의존

- 번들된 오픈소스 라이브러리도 업데이트가 안 됨 (10년 이상 업데이트 안 된 것도 있다고 함)

- 글쓴이는 가짜(bogus) 보안 애플리케이션 시장이 한국에 형성되어 있다고 보고 있음. 은행이 계속 사주는 한 사는 것이 가치가 있는 것처럼 겉보기에만 치중할 뿐, 실제 보안 투자는 거의 이뤄지지 않고 있음

- 관련 벤더들에 본인이 찾은 보안 취약점을 고칠 수 있는 데드라인 90일을 주고 그 후 블로그에 내용을 공개할 예정. 

또한 오는 1월 9일과 23일, 3월 6일에 후속 글을 올린다고 함.