공인인증서는 액티브X가 아니다

 IT, 정보보호  Comments Off on 공인인증서는 액티브X가 아니다
May 282013
 

기존에 유지돼 온 공인인증제도와 액티브X는 별개의 문제로 봐야한다는 주장이 제기됐다. 정부 주도로 이뤄지고 있는 공인인증체제에 일부 보완이 필요한 것은 사실이지만 공인인증서를 액티브X와 같은 것으로 오해해서는 보안강화라는 본래 목표를 이룰 수 없다는 설명이다.

28일 정보보호전문가들은 이 두 가지에 대한 개념이 뒤섞이면서 최근 관련된 논의가 정확한 논점을 찾지 못하고 있다고 지적했다.

염흥열 순천향대 정보보호학과 교수는 “우리나라 공인인증체계는 국제전기통신연합(ITU)가 정하는 국제 표준을 따르고 있다”며 “보안이 취약한 액티브X의 경우 대체 기술이 충분히 나와 있는 상태로 2015년을 예정된 HTML5 국제표준이 제정되면 상황이 달라질 것”이라고 밝혔다.

▲ 공인인증 로그인 화면.

■공인인증체계, 국제표준서 높은 등급

국내 공인인증체계는 ITU-T의 실체인증보증표준(X.1254)에 따라 3등급의 보안수준을 갖추고 있다. 염 교수에 따르면 1, 2, 3, 4등급으로 분류된 이 체계에서 3등급은 ID와 비밀번호, 이중인증, 일회용 비밀번호(OTP)를 포함한 인증방식이다. 글로벌 기준으로 국내 공인인증체계 자체의 보안성이 낮은 것은 아니라는 설명이다. 등급이 올라갈수록 보안성이 높다.

■공인인증체계에 액티브X를 쓸 수밖에 없었던 이유

국내에서 공인인증체계에 액티브X를 쓸 수밖에 없었던 이유는 대체기술이 없었기 때문이다. 김승주 고려대 정보보호대학원 교수는 “공인인증서 체계를 쓰거나 쓰지 않는다고 해서 액티브X 문제가 사리지는 것은 아니다”라고 밝혔다.

김 교수는 금융권에서 액티브X를 쓸 수밖에 없었던 이유가 금융위원회가 제기하고 있는 두 가지 의무사항 때문이라고 설명했다.

금융권에서는 계좌이체할 때 전표에 사인을 하거나 도장을 찍는 것과 마찬가지로 인터넷 계좌이체 등을 위해 필요한 전자서명을 요구하고 있다. 또한 1990년대부터 유지해 온 SEED 암호 알고리즘 사용하도록 했다. 이는 소프트웨어적으로 추가기능을 설치하는 방법을 통해서만 구현할 수 있다. 국내 공인인증체계에 액티브X를 사용할 수밖에 없었던 이유가 여기에 있다. SEED는 국가정보원이 구현한 한국형 암호 알고리즘으로 이 역시 도입하기 위해서는 액티브X를 설치하는 수밖에 없었다.

공인인증체계는 전자서명을 요구하기 때문에 액티브X를 쓸 수밖에 없었으나 최근 들어 대체기술들이 개발되기 시작했다. 이에 따라 액티브X를 써야할 필요는 없어진 상황이다. 실제로 일부 금융권에서는 오픈뱅킹이라는 이름으로 HTML5 기반 공인인증체계를 지원하고 있다.

■공인인증체계-액티브X, 구분해야 해법 나와

물론 공인인증체계와 액티브X를 구분해서 본다고 해서 기존에 정부주도로 유지된 공인인증체계에 허점이 없는 것은 아니다. 정부 주도로 공인인증체계를 강제한다고 보안성이 높아진다고 보기는 힘들기 때문이다.

해외에서는 기본적인 보안 수준에 대한 가이드 라인을 정해놓은 뒤 보안체계에 대해서는 자율적으로 결정하고 이에 대해 책임지도록 규정하고 있다. 은행이나 기타 전자서명이 필요한 곳에서도 보안체계를 자율에 맡기돼 그에 따르는 책임은 담당하는 기관에 지게 하고 있다.

염 교수는 “공인인증체계 문제의 핵심은 국가가 인증체계에 얼마나 개입하는 것을 허락하는가의 문제”라고 밝혔다. 액티브X는 다른 기술로 대체하고, 정부가 강제하는 공인인증체계에 대해서는 추가적인 합의가 필요하다는 것이다. 이 두가지 이슈를 같은 것으로 볼 경우 문제는 해결되지 않고 논란만 가중된다는 지적이다.

http://media.daum.net/digital/newsview?newsid=20130528183105393

스마트폰 + 스마트TV + 스마트Car + 스마트카드

 IT, 정보보호  Comments Off on 스마트폰 + 스마트TV + 스마트Car + 스마트카드
May 182013
 

페친 최운호님의 글을 스크랩.

 

2013년 새해에 돈 많이 벌수 있는 방법을 소개합니다.

나무를 보지말고 숲을 보라는 말이, 이제 산맥을 보라 !! (Chain of Mountin View)로 바뀌어야 합니다.

전체 인프라를 보고 새로운 서비스의 생성과 새로운 상품을 만들어야 한다는 논리입니다.

스마트폰 + 스마트TV + 스마트Car + 스마트카드의 역학관계를 알면 블루오션이 열림니다.이 4가지 스마트요소는 향후 5년간 가장 중요한 역학관계를 가지고 있습니다.

1. 스마트폰

스마트폰에 애플은 지문센서를 넣고, 구글-삼성은 카메라로 홍채인식이나 얼굴인식을 사용할 것 입니다.애플은2010년에 지문센서로 물건을 구매하는 특허를 취득하고, 2012년 7월에 창사이래 가장 큰 규모로 AuthenTec이라는 회사를 356M$로 매입하여, 8월에 미국정부에 지문스마트폰 생산을 신고했습니다. 구글도 홍채(Iris)를 사용하는 것을 천명하고 경쟁구도를 갖추었습니다.

물론 스마트폰 사용자의 신원확인과 스마트폰으로 구입하는 상품의 지불결제에 사용할 것입니다.만약에 스마트폰이 분실폰이거나 강압에 의해 빼앗기면 어찌 신원을 증명할까요 ?

생체인식과 생체정보를 비교해야해서, 애플-구글-삼성은 지문과 홍채정보를 스마트신용카드의 IC칩에 저장해서 국제표준인 공인인증서로 암호화할 것입니다.

한국은 40여개국이 이미 사용중이고 유엔 등 국제기구, 각 나라가 경쟁적으로 도입하는 공인인증서 서비스의 1위 국가이고, 필리핀, 케냐, 베네주엘라 등 10여개국에 이미 수출을 했습니다. 정부와 금융감독원/금융결제원만 우리가 세계 1위와 수출경쟁력을 가지고 있는 것을 모릅니다. 슬프지만 현실입니다.한국이 공인인증센터를 수출한다면 최소 100개국 이상의 국가에서 추진하는 전자정부-NID(National Identity Management)-전자주민증 사업을 수주할 수 있습니다.

스마트폰에 이런 생체정보와 공인인증서를 모두 저장한다면 해커가 이를 빼내갈 수 있습니다. 스마트폰은 이미 PC수준의 컴퓨터입니다.정보보호 분리의 원칙에 따라 신용카드형태의 스마트카드에 저장하고, 근거리통신(NFC) 등의 통신방법으로 결재시 카드와 스마트폰이 접촉해서 사용할 예정입니다.이미 우리 정부나 글로벌회사들이 NFC 등의 관련기술을 국제표준화하고 상품화해서 스마트폰 + 스마트TV + 스마트Car + 스마트카드에 모두 표준화하고 채택했습니다.

2. 스마트TV

스마트TV는 TV를 보면서 인터넷과 온라인 쇼핑을 TV홈쇼핑처럼 할 수 있다는게 장점입니다.스마트TV에서 물건을 사면 어케 지불할까요 ?  – 카드번호를 전화로 불러주거나 ?- 리모콘에 신용카드리더기를 부착해서 ?- 스마트폰에서 직접지불?- 스마트폰앱으로 지불 ?

스마트폰에서 직접 소유자의 카드번호 – 생채정보 – 공인인증서를 저장하면 통째로 해킹위험이 있습니다.소액은 스마트폰에서 지불하는 것을 – 카드사에서 허용하지만, 일정금액 가령 30만원 이상이면 신용카드를 사용해야 합니다.

비자-마스터카드는 바보가 아닙니다. 통신사업자는 광고에서 신용카드를 스마트폰에 집어 넣을 것으로 애기하지만 소액결제만 대상입니다.비자-마스터카드같은 공룡이 통신사업자 좋으라고, 몇십년동안 전세계를 지배한 시장을 스마트폰에 내어주고 페업해서 문을 닫을까요 ?

3. 스마트 Car

스마트폰으로 차문을 열거나 자동차키를 대신 할 수는 있지만 강압에 의한 차량 탈취나 스마트폰을 뺏기면, 운전자가 납치되면 어케 신고할까요 ?술먹고 대리운전, 가족이 운전할때 보험 등 소유주와의 관계 증명에서 보험처리나 소유주와의 관계에 여러 분제 발생이 예상됨니다.

이때 국가가 발행한 전자주민증 + 운전면허증 + 생체정보 + 공인인증서 등을 저장한 스마트카드로 신분을 확인하면 많은 문제가 해결됨니다.자동차 회사마다 다른 체계로 스마트카드 + 스마트 Car를 운영하면 여러가지 문제점도 생길 수 있어서 통일된 시스템이 필요합니다.

4. 스마트카드 신분증 + 신용카드

유엔항공기구 (ICAO)는 100여개국 이상의 많은 나라가 스마트카드로 전자주민증을 만들고 있다고 발표, 이미 많은 사업이 발주되서 – 우리나라 기업도 참여중입니다.운전면허증+전자주민증 그리고 차량에 대한 소유주임을 스마트카드에 저장해서 증명하고, 보험관련 사항까지 모두 저장하면 새로운 서비스가 창조될겁니다.

물론 스마트카드 + 스마트 Car 그리고 스마트카드 + 스마트폰을 응용한 자동차서비스가 구현중입니다.

많은 국가 – 유엔 등 국제기구가 공인인증서를 지문이나 홍채를 공인인증서로 암호화하여 안전하게 스마트카드칩에 저장하여 사용하는 정책을 채택했고 이런방법은 Matching on Card라는 방법으로 ISO 등 국제표준입니다.  유엔의 전체회원기관도 이러한 스마트카드를 난민 문제(신분보호 + 식량배급 + 의료지원 + 교육서비스 등)에 적용하고, 컴퓨터접속에 생체정보를 저장한 스마트카드로 로그인하는 방법 등 다목적으로 사용하는 것을 검토중입니다.

이 유엔권고안은 10월-11월에 제가 주도해서, 유엔 상위의사결정기구의 승인을 받았습니다.

유엔난민카드와 물리적/컴퓨터 접속 모두에 사용하는 다목적 스마트카드입니다. 제 별명이 동료들 사이에서는 Mr. SmartCard 입니다.

인도-파키스탄-카타르-나이지리아-이라크-케냐-베네주엘라 등이 이런 방법으로 스마트카드형태의 국가전자주민증을 만들거나, 발주 그리고 이미 사용중입니다.

National ID Samrt Card/Passport /Driver License /e-Voting / Pension / Insurance / Vehicle records etc.이 모두 통합된형태입니다.

앞으로 이러한 4가지 스마트요소의 상관관계에 의하여 많은 새로운 직업과 블루오션이 2013년에 탄생할 겁니다.

이미 1-4년안에 2천억불~5천억불의 시장이 형성되었고, 이라크만 8천만불의 프로젝트 발주, 나이지리아 등이 10억불 이상의 발주를 진행중이고, 120개이상 국가가 참여를 선언했습니다.

우리 정부가 전자정부 수출에 눈을 떠야하는데 많이 아쉽습니다.

개발도상국 10여개국 이상이 우리나라가 무상기증한 – 수출한 공인인증서를 기반으로 스마트카드신분증을 준비중인데 이를 지원한 KOICA 등 관련 기관은 자신이 지원한 사업이 원인이 되어 대형사업으로 발주되는 것을 강건너 불구경(?) 아니면 더 할일이 많은 건지…..

새 정부가 전자정부- 스마트카드신분증 수출이 효자산업임을 빨리 깨닫고 2천억-5천억불 이상의 시장을 선점하면 좋겠습니다.

페친 여러분도 이런 분야를 연구해서 2013년에 돈 많이 버셔요.

스위스 제네바에서 유엔난민기구 최운호.

SELinux 관련 문제 해결방법

 IT, 리눅스, 정보보호  Comments Off on SELinux 관련 문제 해결방법
Nov 092012
 


http://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=1731&sca=1 

http://mirr.springnote.com/pages/2092900

 

1. SELinux 기능 끄기와 켜기

1) 설정파일
/etc/sysconfig/selinux 파일에 설정이 있으며

SELINUX 지시어의 값을 변경하면 된다.
켜기 : # SELINUX=enforcing
끄기 : # SELINUX=disabled

# 참고

SELINUX 지시어는 enforcing,permissive,disabled 세가지가 있으며
enforcing : 보안정책을 적용시킨다는 뜻이다
permissive : enforcing시 발생하는 경고메세지를 출력하는 모드이다
disabled  : 보안정책을 사용하지 않는다는 뜻이다

SELINUXTYPE 지시어는 정책 적용방싱르 나타네며 targeted, strict 두가지가 있다
targeted : 네트웍 데몬에 대해서 보안정책을 적용하는 것
strict  : 시스템전체에대해 보안정책을 적용하는 것이다

2) 명령어
setenforce 라는 명령를 이용하여 SELinux를 켜고 끈다
setenforce의 경우 boolean 값을 갖는다.
켜기 : # setenforce 1
끄기 : # setenforce 0

3) 부팅옵션에 추가
grub.conf에 부팅옵셩을 줘서 설정할수 있다
켜기 : selinux=1
끄기 : selinux=0

2. SELinux관련 파일, 프로세서에 대한 태그확인 

SELinux의 경우 보안태그 또는 라벨링을 통해 해당 파일이나 디렉토리분아니라 자원에 대한 엑세스 허용 여부를 결정한다

파일 상의 보안태그 또는 라벨링확인 방법
# ls -Z
-rw——-  root root system_u:object_r:user_home_t:s0 anaconda-ks.cfg
drwxr-xr-x  root root system_u:object_r:user_home_t:s0 bin
drwxr-xr-x  root root system_u:object_r:user_home_dir_t:s0 conf
-rw-r–r–  root root root:object_r:user_home_t:s0    install.log
-rw-r–r–  root root root:object_r:user_home_t:s0    install.log.syslog

프로세서상의 보안태그 또는 라벨링
# ps axZ | grep squid
user_u:system_r:squid_t 3912 ? Ss 0:00 squid -D
user_u:system_r:squid_t 3915 ? S 9:10 (squid) -D
user_u:system_r:squid_t 3916 ? Ss 0:01 (unlinkd)

SELinux의 현제 상태를 확인하기 위해서는

적용이 안된상태  : # sestatus -v
SELinux status:                disabled

적용이 된 상태    : # sestatus -v
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 18
Policy from config file: targeted

Policy booleans:
allow_ypbind active
dhcpd_disable_trans inactive
httpd_disable_trans active
httpd_enable_cgi active
httpd_enable_homedirs active
httpd_ssi_exec active
httpd_tty_comm inactive
httpd_unified active
mysqld_disable_trans inactive
named_disable_trans active
named_write_master_zonesactive
nscd_disable_trans active
ntpd_disable_trans inactive
portmap_disable_trans inactive
postgresql_disable_transinactive
snmpd_disable_trans inactive
squid_disable_trans inactive
syslogd_disable_trans inactive
winbind_disable_trans inactive
ypbind_disable_trans inactive

Process contexts:
Current context: root:system_r:unconfined_t
Init context: user_u:system_r:unconfined_t
/sbin/mingetty user_u:system_r:unconfined_t
/usr/sbin/sshd user_u:system_r:unconfined_t

File contexts:
Controlling term: root:object_r:devpts_t
/etc/passwd root:object_r:etc_t
/etc/shadow system_u:object_r:shadow_t
/bin/bash system_u:object_r:shell_exec_t
/bin/login system_u:object_r:bin_t
/bin/sh system_u:object_r:bin_t -> system_u:object_r:shell_exec_t
/sbin/agetty system_u:object_r:sbin_t
/sbin/init system_u:object_r:init_exec_t
/sbin/mingetty system_u:object_r:sbin_t
/usr/sbin/sshd system_u:object_r:sbin_t
/lib/libc.so.6 system_u:object_r:lib_t -> system_u:object_r:shlib_t
/lib/ld-linux.so.2 system_u:object_r:lib_t -> system_u:object_r:ld_so_t

3. SELinux관련 트러블슈팅 

이부분은 실제 트러블 슈팅이라 하기에는 애매한 부분이 있다
정확하게 알고사용하면 문제된 부분이 없는데 모르기때문에 설정을 안하고 넘어가고
잘못하고 넘어가기에 발생하는 분제들이다 .

1) 심볼릭 링크상 관련 문제
dereference가 되면서 보안상의 문제가 발생하기에 읽어들 일 수 없는 경우가 발생한다 .
# chcon -h [filename]

2) 아파치의 403에러
보통 홈디렉토리를 옮기거나 기본경로가 아닐때
그리고 백업대이터를 이용하여 복구하였을때 많이 나타나는현상입니다
이경우 보안태그 또는 라벨링이 정상적으로 붙지않아 발생하는 경우이다

Context 설정을 설정파일상에 적용되어 있는 보안태그 또는 라벨링을 복원해주는 방법이다
# restorecon -rv /home

단 이경우에는 기존의 템플릿이나 설정파일에 설정이 되어있어야 가능하다 .

템플릿이나 설정파일을 직접 수정하기에 문제 있는 경우
# chcon -R -t httpd_sys_content_t /home/locli/public_html

# 참고
/etc/selinux/targeted/contexts/files/file_contexts
일반적인 파일에 대한 설정 (/etc , /lib , /var등과 같이 설정 ,실행 ,라이브러리, 로그파일등에 대한 설정)
/etc/selinux/targeted/contexts/files/file_contexts.homedir
홈디렉토리의 파일에 대한설정
/etc/selinux/targeted/contexts/files/homedir.templete
홈디렉토리의 파일에 대한설정의 템플릿 파일

3) php 및 cgi 등의 프로그램에서 외부파일을 불러오지 못하는 경우
이 경우는 SELinux에 의해 아파치에서 네트웍 자원을 엑세스하지못해 발생하는 문제이다 .
간단한 예를 들자면 php에서 원격 DB를 엑세스하지못하는경우
# setsebool -P httpd_can_network_connect_db on

# 참고
setsebool 명령어를 사용하여 할경우 -P옵선을 주게되면 설정파일에 반영되어 리부팅후에도 설정 값이 사라지지 않는다.

4) /etc/vsftpd/vsftp.conf를 수정했는데도 불구하고 500 에러가 나오면서 접속이 안될 경우
# setsebool -P ftp_home_dir=1

5) annot restore segment prot after reloc: Permission denied
rpm 으로 설치된 라이브러리에서 발생하는경우는 드물다  주로 소스 컴파일을하거나 사용자가 만들 rpm 파일에서 발생한다 .
간단하 예를 들자면 php의 모듈을 동적 컴파일로 올린경우 로드되지않을이다때
물론 컴파일등은 에러없이 ㅤㄱㅡㅌ이난경우이다.
# chcon -t texrel_shlib_t [so 라이브러리]

4. setsebool,chcon으로 설정가능한 항목 및 설정파일

1) FTP 관련 설정

기본경로 및 홈디렉토리 이외에 다른경로 또는 익명의 사용자가 ftp를 이용할경우
# chcon -R -t public_content_t /var/ftp

익명의 ftp사용자에게 쓰기 권한을 허용할 경우

특정경로에 보안태깅 및 라벨링을 하여 허옹
# chcon -t public_content_rw_t /var/ftp/incoming

불린값으로 허용
# setsebool -P allow_ftpd_anon_write=1

설정파일에 추가하여 허용
/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
/var/ftp(/.*)? system_u:object_r:public_content_t /var/ftp/incoming(/.*)?

system_u:object_r:public_content_rw_t

기본경로의 홈디렉토리가 아니거나 커스트마이징이 된 정책을 사용할경우
# setsebool -P ftp_home_dir 1

ftp만 SELinux 정책에서 제외해야할경우
# setsebool -P ftpd_is_daemon 1

데몬 실행중에 ftp만 SELinux 정책에서 제외해야할경우 :
# setsebool -P ftpd_disable_trans 1

2) HTTP 관련 설정

정의되어 있는 태깅 및 라벨링 명

httpd_sys_content_t  : 아파치의 모든 스크립트와 데몬에서 제공되는 모든 콘텐츠에 대한 설정
httpd_sys_script_exec_t  :  CGI실행을 허용 여부에 대한 설정
httpd_sys_script_ro_t  :    httpd_sys_script_exec_t 실행시 읽기 전용으로 사용 설정.
httpd_sys_script_rw_t  :    httpd_sys_script_exec_t 실행시 읽기/쓰기 전용으로 사용 설정.
httpd_sys_script_ra_t  :    httpd_sys_script_exec_t 실행시 읽기/append 전용으로 사용 설정
httpd_unconfined_script_exec_t : SELinux 보호 설정에 보호받지 않고 실행하기위한 설정

설정 예제)

멀티 도메인 하에 운영중인 서버에 정상적인 업로드를 지원하기위한 설정
# setsebool -P allow_httpd_anon_write=1
.. or ..
# setsebool -P allow_httpd_sys_script_anon_write=1

CGI 사용여부 결졍
# setsebool -P httpd_enable_cgi 1

기본경로의 홈디렉토리가 아니거나 커스트마이징이 된 정책을 사용할경
# setsebool -P httpd_enable_homedirs 1
.. OR ..
# chcon -R -t httpd_sys_content_t ~user/public_html

터미널을 엑세스 하기위한 설정
# setsebool -P httpd_tty_comm 1

# setsebool -P httpd_unified 0

php같이 모듈로 컴파일된 언어를 막기위한 설정
# setsebool -P httpd_builtin_scripting 0

네트웍 엑세스 허용 여부 설정
# setsebool -P httpd_can_network_connect 1

suexec 허용여부에 대한 설정
# setsebool -P httpd_suexec_disable_trans 1

httpd 데몬에 대해 SELinux 보호설정을 제외시킬때
# setsebool -P httpd_disable_trans 1
# service httpd restart

3) RSYNC 관련

특정 디렉토리의 rsync 허용방법
# chcon -t public_content_t /var/rsync

rsync 사용시 스기 허용
# setsebool -P allow_rsync_anon_write=1

rsync 데몬에 대해 SELinux 보호설정을 제외시킬때
# setsebool -P rsync_disable_trans 1
# service xinetd restar

4) named 관련

마스터의 zonefile을 업데이트하기위해
# setsebool -P named_write_master_zones 1

named 데몬에 대해 SELinux 보호설정을 제외시킬때
# setsebool -P named_disable_trans 1
# service named restart

5)  nfs 관련

읽기 전용 모드로 export 할 경우
# setsebool -P nfs_export_all_ro 1

일기/쓰기 모드로  export 할 경우
# setsebool -P nfs_export_all_rw 1

nfs로 원격서버의 스토리지를 마운트할경우
# setsebool -P use_nfs_home_dirs 1

6)  smb 관련

smb 를 이용할 데렉토리 설정
# chcon -t samba_share_t /data/share
.. or ..
vi /etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
……
/data/share(/.*)? system_u:object_r:samba_share_t

공유 파일의 쓰기원한을 주기위한 설정
# setsebool – P allow_smbd_anon_write=1

smb mount를 혀용할 때
# setsebool -P samba_enable_home_dirs 1
# setsebool -P use_samba_home_dirs 1

smb 데몬에 대해 SELinux 보호설정을 제외시킬때
# setsebool -P smbd_disable_trans 1
# service smb restart

7) ypbind의 사용을 허용하기위한 설정
# setsebool -P allow_ypbind 1

8) kerberos 관련
kerberos 사용을 허용 할 경우
# setsebool -P allow_kerberos 1

kadmind or krb5kdc 데몬에 대해 SELinux 보호설정을 제외시킬때
# setsebool -P krb5kdc_disable_trans 1
# service krb5kdc restart
# setsebool -P kadmind_disable_trans 1
# service kadmind restart

5. 로그의 형식 

로그의 경우 messege, audit 로그에 남게된다
형식은 아래의 로그와 같다.
May 10 00:39:53 server kernel: audit(1178725193.534:53): avc:  denied  { name_connect } for  pid=4178 comm=”httpd” dest=3306 scontext=user_u:system_r:httpd_t:s0 tcontext=system_u:object_r:mysqld_port_t:s0 tclass=tcp_socket

audit(timestamp) 로그가 기록되는 시간을 나타낸다
avc — This message was from the SELinux access vector cache. Pretty much every message you are likely to see is from this cache.
denied | accepted 정첵에 의해 차단되었는지 허용되었는지를 나타낸다.
{ read | write | unlink | … } 타입을 나타댄다 . 파일인지  파일이면 읽기,쓰기 ….
for pid : 해당 프로세서의 pid를 나타낸다.
exe= — This is the path to the executable that started the process.
name= — This is the name of the target on which the action was attempted.
dev= — This is the device on which the target file is located.
ino= — This is the inode of the target of the action.
scontext= — This is the process’s security context. This contains user, role, and type.
tcontext= — This is the security context of the target of this action, for example, the file, directory, etc.
tclass= — This is the class of the target object, such as directory, file, device node, or something else.

6.  마무리

시스템 설치후 SELinux를 내리는 것이 제일먼저하는 일이었다
하지만 언제부터인가 SELinux를 사용하고 있는 업체들이 보여 내리자고만 할 수 가 없었다
물런 그런 업체들의 서버를 관리하는것은 아주짜증나는일이었다
성능저하만 시키고 설정하기 힘들게 되어있고  하지만 각 파일들에 대한 액세스 권한이
보다 세부적으로 나누어지고  서비스나 데몬의 크래킹이 전체 시스템에 영향을주는
것보다는 훨씬  안전하다는 것을 느낀 이후  SELinux에 대해 호감 아닌 호감을 가지게 되었고
그러다보니  모름에 대한거부감이 사라졌다

하지만 아직도 이부분에 대해서는 완전히 다알지는 못했다
그리고  4번 항목의 경우도 완전한 테스트가 이루어지지 않은부분이다 .

보다 많은 학습이 필요한 부분이기도 하다

 Posted by at 8:59 PM

WebGoat – Web hacking simulation

 IT, 정보보호  Comments Off on WebGoat – Web hacking simulation
Oct 312012
 

http://code.google.com/p/webgoat/

http://yehg.net/lab/pr0js/training/webgoat.php

Overview

WebGoat is a deliberately insecure J2EE web application designed to teach web application security lessons. In each lesson, users must demonstrate their understanding of a security issue by exploiting a real vulnerability in the WebGoat application. For example, in one of the lessons the user must use SQL injection to steal fake credit card numbers. The application is a realistic teaching environment, providing users with hints and code to further explain the lesson.

Why the name ‘WebGoat‘? Developers should not feel bad about not knowing security. Even the best programmers make security errors. What they need is a scapegoat, right? Just blame it on the ‘Goat!

Goals

Web application security is difficult to learn and practice. Not many people have full blown web applications like online book stores or online banks that can be used to scan for vulnerabilities. In addition, security professionals frequently need to test tools against a platform known to be vulnerable to ensure that they perform as advertised. All of this needs to happen in a safe and legal environment. Even if your intentions are good, we believe you should never attempt to find vulnerabilities without permission.

The primary goal of the WebGoat project is simple: create a de-facto interactive teaching environment for web application security. In the future, the project team hopes to extend WebGoat into becoming a security benchmarking platform and a Java-based Web site Honeypot.

 

 

 Posted by at 10:09 AM

ETRI 스마트채널 인증기술

 IT, 정보보호  Comments Off on ETRI 스마트채널 인증기술
Oct 172012
 

태블릿PC와 스마트TV 등의 스마트기기에서도 웹브라우저를 이용한 인터넷 뱅킹 및 쇼핑 등의 전자거래가 가능하게 됐다.

대전 대덕연구개발특구 내 한국전자통신연구원(ETRI)은 ㈜케이사인과의 공동연구를 통해 스마트기기의 웹브라우저에서 인증, 전자서명 및 지불을 가능하게 해주는 ‘스마트 채널(Smart Channel)기술‘을 개발했다고 9일 밝혔다.

현재 스마트기기의 웹브라우저에서는 인터넷 뱅킹 및 쇼핑을 할 수 없는데, 인증·암호화와 공인인증서 등 보안 모듈이 주로 액티브엑스 등 브라우저 플러그인 방식으로 구현돼 있는 반면, 스마트기기의 웹브라우저에서는 이를 지원하지 않기 때문이다.

하지만 이번에 개발된 기술은 스마트TV 등 스마트기기에 보안모듈과 공인인증서를 설치하는 대신 인증, 지불, 전자서명 요청을 스마트폰으로 전송해 스마트폰에 설치된 ‘스마트 지갑’ 앱을 통해 수행하도록 한다.

따라서 기기나 브라우저의 종류와 상관없이 인터넷 뱅킹이나 쇼핑이 가능하고, 플러그인 없이 브라우저와 웹서버 간의 암호화 기능도 제공함으로써 보안성을 높였다.

ETRI 인증기술연구팀 진승헌 팀장은 “이번 기술 개발로 이용자들이 신용카드 정보나 공인인증서를 스마트폰에만 저장하면, 신용카드 정보나 공인인증서를 스마트기기로 전송하거나 갱신해야 하는 불편을 겪지 않아도 된다”며 “인터넷 뱅킹 및 쇼핑 등 서비스 제공자 입장에서도 각기 다른 스마트기기 플랫폼과 브라우저를 위한 보안모듈을 모두 개발할 필요가 없어지게 됐다”고 설명했다.

ETRI 사이버융합보안연구단 조현숙 단장은 “스마트폰 전자서명을 위한 스마트사인 기술과 차세대 모바일 카드 기술에 이어 개발된 이번 기술은 이용자 편의성 제고와 서비스 개발 비용 절감이라는 측면에서 큰 의의가 있다”며 “앞으로도 모바일 융합 보안 핵심 기술 개발을 통해 모바일 컨버전스 산업 경쟁력 제고에 이바지하겠다”고 말했다.

㈜케이사인의 최승락 사장은 “ETRI와 공동연구를 통해 이번에 개발한 기술이 스마트폰 사용자에게 보다 많은 혜택을 줄 수 있게 됐고, 앞으로도 스마트폰 산업시장에 큰 기여를 하도록 노력하겠다”고 밝혔다.

http://decisive.egloos.com/5694765

http://decisive.egloos.com/5693576

http://www.nocutnews.co.kr/Show.asp?IDX=2025925

 Posted by at 3:27 PM

Webinos

 IT, 정보보호  Comments Off on Webinos
Sep 042012
 

http://webinos.org/

webinos is an EU-funded project and affiliate program aiming to define and deliver an Open Source Platform and software components for the Future Internet in the form of web runtime extensions, to enable web applications and services to be used and shared consistently and securely over a broad spectrum of converged and connected devices, including mobile, PC, home media (TV) and in-car units.

 Posted by at 12:05 AM

2015년 10대 유망직업

 IT, 정보보호  Comments Off on 2015년 10대 유망직업
Aug 242012
 

2015년 가장 유망한 직업으로 ‘금융자산운용가’가 선정됐다.

프리미엄 취업포털 커리어(www.career.co.kr)가

커리어 컨설턴트 42명을 대상으로 지난 9월 29일부터 10월 4일까지 실시한 설문조사에서

‘금융자산운용가’가 ‘2015년 10대 유망직업’ 중 1위로 꼽혔다.

이번 유망직업 조사는 한국직업능력개발원,

한국고용정보원 등 국내 직업전문기관의 자료를

토대로 미래 유망직업 100개를 선정해 제시하고 이 중 5개 직업을 중복 선택하게 한 뒤

▲급여수준 ▲업무성취도 ▲고용안정성 ▲자기발전성 ▲직업전문성 ▲일자리수요

▲고용평등 ▲근무환경 ▲근무시간 ▲사회적 위상 10가지 기준(5점 척도)에 의거해 평가하도록 했다.

1위인 ‘금융자산운용가’는 항목별 평균점수

합계인 평균총점 50점 만점에  41.29점을 얻어 가장 높은 점수를 얻었다.

특히 급여수준, 직업전문성, 업무성취도 항목에서 다른 직업들과 우월한 점수차를 보였다.

취업포털 커리어의 노은희 컨설턴트는

“금융자산운용가가 유망 직업으로 떠오르고 있는 이유는

경제 성장으로 보유 자산이 확대되고 평균수명이 연장되면서

재테크에 대한 인식이 높아지고 있기 때문”이라며

“금융상품이 매우 다양해지면서 금융자산운용가의 역할과 수요는 계속 커질 것”이라고 설명했다.

‘금융자산운용가’ 다음으로는

직업 전문성과 사회적 위상에서 높은 점수를 얻은

‘컴퓨터보안전문가’가 41.73점으로 2위, 급여수준 항목에서

높은 점수를 기록한 ‘하이브리드 동력시스템 개발자’가 39.19점으로 3위에 선정됐다.

이어 ▲4위 경영컨설턴트(39.01점) ▲5위 마케팅 전문가(38.07점)

▲6위 유비쿼터스러닝 교수설계자(37.95점) ▲7위 태양광발전연구원(37.75점)

▲8위 기후전문가(37.71점) ▲9위 상담전문가(36.96점) ▲10위 실버시터(33.45점) 등이 순위에 올랐다.

 Posted by at 3:37 PM

전자지갑

 IT, 정보보호  Comments Off on 전자지갑
Aug 242012
 

다시 부는 ‘전자지갑’ 바람

2016년에 그 규모가 700조원(약 6170억달러)에 달할 것으로 예상되는 ‘모바일 전자지갑(모바일 결제 시스템)시장’을 놓고 글로벌 업체들의 경쟁이 뜨겁다.

모바일 전자지갑이란 간단히 말해 스마트폰으로 물건을 결제·구매하거나 금융 거래를 할 수 있도록 해주는 서비스다. 이 사업에 세계적으로 대형 IT업체와 유통업체들은 물론 벤처업체들까지 100여개 업체가 가세하면서 마치 미국 서부시대를 방불케 하는 ‘모바일 골드러시(Gold Rush)’가 벌어지고 있다.

이달 들어서만도 월마트, 베스트바이, 이베이(페이팔), 맥도날드, 던킨도너츠 등이 잇달아 모바일 결제에 관한 굵직한 제휴 소식을 쏟아냈다. 모바일 사업은 소비자의 선호 회사와 소비 습관이 정해지면 좀처럼 바꾸기 어려운 특성이 있다. 그래서 각 업체는 모바일 전자지갑시장을 선점하기 위해 공격적으로 나서고 있다.

◇유통·IT·금융 등 전 업종이 뜨겁게 ‘한판’

로이터를 비롯한 주요 외신들은 17일 세계 최대 패스트푸드업체 맥도날드와 세계 최대 전자결제업체 페이팔이 손잡고 모바일 결제 시험사업에 돌입했다고 밝혔다. 이번 시험사업은 프랑스의 맥도날드 30개 지점에서 시행된다. 고객들은 자신의 스마트폰에 앱을 내려받아 맥도날드 매장에 설치된 기기를 통해 금액을 결제할 수 있으며, 이를 위한 결제 기기는 매장에 별도로 설치된다. 물론 결제는 페이팔의 시스템과 소프트웨어를 통해 이뤄진다.

페이팔은 홈디포, 오피스디포 등 다른 글로벌 유통업체들과 손잡고 모바일 결제사업을 시험해왔지만 맥도날드처럼 세계 1위 사업자와 손을 잡은 것은 이번이 처음이다. 질 루리아(Luria) 웨드부시 증권 애널리스트는 로이터와의 인터뷰를 통해 “맥도날드 고객들이 줄을 서서 페이팔을 통해 결제하게 되면 당연히 페이팔은 크게 세를 불리게 된다”며 “경쟁자들의 도전에 페이팔이 급하게 움직일 필요성을 느낀 것 같다”고 말했다.

실제로 미국의 모바일 결제시스템 기업인 스퀘어(Square)는 이에 앞선 9일 세계 최대 커피 체인업체 스타벅스와 손을 잡았다. 기존에도 모바일 결제시스템을 갖춘 스타벅스 매장들이 있었지만 결제방식이 서로 달라 소비자들의 이용이 뜸했다. 이를 스타벅스가 모두 스퀘어의 시스템으로 통일한 것. 이에 따라 올가을까지 미국 매장 7000여곳에서 스퀘어 시스템을 활용해 모바일 결제가 가능해질 전망이다.

이와 별도로 스타벅스는 스퀘어에 2500만달러(약 280억원)를 투자하고, 하워드 슐츠(Schultz) 스타벅스 회장이 스퀘어 이사진에 합류키로 했다.

15일에는 미국 1·2위 소매업체인 월마트와 타깃이 세븐일레븐, 베스트바이, 서노코 등과 함께 모바일 결제시스템사업에 나선다고 밝혔다. 이들은 모두 10여개 업체로 사업 진행을 위해 머천트커스터머익스체인지(MCX)라는 별도 회사를 설립할 예정이다.

유통업체들의 도전을 받는 기존 모바일 전자지갑 업체들도 발 빠르게 움직이고 있다. 지난해 전자지갑 서비스 ‘구글 월렛(Google Wallet)’을 선보인 구글은 미국에 약 14만개 가맹점을 확보했다. 최근에는 구글 월렛을 클라우드 서비스 기반으로 전환하겠다고 밝히기도 했다.

즉 결제에 필요한 모든 정보를 구글의 서버에 저장해 근거리 무선통신기능(NFC)을 갖춘 모든 스마트폰에서 앱만 내려받으면 바로 모바일 결제가 가능하게 하겠다는 것. AT&T, T모바일, 버라이존 와이어리스 등 이동통신업체들이 공동으로 출자해 만든 모바일 결제시스템업체 이시스(ISIS)도 미국 남부를 중심으로 서비스를 시작할 계획이다.

◇장밋빛 전망 지속… “4년 뒤 4억명 넘게 이용할 것”

휴대전화를 결제 수단으로 활용하는 모바일 전자지갑사업은 크게 세 가지 이유 때문에 유망한 성장사업으로 꼽혀 왔다.

첫째는 무엇보다 세계적으로 휴대전화기가 생활필수품으로 자리 잡았다는 것. 둘째는 언제 어디서나 소비자가 휴대전화기를 가지고 다닌다는 것. 셋째는 개인 정보가 모바일 인터넷을 통해 전자결제시스템에 쉽게 입력된다는 것이다.

특히 3세대 이동통신망(3G)이 널리 활용되고 모바일 인터넷이 발전하면서 최근 세계적으로 모바일 전자지갑 서비스에 대한 전망이 더욱 장밋빛으로 변했다.

미국 시장 조사기관 가트너에 따르면 올해 모바일 결제금액 규모는 1715억달러로 지난해(1059억달러) 대비 61.9% 늘어났다. 이용자 수도 지난해 1억 6000만여명에서 2억 1200여만명으로 늘어났다.

샌디 셴(Shen) 가트너 이사는 “2016년이면 결제금액은 6170억달러, 이용자 수는 4억4800만명에 달할 것”이라고 말했다.

문제는 현재 소비자가 이용하는 모바일 결제방식이 지나치게 다양하다는 점이다.

단문메시지(SMS)처럼 모바일 인터넷을 활용하지 않는 기존의 경우를 제외하더라도 최소 3~4개의 기술표준이 존재한다.

가장 민감한 표준 차이는 이용자의 결제 정보를 어디에 저장하느냐이다. 스마트폰의 유심칩(USIM·가입자확인칩)에 저장하는 방식과 메모리 저장방식을 채용하는 사업자가 다르고, 서로 첨예하게 대립한다. 아예 휴대전화 안의 별도 칩에 저장하는 방식도 있다. 구글은 클라우드 컴퓨팅 방식을 써서 아예 중앙 서버에 저장하는 방법을 추진 중이다.

특정 사업자나 사업자 연합이 이런 차이를 통일하고 시장에서 표준으로 받아들여질 경우, 다른 사업자들은 사실상 모바일 전자지갑 시장에서 설 자리를 잃게 된다. 이에 따라 유통·IT·금융을 넘나드는 ‘세(勢) 불리기’의 거대한 전쟁이 벌어지고 있는 것이다.

지난해만 해도 구글월렛 서비스 발표 등으로 구글 등 IT업체들이 주로 주목을 받았지만, 최근에는 경쟁구도가 복잡해지면서 특정 진영의 우세를 점치기 어려워지고 있다. 셴 이사는 “몇 개의 다국적 업체들이 (모바일 결제 시스템 시장을) 주도하고, 그들의 서비스에 만족하지 못한 소비자층의 요구를 현지 업체들이 채워주는 구도가 될 것”이라고 말했다.

◇국내도 경쟁 더 치열해져

국내에서도 모바일 전자지갑 시장을 둘러싼 경쟁이 더욱 치열해지고 있다.

신한카드는 모바일 전자지갑 서비스 ‘신한스마트월렛’을 출시해 신한카드의 신용·체크가드 기능은 물론 제휴업체에서 제공하는 다양한 멤버십과 쿠폰을 스마트폰 앱 형태로 구현했다.

금융결제원과 17개 은행은 지난 7월 은행 공동 전자지갑인 ‘뱅크머니(가칭)’를 상용화하는데 합의했다. 뱅크머니가 상용화되면 이용자는 카드 대신 휴대전화만 있으면 모든 자동현금인출기(ATM)에서 손쉽게 입출금, 송금, 계좌이체를 할 수 있게 된다. 온라인 결제기능도 물론 탑재된다. 즉 인터넷 쇼핑몰에서 뱅크머니로 결제를 할 수 있고, 포인트 이용이나 할인 등도 은행 간의 차이 없이 통합해서 받을 수 있다.

이동통신업체인 SK텔레콤과 KT 역시 각각 하나SK카드, BC카드와 손을 잡고 전자지갑 사업을 벌이고 있다. SK텔레콤은 2010년 자회사인 SK플래닛을 통해 전자지갑 서비스 ‘스마트월렛’을 선보여 현재 가입자 수가 500여만명에 달한다. 유통업체들도 신세계가 지난 6월 전자지갑 서비스를 선보이는 등 움직임이 활발하다.

여기에 구글 등 해외 업체들도 국내 진출을 타진하고 있어, 향후 경쟁이 더욱 치열해질 전망이다. 현재 국내 규제에 따르면, 해외에 서버가 있는 외국 업체에는 원화 결제를 허용하지 않아 전자지갑 서비스가 어렵다. 그래서 외국 업체들은 소비자 불편을 이유로 규제 완화를 요구 중이다.

NFC(Near Field Communication)

10㎝ 이내 거리에서 정보를 무선으로 전송할 수 있는 기술. 기존 전자지갑은 단순히 사용자의 결제 정보를 결제기에 송신하는 데 그쳤다. 하지만 NFC 기술을 활용하면 송신은 물론 수신도 가능하다. 즉 소비자가 스마트폰으로 물건 대금을 지불하는 것은 물론, 매장 결제기로부터 할인 쿠폰이나 관련 제품 추천 정보를 받아서 나중에 사용하는 쌍방향 서비스도 가능하다.

클라우드 컴퓨팅(Cloud Computing)

소프트웨어와 데이터를 PC가 아닌 데이터 센터의 서버에 저장해뒀다가 필요할 때마다 인터넷에 접속해 사용하는 서비스. 데이터를 보관하기 위해 중앙 서버들이 다양한 네트워크로 연결된 구조가 마치 하늘에 떠있는 구름과 비슷하다고 해서 ‘클라우드(구름)’라는 이름이 붙었다.

– Copyrights ⓒ 조선일보 & chosun.com, 무단 전재 및 재배포 금지 –

구글이 내놓은 전자지갑

[지디넷코리아]’올여름부터는 휴대폰만 있으면 신용카드가 필요없다.’

검색제왕 구글이 휴대폰을 신용카드 대신 사용할 수 있는 ‘구글월릿(Google Wallet)’이란 이름의 전자지갑사업에 진출했다.

월스트리트저널, 파이낸셜타임스, 씨넷 등 주요 외신은 27일(현지시간) 구글이 뉴욕에서 발표회를 열고 구글전자 지갑과 구글오퍼(Google Offers)를 내놓았다고 일제히 보도했다.

스테파니 티레니어스 구글 상거래담당 부사장은 “미래의 최고쇼핑 경험을 제공하기 위해” 모든 소매경험을 모아서 이 전자지갑에서 제공할 계획이라고 말했다.

■어떤 방식으로 서비스 되나?

이 전자지갑 서비스는 휴대폰으로 쿠폰과 할인, 그리고 결제를 동시에 할 수 있도록 해주는 서비스다.

이 서비스사용자의 휴대폰은 다음과 같은 방식으로 작동한다.

우선 정규적으로 구입하는 물건이나 당신이 쇼핑한 가게의 아이템이 휴대폰에서 무작위로 튀어 나오면 이것으로 온라인에서 물건을 살 수 있다. 전자지갑사용자가 물건을 산 후 가게계산대의 점원에게 가서 휴대폰을 흔들면 카드에 물건값이 청구된다. 그리고 이 점포에 대한 자신의 고객마일리지도 휴대폰에 자동으로 축적된다. 그리고 영수증도 휴대폰으로 날아온다.

이런 서비스를 할 수 있는 최초의 전자지갑 스마트폰은 구글의 넥서스S로서 NXP에서 공급하는 근거리통신칩(NFC)을 내장하게 된다.
이 전자지갑은 NFC기술을 이용하는 마스터카드의 바이패스시스템을 통해 결제를 하게 된다.

NFC는 두개의 다른 기기들 사이에 놓여지면 작은 양의 데이터가 이들 사이의 단거리로 데이터를 전송시켜주도록 설게돼 있다. 전송 정보에는 신용카드정보,열차표정보,그리고 쿠폰바코드등이 포함된다. 이날 구글은 앞으로 나올 모든 미래의 안드로이드폰에 NFC칩이 장착될 것이라고 말했다.

■올여름 샌프란시스코, 뉴욕부터

구글지갑은 올여름까지 공식 출시되지 않을 예정이다. 그러나 더많은 도시로 확산되기 전에 샌프란시스코나 뉴욕같은 도시에서 시험될 예정이다. 최초의 소매상은 메이시백화점, 편의점인 서브웨이,장난감가게 토이저러스,블루밍데일스,게스,노아 베이글, 그리고 소매상인 월그린 등이 참여하게 된다.
휴대폰결제서비스를 위해 구글은 스프린트,마스터카드,씨티은행 그리고 퍼스트데이터 등과 제휴하고 있다.

▲ 구글이 신용카드가 자사의 넥서스S폰에 적재한 전자지갑의 모습을 보여주고 있다.

구글 지갑은 씨티,마스터카드 및 어떤 선불신용카드도 사용할 수 있다. 텔레니어스 구글 자전자지갑 담당자는 구글월릿에 더많은 더많은 카드회사들이 참여할 예정이라고 밝혔다.

■전자지갑 과연 안전할까?

구글은 스마트폰의 암호덕분에 휴대폰에 신용하드를 설치하는 것은 물리적인 지갑을 가지는 것보다 더욱더 안전할 것이라고 말했다.

구글은 또한 구글오퍼를 소개했는데 지불시스템처럼 고객들은 이들 쿠폰을 점원에게 보여주거나 지불을 위해 그들의 휴대폰을 결제시스템에 대도록 되어 있다.
구글오퍼 서비스는 올여름 샌프란시스코와 뉴욕에서부터 시작될 전망이다 .

구글은 또한 구글오퍼(Google Offers)로 매일매일 발생한 고객의 거래서비스를 이메일이나 휴대폰으로 전달해 주도록 했다.

아메리칸 이글은 구글오퍼를 지원할 최초의 소매상중 하나가 됐다.
결국에는 비행기탑승표. 티켓, 그리고 더 많은 기능이 구글 지갑에 실릴 전망이다.
티레니어스는 “이번 발표는 첫단계이며 비전이 결실을 얻기 위해서는 약간의 시간이 필요할 것”이라고 말했다.

내 지갑이 폰 안에 들어왔다…’전자지갑 시대’ 개막

[아시아경제 조강욱 기자] #. 회사원 김 모씨(31)는 최근 동호회 모임에서 망신을 당할 뻔한 일이 있었다. 호프집에서 회원들과 정기 모임을 갖고 각자 회비를 내는 순서가 돌아와 지갑을 열어본 순간, 현금이 불과 몇 천원 밖에 없는 것이 아닌가.

‘아차, 오는 길에 은행에 들린다는 걸 깜빡했구나’라는 생각에 당황했지만 이내 김 씨는 스마트폰을 꺼내며 여유를 찾을 수 있었다. 스마트폰에 있는 전자지갑 서비스를 이용해 총무에게 회비를 송금한 것이다. 계좌번호도 필요 없이 전화번호만 알면 즉석에서 입금이 완료됐다. 김 씨는 이젠 현금이 없어도 전자지갑 서비스 덕분에 어디서나 당황하지 않게 됐다.

지갑을 가지고 다닐 필요 없이 스마트폰으로 결제하는 ‘전자지갑 시대’가 열리고 있다. 시장조사기관 가트너에 따르면 올해 국내 모바일 결제 시장의 총 수수료 규모는 1900억원에 이를 것으로 예상된다.

이에 최근에는 은행권에서도 모바일 뱅킹을 대체할 신개념 ‘전자지갑’을 선보이며 치열한 경쟁을 펼치고 있다.

이는 ‘스마트폰 속의 지갑’이라는 새로운 컨셉과 ‘선불 충전 화폐’라는 금융서비스를 접목시킨 것으로 기존 공인인증서와 보안카드는 물론, 계좌번호를 알 필요도 없이 전화번호만 알면 송금 및 결제가 가능하다는 것이 특징이다.

12일 금융권에 따르면 신한은행과 하나은행은 최근 스마트폰을 이용한 ‘전자지갑 서비스’를 경쟁적으로 선보였다.

신한은행이 KT와 함께 선보인 전자지갑 서비스 ‘ZooMoney(주머니)’는 선불충전형 전자지갑으로 스마트폰의 애플리케이션을 통해 사이버 머니를 충전한 후 송금, 출금, 지급결제 등 다양한 금융서비스를 이용할 수 있는 모바일 지불결제 서비스이다.

이 서비스는 본인 휴대폰번호와 연결된 ‘주머니’ 가상계좌번호를 이용해 휴대폰 번호로 송금이 가능하다. 신한은행 또는 KT 고객이 아니더라도 본인 명의의 휴대폰만 있으면 간단한 본인 인증 절차를 거쳐 은행 방문 없이 누구나(만 14세 이상) 온라인 상에서 간편하게 가입할 수 있다.

특히 상대방의 휴대폰번호만 알면 공인인증서와 보안카드 없이 타인에게 충전잔액 선물하기가 가능해 더치페이, 경조사비 전송 등에 편리하게 사용할 수 있다. 충전잔액으로 KT 통신요금도 납부할 수 있다.(1일 50만원 내에서 충전 가능)

또 ‘주머니’는 가맹점 정보가 담긴 NFC Tag를 이용해 결제단말기 없이 결제가 가능하며 ‘주머니’가 인식할 수 있는 QR코드를 영수증에 삽입하여 간편하게 결제 할 수 있다.

하나은행의 ‘하나 N 월렛(Wallet)’ 어플리케이션은 선불로 충전한 가상의 전자화폐를 기반으로 한다. 선불 충전된 금액은 P2P(개인과 개인간 온라인상 거래) 송금, 물품결제 및 현금자동입출금기(ATM) 이용 등 다양한 서비스 이용에 활용된다.

상대방의 전화번호만 알고 있으면 충전금액을 간편히 송금할 수 있으며, 하나은행 ATM기에서 현금으로 인출도 가능하다.

특히 파리크라상, 던킨도넛츠 등 20여개 브랜드의 인기 상품을 구매해 오프라인 매장에서 교환할 수 있는 모바일 결제 기능도 가능하다.

이에 앞서 기업은행은 지난해 4월 전자지불결제 어플리케이션 ‘모바일머니’서비스를 선보인 바 있다.

이처럼 각 은행들이 앞다퉈 스마트폰을 이용한 전자지갑 시장에 뛰어들고 있지만 아직은 시기상조라는 우려의 목소리도 높다. 미래 신성장 사업이라는 점에는 동의하지만 ‘넘어야 할 산’이 많다는 이유에서다.

걸림돌로 작용하는 문제에 대해서 전문가들은 ▲전자지갑 서비스가 애플사와의 의견 차이로 아이폰에서는 불가능 ▲악용 가능성에 대한 국내 규제 문제 ▲각자 경쟁 체제로 인한 시장 통합의 어려움 등을 꼽았다.

현재 전자지갑 서비스는 안드로이드폰에서만 가능한데 이는 자사 결제 서비스를 이용하기 원하는 통신사들과 애플사의 견제에 의한 것이라는 지적이다.

또 만 14세 이상부터는 누구나 간편하게 가입해 이용할 수 있기 때문에 최근 문제가 되고 있는 학교 폭력 문제로 인한 ‘돈 상납’으로 악용될 수 있는 가능성이다.

아울러 가맹점 확대 등의 문제도 각자 경쟁하다보니 충돌할 수 있는 부분도 많아지고 있다는 얘기다. 이에 따라 최근에는 은행권 공동으로 논의를 해야 한다는 목소리가 커지고 있다.

한 은행 관계자는 “스마트폰의 활성화로 인해 전자지갑 시장의 성장 가능성은 무궁무진 하다”면서도 “다만 선결돼야 할 과제들이 남아 있어 정착이 되기 위해서는 시간이 필요할 것”이라고 말했다.
조강욱 기자 jomarok@

돈버는`전자지갑`…스마트결제 아직도 몰라?

`차세대 카드`로 불리는 모바일카드 시장이 최근 두드러진 성장세를 보이고 있다.

모바일카드는 휴대전화 안에 신용카드를 넣어 별도의 카드 없이 휴대전화만으로 상품이나 서비스를 결제할 수 있도록 한 것을 말한다.

14일 관련업계에 따르면 국내 모바일카드 시장을 선도하고 있는 하나SK카드의 모바일카드 총 발급건수는 지난 1월 6만건에서 4월 8만건을 넘어서더니 지난달 10만건을 돌파했다.

모바일카드 월 매출액은 지난 5월 5억원을 넘어서더니 지난달에는 9억원을 돌파했다. 이달 들어서는 일 매출액이 1억원을 돌파하는 기염을 토하기도 했다.

하나SK카드를 뒤쫓고 있는 신한카드도 최근 모바일카드 발급건수가 10만건을 넘어섰다.

업계에서는 모바일카드 성장의 최대 효자로 스마트폰을 꼽고 있다.

모바일카드를 쓰려면 휴대전화 안에 NFC칩을 탑재해야 하는데 삼성전자는 지난 5월 국내 최초로 NFC칩을 기본 탑재한 `갤럭시S2`를 출시했다. 이어 하반기부터는 신규 출시되는 휴대전화에 NFC가 기본으로 탑재돼 올해 안에NFC 탑재 휴대전화가 500만대를 넘어설 전망이다.

정부도 이동통신사, 카드사 등과 협력해 마트, 영화관, 주유소 등 신용카드 가 맹점에 모바일카드 결제단말기를 구축하는 등 그 보급에 힘쓰고 있다.

모바일카드 시장이 기존 신용카드 시장에 비해 아직 미미한 규모인 것은 사실이 다. 하지만 모바일카드만의 강점으로 인해 앞으로의 시장 전망은 밝은 편이다.

예를 들어 휴대전화 안에 여러 장의 모바일카드를 집어넣은 `전자지갑`을 만들면 결제가 한층 편리해진다. 여러 카드 중 할인 혜택이 가장 큰 카드로 자동 결제되며, 사용 가능한 쿠폰도 자동으로 적용되는 등 `스마트 결제`가 가능해진다.

더구나 올해 초 비씨카드를 인수한 KT가 모바일카드 시장에 적극적으로 뛰어들어 SK텔레콤과 경쟁할 채비를 하고 있는 것도 모바일카드 시장의 성장 요인으로 꼽힌다.

업계 관계자는 “NFC칩 탑재 스마트폰 보급과 결제단말기 구축 등이 본격화되면 카드사들도 경쟁적으로 모바일카드 시장에 뛰어들 것”이라며 “그때쯤이면 모바일카드가 차세대 카드로 확실하게 자리잡을 수 있을 것”이라고 말했다.

[저작권자 ⓒ연합뉴스 무단 전재-재배포 금지]

갤럭시S3 vs 아이폰5 전자지갑 쟁탈전

[지디넷코리아]‘앙숙’ 삼성전자와 애플이 스마트폰 전자지갑으로도 격돌할 전망이다. 양측 모두 관련 기술을 어느 정도 완성했다.

17일 업계에 따르면 삼성전자는 ‘갤럭시S3’를 비롯한 주요 차기작에 신용카드 기능을 기본 탑재한다. 삼성SDS와 삼성카드 등 계열사들이 참여한 프로젝트다. <본지 2월15일 기사>

구체적으로 삼성SDS가 만든 애플리케이션을 활용하면 스마트폰으로 삼성카드 멤버십과 쿠폰, 포인트 기능 등을 구현할 수 있다. 플라스틱 카드처럼 결제 서비스 이용이 자유롭다.

별도 IC를 필요로 하고, 일부 제휴사 매장에서만 결제가 가능했던 기존 스마트폰 신용카드 서비스의 약점을 극복했다는 설명이다. 본인인증 서비스 ‘안심클릭’ 없이도 결제가 이뤄진다.

삼성전자 관계자는 “기존 전자지갑은 별도 IC칩이 필요해 활성화가 어려웠다”며 “간편하게 이용 가능한 전자지갑 서비스를 연구하고 있다”고 설명했다.

애플도 올 하반기 출시 예정인 ‘아이폰5’에 전자지갑 기능을 탑재할 것으로 보인다. 미국서 징후가 포착됐다.

포브스 보도에 따르면 애플은 금융거래규칙 구립을 지원하는 다양한 기술과 관련된 특허를 지난 6일 출원했다.

자세한 내용은 고객들이 아이튠스 계정과 이에 연계된 금융계정을 통해 각종 금융활동을 할 수 있는 기술이라고 포브스는 설명했다. 구글의 ‘구글 월릿’이나 비자카드, 버라이WMS 등이 개발 중인 기존 전자결제시스템과 경쟁할 카드다.

포브스는 “애플은 이미 수백만명의 신용카드 정보를 보유하고 있다”며 “전자지갑을 만든다면 음성명령기능 ‘시리’처럼 킬러 애플리케이션이 될 수 있을 것”이라고 설명했다.

이런 가운데 모바일 결제 서비스를 주도해 온 이동통신사들도 전략을 강화하는 분위기다. 제조사들에게 전자지갑 주도권을 뺏길 수 없다는 뜻을 분명히 했다.

국내서는 SK텔레콤이 하나SK카드, KT는 비씨카드와 동맹을 맺고 시장 쟁탈전을 벌이고 있다. 삼성전자와 애플의 전자지갑 행보가 이들에게 미칠 영향도 주목된다.

한 이동통신사 관계자는 “단말기까지 직접 만드는 제조사들이 맞춤형 전자지갑 제작에 유리하다”며 “시장 변화를 면밀히 살피고 있다”고 말했다.

 Posted by at 11:16 AM