썰렁한 엔지니어

필요한 일이 있어서 은행에서 쓰는 키보드 보안에 대해 잠시 물어 보고, 찾아 보는 중이다. 은행 인터넷 뱅킹에 들어가게 되면, 키보드 보안 프로그램이 항상 설치되어 실행되는 것을 볼 수 있다. (그림은 외환은행에 들어 갔을 때 나오는 트레이를 캡쳐해본것이다.) 이것이 하는 일은 키보드입력을 다른 녀석이 가로채지 못하게 한다는 것인데, 원리는 간단하다. 1. 암호를 입력해야하는 순간에 2. 키보드의 입력을 가장 먼저 받아서 어딘가에 저장해두고 3. 입력받은 내용을 '*' 로 바꾼다. 4. 웹페이지에서 "실행" 버튼 (조회 혹은 이체!)을 누르는 순간 5. 저장해둔 키보드 입력을 은행이 원하는 암호화방식대로 암호화해서 전달해주는 기능이다. 즉, 은행사이트는 자신의 사이트에 맞는 키보드 보안 프로그램과 대화를..

설계 및 구현을 하다보면, 모든 예외처리가 되어야하지만, 논리적으로 안전한 것에 대해서는 처리하지 않는 상황을 만나게 된다. 즉, 방문은 잠그지 않고 자도 현관문이 열리지만 않는다는 가정만 확실하면 방문을 잠그지 않아서 발생하게 되는 도난사고 같은 예외상황은 고려대상이 아니라것이다. 프로그램도 외부에서 흘러오는 데이터가 어떤 확인 절차를 거치고, 어떤 가공이 일어나는지를 모두 알 수 있다면(또, 그래야하고) 예외를 확인하고 처리해야할 곳이 어디인지 확실하게 된다. 현관문에서 확인한 사람을 방문에서도 한 번 더 확인하는 것이 잘 되어 있는지, 잘못되어 있는지는 생각하기 나름이다. 오히려 현관문에서는 금속탐지만 하고, 방문에서는 거짓말 탐지를 한다는 식으로 나뉘어 있다면 그것은 잘되어 있는 것일지도 모른다...