파일 서명 자동화 파이프라인을 구축중이어서 오랜만에 공인인증서를 발급받았습니다.

그런데 공인인증서가 .pfx 파일이어서 이를 호환되는 파일 확장자로 변환하고자 openssl을 사용하려고 했지만 어째서인지 RC2-40-CBC 알고리즘이라 변환을 거부하네요?
보안(?)프로그램을 사용자 PC에 설치를 강제하는 것 보단, 서버쪽 보안과 인증서 알고리즘을 업데이트하는게 먼저일 것 같은데 어렵나 봅니다.
댓글 (6)
-
독독사소
03.14 · 125.♡.60.147
-
시시커먼사각
→ 독사소
03.14 · 49.♡.218.16
20여년전 오픈웹에서 공인인증서의 문제를 제기했을 때 참여했었습니다. 당시에도 기술적인 문제가 지적되었고, 그외에도 법적/행정적 문제들이 제기되었었지만... 금전적이익을 기반으로 한 모피아들의 장벽은 강고하더군요. 거기다 무식하기 짝이 없는 판새놈들의 천상천하유아독존 식의 앞뒤논리도 안맞는 뇌내망상에 질렸었습니다.
그뒤로 저는 모파아와 판새가 기술관련한 일에 대해 언급하는 것은 콩으로 메주를 쑨다고 해도 안 믿습니다. 그렇게 주장을 한다면 그 주장을 하는 놈은 콩의 유통을 독점하고 있거나 최소한 콩을 사재기하고 있는 놈이거든요. 세상 하나도 안 바뀌었습니다.
- 다
다시머리에꽃을
→ 독사소
03.14 · 106.♡.200.219
우리나라 보안관련 정책이 면책용이라 비난하는 분들이 꽤 있지만.. 반은 맞고 반은 틀린말이라 봅니다
기본적으로 보안관련정책은 기본적인 보안에 대한 가이드라인을 강제화 시킨겁니다 (특히 은행 등의 경우)
만약 이러한 규제/정책이 없었다면 현실은 더 시궁창일 겁니다.
기본적인 보안관리 조차 안된곳들이 허다했겠죠. 보안사고가 엄청나게 많이 일어났을겁니다.
이렇게 우리나라가 온라인 서비스가 활성화되는데 큰 걸림돌이 되었을테고요
현실적으로 이러한 가이드라인들을 잘 준수했는데 뚫렸다면.. 이걸 과연 은행등에게 온전히 책임을 지울 수 있는가?의 문제라고 봅니다
해킹사고의 문제를 뚫렸냐 아니냐의 결과론적인 부분보다는 책임을 다하였느냐의 관점으로 보는것이죠 (솔직히 실력이 좋은 해커가 뚫고자 한다면 과연 막을 수 있을지 의문입니다)
해서 실제 보안사고시 소송 등에서도 보안정책을 잘 따랐느냐가 중요한 쟁점이 되고요.
해외에서는 이러한 공공주도의 가이드라인 조차 없어서 보안사고도 빈번하고 온라인화가 늦어지고 있는 큰 원인 중 하나라 봅니다
-
버버블보블
→ 다시머리에꽃을
03.14 · 118.♡.237.189
저는 절대 100% 면책용 보안 정책이라고 생각합니다. 공인 인증서를 필두로 한 한국의 보안 정책 때문에 정책만 맞추면 다른 일은 아무 일도 안해도 된다는 생각이 팽배해 정보보안이 뒤쳐진 부분이 있습니다.
보안 사고가 엄청 일어났을꺼라고 예상하시지만 아마 그 반대였을껍니다. 더 좋은 보안 기술과 더 좋은 보안 조치와 정책들로 더 좋아졌을텐데 이상한 사용자 고객에게 책임을 미루는 보안 정책으로 현재 해외 대비 엄청나게 뒤진 금융 보안 환경을 만들어 놨다고생각합니다.
전 아직도 생각 납니다.
"누가 책임지냐 ?"
"내가 담당자니 내가 책임질께"
" 니책임 따위 필요없어"
강제로 고객에게 불편을 주던 보안 담당자의 말 (당시 금융 보안 정책에 대해 아무것도 몰랐음) - 다
다시머리에꽃을
→ 버블보블
03.14 · 106.♡.200.219
애초에 담당자가 책임진다는게 말이 안되죠.. 책임질수도 없고 책임져서도 언됩니다
물론 자금의 보안정책이 시대의 흐름을 따라가지 못해 불편을 가중시키는 문제등이 있습니다
그러나 보안이란것은 완전한것도 없고 누구에게나 만족하는건 더더욱 있을 수 없죠
이러한 정책들이 문제가 없는건 아니지만.. 기본적으로 잘못된 방향이라고 생각하지 않고요 좀 더 수요자 위주의 정책으로 더 발전하는게 맞다 봅니다 (반대로 너무 보안보안 하다보니까 새로운 금융결제관련된 기술들이 정체되는 측면도 있고요)
물론 그렇다고해서 공인인증서나(본인인증에 대한 고민이 더 필요합니다) 그와 관련된 카르텔을 비호할 생각은 없고요
-
예예지
03.14 · 49.♡.83.205
사용자에게 책임 전가하려면 사용자 PC에 설치하고 바이러스도 안 걸리고 공공 와이파이도 안 쓰고 인증서도 잘 보관하게 해야죠.
댓글을 작성하려면 이 필요합니다.
거의 20년 전부터 공인인증서 이런저런 문제많다는 얘기 들었던 거 같은데요.
요근래 제도도 바뀌고 그래서인지 별 소리 안들리던데, 아직도 문제인 건가요?
법제도적 측면에서 예컨대 은행들의 사실상 면책용이라는 등의 문제는 이해를 했지만,
기술적 부분은 문외한이라 아직도 잘 모르겠네요.