Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

/1442 #44

Open
utterances-bot opened this issue May 17, 2019 · 27 comments

Comments

Projects
None yet
@utterances-bot
Copy link

commented May 17, 2019

토스가 현대카드를 연동하는 방법에 동의하지 않습니다 :: Outsider's Dev Story

https://blog.outsider.ne.kr/1442

This comment has been minimized.

Copy link

commented May 17, 2019 — with utterances

안녕하세요. 소중하게 시간 내어 작성해주신 글을 읽던 중 의문점이 생겨 질문 남겨봅니다.

토스 앱이 클라이언트에 저장한 비밀번호를 복호화할 수 있다는 점을 탐탁지 않다며 지적하셨는데 그렇다면 아웃사이더님께선 macOS를 비롯한 운영 체제와 스마트폰을 이용하시면서 Wi-Fi 비밀번호 저장 기능이나 Safari와 Chrome을 비롯한 브라우저의 비밀번호 자동 입력 기능을 비롯하여 현재 1Password 등의 비밀번호 저장 수단을 전혀 쓰지 않고 계신 건지 의문이 들어 질문을 드립니다.

실제로 예를 들면 macOS와 iOS의 KeyChain 및 대표적인 비밀번호 저장 수단인 1Password 역시 사용자의 기기를 비롯하여 사용자의 선택에 따라 클라우드에 비밀번호 등을 암호화하여 저장해놓고 필요한 경우 복호화해서 사용자를 대신해 입력하는 것으로 알고 있습니다.

또한, 이 댓글을 작성하기에 앞서 논거를 보충하기 위해 아웃사이더님께서 2014년 4월 13일에 작성하신 게시물을 보았는데 해당 게시물( https://blog.outsider.ne.kr/1046 | https://archive.fo/c40Dx )에 따르면 아웃사이더님께서는 1Password를 사용하고 계신다고 하셨습니다.

그렇다면 결론적으로 현재는 1Password를 비롯한 비밀번호 저장 수단과 복호화 가능성에 대해 입장이 바뀌신 다음 그런 것을 전혀 사용하게 된 이후 비밀번호 저장 수단 및 복호화 가능성에 대해 지적하신 건가요?

This comment has been minimized.

Copy link

commented May 17, 2019 — with utterances

토스 앱에서 제대로 된 설명도 없이 임의로 사용자의 금융 계정 비밀번호를 변경해서 사용하는 것은 위험해보이네요. 말씀하신 것처럼 애초에 명확히 ID/비번을 저장해서 사용하겠다고 요구하고 비밀번호 변경의 무한루프를 방지하는 것이 나았을 것 같습니다. 다른 방법으로 연동되었다면 더 좋았겠지만..

이와는 별개로, 가계부 같은 서비스에서 금융사 계정 연동할 때 ID/비번으로 스크래핑하는 방식은 한국 금융 IT의 후진성 때문만이라고 보기에는 어렵고 해외에서 먼저 보편화되었다고 봅니다. 오히려 국내 금융사들은 공인인증서와 ActiveX 모듈 때문에 계정 연동 자체가 쉽지 않았고요. 이와 대비하여 이쪽 분야에서 잘 나가는 (나갔던?) Mint는 10년도 더 이전부터 무려 서버에 ID/비번을 저장하는 방식으로 계좌 통합 조회 서비스를 제공하고 있습니다. 역시 보안 우려는 꾸준히 제기되고 있습니다만, 결국 편의 vs 보안이라는 사용자 선택의 몫으로 남은 것 같아요. 그나마 최근에 Chase가 ID/비번 없이 OAuth 연동하는 방식을 도입한 것을 보면 업계에서도 차차 반응이 있지 않을까요. 토스 - 현대카드도 국내에서 이런 스타트를 끊어주면 좋았을텐데 아쉽네요.

This comment has been minimized.

Copy link

commented May 18, 2019 — with utterances

  • 본문에 작성하신 토스 앱에 현대카드 아이디와 패스워드를 적어주세요 하는 게 사용자가 이해하기 훨씬 좋지 않은가 싶다 는 더 문제일것 같습니다. 이 방법때문에 Oauth 등이 생겨난것일것으로 생각됩니다. 구글로 로긴하기 를 만들면 토스앱에서 구글 아이디 를 치는식이 아닌 구글웹사이트로 이동하는식 이니까요.

  • 임시비번(토스 클라 생성) -> 헤드리스로 현대카드 접근후 새비번 -> 문자인증 의 프로세스 로 타서비스의 비밀번호를 교체하는 로직이 껄끄러워 보이는건 사실인것 같네요.
    두 회사간의 협조가 부족했거나, Oauth 를 이용 했어야 할 상황같네요. 하지만 현대카드앱에서 혹시 토스연동을 하셨나요? 같은 알람을 보여줬다면 분명 회사간의 협약은 있었을듯 하지만...

ps) 위 댓글에서 에서의 password 매니져의 복호화 가능성은 토스와 무관한 서비스에서의 복호화 이므로 좀 다른이야기 이지 않을까 싶습니다.

내가 사용할 서비스의 input box 에 입력된 password가 해싱되지 않고 복호화 될수 있는지의 여부는 알수 없을것 같습니다. input box > 코드내해싱 로직 사이에서 다 볼수 있으니...
얼마전 FB 의 로그데이터에서 사용자plain 암호 유출도 이런곳에서 발견된게 아닌가 싶네요.

@outsideris

This comment has been minimized.

Copy link
Owner

commented May 18, 2019

@passenger2943 네 저는 1password를 쓰고 있지만 제 입장은 전혀 달라지지 않았습니다.
일단 1password는 제가 선택을 해서 사용하는 거고 파일도 어디에 어떻게 저장해서 사용할지 제가 선택할 수 있습니다. 그리고 1password는 복호화할 수 있는 키를 제가 머릿속에 기억하고 있고 사용할 때마다 제가 그 비밀번호를 입력해야만 사용할 수 있습니다. 복호화할때는 이렇게 하는 것이 이 경우 제 개인 장비가 털린다고 하더라고 비밀번호를 모르기 때문에 풀리가 어렵습니다. 1password를 포함해서 토스를 구현부분은 모르지만 토스도 당연히 내부에 저장할 때 암호화를 할 거라고 당연히 생각하지만 그 키는 어디에 있을까요. 이부분은 답변을 받지 않아서 모르겠지만 제가 카드를 조회할때마다 비밀번호를 입력하지 않기 때문에 앱 내부에 저장되어 있거나 어떤 규칙이 있을꺼라고 예상됩니다. 암호화된 파일과 키가 한공간에 있냐와 아니냐는 큰 차이가 있어 보입니다.
그리고 근본적으로 제 입장에서는 둘은 완전히 다르게 느껴지는데요. 전 비밀번호를 서버에 평문으로 저장하는 것에 반대하지만 도커로 서버를 배포할때는 환경변수에 비밀번호를 지정합니다. 사용환경과 목적에 따라 달라지는 것이고 고객의 비밀번호냐 내 비밀번호냐는 크게 다른 문제라고 생각합니다.

@outsideris

This comment has been minimized.

Copy link
Owner

commented May 18, 2019

@tomyun 네 저도 글을 쓰고 나서 알게된 것이지만 해외 금융앱애서는 이미 많이 쓰는 방식이긴 한것 같고 그런 면에서 토스도 이를 벤치마크했을 거라고 생각합니다. 그리고 글에도 언급하고 있지만 다른 방법도 제공하고 있습니다.

@outsideris

This comment has been minimized.

Copy link
Owner

commented May 18, 2019

@scarfunk 저도 OAuth같은걸 써야한다는 것에는 동의하지만 국내 금융권을 생각하면 이건 토스보다 금융권에서 OAuth를 지원해 주진 않았을 것 같긴 합니다. 사실 연동과 관련해서 OAuth같은 내용도 언급할 생각이지만 흐름을 파악하고 나서는 그 얘기는 여기서 불필요한 것 같아서 제외했습니다.

This comment has been minimized.

Copy link

commented May 18, 2019 — with utterances

저도 아무 생각 없이 3000원에 낚여서 연동하고 확인해보니 국민카드 비밀번호가 바뀌어 있네요. 암호화된 비밀번호가 클라이언트에 있다는 말이 사실인지 확인해보기 위해 토스 앱을 삭제했다 다시 설치 해봤습니다. 결론적으로 클라이언트에 저장된다는 말은 사실인지 연동된 정보가 사라졌습니다.

@outsideris

This comment has been minimized.

Copy link
Owner

commented May 18, 2019

@rouddy 네 삭제 테스트는 해보진 않았는데 확인해 주셔서 감사합니다.

This comment has been minimized.

Copy link

commented May 18, 2019 — with utterances

핀테크는 경험이 없는 개발자 입니다.

본문은 핀테크의 스크래핑 방식의 보안에 대한 지적으로 보입니다.

http://www.ddaily.co.kr/news/article/?no=170788
해당 기사에서는 금융위가 스크래핑 방식을 일정 유예기간 후 금지 할거라고 하는데,
해당 방식에 문제가 잠재하고 있다는 의미로 이해합니다.

여담입니다만, 제가 든 의문은
연동의 대상이 되는 금융사, 카드사의 서비스 페이지가 리뉴얼 되거나 업데이트로 html구조가 변경 되거나 하면 스크래핑 방식은 어떻게 대처할까 입니다.

서비스나 용어는 첨단인데 뭔가 원시적인 느낌이네요 ;;

This comment has been minimized.

Copy link

commented May 18, 2019 — with utterances

@passenger2943 @outsider 1pssword와 본 글에서 설명(추정)하고 있는 토스의 비밀번호 저장방식을 비교했을 때 잠깐이라도 평문으로 비밀번호를 다뤄야만하는 주체가 하나 더 늘어난다는 점이 있는데 요것도 큰 차이라 할수 있겠죠? 중간에 또하나의 주체인 토스서버에서 평문 비밀번호를 사용해야 현대카드에 접속할 수 있는데 그 토스 서버는 사용자 개인 컨트롤 할 수 있는 영역이 아니니까요.

  • 1 password: 1password앱(스마트폰 디바이스), 접속하려는 사이트(현대카드)
  • 토스 : 토스앱(스마트폰 디바이스), 토스 서버(현카 사이트 접속해서 긁어오는 용), 접속하려는 사이트(현대카드)

스크래핑을 별도의 서버가 아닌 토스앱 내부의 웹뷰에서 한다면 새로운 주체가 늘어나진 않을텐데 mobile용 puppeteer같은게 없으니 모바일에서 크롤링하기 쉽지 않겠죠. :) (혹시 그런게 있다면 알려주세요.ㅋㅋ)

@outsideris

This comment has been minimized.

Copy link
Owner

commented May 18, 2019

@yangkun 저도 핀테크는 모르는데 주신 링크를 보니까 스크래핑 자체가 저런 방싱을 총칭하는 업계 용어군요.

‘스크래핑(Scraping)’이란 고객의 인증정보를 이용해 특정 금융사나 공공기관, 정부 사이트의 개인 정보 중 필요한 정보를 자동으로 추출해 제공하는 기술이다.

웹사이트 긁어오는 걸로 보여서 사이트 리뉴얼 하면 자연히 깨지지 않을까요? 그전에 연동이 깨질 다른 이유가 훨씬 많아 보이지만 테스트를 두고 정기적으로 돌리면서 카드사 페이지가 변경되는지 확인하면 되지 않을까 생각해 봅니다. 그래도 헤드리스 크롬 쓰면 좀 더 첨단 느낌이 나지 않나요 ㅎㅎ

@outsideris

This comment has been minimized.

Copy link
Owner

commented May 18, 2019

@yomybaby 구현까지는 자세히 생각 안해봤는데(방금 윗분한테 대답도 했는데요 ㅋㅋㅋ)
듣고 보니 앱에서는 헤드리스 크롬이 어려울텐데 어떻게 긁어오는지 궁금하네요. 앱에 내장하면 카드사 변경에 대응이 어려워서 말씀대로 외부에 있을것 같기도 하네요.

This comment has been minimized.

Copy link

commented May 18, 2019 — with utterances

현대카드 사이트에서 로그인 시 비밀번호는 암호화 키패드가 나타납니다.
로그인 시 넘어가는 form data를 보시면 비밀번호가 사용자가 입력한 값이 아니고, 키패드에서 변환시킨 값이 넘어가고, 서버 사이드에서는 이걸 복호화해서 사용하겠죠?

이 부분은 단순히 headless를 이용만 하면 간단히 넘어갈 수 있는 부분은 아니고, 이런 장벽을 우회해주는게 소위 스크래핑 전문 업체들이 해주는 일입니다. (키패드 자바스크립트를 리버스 엔지니어링해 우회하는지, 카드사들과 별도의 계약이 있는지는 알 수 없는 일이고요.)

정확히 토스가 그렇게 하고 있는지는 모르겠으나 국내 카드 결제내역을 읽어오는 일부 핀테크 서비스들의 경우 이런 스크래핑 업체들의 도움을 받는 것으로 알고 있습니다.

This comment has been minimized.

Copy link

commented May 18, 2019 — with utterances

안녕하세요 아웃사이더님,

저는 토스팀 개발자로 재직하고 있으며, 현재 깃헙 팀 계정이 없어 제기해 주신 이슈에 대해 회사 공식 입장을 대신 전달드립니다.
추가 문의가 있으신 경우 토스팀 공식 이메일 support@toss.im 으로 언제든 말씀 주시기 바랍니다.

--

오늘 공유하신 블로그 글을 확인하고 제기해 주신 이슈에 대해 몇 가지 사항에 대해 아래와 같이 답변드립니다.

토스는 현재 카드 조회를 위한 등록 과정에서 공인인증서, 카드 스캔방식 및 카드사 웹사이트 아이디/패스워드 입력, 문자 인증을 통한 카드사 웹사이트 임시 패스워드 변경 등 여러 방식으로 카드 등록을 지원하고 있습니다.

비밀번호 변경이 이뤄지는 연결 방식은 카드사 계정 및 패스워드를 잊어버렸거나, 공인인증서 사용이 용이하지 않은 고객의 카드 등록을 지원하기 위한 하나의 방식으로, 패스워드 변경 과정은 고객의 동의를 받고 문자 인증을 통해 토스가 대신 변경 과정을 처리해 주는 방식을 택하고 있습니다.

  1. 패스워드 저장 관련
  • 토스는 카드 등록을 위해 발급된 변경된 패스워드를 사용자의 모바일 디바이스에 암호화해서 저장하며, 사용자가 앱을 재방문해 해당 정보를 조회할 수 있도록 지원하는데 사용하고 있습니다. 패스워드를 저장하지 않으면 사용자가 카드 내역을 조회 할 때마다 매번 로그인하는 불편함을 거쳐야 하기 때문에, 고객 단말에 최대한 안전한 방식으로 저장하고 해당 정보를 조회 시에 사용하고 있습니다.
  1. 복호화 관련
  • 스크래핑을 이용한 카드조회 서비스를 제공하기 위해서는 고객의 정보를 복호화가 가능한 방식으로 암호화 해야하며, 토스는 현재 양방향 암호화 알고리즘으로 더욱 안전한 방식을 채택하고 있습니다. 또한, 토스가 변경된 패스워드로 카드사에 고객의 카드내역 정보를 수집할 때는 암호화된 HTTPS 통신을 사용하고 있으며, 단말기에 저장된 패스워드를 이용할 때는 이중으로 암호화 하는 등 모든 과정에 걸쳐 암호화를 기반으로 서비스가 제공됩니다.
  1. 대고객 고지 관련
  • 사용자분들께서 카드사 웹사이트 패스워드 변경의 과정 및 영향에 대해 충분히 인식하실 수 있도록 명확한 고지가 부족했던 부분은 충분히 공감하는 바이며, 이에 따라 카드 등록 과정 관련한 대고객 고지 내용을 전반적으로 재검토해 최대한 명확히 인지하고 이해할 수 있는 문구와 UI를 적용할 예정입니다.

나아가 토스팀은 제기해 주신 여러 이슈에 대해 빠르게 내부 검토를 진행해 고객분들께 보다 명확한 카드 등록 과정을 제공해 드리고자 패스워드 임의 변경 방식을 없애고, 카드사 홈페이지 정보를 통한 등록을 원하실 경우 비밀번호 직접 입력 방식으로 전면 변경하기로 결정했습니다.

토스팀은 관련 절차를 최대한 빠른 시간 안에 구현해 적용할 예정이며, 토스팀과 서비스에 큰 관심 가져주시고 애정어린 시선으로 지적해 주신 점에 대해 겸허히 받아들이고 있습니다.

앞으로도 계속 토스팀에 관심과 지원 부탁드리겠습니다. 감사합니다.

This comment has been minimized.

Copy link

commented May 18, 2019 — with utterances

핀테크 관련 업체에 근무중입니다.

스크래핑 방식은 핀테크 관련 서비스들이 대부분 사용하고 있는 기술입니다. API가 제공된다면 합법적인 방법으로 고객의 권한을 위임받아 고객 정보를 대신 조회해서 서비스할 수 있지만 대부분의 금융사가 이런 기반이 없습니다.(스크래핑이 불법이라는 의미는 아닙니다.) 이에 핀테크 업체들은 고객의 권한을 위임받아 스크래핑이라는 기술을 통해 획득한 데이터를 고객에게 제공하고 있습니다. 대표적인게 뱅크샐러드입니다. 공인인증서를 등록하거나 은행의 아이디 패스워드를 등록해두면 해당 수단을 이용해 고객 대신 해당 사이트에 가서 로그인하고 고객의 정보를 긁어서 뱅크샐러드에서 보여주는 방식이죠.
금융위에서 스크래핑을 막는 이유는 스크래핑을 통해 고객 데이터를 획득한 기업을 통해 고객 정보가 유출 됐을 때 책임 소재가 불분명하고 유출 가능성이 크다는 문제 때문입니다. 스크래핑이라는 기술이 무슨 특별한 기술이 아닙니다. 몇백만원, 몇천만원만 주면 스크래핑 기술을 도입해서 고객 대신 로그인하고 고객의 정보를 열람/획득할 수 있게 됩니다. 금융사나 보험사가 아무리 보안 수단을 도입하더라도 스크래핑이 가능한 이상 고객이 직접 로그인한 것과 동일하기 때문에 대리인을 통해 고객 데이터가 유출된다면 데이터의 원천보유자 또한 책임에서 자유롭지 않게 됩니다.(신용정보원이 2018년 12월 경에 사이트를 전면 개편하면서 '비회원 본인인증'방식에서 '회원가입'방식으로 전환한 것도 이런 이유입니다. 여전히 임의대리가입 방식으로 해당 사이트를 스크래핑하는 서비스들이 있으나 신용정보원에서 해당 계정들을 일일히 블럭하고 있는 상황입니다.)

최근 마이데이터 사업이 진행되고 있습니다. 고객이 데이터의 주체가 되어 내 데이터가 어디에서 어떤 용도로 활용되고 있는지 알 수 있게 하고 '데이터 보유 기관', '데이터 활용 기관', '개인' 이 세 주체가 각자의 역할과 이익에 따라 데이터 기반의 생태계를 구축하려는 계획입니다. 이렇게 되면 현대카드의 정보를 개인이 직접 다운로드 받아(또는 토스에게 전달하라는 요청을 통해) 토스에게 제공해주고 토스는 이를 기반으로 서비스를 제공하는 흐름이 가능해집니다. 합법적이며 표준화된 방법으로요. 이제 시작이니 점차 핀테크에서 스크래핑이라는 기술은 사장될 거 같습니다.

This comment has been minimized.

Copy link

commented May 19, 2019 — with utterances

지적한 문제는 크게 1. 개인정보수집 2 세련되지 못한(hack에 가까운) 방법인 것 같네요.

좀 벗어난 얘기지만 구글 어시스턴트에서 제 관심사에 대한 디스커버리 정보를 제공하더라구요. 그 관심사는 제 최근 유튜브 영상이나 구글검색에서 유추한 것 같구요. 그 디스커버리 정보는 제게 엄청 유용한 정보였지만 한편 섬뜩하기도 했습니다. 제 관심사를 수집하라고 동의한 기억이 일단 없거든요. 최근 속속 등장하는, 우리 일상을 좀더 편하게 만들어주는 스마트한 서비스들 모두 어떤식으로든 개인정보를 수집하거나 저장을 통해 이뤄지는게 아닌가 합니다. 전 private하고 안전한 세상을 위해 이런 편리함을 완전히 포기하고 싶지 않아요. 이 문제는 신뢰의 문제가 아닐가합니다. 제 정보를 저장하고 수집하는 주체가 중국기업이라던가 한국의 코딱지만한 기업이였다면 아마 바로 탈퇴각이었지만 구글이나 음 토스 정도라면 믿고 싶네요. 안그러면 너무 불편해져서 ...😅

세련되지 못한 방법의 문제가 내부적인 문제라면 충분히 개선할수 있지만 애초에 내부에서 핸들링하기 어려운 문제기 때문에 편법을 사용한 거겠죠. 그런데 비단 토스만의 문제는 아닙니다. 제가 아는 최근의 it 서비스 모두 해결하기 어려운 외부 문제를 hack을 통해 해결하거나 아예 서비스 자체가 이 hack에 의존하는 경우도 봤습니다. 그래서 저는 이런 hack사용이 잘못됐다기보다 솔루션의 일종이라고 생각합니다만... 그러나 말씀하신대로 토스는 개인정보(특히 금융과 관련된) + hack이 결합됐기 때문에 조금 특별한 사안이라고 생각되긴 하네요. 음...

This comment has been minimized.

Copy link

commented May 19, 2019 — with utterances

저도 문제점이라고 크게 공감하고 재밌게 잘 읽었습니다. 일목요연하시네요.

본문 흐름과 관계없이, 문제성을 왜곡할 수 있다고 생각되는 부분이 보여 여쭤봅니다.

그런 면에서 클라이언트에만 저장한다는 것은 (중략) 탐탁지 않다. 그리고 보안의 민감하지 않은 대부분 사용자는 아이디/비밀번호는 많은 서비스에서 같게 사용하고 있을 것이기 때문에 토스 앱에서 이 비밀번호를 뺏을 수 있는 (후략)

  1. 다른 서비스에서 (사용자가) 정한 비밀번호와
  2. 토스 앱에서 현대카드 연동을 위해 (토스 측에서) 임의로 정한 비밀번호가

서로 관계가 없을텐데, 2가 복호화 가능한 점이 다른 서비스에까지 영향을 어떻게 미칠 수 있는지 모르겠습니다.

@outsideris

This comment has been minimized.

Copy link
Owner

commented May 19, 2019

@mrgomdev 토스에서 임의로 정한 비밀번호는 1과 상관이 없지만 이렇게 쓰면 이 경우 현대카드 로그인은 하지 말아야 하고 이런 류의 다른 서비스도 사용하지 못합니다. 그러면 사용자는 자신이 사용하는 비밀번호로 재설정을 해야 하고 1과 2가 같아질거라고 생각합니다.

This comment has been minimized.

Copy link

commented May 19, 2019 — with utterances

아직 잘 모르겠네요.
실험하신 내용이, 2 이후 비밀번호 재설정을 하면 2가 폐기되므로, 토스측의 연동 서비스가 멈춘다는 점이었습니다. 토스는 다시 재설정한 1에 대해서 알 수 있는 점이 없기 때문이겠지요.

비밀번호 재설정을 허락받기 위한 문자인증번호를 안다고 해서, 2 이후 다시 재설정하여 생긴 복호화불가능한 비밀번호도 알 수 있는 건 아니니, 사용자가 재설정한 비밀번호에 대해선 토스는 여전히 모를 것이라고 생각합니다.

@outsideris

This comment has been minimized.

Copy link
Owner

commented May 20, 2019

제가 잘 이해를 못한 것 같은데.. 사용자가 현대카드 비밀번호를 재설정하면 토스의 연동이 멈추고 그러면 토스에서 이 기능을 안쓴다는(혹은 아예 최초에 제공하지 않았거나) 얘기가 되는데 그러면 자연히 문제도 없지 않나요.

This comment has been minimized.

Copy link

commented May 20, 2019 — with utterances

네, 지금 댓글 동의합니다. 그 이유로,

  1. 사용자가 같은 비밀번호를 이곳저곳 쓰는 것과 토스가 무슨 상관인지,
  2. 토스의 2번 비밀번호가 탈취되는 게 왜

이 비밀번호를 뺏을 수 있는 취약점을 찾을 수 있다면 앞에 말한 대로 한 명만 공격할 이유가 생길 수도 있다.

에 해당하는지

모르겠다고 여쭤본 것입니다.

@outsideris

This comment has been minimized.

Copy link
Owner

commented May 20, 2019

아 그부분에 대해서는 토스가 재설정을 했을때는 타서비스의 비번과 다르고 저도 비번을 모르므로 상관없지만 이렇게만 유지하면 현대카드 사이트나 타 서비스는 아예 안쓰고 토스만 써야 합니다. 일단 저같은 경우에는 이걸 원한게 아니었고 다른 사람도 마찬가지로 비밀번호를 제가 원래 쓰던 번호로 리셋하게 됩니다. 토스도 계속 쓰고 싶다면 당연히 토스쪽에서 비밀번호를 리셋하게 되고 이러면 사용자가 이곳 저곳에서 쓰던 비밀번호화 같은 비밀번호같아지는 경우를 얘기한 것입니다.

@mrgomdev

This comment has been minimized.

Copy link

commented May 20, 2019

말씀 거의 다 동의하는데, 마지막 문장만 모르겠습니다. 토스쪽에서 비밀번호를 임의의 비밀번호로 리셋할텐데, 사용자가 이곳저곳에서 쓰던 비밀번호와 왜 같아질 수 있나요?

@outsideris

This comment has been minimized.

Copy link
Owner

commented May 20, 2019

@mrgomdev 아! 제가 토스 기능 흐름을 잘못 이해하고 있는지는 모르겠는데 문자로 연동할때만 토스가 임의의 비밀번호로 리셋하는거고 다른 방법이나 이후 사용자가 토스에서 재설정할때는 비밀번호를 입력하는 방식으로 알고 있습니다.

This comment has been minimized.

Copy link

commented May 20, 2019 — with utterances

그렇군요. 방금 댓글의 내용은 제가 토스 유저가 아니라 몰랐던 점이네요. 문자인증 외의 다른 경우에 현대카드 사용자 비밀번호를 클라이언트에 넣어두는 일이 없다고 여기고 댓글 썼습니다.

현대카드를 토스에서 인증할 때는 공인인증서 등 다른 방법을 통했더라도 현대카드 홈페이지 비밀번호를 복호화 가능하도록 클라이언트에 저장했다가 계속 써먹는다고 생각하시기 때문에 사용자의 비밀번호가 유출될 수 있다고 여기시는거군요.

1passwrd가 마스터 비밀번호를 물어보듯,
(토스의 서버가 전해줘야만 복호화 키를 얻을 수 있는 방식 등으로 하는) 클라이언트의 정보만으로 복호화가 안 되는 보안도 현 흐름을 유지하며 가능하다고 생각합니다만, 매번 조회 때마다 클라이언트에서 복호화가 된다는 것이 기분 좋진 않겠다는 것에 공감합니다.

@phlm7th

This comment has been minimized.

Copy link

commented May 20, 2019

참고로 스크래핑 방식은 데이터 보유 주체(위의 예에서는 현대카드)의 동의 없이 데이터 활용 주체(위의 예에서는 토스)가 사용자에게 위임받은 정보와 권한으로 대신 데이터 보유 주체에 접근해서 정보를 가져오는 방식이라 데이터 보유 주체의 로그인 폼이 달라지거나 스크래핑 대상 페이지의 url이 달라지면 스크래핑 할 수 없게 됩니다.

This comment has been minimized.

Copy link

commented May 21, 2019 — with utterances

은행권 연동을 위해 관련업체들과 몇차례 미팅을 진행해본 결과 다 고만고만한 기술기반으로 구현된 것으로 생각됩니다. 해킹에 가까운 산업(?)분야라서 결국 기술도입을 반려하고 근 1-2년간 마이데이터, 금융권공동API 등의 움직임을 주시하고 있습니다만 지지부진하더군요. 2019년 연내 공용API를 런칭할 계획이라던데 어찌될진 모르겠습니다.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
You can’t perform that action at this time.