이 글에서 증명하신 방법의 시나리오에서
"스팀페이는 QR코드를 사용하니, 사람들은 QR코드 스캐너를 사용할 것이고, 그렇게 사용하는 QR코드 스캐너 앱 중 하나가...." 라는 가정 자체가 잘못됐습니다. 스팀페이를 진짜로 써보지 않으셔서 이런 가정을 하신게 아닐까 합니다.
스팀페이를 모바일 웹페이지로 접속한 후, 그 안에서 웹브라우저가 스마트폰의 카메라 권한을 요청하고 그 안에서 자체로 QR코드를 읽고 뒤로 넘어가는 시나리오 입니다.
QR코드 리더기를 따로 설치하는 일 자체가 필요없는 상황이라 가정한 시나리오 자체가 시작할 수 없습니다. 만약 그랬다고 하면 사용자 과실이라고 생각합니다.
개발중이신 브라우저가 액티브키를 저장하고 있는 상태라면, 그게 더 보안을 넘어 신뢰에 문제가 생길 수 있지 않을까요? 그 브라우저안에서 제가 쓰는 키보드 키로깅이나, 프로세스 상에서 실행중인 앱을 따로 긁어간다거나, 어딘가로 어떻게 전송중일지 어떻게 믿고 써야할까요?
트위터, 페이스북, 구글, 깃허브, 네이버, 카카오까지.. 자신의 계정으로 커넥트할 수 있도록 로그인 서비스를 제공하고 있습니다. 카카오게임에 카카오계정으로 로그인하는 것. 카카오뱅크에 로그인 하는 것. 조금 더 넓게 보실 필요가 있지 않을까 합니다.
보안 수준이 높은 것과 보안이 안뚫리는 건 서로 다른게 아닐까 합니다. 작년, 우리은행에 납품히도했던 에버스핀의 사례를 꼭 찾아보셨으면 합니다.
말씀해주신 부분, 잘 참고해보겠습니다~!
액티브 키를 외워서 넣을 수 없는 한, 액티브 키를 모바일 디바이스로 전송하는 과정은 꼭 필요한데, 그 과정이 반복적으로 일어나는 경우보다는 안전한 저장소에 암호화하여 저장해두는 것이 훨씬 안전하다는 생각은 아직 변하지 않았습니다. 물론 저장소가 얼마나 안전한 지에 대한 논의는 필요하고, 모이또도 이 부분에 대한 검증을 받게 되리라고 봅니다.
정성담긴 댓글 감사합니다~!