Skip to content

Latest commit

 

History

History
109 lines (78 loc) · 9.58 KB

README.md

File metadata and controls

109 lines (78 loc) · 9.58 KB

Safe Transaction

여러분의 거래를 안전하게 지켜드리는 Safe Transaction 브라우저 확장 프로그램입니다.
별도 프로그램 설치 없이 @BawAppie가 정한 한국 산업 표준 암호화를 이용하여 안전하게 아무 작업도 하지 않기 때문에 더욱 편리하게 사용할 수 있습니다. 물론 무슨 암호화인지는 모릅니다.
이 확장 프로그램을 설치하면 전자 금융 사기 예방 서비스가 가능하기 때문에 무조건 설치해야 합니다. 설치하지 않는 방법은 없습니다.
농업을 좋아하는 사람들의 은행, 한 명만 쓰는 은행에서 정상 작동을 확인하였습니다.

경쟁 연구소로 부터 인정 받은 보안 기술

Approved by competitor

사용 전 확인하세요.

이 확장 프로그램이 사용하는 서버는 KT, SK, LG U+ 등 국내 ISP에서 제공하는 DNS 서버에서 알 수 없는 이유로 차단되었습니다.
DNS 차단
모 연구소가 이 확장 프로그램을 보고 화가 많이 난 것 같습니다.
안타깝게도 저는 국내 DNS 블랙홀을 우회할 만한 아이디어는 있지만, 실천에 필요한 돈은 없기에 사용자 분들에게 DNS 변경을 권장드립니다.

위의 사유로 인하여 이 확장 프로그램을 사용하고자 한다면 네트워크의 DNS를 Cloudflare DNS Resolver (1.1.1.1) 또는 Google Public DNS (8.8.8.8) 등의 해외 서비스가 제공하는 DNS 서버로 변경하세요.
차단된 주소는 다음과 같습니다:

  • astx2-emulator.appie.dev
  • ipinside-emulator.appie.dev

설치

Chrome: https://chrome.google.com/webstore/detail/safe-transaction/hlknngdmefboagppfcddkbnnphbhdngk
Firefox: https://addons.mozilla.org/addon/safe-transaction

지원 현황

금융인증서 (클라우드인증서)으로 로그인 한 뒤 확인한 결과입니다.
공동인증서, 자체인증서 등 타 방법으로 로그인 시 결과는 다를 수 있습니다.

조회 거래(이체) 비고
국민은행 ✔️ ✔️
하나은행 ✔️ ✔️
신한은행 ✔️ ✔️
우리은행 확인 필요
농협은행 ✔️ ✔️
기업은행 ✔️ ✔️ 24.09.26 확인
SC제일은행 ✔️ INISAFE CrossWeb EX 설치시 이체 가능
케이뱅크 기업 INISAFE CrossWeb EX 설치 필요
OK저축은행 ✔️ 이체 시도시 NOS 통신 오류 (NOS E2E 필요) / 24.09.26 확인
삼성증권1 ✔️ SignKorea NA Certification Tool Kit 설치 필요

기능 및 특징

  • 안전한 거래를 지원하지만, 아무 것도 하지 않습니다.
  • IP 안에서는 무슨 일이 일어날까요? 아무 일도 일어나지 않습니다.
  • 온라인 보안을 해드립니다

만드는 것을 도와주신 감사한 분

Github Sponsor

이 프로젝트는 한국모바일상품권으로부터 금전적인 지원을 받았습니다.

외부 서버 이용 안내

이 확장 프로그램은 외부 서버를 이용합니다. 그러므로 인터넷 없이는 작동하지 않습니다.
왜 개발자는 굳이 돈 주고 서버와 도메인을 구매한 뒤 외부 서버를 이용하도록 만들었을까요? 그 이유는 사용되는 암호화 알고리즘은 각 언어마다 다른 동작을 보이기 때문입니다. 암호화 알고리즘을 직접 만드는 것보다는, 암호화하는 서버를 만드는 것이 더욱 간단하고 쉬우며 개인 정보 유출에 더 큰 도움이 됩니다. 하지만 걱정할 필요가 없습니다. 이 확장 프로그램은 여러분의 개인정보를 수집하지 않습니다.
개발자는 여러분의 개인 정보를 존중하며 이 확장 프로그램이 사용하는 외부 서버는 여러분의 개인 정보를 저장하지 않습니다. 사실 이용자의 개인정보는 이미 공공재이므로 다른 곳에서 쉽게 구할 수 있으니 수집할 필요가 없습니다.

외부 서버의 소스 코드

이 개발자는 굳이 외부 서버를 사용하면서 외부 서버의 소스 코드를 공개하지 않았습니다.
왜일까요? 개발자의 입장에서 생각해봅시다. 이 확장 프로그램을 본 어떤 연구소는 이 확장 프로그램을 가만히 두지 않을 가능성이 높습니다. 그러므로 이 개발자는 나중에 이 확장 프로그램이 문제가 되었을 경우 도망가기 위하여 외부 서버를 공개하지 않았습니다. 개발자가 외부 서버를 닫아버리면 이 확장 프로그램은 고장나기 때문에 외부 서버는 킬 스위치의 역할을 할 수 있습니다.
하지만 개발자가 소스 코드를 공개했다면 어떨까요? 개발자가 서버를 닫더라도 누군가 서버를 다시 만들면 그만입니다. 저는 도망가야하기 때문에 공개하지 않겠습니다. 물론 도망가면 병역 면탈 또는 탈영으로 잡혀갑니다. 감사합니다.

알고 있는 문제

1. 나는 MacOS 안쓰는데요?

보안 거래가 작동하면 그 사이트는 내가 macOS를 사용 중이라고 인식하여 이상한 파일을 던져주거나, 오작동하는 문제가 있을 수 있습니다.
이는 대부분의 사이트가 Windows에는 합법인척 하는 키로깅[1], 언제 터질지 모르는 커널 후킹 등 바이러스인지 뭔지 모를 괴랄한 짓을 하는 것에 비해 macOS는 간단한 짓만 하기 때문에 그런 것이니 참으시고 사용하세요.

2. 설치 후 유해 사이트라고 뜸

경쟁 제품에서 Safe Transaction이 사용하는 도메인을 피싱 사이트로 지정하여 발생하는 문제입니다.
왜 Safe Transaction과 경쟁 제품을 동시에 사용하시려고 하는지는 잘 모르겠지만, 해당 제품은 Safe Transaction를 보고 배가 아파서 정상 작동하지 못하도록 유해 사이트라는 거짓 작동을 하게 만든 것이 아닐까요?
위에서도 한번 언급했지만, Safe Transaction은 여러분의 민감한 데이터를 훔치치지 않습니다. 귀찮아서 끄지 않은 Nginx에 로깅되는 데이터에는 Cloudflare의 IP만 찍힐 뿐입니다.
저는 어떤 프로그램을 사용하는지는 사용하는 사람의 선택이니 어떤 것을 선택하도록 강요하지 않습니다. 그러므로 아래 몇 가지 해결 방법이 있습니다.

해결 방법 1: Safe Transaction 삭제

키로깅 기능부터, 사용중인 PC 정보 수집, 사용자 핑거프린팅, 접속 사이트 감청[1: 대한민국 해석 기준으로는 아님] 등 세계 최고 기능이 한 번에 포함된 프로그램을 Safe Transaction를 대신하여 사용하는 방법입니다.
수집을 동의하지 않으신거 같다고요? 걱정마세요. 경쟁사 개인정보 수집방침 깊숙한 곳에 숨겨져 있고, 따로 동의하라는 팝업을 띄우지도 않았거든요.[2]

이 글을 보는 사람이 이 방법을 사용하실 분은 없을 것이라고 생각합니다만, 아무튼 Safe Transaction을 지우면 문제가 해결됩니다.
(Safe Transaction은 경쟁 제품과 달리 삭제시 클릭 한번으로 제거됩니다)

해결 방법 2: 경쟁 제품 삭제

누군지도 모르는 개발자가 적어둔 개인정보 수집하지 않는다는 글을 믿으시는 분에게 추천하는 방법입니다.
경쟁 제품을 삭제하면 해결됩니다. (구라 제거기를 활용하면 좋습니다)

해결 방법 3: ECH 사용

경쟁 제품은 http에서는 Host 헤더를, https에서는 SNI 필드를 체크하여 유해 사이트 여부를 확인합니다.
https에서 이러한 감청을 막기 위한 여러가지의 시도들이 있었고 그 중 한 가지 방법으로 ECH(Encrypted Client Hello, 관련 링크)를 사용하는 방법입니다.
Firefox에서 DoH를 활성화 한 뒤, about:config 로 이동하여 network.dns.echconfig.enabledtrue로 변경하면 됩니다.
대신 이 방법은 기본적으로 비활성화되어 있는 기능인 만큼 실험적이고 항상 잘 작동하진 않습니다.

님만 모르는 문제

저는 착한 개발자이니 Safe Transaction을 사용함으로써 발생하는 모든 문제는 여러분에게 무상으로 제공하겠습니다. 사양하지 않으셔도 됩니다.

[1] 대한민국 (유사) 유권해석 기준으로 처음부터 단대단 암호화가 아닌 제3자가 디코딩 후 열람 할 수 있는 사항을 보는 것은 "감청"에 해당되지 않으므로, 키로거는 "감청" 이 아닙니다.
[2] 경쟁사 개발사인 모 연구소에서는 이런 프로그램을 PUP (Potentially Unwanted Program) 이라고 부르는 것 같아요.

Footnotes

  1. 클라우드 인증서 사용시 SignKorea NA Certification Tool Kit 설치가 되었음을 나타내는 Tampermonkey 스크립트로 로그인 가능함을 확인하였으나, 거래시 ASTx2의 E2E가 필요하여 거래 불가