ActiveX에 대한 거짓말과 진실 II

ActiveX 없앤다고 문제가 해결될까?에서 답변을 해 준 X맨이라는 분의 생각을 기초로 몇 가지 생각해 보고자 한다.

X맨 : 제 생각엔 90%이상 사용자의 무지에 따른 부주의입니다. “설치하겠습니까 yes/no?”를 묻는 프로그램이 악성코드인지 꼭 필요한 프로그램인지 구별 할줄 알면 이미 중급수준은 된다고 봅니다. ActiveX 자체의 결함도 충분히 가능하겠지만, 그런 건 다른 OS에서도 자주 등장합니다. 유독 MS-윈도우에 대한 해킹이 많이 시도되는 건 특히 한국에서 MS-윈도우 사용자층이 대부분이기 때문이라고 봅니다. 리눅스처럼 MS-윈도우의 소스를 공개해버린다면 더욱 다양한 해킹이 가능할거라고 확신합니다.

AciveX 보안 문제는 사용자의 무지가 아니라 교육의 결과이다. 우리나라에서는 90년대 중반 부터 인터넷 뱅킹과 공인 인증을 통해 ActiveX를 비롯한 플러그인 기술을 인터넷에 사용하기 시작했다. 은행, 증권사, 정부 기관이 제공하는 ActiveX 플러그인을 아무 거리낌 없이 설치해서 사용하도록 교육한 것이다. 지난 XP SP2 사태 때도 이들 기관들이 앞장 서서 ActiveX를 설치하는 방법을 교육시켰다.

이 때문에 우리 나라 사람들은 스파이웨어 ActiveX와 정상적인 ActiveX를 구별하지 못한다. 그냥 보안 경고가 뜨면 ‘예’를 누른다.  집을 지키는데 세콤을 안 달고, 스스로 경비원이 되어 문을 다 열어 놓고 혼자서 문 앞에서 지키고 있는 꼴이다. 게다가 집에 들어 오는 사람은 다 좋은 사람일 거라고 상사로 부터 교육까지 받았다.

최근 빈번하게 발생되는 중국발 해킹 사건도 특정 웹 사이트를 해킹해서 스파이웨어 숙주로 만들고 악성 ActiveX 코드를 꺼리낌 없이 설치하는 우리 나라 사람들을 겨냥해 암호나 로그인 정보를 갈취하는 사건이 대부분이다. 교육 결과를 역이용 하는 것이다.

또한, 우리 나라에서는 운영 체제를 설치할 때 모두 관리자(Administrator)로 설치한다. 그렇지 않으면 인터넷을 사용하기 어렵기 때문이다. 맥이나 리눅스 데스크톱(특히, 우분투)는 처음 설치할 때 관리자(root)로 설치되지 않고 기본적으로 일반 사용자로 설치된다. 윈도우 XP에서도 일반 사용자로 관리가 가능하다. 운영 체제는 사용자 수준을 강제 함으로서 기본적으로 악성 코드에 대한 보안 장치를 마련 하는 것이다.

MS에 해킹이 집중되는 것은 운영 체제에 대한 취약성이 많은 결과이지만 우리 나라는 더욱 문제가 되는 이유가 사용자들이 관리자 계정을 기본적으로 사용함으로서 취약점에 노출되어 시스템 폴더에 아무 작업이나 할 수 있는 악성 코드에 쉽게 감염되기 때문이다.

ActiveX는 인터넷으로 악성 코드가 유포될 수 있다는 걸 예상하지 못하고 만들어진 기술이기 때문에 실제로 결함이 있는
기술이다. 최근 5년 동안 MS가 윈도우의 보안 강화를 비스타 출시 보다도 더 중요하게 생각하고 있는 것도 이런 이유다.

외국에서는 ActiveX라면 거의 대부분 스파이웨어다. Flash나 Adobe 같은 ActiveX 콘트롤은 사용자가 직접 프로그램을 설치하면 자동적으로 깔리는 것이다. 따라서 MS가 Vista에서 ActiveX의 구동을 더욱 어렵게 만드는 것도 이런 이유에서다.

X맨 : 자바의 경우 속도가 상당히 느리고 Windows XP 이후의 버전에선 Java Virtual Machine이 기본적으로 탑재되어있지 않아서 사용자들이 개별적으로 설치해줘야 된다는 사소한 문제점이 있습니다. 이게 컴퓨터를 좀 다룰 줄 아는 중수급 이상에겐 아무것도 아니지만 초보자라면 쉽게 포기할 수도 있는 문제입니다.

그만큼 자바로 데스크탑 어플리케이션을 만들어 본 실력이 없다는 반증이다. Thinkfree Office를 실행 해봤나? 아주 많은 기능을 가지고도 속도가 나온다. 우리나라 공인 인증에서 쓰는 ActiveX들은 기능과 스펙이 Thinkfree의 1/100도 안된다. 또한 IE에 기본 탑재되는 자바 VM과 Java Web Start를 사용하면 설치 문제는 없다. 같은 플러그인 기술이라도 Java VM이 Sandbox이기 때문에 운영 체제에 직접적인 위해도 가하지 못한다.

X맨 : 일반인들은 단순한 피씽 싸이트에도 속아넘어갑니다. 그정도의 지식을 가진 사람들에게 프로그램의 성격에 따라 설치할지 말지 판단을 요구하는건 어불성설입니다. 결론은 저 역시 스패머에 대한 강력한 대책이 필요하다는겁니다.

악성 코드 제작자에 대한 강력한 대책 보다도 일반인들이 기본적인 보안이 강화된 운영 체제를 바르게 사용하도록 계도 하는 것이 더 중요하다. 벽을 부셔 놓고 들어오는 도둑을 막으라고 하는 게 말이되나? 관리자 계정이라도 IE에서도 보안 등급을 최상위로 해두면 웬만한 악성코드도 막을 수 있고 악성 ActiveX는 절대 깔리지 않는다.

또한, 피싱의 경우도 웹 브라우저들이 주소창 고정 제공, EVSSL 인증서를 통한 보안을 통해 기본 프로그램만 사용하더라도 문제가 없도록 개선해가고 있다. 운영 체제와 웹 브라우저의 기본 보안 기능만 사용하도록 계도 하면 보안에 취약할 일이 없다!

X맨 : SSL 갖고만 하는 외국 인터넷뱅킹싸이트는 key logger 하나만 설치해놔도 다 뚫립니다. 심지어 텍스트 브라우저로도 인터넷뱅킹이 가능합니다. 그리고 전자정부에서 ActiveX 쓰는거 많이 비판하는데, SSL 하나 갖고만 하면 저라도 남의 등초본 금방 뗄 수 있습니다. 그렇다고 지금도 구멍이 없는 것은 아니고요.

현재의 ActiveX 공인 인증 기술도 SSL과 똑같은 기술을 기반으로 한다. 키로거 하나로 다 뚫을 수 있다고 하면 그건 우리 나라 공인 인증 기술도 마찬가지다. 이것이 우리 나라 은행에서 스파이웨어 방지, 키보드 해킹 방지 프로그램를 ActiveX로 제공하는 이유이다. 벽만 쌓으면 되는 것을 자꾸 창으로 창을 막으려니 문제가 되는 것이다.

결국 현재의 문제는 보안 문제에 대해 국가적인 근본 대책이나 교육을 마련하지 않고 계속 ‘요구 사항’을 빌미로 하위 호환성을 추구하려 했던 국가 및 공공기관에 책임이 있다. 처음 시작은 비 IE, 비 윈도우 사용자를 위한 지원 요구로 시작되었지만 지금이라도 보안에 대해서 사용자 PC의 보안 수준을 높히는 방향으로 근본적인 문제를 해결하는 방법으로 가야 한다고 생각한다.

이어지는 글… ‘ActiveX와 공인 인증에 대한 대안

여러분의 생각

  1. 사용자 부주의 만으로도 볼 수가 없는게,
    서핑중에 나도 모르게 깔리는 악성 Active x입니다.

  2. 가끔 들어오는데 답글은 처음 다는 군요.
    액티브 액수에 대한 두 가지 훌륭한 글 잘 보고 갑니다.

    p.s. 뜬금없는 질문이라서 죄송한데, 석찬님께서 번역하시고 계시는 것으로 알고 있는 [DOM Scripting]은 언제 나올까요? 작년부터 목빠지게 기다리고 있습니다.

  3. 핫! 그것참.. 죄송합니다. 아마 3월말에는 선보일 수 있을 것 같습니다~ 기다려 주셔서 대단히 감사!

  4. 석찬님 글이 올라오기를 기다리고있었습니다, 🙂

  5. 대단한 식견이네요..
    X맨님의 입장은 대부분 보안쪽에서 종사하고 있는 사람들이 쉽게 General하게 가지고 있는 생각 같습니다..저도 Channy 님의 글 읽기 전까지는 뭐 대충 그렇게 생각하고 있었으니까요..좋은 의견 잘 보고 갑니다 ^_^

  6. 이 글을 기고형식으로 무브온21팀블로그에 기사로 올렸으면 합니다. x맨님의 글과 함께 비교할 수있도록. 채니님 부디 허락부탁드립니다. ^^

    http://blog.daum.net/moveon21/2787215

  7. 네.. 인용하셔도 됩니다.

  8. “그만큼 자바로 데스크탑 어플리케이션을 만들어 본 실력이 없다는 반증이다”

    제가 3~4년전쯤에 자바로 만들어진 어플리케이션이 너무 느려터져서 C/C++ 버전으로 컨버팅하는 작업을 했습니다. 네, 어차피 자바로 만들어봤자 우리나라에서는 거의 다 윈도우에서만 쓰니까 사용자들의 원성이 자자했죠. 10년전 자바프로그램의 속도보다는 많이 빨라졌을 것입니다. 그러나 여전히 C/C++로 만들어진 프로그램보다 빠르지 못합니다.

    씽크프리는 99년 그 당시 개발하던 분을 직접 알아서 이런 저런 얘기를 많이 들었는데 요즘은 속도가 많이 빨라졌나보군요 ^^; 예전에는 정말 눈뜨고 못 봐줄 정도로 -_- 느렸는데… (그래서 한창 IT 붐이었던 00년에는 정작 뜨지도 못했죠. 정말 처음 나올 때만해도 자바로 만들어졌으니 플랫폼 독립(!)이라 세상을 지배할 것 같았습니다만…)

  9. 허걱.. DOM Scripting을 석찬님께서 번역 중이셨군요… 전 왜 한국엔 번역본이 안나오나 기다리다가 작년에 일본 현지에서 사버렸어요~ 휴가 때 한국가면 한국번역본으로 다시 한권 구입을 해야 겠네요 ^^

  10. 제 누나는 보안경고창이 뜨면 activex를 설치하면서도 activex가 뭔지도 모릅니다. -_-

  11. 좋은 정보 감사합니다.activX가 정말 팝업정도로만 생각했는데.
    섣불리 깔면 안되겠군요..

의견 쓰기

이름* 이메일* 홈페이지(선택)