아래는 Helpnet Security가 보도한 Korea becomes world's biggest malware producer의 전문이다. 이 뉴스는 만우절 뉴스가 아니다.
Network Box의 3월 인터넷 보안 분석에 따르면 한국이 미국을 제치고 세계 최대 인터넷 바이러스 생산국이 되었다.우리나라에는 유독 바이러스에 감염되거나, 부정 침입자의 원경 조종 소프트(백 도어)에 걸려 든 채, 사용자가 눈치 채지 못하고 방치 된 컴퓨터인 좀비 PC가 많다. 이들 좀비 PC는 스팸 메일 발송, 해킹 공격, DDoS 공격에 이용된다.
한국은 31%의 악성코드 생산국으로 2월달의 8.9%에서 크게 상승했다. 이러한 급격한 상승은 전 세계로 피싱 메일을 보내는데 사용된 공격당한 PC들이 늘어났기 때문이다. 미국은 9.34%로 2월과 비슷한 수치를 보였으며 브라질 6.04%, 중국 5.05%, 인도 3.86%를 보였다.
한국은 또한 해킹 침입 횟수에서도 12.46%를 기록해 미국의 11.94%를 누르고 불명예스러운 1위를 기록했다. 한국에서는 최근 2천만명의 개인 정보가 유출되었다는 뉴스가 나오기도 했다.
지난달 스팸 수준은 중간 정도 수준으로 총 스팸 메일량은 미국이 9.7%로 약간 증가했고, 다음이 인도 6.6%, 브라질 5.5% 그리고 한국이 5%를 차지했다.
Network Box의 Simon Heron 인터넷 보안 전문가는 "3월달에 한국에서 악성코드에 취약한 PC가 증가한 것은 한국에 활동중인 바이러스가 많다는 것을 의미한다."며 "최근 몇달간 한국내 악성코드가 증가하고 있으나 3월은 전 세계적으로 증가 추세이다."라고 진단했다.
국내 무료 보안 백신은 무려 9개나 있고, 쇼핑몰 및 은행 웹 사이트에 가면 해킹 보안, 키보드 보안, 방화벽을 항상 설치하여 실행해 주는데 왜 이런 결과가 나오는 것일까? 우리 나라가 브로드밴드가 활성화 되어 있고 PC 숫자가 많다고들 이야기 했지만, 이제 유럽이나 아시아 다른 나라들도 우리 만큼 초고속 인터넷 쓰고 PC 숫자 많다.
큰 원인 중에 하나가 바로 액티브X 플러그인의 오용이다. 현재 국내에 발급된 코드사인 인증서는 수 천장, 각 회사가 한개씩 액티브X플러그인을 만들어도 수 천개다. 베리사인 코드사인 인증서의 유일한 주수입원이 한국이다.
게다가 한국에서는 공공 기관, 은행 등에서 액티브X 플러그인을 제공하니 어쩔 수 없이 윈도우 관리자 계정을 써야 하고 이러한 신뢰를 밑바탕 삼아 국내 수 천개의 액티브X 콘트롤이 쉽게 설치된다.
그러다 보니 이게 악성인지 양성인지도 판별이 안되는 사태가 수두룩하게 일어난다. 국내 웹 사이트 게시판에는 각종 멀웨어들이 늘어나고, 애들에게 컴퓨터 하루만 맡겨도 희한한 프로그램 잔뜩 깔리는 판이니 이름 모를 악성코드 감염은 식은 죽먹기일듯...
두달 동안 홍콩에 있으면서 일반 계정의 학교 PC를 쓰면 못하는 일이 없었는데, 유독 한국 웹 사이트에 가면 할 수 있는게 아무것도 없었다. 한국 웹 사이트에서 뭘 좀 하려면 관리자 계정을 꼭 써야하는 드러운 세상이다.
물론 악성코드 감염이 액티브X콘트롤로만 감염되는 게 아니기 때문에 국내 사용자의 보안 의식과 실천 수준 역시 매우 중요하지만, 무료 보안 백신이나 웹 사이트 기반 방화벽, 키보드 보안, 방화벽이면 안전하다고 역설하는 국내 상황도 문제다.
사용자들이 잦은 윈도우즈 업데이트, 윈도우 관리자 계정 이용 최소화, 가급적 최근 운영 체제 및 웹 브라우저 사용, 잘 모르는 프로그램 설치하지 않기 등을 실천하려고 해도 액티브X 플러그인 오용이라는 국내 상태는 결과적으로 그걸 어렵게 만들고 있다.
국내 기반 PKI 회사, 공인 인증 회사, 백신 회사, 방화벽 회사들이 영업을 잘하고 있고, 웬만한 국내 사이트 가면 해킹 방지 프로그램이 늘 깔리고 실행되는 나라에 살고 있는데도 도저히 이해가 안되는 일이 벌어지고 있다.
이 글을 쓰고 나니 몇몇 보안 업계 관련자 분들께서 악성 코드는 액티브X 콘트롤에 의해 감염되는 것이 아니라고 반론을 제기하셨고, 맞는 말씀입니다. 윈도 업데이트를 안하거나 웹 브라우저 업그레이드를 안하거나 보안 수준을 낮음으로 낮추거나 보안 백신을 안깔아도 악성코드는 감염 됩니다.
제 글에서는 악성코드 감염이 액티브X 콘트롤에 의한 것이라고 주장하는 것이 아니라 그 오용에 의한 사용자 환경의 취약점이 다른 나라 보다 심각해 진것이 그 원인이라고 생각하는 것입니다. 윈도 비스타 깔려 있으면 XP로 다운그레이드하고, IE7이나 IE8 안쓰고 IE6 쓰는 이유가 무엇일까요. 액티브X 콘트롤이 제공하는 기능들을 쓰기 불편한 게 가장 큰 이유입니다. 과거에 만들어진 액티브X 콘트롤은 XP SP2 이상이나 IE6외에는 쓰기 어렵고 보안 수준을 낮추라고 가이드하는 웹 사이트도 있습니다.
과거 조립 PC 시절 보다는 OEM PC덕에 불법복제율도 낮아졌고, 무료 백신도 많아졌고, 인터넷 뱅킹 사이트 마다 보안 프로그램이 가동 되는데 왜 이런 결과가 나오는 것일까요? 다른 나라도 브로드밴드가 널리 퍼졌고 PC 사용자도 많은데 왜 그럴까요.
공인 인증 업계, 보안 업계, 포털 업계, 인트라넷 SI 업계 모두 액티브X 콘트롤 남용으로 사용자들 보안 환경을 취약하게 만든 합작품이죠. 이런 상황을 외면하고 불법 복제나 사용자 무지 탓에 악성코드 감염이 높다고 하면 그건 현실을 애써 보고 싶지 않아서 아닐까요?
제 글에서는 악성코드 감염이 액티브X 콘트롤에 의한 것이라고 주장하는 것이 아니라 그 오용에 의한 사용자 환경의 취약점이 다른 나라 보다 심각해 진것이 그 원인이라고 생각하는 것입니다. 윈도 비스타 깔려 있으면 XP로 다운그레이드하고, IE7이나 IE8 안쓰고 IE6 쓰는 이유가 무엇일까요. 액티브X 콘트롤이 제공하는 기능들을 쓰기 불편한 게 가장 큰 이유입니다. 과거에 만들어진 액티브X 콘트롤은 XP SP2 이상이나 IE6외에는 쓰기 어렵고 보안 수준을 낮추라고 가이드하는 웹 사이트도 있습니다.
과거 조립 PC 시절 보다는 OEM PC덕에 불법복제율도 낮아졌고, 무료 백신도 많아졌고, 인터넷 뱅킹 사이트 마다 보안 프로그램이 가동 되는데 왜 이런 결과가 나오는 것일까요? 다른 나라도 브로드밴드가 널리 퍼졌고 PC 사용자도 많은데 왜 그럴까요.
공인 인증 업계, 보안 업계, 포털 업계, 인트라넷 SI 업계 모두 액티브X 콘트롤 남용으로 사용자들 보안 환경을 취약하게 만든 합작품이죠. 이런 상황을 외면하고 불법 복제나 사용자 무지 탓에 악성코드 감염이 높다고 하면 그건 현실을 애써 보고 싶지 않아서 아닐까요?
이어지는 글 액티브X 남용과 사회적 비용(1)...
p.s. 올블로그의 위트 넘치는 만우절 이벤트. 4월 부터 보안 백신 프로그램을 제공한단다.
이 저작물은
크리에이티브 커먼즈 저작자표시-비영리-변경금지 라이센스에 따라 이용하실 수 있습니다.여러분의 생각
Trackback URL: http://blog.creation.net/trackback/442
여러분의 의견
-
dreamreader님의 생각
2010/04/01 13:49 e/d re:
정부 관료들의 무능력, 무지도 한 몫 하고 있는 듯 싶어요.
뭐라도 떨어지는지. 모르지만요. -
쿨캣7님의 생각
2010/04/01 14:26 e/d re:
> 큰 원인 중에 하나가 바로 액티브X 플러그인의 오용이다.
어떤 근거로 그렇게 생각하시는지요 ?
제가보기에는 큰 원인 아니라 원인 중 하나입니다만 아주 낮습니다.
몇년전 액티브X 컨트롤이 허위 보안 프로그램이나 애드웨어 등의 주요 설치 경로이긴 했습니다만
현재 악성코드 배포 방식은 웹사이트를 해킹해놓고 접속하는 사용자에게 자동설치하게 하는 형태입니다.
(혹은 플래쉬, PDF 취약점)
액티브X 컨트롤과는 별도로 보안업데이트를 안하면 웹서핑 중에 감염되는 세상입니다. (그외 감염 경로는 무척 많습니다.)
저도 액티브X 컨트롤 좋아하지 않습니다만...
국내 악성코드 문제가 액티브 X 컨트롤을 때문이라고 주장하는 분들이 많아 댓글 남겨봅니다.
액티브X 컨트롤이 싫어도 사실 관계는 분명히 해야할 듯 합니다.
관련 근거가 필요하시면 국내외 백신업체에서 발표하는 악성코드 감염 경로를 참고하시기 바랍니다.
> 무료 보안 백신이나 웹 사이트 기반 방화벽, 키보드 보안, 방화벽이면 안전하다고 역설하는 국내 상황도 문제다.
이부분은 사람들이 올바른 인식을 가지게 보안업체, 언론이 함께 노력해야 할 부분이라고 생각합니다. -
channy님의 생각
2010/04/01 15:15 e/d re:
악성코드 감염 원인 중 대다수가 취약점 공격에 의한다는 것은 쿨캣님 말씀은 사실이지요.
제가 액티브X 콘트롤 오용을 제기하는 이유는 이 때문에 악성코드 감염이 쉬운 사회 전반의 보안 비용이 높아지고 있기 때문입니다. 글 내용도 대부분 그렇게 적고 있습니다만...
공인 인증 플러그인을 보호하려고 액티브X 기반으로 보안 프로그램이 다시 배포되고 있고 이를 통해 사용자들의 보안 착시 효과도 높아지구요. 기존에 깔린 백신 프로그램이랑 서로 충돌도 나기도 합니다. 과거 새로운 O/S나 보안 업데이트에 대한 대응도 그렇구요.
http://blog.creation.net/281
외국 처럼 일반 사용자 계정을 주로 쓰는데 반해 국내에서 관리자 계정으로 실행되는 PC가 많아 악성코드 감염이 쉬운 것도 액티브X 콘트롤 오용에 따른 결과이기도 합니다. 웹 사이트 이용이 불편해서 관리자 계정을 쓸 수 밖에 없습니다. (제가 해외 있을때 관리자 계정을 주는 회사,학교, 호텔 PC를 본적이 없습니다.)
http://technet.microsoft.com/en-us/library/cc507867.aspx
솔직히 국내에서 액티브X 콘트롤 아니면 PC에 프로그램 그렇게 자주 설치할 것도 아니고 일반 사용자 계정 쓸 수 있지요. (참고로 저희 집은 아이들에게 일반 사용자 계정으로 쓰게 합니다. 게임 잘 못해서 문제지만...)
그리고 우리 나라 사용자들이 불법 복제로 인해 혹은 귀찮아서 윈도우 보안 업데이트를 안해서 그렇다는 원인도 제기되는데, 과거 조립 PC 시절도 아니고 OEM PC 시장이 성장하기도 했고 중국, 미국 보다 절대적 인구가 적은데도 왜 우리가 수위를 다투는지 궁금합니다. 적어도 영국이나 핀란드 수준은 되어야 하지 않을까요? -
쿨캣7님의 생각
2010/04/01 15:25 e/d re:
그런 생각으로 글을 쓰셨다면 다행이지만..
제가 글을 읽고 느끼기에는 모든 책임을 액티브 X 컨트롤에 두는 것 같은 느낌이 들었습니다.
취약한건 가정 PC도 마찬가지이지만 학교나 심지어 기업에서도 시스템 관리가 힘들다고 그냥 윈도우 XP SP2로 고정 시켜서 윈도우 업데이트 안되게 해두는 경우가 많다고 합니다. 요즘 같은 때에 윈도우 XP SP3도 아니고 SP2로 웹서핑 하는건 ....... TT
아.. 그리고.. 보안취약점 이용해서 공격할 경우에는 관리자 계정이라도... 소용 없는 경우가 많습니다.
제로데이 활동도 한국이 중국 다음이라는 점은... 그만큼 국내를 대상으로 한 공격이 많다는 증거가 아닐까합니다. -
channy님의 생각
2010/04/01 16:00 e/d re:
솔직히 사용자가 윈도우내 보안 기능을 사용하려고 해도 UAC 끄고, Admin 계정 쓰는게 웹 사이트 이용이 불편해서 그런 것이죠.
제가 알기로 어떤 액티브X 콘트롤은 호환성 테스트를 안해서 WinXP SP2이상에서 못쓰는 경우도 많고 심지어 보안 수준을 낮음으로 공지하는 것도 많습니다.
이 모든 현상의 원인이 액티브X 플러그인으로 공공 서비스를 제공하는 것이 일반화 된 것이 원인이지 않나 생각 합니다. PDF, 플래시, 자바, 실버라이트 이외에는 크게 설치할 것도 없다면 이렇게 까지 됐을까 싶은데요. -
땅끄르지님의 생각
2010/04/01 18:17 e/d re:
저도 OA 유지보수를 하면서 밥벌어 먹고 살지만
그 보안 전문가라는 사람들에게 묻고 싶네요...
제 경험에 의하면 "ActiveX 가 바이러스를 감염시키지는 않는다(라고 전문가들이 말한다) 하지만 감염된 PC안에는 무수히 많은 ActiveX 들이 꼬여서 오동작을 하고 있다"
물론 툴바 라든지 P2P 사이트 상에서 정체모를 프로그램들이 설치되고 삭제되고 하지요
렉이 걸리는 증상의 70%는 (중복설치된)툴바삭제,P2P 상시접속 해제, (불필요한)시작프로그램 실행중지, 악성 프로그램 삭제(정체불명의 ActiveX 설치를 포함한 가짜 백신프로그램) 만으로도 월등한 속도 향상을 보여줍니다.
ActiveX 설치를 위해 보안수준을 낮추도록 유도하고 거기에 편승해서 설치되는 애드웨어와
(광고라는건 알지만) 반드시 설치하게 하거나, 업데이트를 하면서 이른바 '협력사'라고 하면서 여기저기 잘 보이지도 않게 설치동의를 하도록 하는 광고페이지 등등....
세상에 공짜는 없다지만 그런 속임수 같은 설치 유도 프로그램들은 보는 사람을 짜증나게 하죠...
덮어놓고 설치만 하는 사용자도 물론 문제지만, 편하니까 ActiveX 에서 손을 못떼는 '전문가'들도 원인제공자 인건 맞지요..... -
쿨캣7님의 생각
2010/04/02 15:00 e/d re:
말씀하신건 이번에 기사화된 악성코드와 상관없는 다른 내용입니다.
(많은 사람들이 악성코드와 혼돈합니다.)
보안 프로그램에서 그런 프로그램을 어떻게 못하는건 악성코드와 다르게 겉으로 보기에는 합법이라는 틀안에서 이뤄지기 때문입니다. (약관 같은...) 악성코드는 아니지만 사용자들은 불편해하고 그래서 안티 스파이웨어 제품이 나왔지만 기준이 무엇인가하는 점 때문에 해당 업체와 법적 다툼까지도 갑니다. 그런데, 현행 법상 재판하면 백신 업체가 지기도 합니다. 악성코드 아니니 진단하지 말랍니다.
악성코드와는 또 다른 애드웨어/스파이웨어 문제는 법적인 문제도 걸려있습니다. -
홍길동님의 생각
2010/04/01 22:15 e/d re:
저는 보안전문가는 아니고 개발자입니다.
웹과 어플리케이션 모두 개발하지요.
물론 ActiveX도 개발을 했지요.
땅끄르지님의 말씀으로는 감염된 PC안에는 무수히 많은 ActiveX들이 꼬여서 오동작을 하고 있다고 하셨는데...
맞습니다.
하지만 제 생각엔 그 OCX들 보다 윈도우 자체나 다른 응용프로그램들이 오동작 하고 있는것이 더 많을겁니다.
단지 눈에 보이지 않을뿐이죠.
즉 오동작 하는것은 ActiveX 뿐만이 아니며 그 비율도 다른것에 비해 높다고 보지 않습니다.
물론 이것은 어떤 수치적인 근거에 기반한 것이 아니라 MSIE가 윈도우에 돌아가는 메모장이나 탐색기와 같은 프로그램들중의 하나에 지나지 않기 때문에 그렇게 추정하는 것입니다.
렉이 걸리는 증상의 70%를 해결하는 방법을 제시하셨는데 일반인들이 봤을때 제시된 방법이 모두 ActiveX와 관련있는것으로 오해할 소지가 있는것 같습니다. (저만의 생각일 수도 있습니다.)
툴바라든가 악성 프로그램들은 ActiveX와 관련있겠지만 P2P라든가 불필요한 시작프로그램들은 ActiveX와는 관련이 없는 부분이죠.
그러므로 ActiveX가 렉의 주요 원인이라고 하기엔 맞지 않는것 같습니다.
그리고 ActiveX 가 구동되는 것은 주로 인터넷을 띄울때에 비로소 구동되지 않습니까.
(물론 일부는 시작프로그램에 등록되서 윈도우 시작할때 구동되는 것도 있습니다.)
그러므로 인터넷 띄우기 전에 발생하는 렉들은 다른 문제에 기인한 것들이 아닐가 생각해 봅니다.
(렉이 걸리는 증상의 나머지 30%를 해결하는 방법은 아마도 레지스트리 청소라든가 하드에 쌓인 불필요한 파일들의 제거 정도가 아닐까 생각합니다.)
그러므로 전적으로 ActiveX 자체가 컴퓨터를 느리게 하거나 나쁜 영향을 주는 것으로 볼수는 없다라는 것입니다.
허나 그것을 사용하기 위해 필연적으로 보안수준을 떨어트리게 되기 때문에 다른 악성코드가 침투하기에 용이한 환경을 만들어 주게 된다라는 논리를 펼치시면 타당하다고 봅니다만...
(먼저 글을 적으신 분들의 내용을 보면 설명은 위와 같이 악성코드 침투가 용이한 환경을 만들어주게 되는것이 문제다라고 하시는데 그래도 주된 내용은 ActiveX 기술을 비난하는것 처럼 보이는것 같습니다.)
전문가들은 선택적으로 보안수준이나 신뢰할 수 있는 사이트를 조절함으로써 악성코드에 노출되는 것을 막을 수 있지만 일반인들에게는 기대하기 어려운게 맞죠.
그래서 덮어놓고 설치할수 밖에 없는 이용자가 많을거라고 생각합니다.
간혹 블로그나 뉴스에서 ActiveX 이야기를 하시는 분들을 보면 마치 ActiveX 자체가 악성코드의 온상인것 처럼 이야기를 펼치시는 것 같아 개발자 입장에서는 답답합니다.
덮어놓고 설치하는 OCX 들이 불필요한 광고프로그램이 될지, 웹을 돌리는데 필요한 필수 프로그램이 될지는... 오로지 그것을 개발한 개발자만이 알고 있습니다.
개발자가 어떤 코드를 넣느냐에 따라 그 OCX의 기능이 달라지는것이지 ActiveX 기술 자체만 놓고 봐서는 좋다 나쁘다를 가를 수 없는 성격의 것이죠.
하지만 편하니까... ActiveX 에서 손을 못떼는 전문가...?
ActiveX 개발하는거 결코 쉽지 않습니다.
도대체 어디서부터 ActiveX 개발하는게 쉽다는 말이 퍼졌는지 모르겠지만 오래전부터 그런 말이 떠돌았는데...
제가 ActiveX 를 개발해봐서 알지만 결코 쉬운거 아닙니다.
뭐랄까... 개발자입장에서는 좀 번거롭습니다.
허나 밥만 먹고 그것만 개발하다보니 손쉽게 만들수 있게 된다면 그건 개발자쪽이겠지만 그렇다고 해서 그것을 손쉬운 기술이라고 보는것은 아닌것 같구요.
그리고 그 개발자들이 원인제공자인게 어떻게 맞는거죠?
비약을 좀 한다고 치면...
ActiveX를 이용하기 위해 보안수준을 떨어트려 컴퓨터를 위험에 빠트리게 되므로 그 ActiveX를 만든 개발자들이 컴퓨터를 위험에 빠트리게 하는 주범이 되는겁니까?
아니면 악성코드를 만들어 배포하는 사람들이 문제입니까?
악성코드 배포자들은 어떻게 막을 방법이 없으니 차선책으로 ActiveX 를 없애서 못만들게 하자는 것?!!
그것은 구더기 무서워 장못담는것과 같은 것이 아닌가 생각합니다.
그리고 요즘 들어 느낀느거지만...
악성코드 및 웜바이러스...
ActiveX 로 인한것 보다는 VBS 로 인한것이 훨씬 더 많지 않나 생각합니다.
ActiveX 는 MSIE 베이스로 돌아가는 것이지만 VBS 는 그것이 MSIE이거나 FireFox 이거나 Safari 이거나 또는 그런 브라우져들이 전혀 동작하지 않아도 윈도우만 돌아가면 얼마든지 동작할 수도 있고 다른 네트워크로 전파될 수 있습니다.
심지어 USB 메모리만 꽂아도 감염될 수 있죠.
정작 위험한 것은 따로 있는데 일부 잘못된 견해를 가지신 분들이 유독 ActiveX 기술만 까는게 아닌가 생각합니다.
흠...
글을 쓰다보니 장문이 되어 버렸네요.
정리하자면 제 생각은 이렇습니다.
ActiveX 기술은 나쁜 기술이 아니며 다만 그것을 나쁘게 이용해먹는 일부 사업자와 정부(MSIE에서만 동작한다는 것은 독보적인 장점이 될수 있기도 하지만 호환성에 문제가 있는 단점이 되기도 하죠)의 ActiveX 기반 사업 및 인증 정책등이 나쁜것이며...
꼭 사용하지 않아도 되는 부분은 호환성 등을 위해서 다른 기술로 대체하도록 하며...
꼭 필요한 기능이라면 그것은 신뢰할 수 있는 개발업체나 사이트에서 설치하도록 하자... 이정도?
기술 자체를 없앤다는 것은 저는 반대입니다.
하지만 많은 분들이 없애자 쪽으로 흘러가는것 같네요.
쩝.
제 생각에... ActiveX 가 가진 강점을 대체할 수 있는 웹기반 기술은 없다고 봅니다.
(제가 자바쪽은 경력이 부족하여 지식에 한계가 있을수 있습니다만... 대체기술이 있다면 자바 정도? 하지만 자바머신 탑재라든가... 악성코드가 들어있을 지도 모르는 애플릿을 다운받아 설치해야 한다는 의심은 ActiveX 와 같을거라 봅니다. 아마... 애플릿 다운받을때도 보안레벨에 영향을 주어야 하죠?)
제가 과거에 흔히 만들던 ActiveX 기법으로 제작한 OCX를 가지고 예를 들면...
어떤 물류업체의 웹모듈을 만들었었는데요.
웹상에서 관리팀의 직원이 인터넷으로 주문 들어온 내역을 확인하고 오더 버튼을 누릅니다.
그 즉시 멀리 떨어져 있는 물류팀과 배송팀의 사무실에 있는 각 프린터로 물품 내역서와 택배송장이 지정된 규격에 맞게 프린트 되어 나옵니다.
즉. 웹에서 관리자가 콘트롤만 하면 멀리 떨어진 다른 사무실의 PC 자원도 제어가 가능하다는 것이죠.
이것은 과거의 실제 적용사례로서...
물론 웹이 아닌 일반 어플리케이션이었다면 정말 쉽게 구현이 가능한 것입니다만...
웹에서는 ActiveX 가 아니면 절대 구현이 되지 않을거라 봅니다.
다른 대안이 있다면 좀 덜하겠지만 다른 대안이 없다면...
이후부터는 ActiveX 가 아닌 다른 무슨 기술로 저런 시스템을 구현할 수 있을까요?
저는 요즘은 귀찮은 ActiveX 같은것으로는 웹사이트를 제작할 일이 없습니다만...
그래도 기술 자체는 좋은 것이라 생각하는 사람이라 많은 분들이 ActiveX 에 대해 다른 견해를 가지고 계신거 같아서...
제 의견을 펼쳐보았습니다.
그리고 제 생각이 틀렸거나 부족한 부분이 있을지도 모릅니다.
그런 부분이 있다면 누군가가 짚어주시면 감사하겠습니다.
그럼... -
나그네님의 생각
2010/04/02 01:05 e/d re:
초고속 인터넷이 가정에 뿌리내린 이후 사람들이 가장 많이 사용하는 응용프로그램은 웹브라우저입니다.
매우 많은 사람들이 사람들은 IE=인터넷=컴퓨터 라고 인식하고 있습니다. IE를 실행해보고 페이지가 안 뜨면 인터넷이 안 되고, 컴퓨터로 할 것이 없다고 생각합니다. 그렇기 때문에 IE에서만 작동하는 ActiveX의 영향은 다른 응용프로그램보다는 훨씬 큽니다.
저도 ActiveX 개발, 게임 개발, 일반 응용프로그램, 웹 개발 다 해봤지만 ActiveX 개발 안 쉽습니다. 아니 까다롭습니다. 그런데 그렇게 어렵게 개발하고 나서도 오직 IE에서만 동작합니다.
그리고 ActiveX라는 기술자체가 그렇게 나쁜 기술은 아니라고 생각합니다. 어쨋든 ActiceX라는 기술로 인해 컴포넌트화해서 윈도우에서는 개발툴(또는 언어)의 종속성을 와해시켰으니까요.
하지만 말씀하신것 처럼 ActiveX는 원격의 Device마저도 제어할 수 있는 강력한 기술입니다. 그것까진 좋은데 그만큼 오용하여 개발하게 되면 심각한 문제가 생길 수 있다는 것이죠. 악성코드 만들기 참 좋은 기술입니다.
channy님의 요지는 ActiveX 자체에 대한 비난이라기 보다 ActiveX의 남용으로 인해 사용자들이 PC의 보안수준을 낮추게 만들고, 문제가 있는 ActiveX 컨트롤인지 아닌지에 대한 보안 의식을 상실시켜 버리는 부분을 지적한 것으로 보입니다.
원격에서 PC자원을 제어하는 기능은 웹에서 해야하는 기능에 벗어나고 일반 데스크탑 어플리케이션에서 해야 개발자나 사용자가 편리한 부분으로 보입니다. 그런 기능을 구현하게 된 배경은 예전 저의 경험으로 비추어 볼 때 그냥 웹이 대세인거 같으니까 웹에서 웹애플리케이션을 개발하는데, 그런 기능도 필요해서 웹으로 개발한 것으로 보입니다. 만약 원격지의 PC자원제어가 꼭 필요한 부분이라면 데스크탑 어플로 개발하는 것이 맞다고 봅니다. 그게 개발자나 사용자나 둘다 좋을 것 같네요.
마지막으로 한가지 더 문제는 정책적인 부분인데.. 공공기관에서 MS라는 특정 업체의 제품에서만 작동하는 ActiveX라는 기술을 사용한다는 것이 문제라는 것이죠. 공공기관이 업체를 차별해서 되겠습니까.. (그것도 우리나라 회사도 아닌데..) -
이래저래님의 생각
2010/04/01 22:29 e/d re:
음 어느 글에서 엑티브엑스에 대한 글을 본적이 있습니다.
더불어 O/S에 대한 부분도요
세계에서 유일무일하게 유독 한국만 마이크로 소프트사의 윈도우만 고집하고(독점이죠...)뿐만 아니라 관공서든 인발 개인컴퓨터던 무조건 엑티브엑스를 강제적으로 설치하게 하고 설치를 하지 않을 시에는 사용을 할 수 없는 시스템...
솔직 문제라고 생각이 듭니다.
윈도우의 취약한점 엑티브엑스의 취약점이 드러나면 그야말로 한국은 해킹에 있어서 식탁위에 차려진 밥상이 아닐까요?
그냥 가서 숟갈만 뜨면 되는 그런 시장이 바로 한국이 아닐까 합니다.
유럽은 O/S는 개인의 권장에 따라 설치를 하고 엑티브 엑스또한 강제적이지도 안고 굳이 설치를 하지않아도 해당 홈피를 사용 할 수 있도록 되어있다고 들었습니다.
우리나라는 뭐든 미친 듯이 달려가는 버릇은 있는데 그에따른 필요성에서는 따라오지 못한다는 단점이 있지요 IT산업의 급격한 발전뒤에 숨겨진
수많은 취약점들이 아닐까여...이를 악용한 악성프로그램들이 솔직 너무 많기두 하구요 -
나그네님의 생각
2010/04/02 01:06 e/d re:
제가 ActiveX를 싫어하는 이유는 몇가지가 있는데 그 중 3가지만 나열해 보면..
1. 불편합니다. 인터넷 뱅킹하려고 설치해야 하는 ActivceX 컨트롤 이 대체 몇개인지... 게다가 가끔 걸레 컴에서는 이것 저것 충돌나서 IE 튕겨대고...
2. 전 ActivceX 컨트롤러 만들어 본 경험도 있지만 다른 프로그램에 비해서 결코 만들기 쉽다고 하기 힘듭니다. 만들기가 쉬운 것도 아니면서, IE에서만 작동 합니다. 그렇게 어렵게 만들어 놓고도 IE에서밖에 못 씁니다. 차라리 ActiveX가 필요한 부분이 있다면 그냥 일반 데스크탑 어플리케이션을 만들어서 다운 받게 하는게 낫다고 생각합니다.
3. 대한민국 웹환경에서는 ActiveX 컨트롤 설치 안 하면 못하는게 너무 많습니다다. 그래서 일반인들은 ActiveX 설치하는게 불편하면서도 설치 안 하면 자기가 하고 싶은 걸 못하니까 어쩔 수 없이 설치합니다. 그래서 ActiveX설치는 그냥 아무 생각없이 막 해댑니다. 문제 없는 컨트롤도 많지만, 문제 많은 컨트롤을 설치하겠냐고 물어도 일반인들은 그냥 무심결에 설치하는 습관이 생겨버립니다. 결국 PC가 누더기 됩니다. -
메리아님의 생각
2010/04/02 04:12 e/d re:
관리자 권한을 요구하는 웹환경이 사용자에게 귀찮음을 느끼게합니다
갈수록 보안은 중요해지는데 똥,오줌 못가리고 설치하거나 권한을 넘겨주는 사용자들만의 잘못일까요?
왜 그런 일이 오직 한국에서만 벌어지는지...
왜 정부가 마소 찾아가 액티브X 지원을 비는지...
돈일까요? 채면일까요? -
쿨캣7님의 생각
2010/04/02 15:15 e/d re:
> 과거 조립 PC 시절 보다는 OEM PC덕에 불법복제율도 낮아졌고, 무료 백신도 많아졌고, 인터넷 뱅킹 사이트 마다 보안 프로그램이 가동 되는데 왜 이런 결과가 나오는 것일까요? 다른 나라도 브로드밴드가 널리 퍼졌고 PC 사용자도 많은데 왜 그럴까요.
->
사용자들이 윈도우 업데이트 & 필수 프로그램 업데이트를 안하는 원인이 큽니다.(이부분은 잘 아실테고...)
왜 그런가에 대해서는 저는 사용자가 몰라서 혹은 귀찮아서라고 생각하고 channy 님은 액티브 X 컨트롤 때문이라고 생각하시는 것 같구요.
(이부분은 확인이 필요할 듯 합니다.)
그냥 딱 일주일 백신회사에서 일해보시라는 얘기를 해보고 싶네요.
백신 프로그램 설치되어 있어도 [치료] 버튼을 몰라서 안누르는 사용자, 윈도우 업데이트가 뭔지 모르는 사용자 아주 많습니다. (말하면 알만한 회사 사람들도 그러습니다.)
7.7 DDoS 공격 때도 몇몇 분들은 액티브 X 컨트롤 때문이라는 주장을 했죠. 나중에 배포 경로 밝혀지면서 사실이 아닌게 되었지만요.
그때도 백신업체에서는 해당 악성코드를 공격 발생 이전부터 진단했는데 공격은 줄어들지 않았죠. 사용자들이 백신이 있지만 사용하지 않았기 때문입니다. 혹은 사용해도 치료 버튼을 못 혹은 안 눌렀겠죠.
예전에 어떤 바이러스가 F-PROT로 유명한 아이슬랜드 백신회사로 바이러스에 감염되면 통보했습니다. (FTP 인가 메일인가 기억이 가물하네요.) 그래서, 해당 업체 직원이 친절하게(?) 바이러스에 감염되어 있으니 치료하라고 메일 보냈는데... 놀랍게도... 상당수가 그냥 내버려 뒀다고 합니다.
> 공인 인증 업계, 보안 업계, 포털 업계, 인트라넷 SI 업계 모두 액티브X 콘트롤 남용으로 사용자들 보안 환경을 취약하게 만든 합작품이죠.
-> 생각하시는 것 처럼 그런 문제로 국내 보안 환경이 좀 더 취약해 진것도 사실로 보입니다.
> 이런 상황을 외면하고 불법 복제나 사용자 무지 탓에 악성코드 감염이 높다고 하면 그건 현실을 애써 보고 싶지 않아서 아닐까요?
-> 말씀하신 보안 설정 낮추는게 얼마나 악성코드 감염에 영향을 주는지는 한번 조사해볼 필요가 있겠네요.
하지만, 지금 상황에서는 큰 영향을 끼치지 않을 겁니다.
시스템 자체의 취약점 공격 뿐 아니라 요즘은 사람이 가진 취약점을 이용한 공격도 증가하고 있습니다. (이슈 검색어를 이용하는 SEO 나 소셜네트워크를 이용한 방식)
가장 큰 문제는 사용자가 모르거나 실수 때문입니다.
주요 악성코드 감염 경로하고 액티브 X 컨트롤하고 직접적인 연관은 없습니다. 몇년 전에 국내 애드웨어가 액티브 X 컨트롤로 퍼졌습니다만 요즘은 액티브 X 컨트롤이 아니라 제휴 마케팅 방식입니다.
악성코드와 액티브 X 컨트롤 문제를 연관시키는 분들은 저와는 현실을 다르게 보고 있네요. -
진우님의 생각
2010/04/02 12:28 e/d re:
그럼 외국 보다 우리 나라가 더 무지해서 생기는 현상인가 보네요. 중국, 인도 보다 인구은 1/20 밖에 브라질이나 영국, 폴란드 사람들은 우리 나라 보다 보안 의식이 더 투철 한가 봅니다. 브로드밴드 보급율이나 PC 보급대수는 그 나라들도 우리 나라 못지 않을 것 같은데 말이죠...
다 그렇다 치고 대만하고만 해도 차이가 너무 나잖아요. 일본은 어디있는지... 왜 우리 나라 사용자만 무지한 건가요? -
channy님의 생각
2010/04/02 12:51 e/d re:
쿨캣님도 관련해서 글 쓰셨군요. 트랙백이나 하나 보내주시지...
http://xcoolcat7.tistory.com/686
우리 나라 PC들이 감염율이 높은 것을 사용자 무지 탓으로만 돌리기에는 한계가 있습니다. 현재 공인 인증서가 2천만장 발급됐는데 그 사람들이 인터넷 뱅킹을 쓴다고 했을 때, 실제로 전 국민 PC에 악성코드 탐지 하는 SW가 깔려 있다고 해도 과언이 아니지 않습니까.
그리고 그 플러그인 중 대다수는 최신 운영체제 및 웹 브라우저로 업데이트 하면 불편하게 동작하는 놈들이 많다는 점도 알려진 사실이구요. 솔직히 저도 집에서 비스타에서 XP로 다운그레이드했는데 그 이유였습니다.
우리 나라가 이상하리 만큼 감염율이 높은 이유에 대해 현상학적인 결론이 있는데 단순히 사용자 무지 때문이다라고 한다면 좀 과장된 결론 아닐까요? 물론 액티브X가 만든 낮은 보안 환경이 모든 원인이라는 말이 아니구요. 이로 인한 사용자 무지 혹은 무시 혹은 회피가 이유가 아닐까 싶네요. -
쿨캣7님의 생각
2010/04/02 15:21 e/d re:
진우 님 / 제 블로그에도 썼지만 사용자가 잘모르는건 다른 나라도 비슷합니다. 환경이 좋으면 다른 나라보다 적은 수로도 비슷한 공격이나 스팸메일 발송이 가능합니다. 그러다보니 국내 환경을 노리고 외국에서 공격도 심해지고 보안업데이트 다 해도 소용없는 제로데이 공격도 심해졌겠죠. 한국 사람이 특별히 무지하다는 얘기는 아닙니다. 오해 없으시길 ~ 만약 그렇다면 원인을 파악해봐야겠죠.
channy 님 / 아.. 트랙백 날리려고 했는데. 안날라가서 못달았습니다 TT 다행히 오늘은 되네요.
저는 특별히 한국 사람들이 다른 나라보다 보안에 대해 잘 모른다고는 생각 안 합니다. 다른 나라도 당하는 사람들의 상황은 비슷할 겁니다.
국내에 무료 백신 덕분에 백신 프로그램이 많이 보급된 것도 사실이지만 여전히 사용안하는 사람들도 있고 있어도 치료 버튼을 몰라 못 누르는 사람들도 많이 있습니다. (자동 치료 버튼 만들면되지 않냐고 하시지만... 예전에 McAfee에서 그런 제품냈었는데 이후 다시 사용자가 치료를 선택하도록 했더군요.)
공격에 이용되는 컴퓨터들 중 공용 시스템(학교, PC 방, 회사) 등도 많이있구요. 그런 시스템은 관리가 소홀하죠.
요즘은 컴퓨터도 좋아지고 인터넷도 빨라지면서 몇백 대 - 몇 천대만 장악하면 악성코드 제작자들은 돈 꽤 벌수 있습니다.
사용자들이 보안의식이 낮은 원인에 대해서는 한번 조사해볼 필요가 있어 보입니다.
보안과 관련해서 어떻게 하는지 모른다 혹은 귀찮아서안한다가 더 크다고 생각됩니다만 어쩌면 말씀하신 것 처럼 액티브 X 컨트롤 때문일지도... ^^ -
쿨캣7님의 생각
2010/04/02 15:56 e/d re:
예전에 국내인지 해외인지 윈도우 사용 현황을 본적이 있습니다. 막상 검색해도 많이 나오지 않네요. 제 기억에는 여전히 윈도우 XP SP2, XP SP3 사용자가 많더군요.
보안 뉴스(http://www.boannews.com/media/view.asp?idx=19765&kind=1)를 참조하면 '국내 인터넷 이용자 3천6백만여 명 중 90% 이상이 운영체제(OS)로 MS 윈도우를 사용하고 있는 가운데 윈도우 사용자중 20%인 700만여 명이 불법 윈도우 제품을 사용하고 있다고 추론되고 있다.'
(이 자료도 정확한건 아니겠죠.)
700만명이라고 가정해도 윈도우 업데이트 안되는 시스템을 절반이라고 가정해도 350만대 입니다. 7.7 DDoS 공격에 사용된 컴퓨터가 몇 십만대 수준입니다. 국내 환경 생각하면 이중 100만대만 감염되어도 엄청난 공격에 동원될 수 있습니다.
그외 IE 6 퇴출 운동도 잘알려져 있죠.
http://www.zdnet.co.kr/ArticleView.asp?artice_id=20090806175535
2009년 기사지만 한국 기준도 아니고(!) 외국기준으로 인터넷 익스플로러 6.0 사용자가 27%라고 합니다. (국내는 얼마인지 모르겠네요.)
윈도우 XP SP3(SP2도 포함되는 모르겠지만)를 설치하고업데이트 안하면 IE 6를 사용하죠. 업데이트 안했다는 겁니다.
이 사람들이 윈도우 업데이트 안하는 이유는 무엇일까요 ?!
제가보기에는 액티브 X 컨트롤을 사용하기 위해서가 아니라(미국에도 27% 사용자가...) 윈도우 업데이트를 모르거나 필요성을 못 느끼거나 귀찮아서 ... 그것도 아니라면 정품이 아니라서가 아닐까 싶네요.
이런 문제는 윈도우 7으로 점점 변하고 있으니.. 윈도우 XP 사용자가 줄어들면 자연스럽게 해결될 수 있을 듯 합니다.
(물론 악성코드 제작자들은 윈도우 비스타, 윈도우 7을 목표로 악성코드를 제작하고 배포하겠지만요.)
혹시 오해하실까봐.... 액티브 X 컨트롤을 사용하기 위해 보안설정을 낮추는 문제는 분명이 잘못된게 맞습니다. -
지수아빠님의 생각
2010/04/03 13:34 e/d re:
한국인이 외국인에 비해 보안의식이 나빠 저 정도의 커다란 차이를 냈다고 볼 수는 없다고 봅니다. 그럼 진짜 원인이 뭘까요? 저는 그 중심에 ActiveX 가 있다고 생각합니다. 어떤 분들은 ActiveX가 좋은 기술이니 나쁜 기술이니 말씀을 하시는데, 여기서 기술의 수준은 중요하지 않습니다.
그것보다 중요한 것은
1) 보안이라는 목적을 달성하는데 있어서 얼마나 적합한 방법인지,
2) 얼마나 국제 표준 (de facto 포함)을 준수하느냐로 봅니다.
한국은 분명 ActiveX를 가장 많이 만들어 쓰는 나라입니다. 그것을 발명한 MS 마저 사용하기 꺼리는 그것을 유독 우리는 그것을 많이 사용하고 있습니다.
대체 왜 이렇게 되었을 까요?
그런 결과를 낳은 이유를 저는 한국의 IT 강국 지향 정책과 맞물려 있다고 봅니다. 보안에 대한 체계가 잡혀 있지 않을 무렵 IT 분야의 흐름은 Server-Client 패러다임에서 클라이언트 프로그램 관리가 어려워지자 그 해법을 Web에서 찾으려 했습니다.
IT 기술자들에게는 기존 Client 프로그램의 기능을 고스란히 브라우저에서 사용 할 수 있는 방법이 필요했습니다. 당시 그것을 충족시켜줄 최선의 방법은 바로 MS의 OCX (ActiveX) 였던 겁니다. 그렇게 우리에게 익숙해진 ActiveX는 그것의 문제점이 충분히 지적되고 그것보다 편하거나 강력하지는 않지만 충분한 대안이 있는 현시점 에서도 문제의 심각성을 직시하기 보다는 우선 편하고 익숙한 ActiveX를 계속해서 사용하고 있는 것입니다.
한국의 이런 현실상, 사용자가 특정 사이트를 이용하기 위해서는 ActiveX를 설치하지 않고서는 이용하는 것 자체가 안되기 때문에 그것의 안전성에 대한 검토보다 통상 그 기능에 대한 욕구가 우선인 상황에서 제대로 평가하지 못하고 습관적으로 설치해버리기 쉽습니다.
다른 분의 말씀처럼 아예 사이트에서 보안등급을 낮춰달라는 직접적인 요청까지 있는 상황입니다. 더욱 심각한 것은 그런 사이트가 알도 못하는 이상한 사이트가 아니라, 업무적 사용하지 않을 수 없는 제법 중요한 사이트마저도 그런 요청을 하고 있다는 것입니다.
악의를 가지고 제작한 ActiveX의 유포 가능성도 문제지만 인증되지 않은 ActiveX를 설치하기 위해 낮춰진 보안레벨을 틈타 갖가지 악성코드가 침입하고 있는 것이 사실 입니다.
여기서 ActiveX를 기술적으로 세세한 차이까지도 정확히 알고 계시는 개발자 분들 정말 훌륭하십니다 만, 이 자리에선 기술적으로 더 알고 모르고 보다는 ActiveX가 가져온 직간접적인 영향을 따져보고 문제의 핵심이 무엇인지를 파악하는 관점에서 접근해야 할 것 입니다.
또, 많은 분들이 애초에 누가 ActiveX 방식을 사용하기로 결정했느냐를 묻곤 합니다만, 누가 결정했는지도 중요하지만, 그렇게 결정하도록 기초논리를 제공한 기술자들도 책임을 공감해야 한다고 봅니다.
요 근래 ActiveX를 사용할 수 없는 스마트폰이 급속히 퍼지면서 국내 웹사이트에서 남용했던 ActiveX의 문제점이 새삼 피부로 와 닿고 있습니다. ActiveX를 포함해서 글로벌 흐름에 발맞추지 못하고 우리만의 방식을 고집하는 상황을 자주 목격하고 있습니다. 직도 인터넷 뱅킹에 공인인증서를 이용해야만 한다고 주장하는 일부의 목소리도 우리의 현실도 답답하기만 합니다. 이런 행동들은 분명 국제사회에서 스스로 소외 당하고자 하는 어리석은 행동임에 분명합니다.
어느 분의 표현을 빌자면 우리 스스로가 “정보의 갈라파고스 섬”이 되도록 자초하는 우를 범하고 있는 것입니다.
이런 현상은 IT 최강국 이었기 때문에 맞은, 1등들이 곧 잘하는 실수이자 딜레마 입니다.
그러나 이제부터 라도 우리의 문제를 정확히 이해 하고 대처 한다면, 다음 시대에도 IT 강국의 신화는 계속될 수 있습니다.
하지만, 우리가 처한 이런 상황을 이해하면서도 대승적이기 보단, 자신들의 이익을 옹호하기 위한, 개인적/집단적 이기주의는 그럴듯한 억지논리를 내세워 국민의 판단을 흐리게 하고 결국 국가의 미래를 암울하게 할 뿐입니다. -
박준석님의 생각
2010/04/06 11:19 e/d re:
포털사이트에서 이용자가 보게 되는 스팸들은 99%가 PC감염에 의해서 발생한다고 보시면 됩니다.
좀비PC가 되어 직접 공격하거나, 개인정보/계정정보를 유출당해서 남용되는 두 가지 유형이 가장 많습니다.
스팸메일, 광고댓글 등은 모두 이러한 방식으로 작성됩니다. 그래서 정작 진범이 스패머는 잡을 수 없고 정상적인 이용자만 불편을 겪고 있습니다.
게다가 최근에는 개인정보/계정정보 도용으로 온라인 상에 갖고 있는 재물까지 도난당하는 사례가 있습니다.
실로 PC감염에 의한 개인정보 유출이 심각한 문제가 아닐 수 없습니다.
해외 사이트처럼 사이트 내에 신용카드 번호를 저장하는 식으로 국내 사이트가 운영되면 엄청난 문제가 발생할 겁니다.
그렇다고 구더기 무서워 장 담그지 말자는 게 아니라 국가적인 차원에서 PC보안에 대한 국민 의식을 개선하는 운동, 그리고 channy님 말씀대로 ActiveX 등을 줄이는 것 등의 노력이 필요해 보입니다. -
샤님의 생각
2010/04/20 02:35 e/d re:
우리나라가 악성코드 생산 1위인 이유는 생각보다 단순합니다.
악성코드를 만드는 사람들이 많기 때문이지요.
왜 많을까요?
다른나라에 비해 돈이 되기 때문입니다. 인터넷 쓰는 사람이 많으니 악성코드로 광고를 해도 돈이 되고, 개인정보를 빼내도 돈이 되고....
activex가 없었으면 우리나라가 1위가 안되었을것 같나요? 절대 아닐걸요
예를들어, 우리나라가 세계에서 자살율이 매우 높은것이, 수면제를 구하기 쉬워서일까요, 다리가 많아서 뛰어내리기 좋아서 일까요?
원인을 도구에서 찾지말고, 사람들의 이해관계같은 보다 근본적인 곳에서 찾아보시기 바랍니다.
나무가 아니라 숲을 보세요.
이 블로그의 주요 관심사는 
쿨캣의 블로그 놀이 2010/04/02 14:22 e
* 우리나라가 악성코드 생산 1위 ?! 우리나라가 세계에서 가장 큰 악성코드 생산지라는 기사가 나왔습니다. - Korea becomes world's biggest malware producer http://www.net-security.org/malware_news.php?id=1280 정확하게 보면 악성코드 생산자(producer) 1위라는건 사실이 아닙니다. 기사를 보면 집계 방식은 스팸, 피싱 발송을 추적해 국가별 통계를 낸 것으로 보입니다...