이 블로그에서 가끔 액티브X 콘트롤의 남용에 따른 국내 PC 보안의 현실에 대한 주제를 가끔 다뤄 왔다.
글을 쓸 때마다 받는 대응은 다음과 같다. 1) 악성 코드는 액티브X 콘트롤에 의해 감염되는 것이 아니다. 2) 사용자가 윈도 혹은 취약점 SW 업데이트를 못하거나 안해서 그렇다. 3) 불법 복제 SW가 많아서다. 4) 왜 액티브X 탓을 하느냐? 프로그램 배포 수단일 뿐 PC 보안과 아무 관계도 없다.
그래서 왜 액티브X 콘트롤 남용이 국내 PC 보안에 영향을 주는지 사회적 측면에서 좀 더 심층적으로 다뤄 보고자 한다. 우선 몇 가지 팩트 부터 살펴 보자.
1. 한국의 PC 보안의 현실과 원인
개인 PC 관련 보안 보고서가 나올때 마다 우리 나라는 상위권에 랭크 된다. 얼마 전 악성코드 유포 1위 기사 뿐만 아니라, 또 다른 통계들에서도 수위를 다투고 있다.
그 이유에 대해서는 대부분의 보안 전문가들은 우리 나라 사용자들이 취약점이 많은 윈도우를 많이 쓰고, 사용자들이 (무지 혹은 귀찮아서) 보안 업데이트를 잘 안하고, 한번 감염되면 빠르게 퍼지는 초고속 인터넷 환경에 노출되어 있기 때문이라고 한다.
아래 표는 Microsoft가 2009년 상반기 자사 보안 솔루션으로 치료 받은 PC 감염숫자를 기반으로 만든 정보 보안 보고서를 기반한 것이다. 전문가들 말대로 보안
공격이 높은 국가들의 대체적인 특징 중 복제에 따른 사회적 비용(PC 시장 규모 따른 손실)은 확실히 높다. 또한, 초고속 인터넷
가입자수도 많다.
그런데, 한국의 불법 복제 규모는 다른 나라보다 현저히 낮다. 초고속 인터넷 사용자 숫자가 더 많은 프랑스나 영국, 독일에 비해서 오히려 감염 숫자는 비슷해 상관 관계가 있다고 볼 수 없다. 결국, 감염 숫자가 높은 이유는 바로 윈도우 사용자 수 혹은 IE6 사용자수가 여전히 높은데 있다고 볼 수 있다.
이런 현상은 중국이나 터키와도 매우 비슷하다. (특이한 것은 브라질이나 스페인의 경우인데 이것은 나중에 한번 다뤄 보도록 하겠다.)
아래 표는 같은 보고서의 PC 감염 상위 주요 국가별로 이루어지는 공격 형태를 표시한 것으로 지역별로 큰 차이가 있다는 것을 알 수 있다.
우선 미국, 영국, 프랑스, 이태리, 스페인의 경우 다양한 트로이 목마가 수위를 차지한다. 보고서에 따르면 이 중 가장 많은 것이 가짜 백신 즉 무료 스캐닝을 한 후에 치료 시 돈을 요구 하는 것들이다. 우리 나라에는 아주 합법적인 장사(?)를 하는 것을 외국에서는 트로이 프로그램으로 파악하고 있다는 것이 흥미롭다.
이에 비해 우리 나라, 브라질, 스페인은 윔 바이러스 피해가 매우 크다. 특히 중국은 검색 조작을 하는 툴바 및 암호 절취, 스페인은 은행 암호 취득을 하는 악성 코드 피해가 특히 높다. 우리 나라에는 암호 절취 뿐만 아니라 외국에는 거의 없는 바이러스 피해도 적지 않다. 피해 규모는 선진국이 많거나 비슷해 보여도 스팸메일 발송, 개인 정보 절취, 운영체제 감염 등 우리 나라는 직접적인 손실이 매우 크다.
이러한 통계 패턴은 같은 보고서의 2008년 자료에서도 거의 대등 소이하다. 우리 나라 PC 감염은 웜바이러스, 암호 절취, 바이러스 등 다방면으로 이루어지고 있다고 봐야 한다.
2. PC 사용 방법의 차이점
왜 우리 나라와 유럽 선진국들과 완전히 다른 차이를 보이는 것일까? 우리 나라 사람들은 게을러 보안 업데이트를 안하고 그 나라 사람들을 철저히 하기 때문일가.
그 이유는 해외 선진국 PC 사용자 대부분이 비 관리자 계정을 이용하도록 운용하면서 최신 운영 체제와 웹 브라우저를 선택할 수 있기 때문이다.
내가 해외에 출장 혹은 체류 했던 경험에 의하면, 학교, 회사, 호텔 등 공용 컴퓨터 시설에서 관리자 계정(Admin)을 준 공용 PC는 거의 없었다. 아마 외국에 계신 분이나 생활하신 분들은 아실 것이다. 지난번 홍콩 과기대에 한달 동안 있으면서 학교 PC에는 각종 오픈 소스 SW랑 유료 SW가 함께 깔려 있어서 일반 사용자 계정으로 사용하는데 아무 지장이 없었다.
그러나, 우리 나라로 오면 사정은 180도 달라진다. 모든 PC 사용자들이 관리자 권한을 득해야 한다. 사용자들이 무슨 대단한 SW 깔아서 쓰는 해커라서 그렇기 보다는 웹 서핑에서 액티브X 콘트롤로 만든 플러그인이 너무 많기 때문이다. 도저히 불편해서 일반 사용자 계정은 못 쓰는 것이다.
뱅킹이나 증권 거래시 공인 인증, 보안 프로그램 부터 쇼핑몰의 카드 결제 플러그인, 게임 사이트의 게임 론쳐, 포털 사이트의 플러그인 심지어 학교 수강 신청, 회사 인트라넷 까지 수 많은 액티브X 콘트롤을 위해서는 관리자 계정이 필수적이다.
웜이나 바이러스의 경우, 관리자 계정만 접근 가능한 시스템 공용 폴더에 악성 코드를 삽입하고 취약점을 가진 외부 관리자 계정을 공격한다. 회사나 학교에서 나눠 주는 PC들도 다들 관리자 계정으로 쓰니까 보안팀의 경우, 사내나 교내에 웜바이러스가 돌면 완전 비상이 된다.
이런 위험성 때문에 윈도우 비스타의 경우, UAC를 도입해 관리자 계정 권한을 제한하고 윈도우 7에 관리자 계정을 기본으로 사용하지 못한다.
그러나, 우리는 어떤가? 결국 윈도 비스타 UAC를 끄거나 XP로 다운그레이드 하고 윈도7에서 관리자 계정 활성화 시키는 방법이 팁으로 블로그에 지식인에 넘쳐난다. 최신 윈도 운영 체제의 보안은 더 발전하는데 사용자들 발목을 잡는건 따로 있다.
인터넷 익스플로러도 7,8,9 업데이트 할 때 마다 문제가 걸리고 있지만 어떻게든 꼼수로 해결하고 있고 그나마 파이어폭스, 사파리, 오페라 같은 다른 웹 브라우저는 선택할 수도 없다. 결국 액티브X 콘트롤 오용이 우리 나라 PC 보안 환경에 직접적인 영향을 주면서 사회적 보안 비용을 계속해서 증가시키고 있는 것이다.
3. 해결이 가능할 것인가?
물론, 보안과 편의성은 상반 관계(trade-off)에 있으니까 이들 액티브X 플러그인의 의해 사용자 편의성이 높아진 것은 사실이다. 하지만 뜯어 놓고 보면 이 많은 플러그인이 왜 생겼나 한번 고민해 볼 필요가 있다.
국가 계획하에서 만들어진 공인 인증와 금융 결제 체계, 이를 보호하려면 보안 프로그램이 첫 매듭을 만들었다. 그 매듭에 전자 정부, 포털과 게임 업체, 학교와 회사의 인트라넷이 꼬리에 꼬리를 물었다.
우리는 그 매듭을 풀수 있다. 포털에서 2000년대 중반 지도 서비스에서 사용하던 액티브X 콘트롤은 현재 완전히 자취를 감췄다. 모두 Ajax 기반으로 변경 되었고, 몇몇 관공서의 GIS 사이트에 가야만 가끔 볼 수 있다. 요즘 포털 사이트의 경우 액티브X 콘트롤을 쓰는 경우 대부분 타 웹 브라우저나 운영 체제에서도 선택 가능한 방법을 제시하고 있다.
최근 논의가 되는 공인 인증 체계와 그 보안에 대한 방법도 선택 가능한 기술을 내 놓고 경쟁함으로서 사용자들이 편의성과 선택권, 보안의 균형을 잘 맞출 수 있도록 시장이 움직어야 한다.
물론 사용자의 개별 보안 의식을 올리는 것 물론 중요하다. 윈도우즈 업데이트를 잘 하고, 취약점 발표날때 마다 챙겨서 프로그램 업데이트 해주고, 백신 깔아서 주기적으로 체크하도록 해야 한다.
하지만, 그런 교과서적인 방법 말고도 사회 전반의 보안 비용을 낮추는 것도 매우 중요하며, 최신 운영 체제와 웹 브라우저의 보편적 보안 서비스를 선택할 수 있도록 하는 것은 무엇 보다 중요하다.
현재 PC/모바일/단말 운영 체제와 웹 브라우저의 변화는 우리가 걸어온 길과 정반대로 가고 있다. 기존의 레거시를 유지하면서 그 길을 따라 갈 수는 없다. 하나씩 하나씩 없애야만 가능하다. 정부와 보안 업계에서도 이 문제에 대한 대안을 제시해야 한다. 자신들의 레거시를 유지하면서 전 국민을 취약한 보안 환경으로 내 몰고 있으면서 사용자 탓만 해서는 안될 것이다.
앞으로 액티브X 남용과 사회적 비용 (2)에서는 브라질의 경우를 사례로 들어 우리의 현실과 비교해 보고자 한다.
※ Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. 본 채널은 광고를 비롯 어떠한 수익도 창출하지 않습니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on checking facts for your investments and prohibit your citations as commercial content or news sources. This channel does not monetize via any advertising.)
추천 백만번 하고 싶으나 어쩔수 없어서 한번만 하고 갑니다. 좋은 글 잘 읽고 갑니다.
시간 있을 때 다시 읽겠습니다. 글 쓰시느라 고생하셨습니다.
좋은 지식 얻고 갑니다.
제 생각입니다 액티브 X문제의 해결은 기업에서 자의적으로 하기는 불가능하고 정부에서 강압적으로 해결해야 해결이 가능 할거라 생각합니다. 하지만 정부의 IT에 대한 무지 때문에 힘들것으로 보이고 또한 엑티브 엑스에 관련된 여러가지 복잡한 것들을 생각 하다보면 해결하는데 시간도 오래걸리고 아주 어려울것으로 생각합니다.
악성코드 문제를 active x와 굳이 연관시키려는 건 알겠는데 그래서 1) 악성 코드는 액티브X 콘트롤에 의해 감염되는 것이 아니다. 2) 사용자가 윈도 혹은 취약점 SW 업데이트를 못하거나 안해서 그렇다. 3) 불법 복제 SW가 많아서다. 4) 왜 액티브X 탓을 하느냐? 프로그램 배포 수단일 뿐 PC 보안과 아무 관계도 없다에 대한 명확한 입장은 무엇입니까?
하핫… 글 내용에 다 있는 듯 한데….
일단 1번은 거의 정확한 팩트죠. (하지만 일부 악성코드가 activex로 배포되는 것도 있으니 직접적은 아니지만 간접적 원인인 됩니다.) 2)번도 당연히 팩트입니다. 근데 우리 나라가 유독 그런건 아니고 다른 나라도 사용자들 행태를 유사합니다. 3)번은 이의가 좀 있는데 위의 통계치를 보면 다른 나라에 비해 불법복제 규모는 작은데 감염율은 높습니다. 그만큼 PC 숫자는 작아도 감염이 쉬워 공격 효율(ROI)이 높다는 반증이겠죠. 4) 이것 또한 팩트 입니다. 플러그인 배포 기술이야 가치 중립적이죠. 단지 취약점이 많아 보안에 안좋기 때문에 계속 걷어내는 트렌드입니다.
자! 네 가지가 모두 팩트면 이제 액티브x와 보안 환경은 관계가 없을까요? 전혀 그렇지 않습니다. 한국에서는 정말 많은 액티브X 플러그인으로 둘러쌓여 있고 이로 인해 운영 체제 및 웹 브라우저 선택권이 제한 받고, 악성 코드를 막을 운영 체제가 제공하는 보안 기능를 선택할 수 없죠. (그걸 선택하려면 엄청난 불편을 감수해야 합니다. 그걸 저는 사회적 비용이라 불렀습니다.)
그럼 이걸 가능하게 하면 악성 코드 감염이 줄까요? 적어도 통계를 보면 절대적인 감염 규모가 경제 규모에 맞게 줄어들것이고, 웜이나 바이러스 수준의 심각한 악성 코드는 서유럽 국가 즉, 프랑스나 이태리, 독일 수준(대개 애드웨어들)으로 줄어들겠지요. 특히, 사용자 보안 의식이 향상된다는 것이 부수적인 효과입니다.
말장난 같지만 그걸 교정하는데 드는 사회적 비용은요? 뱅킹 사고가 엄청 많이 일어날 수도 있고, 까놓고 OTP 교체하는데도 돈이 들죠. 플러그인 재개발도.. 등등.
지금이 딱 구더기 무서워 장 못담그는 격인데요. 저는 해결 의지만 있다면 연착륙이 가능하다고 믿는 사람입니다. 다들 애써 외면하면하고 있는 상황인데, 연착륙하면서 보안 수준도 높히고 사용자 편의성도 향상 가능하다고 봅니다.
뱅킹에 적용도 비IE 사용자를 위주로 조금씩 규모를 넓혀 가고, OTP나 HSM 같은 걸 선택하게 하면 기존에 보안 산업 확대에도 도움이 됩니다. 지금은 은행이 보안 SW를 웹 사이트 접속시에만 제공하고 있지만, 일반 사용자 대상으로 저렴한 공동 구매 같은 것도 가능하지 않겠습니까.
IT기술에 밝은 우리 나라 40만명 정도 되는 비IE 사용자들 부터 조금씩 진행해 나가면 언젠가 모든 국민이 혜택 받는 날이 오겠죠.
secunia님 activex 개발자인가요? 왜 열폭을…;;
activex로 도배가 된 웹환경을(그래서 보안문제 뿐 아니라 별별 문제가 다 생기는 상황을) 사회적 비용이 든다고 그냥 내버려 두자는 생각이 참 아스트랄 하네요.
MS : activex 사용을 줄여나가겠다.
한국정부 : 지금은 곤란하다. 기다려 달라
지금 이꼴인데…무슨 사회적 비용 타령합니까. activex로 인해서 사회적 비용이 계속 증가하는건 안보이는지…-_-;
요즘 재밌게 잘 읽고 있습니다. 근데 저 통계를 보면 왜 미국에 저렇게 감염 PC가 많은 걸까요? 중국이 훨씬 높을 것 같은데 그렇지도 않고…
MSE 다운받아 사용하는 사람들의 샘플 문제인것 같은데 아무래도 미국 사람이 많겠지요. 중국 사람들 감염 많을 것 같은데 개발도상국이니 보안 의식이 낮아 아예 설치를 안했을 것 같구요. 다른 서유럽 국가나 우리나라는 그닥 차이는 없는듯…
저는 최적화라는 이름으로 윈도우즈 업데이트를 끄라는 그런 블로그를 여러번 봤었습니다. ㅎㅎ
흥미로운 글이네요. 액티브 X 컨트롤 때문에 사용자 그룹에 제약이 있을꺼라고는 미처 생각하지 못했네요. 저도 관리자 권한으로 시스템을 사용하는데 꼭 액티브 X 컨트롤 뿐 아니라 습관적인 부분과 프로그램 호환성 때문입니다. 윈도우는 관리자 권한이 필요한 프로그램이 많습니다. 또, 외국에서 공용 시스템말고 일반 사용자들은 얼마나 계정을 분리해서 사용하는지 자료가 있는지요 ? 국내와 한번 비교해 보고 싶네요. (개인적으로는 그정도 보안의식이 있는 사용자가 얼마나 될지…)
제 테스트 시스템에서 사용자 그룹으로 계정하나 만들어 몇가지 악성코드 테스트해봤습니다. 다운로더를 통한 허위 보안 프로그램은 잘 작동했고 오토론 웜과 팔레보(Palevo) 웜은 실행되지 않네요.
기회되면 일반 사용자 권한으로 감염 비율이 높은 악성코드에 대해서 실행 테스트를 한번 해보겠습니다. 만약 일반 사용자 권한에서도 이들 웜이 잘 동작한다면 윈도우에서는 사용자 권한이 악성코드 예방에 큰 도움이 되지 않는다고 할 수 있겠죠. 그렇게되면 액티브 X 컨트롤 때문에 관리자 권한을 사용한다고해도 직간접적으로 국내 악성코드 감염 비율에 큰 영향을 끼치지 않았다고 증명될 듯 합니다.
만약 사용자 권한이 악성코드 예방에 많은 도움이 된다면 저부터 관리자 권한을 필요로하는 액티브 X 컨트롤 사용을 줄여야 한다고 해야겠네요 ^^….
결과나오면 알려드리겠습니다.
ps.
외국에서도 일반 사용자들이 관리자와 사용자 권한을 잘 구분하지는 않을 듯 합니다. 악성코드 대부분은 관리자 권한에서 실행된다는 가정하에 돌아가니까요. 물론 사용자 권한이라고해도 몇몇 폴더와 특정 레지스트리 접근 제한 정도인데… 충분히 피해나갈 수 있는데 그렇게 안한다는건… 많은 사람들이 관리자 권한으로 시스템을 이용할 듯 싶네요. (통계자료가 없으니 그냥 추정치…)
그리고, 요즘 많이 사용되는 웹브라우저, PDF, SWF 파일 취약점도 사용자 권한에서 한번 테스트해보겠습니다. 이들 취약점이 사용자 권한에도 먹힌다면 보안업데이트 안하고 사용자 권한으로 인터넷 접속하는 것도 위험하겠죠.
해외의 학교, 기업, 인터넷 카페등의 공용 PC들은 대부분 일반 사용자 계정으로 관리하는 것으로 알고 있습니다. (따로 통계는 없지만 학교에는 대부분 그런 관리 정책이 있더군요. ActiveDirectory 많이 쓰더군요.) 저도 집에서는 아이들 계정은 일반 사용자 계정으로 만들어줬습니다. (필요한게 있으면 제가 깔아주죠.)
외국에서는 맥이나 리눅스 같은 일반 계정 데스크톱도 많아서 윈도우 일반 계정으로 적어도 웹 서핑과 문서 작성 정도에서 어려움을 발생하지 않을 것 같습니다. (관리자가 지정해 주면 대부분 SW가 일반 계정에서도 실행이 되니까요.)
따라서 윈도우 시스템 폴더를 건드리는 루트킷 웜이나 바이러스에 대한 일반적인 대응에는 효과적일 것입니다. 하지만 일반 사용자들로 컴퓨터를 쓰는게 힘들기도 하고 이 또한 모든 악성 코드에 다 안전한 건 아닌 것은 분명합니다.
http://www.prevx.com/blog/83/Is-Limited-User-Account-enough-Not-really.html
제가 말하고 싶은 것은 전반적인 보안 업그레이드를 위해서는 사용자 교육이나 업데이트 만큼이나 최신 운영체제나 웹 브라우저를 써야 하는데 어떤 요인에 의해 그 선택을 제한되면 그 만큼 보안에 써야될 비용이 증가할 것이라는 말입니다.
p.s. 위의 통계를 보시면 한국, 스페인은 Win32/Virut나 Win32/Parite 같은 루트킷이 많고 그렇지 않는 서구 국가에서는 Win32/FakeXPA 같은 트로이잔이 많습니다. 악성코드야 구분을 안하겠지만 감염 형태 비율은 확실히 차이가 나지요.
외국의 공공 컴퓨터는 바람직한 현상이네요. 적어도 공공 컴퓨터는 국내보다 안전하겠네요.
사용자 권한은 한번 저도 사용해보고 얼마나 불편한지 확인해 보겠습니다. (프로그램이든 인터넷 이든…)
말씀하신 것 처럼 사용자 권한이 악성코드 예방에 조금이라도 도움을 주고 있는데 인터넷이나 문서 작업만 하는 사용자라면 관리자 권한이 필요한 액티브X는 정말 문제겠네요.
그리고, Win32/Virut나 Win32/Parite는 루트킷이 아니라 파일을 감염시키는 바이러스입니다. 사용자 권한에서 문제가 있는지는 테스트 해봐야겠지만… 파일 검사&변조 수준이면 사용자 권한에서도 가능합니다.
Win32/FakeXPA는 허위보안 프로그램입니다. 허위 보안 프로그램의 경우 아직까지 지역성(언어)에 영향을 많이 받습니다. 프로그램이 영어로 나오고 신용카드가 필요하니 낚이는 사람도 적을 겁니다. 그래서, 국내 사용자를 주목표로 하지도 않고있구요. 다만, 이제 이들도 한국 사용자를 좀 더 낚으려고 한글화된(번역기 돌렸지만) 해외 허위보안 프로그램이 나왔습니다. 더 관심을 가지면 휴대폰 결제도 가능하게 하겠죠.
대신 국내에는 국내 환경에 맞는 국산(…) 허위 보안 프로그램이 많이 배포되고 있죠. 이들 프로그램이 과거 액티브X 컨트롤을 통해 배포되었지만 방통위 등에서 스파이웨어 규제안을 마련하면서 이들 업체는 합법을 위해 제휴프로그램이라는 이름으로 번들로 설치되고 있습니다. (가끔 취약점을 이용해서 배포하기도 합니다….)
회사나 은행 엑티브엑스 설치해야 되기 때문에~ (1) 내 피씨가 아닌 경우 빌려 쓸 수가 없습니다. 웹 브라우징 하는데도 관리자용으로 설치해야 될 프로그램! 엑티브 액스가 있습니다. (2) 이렇게 실행하기 위해서, 신뢰하는 URL에 넣거나, 보안을 낮추어야 하는데, 결과적으로 나쁜 넘들에게도 담벼락을 낮추고 있습니다. 은행에서 보내주는 이메일 등은 내용보기가 어렵고 귀찮아서 포기 했는데, 다른 분들은 어떻게 보는지 궁금합니다. 암튼, 웹브라우저가 최소한 운영체제에 얽매이는 프로그램을 갖고 노는 일은 없어야 할 것입니다. 요게 엑티브 엑스의 문제점이라 생각합니다.
제가 샘플 테스트할 필요는 없겠네요.
관리자 권한을 사용하지 않는다면 상당수 취약점을 막을 수 있다는 분석 결과입니다.(악성코드가 아니라 취약점 공격입니다만… 악성코드 배포 경로 중 상당수가 취약점 공격이니…)
– Eliminate two thirds of comp security risk!
http://sunbeltblog.blogspot.com/2010/04/eliminate-two-thirds-of-comp-security.html
http://www.beyondtrust.com/downloads/whitepapers/documents/wp039_BeyondTrust_2009_Microsoft_Vulnerability_Analysis.pdf
물론 그외 악성코드 감염 경로는 다양합니다만 관리자 권한만 피해도 절반 이상의 악성코드를 예방할 수 있습니다. (악성코드 자체도 관리자 권한이라고 생각하고 동작하는 녀석들이 많으니 더더욱 안전!)
악성코드 예방을 위해서는 최신 윈도우 업데이트 적용하고 유저 권한에서 사용하라고 권해야하는데 ‘관리자 권한이 필요한 프로그램’ (관리자 권한이 필요한 액티브 X 컨트롤 포함) 때문에 쉽지 않을 겁니다.
한편으로 다르게 생각되는건 많은 사용자들이 관리자 권한으로 시스템을 사용하기 때문에 프로그램들이 너무 쉽게 관리자 권한을 요구하는게 아닐까 싶네요. (이건 완전 닭이 먼져냐 알이 먼저냐 같은…)
덮어놓고 국내 악성코드 피해가 높은 원인이 액티브 X 컨트롤 때문이다라고 하는 것보다 아래와 같이 얘기하는게 어떨까 싶네요.
“보안을 위해 사용자 권한으로 시스템을 사용하고 싶어도 관리자 권한을 요구하는 프로그램이 많아 관리자로 사용되는게 현실이다. 관리자 권한을 요구하는 프로그램 중 액티브 X 컨트롤도 있다. 따라서 과도하게 관리자 권한을 요구하는 프로그램과 액티브 X 컨트롤은 줄어들어야 한다.”로 얘기되는게 좋을 듯 합니다.
하지만, 이것도 윈도우 업데이트 꼬박꼬박하고 보안에 대해 아는 사용자나 생각할 듯 합니다. (보안에도 부익부 빈익빈이 ?!)
좋은 자료 감사합니다. 현재 시점에서는 모든 사용자가 ‘일반 사용자 권한’으로 사용하는 것은 horrible한 상황이기 때문에 연착륙이 필요할 것입니다.
제 의견은 우선 현실적으로 가장 큰 문제인 은행 결제 및 카드에 대해 비 IE 사용자를 대상으로 SSL+OTP로 소액 결제 부터 비 ActiveX 방식으로 제공을 시작하는 연착륙을 하자는 것이구요. 일정 시간 후 일반 사용자 권한을 가진 IE 사용자에게 서비스를 제공했으면 하는 생각입니다. 편리성과 보안이 담보되는 선택권이 생기면 다른 플러그인 오용도 자연스럽게 풀리지 않을까 싶네요.
네, channy 님 생각 잘 이해합니다.
저 역시 액티브 X 컨트롤이 좋다라는게 아닌걸 이해해 주시기 바랍니다. 국내 악성코드 피해가 높은 원인은 다양할텐데 (혹은 그런 조사도 없이) 무조건 액티브 X 컨트롤 때문이다라고 생각하고 주장하는 사람들이 많아서 언급해 본 겁니다.
그동안 오픈웹 활동을 관심있게 보고있었습니다. 많은 사람들이 오픈웹이 적을 만드는 방식과 잘못된 사실 주장을 문제삼고 있습니다. 제가 오픈웹을 처음 알게된게 2009년 안랩을 시작으로 보안업체를 비난하면서 이슈를 만들었을 때 입니다. 어떻게보면 비정상적인 국내 웹환경을 함께 해결 할 수 있는 파트너라고 할 수 있는데 보안업체를 적으로 만들어뒀죠. 요즘은 보안업체에서 금강원으로 목표를 바꾼걸로 보이네요. 저야 암호나 인증서쪽은 잘모르고 악성코드만 관계..
뭐여 이젠 보안까지 아는 척을 하네 -_-;;; 심하다 심해…
무작정 확인 버튼 누르는 사용자나 사회공학기법 같은 것은 이야기 하지 않겠습니다.
쉘코드나 API후킹을 해보셨는지..PKCS는 이해 하시는지..
보안에 대해서 이야기 하시려면 해킹 기법에 대해서 이해나 하시고 글을 쓰셔야죠. 이 글이 얼마나 허무 맹랑한지 아실련가 모르겠네..
어떻게 보안을 ActiveX 문제로 엮어서 도매급으로 관철시키는지… 하여간 글 포장하는 능력은 인정하리다…
(본문에 UAC이야기 하던데 프로세스 토큰이 두 개가 존재한다는 UAC 구조는 알고계시는 걸까?)
글은 정말 잘쓰는것 같습니다만..
단순히 activex때문이다라고 하기에 드는 설명들이 딱히 와닿지는 않습니다.
악성 쉘코드, API후킹 거기다가 커널 드라이버 레벨 후킹까지 첨부하면 네이티브 API로 구현한 악성 엑티브 엑스로 전부 한방 러시가 가능하군요.
오픈웹을 사용하고, 관리자 권한의 계정을 사용한다고 해서 브라우져가 해킹되지 않는 것은 아니겠지만 적어도 엑티브 엑스나 그에 준하는 플래시같은 플러그인을 사용하는 것보다는 해킹 확률이 현저하게 낮아집니다.
PCKS는 PKI를 말씀하시는 것 같은데… 그건 이미 브라우져에 전부 구현된 기술입니다. 이걸 궂이 엑티브 엑스로 구현해야 하는 이유가 있습니까?
분명히 있지요. 국내 보안회사 밥그릇이니까요. 아님 SEED를 표준화해서 브라우져에 넣는 시도를 안하는 이유가 무엇일까요?
이 주제에 대해서 ZDNET의 김국현님서도 공인 인증서 사용에 적용된 엑티브 엑스 기술을 집어서 좋은 글을 남기셨지요.
http://www.zdnet.co.kr/ArticleView.asp?artice_id=20090413102744
저는 국내 엑티브 엑스가 적용된 사이트들 중에서 중에서 P2P 컨텐트 다운로드 서비스 외에 반드시 엑티브 엑스를 사용해야 하는 경우를 경험하기가 힘들다고 판단합니다.
특정 웹 페이지가 OS의 네이티브 API를 호출해야 한다는 것은 결국 프리젠테이션 레이어로서의 브라우져의 용도가 아닌 전용 클라이언트 모델을 브라우져에서 구현해야 한다는 모순점을 드러내는 것이니까요.
이런 경우에는 리치 클라이언트 모델의 데스크 탑용 위젯 개념도 생각해보는 것이 나쁘지 않을 것 같습니다.
안전밸트가 과연 안전한 것인가에 대한 물음에 대해서 절대적으로 안전하다는 주장이 엑티브X 옹호자들의 주장과 비슷해 보입니다.
주목해야 할 사실은 실제로는 안전밸트가 교통사고를 줄여주지 못한다는 사실입니다. 정확히는 안전밸트가 운전자의 안전은 지켜줄지 모르지만, 과속과 대형사고, 보행자 사망사고는 오히려 증가시켰죠.. 못 믿으시겠으면 자동차보험사에 확인해 보십시요..
기술을 논하기 좋아하시는 분들이 많은데, 기술은 나무에 속하는 부분입니다. 논점은 숲을 논하고 있는데 나무를 논하는 것은 보잘것 없는 자신의 기술을 자랑하기 위한 것으로 밖에 안보입니다..
제가 보기에 엑티브X는 과거 KS-5601 코드와 비슷한 처지에 있는 상황입니다. 정부의 무지가 가져온 현실이고, 사라져야 할 부분이 맞습니다.