ActiveX와 공인 인증에 대한 대안

지금까지 ActiveX와 공인 인증에 대한 문제에 대해 너무 많은 토론이 있었기 때문에 다들 문제 의식에는 공감을 하고 있을 것이다. (ActiveX에 대한 진실과 거짓말 II 참고)

사실 이 문제는 꽤 뿌리가 깊다. 수 년 동안 계속되어온 소수 사용자 요구가  법적 소송이라는 방식으로 청구가 되어서야 문제를 인식하게 된 것은 때 늦은 감이 있다.  비 IE와 비 윈도우 사용자에게도 공인 인증을 사용할 수 있도록 해달라는 오픈 웹 활동이 이제는 우리 나라 공인 인증 전반에 대한 새로운 성찰을 요구 할 수 있게 된 것은 무척 기쁜 일이다.

그럼 이것을 해결하기 위한 대안은 무엇일까? 하나씩 살펴 보도록 하자. 현재 제기되는 가장 큰 문제는 아래 두 가지 이다.

  • [1] 공인 인증을 위한 ActiveX 기술 사용 문제
  • [2] 윈도우 자체 보안 문제
  • [3] 다양한 인증 수단의 문제

4년 전만 하더라도 [2]번 문제는 존재하지 않았지만 지금은 키보드 해킹 방지, 스파이웨어 방지 프로그램이 모든 웹 사이트의 기본 사항이 될 정도로 문제가 커져 있다. 이것은 윈도우 OS 자체가 가지는 문제이기 때문에 장기적으로 MS가 계속 풀어가야할 과제이다.

[1]번을 범용 기술로 돌리더라도 [2]번 문제를 제기하는 사람이 많기 때문에 이 두 가지를 함께 살펴 봐야 한다. 또한, 이 두 가지가 모두 적용되지 않는 다면 [3]번도 고려해야 한다.

[1] 공인 인증을 위한 ActiveX 기술 사용 문제

가장 큰 문제는 현재 공인 인증 기술이 IE & 윈도우 사용자만 가능하다는 것이다. Firefox & 윈도우도 불가능 하다. 그 이유는 현재 공인 인증 기술이 SSL 기술을 기반으로 두고 있지만, 한국 자체 암호 알고리듬(SEED)을 강제하고 있고, 모든 암호 메시지에 전자 서명을 추가(Digital Signature)하도록 하고 있기 때문에 브라우저 내부 기술을 사용할 수 없다. 이를 위한 해결 방안은 다음과 같다.

(1) 단기- 플랫폼 독립적인 범용 플러그인 기술로 개발
대표적인 방법이 액티브X와 NP플러그인(비 IE 브라우저)을 병행하는 방법이다. 자바 애플릿을 이용하는 방법도 있다. UI상 좀 더 미려하게 하기 위해서는 Flash 기술을 접목해도 된다. 덴마크에서는 이미 간단한 기능이지만 자바 기반 공인인증 처리를 하고 있다.

사실 국내 공인 인증 암호화 규격에는 SEED와 DES가 함께 사용 가능하다. 단지 보안 심사를 SEED만 하기 때문에 DES를 못쓰는 것 뿐이다. 만약 DES를 쓸 수 있다면 몇몇 주요 웹 브라우저에서도 플러그인 없이 가능하다. 예를 들어 IE CAPICOM과 Firefox의 crypto.signText 같은 것을 이용하는 방법이다. (하지만 이는 범용성이 떨어지는 단점이 있다.)

또 하나의 방법은 공인 인증용 독립 어플리케이션을 배포하는 것이다. 문제는 웹에서 해결 불가능한 것을 자꾸 웹에서 해결하려고 했던 데 있다. 과거에도 KT 월릿(Wallet) 프로그램이나 독립 프로그램으로 인터넷 뱅킹을 했었다. 모든 것을 웹으로 해결하려고 들지 말고 신한 은행 이지플러스 처럼 독립 프로그램을 제공하는 것도 검토해야 한다.

(2) 장기- 표준 SSL 기반 인증 및 서명 방법 개발
웹 브라우저에 몇 가지 기능이 추가 되면 범용 SSL 프로토콜을 써서 공인 인증이 가능하게 된다. 이를 위해서는 1) KISA루트 인증서 2) SEED 알고리듬 3) 전자서명 기능이 브라우저에 탑재 되어야 한다.

1)번의 경우 IE에 탑재되었고 Firefox에서 진행 중이다. 물론 공공기관으로서 KISA가 웹트러스트 인증을 받지 않고 있기 때문에 난관이 있는 편이다. 2)번의 경우 SEED가 2005년에 국제 표준이 되었기 때문에 연내에 윈도우와 OpenSSL(Firefox, Safari, Opera)에 탑재될 수 있을 것이다. 3)번의 경우가 가장 힘들다. 현재 몇 군데 표준 단체에 XML 전자서명을 통한 Web PKI 표준을 제정하도록 소수의 사람들이 함께 설득을 계속하고 있는 중이다.

하지만 실현이 되려면 꽤 많은 노력이 필요하다. 우리 나라 전자 서명법을 세계적으로 만들려면 KISA와 정부가 오히려 이런 데 정치적인 힘을 발휘해 주길 바란다.

(3) 장기- 리치 웹 어플리케이션 기술로 개발
현재 글로벌 웹 기술은 리치 웹 어플리케이션으로 가고 있다. MS 비스타, 파이어폭스, 어도비 아폴로 플랫폼 등이 차세대 데스크톱 웹 어플리케이션 개발 플랫폼을 제공하기 위해 심혈을 기울이고 있다. 여기에 애플과 사파리 등이 WHATWG라는 표준활동을 통해 웹 표준으로도 리치 어플리케이션을 만들 수 있는 작업을 하고 있다.

글로벌 웹 기술의 변화는 플러그인에 있지 않다. 이점을 잘 인식하고 리치 웹 어플리케이션 기반 공인 인증 기술도 고민해야 한다.
 

[2] 윈도우 자체 보안 문제

공인 인증 기반 체계과 별개로 인터넷으로 데이터를 도둑 맞는 스파이웨어 프로그램으로 생기는 보안 문제가 국내에서는 심각하게 대두 되어 있다. 스파이웨어에 대해 전 국민이 방지 프로그램을 설치하게 하는 창을 방패로 막으려 하지 말고 더 근본적인 방법을 도입해서 문제를 풀어야 한다.

(1) 단기 – 국내 사용자의 보안 수준 강화
– 윈도우 보안 수준 강화
우리 나라 사람들은 전 세계 어디를 비교해 봐도 매우 교육 수준이 높다. 교육에 따라 얼마든지 보안 수준이 올라갈 수 있는 국민이다. IE의 보안 수준을 고급으로 올리도록 하고 윈도우 권한을 ‘일반 사용자’로 바꾸도록 사용자 교육을 강화할 필요가 있다.

국가에서 이를 권장하고 필요하다면 MS에 이야기 해서라도 한국어 버전에 보안에 대한 간단한 TIP을 나오게 하는 것도 가능할 것이다.

– 데이터 해킹 보안 강화
키보드 해킹 방지를 위해 스크린 키보드로 선택 하게 하거나 그림 문자를 통한 인증 수단도 함께 활용해야 한다. 스크린 키보드는 위치를 랜덤하게 표시하거나 그림 문자를 기계가 좀 더 해독하기 어렵도록 함으로서 보안은 충분히 강화된다.

– 개인 보안 수준 강화
가장 중요한 것이다. 스스로 보안은 스스로 지킨다는 의식을 가지도록 하는 게 좋다. 개인이 스스로 백신 프로그램을 구입 하여 설치하고 사용하도록 권장한다. 이게 SW 업계에도 이익이 된다.

특히 은행이나 금융권에서는 비 IE, 비 윈도우 사용자들 처럼 자신의 PC를 지킬 수 있다는 사람에 한해 계약을 통해 키보드 해킹 방지나 스파이웨어 방지 프로그램을 강제 설치 하지 않도록 할 필요가 있다.

(2) 장기 – 차세대 윈도우 OS나 대안 OS를 사용한다.
이건 말할 것도 없다. Vista를 사용하게 하거나 맥이나 리눅스 데스크톱을 사용하는 사용자가 늘어 나면 되는 것이다. 사실 어찌보면 이게 제일 중요하다.

[3] 다양한 인증 수단의 문제

공인 인증 기반 체계과 별개로 법적으로 인증 수단이 선택 될 수 있어야 한다. 현재는 전자서명법에 의해 공인 인증 만이 전자 거래의 법적 보호를 받을 수 있으나, 기술적으로 더 많은 기술이 선택 가능해야 한다.

(1) 단기: 오프라인 인증 강화
공인 인증만으로
인증이 다 됐다고 생각하는 건 큰 오산이다. 일반 SSL이든 공인 인증이든 PC의 보안이 뚫리면 끝이다. 외국에서는 다양한 오프라인 인증 기기들이 존재한다.

따라서, OTP(원타임패스워드) 같은 좀 더 복잡한 형태의 오프라인 인증기기의 사용을 늘일 필요가 있는 것이다. 특히 휴대폰이나 PMP
단말기 등에 인증 프로그램이 설치 될 수 있도록 지원할 필요가 있다. 그리고 이들 공인 인증의 보조 수단이 아닌 법적으로 인증 받을 수 있어야 할 것이다.
 
(2) 장기:
공인 인증의 장기적 대안 마련

우리 나라 전자 서명법 및 공인 인증은 2000년대 브라우저 전쟁 기간에 기술적 변화가 심할 때 만들어진 수단이다. 현재 전 세계적으로 웹 기반 전자 서명 방식을 국가의 공공 인증 수단으로 적극적으로 사용하는 나라가 많지 않다. 있더라도 위와 같은 기술적 한계에 부딫혀 많은 정보 접근성 문제를 낳고 있다.

지금이라도 늦었더라도 공인 인증 체계의 변화 즉, 다양한 전자적 인증 수단을 법적으로 인정 하거나 적어도 다양한 웹 브라우저 지원이 가능한 해외 인증 업체나 기술 업체의 참여를 보장 할 수 있는 제도적 보완이 필요하다.

—–
지금까지 현재 문제에 대한 다양한 해결 대안들을 살펴 보았다. 물론 이게 당장 해결 할 수 있는 것은 아니지만 장기적인 로드맵으로 꼭 해결 해야 될 걸로 본다.

- ;

Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. 본 채널은 광고를 비롯 어떠한 수익도 창출하지 않습니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on checking facts for your investments and prohibit your citations as commercial content or news sources. This channel does not monetize via any advertising.)

여러분의 생각 (36개)

  1. 댓글:

    액티브X문제가 너무나 소모적인 토론으로 변질됐다고 생각했는데, 이렇게 대안을 제시하는 포스트를 보니까 반갑습니다. 저는 기술적인 부분에 대해서는 잘 모르지만 옳다 그르다 같은 논쟁보다는 문제를 어떻게 해결하면 좋겠다는 대안 제시가 훨씬 생산적이라는 생각이 드네요.

  2. Spring 댓글:

    맞습니다. channy 님은 언제나 가진 지식을 기반으로 포스팅 해주기도 해서 많은 도움을 줍니다.

    그리고 대안중에서 이런 것도 있을 수 있네요.
    요즘 많이 하는 핸드폰으로 인증 번호를 랜덤하게 보내서
    맞는 인증 번호를 입력하지 못하면 거래를 못하게 하는 방법도 생각해 볼수 있을 것 같습니다.

  3. 남엑스 댓글:

    안녕하세요. 남세동입니다.

    웹 뱅킹에 대한 대안으로 독립 프로그램 뱅킹을 제시한다는 것에서 과연 그러한 것이 누구를 위한 대안인가? 하는 의문이 드는군요.

    제 생각에는 독립 프로그램 방식은 웹 방식에 비해서 은행, 개발사, 사용자(IE건 파폭이건 리눅스건) 모두가 좋을 것이 없는데 왜 그걸 대안이라고 하셨는지요?

    1. 크로스 플랫폼(포팅) 개발 비용은 웹에 비해서 당연히 더 큽니다. 따라서, 리눅스 사용자 등이 인터넷 뱅킹을 자유롭게 하기는 더욱 힘들어 집니다.

    2. 사용자는 당연히 더욱 불편합니다. 대부분의 사용자에게는 불편한 정도가 아니라 어려울 겁니다. 액티브 엑스까는게 보안, 그리고 그에 대한 인식의 문제의 원인이라면 프로그램 까는거는 더더욱 문제가 될 것이 불보듯 뻔합니다.

    결과적으로 은행, 개발사, 사용자 모두에게 이득이 될 것이 없는 대안으로 보이는데, 웹은 ActiveX 없이 깨끗해야 한다는 막연한 전제가 아니라면, 어째서 그것이 대안이 된다는 것인가요?

    그동안 글로벌 스탠다드라고 주장하면서 국내 금융권 수준의 보안을 하지 않던 씨티 은행에서 국내에서는 잘 안 일어나던 꽤 큰 보안 사고가 터졌다는 점, 그리고 (그 잘되어 있다는) 외국에서는 우리나라의 은행이나 쇼핑몰에 비해서 훨씬 더 보안 사고, 실제 금전적 손실이 발생하는 사고가 많이 일어난다는 것에 대해서는 어떻게 생각하시는지요?

    • channy 댓글:

      늘 좋은 의견 감사드립니다. 제가 원하는 독립 어플리케이션의 수준은 비 ActiveX 사용자가 가장 필요로 하는 ‘이체 ‘정도의 기능만 수행해 주면 됩니다. (내역 조회는 공인 인증 로그인 하지 않더라도 빠른 조회로 가능하죠.)

      제가 말한 대안은 단기적인 것이지 장기적 궁극적 대안은 아닙니다. IE/Windows 유저에 대해 현재 상황을 유지할 수 밖에 없기 때문에 더더욱 그렇습니다. 하지만 차츰 장기적 대안으로 바꾸어 나가야 된다고 봅니다.

      해외의 큰 금융 사고는 주로 해커의 의한 시스템 침입에 의해 일어납니다. 우리 나라 처럼 클라이언트 기반 정보 해킹에 의해 일어나는 게 아닙니다. 카드 결제 사고 같은 경우도 동남아, 동유럽 같은 국가에 여행하는 여행객들이 오프라인에서 갈취당한 데이터를 기반으로 합니다.

      제가 외국 은행과 결제사의 모니터링 시스템을 본적이 있는데 FBI 같은 기관과 공조해서 아주 과학적인 방식으로 공격이나 해킹을 차단합니다. 우리 처럼 모든 보안을 사용자 PC위에 올려 놓고 하지 않는 다는 거죠.

      우리 나라는 제가 앞선 글에서 말씀 드린 대로 공공 기관과 보안 업체가 앞장 서서 OS와 웹 브라우저 보안에 대한 무장 해제를 해 왔습니다. (글쎄 어떤 사이트는 ActiveX를 깔려고 보안 수준을 낮음으로 하라고 가르치기도 합니다.)

      포털이나 인터넷 기업들도 이런 사용자 교육의 수혜를 받아 ActiveX를 많이 제공했던 측면도 있습니다. 과연 우리가 오로지 사용자 편의를 위해 ActiveX를 제공했던가 자문해 볼 필요가 있습니다.

      만약 공공 기관이나 정부가 전 국민에 대한 보안 문제로 플러그인 설치를 지양하는 정책을 폈더라면 민간 기업에서 그렇게 많이 ActiveX를 배포했었을까요?

  4. 신희섭 댓글:

    저는 대한민국의 전자서명법 자체가 틀렸다고 생각합니다. 민생과 직결된 이러한 중차대한 문제를 이렇게 날림으로 할 수 있는건지 그러고도 아직까지 아무런 문제 제기 없이 온국민을 바보로 만들어버릴 수 있는건지… 도대체 누구 머리에서 나왔는지 이상한 방법때문에 대한민국 국민들은 웹서핑 도중 만나게 되는 “설치 하시겠습니까?” 다이얼로그 박스에 둔감해져 버렸습니다. 사실 이런 메시지 박스에서 YES는 이제부터 내 컴퓨터를 마음대로 해도 좋소라는 의미와 같다는걸 아는 국민들이 몇이나 될까요.

    인터넷 뱅킹의 경우 현재의 보안카드 대신 OTP를 사용하고 모든 브라우저에 내장된 SSL로 보안세션을 사용현하면 얼마든지 세계 수준의 보안을 구현해낼 수 있습니다. 왜 대한민국에서만 유별나게 SEED 사용을 강제하는지 이해할 수 없습니다. 혹, 범국가적인 암호화 체계가 필요해서였다고 하더라도, 민생에 직결된 부분까지 그 사용을 “강제”해야 하는 것인지요?

    온라인상의 신용카드 결재에 사용되는 ISP인증 및 최근 30만원 이상 결재시 사용이 강제되어 있는 공인인증도 왜 그렇게까지 해야하는지 이해할 수 없습니다. 신용카드라는 것은 원래부터 그런 위험을 안고 있는 지불 수단입니다. 몇자리 번호만 알면 얼마든지 사용할 수 있고 심지어 오프라인에서는 길거리에서 주운 카드를 사용해도 아무 문제가 없지 않습니까. 신용카드라는 것이 원래 그런 위험을 가지고 있는 물건인데 그걸 온갖 패스워드 입력으로 막아보겠다고 하는 것이 얼마나 웃긴 일입니까.

    그리고 시티은행의 보안사고의 경우, 사고 당사자가 공인인증서 파일을 웹에 올려둔 것이 화근입니다. 공인 인증서 파일을 이 PC에서 저 PC로 카피해서 들고 다니는 현재의 방법이 과연 얼마나 안전한 것인지 저는 도저히 모르겠습니다. 시티은행카드의 경우, 온라인상에서 결재시 단지 CVC값을 입력받도록 하지 않았다 뿐이지 현재 정부에서 요구하는 그토록 우수한 SEED, 공인인증을 사용하고 있습니다. 시티은행 사고건을 두고 현재 정부가 민간에 사용을 강제하는 보안 사항이 안전하다고 하는건 어불성설이요 아전인수격입니다. 카드 실물이 있어야 입력이 가능한 CVC값과 같은 오프라인 기술들을 활용하는 것이 최고의 방법임을 그 사건이 말해주고 있을 뿐입니다.

  5. 신희섭 댓글:

    그리고 덧붙입니다.

    신용카드 솔루션을 제공하고 있는 몇몇 플러그인 개발 업체에서는 자신들의 플러그인이 사용자 PC에 설치될 때, 해당 플러그인의 배포 사이트를 IE의 “신뢰할 수 있는 사이트”에 등록시켜 버립니다. 자신들의 솔루션을 activex로 제공하는 수많은 서비스제공자들이 이런 방법을 쓰고 있습니다. 얼마전 중국의 해커가 이러한 서비스제공자의 웹사이트를 해킹하여, 악의적인 코드가 포함된 자신들의 activex가 웹사이트를 방문한 사용자의 PC에 자동으로 설치되게 하기도 하였지요.

    이야기가 잠시 샜습니다. 어쨋거나, “보안”을 위해 설치한 프로그램에 의해 보안의 구멍이 생긴다는 점을 지적하고 싶습니다. 슬프지만 이게 현실입니다. 지금 당장 사용하고 계신 브라우저의 “신뢰할 수 있는 사이트” 목록에 어떤 주소들이 등록되어 있는지 확인해 보시기 바랍니다. 그리고 몇몇 뜻있는 분들에 의해 현재 진행되고 있는 소송건이 있는줄로 압니다. 소프트포럼이나 이니테크가 배포하는 공인인증 솔루션 클라이언트 프로그램에서 최상위 인증기관으로 KISA가 아닌 플러그인 개발 업체가 등록되어 있습니다. 겉만 번지르르했지 여기저기 구멍이 숭숭 뚫려있습니다. 한번 사고가 크게 터져야 정신차릴 모양입니다.

  6. 남엑스 댓글:

    안녕하세요. 친절한 답글 감사드립니다.

    1.
    그 “이체” 정도의 기능을 하는 것 또한 독립 프로그램 보다는 차라리 FF 용 플러그인을 만드는 것이 독립 프로그램을 개발하는 것보다 개발 비용이 훨씬 싸고, 사용자에게도 훨씬 편하리라고 생각합니다.

    왜 그걸 굳이 웹에서 하지 않는 건가요? 웹의 “순수함(?)”을 위해서가 아니라면?

    2.
    해외의 금융 사고가 과연 시스템 침입에 의해서만 일어나는지는… 제가 알고 있던 것과 달라서 조금 의문이네요.

    물론 대형(수천명의 피해자) 사고는 시스템 침입에 의해서 일어나리라고 생각합니다만, 개개인에게 발생하는 사고는 그렇지 않으리라 생각합니다.

    우리나라에서는 거의 문제가 되지 않는 피싱이 해외에서는 상당히 큰 문제가 되고 있습니다. 아마도(이에 대해 저보다 잘 아시겠지만) 그래서 IE 나 FF 등에서도 중요한 문제로 다루어지고 있겠지요?

    해외에서 피싱이 이렇게 기승을 부리는 이유는 은행이나 쇼핑몰의 (말씀하신) “클라이언트 보안”이 허술 하기에 피싱을 통해서 아이디, 패스워드, 신용카드 번호, 유효기간 등만 알아도 많은 것을 할 수 있기 때문입니다.

    오프라인에서 획득한 정보로 사고가 종종 일어나는 것도 “클라이언트 보안”이 그만큼 허술하기 때문이지요. 이번 씨티은행 사고도 똑같이 그런 경로로 일어났고요.

    3.
    시스템 보안은 우리 은행들도 열심히 합니다. 말씀하신 “과학적인 방식”이라는 정도의 행동은 우리 은행들도 열심히 한다고 생각합니다. 우리나라에는 FBI는 없지만, 정보통신부와 금융감독원 등이 있습니다.

    시스템 보안, 클라이언트 보안, 모두 잘 해야 하지 않겠습니까? 시스템 보안 한다고 클라이언트 보안을 허술하게 해도 된다고 생각하지는 않습니다.

    자칫 잘못하면 시스템 보안은 은행 책임이고, 클라이언트 보안은 고객 책임이라는 얘기로 오해해서 들릴 수 있습니다.

    4.
    브라우저 보안 수준을 낮음으로 하라고 교육하고 그런 것들은 제가 봐도 뭔가 상당히 꼬인, 대략 좋지 않은 상황으로 보입니다.

    5.
    제 기억에는 시간적 순서로 보나, 제가 보아온 업계 상황으로 보나, 포털이 ActiveX 를 쓰기 시작한 것은 그 자체의 필요 때문이지, 은행이나 정부 정책 때문이 아닙니다.

    한국에서는 세계 어느 곳 보다도 먼저 홈페이지에 mp3 플레이어를 달 필요가 있었고, 온라인 게임을 쉽게 설치하고 실행 시킬 필요가 있었고,… 그랬습니다.

  7. 라인하르크 댓글:

    윈도우의 기본 보안수준이 높아지면 다른 보안업체들이 ‘MS가 독점적 지위를 남발해서 보안시장을 독점하려고 한다’ 고 문제제기할지도.. ㅎㅎ

  8. 신희섭 댓글:

    또 덧붙이네요… (제가 흥분을해서…)

    키 로거를 통한 키 스트로크 가로채기는 현재 존재하는 모든 OS에서 가능합니다. MS윈도가 취약해서가 아니라 모든 OS가 가진 문제라 할 수 있습니다.

    이 문제를 현재 대한민국에서는 키보드 드라이버단을 조작하여 입력받은 키 값을 브라우저에 설치된 (이 역시도) activex로 직접 끌어올려 (OS에 설치된 hooker가 있다면 여기서 건너뛰게 되죠) 처리합니다. 일반이 손쉽게 접근할 수 없는 기술적 장벽이 있다뿐이지 이것도 얼마든지 피해갈 수 있는 방법이 있습니다.

  9. 남엑스 댓글:

    차니님께 드리는 얘기는 아니고.

    해외 은행은 그러고도 안전하고, 우리 은행은 그러고도 허술하다는 주장들이 종종 있는데…

    현실은 이렇습니다.

    (2005년)

    http://news.naver.com/news/read.php?mode=LSD&office_id=138&article_id=0000002918&section_id=105&menu_id=105

    미국 시장조사전문기관 가트너에 따르면 지난해 242만 명의 미국인이 피싱 사기에 말려들어 929만 달러에 달하는 금전적 손해를 입었다.

    최근의 자료들을 보면 그 피해는 더욱 커지고 있습니다. 지난 번에 얼핏 보기로는 미국에서만도 수백억원인지 수척억원인지 규모를 넘었던 것 같은데… 가물가물 하네요.

  10. 저는

    1. MS윈도가 취약하다는데에 대해서 다른의견입니다.

    MS윈도가 세계에서 제일 많이 사용되고, 해커들의 집중 표적이 되기때문에 문제가 되는 것이지..

    소위 대안 OS라 하는 것들도 똑같은 문제를 근본적으로 가지고 있습니다.
    제가 알기론 제일 확실한 보안방법은 인터넷을 차단하는 것이라고 들었습니다.
    그렇지 않고서는 인터넷을 사용하는 이상 완벽한 보안이란 모순되는 말이라 생각합니다.

    2. ActiveX의 경우 처음에 MS가 넷스케이프의 시장점유율을 만회하고자 내놓은 회심의 카드입니다.

    넷스케이프의 자바애플릿에 자극받은 MS에 자사의 브라우저 시장 점유율을 높일 방법으로 ActiveX란 개념을 브라우저에 넣게됩니다.

    그 당시에는 ActiveX로 인하여 이렇게 보안문제가 생길줄은 몰랐겠지요..

    이 ActiveX의 강력한 무기와 국내 수많은 사용자들이 웹에서도 어플리케이션이 할수있는 기능을 요구함으로 인하여, 어쩔 수 없이 거의 대부분은 IE와 ActiveX에 맞춰 개발하곤 하였습니다.

    이것으로 인하여 IE의 시장점유율은 대폭 높아졌지만..
    보안문제란 커다란 재앙을 잉태하게 된 것이죠..

    MS에서 ActiveX의 보안문제를 뒤늦게 파악하고..
    근본적으로 해결할 목적으로 ActiveX의 강력했던 창을 다 제거하고 원래의 컨트롤 성격으로 돌아간 것입니다.

    앞의 글들이 공인인증서에 집중해서 논의가 흘렀다면, 저는 ActiveX를 배제한 웹은 웹다운 모습으로 흐르기 위한 공감대가 섰다는 것에 만족합니다.

    ————————
    두서 없이 나열했네요..

  11. Jiyoon 댓글:

    석찬님께서 제시하신 대안들 모두 지금 구현이 된다면 모두에게 환영받을 좋은 케이스입니다. 하지만 근본적인 문제해결점은 아니란 생각입니다. 지금의 금융거래정책은 전혀 안전하지도 못하고 공인인증서 사용에 대한 허술함은 여러번 보안사고를 통해서 보아왔습니다. 신희섭님께서 말씀하신 대로 기존과는 다른 방식으로 전자서명법이란것에 어거지로 끼워 맞추는것과 다를바 없습니다.

    SSL을 비롯해서 가상키보드를 이용하는등 가까운 일본이나 미국, 유럽의 다양한 사례와 비교해보면 어설픈 전자서명법을 현실에 맞게 폐지, 개정하는 방향이 가장 근본적인 해결책이 아닐까란 생각을 합니다.

    Firefox에 KISA 인증서 추가에 대해선 고무적인 일이긴 하지만, Firefox와 IE에 제한되는 이야기므로 타 브라우저 사용자들에겐 조금 아쉬운 부분이긴 합니다.

    남세동님이 말씀하신 내용이 지금 처럼 ActiveX를 보안과 공인인증에 유지하는게 보안상으로 낫다는 의견이신지 아니면 다른 의견을 말씀하시는건지 논점을 정확히 파악하기 힘드네요. 세동님이 링크거신 기사도 서버사이드측 보안사고에 대한 문제네요. 개인정보를 후킹하려고 하거나 보안 취약점을 뚫으려고 작정을 하면 무슨 짓을 해서라도 못 뚫겠습니까? 어차피 보안은 끊임없는 창과 방패의 싸움입니다. 항상 방패보다 창이 먼저 움직이죠.

    남세동님이 말씀하신 대로 서버사이드, 클라이언트 사이드 모두 보안에 유념을 해야합니다. 하지만, 은행의 존재 자체는 이용자의 금액을 안전하게 보관하고 관리하는데 있습니다. 온라인 서비스도 다를바 없죠. 지금처럼 사용자에게 보안명목으로 키 스트로크 로거 방지, 방화벽, 공인인증서 등등 각종 activex를 설치하는데, 공인인증서를 사용자가 관리책임을 무는것과 함께 은행또한 해당 Apps를 배포하였기 때문에 사용자에게 금융사고가 발생했을 경우 은행에게도 책임이 있습니다.

    혹시 남세동님은 전세계 은행중에서 사용자의 보안까지 걱정하며 방화벽에 기타등등 Apps를 강제로 깔라고 하는 곳 보셨습니까? 은행은 어디까지나 서비스에 대한 서버사이드 보안만을 철저히 해야함이 맞다고 봅니다. 사용자의 보안은 어디까지나 사용자 개개인이 최신 OS든 백신이든 방화벽이든 각자 해결해야할 문제입니다. 만약 지금처럼 ActiveX로 보안어쩌구 도배를 해대는데도 불안한데, 국외의 여러 케이스들이 정 불안하다면, 직접 은행에 가서 일을 보거나 장롱 속 깊이 돈을 모셔두는게 안전할지도 모르죠.

  12. 남엑스 댓글:

    Jiyoon/

    친절한 답글 감사합니다.

    제가 링크한 해외 사례는 서버 사이드 시스템 침입에 관한 것이 아니고 클라이언트 사이드에 관한 대표적인 예입니다.

    왜 우리나라에 비해서 해외에서 피싱이 그렇게 심각한 문제가 되는지는 제 두번째 댓글에서 설명했습니다.

    사용자의 보안, 즉 클라이언트 사이드 보안이 전적으로 사용자 책임면, 그렇게 마음 편하게 사업 해도 괜찮다면, 은행들도, 쇼핑몰들도 그렇게 할 겁니다. 실제로 해외 은행이나 쇼핑몰들이 그렇게 하고 있는 것이고요. 그래서 피해 금액이 미국에서의 피싱 피해만 수백억원인지 수척억원인지가 되는 것이고요.

    말씀하신 논리를 제가 이해하기로는, 보안 프로그램을 배포하면 기업에 책임이 있고, 아예 배포하지 않으면 사용자 책임이라는 것으로 이해했습니다.

    정말 그런 건가요?

    그런 논리라면 법적으로는 그럴지는 몰라도(법적으로도 그럴리 없을 것 같긴 하지만), 제 양심이나 상식으로는 공감이 가지 않습니다. 아마도 Jiyoon 님께서는 그것이 보안프로그램이라는 사실보다는 “ActiveX”라는 사실, 즉 “일단 나쁜녀석”이라는 사실이 더 크게 와 닿아서 그러리라고 생각해 봅니다. 저는 그렇지 않고요.

    저는 언제나 현실과 이상의 균형을 추구하고자 합니다. 제 생각에 클라이언트 사이드의 보안은 기업과 개인이 함께 노력해서 해결해야 할 문제이지, 기업이 손 놓고 나 몰라라 할 문제는 아닙니다. 앞에 신희섭님께서는 신용카드가 원래 보안이 허술한 것이라고 하시는데, 온라인에서라도 좀 안전하게 해 보고자 하면 안 되는 것인지 궁금하네요. 만약에 온라인에서 사고가 발생하면 그때 정말 소비자들이 기업에게 아무런 책임을 물지 않을지 궁금하기도 하고요.

    아무튼 제가 이해 하기에는 “양날의 검”인 “ActiveX”가 어느 한쪽에서는 “악의 축”으로 생각하기 때문에, 그 녀석을 좋은 곳에 잘 써도 무조건 싫은 것으로 생각하는 것 같습니다. 그런데 그 “악의 축”을 없애자는 논리를 펴다 보면 엉뚱하게도 오히려 사용자에게 불리한 방향으로 흐르게 되는 것 같습니다. 아니, 사용자의 책임이라니… 뭔가 이상하지 않나요?

    제가 최근에 다른 글에도 좀 긴 댓글을 남겼었는데 소개 합니다.

    http://daybreaker.tistory.com/608

    혹시나하고 다시 말씀드리면, 링크한 글은 제가 쓴 것이 아니고, 그 아래 댓글에 제 글이 나옵니다. 🙂

  13. 남엑스 댓글:

    신희섭/

    안녕하세요.

    궁금해서 그런데 씨티은행 사고가 공인인증서를 온라인으로 올려서 그렇다는 얘기는 어디서 나온 건가요?

  14. Jiyoon 댓글:

    남세동님, 아래의 HSBC 인터넷 뱅킹 사이트에서 Demo나 FAQ를 보시면 순수 웹 브라우저의 기능만으로도 온라인 뱅킹이 가능하다는건 금방 아실겁니다.

    https://www.us.hsbc.com/1/2/3/personal/online-services/personal-internet-banking

    제가 얘기하는 것은 접근성에 대한 이야기이기에 앞서 말씀드린 은행이 배포하는 Apps가 ActiveX라서 하는 얘기도 맞습니다. 저의 예를 들어 전 윈도우도 사용하곤 하지만 제 컴퓨터는 매킨토시이고 리눅스도 사용합니다. 온라인 뱅킹을 하려고 하면 ActiveX 깔으라고 종용하기 때문에 온라인 뱅킹 서비스를 볼 수 없습니다. 만약 제 컴퓨터와 브라우저로 서비스를 이용하는데 불편함이 없는 은행이 있다면 선택의 기회가 있기에 다른 은행이 ActiveX를 깔건 닥터바이러스를 깔든 상관없습니다. 하지만 이를 감독 관리하고 법을 제정한 정부가 국제 비표준인 국산 알고리즘 사용을 종용하고 그로 인해 ActiveX로만 서비스 되기에 공공재적인 은행 서비스를 직접적으로 불편함을 느끼고 있습니다. 이건 맥이니 리눅스니 파이어폭스니 윈도우니 다수, 소수가 아니라 ActiveX를 통한 공인인증과 보안이 누구라도 언제 어디서든 사용할 수 있는 보편적인 접근 수단이 아니기 때문입니다.

    그리고 서비스측과 사용자 모두 각자 보안을 게을리 해서는 안된다는 점에선 공감합니다만, 제 이야기를 단편적으로만 이해를 하시는군요. AtiveX로 백신이든 키로그 방지 등등 다 되고 개발도 편하고 좋은데, 왜 Symantec을 비롯한 유명 보안회사들은 웹상에서 자사 안티바이러스 프로그램을 ActiveX로 쉽게 배포 안하고, 패키지로 파는걸까요? 외국 은행은요? 거기도 피싱이다 뭐다 금융사고 터지는데 왜 ActiveX로 이것저것 안까는걸까요? 보안명목으로 배포되는 ActiveX에 대해서는 이미 위에 적었으니 더 이상 적지는 않겠습니다.

    남세동님이 말씀하셨듯이 ActiveX는 양날의 검입니다. 장점이 부각되던 시절은 갔고 흉물스럽게 단점만 남았는데 국내에선 여전히 활발히 쓰이기에 문제입니다.

    ActiveX에 애착이 있든 없든, ActiveX 옹호론자들과 관계자들이 함께 광화문 촛불시위를 한다해도 MS에서 Windows는 더욱 빠르게 업데이트 될 것이고, ActiveX는 곧 사라지게 될것입니다. 특정 기업에 종속된 기술이 국가정책과 맞물려 독점적 위치에 놓이게 되면 어떤 결과가 나오는지는 아실겁니다.

  15. 신희섭 댓글:

    남세동님/

    시티은행 보안 사고 건에 대해서, “웹상에 올려놓은 공인인증서가 화근이었다”는 내용은 제가 잘못 알고 있었습니다. 양해바랍니다. 과거 도둑맞은 공인인증서 파일과 관련된 보안 사건을 제가 혼동하였습니다.

  16. 신희섭 댓글:

    현재의 사용자에게 공인인증서를 사용케하는 전자서명법은 사용자에게 “절대적”으로 불리하다는 점을 지적하고자 합니다. 정상적으로 발급된 공인인증서는 사실상 개인의 인감증명과도 같은 효력을 지닙니다. 공인인증서 발급 이후 사실상의 관리 책임이 사용자로 넘겨지게 되지만, 이를 정확히 인식하고 있는 사람들이 몇이나 될까요. 대부분의 국민들이 (저 역시도) 공인인증서 파일을 이리 저리 복사해 다니며 사용하고 있으므로, 공인인증서를 통한 개인인증은 단지 패스워드를 하나 더 입력하는 요식행위일뿐 결정적인 보안 장벽은 되지 못합니다.

    현재 모든 문제의 근원은 90년대말 제정된 전자서명법이라고 저는 생각합니다. 그리고 어디까지나 사견임을 전제로, 당시 관련 정책을 입안한 정부 기관과 관련 솔루션 개발 업체들과의 부적절한 관계는 없었는지 의심됩니다. 외국에서 사용하는 인증방식이나 브라우저에서 기본 제공하는 보안 솔루션이 외제이기 때문에 국내 금융계에서 쓰기에 위험하다는 제안서를 그대로 믿어버린 담당 공무원의 무지와 무능에서 비롯되었을 가능성이 가장 농후하겠지만요…

  17. 남엑스 댓글:

    Jiyoon/

    HSBC는 제 주변에서 쓰는 사람이 꽤 있어서 잘 알고 있습니다. OTP를 사용하는 것도 봐왔지요. OTP를 보면서 저것도 좋긴 한데 너무 크고 그래서 공인인증서처럼 금융사별로 하나로 통합이 되면 쓸만 하겠다… 생각했었는데 올해 정부에서 그렇게 준비하고 있다고 하니 반가웠습니다. 그래도 보안 카드처럼 지갑에 넣을 수 없다는 사실은 좀 아쉽긴 합니다. 이건 보안상 참고 넘어가고. 🙂

    그러나 HSBC 또한 한국의 다른 은행들보다 보안면에서 좋지 않은 상황입니다. 그게 현실입니다.

    아래 HSBC 관련 기사 참고 하세요.

    http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2006081017493762182

    아래 구글 검색 결과도 참고 하시고요.

    http://www.google.com/search?hl=en&rls=com.microsoft%3Ako%3AIE-SearchBox&rlz=1I7GGLD&q=HSBC+security

    시만텍? ActiveX 씁니다. 왜 안 씁니까?

    http://security.symantec.com

    안랩에서 최근에 발표한 “빛자루”는 ActiveX를 사용합니다. 역시 안랩의 한계라고요?

    http://www.vitzaru.com

    MS가 최근에 무지 신경쓰고 있는 Windows Live, 그리고 또한 무지 신경 쓰고 있는 보안, 두가지의 중요성이 합해진 Windows Live Onecare 서비스, 이것역시 ActiveX를 사용합니다.

    http://onecare.live.com

    왜 그럴까요? 말씀하신 세계 유명 보안 회사들을 포함하여, 국내 최고의 보안 연구소라는 안랩과 세계 최고의 소프트웨어 회사라는 MS 모두 왜 아직도 ActiveX를, 그것도 보안 프로그램에 ActiveX를 사용하는 걸까요?

    마지막으로, ActiveX 얘기하다 보면 종종 기술 종속 문제 얘기하는데, ActiveX 기술은, 은행의 인터넷 서비스 기술에서 차지하는 비중은 아무리 크게 봐도 1%도 되지 않으며, 보안 업계의 기술에서 차지하는 비중 또한 10%도 되지 않으리라 생각합니다. 사실 ActiveX 기술이라는게 또 90% 이상은 윈도우 기술이기 때문에, 오히려 윈도우 기술이면 윈도우 기술이지 순수 ActiveX 기술이라는 것은 또 별로 존재하지도 않는 것입니다.

    지구상에 ActiveX 만 개발할 줄 아는 개발자라는 사람은 없습니다. 그냥 윈도우 개발자는 있지요.

  18. youknowit 댓글:

    좋은 글 잘 읽었습니다.
    ActiveX에 대한 여러 논의가 있지만, 법률가의 입장에서는 “ActiveX만을 제공”하고 다른 대안을 아예 주지 않는 현 상황이 문제가 됩니다.

    윈도+IE 사용자에게 계속하여 ActiveX를 강제로 먹이는 선택(저는 매우 열악한 선택이라고 생각합니다만)을 하든 말든, 그것은 기술적/경제적/귀차니즘 등의 문제가 되겠지만, 나머지 플렛폼, 다른 웹브라우저 이용자는 “아예 공인인증서도 사용하지 말고, 은행거래도 하지 말라”고 하는 것은 당장에 법률적 문제로 됩니다. 즉 위법합니다.

    따라서 ActiveX를 계속 쓰느냐의 문제와는 전혀 별도로, 다른 OS/웹브라우저 이용자를 위한 대안도 반드시 제공되어야 한다는 점은, 논란의 여지가 있을 수 없는 부분입니다.

    아예 법을 바꾸어, “윈도+IE 이용자만 인터넷을 사용할 수 있다”라는 규정을 박아 넣으면야 모르겠지만…

  19. 남엑스 댓글:

    youknowit/

    안녕하세요.

    저 또한 윈도우/IE/ActiveX에서만 사용할 수 있는 그 상황도 마냥 좋다라고 얘기하는 것은 아니라는 점 이해하시리라 생각합니다. 저는 과거에 왜 그렇게 되었고, 현재도 왜 그렇게 되고 있는지, 현재 방식의 장점은 무엇인지를 얘기하고자 했던 것이지, 다른 대안도 필요 없다라고 얘기하는 것은 아닙니다.

    그런데 법률가께서 오신 김에 예전부터 궁금했던 것 하나 여쭤보겠습니다.

    원래 법률에 음… 예를 들어서 다음과 같은 것들이 써 있나요? 정말 궁금해서, 앞으로의 논의에 참고하고자 여쭤 봅니다. 기왕에 오셨으니 이것저것 많이 여쭤 봅니다.

    0. 우리나라에서는 한국어를 사용한다.
    1. 우리나라 핸드폰은 CDMA 를 사용한다.
    2. 동사무소의 FAX 는 무슨무슨 통신 방식을 사용한다.
    3. 동사무소의 인터넷 통신 방식은 TCP/IP 다.
    4. 은행에서는 신용카드를 발급할 때 돈을 받으면 안된다.
    5. 공공이 사용하는 프로그램은 이런저런 운영체제에서 실행되어야 한다.
    6. 프로그램에서 한단계 더 내려가서, 운영체제는 이러이러한 하드웨어에서 실행될 수 있어야 한다.

    또 하나, 말씀하시는 다른 운영체제와 다른 웹브라우저의 범위는 어디까지인가요? 아시다시피 세상에는 수십~수백개의 운영체제와 브라우저가 존재하는데요. 특정 표준을 지원하는 것으로 규정하게 되는 건가요?

  20. 신희섭 댓글:

    activex는 죄가 없습니다. 하지만 현재 대한민국의 “기형적”인 인터넷 환경은 분명 문제입니다. vista 호환 문제로 비롯된 이 문제를 지켜보면서 저는 민생과 관련된 이처럼 중요한 사안을 해결함에 있어 activex가 아니면 “애초에 불가능한” 방법을 국가적으로 강제하는 법에 문제가 있다고 (개인적으로) 결론 내렸습니다.

    구글의 웹서비스들이 activex 없이도 브라우저 상에서 구동되는 모습에 늘 감탄하며 오늘의 한국의 현실과 비교해보게 됩니다. 구글맵은 한국에선 너무나 흔해빠져버린 activex를 설치하라고 하지 않는데도 전세계 지도를 보여줄 수 있지요. 한국에선 백이면 백 activex를 설치해야 하는데… 보안 솔루션도 마찬가지가 아니었을지…

  21. youknowit 댓글:

    법에는 ActiveX를 써야한다는 규정이 없습니다. 오히려 공인인증 서비스를 정당한 사유 없이 거부하지 못한다는 규정이 있고, 인증 서비스 이용자 간에 부당한 차별을 해서는 안된다는 규정도 있습니다. 그리고 정부가 시민을 평등하게 대우해야 할 의무는 헌법에 규정되어 있습니다.

    브라우저는 수십 가지가 있습니다. lynx와 Firefox는 매우 다른 기능을 가지고 있습니다. 매우 다른 브라우저를 사용하면서 똑같이 대우해 달라는 것은 평등이 아닙니다. “비슷한 사안은 비슷하게(treat like cases in a like manner) 대우하라”는 것이 평등 개념입니다.

    자, IE firefox, Opera, Safari, Konqueror, Galeon, Camino 등은 모두 그 기능이 대체로 유사합니다. 따라서 유사하게 대우해 줄 법률상 의무가 있습니다.

    그런데, IE는 ActiveX를 처리 할 수 있고, 나머지 브라우저는 처리하지 못합니다. 이것도 “다른 것”이니까, 그것을 근거로 차별해도 적법하지 않을까? 하지만, 이렇게 되면, 평등은 무의미한 개념으로 전락합니다. 이 세상에서 “완벽하게 동일한 두 cases”란 없습니다.

    남, 여가 평등하게 대우 받아야 한다고 합니다. 남자와 여자는 많이 다릅니다. 그러나, 대체로 보아 큰 유사성이 있으므로 임금, 직급등에 차별을 둘 수는 없는 것입니다.

    결국, ActiveX를 처리하지 못한다는 이유로 차별하는 것이 정당한지가 문제로 됩니다. 만일 그것이 법률상 정당하다면, 온 세상은 MS 천국이 되었겠지요.

    저는 기술인력과 법률가의 의사소통이 중요하다고 생각합니다. 변변 찮은 말재주 이지만, 궁금한 점이 조금 풀렸기를 바랍니다.

  22. cwryu 댓글:

    그 클라이언트의 보안 문제, 키로깅을 ActiveX로 어떻게 막는다는 건지 모르겠습니다. 아무리 그 안에서 암호화/복호화를 해 봤자 애초에 어떤 소프트웨어를 이용해서 같은 컴퓨터에서 돌아가는 같은 권한의 임의의 소프트웨어가 이상한 짓을 하지 못하도록 막는다는 게 가능한 얘기가 아닙니다. 그 소프트웨어를 만든 사람들이 더 잘 알 겁니다.

    물론 현존하는 단순무식한 키로거로부터는 안전하게 되고, 제대로 키로깅을 하려면 아주 복잡해 질 것입니다. 그로 인한 장점도 무시 못하는 게 맞습니다만, 그게 강제로 특정 ActiveX를 사용하게 할 만한 가치가 있는 지는…

  23. youknowit 댓글:

    컴퓨터 보안은 여러 요소들을 형량(balancing; 장단점들을 서로 비교, 고려)하여 어떤 선택을 할지가 결정되어야 합니다.

    바이러스 치료 프로그램”만”을 놓고 보면, 없는 것 보다는 있는게 낫다라고 경솔히 생각할 수 있겠지만, 그프로그램을 설치하는 방법이 더 큰 위험을 초래하는 방법이라면 전체적으로는 채택해서는 안될 것입니다.

    어떤 보안책을 강요함으로써 일부 이용자를 완전히 배제 시칸다거나, 소프트웨어 산업 자체를 붕괴시키는 결과를 낳게 된다면, 그 경우에도 좀 더 종합적인 고려가 필요합니다.

    보안책이 이용자의 편의를 현저히 감소시킨다면, 그점도 적절히 형량하여 적절한 수준에서 타협할 수 밖에 없을 것입니다.

    보안책과 관련된 선택은 이처럼 여러 다른 고려요인들과의 trade-off가 필요한 것입니다.

    자신이 도대체 무슨 권한으로 자기 컴퓨터를 지금 사용하고 있는지 조차 모르는 분들께는 ActiveX로 자동설치해주는 것이 좋을지 모르겠지만, 이미 자기 컴퓨터를 잘 관리하고, 일반 사용자 권한으로 컴퓨터를 구동하는 자까지도 억지로 관리자 권한으로 인터넷뱅킹을 하도록 강요하는 것은 하나만 알고 둘, 셋, 넷이 있다는 것조차도 모르는 행태라고 비판받아 마땅합니다.

    안철수 연구소는 국내 언론에서는 매우 미화되어 있지만, 저는 그 회사의 윤리성에 문제가 있다고 생각합니다. 바이러스 치료 프로그램 자동설치 ActiveX를 이용하여 전국민의 컴퓨터에 자기회사 제품을 “강제로” 깔아버리는, 세계 유례를 찾아볼 수 없는 황당한 발상은 컴맹에 가까운 공무원에게 접근하여, 감언이설로 현혹하여 따낸 “성과”에 불과합니다. 그리고 그회사 제품은 uninstall 도 못하게 해 두었습니다!!

  24. object 댓글:

    남엑스님의 의견에 절대 공감합니다.

    “지구상에 ActiveX 만 개발할 줄 아는 개발자라는 사람은 없습니다. 그냥 윈도우 개발자는 있지요.”

    ActiveX는 정말 단순히 윈도우 기반의 응용프로그램을 실행시켜주는 관문 이상의 역할 밖에는 하지 않습니다. 따라서 문제의 본질은 ActiveX가 아닙니다. 윈도우 기반으로 만들어져있는 각종 보안 솔루션이 문제인 것입니다. 비스타와의 문제도 ActiveX 자체가 문제가 아니라 기존에 만들어진 소프트웨어가 문제를 일으키는 것이지요. 너무나 많은 분들이 현재 웹에서 쓰이는 ActiveX에 대해서 잘 모르시는 것 같아서 자꾸만 이상한 방향으로 이야기가 흘러가고 있습니다.

    많은 블로거들께서는 무조건 ActiveX면 나쁘다고 아주 조건반사적인 반응을 보이는데 ActiveX는 exe 수준의 빠른 속도를 그대로 웹에서 누리게 해주는 “훌륭한” 기술입니다. ActiveX가 보안에 취약하다고 말씀하시면, 이메일에 있는 첨부파일을 무심코 실행해서 벌어지는 불상사를 보고, “이메일”이 보안의 원흉이라고 비난하는 것과 같습니다. 비스타에서는 더욱 강화된 보안으로 웹에서 실행되는 ActiveX가 나쁜 짓을 하더라도 상당 부분은 막을 수가 있습니다.

    제가 생각하는 대안으론 기존 IE+윈도우 사용자들은 그대로 ActiveX로 빠르고 풍부한 서비스를 제공해주고 다른 플랫폼/브라우저 사용자에게도 그에 맞는 서비스를 최소한이라도 제공해주어야한다고 생각합니다.

    모든 플랫폼/브라우저를 아우르는 서비스는 지금 우리가 누리는 인터넷 서비스의 80%도 이루지 못할 것이라고 생각합니다. 지금 키보드 보안/프린팅 보안 (예전 FinePrint 같은 것으로 출력을 하고 조작하는 문제로 시끄러웠죠) 등의 솔루션을 당장에 타 운영체제에도 돌아가게 만드는데는 많은 시간과 비용이 따릅니다. 그리고 이것을 하겠다고 자진하는 회사는 아마 없을 겁니다. 왜냐면 전혀 경제적으로 남는 장사가 아니거든요.

    그러나 장애인에게도 충분한 이동권이 주어지듯이 소수 웹 사용자들에게도 당연히 우리나라 웹 서비스를 충분히 이용할 수 있도록 해야합니다. 이 몫은 정부가 해야겠지요. 기업은 경제적인 이유로 이런 것을 할 수 없으니 정부가 나서서 문제를 풀어야한다고 생각합니다.

    소수 웹 사용자님들께서는 무조건 웹표준만 외치시는데 우리나라 인터넷 사용자들의 90%는 엑티브엑스가 무엇인지, 리눅스가 무엇인지도 잘 모르는 분들이 대부분입니다. 엑티브엑스 무조건 없애자고 해서 없애버리면 아마 대다수 사용자들은 아마 화를 낼 것이라 생각합니다. 왜 되던 것이 안되느냐 혹은 왜 이렇게 느려졌냐라고 말이죠.

    * * * *

    그런데, 정말 호적등본/등기부 등본/1억원의 계좌이체를 웹 브라우저에서 꼭 해야합니까? 그것도 순수한 웹 표준 기술로만으로 구현을 해야하는 겁니까?

    저 같으면 그냥 자바나 닷넷으로 만든 어플리케이션을 배포하겠습니다. 우리 스스로 웹 브라우저 안에서 모든 것이 되어야한다는 환상에 사로 잡혀있는 것은 아닐까요?

    우리나라와 같은 이 엄청난 웹 서비스를 웹 표준 지켜가며 구현한 나라는 그 어디에도 없습니다. 왜냐면 외국에서는 이렇게 풍부한 웹 서비스를 하지 않거든요. 미국 모 은행 인터넷 뱅킹도 아주 기초적인 계좌 확인/자동 인출 (각종 빌이 빠져나가게 설정) 정도가 고작입니다.

  25. lancers 댓글:

    X맨님의 글부터 시작해서 이글까지 따라오다 잘 읽었습니다. 다른 분들이 다신 댓글도 잘 읽어봤구요.
    상당수의 대중들도 그러하지만, 이 글에 관련되어 있는 많은 분들마저도 많은 것을 엮어서 생각하시는 것 같습니다. 도대체 많은 사람들(오픈웹을 포함한)이 주장하는 문제가 다음 중에서 정확하게 뭔가요?

    1. ActiveX 기술은 이제 단점만 남은 쓰레기 기술이다. ActiveX 자체가 아예 이 세상에서 없어져야 한다.
    2. IE-Window가 아닌 다른 브라우저-플랫폼에서도 대한민국 정부-공공기관에서 제공하는 서비스를 다 사용할 수 있게 해달라.
    3. IE-Window가 아닌 다른 브라우저-플랫폼에서도 어느 사이트를 가더라도 아무런 지장없이 이용할 수 있게 해달라.
    4. 현재의 공인 인증 시스템을 바꿔보자.
    5. 난 무조건 MS가 싫다. 이게 다 MS 독점 때문이다.

    많은 사람들은 이 5가지를 다 싸잡아서 얘기하고 있습니다. 그런데 이 5가지는 다 별개의 문제라고 생각하지 않나요? 별개인 문제를 다 연관지어서 몰아가니 문제인겁니다. 별개의 문제이니 사실 거기에 대한 답과 해결책도 다 다릅니다. 이 5개의 문제를 한번에 다 해결하는 절대적인 답은 어느 것도 없습니다.

    이 글에서 차니님이 제시한 대안이라는 것도 저는 그게 무엇에 대한 대안인지 모르겠습니다. 구체적인 대안이 아니라 ‘그냥 지금 상황이 싫으니 대충 이렇게 하면 되지 않을까? 안되면 말고~’라는 식 같다는 거죠.

    두서없이 썼는데, 저도 나중에 제 블로그에도 정리해서 한번 써보겠습니다.

    • channy 댓글:

      정확히 말하면 3번입니다. 2번이 단기적 요구 사항이구요. 2번과 3번은 거의 비슷한 문제이기 때문에 같은 방식의 해결을 요구하는 것입니다.

      물론 기존의 IE/윈도우 사용자는 ActiveX 체제를 그대로 두고 다른 대안을 줘도 되겠지만 장기적으로 ActiveX 체제를 그대로 둔다는 것 자체가 국가 전체적으로 보안 리스크 이기 때문에 이걸 서서히 거둘 수 있는 대안을 같이 이야기 해 준것입니다.

      저도 ActiveX가 준 순기능이 당연히 있다고 생각합니다. 그런 혜택도 많이 받았다고 생각하구요. 하지만 국가 전체의 보안 리스크나 비용 그리고 MS 자체적으로 deplication 수준의 기술을 계속 쓸 필요는 없다는 생각입니다. 과거에 그랬다고 미래에도 그러라는 법은 없으니까요. MS 조차도 Vista에 자체 리치 웹 플랫폼 기술로 ActiveX를 대체할 방법을 만들고 있는 중입니다.

      즉, 과거가 좋았다고 과거를 연연할 필요가 없다는 건 다들 아는 사실이잖아요. 과거 기술은 과거 기술일 뿐이죠. ActiveX야 기술 아닌가요? 기술이 효용성 보다 비용이 많으면 바꾸는 게 맞지요.

  26. 와니 댓글:

    지금 뉴욕에서 미국 윈도우가 깔린 미국 노트북으로 컴퓨터를 하는데.. 한국은행들과 여타 active x사이트들은 이상하게도 같은 IE로 돌려도 에러가 잘나고 오류가 생기더군요.

    그에 비해 미국은행들은 정말 그 어떤 인스톨 하나 없이 일반 웹페이지보듯 잘 들어가지면서도 보안은 잘되니.. 대체 이유를 모르겠습니다;

  27. 요즘 여기 저기서 보안 관련 사고와 해킹사건으로 인터넷이 시끄럽다.아래기사기 보안 뉴스에 올라있었다. 모든 금융 보안 사고는 금융기관에서..처리 한다..음 사용자 입장에서는 매우 좋은 소식이다.흥미롭고, 돈과 관련된 문제다 보니.한번 짚고 넘어가는 것이 좋을 듯 하다.앞으로 금융 사고에 대한 책임이 금융기관이 저야 하다 보니 금융권들은 이제 사용자 PC 의 안전에도 책임을 지지 않으면 안될거 같다.그럼..이제 금융권들이 소유 서버나 네트워크 장비를..

  28. 인터넷 뱅킹 및 공인 인증서에 대한 위험이 경고 수준이 아닌거 같습니다.이러한 보안 대책이 무엇이 있을까요…고민해 봐야 할 문제 입니다.현재의 방법이 바뀌지 않는 다면..클라이언트(사용자) 입장에서 대책마련을 하는것이 가장 빠르고 좋은 방법인거 같습니다..개인적인 생각1. 인터넷 뱅킹용 PC 를 따로 만들어 사용한다..-> 이것은 비용 부담 뿐만 아니라 현실적으로 유지 하기 힘들다..2. 인증서를 USB 메모리에 담고 다닌다… ->..

  29. 신희섭 댓글:

    그렇네요..

    많은 사람들이 같은 얘기를 하는 것처럼 보이지만 사실은 지금까지 전혀 다른 얘기를 하고 있는지도 모르겠습니다.

    제가 외치고 싶은 얘기는… 현재 보안을 위해 사용하고 있는 방법들이 전혀 안전하지 않으며 오히려 보안을 크게 해치고 있으므로

    소수 사용자의 희생을 요구하며 “실제로는 전혀 안전하지 못한” 현재의 법과 제도의 전면적인 폐지

    그 대안으로, 국제 표준을 벗어나지 않는 방법으로 서비스를 구현하고 이를 보완할 “비전자적”으로 구현된 수단의 보안 도구 제공.

    —-

    늦었지만 이같은 논의가 활발하게 보다 발전적인 방향으로 결론 내려지길 기대합니다.

  30. 김홍석 댓글:

    대단히 지엽적인 내용입니다만, 의견/질문 있습니다.

    [1] 공인 인증…
    (2) 장기 …
    1) KISA루트인증서: IE 탑재
    정확히 말하면 ‘IE에 탑재’된 것이 아니고 Windows OS의 구성요소가 자동으로 다운로드하는 루트 인증서 패키지에 KISA가 들어간 것입니다. IE는 그걸 이용하고, 기타 브라우저는 인증서를 따로 관리합니다. Windows XP, Server 2003, Vista, 그 이후 OS에서만 설치가 자동으로 됩니다. 몇몇 의견을 들어보니 Windows 98 사용자는 불편이 여전하기 때문에 국내에서 KISA 하위 인증서 보급에 어려움이 크다고 생각한답니다. (저는 그렇게 생각하지 않습니다만)

    1) KISA루트인증서: FireFox 탑재 진행 중
    링크하신 모질라 버그 파일 읽어보았습니다. 작년 7월 최초 파일링 때 WebTrust 인증을 받았다고 했다가, 나중에 근거 자료를 요청받고 사실은 정통부가 감사를 진행한다고 했습니다. 그 뒤로는 진행이 되지 않고 있는 것 같은 느낌인데, 혹시 이것이 FireFox 탑재가 지체되는 이유입니까?

    1) KISA루트인증서:
    Safari에 대해서는 어떻게 추진 중인지도 궁금합니다.

    2) SEED가 연내에 윈도우 탑재 예정
    혹시 Windows Vista의 CNG 상에서 구현될 거라는 의미이신지요? 맞다면, Vista(및 그 차후 버전)에만 국한될 뿐더러 별도의 배포 방법을 가져가야 합니다. 지금처럼 민형사상 문제로까지 커지지 않았다면 아마 SEED 설치에 또 ActiveX가 고려되었을 거라고 예상해 봅니다.

    저는, 현실적으로 우리가 웹 표준으로 할 수 있는 일보다 너무 많은 것을 웹 브라우저에 바라고 있는 것은 아닌가 생각합니다. 외국과 비교한다면, 그 쪽은 순수한 웹 표준만 갖고는 오프라인 수준의 작업을 허용해서는 안 되는 일이라 판단했고 그만큼 인터넷 뱅킹에서 할 수 있는 범위를 제한했을 거구요.

    국세청 사이트에서 뭐라도 하려고 하면 ActiveX를 시작으로 엄청난 프로그램을 깔아서 브라우저 화면을 아예 떠나 폼 작업을 하고 몇몇 정부 사이트는 인쇄 위변조를 막기 위해 심지어 프린터까지 자신이 제어하려 합니다.

    한편, 금융 사고가 나면 무조건 금융 기관이 책임을 지게 되어 있다보니 자꾸 사용자 PC에 뭔가를 강제로 깔려 하는데, “내 책임이다”라고 명시하는 사용자 만이라도 잡다한 보안 강화(?) 툴 설치를 선택할 수 있게 허용해 주었으면 좋겠습니다.

    정말 많은 웹전문가, 프로그래머, 엔지니어 분들이 유례없이 큰 관심을 갖고, 각자 자신의 경험과 믿음을 바탕으로 블로깅이나 기고를 하고 계십니다. 이게 소모적으로 흐지부지되지 않고, 정말 (필요하다면) 이 현실을 바로잡아야 한다고 생각한다면, 이렇게 반복되는 논쟁보다는 문제는 무엇무엇이고 이의 해결이나 대안은 각각 무엇이고 다시 그것에 대한 장단점과 방해 요소는 무엇이고… 정말 진지하게 논의해 보면 좋겠습니다. 시간과 공간의 제약이 없는 인터넷 토론도 좋긴 합니다만 자칫 반복되고 소모적으로 흐를 우려가 보입니다. 누군가가 주도하여 오프라인 모임도 가져보고 언론의 도움도 받아보고, 지금보다는 한 발짝 나가는 모습을 보면 좋겠습니다.

    관련법을 바꿔야 되는지, 서비스 프로바이더나 개발자의 마인드셋을 바꿔야 되는지, 국민의 보안 의식 제고 교육이 필요한 것인지, 저도 참 궁금합니다.

  31. 백진영 댓글:

    음… 뻘쭘합니다 . 전문가들 엄청많네요. 주변에 프로그램관련 사람들 이야기 들어보면 개발자중에 엑티브엑스 찬성하는사람이 좀 있는건. 정말 단순하게 엑티브엑스가프로그래밍 하기 ‘편해서’ 라는 이야기도 있던데말이죠..

  32. 굼뜬바람 댓글:

    좋은 토론을 보았습니다. 전문가분들 얘기에 끼어드는 것 같아 좀 뭐하지만…

    신용카드 보안을 위해 프랑스 정부는 은행이 인터넷뱅킹 서비스를 할 경우 의무적으로 일회용 신용카드 번호를 무료로 발부 받을 수 있게 하고 있습니다. 카드 소유자는 물건 구입 직전에 해당 은행에서 일회용 번호를 발급받고, 그 번호를 이용해서 쇼핑사이트에서 결제할 수 있습니다. 번호를 도난당해도 일회용이므로 쓸모가 없는 번호가 되는 것이지요.

    이 일회용 카드번호 발급 기능은 한 은행에서 시작한 것인데, 나중에 정부에서 모든 은행으로 강제한 것이지요.

    정부가 인터넷 거래활성화를 위해, 약자인 소비자의 편에 서서 기업들에게 투자를 강제한 경우입니다. (좌파 정부 때 이 정책은 추진되었고, 우파정부가 들어서도 정책이 유지가 되었습니다.)

    결국 소비자가 인터넷 거래에 신뢰를 가질 수 있게 됨으로써, 기업도 이익을 누리게 되었으니 양자 모두 결국은 이익을 얻게되었죠.

    프랑스정부는 자국의 군사네트웍크를 리눅스로 구축하도록 법제화해서 추진했는데, 국가의 보안이 걸린 문제를 MS라는 일개 사기업만이 그 코드를 볼 수 있는 윈도우시스템에 맞겨서는 않된다는 논리였지요.

    한글 자판 선정도 그렇지만, 가만히 살펴보면, 결국 정부가 얼마나 충실하게, 몇몇 사기업의 이해관계에 휘둘리지 않고, 철저히 합리적으로 공공의 이익을 추구하고 있는가 하는 문제가 아닐까 하는 생각이 듭니다.

  33. link's me2DAY 댓글:

    ActiveX와 공인 인증에 대한 대안