2009년 4월 4일 토요일

오픈웹에서 오해하기 쉬운 사실 #1

이 글은 균형잡힌 시각이 어느정도 제시되어야 할 필요가 있다고 생각되어, 연재될 글 중 첫번째 글이다.

오픈웹의 여러 의견 중에서 일리가 있다고 생각되는 것 중 하나는, “적어도 은행 정도 되는 중요 서비스 제공자라면 ActiveX 컨트롤로 백신이건 키보드 보안이건 선의의 목적으로  고객에게 보안강화를 위한 프로그램을 제공할지라도, 충분한 설명없이 설치를 하도록 하는 것은 좋지 않으니 개선하라” 는 점이다. 그 점은 공감대가 충분히 형성된다.

골드바에 “이 웹사이트에서 ‘Initech. Inc 에서 배포한 ‘INISAFEWeb v6 Web Client ….를 설치하려고 합니다. 이 웹사이트와 추가 기능을 신뢰할 수 있고 설치를 원하는 경우 여기를 클릭하십시오” 라는 브라우져의 메시지 만으로는 충분하지 않다는 관점이다. 보다 확실하게 프로그램 용도를 설명해야 하는데, 지엽적인 문구이긴 하지만 웹페이지 본문의 ‘반드시 '예’ 를 선택하여 주십시오’ 라는 문구가 문제라면 문제다 .

물론 그 문장 바로 아래에 이는 안전한 통신 방법을 제공하기 위해 필요한 소프트웨어를 설치하는 절차이며… 라는 설명이 있기는 하지만 충분하다고 보기에는 부족할 수 있다. image

http://bank.kbstar.com/com/html/b016475.html

http://bank.kbstar.com/com/html/b016475.html

http://bank.kbstar.com/com/html/b016475.html

등의 기존 안내 페이지에 이게 어떤 용도의 프로그램이고 왜 필요한지 조금만 더 상세히 설명을 달아두는 쪽으로 개선하면 우선 급한 지적은 해결될 수 있을 것이라 생각된다.

다만, 오픈웹 내의 몇몇 글들에서 보이는 논리들을 보면 과장됨에 눈살을 찌푸리게 된다. 이런 글들은 근거가 미약한 의견을 내놓고 있는 것 역시 사실이다.

대표적인 것들로는

-“ActiveX 는 무조건 위험하다” 라는 오픈웹내에 달리는 reply 들에서의 집단적인 분위기

-“백신프로그램을 setup 형태로 배포하지 않고 ActiveX 형태로 배포한 것이 잘못되었다” 라고 판단하는 글

-“백신프로그램을 ActiveX 형태로 배포하여 고객들이 반사적으로 ‘예’ 라고 클릭하는 것이 훈련되어 보안에 도리어 더 취약하도록 학습되었다, 백신업체의 책임이 크다” 라는 논조의 글

- 이 논리는 ActiveX 와 관련된 다른 논조와 혼용되어 섞여 나오기도 하는데 “ActiveX 를 깔게 되어 관리자 권한이 필요하고, 관리자 권한으로 쓰도록 강제되다 보니 더 취약하게 됬다”는 것

들이다.

충분한 지식이 갖춰진 사람들이라면, 그리고 오픈웹을 오랫동안 지켜온 사람들이라면 주장에서 과장된 면과 호도되는 면을 구분해 내고, 오픈웹의 주장들의 취지는 “웹표준이 지켜지고 ActiveX 의 잦은 설치유도에 짜증나는 현재의 웹 환경을 개선해 보자”는 목적을 위한 것임을 알 수 있다. 그래서 다소 말은 저렇게 했지만 본의는 저게 아니라는 것을 알수 있다. 하지만 요근래야 오픈웹을 알게되어 방문한 사람들에게 느껴지는 오픈웹의 전반적인 분위기는.. 우려된다. 처음 오픈웹에 방문한 사람은 잘못된 시각을 가지게 될 우려가 높다.

일단 오픈웹 내의 댓글들이나 원글들에서 느껴지기 쉬운 ‘ActiveX 는 무조건 위험하다” 라는 것은 오해이다. ActiveX 는 기술일 뿐이다. ActiveX 를 악용해서 악성코드를 구현했다거나 한다면 그것은 나쁜일이다. 하지만 온라인 백신 프로그램이 웹상에서의 라이브 설치와 구동을 효율적으로 하기 위해 ActiveX 로 개발된 것이 나쁜 일은 당연히 아니다.

이것은 온라인 상에서 setup.exe 를 내려보내지 않고 즉시설치와 즉시실행이 가능하기 위한 효율적인 방법 중 하나로 ActiveX 기술을 채용한 것에 불과하기 때문이다.

비단 국내 백신이 아니더라도 외산백신을 포함하여 이미 몇년 전(최소 4~5년은 된 것으로 기억된다.) 부터 거의 모든 백신 업체들은  ActiveX 형태로 구동되는 online 백신을 각 백신 벤더의 다국어 페이지들에서 서비스하고 있다.

예:

MS: http://onecare.live.com/site/ko-kr/tryscanner.htm

Trendmicro: http://housecall.trendmicro.com/

McAfee: http://us.mcafee.com/root/mfs/default.asp

위 예 외에 거의 대다수의 백신회사가 ActiveX 기반의 live scan 을 제공한다고 보면 된다. 물론 실시간 탐지기능이 빠진 on demand scanner 이다. (실시간 탐지기능까지 갖춰진 백신이 무료로 흔하게 퍼져 있는 나라는 많지 않다. 이스트소프트의 알약, nProtect AVS, AhnLab 의 V3 lite 등이 그 좋은 예이다. 우리나라를 제외하고는 이렇게 무료백신이 적극공세하는 경우는 드문일일 것이다.)

더불어 Online virus scanner 를 서비스프로바이더 (ISP, portal, game…) 에 공급하는 상품 모델도 존재한다. 마치 우리나라에서 ISP 나 게임사, 포탈들이 백신서비스를 제공하는 것과 유사하다. 다만 현재 우리나라는 대부분 ISP, 게임사, 포탈들이 백신비용을 부담하고, 고객은 무료로 쓰게 되었다는 것이 다른 나라들과의 차이점이다. (대표적인 무료백신인 알약이 출현하기 전에도 이런 트랜드는 이미 한국에서 굳어져 가고 있었다.)

 

일단 오픈웹 사이트 내의 많은 글들이 주장하는 것처럼, 나는 이미 PC 내에 백신이 있고, 내 피씨 보안은 내 책임하에서 알아서 할테고, 내 피씨 보안이 허술하여 금융사고가 일어날 시 모든 책임은 내가 질테니 ActiveX 형태로 백신 설치를 강제로 하지 말라, 선택권을 돌려달라는 이슈에 대해 살펴보자.

가까운 일본에서의 예를 살펴보자. 일본의 주요 포탈과 백신 벤더들의 일본 홈페이지, ISP/ADSL provider 홈페이지들을 주욱 살펴보니 단순히 백신사와의 co promotion 에 의해 백신을 제공해 주되, 평가판 설치본을 다운받아서 설치받는 방식도 있고,  ActiveX 방식으로 무료 스캔해주는 방식이 혼재되어 있다. 하지만 일본내에서도 무료제공에 대한 필요성이 점차 나타날 것이고, 고객보안의 중요성이 나날이 커지다 보면, 일본 역시 3~4 년 후 현재의 한국처럼 많은 서비스프로바이더 들이 온라인 형태의 백신을 무상제공할 확률이 높고, 더불어 실시간 탐지 기능까지 제공되는 무료백신이 확산될 가능성이 높다고 조심스레 예측해 본다.   

l 카스퍼스키와 @nifty 가 제휴한 http://www.nifty.com/security/vcheck/kav/kavwebscan.html

l 트랜드마이크로의 http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php

l 시맨텍의 www.symantec.com/region/jp/securitycheck/

l 맥아피의 http://jp.mcafee.com/root/mfs/default.asp

야후BB나 빅블로그 가 가입자에게 제공하는 서비스 체계 (http://security.biglobe.ne.jp/, http://bbservice.yahoo.co.jp/service/bbsecurity/ )를 보시면 3~4 년 전쯤의 한국 상황처럼 느껴진다.

U-net (http://www.netsurf.ad.jp/sv/SEC/index.html) 이라든가 T-net (http://www.t-net.ne.jp/secure/index.html) 이라든가 , TST (http://www.tst.ne.jp/option_serv.html) 하는 소규모 CATV, ADSL service provider 들에까지 구석구석 provider 에 의한 보안솔루션 제공이 이루어 지고 있다. – 무료/유료 혼재 중 

한국과 명시적인 차이가 있다면, ActiveX 방식이라 하더라도 유저가 통제권을 가지고 있어서 ActiveX 설치후 즉시 구동이 아닌, 유저의 명시적인 click 에 의해 유저가 원할 때 구동이 된다는 점이다. 아니면 ActiveX 가 구동되는 진입 전에 충분한 동의 페이지를 만들어 둔다는 점이다. 이유는 일본의 인터넷 유저들의 문화 자체가 active X 방식으로 제공되는 프로그램을 꺼리는 점도 있고, 제공해 주어서 고맙긴 하지만 강제로 내 PC 에 무언가를 프로바이더가 깔아버리는 것은 싫다는 정서 때문이기도 하다. 

누가봐도 깔끔하다. “무료로 제공해주니 좋다. 단, 내가 원할 때 구동시킨다.” 이는 지극히 당연한 것이고 정상으로 보인다.

한국도 nProtect Netizen 이나 AhnLab 의 Ahnlab Online Security 가 사용자가 명시적 클릭을 해야만 실행되도록, 즉 user 가 원할 때만 on demand 로 동작하게 하면 안되는 절박한 사연이 있는가? 있다. 그것도 많이… 심각하게.

전자금융거래법에서 http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=003&cPage=1&seq=10046 와 같은 기술적 보호범위가 정해져 있고, 몇몇 인터넷 뱅킹과 관련된 해킹사고시 판례가 고객쪽에 유리하도록 났었던 것 때문이다.

현재 법내의 문구 상에서 콕 찝어서 ‘고객의 모든 보안을 완전하게 개런티 하라’ 라고 써있지는 않다. 그렇다고 고객피씨 보안이 취약했다는 것을 입증하면 면책을 받는 분위기도 역시 아니다. 도리어 상대적 약자인 고객의 편을 더 들어주는 상태이다. 결국 은행에게 중요한 것은 현 시점에서의 여론방향과 판단 경향이다. 현재는 뱅킹서비스프로바이더에게 절대 유리한 판단이 나온다고 기대하기는 어렵다.

(관련 몇몇 링크들)

http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=003&mid_cate=001&cPage=1&seq=13843

http://likms.assembly.go.kr/law/jsp/LawThree.jsp?WORK_TYPE=LAW_THREE&LAW_ID=A2003&PROM_DT=20080229&PROM_NO=08863&LAW_KD=법률&Before=LAW_BON

당연히 금융권은 보수적으로 움직일수 밖에 없다. 고객의 PC 에 보안상 헛점이 많아서 고객 책임이다라고 칼같이 그을 수 있다면 좋겠지만, 법원에서도 고객측의 손을 자주 들어주는 편이다.

이러한 상황에서 금융권은 어떻게 해야 할까?

객관적인 체크리스트가 없이 “충분한 기술적 보호조치가 있었는가” 와 같은 판사의 주관적 판단기준이 들어가기 쉬운 부분이 있다면 이 법적인 책임소재와 관련된 불확실성 risk 를 줄여야 한다.

요컨데, 원격의 불특정 다수의 인터넷 유저가 인터넷을 통해 인터넷 뱅킹 사이트에 접속시 로그인을 하려는 순간 (id, password, 공인인증서 로그인을 하기 바로 전단계) 고객 PC 에 실시간으로 악성코드나 키로거가 설치되어 있는지 탐지하기 위해 현존하는 기술을 써야 한다. 그리고 가장 실시간으로 즉시성 있게 탐지할 수 있는 실용적인 기술이 공교롭게도 ActiveX 인 것 뿐이다. 

지금 이순간 ActiveX 형태의 온라인 백신을 모두 인터넷 뱅킹 사이트에서 치워버리고, Setup 만 내려보내거나 백신을 사용하라고 홍보만 강화할 경우 어떤일이 일어날 수 있을까? 

ActiveX 형태의 온라인 백신은 강제로 구동되며 설치와 동시에 실시간 탐지가 이루어 짐을 어느정도 보장할 수 있다. 하지만 setup 만 내려보내고 자율적으로 설치케 할 경우 고객이 백신을 설치했는지 유무는 원격의 서버에서 알아낼 방법이 마땅히 없다.

고객의 피씨에 백신이 깔려서 잘 구동중일 거라고 막연히 기대할 수는 없으니, 서버쪽에서는 고객의 피씨에 백신이 깔려 있는지를 체크할 필요가 있다. 그리고 예를 들어 백신이 없다면 구동시켜 주어야 한다. (할수 있는 한의 기술적 보호에 최선을 다했고 면책을 위해서라도)

이 모든 것이 가이드라인에 명시적으로 이렇게 해야만 한다고 나와있지 않다. 하지만 현행대로라면 최소한 이렇게 해야 한다고 생각된다. 또 이것이 대다수의 인터넷 뱅킹 유저의 보안에 도움이 된다는 의도하에 진행된다. (IE 밖에 못쓴다거나 호환성이 떨어져 상위버전 브라우져에서 동작 안된다거나는 잠깐 덮어두고 마저 이야기를 들어보자.)

인터넷 뱅킹 서버가 Javascript, CSS, HTML 등의 소위 표준 웹기술만으로 원격의 피씨에 백신이 로그인 시점에 구동중으로 피씨를 보호하고 있음을 알아낼 수 있겠는가? 불가능하다. 물론 기존의 알려진 백신의 설치와 구동유무를 체크하는 별도의 ActiveX 가 설치되어 고객 PC 에 기존에 백신이 구동중이라면 설치를 pass 시킬 수는 있겠다. 하지만 ActiveX 를 걷어내고 싶어하는 오픈웹 입장에서는 이는 은행이 제공하는 백신의 선택, 취소 유무를 ActiveX 에 의해 자동탐지하는 것이므로 받아들이기 힘들어 할 수도 있다.

하지만  은행은 원격에서 접속하고자 하는 PC 가 백신이 설치되어서 실시간 탐지에 의한 보호를 받고 있는지 verify 해야 한다. 하지만 원격에서 고객PC 에 백신이 구동중인지, 적절히 설치되어 있는지를 verify 하기는 복잡하므로 키보드 보안, 백신을 ActiveX 로 강제 구동한다.

기존에 고객 피씨에 백신이 있더라도 그게 제대로 업데이트 되어 있고 잘 동작중임을 어떻게 확신하는가? 대신 새로 강제로 온라인 백신을 구동시킴으로 확실함을 택하는 것이다.

==> 이 부분은 어쩌다가 댓글 다는 사람을 잘못 만나서;;; 주저리 주저리 답을 달아야 했다. (http://openweb.or.kr/?p=572#comment-24381)

요컨데, 최악의 경우 setup 만 배포시 고객의 피씨가 키보드 보안이나, 백신에 의해 보호되지 않고 있는 상황일 수 있음을 알면서도 로그인 진입을 알고도 허용했다면, 심지어 이런 위험한 상황에 놓인 고객들이 있게 됨을 충분히 사전에 예측했음에도 setup 만으로 내려보내고 실시간 구동형 ActiveX 형태의 백신을 사용하지 않았다면, 이에 대해 ‘무지 또는 부작위에 의한 방조’ 로까지 몰릴 수 있다. (과장해서 표현하자면 그렇다는 이야기다. 그렇다고 이 이야기가 전혀 확률이 없는 이야기냐? 라고 하면 그렇지 않다.)

또, 개인의 피씨 보안이 허술할 경우 은행은 책임지지 않는다는 문화와 실질적 판례가 자리잡게 되더라도 힘든 것은 마찬가지이다.  오픈웹에 달았던 내 커맨트에 적어두었다. 

 

현재 전자금융과 관련된 사고가 발생시 서비스제공자가 서비스이용자가 보안이 취약했는지를 입증해야 하는 구조입니다. 하지만 이는 거의 불가능에 가깝습니다. 단순히 서비스제공자가 제공한 AV, 키보드보안을 설치했느냐 안했느냐보다 더 복잡한 이슈입니다.

고객 PC 가 해킹당했을 경우, 해킹발생으로부터 고객의 해킹인지 까지 많은 시간이 흘러 있을 수 있는데, 이 사이 HDD 내에는 수많은 변화가 일어나 있는 상황입니다.

유저가 백신을 설치해서 해킹툴들을 지워둔 상황, 해커가 스스로 증거를 없애기 위해서 해킹툴을 삭제한 상황, 인터넷 뱅킹시점에 다른 사이트 접속을 위해 띄워둔 브라우저에서 종류가 조금 다른 악성코드가 유입된 상황… 또는 계속 I/O 가 일상생활에 의해 일어나서 수시로 파일들의 날짜가 바뀌는 상황, 요컨데 digital forensics 관점에서 디지털 증거가치가 극히 낮은 훼손된 상태 또는 추적하기 상당히 지저분한 상태입니다.

또 피씨에 취약점이 있었다는 것을 입증하는 것도 문제점이 많이 도사리고 있습니다. 보안패치가 안되어 있다고, 인터넷 뱅킹을 하는 그 시점에 그 보안패치 안된 것이 해킹으로 이어졌다는 개연성을 입증해야 합니다. 특정 보안패치가 안되었어도 공격을 받지 않았다면 해킹을 안당했을 수도 있는 겁니다. AV 가 없으면, 키보드 보안이 없으면, 바로 그 뱅킹을 하는 시점에 해킹당한다라는 명제는 성립될 수 없기 때문에 증명이 어렵습니다.

요컨데, 어떤 취약점이 존재했고 그 취약점으로 인해 정확히 뱅킹을 하는 그 타이밍에 해킹으로 어떻게 이어졌다라는 것이 입증되어야 하는데요. 이것은 그 피씨를 실시간으로 모니터링 하고 있었다면 모를까, 정확히 추적하기는 매우 어려운 일입니다.

 

은행에서 배포되는 보안ActiveX 모듈들이 한국의 인터넷 유저들이 ‘예’ 라고 클릭하도록 학습시킨 주범일까?

과감히 ‘아니오’ 라고 말한다.

잡설이긴 하지만 setup.exe 로 내려받는다 한들, “충분한 고지를 다운로드 과정에서 하지 않는다면” 또 오픈웹에서 주장하는 것과 같은 논리에 의해 비난받을 수 밖에 없을 것이다. setup.exe 에서도 다운로드시 노란 줄 (골드바) 에서 예를 누르고, 실행/저장시에도 ‘예’ 를 누르고, 설치 progress 단계에서 무수한 ‘예’ 를 눌러야 한다.

많은 인터넷 유저들은 지금 설치되고자 하는 ActiveX control 이 어떤 파일이고 믿을만한가에 대해 충분히 고민하지 않는만큼 내려받는 setup.exe 가 어떤 파일인지 충분히 고려하지 않는다.

하물며, 인터넷의 짧지 않은 역사 중, 참 짧은 인터넷 뱅킹 서비스에서 ActiveX 형태로 배포되는 보안모듈에 ‘예’ 라고 답하는 것에 훈련이 되어 악성코드가 ActiveX 형태로 설치되려 할 때 ‘예’ 라고 대답할 가능성이 더 높다?

사실 명확한 근거가 없는 이야기이다. 

그것은 과거부터 웹서비스 가입시나 각종 소프트웨어 설치시 약관이용에의 동의에 ‘예’ 를 하지 않을 경우 이용할 수 없기 때문에 ‘예’ 를 눌러야만 하는 적극적 동의를 강요받는 반강제적 상황을 이미 충분히 겪어왔기 때문일 가능성이 훨씬 더 높다고 본다.

 

잠깐, 보안업체들은 과연 이 온라인백신, 키보드 보안을 납품하여 돈을 벌었을까?

결단코 아니라고 장담할 수 있다.

금액을 밝힐 수는 없지만, 정말로 헐값임을 보장한다.

인터넷 뱅킹 유저수가 몇명이건 간에 관계없이 무한정 쓸 수 있는 온라인 백신 라이센스를 A 라는 은행에 공급하고, 돈은 정말로 적게 받는다. 그리고 패턴업데이트, call center 유지, 기술지원으로 적지않은 노력이 온라인 백신 납품 후에도 계속 들어간다.

은행에서 어떻게든 강제로 프로그램을 구동시켜서 어떻게든 팔아보려고 백신업체들이 기를 쓴다? 라는 부분은 억측이다.

(예: http://openweb.or.kr/?p=975 내의 “어떻게 해서든 보안프로그램을 강제로 깔고자하는 보안 업체의 필사적 시도가 그대로 노출되는 것입니다” 와 같은 부분은 오해의 소지가 높다)

온라인 백신을 모두 없애고, 패키지로 판매를 유도하면 백신사는 보다 높은 수익을 올릴 수 있다.

그러면 이 상황을 어떻게 기술적으로, 제도적으로 개선해야 할까?

일단 무엇보다도 시급한 것은, 해킹시 금융권에서 소위 현재 인터넷뱅킹 고객들의 손을 들어줄 확률이 높다는 것 때문에 망설이고 있는 현실을 풀어야 한다. 그 후에야 고객에게 백신을 설치하고 말고를 선택할 권리를 주는 것에 대해 진중히 논의할 수 있다.

또 어느정도 피씨에 대해 지식이 있고, 보안마인드가 있는 국민이라면, 이 상황이 불만족 스러울 것이다. 내 피씨는 내가 챙기고, 내 피씨에는 이미 백신이 있고 패치도 최신버전까지 잘 해두었고 심지어 피씨방화벽도 따로이 설치하여 쓰고 있는데, 불필요한 온라인 백신이 구동되면서 안깔아도 될 온라인 백신을 깔게 되었다거나, 피씨가 느려진 것 같다거나, 게다가 은행마다 매번 같은 것을 버전차이로 또깔라고 하고, 심지어 어떤 때는 충돌도 나고.

하지만 상당히 많은 수의 인터넷 뱅킹 유저들은 집 피씨에 무료백신 하나 없는 경우도 많다. 피씨가 정품 Windows OS 를 쓰지 않아서 Windows update 시 genuine advantage check 를 할까봐 hotfix 도 못받고, 서비스팩은 엄두도 못내는 사람도 많다. (물론 인증을 요구하지 않는 hotfix 다운로드 URL 을 일일히 찾아가며 할 수도 있겠지만…)

오죽하면 KISA 에서 온라인 보안 패치 서비스를 MS 와 협상해서 제공하고 있겠는가?

(“http://www.boho.or.kr/pccheck/pcch_05_02.jsp?page_id=5” 중

질문아이콘Windows 정품을 이용하지 않더라도 패치가 가능한가요?

답변아이콘개별 PC자동보안 업데이트 파일은 정품인증과 상관없이 설치하실 수 있습니다.)

부분적인 대안으로는 아래의 사항을 할 수 있겠다. 근본적인 대안은 물론 아니다. 현행 하에서 가장 빨리 할 수 있는 최단기책을 고려해 본 것이라 보면 되겠다.

1. 최대한 annoying 을 줄여주자

A은행에서도 nProtect 를 제공하고 있고 B은행에서도 nProtect 를 제공하고 있다면 엔진의 새로운 설치 없이 패턴업데이트만 live 로 진행되도록 은행간, 보안업체간 조율을 통해 확실히 해야 한다. 이미 이 부분은 논의가 예전부터 있었고, 매번 사이트마다 설치되는 것과 관련된 지적사항들이 많아서 같은 소프트웨어의 같은 버전인 경우에는 사이트가 바뀌었다고 매번 설치를 새로 하지는 않도록 조정이 되어가는 것으로 알고 있다.

2. 또 ActiveX 냐라고 할 수 있겠지만, 키보드 보안, 백신이 구동중인지를 check 하는 ActiveX 를 은행공통으로 쓸 수 있도록 공통 버전으로 하여 빌드, 어느 은행에 방문했건 한번만 방문해서 이 ActiveX 를 설치했다면 중복설치는 발생하지 않도록 한다. 그리고 이 ActiveX 를 이용하여 기존에 백신이 구동중이라면 nProtect Netizen 이나 Ahnlab online security  와 같은 온라인 백신의 구동을 skip 시켜주자.

3. 통합 패키징으로 한번만 깔리게 해주자.

vendor 가 제각각이라고 해도 조합이 많지는 않다. 키보드 보안은 안랩, 킹스정보통신, 소프트캠프… 실시간 온라인 백신은 안랩, 잉카인터넷 정도. 기타 암호화 통신을 위해 이니텍 또는 소프트포럼의 모듈을 쓰는데, 금융보안연구원이나 금결원에서 조금만 힘을 내줘서, 3번씩 각각 설치되게 하지 말고 A패키지(안랩키보드보안+안랩백신+이니텍암호화), A’패키지(킹스정보통신 키보드보안+안랩백신+이니텍암호화)……와 같이 3개가 각각의 case 별/OS별로 패킹된 cab 파일을 만들어서 1번의 클릭으로 3개가 설치될 수 있게 하자. 비록 비 IE 유저들은 많은 혜택을 못느끼게 되겠지만, 최소한 IE 유저들은 조금이나마 덜 짜증이 날 것이다.

확실한 것은 지금 당장 현재 인터넷 뱅킹 사이트들에서 ActiveX 형태의 온라인 백신 제공과, 키보드보안 제공을 걷어내는 순간 지금보다는 최소한 몇배 이상의 인터넷 뱅킹 사고가 날 것이라 예측해 본다.

현재의 온라인 백신 강제 구동은 집 피씨에 무료백신 하나 없는 이들을 위해 구동되게 한 조치이니, 우리나라 전반적인 보안마인드가 올라가서 백신 정도는 누구나 기꺼이 정품구입해서 쓸 정도의 문화가 자리잡기 전까지는, 먼저 보안마인드와 IT지식을 습득한 당신이 좀더 아량을 보여줘야 되는 때가 아닐까.

물론 지금 상황이 정상이 아니라는 것에 동의하고, 이 상황이 어서 개선되어야 할 것이다. 이를 위한 기술적 대안을 지금부터 진지하게 고민해보자! 라는 것에는 언제라도 미력하나마 자발적으로 힘을 보태고 싶다. 하지만, 이런 건강한 방향이 아닌, ActiveX 는 악의 축이라고 호도되는 것에는 경계심을 품어야 할 것이다.

 

맺으며

SaaS (Software as a Service) 처럼 Security as a Service 라는 영역도 점차 커져갈 것 같다.

안랩의 MySaas (http://www.mysaas.jp/) , 잉카의 nProtect  http://nprotect.jp/ 는 일본에 진출하여 통신사들 외에도 금융권에도 활발히 제공중이다. 건승을 빈다.

ActiveX 로 보안모듈을 제공한다고 해서 우리나라가 뒤쳐져 있는 것은 아니다. 고객에게 보다 나은 보안을 제공하려는 서비스프로바이더들의 마음은 어느 나라나 이제 대세로 되어가고 있다. 우리나라는 좀더 일찍 이것에 눈을 떴을 뿐이고, 일찍 눈을 뜨다보니 그 당시의 적절한 설치/배포기술이었던 ActiveX 를 채택하여 구현된 것 뿐이다.

ActiveX 로 만들어진 것은 모조리 ‘악’ 이라고 호도될 수 있는 글을 본다면 정정하자. ActiveX 는 기술중 하나일 뿐 악용되지 않는한 안전하다고. 좋은 목적의 참 소프트웨어 역시 ActiveX 로 충분히 구현될 수 있다고.

댓글 6개:

  1. Please excuse me for writing in English. I cannot have access to Korean Input Method at the moment.

    The difference between deploying an ActiveX plugin and providing an installation file (.exe) with a download link is this:

    1. In the case of an ActiveX plugin, the user has absolutely no idea about the program he is asked to install. The explanation comes only AFTER the user chooses No.

    2. In the case of a download link, the user know why he is downloading, and what the program is for. The information is provided BEFORE the user decides to download the program.

    In short, the difference is WHEN the information is provided. Please have a look at how Bank of China does it. http://openweb.or.kr/?p=1080

    답글삭제
  2. 시리즈로 함 내 보죠.

    "오픈웹에서 오해하기 쉬운 사실 - 이경문편" 만들어 봤습니다. ^^

    http://www.gilgil.co.kr/bbs/zboard.php?id=free&no=2793

    답글삭제
  3. 안녕하세요 교수님,
    openweb 이 현재 접속이 안되서, BoC 만 접속해 보고 댓글을 답니다.

    제가 ActiveX 옹호론자는 아닙니다만, 교수님의 논리는 오류가 존재한다고 생각되어 댓글을 덧붙입니다.

    아래와 같은 사항에도 대응가능하도록 논리를 새로 세우시면 오픈웹이 주장하시는 바를 보다 많은 사람들이 쉽게 수긍할 것이라 생각됩니다.

    일단 주관성의 배제가 필요합니다.
    - ActiveX 가 setup 으로 내려보내는 것보다 취약하다 라는 것은 fact 가 아닙니다. 제 글 본문에 이유는 설명되어 있습니다.
    - ActiveX 로 설치되는 프로그램들은 설치되기 전까지 이게 뭐하는 프로그램인지 알 수 없다 라는 것도 fact 가 아닙니다.

    install shield 따위에서 프로그래스 단위에 얼마나 친절히 메시지를 넣어 두었느냐, setup 파일을 다운로드하기 전 웹에 얼마나 상세히 설명해 두었느냐에 따라서 setup.exe 도 설치/실행되는 내내 뭐하는 프로그램인지 전혀 알 수도 없고 은행에서 배포되는 파일이니까 그저 믿음에 의해 깔고 실행하게할 수도 있습니다.

    서비스프로바이더가 바이너리를 배포시 충분히 메시지를 고시하느냐 안하느냐를 문제삼는다면 제 글에 나와 있듯이, 은행들이 현재보다 좀 더 메시지를 강화해서 고객과 커뮤니케이션을 확실히 해야한다로 동의될 수 있습니다만,

    단순히 ActiveX 는 설치하기 전에 이용자가 이게 무슨 프로그램인지 전혀 알방법이 없다는 것은 오류입니다.

    기술적으로, 웹페이지 구성상으로 (기타 여러 방법으로) ActiveX plugin 이 설치/실행되기 전에 웹페이지상에서 충분한 설명을 제공할 수도 있고, 골드바(노란줄)가 뜨기 전에 팝업으로 알릴 수도, 골드바(노란줄)이 올라온 페이지에 설명을 친절히 더 덧붙일수도, 아예 이 페이지로 진입 전의 페이지에서 친절히 설명을 달아둘수도 있습니다.

    현 논리대로라면 은행들에서 ActiveX 설치/실행되기 전 팝업이라든가 웹페이지 상에서 충분한 설명을 곁들이는 것으로 해결을 할 수 있습니다.

    오픈웹에서 위와 같이 ActiveX 를 고수하되 메시지를 강화하여 해결하는 것을 원하시는 것이 아니라면, 즉, 교수님께서 주장하시고픈 취지(ActiveX 시 비 IE 브라우져에서 이용하기 불편하다) 를 살리고 싶으시다면, 실행파일 vs. ActiveX 구도는 공격 포인트를 약간 잘못잡으신 것 같고, 다른 논리를 추가로 찾아보시는 것이 좋을 것 같다고 조언드립니다.

    또 위와 같이 setup 을 이용해서 배포하는 쪽이 좋다고 교수님께서 주장하신다고 할 때도, 어짜피 '설치' 는 필요하니 '관리자 권한' 도 요구될 겁니다. 관련된 '권한' 관련되어 나오던 논리도 다듬으셔야 지엽적으로나마 꼬투리 잡히시지 않으실 것 같습니다.

    답글삭제
  4. 솔직히 제생각에는 글쓴이도 좀 오버하는거 같네요.

    - ActiveX 가 setup 으로 내려보내는 것보다 취약하다 라는 것은 fact 가 아닙니다. 제 글 본문에 이유는 설명되어 있습니다. - 라는데

    이에 대한 '사실적' 자료가 있나요? 적어도 이 글에서는 찾을수 없네요. 있다면 제시해주시기 바랍니다.

    은행 ActiveX때문에 예예 훈련이 된거를 침소봉대로 취급하는건 맞을지도 모르지만, 그 반대로 ActiveX가 setup executable로 실행되는것보다 취약하지 않다 라는 점에 대한 증명 즉 정말 사용자가 이 두방식을 사용할때 느끼는 차이가 없는지 실험이나 하다못해 통계자료라도 있었으면 한데 이 글에서는 찾을수가 없네요.

    답글삭제
  5. 작성자가 댓글을 삭제했습니다.

    답글삭제
  6. 좀더 공부를 하고 나서 다시 읽어보겠습니다. 새벽이라 졸린 정신에 제대로 읽지 못한점도 있고요.

    제가 지운 커멘트가 통지 메일로 갔다면 그냥 의견 정도로 흘려주시면 좋겠습니다. 저도 공부 안하고 무조건 불평하는건 아니라고 생각하기에..

    먼저 주장하시는 바를 이해하도록 노력해 보겠습니다.

    답글삭제