(앞 글에서 꼐속)
대한민국 정부, ActiveX 컨트롤의 형태로 공인인증서 솔루션 착착 만들어지니 만족스럽습니다. 어라? 해킹사고가 터지네요. 이젠 보안 모듈까지 붙이네요. 얼씨구나 하고 이젠 보안프로그램 부착을 의무로 만들어 버렸어요. 은행들 거기에 만족 못하죠. 이젠 nProtect가 제공하는 솔루션에 파이어월과 바이러스 스캐닝까지 들어가는 것 같던데? 아니 오래되었던가.
자 생각해봅시다. 키보드 입력 암호화 프로그램.. 그거 아마 일종의 가상 드라이버 레벨까지 내려가거나 상당히 낮은 수준까지 갈겁니다. 그래야 딴놈이 못가로채죠. 누구멋대로 그 깊숙한 *-_-* 곳까지 파고들 수 있을까요? 그야 컨트롤의 실행 권한이 관리자 권한이니까. 적어도 OS 입장에서 관리자는 왕입니다. 하라면 합니다.
또 한편에서 ActiveX 컨트롤의 가능성을 알아본 애들이 바로 게임회사들. 신났죠. 자기네 사이트 이용하려면 프로그램 깔아야 한다고 하는 ㅈㅄ같은 사이트들이 한둘이 아니죠. N**on.com, H**game, N**marble, P**ng.. 게임 만든다는 곳 치고 웹사이트에서 버튼 하나 누르면 게임 뜨게 안한 곳이 없을 걸? 얼마나 좋아요. 각 개발팀마다 힘들게 패치하는 프로그램 안만들어도 되고, 로그인창 복잡하게 안만들어도 되고, 웹에서 로그인 한번 하고 게임 띄우고 그 게임 마치고 다른 게임 홈피로 가서 또 클릭하면 또 로그인 안하고도 다운로드해서 설치도 되고, 패치도 자동으로 한 다음에 게임이 떠요. ..ㅆㅂ 이게 어떻게 해서 돌아가는 건지는 몰라도 말이지.
어떻게 게임사이트 컨트롤들이 멋대로 떠서는 게임을 깔고 패치하고, 심지어는 멋대로 자기 사이트들을 팝업 허용 사이트에 등록하고 윈도 방화벽에서 게임이 쓰는 포트를 열어놓을 수 있을까요? 그야 관리자 권한이니까. 관리자 권한을 빼면 당장 당연하게 될거라고 생각했던 것들이 하나도 되는게 없다는 것에 충격먹을걸염?
그러니 당장 대체할 수가 없는 겁니다. 입만 산 애들은 대체 솔루션 얼마든지 있다고 하는데, 100% 대체할 수 있는 방법은 없어여. 왜냐고? 리눅스나 타 OS들 설계가 Windows만큼 호락호락하지 않으니까. 상식적으로 막았어야 할 뒷문을 사용자 편의를 위해서 열어뒀고, 사용자들이 그 단물 잘 빨았는데 다른 OS들은 뒷문이 막혀있거나 잠겨있으니까. Windows도 이제서야 뒷문에다가 도어록 달고 번호치라고 하니 지금까지 그냥 통과했던 사용자들이 지랄지랄하는건데.
막말로, 키보드 보안 솔루션 타 OS에서 완벽하게 돌아갈까여? 완벽하게 못돌려요. ActiveX 컨트롤 안깔고 게임사이트나 은행 사이트를 지금의 편의 수준 / 보안 수준으로 이용하려면 어떻게 해야 할까여? 게임 사이트에서는 자기네 게임에 접속할 수 있는 전용 프로그램을 만들어서 제공해줘야 하고요. 왜냐고? 웹 브라우저에서 띄울 수 있는 방법은 전혀 없으니까. Flash도, Java Applet도, 심지어 .NET Smart Client도 모두 '사용자의 컴퓨터 안'을 휘젓지 못하니까. 인터넷 뱅킹을 지금 정도의 보안성으로 사용하려면 각 은행에서 만든 전용 프로그램 써야 합니다. 지금의 XecureWeb같은 녀석이 무슨 짓을 하는지를 생각해보면 말이죠. 페이지 전체를 고유 알고리듬 (SEED라고 해서, 국내 표준이고 세계 표준으로도 제안은 해놨는데 아쉽게도 각 브라우저들이 아직 공식적인 암호화 방법으로는 지원하지 않음) 으로 암호화해서 받은다음 화면에 풀어서 보여준다니까요? 그것도 못믿어서 그렇게 암호화된 페이지조차 HTTPS 통신으로 제공하고 있습니다. 그정도는 되어야 은행들이 만족해요.
여러분이 입모아 드는 외국의 사례, 좋죠. SignedText인가를 사용한 스페인인가? 의 방식도 있고, 보안카드 또는 OTP 장치등을 고객에게 우송하고 그것을 사용하여 거래를 확인하도록 하는 미국이나 일본의 방식. 인터넷 뱅킹을 위한 프로토콜을 아예 표준화시켜버렸다고 들은 독일의 방식. 그런데 그거 아십니까? 얘네 모두 '굳이 말하자면' 인터넷 뱅킹의 보안성에서는 현재 IT 강~국 대~한민국이 제공하는 수준보다 한참 떨어져요. ..사실 HTTPS를 못믿는다는 것이 저도 잘 이해는 가지 않습니다만. 그러니까, 근본적으로는 사용자쪽 환경을 못믿는다 이겁니다. 누가 키보드 입력을 가로채가는 프로그램을 깔아놨다고 생각하고 있고, 보안되는 통신이 어디선가 가로채어 해독될수도 있다고 생각한다 이거에요. 그런데 갑자기 무장해제를 하자고 하니 겁이 덜컥 나는거지. 그럼 모든 사고는 고객의 책임- 하고 다 발뺌하려고 들걸요?
그래서 ActiveX 컨트롤의 사용을 당장 중지할 수가 없는 겁니다. 아주 다행히도(??) 대~한민국만 이꼴이 아니라서 그런지, 즉 대기업 내부망 같은 곳에서는 사용자의 행동을 어느 정도 강제할 수가 있으니까 ("필요하니 깔아") 그런 동네에서도 꽤나 애용했을 거란 말입니다, 마소에서 어느 정도 돌아가게 만들 수 있는 방법을 또 제시를 해놓은 거죠. 개발자들은 ㅆㅂㅆㅂ 거리면서도 지들 원죄니까 돌아가게 해야죠. 어쩝니까. 안그러면 안되는데. 이야기를 하다보니 대~한민국 인터넷은 거~대한 대기업 인트라넷 같다는 생각도 드는군요 ㄲㄲ
아무튼 그렇습니다. 요약하면 뿌리가 깊다는 거에요. 애초에 발을 잘못 들여놓은건데 이제와 빼려니 너무 깊다는 말입니다. 아예 지금까지의 보안 지침같은걸 다 뒤집어야 할지도 모를 일이라고요. 입만 살아서 나불대는 사람들은 모를지언정 말이죠.
대한민국 정부, ActiveX 컨트롤의 형태로 공인인증서 솔루션 착착 만들어지니 만족스럽습니다. 어라? 해킹사고가 터지네요. 이젠 보안 모듈까지 붙이네요. 얼씨구나 하고 이젠 보안프로그램 부착을 의무로 만들어 버렸어요. 은행들 거기에 만족 못하죠. 이젠 nProtect가 제공하는 솔루션에 파이어월과 바이러스 스캐닝까지 들어가는 것 같던데? 아니 오래되었던가.
자 생각해봅시다. 키보드 입력 암호화 프로그램.. 그거 아마 일종의 가상 드라이버 레벨까지 내려가거나 상당히 낮은 수준까지 갈겁니다. 그래야 딴놈이 못가로채죠. 누구멋대로 그 깊숙한 *-_-* 곳까지 파고들 수 있을까요? 그야 컨트롤의 실행 권한이 관리자 권한이니까. 적어도 OS 입장에서 관리자는 왕입니다. 하라면 합니다.
또 한편에서 ActiveX 컨트롤의 가능성을 알아본 애들이 바로 게임회사들. 신났죠. 자기네 사이트 이용하려면 프로그램 깔아야 한다고 하는 ㅈㅄ같은 사이트들이 한둘이 아니죠. N**on.com, H**game, N**marble, P**ng.. 게임 만든다는 곳 치고 웹사이트에서 버튼 하나 누르면 게임 뜨게 안한 곳이 없을 걸? 얼마나 좋아요. 각 개발팀마다 힘들게 패치하는 프로그램 안만들어도 되고, 로그인창 복잡하게 안만들어도 되고, 웹에서 로그인 한번 하고 게임 띄우고 그 게임 마치고 다른 게임 홈피로 가서 또 클릭하면 또 로그인 안하고도 다운로드해서 설치도 되고, 패치도 자동으로 한 다음에 게임이 떠요. ..ㅆㅂ 이게 어떻게 해서 돌아가는 건지는 몰라도 말이지.
어떻게 게임사이트 컨트롤들이 멋대로 떠서는 게임을 깔고 패치하고, 심지어는 멋대로 자기 사이트들을 팝업 허용 사이트에 등록하고 윈도 방화벽에서 게임이 쓰는 포트를 열어놓을 수 있을까요? 그야 관리자 권한이니까. 관리자 권한을 빼면 당장 당연하게 될거라고 생각했던 것들이 하나도 되는게 없다는 것에 충격먹을걸염?
그러니 당장 대체할 수가 없는 겁니다. 입만 산 애들은 대체 솔루션 얼마든지 있다고 하는데, 100% 대체할 수 있는 방법은 없어여. 왜냐고? 리눅스나 타 OS들 설계가 Windows만큼 호락호락하지 않으니까. 상식적으로 막았어야 할 뒷문을 사용자 편의를 위해서 열어뒀고, 사용자들이 그 단물 잘 빨았는데 다른 OS들은 뒷문이 막혀있거나 잠겨있으니까. Windows도 이제서야 뒷문에다가 도어록 달고 번호치라고 하니 지금까지 그냥 통과했던 사용자들이 지랄지랄하는건데.
막말로, 키보드 보안 솔루션 타 OS에서 완벽하게 돌아갈까여? 완벽하게 못돌려요. ActiveX 컨트롤 안깔고 게임사이트나 은행 사이트를 지금의 편의 수준 / 보안 수준으로 이용하려면 어떻게 해야 할까여? 게임 사이트에서는 자기네 게임에 접속할 수 있는 전용 프로그램을 만들어서 제공해줘야 하고요. 왜냐고? 웹 브라우저에서 띄울 수 있는 방법은 전혀 없으니까. Flash도, Java Applet도, 심지어 .NET Smart Client도 모두 '사용자의 컴퓨터 안'을 휘젓지 못하니까. 인터넷 뱅킹을 지금 정도의 보안성으로 사용하려면 각 은행에서 만든 전용 프로그램 써야 합니다. 지금의 XecureWeb같은 녀석이 무슨 짓을 하는지를 생각해보면 말이죠. 페이지 전체를 고유 알고리듬 (SEED라고 해서, 국내 표준이고 세계 표준으로도 제안은 해놨는데 아쉽게도 각 브라우저들이 아직 공식적인 암호화 방법으로는 지원하지 않음) 으로 암호화해서 받은다음 화면에 풀어서 보여준다니까요? 그것도 못믿어서 그렇게 암호화된 페이지조차 HTTPS 통신으로 제공하고 있습니다. 그정도는 되어야 은행들이 만족해요.
여러분이 입모아 드는 외국의 사례, 좋죠. SignedText인가를 사용한 스페인인가? 의 방식도 있고, 보안카드 또는 OTP 장치등을 고객에게 우송하고 그것을 사용하여 거래를 확인하도록 하는 미국이나 일본의 방식. 인터넷 뱅킹을 위한 프로토콜을 아예 표준화시켜버렸다고 들은 독일의 방식. 그런데 그거 아십니까? 얘네 모두 '굳이 말하자면' 인터넷 뱅킹의 보안성에서는 현재 IT 강~국 대~한민국이 제공하는 수준보다 한참 떨어져요. ..사실 HTTPS를 못믿는다는 것이 저도 잘 이해는 가지 않습니다만. 그러니까, 근본적으로는 사용자쪽 환경을 못믿는다 이겁니다. 누가 키보드 입력을 가로채가는 프로그램을 깔아놨다고 생각하고 있고, 보안되는 통신이 어디선가 가로채어 해독될수도 있다고 생각한다 이거에요. 그런데 갑자기 무장해제를 하자고 하니 겁이 덜컥 나는거지. 그럼 모든 사고는 고객의 책임- 하고 다 발뺌하려고 들걸요?
그래서 ActiveX 컨트롤의 사용을 당장 중지할 수가 없는 겁니다. 아주 다행히도(??) 대~한민국만 이꼴이 아니라서 그런지, 즉 대기업 내부망 같은 곳에서는 사용자의 행동을 어느 정도 강제할 수가 있으니까 ("필요하니 깔아") 그런 동네에서도 꽤나 애용했을 거란 말입니다, 마소에서 어느 정도 돌아가게 만들 수 있는 방법을 또 제시를 해놓은 거죠. 개발자들은 ㅆㅂㅆㅂ 거리면서도 지들 원죄니까 돌아가게 해야죠. 어쩝니까. 안그러면 안되는데. 이야기를 하다보니 대~한민국 인터넷은 거~대한 대기업 인트라넷 같다는 생각도 드는군요 ㄲㄲ
아무튼 그렇습니다. 요약하면 뿌리가 깊다는 거에요. 애초에 발을 잘못 들여놓은건데 이제와 빼려니 너무 깊다는 말입니다. 아예 지금까지의 보안 지침같은걸 다 뒤집어야 할지도 모를 일이라고요. 입만 살아서 나불대는 사람들은 모를지언정 말이죠.
