정말 액티브 엑스 아니면 보안이 안되는 것인지.
2014.03.01 14:36
요즘에 윈도7에 버츄얼 박스를 설치해서 우분투 리눅스를 돌리고 있습니다. 만약 가능하다면 반대의 것으로 하고 싶을 정도로 마음에 듭니다, 이 우분투 리눅스 말이죠. 사실 왠만한 것들은 다 되고 해서 인터넷뱅킹만과 홈쇼핑만 아니면, 그냥 리눅스로 눌러 앉고 싶군요. 저는 액티브 엑스를 무지 싫어하고 이러한 떡칠로 보안을 한다는 것 자체를 이해가 안됩니다.
오히려 액티브 엑스로 인해서 더 많은 보안 문제가 발생하는데 상당수의 보안 전문가들이 이 방식에 대해서 선호하더군요. 윈도우야 그렇다고 치고, 다른 운영체제들이 접근이 불가능한 것은 문제가 있다고 생각합니다. 아이폰이 들어오기 전까지 스마트폰으로 인터넷을 한다는 것 자체가 불가능하다고 생각했고 많은 '전문가'들이 국내 사이트는 액티브 엑스와 플래쉬로 떡칠이 되어 있어 있어서 안된다고 했지요.
유감스럽게도 국내에서는 쇼핑과 금융거래를 위해서는 액티브 엑스로 똑같은 프로그램을 회사마다 다른 버젼으로 설치해야 하지요. 그리고 이렇게 엉키다가 나중에는 결국 지들끼리 에러라고 난리입지요. 저는 IT 비전공자이고, 하는 일도 전문분야는 아니지만 아직도 이렇게 폐쇄적인 방법으로만 보안을 구성하는 것에 전문가들이 옹호하는 것을 이해할 수 없습니다. 오히려 해외에서는 그렇게 하지 않는다고 들었는데, 오직 한국만 이렇게 하는 것인지 모르겠습니다.
초급 사원 시절에 영업대표에게 들은 이야기로는 그러한 것들이 모두 보안업체의 로비력으로 인한 거라더군요. 그게 사실이라고 믿지는 않습니다. 다만, 금감원을 비롯한 윗쪽에서는 뭔가를 한다는 느낌과 더불어 국내 보안업체의 생존을 위해서 할 수도 있다고는 생각합니다. 최근 모든 분야에서 보안이 이슈인데 정작 사람들은 IT보안을 한다면서 서버나 네트워크 분야가 아니라 엉뚱하게 하드웨어(지문인식, CCTV) 등등의 분야가 돈을 번다고 하더군요.
제가 접한 보안전문가들은 자신들이 통제해야 하는 시스템과 사용자에 대해서 전혀 모르고, 오히려 상층부의 되도 아니한 감사로 인해서 역량을 모두 잃더군요. 무조건 막고 서류 써서 사인하러 다니고 책임을 모두 상층부로 돌리는 등등의 전혀 이해되지 않는 방식으로 말이지요. 요즘 같아서는 한국에서는 빅데이터고 행정 정보의 공유를 통한 최적화 등등은 완전히 물건너간듯 합니다. 전국민들이 조선족 피싱을 받을 때에도 가만히 있던 국회의원들이 이제 와서는 난리 부르스더군요.
요즘 이런 일들 때문에 하도 감사를 받아서 지치는군요. 그냥 푸념입니다.
코멘트 4
-
종다리
03.01 14:51
실제로 처리불가의 시스템 오류가 나더군요 -
다 초반에 만들어진 법의 기반사상인, "보안 서비스의 문제는 보안 서비스 제공자가 우선 책임진다."라는 규정때문에 그렇게 된거죠. 물론 이에 대해 세부적인 해석은 오히려 서비스 제공자의 편을 들다보니 더 틈새가 벌어지고 있구요.
저 개념에서 서비스을 구축하자면, 현재 나온 기술들로는 서비스가 무조건 시스템에 접근을 해야 합니다. 그리고 웹서비스가 시스템에 접근할수 있는 방법은 ActiveX밖에 없는 상태죠. ActiveX는 시스템에 접근할 수 있기 때문에 범용적인 사용에 문제가 되고 있고, 그러기 때문에 유일하게 사용할 수 있는 기술인 상태입니다.
하지만 ActiveX는 Versioning에 민감한 기술입니다. 자동으로 업데이트를 지원하는 기술이기 때문이죠. 예를 들어, A와 B에서 쓰는 S라는 ActiveX Component가 있습니다. 둘다 1.0을 쓰고 있다가, B라는 업체에서 더 개선된 1.01을 테스트해서 지원하기 시작했습니다. 하지만 A에서는 1.01에 대한 검증을 완료하지 않았기 때문에 자기 서비스에서는 사용할 수 없습니다. 그렇다면 어떻게 해야 하는가? 1.0과 1.01을 별도의 솔루션을 분리해야 합니다. 독립된 프로그램으로 인식하는거죠. 이거 가지고 업체들이 실갱이하느니, 그냥 S for A, S for B로 나눠버리는게 업체 입장에서 속편하고, 개발사 입장에서도 더 쉽게 더 많은 개발금액을 요구할 수 있습니다. 이를 막기 위해서는 모든 업체들이 전부 다 인터넷 시스템의 검증시스템을 통합해야 하는데 그건 현실적으로 불가능하죠.
이를 위해서는 인터넷 서비스의 보안에 관한 법을 바닥부터 다 새로 개정해야 하는데, 한번 만들어진 법이라는게 그렇게 쉽게 바뀌지 않고, 법 개정은 기업들의 이권에 아주 민감하기 때문에 누구 한명이 나선다 하더라도 쉽게 되지 않거든요. 결국 일찍 시작해보려고 한게 오히려 계속해서 발목을 잡게 됩니다.
사실 이런 사례 말고도, 시대를 앞서가는 프로젝트는 시대의 변화를 따라잡지 못해서 망하는 케이스가 훨씬 많아서, 남이 만들어놓은거에 따라가는게 돈버는 입장에선 더 나은 길이기도 합니다. 구글이 최초로 만들어서 세상을 주름잡은 서비스가 몇개나 되나요.
-
TX
03.02 00:29
전에 어느 인터넷서점이 액티브엑스없이 결제할 수 있는 수단을 추가했다가 신용카드사가 결제 거부(?)를 해서 어쩔 수 없이 액티브엑스 환경으로 돌아왔다고 들었습니다. -
휴911
03.02 07:05
전산에 대해 전문가는 아니지만, 나름 우리나라의 보안에 대해서는 많은 불만이 쌓여있는 사람이라,
제목을 보고 토요일 밤에 읽기시작해서 일요일 아침에 일어나 마쳤습니다.
midday님의 말씀, 정말 법부터 바꿔야한다는 생각이 드네요.
이베이에서의 보안은 본인의 이메일 계정 확인
- 기존에 등록된 자신의 이메일 계정으로 메일을 받아 자신이 확인하는 방식 -
으로도 가능하다는 이야기를 들으면서 우리나라에서 그러한 방식을 쓰지 못하는 이유는
보안업체들이 먹고 살기 힘들어지기 때문이라는 의견이었는데, 법을 만든 사람들의 문제도 있군요.
다른 나라 법을 따라하는 경우는 아닌 것 같고, 우리가 앞서 나가는 법일텐데
스스로의 기반을 만들지 못하고 다른 나라 사기업의 솔루션을 이용해야만 하는 법이라니....
어떻게 해야할지....
