안철수 연구소에 대한 공개 질문

youknowit의 이미지

오픈웹 김기창입니다.

특정 업체를 거명하면서 KLDP 토론 포럼에 글을 올리는 것이 일반적으로는 적절하지 않을 수 있겠습니다. 그러나, 제가 제기하는 이슈는 우리나라의 웹기반 서비스 설계 관행에 관한 것일 뿐 아니라, 그 설계 관행이 보안에 미치는 악영향에 관한 것이고, 그 사태의 핵심은 바로 전문 보안 업체에게 있다는 생각에서 글을 올리게 되었습니다.

국내 보안 업체가 안철수 연구소만 있는 것은 아닙니다. 그러나 가장 선도적인 보안 업체라는 안철수 연구소에 공개적으로 질문을 하고, 그 입장을 분명히 들어보는 것이 현 사태를 해결하는 가장 올바른 방법이라고 생각합니다.

오픈웹에도 같은 제목의 글을 이미 게시하였습니다. 이 곳에 별도로 글을 올리는 이유는, 이 쟁점은 상당한 기술지식을 가진 분들의 깊이 있는 논의가 뒷받침되어야 올바르게 결론이 도출될 수 있다는 생각에서 입니다. 이 곳의 논의 성과를 정리해서, 오픈웹에 적절한 방법으로 게시하고자 합니다.

문제의 핵심은 간명합니다: 보안 경고창이 나타났을 때, "예"를 누르라고 안내하는 것이 바람직한가, "아니오"를 누르라고 안내하는 것이 바람직한가 입니다. 이 문제는 MS IE 독점 문제와는 전혀 상관 없습니다. ActiveX 에만 국한한 것도 아닙니다. 정도의 차이는 있을 망정, 파이어폭스 확장(xpi) 형태로 프로그램을 배포(deploy)할때에도 제기되는 문제입니다.

브라우저 "플러그인" 자체를 문제삼는 것은 아닙니다. pdf를 보여주기 위한 플러그인, 플래시를 틀기 위한 플러그인, 동영상 재생에 필요한 플러그인 등이 심각한 보안 이슈를 제기하는 것은 아닙니다. 이들은 로컬 파일 액세스 권한이 없는 플러그인일뿐 아니라, 이 플러그인들은 "배포" 단계에서 아예 플러그인 형태로 배포되는 것은 아닙니다. 설치파일 내려받기 링크를 이용자가 주체적으로 클릭하여 자신의 컴퓨터에 설치합니다. 이렇게 프로그램이 클라이언트들에게 일단 배포(deploy) 되고 나면, 실제 서비스가 이루어지는 시점에 이들은 웹브라우저 플러그인 형태로 실행됩니다. 즉, 배포는 파일 다운로드 방식, 실행은 플러그인 방식입니다.

제가 제기하는 문제는 로컬 파일 액세스권한을 가지는 플러그인(ActiveX, xpi)에 관한 것이고, 이른바 "보안 프로그램(키보드 해킹방지 프로그램, 개인 방화벽 프로그램, 안티바이러스 프로그램)"을 배포하는 방법으로 이런 플러그인을 사용하는 것이 과연 보안에 도움이 되는가 하는 문제입니다.

이들 보안 프로그램을 파일 다운로드 방식으로 배포할 경우, 웹사이트들은 고객에게 "보안경고창이 나타나면 반드시 '예'를 누르라"고 안내할 필요가 없어집니다. 오히려, 보안경고창이 나타나면 "반드시 '아니오'를 누르라"고 안내할 수 있게 됩니다. 이렇게 하는 것이 바이러스 확산을 방지하는데 도움이 된다고 저는 생각합니다.

MS의 입장("신뢰할 수 있는 게시자로부터의 소프트웨어만 설치하라")이나, 안철수 연구소의 "공식적", "표면적", "상투적" 입장("신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의"하라)은 완전히 동일합니다. 그러나 이 두 입장은 모두 현실성이 전혀 없습니다. 보안경고창에 제공되는 정보만을 보고, 신뢰할 수 있는 게시자인지 여부를 정확히 판단할 능력이 있는 이용자는 세상에 없기 때문입니다.

실제로 자행되는 일은 더욱 비도덕 적입니다. 보안업체들은 웹사이트의 입을 빌어 "보안경고창이 나타나면 반드시 '예'를 누르라"고 반복하여 안내해 왔습니다. 프로그램의 "배포" 자체를 플러그인 방식으로 해치우는, 기술적으로 도저히 납득할 수 없는, 선택을 보안업체들이 하였기 때문에, 웹사이트로서는 고객들에게 "반드시 '예'하라"는 안내를 하지 않을 수 없도록 만든 것입니다.

안철수 연구소는 표면적으로는 "신뢰할 수 있는 기관의 서명이 있는 경우에만 '예'하라"는 하나마나한 소리를 하고, 뒤로는 웹사이트의 입을 빌어 "반드시 '예'하라"는 지시를 온 국민에게 여러해 동안 해 왔습니다. 이것은 노골적으로 바이러스 확산을 조장하는 결과를 낳는 행위입니다. 보안업체들의 내심의 의도를 짐작하거나, 상상 할 필요는 없습니다. 부인할 수 없는 결과가 있고, 저는 이것을 문제삼는 것입니다.

대부분의 보안 프로그램은 "실행" 단계에서 조차 플러그인 형태로 실행해야 할 필요도 없습니다. 오히려 안철수 연구소 스스로도 "보안 소프트웨어를 하나 이상 설치하고, 항상 최신 버전으로 유지하는 한편 실시간 감시 기능을 켜두는 습관이 필수이다"라고 안내하고 있습니다. 즉, 금융사이트에 접속되어 있는 동안만 실행되고, 사이트를 벗어나면 종료되는 (플러그인 방식으로 '실행'되는) 개인방화벽이나 안티 바이러스 프로그램이 무슨 소용이 있으며, 무슨 보안에 도움이 됩니까?

비밀번호를 입력할 때에만 실행되면 족한 키보드 해킹 방지 프로그램인 경우에는 플러그인 방식으로 "실행"할 필요가 있지만, 이 프로그램도 "배포" 단계에서 아예 플러그인 방식으로 배포해야 할 이유는 없습니다.

보안경고창은 그런 프로그램을 "배포"할 때 플러그인 방식으로 배포하지 않으면, 아예 고객의 화면에 뜰 이유가 없습니다. 이미 설치된 프로그램을 실행만 하는 것이기 때문입니다.

외국의 보안 전문가에게 "한국에서는 안티바이러스 프로그램을 ActiveX로 '배포'한다"고 말해보십시오. 어떤 반응을 보이겠습니까?

한마디로 파렴치한 상술이라고 생각합니다. 자신의 돈벌이를 위하여 "보안경고창이 나타나면 반드시 '예'하라"고 온 국민에게 지시해 온 이들이 어떻게 "보안업체"라고 뻔뻔스럽게 간판을 걸고 있을 수 있습니까?

금감원은 "보안 프로그램을 설치"하라고 했지, 플러그인 방식으로 "배포"하라고 한 적은 없습니다.

은행도, 금감원의 지시에 따라, (가장 문제가 적은 방식으로) 보안 프로그램을 고객의 컴퓨터에 "설치"하면 되는 것이지, 굳이 "배포"부터 플러그인 방식을 사용함으로써 온갖 고객지원 요청(ActiveX설치가 않된다는 문의가 은행 전산부 고객지원 수요의 대부분입니다)에 시달리고 싶어 환장을 하는 것은 아닙니다.

고객(이용자들) 또한, 보안 프로그램 설치 파일 다운로드 링크를 클릭하여 설치하면 제일 편하고(필요한 클릭 수도 적고), 다시는 "보안경고창" 자체를 대하지 않아도 되므로, 이것 저것 고민할 필요 없이 보안경고창이 뜨면 무조건 No를 누르면 됩니다.

보안 프로그램 '배포"를 파일 다운로드 링크를 제공하는 방식으로 하면, 이렇게 모든 사람에게 편리해지고, 안전하게 됩니다. 바이러스가 확산될 환경이 원천봉쇄 되는 것입니다.

안철수 연구소는 이것이 싫은 것인지를 공개적으로 밝혀주시기 바랍니다.

블루스크린의 이미지

관계자는 아니지만 충분히 일리있고, 좋은 의견이라고 생각합니다.

관계자는 정부당국자,은행,보안업체 가 있겠죠

관계자들이 모두 동의만 하면 액티브 엑스 방식을 배제하고. 프로그램 별도설치로 가는것은 문제가 없을 것 같네요.

1. 아예 웹마 같은 프로그램처럼 IE에 기반한 브라우저를 (보안기능을 내장해서)배포해서 사용하도록 하는 것도 좋을 것 같다는 생각이 듭니다.
어차피 지금은 윈도우 기반에서 IE에서만 동작을 하니까. 아예 결재전용 브라우져를 설치해서 은행 업무시에만 이 브라우져를 사용하면 지금과 별 차이 없겠네요.

2. 액티브엑스를 설치하는 것이 프로그램을 설치하는 것보다 더 편하다고 생각해서 지금처럼 하고 있는 것이겠죠.

두서가 없는데 정부에서 권고만 하면 충분히 바로 적용 가능한 시나리오라고 생각합니다.

-------------------------------------------------------------------------------
이 댓글(comment)의 수정 및 삭제를 위해 이 글에 답글(reply)을 쓰지 말아 주십시요.
의견이 있으시면 원 글에 댓글(comment)로 써 주세요.

-------------------------------------------------------------------------------
이 댓글(comment)의 수정 및 삭제를 위해 이 글에 답글(reply)을 쓰지 말아 주십시요.
의견이 있으시면 원 글에 댓글(comment)로 써 주세요.

brucewang의 이미지

그러니까 말씀하시는 주제중 일부가,

1. "Active-X는 로컬 억세스가 가능하니 위험하다"
2. "그래서 Active-X는 설치 안하도록 '설치하시겠습니까' 라는 질문에 No 라고 해주어야 한다"

라는 것,

3. "왜 안철수연구소에서는 보안ActiveX 설치시 Yes를 선택하라고 설명해서 사용자들에게 잘못된 인식을 심어주는가?"
4. "안철수연구소에서느 ActiveX 말고 설치파일을 제공해 줘야 하는것 아닌가?"

그리고 마지막으로

5. "대표업체 격인 안철수 연구소에 공개 질의를 함으로써 이 이슈의 파급을 촉진시키고자 한다"

로 정리할 수 있는 것입니까?

이 이슈에 대해 양자만의 대화가 아니라, 저변의 의견을 듣고 싶으시다면, 저의 의견도 들어 보시면 어떨까요?

1. "Active-X는 로컬 억세스가 가능하니 위험하다"
---> ActiveX의 태생과 목적이 그러한것은 주지하시고 계신 것입니다.
이것은 fact로서, 토론의 여지가 없겠죠.

ActiveX의 폐혜에 대해선 이미 많은 분들이 성토하시고 토의도 하셔서 이미 공감대는 형성되어 있다고 봅니다.
하지만 아래의 말씀하신 주제들과 같은 해석에는 다소 무리가 있다는 생각입니다.

2. "그래서 Active-X는 설치 안하도록 '설치하시겠습니까' 라는 질문에 No 라고 해주어야 한다"
--> 이부분이 이해가 안됩니다.
ActiveX에서 제공하는 기능을 사용하고자 할 경우는 Yes를 선택해야 설치되고 사용할 것입니다.
안철수 연구소나 ActiveX를 배포하는 업체들도, 그 기능을 사용하려는 유저에게
이렇게밖에 설명할 수 없는 것 아닐까요?

문제는 원하지 않는데 설치되는 ActiveX의 경우입니다. 이것은 아래 주제와 연결되는것 같군요.

3. "왜 안철수연구소에서는 보안ActiveX 설치시 Yes를 선택하라고 설명해서 사용자들에게 잘못된 인식을 심어주는가?"
--> 사용의사가 없는 ActiveX의 설치에 안철수 연구소가 특별히 잘못된 인식을 심어주는것은 아니라고 생각합니다.
왜 그런식으로 귀결을 하시는 것인지 좀더 설명이 필요할 것 같습니다.

4. "안철수연구소에서느 ActiveX 말고 설치파일을 제공해 줘야 하는것 아닌가?"
--> 이미 설치파일 형태로도 제공되고 있지요?
ActiveX는 다운로드 받고 설치하는 과정이 빠져서 사용자에게는 이용 step이 줄어든 것이라서
그동안 한국에서 많이들 이런식으로도 배포를 해 왔었습니다.
포탈등의 계약자의 요구로 ActiveX형식의 배포버전도 만들게 된 것이겠죠?

5. "대표업체 격인 안철수 연구소에 공개 질의를 함으로써 이 이슈의 파급을 촉진시키고자 한다"
--> 이해는 할 수 있지만, 질의서의 억양이 너무 공격적이신 것 같습니다.

감사합니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

chcha의 이미지

2번 3번에 대한 말씀은 조금 추상적인 부분이긴 합니다.

그동안 김교수님이 오픈웹 블로그를 통해 지속적으로 주장하셨던 것은
"보안 경고창에 대한 무감각" 을 통해 많은 피해가 발생하게 되었다는 거죠.
많은 피싱 사이트의 낚시 수법들을 보면 무조건 '예'를 누르는 사용자들을 타겟으로 하는 것 같더군요.

김교수님의 말씀이 설명이 블로그에 비해 조금 부족하긴 합니다.
원래 내용은 무조건 "No"라고 해야한다기 보다는 "왜 반드시 '예'라고 선택하라고 안내하느냐 였거든요"

3번 항목에서도 Yes 앞에 "반드시"를 빠트리신 것 같습니다. 그러면 좀 내용이 나아질런지요...

4번 항목의 ActiveX 말고 설치파일을 제공하라는 얘기 역시 잘못 전달된 듯 합니다.
ActiveX (방식은 제공하지) 말고 설치파일로써 제공하라는 의미일겁니다.

요는 설치파일의 형태로 제공하고 있느냐 아니냐 사실 여부가 아니라
배포 방식이 완전히 전환되어야 하지 않겠느냐는 질의입니다.

김기창 교수님 어조가 조금 공격적이긴 해요

dragonkun의 이미지

오픈웹의 글의 댓글 중..

Quote:
금융기관이 모든 책임을 져야한다는 주장에 대해서도 저는 다르게 생각합니다. 보안 프로그램을 ActiveX로 납품하기로 하는 결정은 보안업체가 한 것이지, 금융기관이 한 것이 아닙니다.

이 부분에 대한 근거가 궁금합니다.
제 생각에는 프로그램의 배포방식은 '갑'의 입장인 금융기관이 결정한다고 생각합니다만..
뭐 이것도 근거가 있는 이야기는 아닙니다.;;
--
Emerging the World!

Emerging the World!

youknowit의 이미지

brucewang/
제가 제기하는 질문은 ActiveX 에 대한 것이 아니라, 보안 프로그램의 '배포'를 굳이 '플러그인 방식'으로 해야 하느냐 입니다. '배포'단계에서 당장 플러그인 방식으로 배포를 하면, 보안경고창이 뜹니다. 우리 나라 인터넷 보안이 위험하게 된 가장 중요한 이유는 사람들이 보안경고창에 무감각하게 된데 있다고 저는 생각합니다.

'배포'를 파일 다운로드 방식으로 전환하고, 보안 경고창에 대하여는 "원칙적으로 No를 누르도록" 안내하면, 1) 전반적으로 사람들의 컴퓨터가 안전하게 유지될 수 있고, 2) 서비스를 설계하시는 분들도 무턱대고 플러그인 방식을 채용하는 기존의 관행을 되돌아 보게 되는 '선순환'이 가능하게 되지 않을까 하는 것이 제 생각입니다.

플러그인 방식의 서비스 설계는 외국에서는 매우 부담스러워 하는 선택입니다. 첫째, 비용이 많이 듭니다. 이 비용에는 고객 지원에 소요되는 리소스가 대부분을 차지합니다. 플러그인이 아예 필요 없도록 서비스를 설계 하면 전체 서비스 운용 비용을 획기적으로 줄일 수 있습니다. 둘째, 많은 이용자들이 플러그인 설치를 아예 거부 합니다(보안 경고창이 뜨면 No를 누릅니다). 전반적으로 컴퓨터 이용 행태(user behaviour)가 그렇게 형성되어 있습니다. 이렇게 되어야 바이러스 확산을 줄일 수 있지 않겠어요?

"보안 경고창이 뜨면 반드시 '예'하라"고 지시해 둔 다음, 무조건 플러그인 방식으로 서비스를 설계하는 관행은 결국은 이용자들의 컴퓨터를 거덜내는 "결과"를 분명히 낳게 됩니다; "의도"야 선량했다고 말하겠지만.

brucewang의 이미지

Quote:
우리 나라 인터넷 보안이 위험하게 된 가장 중요한 이유는 사람들이 보안경고창에 무감각하게 된데 있다고 저는 생각합니다.

그렇습니다. ActiveX는 Yes를 선택해야 설치가 되고, 유저가 별로 필요도 하지 않는 ActiveX가 설치되어 있지 않으면 서비스를 제대로 사용할 수 없는 사이트가 대부분이었던 관계로 사용자들이 무감각 해 진것입니다. 이것은 누구라도 인지하고 있는 내용일 것입니다.

하지만, 여기서 다음단계로의 주장하시는 부분이 비약적인 부분이 있다고 생각됩니다. 바이러스 차단을 위해, ACtiveX라는 배포방식을 사용할 경우는 Yes라고 선택할 수 밖에 없는 것입니다. 배포 방법에 대해서 더 주장을 하시는 것에 집중하시는것이 자연스러운 전개라고 생각되는데, "설치 방법을 설명"하는 업체에 문제가 있다고 내용이 전환되는것은 부자연스러우며 비약적이라고 생각되는 것입니다.

그리고, ActiveX말고 다른 플러그인, 예를들어 FireFox plugin은 질의서에 말씀하신 것과는 다른 방식으로 설치됩니다. 플러그인이 아예 없는 설계라는 쪽의 주장을 말씀하시기 보다는 폐혜가 있는 ActiveX쪽에 포커스를 맞추셔야지, 주장하시는 본질이 흐려지지 않게되지 않을까요?

Quote:
"보안 경고창이 뜨면 반드시 '예'하라"고 지시해 둔 다음, 무조건 플러그인 방식으로 서비스를 설계하는 관행은 결국은 이용자들의 컴퓨터를 거덜내는 "결과"를 분명히 낳게 됩니다; "의도"야 선량했다고 말하겠지만.

이러한 표현은 말씀하시는 주장에 어느정도 동의하시는 분들도 거리감을 느끼게 할 뉘앙스가 있다는 생각입니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

youknowit의 이미지

제 희망 사항은 단순합니다. "보안경고창이 뜨지 않게 서비스를 설계해 달라." 보안경고창이 뜨도록 서비스 제공 구조를 설계해둔 다음, 이용자에게 "반드시 '예'하라고 안내하는 지금의 방식을 중단하라는 것입니다.

파이어폭스 확장의 경우도 보안경고창은 마찬가지 문제를 불러일으킵니다.

저는 보안 업체가 단순히 "설치방법을 설명"하는 업체라고는 생각하지 않습니다. 자칭 보안업체들이 스스로를 지금까지 그렇게 규정해 왔다면, 우리나라에는 제대로 된 "보안업체"는 없었던 셈입니다. 서비스를 어떻게 설계하는 것이 보안에 도움이 되는지를 조언(consulting) 해주는 역할을 보안업체가 하지 않으면 누가 합니까? 서비스 제공자가 보안을 설계 합니까? 서비스 제공자가 하라는 대로 하는 것이 "보안 업체"의 임무입니까?

brucewang의 이미지

저의 글 중 "포탈등의 계약자의 요구로 ActiveX형식의 배포버전도 만들게 된 것이겠죠?" 라는 부분은 제 의도를 곡해하실 수 있는 여지가 있던 것 같습니다.

하지만, 우리나라 엔진만 ActiveX 형태의 웹상에서의 스캔 서비스를 제공했던것도 아니며
보안상의 문제는 "의도하지 않은 설치"가 요점입니다.
이부분에 대해서는 보안업체들이 누누히 사용자들에게 계몽을하고 있는것이 아닙니까?

저는 보안업체들이 양면성을 가지고 서비스를 제공해 왔다는 뉘앙스에는 교수님과는 다른 생각을 갖고있습니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

nahs777의 이미지

문제는 의도의 문제가 아닙니다.

의도하지 않은 설치와 그렇지 않은 설치를 구분할 수 있는 유저는 (아마 KLDP에서는 거의 다 하시겠지만.) 전체 유저중에 오히려 소수라고 생각합니다.

제가 집에서 주기적으로 하는게, 부모님컴퓨터(인터넷뱅킹과 그냥 웹서핑용)의 xp포맷입니다.

저도 누누히 '아니오' 를 누르라 설명드리지만 그냥 '말그대로' 무심결에 그것도 '은행에서의 학습효과' 때문에 예를 누르십니다.

덕분에 3달만되면 온갖 툴바에 애드웨어가 가득한 컴퓨터로 탈바꿈되고, 그냥 저는 요샌 고스트로 밀어드립니다.

이유의 근본은 가장 중요한 '인터넷 뱅킹' 입니다. 인터넷 뱅킹을 하면 최소 3~4개의 ActiveX를 깔야야 하는데, 이걸 누누히 읽고 Initech이 뭐하는 회산지 Inca 가 도대체 뭐하는 프로그램인지를 읽고 하는건 불가능합니다.(은행별로 업체도 다르죠.)

만약 보안업체들이 (혹은 은행이) 현재 깔리는 프로그램중 직접적으로 인증서에 관여하는 plugin을 제외하고, 키로거라거나 방화벽 안티바이러스 프로그램을 다른 패키지로 제공하였다면 아마 이런 '학습효과' 가 나타나지 않거나 혹은 매우 제한적이지 않았을까 생각이 듭니다.

보안업체는 계몽을 하지만, 한편으론 인터넷 뱅킹을 위해 최소 yes를 4번 눌러야하는 시스템을 개발하면 사용자들은 yes를 눌러야 된다고 무의식적으로 배웁니다.

---

또한 반대로 전 이해가 안가는게 이러한 프로그램을 깔지 않고는 인터넷 뱅킹 사용이 불가능하다는 점입니다.

따로 더 좋은 백신, 더 좋은 방화벽, 더 좋은 키로그 방지프로그램을 깔아서 이미 사용중이라도 무조건 업체에서 제공하는 것을 설치해야 합니다.

이들끼리 충돌하고, 시스템이 느려지고 하는것은 불보듯 뻔한일이지요.

만약 은행이 '어떠한 프로그램' 을 패키지로 제공하고, 사용자는 그것을 설치할것인지 아닐것인지(자신의 책임하에) 한다면 그것이 더 적절하지 않을까 합니다. 그것이 ActiveX로 제공할때는 (최소한 현재상태에서는) 불가능하다고 여겨집니다.

저도 법문을 제대로 살펴본것은 아니지만 '제공해야 한다' 이지 '제공을 확인해서 실행될때만 인터넷 뱅킹을 하게 해야한다' 는 아니라고 생각합니다.

brucewang의 이미지

저도 ActiveX를 옹호하려는 것도 아니며 (제 kldp기록을 뒤져보셔도 좋습니다.)

말씀하신 학습효과, 그리고 온라인 뱅킹상의 문제 등은 ActiveX의 문제를 얘기할 때 언제나 제기되는 내용으로서 저도 동의할 수 밖에 없는 내용입니다.

문제는 '의도' 가 아니라고 하셨지만, 지금까지의 제 글 내용중 많은 부분이 그 '의도' 에 대해 교수님이 호도하고 있다는 쪽에 있습니다.

전체적으로 '다운로드 후 설치' 방식으로 하자는 교수님의 의견은 합당해 보입니다만, 보안업체들이 양면성을 갖고 있다고 호도하시는것은 비약적이라는 것입니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

nahs777의 이미지

전 그게 비약적이라고 보기 어렵다고 생각합니다.

왜냐면 그렇게 만들었으니까요. 각각을 패키지로 4개 이상을 설치하게 구성한건 업체쪽이죠..

그게 어떠한 '의도' 를 가지고 만들었는지 (activeX 에 대한 학습효과를 노린것이건, 아니면 단순히 그렇게 개발하는게 편한것인지, 아니면 자기 회사의 홍보를 위해(업체이름 계속뜨니까.) 만든것인지, 아니면 사용자의 알권리(보안프로그램, 방화벽같은건 나오니까.) 아닌지는 알 수 없습니다.

하지만 그렇게 만들어놓고 의도가 없었다고 한다면, 사람 찔러놓고 다치게 할 생각 없었다고 말하는 것과 비슷한 것 같다는 생각입니다.

가장 학습효과를 강하게 구성하면서, No 를 눌러라라고 말하는것과 뭐가 다른가요?

brucewang의 이미지

제가 말씀드린 양면성이라는 것은 얼마전 발생했던 가짜 백신 업체들 처럼, 가짜 바이러스 경보를 발동해서 사용자에게 부당한 요금을 받아낸 그런 의도를 의미한 것입니다.

그런 잘못된 의도인지 아닌지는, 감염치료에 fake가 없는지, 사용자 몰래 빼 내어가는 정보는 없는지 확인이 가능하다고 봅니다.
따라서 말씀하신 비유는 조금 부합하지 않는것이 아닐까 생각합니다.

그리고 말씀하신 학습효과에 대해선 아래 교수님의 댓글에 다시 댓글로 의견을 달아 보았습니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

Hyun의 이미지

Quote:
하지만, 우리나라 엔진만 ActiveX 형태의 웹상에서의 스캔 서비스를 제공했던것도 아니며

ActiveX를 우리나라에서만 사용하는건 아니지만, 외국 홈페이지들을 다녀보면서 아직 ActiveX를 설치해본 적이 없군요. 확실히 외국에서 덜 쓰는건 맞다고 봅니다. 아니 쓰지 않다고 봐도 무방하다고 봅니다.

Quote:
보안상의 문제는 "의도하지 않은 설치"가 요점입니다.
이부분에 대해서는 보안업체들이 누누히 사용자들에게 계몽을하고 있는것이 아닙니까?

저는 보안업체들이 양면성을 가지고 서비스를 제공해 왔다는 뉘앙스에는 교수님과는 다른 생각을 갖고있습니다.


이 부분이 오픈웹에서(교수님께서) 주장하는 내용일 듯 합니다. "예 를 누르세요"를 보안업체에서 사용자에게 교육(계몽)시켜 "의도하지 않은 설치"를 원하는 듯(?) 해 보입니다.
이 부분은 오픈웹의 원래 글에 포함된 바이러스 관련 내용이 있는 링크에 아주 명확하게 설명되어 있습니다. 백신 업체에서 “ActiveX 설치 질문에 "예"를 선택하세요” 라고 써놓고 사용자에게 강요하는 것과 위의 바이러스가 “ActiveX 설치 질문에 "예"를 선택하세요” 라고 하는것은 일반 사용자에겐 아무런 차이가 없습니다.
나도 세벌식을 씁니다
brucewang의 이미지

한가지 오해를 하신 것이 있습니다.
외국의 ActiveX사례와 우리나라의 오용에 의한 폐혜는 저도 잘 주지하고 있는 바입니다.

그러나,

Google에서 online virus checker라고 검색만 해도 많은 해외 엔진도 온라인 바이러스 체크 기능을 이용하며, 웹 애플릿이나 오브젝트가 시스템 파일들에 접근하기 위해선 ActiveX나 Signed Applet을 사용할 수 밖에는 없습니다.

Java Signed Applet의 경우도 서명자를 신뢰할 것인지 사용자가 선택을 해야만 하는것으로, 그렇다면 이 사례의 경우도 교수님의 주장하시는 바와 같이 사용자를 호도하게된다고 할 수 있는것이겠죠?

http://www.bitdefender.com/scan8/ie.html --> ActiveX
http://support.f-secure.com/enu/home/ols.shtml -> ActiveX
http://housecall.trendmicro.com/ --> Java 이 경우도 인증서 신뢰를 선택해야 합니다.
http://www.kaspersky.com/virusscanner --> Java

역시나 의견이 갈리는 부분은 안티바이러스 업체의 양면성이냐는 부분인데요,
저는 배포방식상에 대해 업체는 제대로 설명을 한 것이라고 생각하고 있습니다..
그리고 그것은 대부분 '선의'에 의한 것이고 (가짜 백신 업체들 제외)
오용에 의한 피해에 대해서 사용자들을 보호하기 위해 정보제공에 힘써 왔다고 생각합니다.

배포방식상에 대한 부분에 대해서 교수님의 의견에 전혀 동의 못하겠다는 것이 아닙니다.

꾸벅~~

PS> 그런데 혹시 교수님 이 게시물 내용을 최근 수정하셨나요?

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

youknowit의 이미지

아닙니다. 한두군데 수정해서, 제 뜻을 조금더 명확히 할 곳이 있습니다만. 논의에 참여해 주셔서 고맙습니다.

unipro의 이미지

위에서 제시한 온라인 바이러스 검사들은 사용자가 NO라고 해도 별 문제가 없습니다. 왜냐하면 단지 바이러스 검사하는 서비스를 받지 않으면 될 뿐입니다. 사용자가 이와같은 배포방식이 원하지 않으면, 아마도 No를 누르고 다른 안전한 방식을 선택할 것입니다.
문제는 우리나라에서는 No라고 하면 은행업무라든지 전자정부를 이용할 수 없다는데 있습니다. 따라서 반드시 Yes를 강요받을 수 밖에 없습니다.
----
내 블로그: http://unipro.tistory.com

내 블로그: http://unipro.tistory.com

brucewang의 이미지

그 문제는 모두들 알고 있습니다.

제 생각은 호랑이를 잡으려면 호랑이 굴에 들어가야 한다는 것입니다.
그 호랑이는 정부가 아닐까요? 질의의 대상을 수정해야하는건 어떨까 생각합니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

youknowit의 이미지

brucewang/
정부는 "보안프로그램을 설치"하도록 지도하고 있을 뿐입니다. 정부가 "ActiveX로 배포하라"거나 "플러그인 형태로 설치하라"고 지도한 적은 없습니다. 보안프로그램 설치를 플러그인 방식으로 하기로 선택한 자는 보안 업체입니다.

은행이 그렇게 지시하면, 보안 업체는 "군말 못하고" 그냥할 수 밖에 없다는 소리는 "보안 업체"가 할 말은 아닙니다. 은행은 보안전문 지식이 없고, 보안을 위하여 어떻게 서비스를 설계해야 할지는 오로지 보안업체의 책임입니다.

만일 보안 업체가 "은행이 하라는 대로 했다면", 보안 업체는 보안에 무지한 은행의 요구를 핑계로, 바이러스 확산에 최적화된 이용환경을 만드는 "결과"를 초래했습니다. "의도"를 짐작할 필요는 없습니다. 누구나 알고, 누구나 알 수 있는 결과가 있습니다.

brucewang의 이미지

교수님 논지의 핵심은 ActiveX "설치의 잘못된 학습 효과"로 인해 바이러스 확산에 최적화된 이용환경을 초래 했다는 것인데요,
그 잘못된 학습을 유도한 주체가 왜 백신이나 보안업체, 특히 특정 업체로 국한되어야 하는 것인지에 대해서는 수긍이 어렵습니다.
이부분에 대해 좀더 자세히 들어가 봐야 할 것 같습니다.

게다가 바이러스/웜 확산의 원인 중 "ActiveX등의 플러긴 형식의 의도되지 않은 설치"는 일부에 해당합니다.
e-mail 첨부파일의 실행, OS 및 어플리케이션 취약점, Cross-stite scripting등의 웹 취약점 등 원인은 다양하며
Slammer 같은 경우는 순수 SQL서버의 취약점을 이용한 것이고, 한국의 바이러스 감염율/웜 확산율이 타국에 비해 월등한 것도 아닙니다.
따라서 원글의 추론은 뒷받침 할 만한 자료가 부족하다는 생각입니다.

오히려 다른분들이 제기하신 전자정부/인터넷뱅킹등의 사용에 있어 각종 플러긴이 설치 되어 있지 않을 경우에 대한 제약으로, 사용자의 선택권이 박탈된 것에 대해서 배포방식 및 제한에 대한 다른 제안등의 논의는 더 필요하다고 봅니다.

또한, 현실적으로 정부등의 '갑'의 요구가 (그 어떤 사소한 것이라도) 우리나라 S/W 업체들에게 어떤 힘을 갖는지도 한편으로 고려를 해 주셨으면 합니다.
물론 이것은 국내 보안업체들이 갑의 요구로 인해 나쁜 결과를 초래할 것을 알고 시스템을 구성했다는것에 대한 의미는 전혀 아닙니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

youknowit의 이미지

ActiveX 로 감염되는 비율이 적으니, "보안경고창이 나타나면 반드시 예를 선택하라"고 안내하는 현재 사태를 그냥 두자는 주장은 아니시겠지요, 설마?

그리고, MS IE 보안설정을 낮게 유지하라고 집요하게 안내하는 현 사태가 보안에 도움이 된다는 주장도 아닐 것으로 저는 이해합니다.

http://openweb.or.kr/tmp/2009/03/all_ok.png

brucewang의 이미지

물론이죠 교수님. 그런 주장은 절대로 아닙니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

chcha의 이미지

저는 열거하신 사이트들을 인터넷뱅킹의 보안모듈과 동일선상에 놓지 못하겠습니다.

위의 사이트들은 방문 목적 자체가 바이러스 스캔입니다.
인터넷 뱅킹 사이트들은 방문 목적이 보안모듈 설치가 아니죠.

위의 사이트에서 "아니오"를 누른다는 것은 방문 목적 자체를 부정한다는 의미입니다.
인터넷 뱅킹 사이트에서 "아니오"를 눌러서 보안모듈을 설치하지 않았다고 해서
본래의 목적인 온라인 뱅킹 서비스 를 이용하지 못한다는 건 좀 다른 경우죠.

youknowit의 이미지

본문 중, 안철수 연구소의 조언에 대한 링크가 어쩐지 작동하지 않는 군요. 웹 주소는
http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuScrap.ahn?seq=10700
입니다.

whitelazy의 이미지

ActiveX로 배포하는 문제도 있고 ActiveX로 동작하는 보안프로그램이라고하더라도 그 범위를 제한하는 장치가 있었으면 합니다..
요즘은 아예 시스템 서비스로 들어가고 USB 드라이버도 바꿔치기해버리는군요 보안이라는 미명하에...
설치가 쉬우면 그만큼 더 조심해야하는데 맘데로한다는생각만 듭니다.

이은행가니 시스템 서비스로 넣어버리고 저은행가니 USB키보드 쓴다고 USB드라이버도 바꿔치기하고
또 이은행가니 수상한 드라이버 깔렸다고 중지시키겠냐 물어보고
중지시키니까 드라이버 하나가 문제가 생겼다고 시스템 경고뜨고 난리네요 -_-;;

왜... 시스템서비스랑 드라이버를 건드리는지... -_-;;;
이미 방화벽 쓰고있는데도 무조건 깔아버리고 말이죠... OTL

chunsj의 이미지

제생각에도 보안경고창이 뜨면 일단 잘 모르는 경우 현재처럼 습관적으로 "예"를 누르지
않도록, 즉 반대로 하도록 계몽을 하는 것이 중요한 점이라고 생각합니다. 이는 추후에
서비스 제공자가 그러한 플러그인과 같은 기능을 필수로 하는 서비스를 만드는데 주저하게
하는 효과가 있을 것이고 장기적으로는 플러그인 자체가 - 쓸데없는 - 많이 사라지는데도
도움이 될 것이라고 생각합니다.(그리고 운영체제와 독립적인 서비스의 개발과 운영에도
도움이 될 것이고).

M.W.Park의 이미지

대부분 동의합니다.
사악한(?) 의도의 부분은 조금 비약이 섞인 듯도 하지만 완전히 틀린 말이라 보기도 어렵겠군요.

서울 올라오면서부터 고향집의 부모님 컴퓨터를 명절 때마다 손봐드려야했는데...
결혼하고 나니 처가집 컴퓨터까지... Orz.

동일 작업 반복은 죄악이라는 신조를 가지고 있는 저로서는 참 막막/답답합니다.

-----
오늘 의 취미는 끝없는, 끝없는 인내다. 1973 法頂

-----
오늘 의 취미는 끝없는, 끝없는 인내다. 1973 法頂

idotrip의 이미지

그럼 기업의 목적이 뭐라 보십니까?

돈 버는겁니다. 법적인 한계에서 어떤수단과 방법을 가리지 않고...

가끔 물론 돈버느라 법의 한계도 넘나들고 위법도 하는게 기업입니다.

근데 그깟 웹 표준이 어떻고 몇몇 소수 사용자 편의성을 봐줄려고 착하길 바란다는거 자체가 어불성설이죠..

이렇게 하면 그냥 간단히 해결됩니다.

누군가가 지금보다 돈 더 줄테니 이렇게 만들어라 하면 됩니다.

imyejin의 이미지

뭐하러 한국에 간섭?

임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

youknowit의 이미지

플러그인으로 마구 뿌리면 싸게 서비스를 제공할 수 있고, 업체에게는 돈이 된다고 생각하고 있지요.

푼돈에 불과하다는 것을 모르는 것이 문제입니다. 표준 준수가 돈이 안된다고 오해하는 것도 문제이고요. 훨씬 더 큰 돈을 벌 수 있는 경쟁 사업자들이 아예 시장에 못들어오게 막고, 푼돈이나 챙기는 업체들 때문에 정말 세계적으로 큰 판으로 돈을 벌 수 있는 국내 기업이 생기지를 못한다는 것이 오픈웹이 가지는 문제의식입니다.

오픈웹이 그저 고상한 "이상"이나 추구하는 것이라고 생각하시면 오해입니다.

roylory의 이미지

"누군가가 지금보다 돈 더 줄테니 이렇게 만들어라 하면 됩니다."

맞는 말이긴 한데 아무런 의미가 없는 말이군요.

웹표준을 지키는 것이 왜 이익이 되는지 이해를 해야 그 누군가가 돈을 쓰겠죠.

nahs777의 이미지

왜 ActiveX로 하면 돈이되고, 패키지로 내놓으면 돈이 안되는거죠?

그것에 대해서 말하지 않으면 이해가 안가네요. 지금 리눅스 패키지를 출시해라 라는 요구가 아닌데요..--;

이건 웹 표준과 크게 상관없는 이야기인것 같은데요.

글을 정독하시길 바래요.

mentoso의 이미지

갑이란 은행이 activeX 패키지 형태로 제작해달라라고 요구 하던가요? 음...

그냥 고객이 안전하게 인터넷 뱅킹을 할 수 있게 해달라는게 아니고요?

이런 이야기죠.

안랩이 보안이란 공익성을 내세우는 듯 하면서도 제작의 편의, 제공의 편의, 편익(이익)을 위해서

자신들이

보안이라는 공익성을 기반으로 존립함에도 불구하고...

activeX 폐해에 대해서는 애써 무시하거나 모른척 하고나

또는

어쩔 수 없어...이런 식으로 회피하고 있는게

아닌가 싶습니다.

오히려 이 번 질문에 대한 안랩의 답변을 보니까, 제 이런 의구심이 더 확실해 지는걸요?

위에서 나온 이야기인데요.

인터넷뱅킹 시에 사용하는 안전한 전용창을 만드는 것이 어떨 지 싶은데요?

brucewang의 이미지

어떤 공식 입장이 발표 되었는지요? 저도 보고 싶습니다.

그리고 안랩의 경우는 '인터넷 뱅킹용 전용 브라우저' 제품도 있습니다.
이에 대해서도 인터넷에 찬/반 의견이 많았던 것 같습니다만..

그리고 절대로 특정 업체를 옹호하려는 것은 아닙니다만,
ActiveX문제에 대해 외면이나 회피를 한 것이라고는 생각지 않습니다.
오히려 위험성에 대해 홍보를 하였다면 하였는데,
ActiveX 라는 기술 매개체를 사용해서 악성코드를 실행시키느냐,
아니면 그 악성코드를 제거하는데 사용하느냐는 큰 차이라고 생각합니다.

위에서처럼 현재도 외국 엔진도 ActiveX 혹은 Signed Applet을 사용합니다.
웹에서 서비스를 하기 위해선 그 기술 밖에 없기때문일 뿐입니다.

물론, 단순히 백신 기능만 사용하고, 웹에서 그 설치 상황의 인지,
혹은 더 나아가 웹과의 연동이 필요하지 않다면 '설치파일'의 형태만으로도
충분한 것은 사실입니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

youknowit의 이미지

Quote:
위에서처럼 현재도 외국 엔진도 ActiveX 혹은 Signed Applet을 사용합니다.

알려주신 링크를 방문해 보았습니다. 그 사이트 들과 국내 은행과는 근본적인 차이가 있습니다. 알려주신 사이트를 방문하는 유저는 자신이 지금 무엇을 하고 있는지를 알 수 있습니다. 유저가 주체적으로 판단하여 바이러스 스캔을 원하는 것이고, 무슨 용도로, 누가 제공하는, 어떤 기능을 수행하는 플러그인 인지를 미리 알고, 그 정보에 기초해서 OK를 누르든지 말든지 판단할 수 있습니다.

은행거래를 한다는 사이트에 접속했는데, 난데 없이, 다짜고짜로 무슨 보안경고창이 뜨고 OK를 누르라는 한국의 상황은 논리적으로 다릅니다. 보안 위험을 평가할 때 근본적으로 다르게 봐야 합니다.

유저가 OK를 클릭하기 전에, 판단에 필요한 정보를 주느냐 안 주느냐의 차이는 적어도 '보안'과 관련해서는 하늘과 땅차이라고 저는 생각합니다.

난데 없이 ActiveX 보안경고창이 뜨도록 설계한 다음, 유저로 하여금 그 경고창에 제시되는 "게시자 이름만 보고" OK 여부를 판단하도록 만드는 외국의 금융기관이 있나요?

brucewang의 이미지

말씀하신대로의 상황이라면 생각해 볼 여지가 있습니다. 저도 수긍하는 바 입니다.

그런데 그런 상황은 '안내창'에서 충분히 사용자가 무엇을 설치하는지 알려 줄 수 있고
또 서명자를 통해서 누구의 것인지 확인 할 수 있습니다. 즉, 사용자가 주체적 판단이 가능한 상황을
쉽게 만들 수 있습니다.

문제는 '설치하지 않았을 경우 서비스를 사용할 수 없다' 는 것이, 저희가 중점적으로 생각해 봐야 할 점이 아닌가
생각해 봅니다.

-------------------------------------------------
$yes 4 8 15 16 23 42

-------------------------------------------------
$yes 4 8 15 16 23 42

nahs777의 이미지

공감하는 측면이 있습니다.

지금처럼 인터넷뱅킹 사이트에 접속하자마자 따다닥 몇개의 activeX가 뜨는 방식이 아니라.

하나하나씩 프로그램을 설명하 면서 이 프로그램이 무슨 용도인지, 어느경우 설치해야 하고, 어느경우 설치 안해도 되는지, 또한 설치할 경우 알려진 문제점이나 피해는 무엇이 있는지 설명하는 페이지가 나오고 난 뒤에, (activeX건 패키지건) 설치하게 해야합니다. 이렇게 하나하나씩 각각의 정보 페이지를 읽고(그렇다고 약관처럼 복잡하게 하거나, 지금처럼 무작정 설치하라고 설명하면 안되고, 그림과 기타 웹기능들을 활용해서 제가 말한 부분에 대해 초보자도 충분히 이해하게 만들어진 페이지) 사용자가 이 프로그램을 설치할지 여부에 대해 판단하게 해야 옳은 방향으로 가는게 아닐까 합니다. 그러면 학습효과를 최대한 줄일수 있을것이라 생각합니다.

그리고 이게 과연 어려운 요구인가에 대해서는 전 회의적입니다.
그렇게 지금 안하고, 인터넷 뱅킹 사이트에서는 '무조건 설치' 하라고 설명하고 있으면서, ActiveX는 no를 누르시라는 그런 보안업체의 점이 마음에 들지 않고, 김교수님도 이러한 점을 지적하는게 아닐까 합니다.

mentoso의 이미지

Quote:
어떤 공식 입장이 발표 되었는지요? 저도 보고 싶습니다

지금 이 글 본문에 오픈웹에 문제제기한 원글이 링크 되어 있더군요.

http://openweb.or.kr/?p=572

그 글의 댓글 내용 중, 안철수랩의 반응을 쓴 글이 트랙백 되어 있던데요?

그 글이 공식입장인지 아닌 지는 알 수 없으나, 그렇게 반응하였다면 좀 답답함을 느끼고요.

전 이러한 액션을 취한 후, 무엇이 달라지느냐 아니냐,

또는 이러한 문제제기가 의미가 있느냐 없느냐를 보는데요.

이 글의 내용은 꼭 필요했던 문제제기(유의미한)로 보고 있습니다.

마치 영화는 산업이냐, 예술이냐 이렇게 보는 느낌도 드네요.

해당 글에 달린 교수님 글에서..

제대로된 보안업체란 무엇인가?

그게 핵심인 듯 싶은데요.

karkayan의 이미지

서비스를 제공하는 측에서는 올바른 보안 서비스를 제공하는 것도 중요하지만
사용자가 얼마나 서비스에 쉽게 접근하고 쉽게 사용할 수 있느냐는 측면 또한 무시하지 못할 것 같습니다.

사용자가 주체적으로 판단해서 설치 프로그램을 다운 받고 설치하여 보안 위험을 줄이는 것 또한 중요하지만
사용자가 서비스에 얼마나 접근이 용이한가를 따져 보면 플러그인 형태가 설치 프로그램 보다
훨씬 앞서는 것 같습니다.

그리고 단순히 안내의 부족이 문제가 된다면, brucewang님 말씀 처럼
충분히 안내 페이지를 만들 수 있다고 생각이 됩니다.

nahs777의 이미지

서비스 접근에 사용자가 용이하냐에서 과연 현재 IE에서도 ActiveX가 쉽다고 말할수 있는지 매우 의문스럽습니다

특히 비스타를 쓰면 더더욱 그렇게 느끼죠(앞으로 7에서도 마찬가지일것같고.) 예전에는 원클릭으로 설치해서 접근이 용이하다는 장점이 있었으나, 지금처럼 여러번의 클릭과 확인, 권한 상승을 요구하는 시점에서, 요새는 패키지보다(자동화되어 설치하는 패키지 형태라면 더욱더) 편리하다고 느껴지지 않습니다.

과거에 그렇게 ActiveX로 만들게 된것은 Yes만 누르면 설치, 실행되는 편리함이 있어서였죠. 그런점에서 보안을 trade off 한게 아닐까 합니다.

하지만 지금 운영체제 시스템에서는 패키지 설치보다 편리하지 않다고 판단하고 있고, 오히려 지금은 보안만을 갉아 먹는게 아닌가 합니다.

JuEUS-U의 이미지

ActiveX로 하던걸 실행파일로 한다면 어차피 똑같은 경고를 받게 될겁니다.
어차피 둘 다 사용자 계정으로 돌리니까요.
오히려 Vista에서 설치 파일을 전부 Scan뜨는 바람에 설치파일 쓰는 것도 영 구립니다.

nthroot의 이미지

당연하다고 생각한 것을 바꾸자고 하시니 반발이 있을 수 밖에 없고
안랩 입장에서는 "왜 나만 갖고 그래?" 라고 생각을 할테고..
충분히 그만한 역할과 책임이 있는 회사인 것만은 분명한 것 같은데..
안랩쪽 기사를 보니.. 동문서답하고 있는 것 같네요.

------식은이 처------
길이 끝나는 저기엔 아무 것도 없어요. 희망이고 나발이고 아무 것도 없어.

mac040의 이미지

인터넷 뱅킹이 마치 액티브엑스 기반의 애드웨어 및 스파이웨어 설치 교육 같다는 느낌을 자주 받습니다.

특히 보안 경고를 띄우면서 무조건 '예'하라는 설명문은 마치 사기꾼이 자신의 말이 진실이라고 주장하는 느낌을 받기까지 합니다.(수많은 애드웨어들이 동일한 주장을 합니다.)

JuEUS-U의 이미지

ActiveX를 반대하는 입장이기는 하지만
과연 패키지 배포가 ActiveX에서의 보안구멍을 막아주는 지에 대해서는 의문이 듭니다.

은행에서 "다운로드 후 실행", "바로 실행"을 사용자에게 요구하면
ActiveX에서 일어나던 것과 똑같은 일이 일어나게 되어있습니다.

결국 얼굴없는 데이터 덩어리를 전송/설치하는 것이고
따라서 사용자는 판별할 수 없고
어디선가 필요하다고 말하면 다운받아서 설치하고 있겠죠.

배포 방식을 바꾸는 것 보다는
적절한 안내를 덧붙여서 신뢰할 수 있는 프로그램이 무엇인가를 직접 보여줘야 한다고 생각합니다.
그게 안되면 무엇으로 배포하던지 간에 문제가 발생할 수 밖에 없습니다.

ps. 국가 차원에서 보안App을 지원하면 또 얘기가 다를지도 모르겠네요.
뭐, 어차피 탁상 공론일게 뻔하면서도...

ps2. 돈받고 파는 인증서 말고, 커뮤니티 기반의 신뢰성 인증 방법이 있었으면 하네요.

iris의 이미지

이 주장의 기본은 'ActiveX의 기술적인 보안 문제'보다는 '불필요하게 ActiveX 실행 허가를 내주게 하는 습관을 들이게 하는 것'을
문제로 여기는 것이라 봅니다. 즉, 은행이 인정한 전문 업체의 보안 솔루션이 문제를 일으키는 일은 거의 없겠지만 그것을 ActiveX로
만들어 설치하게 만드는 것은 자칫 'ActiveX는 아무 생각 없이 설치해도 다 문제가 없겠구나'하는 생각과 그것이 무엇인지 확인 없이
'예' 방향으로 마우스 커서를 옮기게 만드는 습관성을 생기게 하는 것이 문제라는 것입니다.

설명을 잘 붙여 사람들이 꼼꼼하게 확인하게 하는 습관을 들이게 하는 것도 하나의 방법이겠지만 사람이라는 것이 그렇게 되기는
쉽지 않기에 '진짜 믿을만한 것이면 차라리 일반 프로그램처럼 설치하게 만들어서 헷갈리게 하지 말자'는 강제적(?)인 방안을
김교수님께서 제안한 것으로 생각합니다.

저는 그 자체에 대해서는 완전 동의는 하지 않지만 그렇다고 반대하지도 않습니다. 이것만으로 사람들의 보안 의식이 크게 좋아질거라는
생각이 들지 않는 것이 동의를 하지 않는 이유입니다만, 직접 설치를 시킨다고 사람들이 은행 이용을 포기할 정도로까지 불편하게
느낄 것이라 생각하지 않으며 매우 미미하겠지만 ActiveX 설치를 줄이게 하는 것이 아주 조금은 ActiveX 설치의 습관적인 반응을
줄여줄 가능성은 있을 것이기에 반대하지도 않습니다.

=================================

이 세상은 썩어있다!
- F도 F시 시가지 정복 프로젝트

=================================

이 세상은 썩어있다!
- F도 F시 시가지 정복 프로젝트

홈페이지: 언더그라운드 웹진 18禁.net - www.18gold.net

LinuxMC의 이미지

제 관점은 이렇습니다.
먼저 왜 은행에서 보완 관련 모듈을 액티브X형태로 보안 동의를 통해서 설치하게 되었느냐?

말씀하시는데로 다운로드 받아서 따로 설치 하고 보안 창이 안뜨게 했다면 우리나라 사람들이 안전하지 않은 액티브X에도 무감각하게 동의를 누르게 되는 습관은 생기지 않았을 것입니다.

보안이라는 것은 결국 편의성이라는 것과 양면성을 가져가게 된다고 생각합니다.

좀 더 편하고 빠르게 엔드 유저로 하여금 이용할 수 있게 하기 위해서 가장 좋다고 생각하고 도입한 방법이 이제는 안전하지 않은 액티브 X에도 아무 생각없이 예스를 누르는 나쁜 습관을 길러주었다는 것이 제기하시는 문제라 생각합니다.

앞서 액티브X설치가 쉽다고 하지만 이것 조차 어려워 하는 사람들이 많은 것도 현실입니다.. ( 저희 아버님 같은 경우는 모 게임 사이트를 이용하시면서도 액티브 X설치 창이 뜨면 한참을 헤메시다가 확인을 누르십니다. )

이런 분들에게 이 홈페이지를 이용하시려면 어디가서 무슨 프로그램을 다운로드 받으신 후 접속하여 주십시오 라고 하는 요청하면 그 결과는 상상에 맞기겠습니다.

논의해야 하는 주제임에는 틀림이 없습니다만 좀 더 다른 방향으로 조명할 필요가 있다고 생각합니다.

이 주제의 해결책은 보안 + 편의성 이라는 두마리의 토끼를 잡아야 하는 아주 어려우면서도 이상적이어야 하니까요.

무제? 무죄!

무제? 무죄!

chcha의 이미지

저는 공개질의 내용 전반적으로 동감합니다.

갑-을 의 관계라고 해서 시키는대로 다 하는 건 아니죠.
청소할 때 "유리창 닦아라" 라고 시키지 어떤 걸레와 어떤 약품을 어느 정도 써라고 하지는 않죠.
(청소에 대한 해박한 지식이 있으시면야... 가능할 수도...)

분명히 갑으로부터 '자동 설치되어야 하는 것이 아니냐', '페이지 변경되어가면서 다운 받고 설치하는 것은 불편하다' 는 지적을 받고 고심끝에 만들어낸 고육지책이겠죠.
(이 부분에 대해서는 안타까운 마음입니다)

그런데, 보안업체로써 안되는 것을 안된다고 하지 않고(보안 설정을 바꾸지 않으면 실행되지 않는 ActiveX 들이 있죠), 위험한 것을 위험하다고 주지시키지 못한 데 대한 책임은 분명히 있는 거죠.

분명히 이 방식에 대한 설계는 보안업체에서 했을 테고, 최종 승인은 갑에서 했을겁니다. 법적인 책임이야 분명히 갑이 져야 하지만, 도덕적인 책임에서 보안업체 또한 자유롭지는 못하다고 생각합니다.

세벌의 이미지

한국웹의 불편한 진실을 읽고 있습니다. 2009년 7월 27일 초판이니 IT쪽 흐름을 볼 땐 꽤 오래된 책이죠. 그런데 아직도 해결이 안 되고 있는 문제가 많아 안타깝네요.

http://openweb.or.kr/ 사이트 연결이 안 되네요. 사이트 자체를 닫은 건지? 일시적인 현상인지?