전자결제에 ActiveX를 써야 할 이유가 뭐죠? 키보드 락 때문에?

kyagrd의 이미지

일단 호환성 측면에서 말도 안되는 이야기고 당연히 ActiveX를 쓰면 안된다는 건 맞는데, 간혹 ActiveX에 익숙해진(중독된?) 개발자들 여러가지 변명(?)에 가까운 옹호글을 간혹 웹에서 찾아볼 수 있는데요, 이게 어디까지가 신빙성이 있는 이야기인지 궁금합니다.

ActiveX를 써야 보안이 더 뛰어나고 (키보드 락 어쩌고 하면서), 로컬 리소스에 접근하기가 더 쉽다 (이것도 말도 안되는 소리, 자바 애플릿도 인증으로 보안 설정을 해주면 로컬 리소스 접근 가능), JVM 같은 거 안 깔도 된아다 (이건 진짜 적반하장도 유분수, ActiveX는 아예 OS를 Window로 깔아야 되는데? 것도 돈주고 사야 하는데!!).

그냥 "지금까지 개발하던 거에 익숙해서 바꾸려면 귀찮다", "윈도우 사용자는 ActiveX를 더 편하게 생각한다" 이말이죠? 포탈이라든가 공공성이 별로 없는 곳에서 그런 말을 하면 이해가 갑니다. 윈도우즈 사용자 상대로만 장사하려면 뭐 윈도우즈만 지원할 수도 있는 거지요. 그런데 전자정부나 금융결제 같은 쪽에서도 보안과 로컬 리소스 접근을 이유로 진지하게 저런 이야기를 하는 사람들은 그냥 혹세무민으로 생각해되 되겠지요?

하여간 제가 본 전자결제에서 액티브 액스를 사용해야 하는 이유 중에 유일하게 조금이라도 설득력이 있는 건 키보드 락인데요, PayPal은 그런 거 없이도 잘만 하던데, 우리나라만 해커가 판치는 건가요? 대체 우리나라 사이트를 대상으로 한 해킹만 압도적으로 많은 건가요?

뭐 키보드 락을 걸어야 한다는 것도 별로 이유가 안되는 것이, 딸랑 윈도우만 IE만을 위한 키보드 락 때문에 다른 OS나 브라우저로는 접근 못하게 해야 한다는 것 자체가 일단 말이 안됩니다. 그리고 정말 보안에 신경을 쓴다면 키보드 락 어플리케이션을 별도로 만들어서 전자결재를 하지 않을 때도 항상 돌리고 있든가 말이죠. 그걸 ActiveX로 띄워주겠다는 건 아무리 생각해도 오버 중의 오버인 거 같은데, ActiveX를 가끔 옹호하는 사람들이 드는 다른 근거인 윈도우 사용자의 편의성에도 완전히 어긋나는 정책이고요.

따라서 이것도 키보드 락이라는 문제도 전자결제에 설들력이 거의 없는 것이긴 합니다만 사실 관계를 좀 알고 싶어서요. 실제로 보안의 측면에서 키보드 락이 실제로 얼마나 의미가 있는지 궁금합니다.

bus710의 이미지

우리나라에서 그런 금융 사고가 발생하면 사후 책임을 질 기관이 불분명하고 피해 당사자는 낙동강 오리알 신세가 되기 때문에

'그럴 바엔 ㅅㅂ 다 막아 버려!'

와 같은 의도로 사용하는게 아닐까 싶습니다-_-
첫 단추 잘못 끼운것도 문제지만 사고 터지면 누가 책임지나요?
은행은 당연히 책임 없다고 오리발 내밀테고.... 범인 잡혀도 돈 못찾는 경우가 많고.

책임감 없는 풍조가 만연한게 근본적인 문제라고 생각합니다.
용두사미식 제안으로 처음엔 그럴싸하게 도입하고 뒤에 가서 나몰라라 하고.
해달라는 대로 만들어줬는데 문제 생겼다고 만들어준 사람한테 전가하고

akudoku.net

life is only one time

+_+의 이미지

실제로 보안의 측면에서 키보드 락이 얼마나 의미가 있는지는 잘 모르겠지만, 예전에 모 은행의 인터넷 뱅킹 해킹 사고에서 키로거를 이용하여 보안카드 번호를 알아내어 돈을 빼돌린 후로는 키보드 락 방지 프로그램과 방화벽을 인터넷 뱅킹이나 전자 결제 할 때 반드시 깔게 보안 지침이 생긴 것으로 알고 있습니다.

그 이후에 또 보안카드의 랜덤성이 부족하다고 보안 카드를 앞 번호 두 개 뒷 번호 두 개를 이어 붙이는 식으로 땜방을 해서 사용하고 있는데, 진정 랜덤성을 확보하기 위해 최근 고액 송금등에 사용되기 시작하는 일회용 비밀번호를 안전하게 암호화해서 전송해주는 삐삐 비슷한 열쇠고리 같은 것을 보안카드 대신 모든 고객에게 발급해주게되면 키보드락과 방화벽을 보안 지침에서 제거해도 될 것 같은데요. 근본적인 문제를 해결 하지 않고 땜방식으로 문제를 처리하다 보니 한국 인터넷 환경이 마치 스파게티 코드가(돌아는 가지만 손대기가 어려운) 된 느낌입니다.

자신도 모르게 키로그 프로그램이나, 악성코드가 깔리는 주범이 액티브 X인데 이 기술을 사용해서 키로그 프로그램이나 악성코드를 막으려고 하니 이런 근시안적 해결책보단 체계적인 리팩토링이 필요한 시점인 것 같습니다.

7339989b62a014c4ce6e31b3540bc7b5f06455024f22753f6235c935e8e5의 이미지

차라리 암호 입력시에 스크린 키보드를 사용하게 하는건 어떨까요 =3

kyagrd의 이미지

키보드 배열 자체도 매번 랜덤하게 하면 마우스 이벤트를 로깅한다 해도 마우스 위치로도 암호를 알아낼 수 없고요.

하지만 이것도 키로그나 마우스 이벤트 뿐만 하니라 아예 화면 자체를 원격으로 볼 수 있는 스파이웨어 같은 걸 아예 설치를 해놨다면 안되는 거죠.

--
There's nothing so practical as a good theory.
- Kurt Lewin

--
There's nothing so practical as a good theory. - Kurt Lewin
"하스켈로 배우는 프로그래밍" http://pl.pusan.ac.kr/~haskell/

atdda의 이미지

예전에 검토됐었는데, 사용자가 너무 사용하기 어려워한다는 반론으로 접었다고 들었습니다.

실제로 그런 방식을 사용하는 웹하드가 있었는데, 정말 사용이 불편하긴 하더군요. --

May The Force Be With You.

May The Force Be With You.

JungJoohwan의 이미지

이런 것을 도입하는 것도 좋겠지요 보안카드에 비하면 훨씬 보안 강도가 높지 않을까요??

ironiris의 이미지

다른 은행은 모르겠고 국민은행에서 스크린키보드를 도입했더군요.

IsExist의 이미지

이것도 안전하지 않다고 합니다.
http://www.boingboing.net/2006/09/18/onscreen_banksite_ke.html

관련 언급은 여기서 되었군요.
http://guldook.blogspot.com/2007/03/blog-post.html
---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

익명사용자의 이미지

전자 결제에 ActiveX 가 도입된 이유는
조금 다른 측면에서 생각해 볼 필요가 있습니다.

실제로 보면 키보드 보안이라던지..하는 것들은 부차적인 요소고
주로 보안 채널.. 그러니까 암호화 통신용인데

이는 처음 전자결제가 도입되던 당시
미국의 수출 규제에 따라 낮은 수준의 암호화 밖에
제공이 안되었고

관련 법에서 높은 수준을 요구 하였기에
별도의 보안 채널 관련 모듈이 필요로 하여저 ActiveX등이 도입된 것이
제반 사정인 걸로 알고 있습니다.

그리고 뭐..
당연히 기존에 도입된 시스템들 미국 수출 규제가 풀렸다고
쉽게 갈아 엎을 기업이 없으니 지금까지 유지가 되고 있는거겠죠 :)
더구나 기업만의 문제라 아니라 관계법령등의 문제도 있구요.

최근
전자서명법등의 개정으로 인증 업체도 늘어나고 있는데
관련 제도가 더욱 정비되어 SSL만으로도 가능한
결제 시스템을 빨리 봤으면 좋겠네요 :)

bus710의 이미지

그렇군요.
그렇게 되면 비 윈도우즈 시스템에서도 원활하게 사용 가능하겠죠?
(너무 쉽게 생각하고 있는건가-_-)

akudoku.net

life is only one time

jellypo의 이미지

보안이 그렇게 중요하다면 애초에 웹 브라우저에서 인터넷 뱅킹을 가능하게 한 것 자체가 잘못입니다. 인터넷 뱅킹용 클라이언트를 따로 만들어 사용하는 것이 나을겁니다. 지금 이 현상은 인터넷 브라우저에서 인터넷 뱅킹을 하려다보니 계속해서 무리수를 두고 있는거 같군요. 어째서 증권용 HTS는 따로 받아서 잘 하면서 인터넷 뱅킹은 웹 브라우져로 하려는걸까요?

하려는 일이 간단한가 아닌가 뿐이지, 결국 돈이 움직이는건 같잖아요?

신한은행은 일반 인터넷 뱅킹도 있는거 같고, EzPlus라는 프로그램을 배포 하더군요. 좀더 금융업무를 많이 보는 사람들 쓰라고 배포하는거 같지만.

IsExist의 이미지

맞습니다. 애초에 웹 기반에서 인터넷뱅킹, 민원발급 서비스 같은걸 우겨 넣다보니 지금의 active-x 문제로
발전했다고 봅니다. 서비스에 맞는 보안 요구사항을 충족하려다 보니 무리하게 웹 브라우져로 서비스를
할려고 하다보니 이렇게 된거라고 볼 수 있죠.

그나저나 인터넷뱅킹이나 전자정부 서비스가 thin client로 갈 가능성은 있을까요?
---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

vishnu76의 이미지

저도 동의합니다! 제발 웹에 너무 많은 기능을 요구하지 않았으면 좋겠습니다.
그리고 개발자들이 중독되어서 ActiveX를 고집하는게 아닙니다. 요구하는 것애 맞게끔 개발을 하려다 보니 ActiveX말고는 대안이 없는겁니다. [웹브라우저 상에서 로컬 프록램을 수행할 것] 이라는 요구사항에 부합하는게 ActiveX 말고는 없습니다. 그리고 그러한 생각이 이제 머리에 굳어진 거죠.

저야 Java Web Start로 전용 프로그램 개발하는게 좋을 것 같습니다만, 이런거 위에선 싫어하죠.

우선은 흔히 통칭하는 [갑]의 마인드 부족이 문젭니다. 개발자가 아무래 파이어 폭스나 리눅스는 안됩니다라고 해봐야 [갑]에서 그런게 왜 필요해라고 말하면 끝납니다.

Tirin의 이미지

악의적인 목적을 가진 소프트웨어가 OS의 루트급 권한을 가지고 있다면야 사용자가 무슨 짓을 하든 여지간해선 막아내기 힘들지 않을까 싶네요. 키로거 방지 등의 보안 프로그램이 의미가 없는 이유가 여기에 있는거 아닙니까.

- Tirin.

- Tirin.

hey의 이미지

http://whiteberry.egloos.com/1504057
벌써 이런 일이 일어났죠. 한동안 게시판에 들어갈 때도 키보드 보안 프로그램을 깔더니 결국 이렇게까지 ...

May the F/OSS be with you..



----------------------------
May the F/OSS be with you..


익명사용자의 이미지

activex의 언덕을 넘었다 한들.. .net smartclient라는 산이 있다는 사실.. -_-;

예제 클릭

여기서 3번째 테스트 버튼이 동작들 하시는지..(닷넷프레임워크가 설치되어있다면 한참 기다리면 뜹니다)

blueskya의 이미지

activex와 어떻게 다른건가요? -_-;;

뭐 닷넷 컴포넌트를 이용하는건 알겠는데 특별히 다른점이라하면???

----------------------------------------------------------------------
인생 뭐있어? 백수로 사는거야~ 가는거야~

----------------------------------------------------------------------
인생 뭐있어? 백수로 사는거야~ 가는거야~

Necromancer의 이미지

국정원 때문에 그럴겁니다.
인터넷뱅킹이니 무슨무슨 돈거래니 다 허가를 안내줘버리니까요.

얼핏 들은 얘기로는
관공서에서 돈거래나 무슨 중요 결재를 웹상에서 처리하는 기능을 가진 사이트를
구축할려면 키보드해킹방지 프로그램을 설치하도록 해야 한다고 들었습니다.
강제로 하도록 법에 그렇게 규정해 놨다고

Written By the Black Knight of Destruction

Written By the Black Knight of Destruction

knight2000의 이미지

가장 큰 문제는 보안 모듈이 클라이언트 설치된다는 점이죠.

대부분의 보안 모듈이 단순히 암호화만 담당하지는 않더군요. 무언가 다른 동작-예를 들면 서버와 통신에서 결제 자체를 지원한다던가-을 하더군요.
만약 그것을 크래킹한다면... 그걸로 그 모듈로 보안을 담당하게 했던 사이트는 모두 작살나죠. ㅡㅡ;

또한 인터넷 익스플로러가 윈도와 분리되어 있지 않기 때문에, 최악의 경우 윈도 자체가 해킹을 당하게 됩니다. ㅡㅡ;

===== ===== ===== ===== =====
knight2000 of SALM.
SALM stood for SALM Ain't a Life Model.
SALM is not the life model, but SALM is just the life.

===== ===== ===== ===== =====
knight2000 of SALM.
SALM stood for SALM Ain't a Life Model.
SALM is not the life model, but SALM is just the life.

wraith4444의 이미지

Peace~=ㅁ=;;

로미의 이미지

차라리 차라리 말이죠.
국수(먹는 국수가 아니에요~)화가 될려면 우리들 만의 표준을 만들어서 OS에 종속적이지 않고 웹브라우저에 플러그인 되는 어떠한 인터페이스(플러그인을 위한 플러그 인정도==또다른 우리들만의 유사 ActiveX형 플러그인, 하지만 ActiveX는 싫어요!!!)를 만들어 버리는것도 좋을것 같네요.

한글, 한국어가 아닌 대한민국 국어를 사용하고 대한민국 국적을 가진 사용자를 대상(target)으로 하되 거의 모든 웹브라우저에서 작동되는 플러그인이라면 대안아닌 대안이 될듯한 생각이 문득 드는군요.

거의 모든 웹브라우저라면 대한민국 영토안에서 동작되고 있는 OS가 포함이 되겠군요. 8-)

브라우저에 플러그인 되어서 다른 플러그인을 위한 인터페이스가 만들어지고, 다운로드형태이거나 설치형이거나 그외 여러가지 복합형이거나 하면 당분간의 논쟁은 회피가 가능하겠는데...하고 생각하고 있네요.

Signature:
끝까지 읽어 주셔서 감사합니다.(이봐 로미, 뭐가 감사한거야?!)

혹시 댓글로 싸움을 즐기려는 님!?
당신은 眞性 변퉤 입니다~ :P

이제는 무늬만 백수로 가장한 개발자가 아닌 진정한 개발자가 되어야겠다.
이제는 학생으로 가장한 백수가 아닌 진짜 백수가 되어야겠다.

언제나 newbie의 마음가짐.

IsExist의 이미지

문제는 시간과 돈입니다.
---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

---------
간디가 말한 우리를 파괴시키는 7가지 요소

첫째, 노동 없는 부(富)/둘째, 양심 없는 쾌락
셋째, 인격 없는 지! 식/넷째, 윤리 없는 비지니스

이익추구를 위해서라면..

다섯째, 인성(人性)없는 과학
여섯째, 희생 없는 종교/일곱째, 신념 없는 정치

익명사용자의 이미지

키보드락 때문에 ActiveX를 사용하는 것이 아니라 ActiveX때문에 키보드락이 사용되는 것입니다.

보통 사용자가 웹사이트에서 "ActiveX Control을 설치하시겠습니까?"라고 나오면 무조건 설치하기 때문에 악성코드 전파가 용이하죠.

2000년 이후 암호 기술에 대한 수출 제약이 사라지고 전 세계가 같은 수준의 보안 기술을 사용할 수 있지만, 아직 ActiveX를 사용하는 이유는 돈 때문입니다.

fatman의 이미지

90년대 후반에 키보드 치면 그 정보를 그대로 어디가로 보내는 스파이웨어 때문에 꽤나 난리가 난 적이 있어서,
필수 보안이 된 것 같습니다.

...

lagendia의 이미지

공용 컴퓨터가 아니라면, 키보드 보안 모듈을 꼭 강제해야 할 필요는 없다고 생각해요. Windows XP도 사용자 계정 기능을 제공하고 있고(사용도는 떨어지지만;;) Linux 계열 쪽은 원래부터 사용자 계정으로써 컴퓨터를 쓰도록 하고 있으니깐요. 불필요한 컴퓨터 자원 낭비로 생각해요. 그래도 키보드 버퍼를 가로채갈까 두렵다면 위에 어느 분처럼 비주얼 키보드를 선택할 수 있게 하면 되지 않을까요? (게다가 키보드 배열도 무작위로 섞을 수 있게 한다면..)
평소에 사용자의 보안에 대한 관심이 중요하겠죠. 보안에 관련된 업데이트를 미루지 않고, 백신/안티스파이웨어 프로그램으로 꾸준히 보살핀다면, 보안 위협 가운데 많은 부분이 해소되리라 봅니다.

익명사용자의 이미지

맞습니다. 그런면에서... 현재 인터넷뱅킹에 사용되는 각종 기술들은 보안에 치명적입니다.
진실은 구멍투성이 인데도, 일반사용자/비전문가 한테는 마치 보안의 철옹성같은 인식을 심어줘서 오히려 방심을 유도하고 있습니다.

익명사용자의 이미지

윗사람의 무지 때문이다. 액티브 액스가 돈이 되기 때문이다...여러가지 말이 많지만..
누구를 탓하기보다는..그사람들에게 실질적 대안을 제시해 줘야 되지 않을까요..
컴맹인 윗사람이 컴퓨터를 모르는건 당연하고..그들이 납득할수 있게 말을 해줘야지..
그저 무식해서 그런다는건 좀.. 프로그래머로써..무책임한것 같다는...
잘 아시지 않습니까.. 우리가 프로그램을 하는이유는 누군가가 프로그램을 모르기에
도움을 받기 위해서라는걸...

그리고 제가보기에는 키보드 보안은 꼭필요하지 않을까 싶네요.. 컴터가 루트권한까지 해킹되면
다소용없다고 하는데.. 그런생각이면 컴터로 무엇을 하겠습니까.. 만에하나 있을수 있는
것에 대비해야 되는건 당연하다고 생각됩니다.. PAYPAL이 그런거 없다고 전례가 있는
해킹에 대비하지 않는다는건 무책임 해보입니다..

물론 IE만 지원하는 지금의 현상황은 문제가 있습니다..증권 프로그램 처럼 따로 떼어내도
될텐데 ..굳이 그걸 브라우저에서 해결하려니 무리수가 나오는 법이죠..;;

지금의 문제에 대해 귀찮아서 안한다느니 무식해서 그런다느니 하는건 도움이 안되 보입니다.
위사람이 모르는건 밑에있는 개발자의 설득력 부족도 있다고 봅니다..(설득력이 부족하거나 보편성에 대한 인식부족 이겠죠..;;
바뻐 죽겠는데다 지금것도 잘돌아 가는데뭐~~ 하는..)

대안을 제시해준 댓글도 있었지만 그렇지 않을 댓글들에 대해 그냥 넘어가는것 같아서 한번적어봅니다..^^;;
생산적인 리플대환영...^__^

익명사용자의 이미지

---------
[ 간디가 말한 우리를 파괴시키는 7가지 요소 ] 중 신념 없는 정치 때문입니다.

정부나 은행 같은 공공기관의 시설(웹사이트 또는 기능)에 모든 사람이 접근할수 있어야 한다는 신념이 없는 정치 때문입니다.

위와 같은 신념이 있다면, 정부의 시설(웹사이트 또는 기능) 부터 모든 조건(환경 )에 있는 사람들이 접근할수 있는 접근성을

정부 시설 구축 사업자에게 강제 하겠지요..

그럼 자연 ActiveX를 이용하지 않고도 보안성이 확보된 모델과 성과가 생길것이고..

일반 사업자 들도 거기에 따라 가게 될것입니다.

모든 공공기관의 건물에는 모든 사람들이 편하게 이용할수 있어야 합니다.

그 사람이 장애를 갖고 있던 그렇지 않던,
그 사람이 마소윈도그를 사용하던 그렇지 않던,

정부 사이트를 이용하려면, [강제로] ActiveX를 설치해야 하며,
ActiveX를 설치하려면 마소OS를 사용해야 하고,
마소OS를 사용하려면 마소에 [돈]을 내야 합니다.

현재 한국 정부는 마소에 [돈] 내도록 한국 국민에게 강요하고 있읍니다.

신념 없는 정치가 우리를 망치는 명백한 증거입니다.

ironiris의 이미지

요즘 정통부가 마소에 등을 돌리고 있던데...
쩝....
맨날 정치타령..

익명사용자의 이미지

--------------------------------------------------------------------
도대체 ActiveX를 대체할만한거 대안 확실히 제시를 해줘요 ActiveX만 까지 말고
항상 ActiveX에 관련 쓰레드는 답답하기만 합니다. 어떻게 해서 대안할만한 것을
찾고 그 대안할만한것에 대한 실질적 구성이라든지에 대한 논의만 없고 'ActiveX
문제긴 문제야~'라고 외치는 쓰레드는 그전부터 많이 있어 왔잖아요.
제발좀, 겉핥기 식으로 까대지 마시고 정확한 대안을 찾고 그 대안을 이용에 대한걸 논의해 봅시다

- 정확히 ActiveX를 대체할만한 것을 찾으셨습니까???
--------------------------------------------------------------------

전 JVM이 싫습니다.
중간 꼽사리 개념.
익명입니다의 이미지

익명사용자의 이미지

우리나라 NAVER나 INTERPARK, AUCTION과 같은 사이트보다 훨씬 사용자가 많고 인지도 있는 EBAY나 AMAZON에서 보시면 어떨까싶은데요. 거기서 ActiveX가 깔리는걸 보신적 있나요? 그 사람들이 보안이 뭔지도 모르는 바보라서 ActiveX를 안쓴건 아니겠지요.