글을 쓰다가 보니 너무 길어져서 정식 포스팅 합니다. OTL -----------------------------------
ActiveX가 안전하다는 것은 사실 정말 웃기는 이야기조. 다만, 제가 직접적으로 지적하고 싶었던 부분은 말씀 하고자 하신 논리... "외국의 인터넷 뱅킹은 OTP를 쓰기 때문에 안전하다"는 논리는 좀 아니라는 것을 말씀드리고 싶었습니다. 말씀하신대로 "우리나라 은행이나 외국은행이나 비슷한 수준이라고 봅니다"라고 하신다면, 제목 선정에 좀 문제가 있다고 봅니다. 국내와 마찬가지로 외국 역시도 그다지 안전하다고 볼 수 없는 환경이라고 생각합니다. OTP를 인터넷 뱅킹 전체 사용자에게 제공하는 것도 사실 쉬운 부분은 아니며, 키보드 해킹에 대한 대책도 여전히 필요로 합니다.
말씀하신 씨티은행건은 OTP의 연결고리(Process)를 공격했다는 측면에 유의할 필요성이 있다고 봅니다. 피싱 사이트를 통해 OTP키를 유출하고 이를 통해 MITM(Man in the Middle) 형태로 Relay하거나 Replay 할 수 있는 점이죠. 대부분의 문제점이 그러하듯이 이러한 공격은 Cross Site Script 공격 형태와도 거의 일치합니다. 외국의 경우 Paypal 서비스가 상당한 매리트가 있는 점은 사실상 은행에서 온라인을 통해 비용을 납입하는 프로세스를 갖춘 곳이 그리 많지 않다는 점이며, 외국의 인터넷 뱅킹 적용 비율은 생각외로 그다지 높지는 않다고 봅니다.
제가 볼때는 안하는 것과 못하는 것에 대한 구분은 분명히 해야 할 필요성은 있을 것 같습니다.
"액티브엑스가 없이도, 그러니까 특정 OS와 웹 브라우저에 종속되지 않고도 서비스하기..." 와 관련해서는 대부분의 사람들이 웹 접근성의 목표를 FF(Firefox) 지원 정도로 생각하는 것 같아서 좀 안타깝습니다. 웹 접근성이라는 개념을 특정 브라우저나 OS 자원 종속 제거 및 장애인을 위한 통합적 서비스 환경이라고 정의 한다면, 이러한 환경을 제공하는 사이트는 솔직히 거의 없다고 봅니다. 웹 접근성을 태그 몇개 고치면 되는 것으로 착각하는 경우도 볼 수 있는 것 같구요. 그만큼 웹 접근성이라는 목표는 도달하기는 쉽지않다고 보는 것 입니다. 어쩌면 웹 접근성이라는 것은 도달 불가능한 이상향인지도 모른다는 생각을 가끔 하고는 합니다.
기술적인 부분을 좀 보면.... ActiveX 대체 기술... ActiveX보다 좋은 기술이 있어도 사실은 ActiveX의 기능을 모방하는 기술에 불과할거라고 생각합니다. 인증 부분에서 OpenID와 같은 기술로 대체한다? 실용화 된 사례가 국내에서 몇곳에 불과한 상황에서 ActiveX 형태로 IE 이외의 사용자를 괴롭히는 공인인증서 클라이언트를 대체하는 것도 좀 무리라고 봅니다. 기존의 SSL을 aSSL로 대체한다? 그나마 가능성이 좀 높을 것 같네요. 다른 기술은(보안 부분에 집중된) 말할 필요도 없이 대체 기술이 거의 없습니다. 제가 봤을때는 할수 있는데 안하는 것이 아닌, 못하는 것이라는 쪽에 무게를 실어주고 싶습니다.
ActiveX 형식의 보안제품을 금융권에 납품하는 업체 임원과 이야기를 해 봐도 "은행이 요구하는 기능을 납품했지만, 엄청난 사용자로 인해 업데이트시 회선 사용료를 감당해 내기 힘들다"는 의견도 있더군요. 사실 현재의 ActiveX 기반 서비스 구조는 개발자, 개발 사업자, 서비스 제공자 모두에게 스트레스를 주고 있는 실정입니다.
자, 그럼 은행과 같은 사업자는 왜 이런 ActiveX를 고집하는 것 일까요? 사실 은행에서도 ActiveX와 같은 기술 좋아하지 않습니다. 금융사업자를 관리, 감독하는 정부기관에서 최초한의 규정을 제시하고 이를 금융권은 지켜나아가야 하는데, 이 최소한의 규정이라는 것을 만족할 수 있는 것은 현실적으로 ActiveX 밖에는 없어 보입니다. 아무리 생각해봐도 완전한 대체기술은 없습니다. 향후에는 물론 존재하기를 바랍니다만. 문제는 있더라도 초기단계이거나, 대규모 서비스에 적용시키기에는 안정성과 Reference를 확보하지 못하고 있습니다. 물론 금융사업자를 관리, 감독하는 정부기관에서 제시하는 금융 서비스 가이드라인과 같은 문서에도 ActiveX를 쓰라고 직접적으로 언급하고 있는 부분은 존재하지 않습니다. 하지만, 현실적 해결방식은 ActiveX 밖에 없지요. 금융사업자를 관리, 감독하는 정부기관에서는 이미 발생된 문제나 향후 있을 문제점을 제거하기 위한 노력을 지속하기 때문에 정부기관에서 권고하는 가이드라인을 따르지 않을 수도 없으며, 결국 ActiveX로 가는 겁니다. 따라서 철학을 가진 경영진이 결정권자로 있어도 마찮가지라는 겁니다. 철학을 뒷받침 할 수 있는 기술이 현재로써는 존재하지 않기 때문입니다. (있다면, 뭔지 좀 제발 구체적으로 정확히 알려줬으면 좋겠어요.)
이 문제에 있어 사업자나 정부가 '병신'이라서 그렇다는 이야기들을 흔히 합니다. 문제는 동시에 이 문제에 대한 명확한 해결책을 어느 누구도 제시하지 못한다는 점이죠. 오로지 비판만 있을 뿐 입니다. 제시하는 대책이라고 해도 현실적으로 증명되지 못한 방법이거나, PoC(Proof of Concept) 단계가 대부분이죠. ActiveX 문제만해도 ActiveX 문제가 해결되면 웹 접근성이 보장되는 것으로 착각하는 분들도 많습니다. 심지어 FF를 지원하면, 웹 접근성에 문제가 없다고 생각하는 분들도 상당수가 되는 것 같습니다. 제가 지적하고 싶었던 부분은 바로 이러한 부분이었습니다.
현재의 시장논리는 철저히 왜곡된 부분이 존재하기 때문에 정부에서는 정당한 경쟁과 협업이 이루어지도록 유도하는 정책적 수단을 즉시 만드는 것이 필요한 것은 분명해 보입니다. 문제는 정부가 이러한 일에 대한 관심도가 너무 낮아 보인다는 점 입니다. 이 부분에 대해서는 정부가 즉각적인 비난을 피할 방법은 없어 보이는군요.
아래 내역은 drzekil님의 댓글에 대한 답글 입니다. (답글 형태로 달아보려 했으나 내용이 하도 길어져서 포스팅 합니다. OTL) ========== 반갑습니다. 웹 접근성 향상을 위한 노력이 많은 부분에서 증대되고 있는 시점에 좋은 지적을 해 주신 점에 대해서 감사드립니다. ^^
예, 그렇죠. 네트워크상에서 상대방을 신뢰할 수 있는 방법이 없기 때문에 공인인증서와 같은 수단으로 상대방에 대한 신원 확인 또는 부인방지 등을 하는 것 이겠지요. 저 역시도 ActiveX가 완전한 해결책이 된다고 믿음을 전혀 갖고 있지 않습니다. 특정 OS로의 편중 현상을 해결하지 않으면, 이것은 언젠가는 부메랑이 되어 대한민국을 괴롭히게 될 겁니다. 웹 접근성 향상을 위한 부분에 대해서는 국가에 대해 끈질긴 압력을 지속적으로(!!!) 가해야 할 것으로 생각하며, 최근 많이 공론화 되고 있는 웹 접근성 향상 노력과 비판에 대해 개인적으로는 참으로 기쁘게 생각합니다. 국가는 역시 배고픈 자를 위해 스스로 손을 내밀지 않는 것 같습니다. 도와달라고 적극적으로 행동하고 실천할 때 도움을 받을 수 있다고 봅니다.
기업과 국가는 물론 다르겠지만, 대한민국의 전자정부의 초기 목표는 다수의 국민에게 서비스를 제공하는 것이 목표였던 것은 분명해 보입니다.
글쎄요... 복지가 발달된 외국의 경우에는 고등교육과 심지어 사교육까지 국가가 책임지는 경우도 존재하는데, 외국이 하고 있으니까 우리도 이렇게 하자고 하면 어떨지요? 장애인을 위한 배려가 없는 학교들은 장애인이 정상적인 학업을 포기하게 만들고 결국 장애인이 사회에 적응하기 힘들게 만들며, 학력이 부의 세습에까지 영향을 미치는 우리나라의 현실에서 장애인과 그의 자손은 사회적 약자의 입장을 벗어나기는 현실적으로 힘들다고 봅니다. 사실은 모두가 우리나라의 장애인 정책과 사회보장 시스템이 약하다는 것을 알고 있지요. 하지만, 우리 모두는 우리가 낸 세금으로 이러한 문제들을 적극적으로 해결하고자 노력하지 않습니다. 해당 관련 부처에서 돈을 더 쓰겠다고 하면, 재경부 같은 곳에서는 국회예산 심의 문제를 들어 난색을 표명합니다. 왜 우리는 이러한 문제들에 대해 적극적이지 못하며 때로는 이중적인 모습을 보이기도 할까요?
10%이건, 5%이건 1% 미만의 사용자에게 환경에 관계없이 서비스를 제공하기 위해서는 돈이 문제가 아니라, 하겠다는 강력한 의지와 각오가 중요한 문제라고 봅니다. 가장 적은 비용으로 다수의 정보 소비자들에게 가장 효과적인 시스템을 구축하겠다는 것이 시스템 구축을 위한 대다수의 선택이라면, 이때부터는 언론과 세금을 내는 국민들로부터 전자정부는 '돈먹는 하마'라는 욕을 각오해야 하며, 또한 MAC, LINUX도 되는데, Palm OS, Symbian 등 ARM, Intel 계열 Embedded OS는 왜 안되는가?라는 질문을 받게 될 겁니다.
좀 더 적극적으로 1% 미만의 사용자에게까지 환경에 관계없이 서비스를 제공하기 위해서는 정부와 국민의 서로 다른 이중적 사고방식에 대한 합의가 도출되어야 가능한 부분이 분명히 존재하며, 제 개인적으로 이러한 합의는 불가능하다고 봅니다. 물론 1%의 사용자에게도 서비스를 하라고 하면, 당장은 "옳소", "그렇소"라는 말을 들을수는 있어도 실제로 이러한 계획을 실천에 옮길때 정작 다수의 국민은 "미쳤다"는 이야기를 하게 될 겁니다. 정부도 물론이지만 사실 사회구성 인원들도 상당히 이중적인 잣대를 들이대는 경우를 흔히 접할 수 있습니다.
전자정부에서 제공하는 대다수의 서비스는 국민들 개인들에게 재산권을 포함한 각종 중요한 증적과 증적에 대한 증명 수단을 제공합니다. 따라서 정보보호의 의미는 전자정부가 제 1의 목표로 삼아야 하는 숙명과도 같은 것 입니다. 2005년 동아일보 1면에 실렸고, 당시 사회적으로도 상당한 파급을 일으켰던 "인터넷 민원서류 발급 중단" 사례에서는 윈도우즈 기반에 대한 한가지 서비스도 완전히 지켜지기 어렵다는 학습효과를 경험할 수 있었습니다.
글쎄요. 웹 접근성 향상. 이 부분에 대해서는 정부가 웹 접근성 향상을 위한 노력을 안하는 것인가? 못하는 것인가?에 대해서 고민을 해 봐야 한다고 봅니다만, 제 개인적으로는 노력을 안하는 것이다 쪽으로 한표 던집니다. 또한, 현재 사용자층의 다양한 요구가 증가되는 시점에서 사용자층의 다양한 요구의 대부분이 원칙적으로는 모두 맞다는 측면에 대해서는 인정하지 않을 수 없을 것 같습니다.
국가가 제공하는 서비스는 참으로 많습니다. 이러한 서비스 중에는 받아야 하는 사람이 받지 못해 심지어 굶어 죽는 기초생활보호 대상자도 존재하는 것이 현실입니다. 대단히 극단적으로 예를 들면, '재정이 넉넉하지 않은 대한민국 정부의 재정 및 경제 현실에서 1% 미만의 사용자에게까지 전자정부 서비스를 확대할 것이냐, 아니면 그 돈으로 굶어죽는 기초생활보호 대상자 수를 확대할 것이냐'는 이 극단적인 시나리오는 국가가 제공해야 하는 서비스의 대상과 범위를 다시 한번 생각하게 하는 대목이 될 수도 있다고 봅니다.
"돈 몇푼 들지도 않는 웹 표준을 지키지도 못하는 전자정부..." 뭐 이런 글을 흔히 접합니다. 솔직히 이런말 아무나 쉽게 할 수 있는 말이지요. 저는 이런 글을 접할때 몇가지 생각을 합니다. '정말로 웹 표준 준수와 웹 표준 환경에서의 보안성 확보를 추구하는데 돈 몇푼 들지 않는가?', '그 쉬운 웹 표준 준수 방법을 그 수많은 개인이 만든 홈페이지에서 조차 보기 힘든 이유는 무엇인가?', '지금도 웹 표준이라는 것은 진정 존재하는가?'.
drzekil 2007/01/18 23:28 논리적이고 좋은 글 감사합니다.. 제 의견을 말씀드리자면.. 네트워크 상에서는 어떠한 방법을 사용하더라도 상대방을 100% 신뢰하는것은 불가능 합니다.. OS 자원에 대한 접근이라고 해봤자 양 끝단의 이야기일 뿐입니다. 네트워크의 특성상 가운데에서 가로채서 블라블라 해버리면 삐리리한 사태가 올 수 있는거죠.. 액티브엑스 역시 완벽한 해결책은 되지 않습니다..
다른 이야기를 조금 해보면.. 기업이랑 국가는 다릅니다. 기업은 다수를 상대로 장사할 수 있지만, 국가는 국민의 다수가 아닌 전부를 포용해야 한다고 생각합니다. 그 누구도 국가의 보호를 받을 기회를 받지 못해서는 안됩니다. 국가는 모든 국민을 보호하기 위해 노력해야 합니다. 대사관의 어이없는 행태가 욕을 먹는 이유도 그런 이유겠지요.. 인터넷 접근성도 마찬가지 입니다. 10%이건, 5%이건 1% 미만이건.. 서비스를 받을 기회조차 주어지지 않는다는것은 국가이기때문에 문제가 있다고 생각합니다. 국가가 너무 어이없는 행동을 하기에 분노가 치밀어 오르는것이지요..
개발자들에게 무슨 죄가 있겠습니까.. 개발자들의 어려움을 잘 알고 있습니다.. 단지 위에서 시키는대로 할 뿐인걸요..
日常茶飯事
2007/01/24 18:18 ActiveX 알고 떠들자꾸나.
+ 동아일보 새로 나온 컴퓨터로는 인터넷 뱅킹이 안된다+ 김기창 교수의 웹표준 무시하는 정부를 고소한다+ ZDNet ActiveX 문제의 진실 비스타(Vista)가 출시되면서 ActiveX에 관한 이야기들이 많..
0
10
