다음뷰 IT부분을 보다가 이런 글까지 쓰게 되네요.
일단 오픈웹 지지자로서, 어떤 사람은 보안업체가 여론의식해서 오픈웹 취향의 프로그램을 개발해 줄지도 모른다고 허황된 낭만을 꿈꾸던데 싸가지 없기로 유명한 프로그램을 만드는 잉카인터넷 같은 보안업체가 행혀나. 정말 꿈도 크시지요.
근데 자칭 "보안 전문가"들의 대응도 한심하고 웃기기는 마찬가지다.온갓 글을 나질르면서 오픈웹 식은 보안 안되요~를 외치는데 이사람들이 과연 전문가가 맞는지나 의심스럽다.저런 호들갑스러운 대응이라니, 사람들이 보안업체도 ActiveX의 떡고물을 집어 삼켯다는 음모론이 나올 법 하다.보안업체 관계자(?) 분들께선 온갓 어려운 용어를 제시해 가면서 ActiveX가 보안상 안전하다고 일반인에게 강요를 해대는데. 애초에 초점이 틀렷다.
첫번쨰 문제는,오픈웹 방식이 보안이 완벽하냐 아니냐는 별 상관 없는 상황이라는 것이다.
기술적 문제는 뒤로 하고, 만약에 오픈웹방식이 완벽하다고 가정해 보자.오픈웹 방식은 보안에 있어서 절대 무적의 영역이다. 오픈웹방식이 어떤 해커도 못뚤는 최고급 기술이라고 가정해 보자.
그럼 뭐하나? 금결원이 안된다면 땡이지. 안되면 불법이다. 오픈웹 고소 사건의 본질은 이거다.
전자서명법 7조-등록대행기관은 정당한 사유없이 공인인증서 관련 신청접수를 거부할 수 없다. - - 에 의해서 "금결원이 파폭에 인증을 제공해야 되는("역무") 의무가 있느냐 없느냐"가 핵심 쟁점이다.
그리고 해당 사항은 금결원이 ActiveX 방식으로 제공함. 이러고 있는게 문제인 거다. 즉 보안 기술적으로 완벽하든 안 완벽하든 그건 별로 전혀 중요치 않다. 금결원이 안되면 기술적으로 완벽해도 못 들어가니 애초에 상관없는 문제라고. 금결원이 차지하는 비중은 무려 70%가 넘거든. 그리고 판결문도 보안기술적 문제가 있어서 오픈웹 패소가 아니라 파폭 사용자가 적어서 정당하다는 요지의 판결문이다. 한마디로 아무 의미가 없는 토론인 것이다.
펼쳐두기..
두번째 문제는 ActiveX 교도가 아니거나 절대신봉자가 아니면,자칭 보안전문가님들, 직업을 점쟁이로 바꾸는 편이 낮겟다는 충고다.
오픈웹 방식이 보안적으로 안전하냐에 대한 내 대답은 간단하다.
"아직 알 수 없다"
당연하다.자바니 플래쉬 파폭 스크립트니 말은 많이 나왔는데, 실제로 구현은 커녕 플랫폼,환경,대상,언어 등 아무것도 정해지지 않았다. 애초에 첫번째 문제조차 해결이 안됫는데 이런 걸 만들고 있는 사람이 당연히 없지.
자. 뭘로 만들지, 무엇을 대상으로 할지, 어떤식으로 구현할지 아무것도 안 정해진 프로그램을 제안 단계에서 이 프로그램이 보안적으로 안전할지 파악할 수 있다고? 이거야 말로 개그다.
파폭 플러그인으로 해결할지도 모르고,플래쉬로 해결할지도 모른다,원도우 파폭에서는 안될지도 모르고, 리눅스에서만 될지도 모르고, 솔라리스에서만 될지도 모르며,유닉스에서 될수 있는지 모른다.C로짤지, C#으로 짤지도 모른다.기술 두개를 통합해서 짤지,하나만 가지고 짤지도 모른다.화상키보드를 쓸지, 실제 입력을 지원할지 모른다.심지어 이거 만들면서 누가 기발한 생각을 해서 님들이 생각한 보안 문제를 해결할지도 모른다.
한마디로 아무것도 모르는 상황이다. 이 상황의 보안 취약점을 진단할 수 있다고?? ㅋㅋㅋㅋㅋ
마치 제안 몇줄 보고 보안 취약점을 찾아낼 수 있는 신통방통한 능력이다. 예전에 누가 10만 해커 양병설을 주장햇었는데 우리나라 보안전문가들은 해커도 못하는 단순 제안 몇줄 보고 소스 보안문제까지 통찰할 수 있으니 우리나라의 미래는 밝은 건가 ㅋㅋ
아무리 봐도 이건 분석이 아니라 찍기다. 이건 완전히 점쟁이지 뭐겟냐? 잘 찍는 점쟁이는 보안 전문가들보다 더 돈 잘 번다. 직업을 바꾸는걸 적극 추천한다.
trackback from: [링크] 은행 ActiveX 정말 싫다
답글삭제은행 ActiveX 정말 싫다라는 제목의 글이다. 이제 ActiveX의 폐해는 <한겨레> 같은 종이신문에도 나올 정도로 널리 알려진 것 같다. 한겨레의 ActiveX 기사 보기 은행 ActiveX 정말 싫다는 전문적인 내용은 없지만, 인터넷 뱅킹에서 엑티브 엑스를 설치해야만 하는 게 얼마나 짜증나는 일인지 잘 보여 준다. 각 은행별로 요구하는 엑티브 엑스가 몇 개인지 손수 캡쳐해 놓은 것이 깊은 인상을 남겼다. 은행 엑티브 엑스가 왜 쓸모없는 것인지..