2011

04월

05

방통위의 액티브x퇴출, 스마트사인기술, 그리고 산으로 가는 보안.

저는 보안에 대한 기술적인 구현방식이나 동작원리를 모릅니다. 그리고 사용자로서 보안을 위해 해야할 것들에 대해서 노력은 하지만 잘 알지 못합니다. 이 글에 대해서 만약 보안관련 전문용어와 기술방식으로 “뭘 좀 똑바로 알고나 말해라” 라고 말하면 할 말은 없습니다. 하지만 저는 전문적인걸 알고싶지도 않고 그 기술이 어떻게 적용되는지 알고 싶지 않습니다.

제가 알고 있는것은 그렇게 좋은 보안기술들을 강제하지만 국민들 대부분의 개인정보가 끊임없이 털린다는것과, 컴퓨터에 아무리 좋은 백신이 돌고 있어도 멀웨어가 설치되고 악성코드가 심겨진다는 것, 그리고 각종 금융관련 설치프로그램들이 그런 악성코드만큼이나 문제가 많다는 것 입니다. 심지어는 백신프로그램이 사용자의 컴퓨터를 지켜준답시고 사용자의 컴퓨터를 망가뜨린다는 것도 알고 있습니다.( 더욱 놀라운것은 그 관련 종사자가 기술적인 부분만 운운하며 특정 사이트의 글에 댓글놀이로 공격을 하는 민망한 짓도 한다는 것이죠.)

하긴, 잘 모르는 어르신들을 위해서 보안관련 프로그램등을 사용자가 알아서 하는것이 아니라 어느정도 정부에서 제어를 해야 한다는 식의 발언을 내뱉는 사람들도 있습니다.

방송통신위원회 (이하 방통위) 에서 액티브x를 퇴출시킨다는 기사가 나오고 많은 사람들이 드디어 한국도 액티브x 없이 원하는 브라우저에서 인터넷 서비스를 만끽할 수 있을거라 기대하고 있습니다. 많은 사람들이 액티브x의 퇴출을 그동안의 모든 문제가 해결되는 해결책으로 생각하고 있습니다. 이젠 파이어폭스, 크롬, 사파리, 오페라 등 내가 원하는 브라우저로 지금까지 못했던 모든것들을 할 수 있을거라 생각하는 것 같습니다.

방통위는 액티브x의 퇴출과 함께 웹표준, html5를 말하고 있습니다.

하나는 좋아지겠네요. 액티브X 없이 인터넷 뱅킹이 가능하게 된다는 점 입니다. 이것 말고 무엇이 있나요? 액티브X가 없어지면 모든 문제가 사라진걸까요? 우리가 기대하는 인터넷 세상인가요? 액티브X가 없어서 웹표준인가요?

결국 스마트 사인이라는 공인인증서 앱을 설치하고 다양한 브라우저에서 사용이 가능한 장점을 빼면 나머지는 기존의 갈라파고스 상황은 동일합니다.

많은 사람들이 액티브X가 없어지니까 이제 맥, 리눅스, freebsd, IOS, 안드로이드 등 모든 곳에서 뱅킹이 가능하다고 생각하고 있습니다.
이른바 플랫폼 중립성이 확보되는 줄 압니다. 방통부에서 액티브X를 퇴출시키고 모든 플랫폼과 브라우저에서 가능하다고 말했지만 이것은 각 플랫폼 별 스마트 사인 앱이 나오고 설치가 되어야 하고 공인인증서가 설치되어야 합니다. 그렇게 만들면 되겠죠. 결국 공인인증서라는 보안기술- 이걸 보안이라 하다니요 -이 그대로 적용이 되고 그것을 사용할 수 있는 플랫폼 별 앱이 제공되지 않는다면 쓸수가 없는데 정부가 말했으니 그렇게 할것이라 생각을 하나요?

일례를 들어보도록 하겠습니다. 어도비 플래시가 윈도우즈 외에는 문제가 많은것을 알고 있습니다. 윈도우즈도 툭하면 새로운 버전으로 업데이트를 합니다. 보안, 기술 등 다양한 이유로 말입니다.

수많은 맥, 리눅스 유저들의 요청에도 불구하고 그들이 중점으로 업데이트 하고 새로운 버전을 적용하는 곳은 윈도우즈 뿐입니다. 윈도우즈 중에서도 64비트 사용자들 에게서 발생하는 문제도 제대로 귀담아듣지 않고 있는것이 바로 어도비와 플래시 입니다.

여러분은 액티브X와 공인인증서로 사용자들의 요구를 묵살하고 지금까지 수많은 문제를 일으킨 정부가 이번엔 순수하게 지원해주리라 생각한다면 오산입니다. 스마트 사인 역시 공인인증서를 탄생시킨 ETRI에서 만든 인증서일 뿐입니다. 인터넷 환경과 사용자들을 진정으로 정부가 생각한다면 공인인증서 자체를 없애야 합니다.

결국 조금 더 편리해졌을 뿐 방식은 기존과 다를게 없는 보안관련 시스템일 뿐입니다.오늘 하려는 이야기는 이것이 아니니 이정도로 하고 원래 하려던 이야기를 해보겠습니다.

공인인증서는 보안에 안전하지 않습니다.

국민의 보안을 위해서, 그리고 웹표준을 위해서 세계에서 찾아볼 수 없는 인증서 시스템을 만들어서 세계 최초라 떠들고 부인방지가 되지도 않는 부인방지 기술로 결제, 뱅킹등의 문제가 생기면 “이것은 너의 인증서로 된 것이고 부인방지가 되는 것이니 네가 저지른 짓이다” 라고 책임을 회피하는 목적의 인증시스템일 뿐입니다. 왜냐면 부인방지가 되지 않으니까요.

심지어 공인인증서의 해킹이 어렵지 않은 상황에서 부인방지가 가능하다는 정부의 우격다짐은 정말 안하무인의 수준입니다. – 한국일보 : 공인인증서 보안 ‘구멍’

보안을 위해서 공인인증서를 PC에 두지 말고 usb등의 저장매체에 저장하여 들고 다니라고 합니다. 들어보니 안전한가요? usb를 잃어버리면 어떻하죠? 사용할 때는 usb를 꽂고 결제나 뱅킹에 사용하지 않나요?

제가 정말 어이가 없었던 것 중 하나는 보안메일이라고 날라오는 각종 메일들입니다. ( 이런 메일조차 피싱메일인지 사용자가 확인하는것은 쉽지 않겠죠. ) 이번 달의 결제금액을 확인하기 위해서 먼저해야 하는게 무엇인지 기억이 나시나요? 보안을 위해서 자신의 주민등록증 뒷번호를 입력하라고 합니다. 보안을 위해서요. 그게 보안메일입니다.

개인정보보다 더 무서운것이 공인인증서 입니다.

이미 털릴만큼 털려서 먼지도 안나는 개인정보도 위험하지만 공인인증서는 더욱 위험합니다. 위에서도 말했지만 공인인증서는 부인방지가 되니까 ( 안된다고 안된다고 말해도 말이죠 ) 네 공인인증서로 일본기업 무대리 한테 가서 사채를 다른놈이 빌려써도 네가 비싼 이자 내면서 갚아야 하고, 네 공인인증서로 네 계좌 털어도 네 공인인증서가 확실하니까 은행은 아무죄 없고, 네 공인인증서로 쇼핑몰에서 결제하고 배달완료 체크까지 했으니 쇼핑몰이 뭔죄냐 라고 말할수 있는게 공인인증서 입니다.

술이나 담배를 사러 가서 의심스러우면 주민등록증을 보여달라고 합니다. (응?)
근데 온라인에서는 정부가 100% 개인만이 입력할 수 있는 비밀번호를 가지고 있는 공인인증서로 결제가 된 것이니 인감도장과 같게 취급을 합니다.

시장에서 배추를 사거나 애플매장에서 몇백만원짜리 컴퓨터를 사도 주민등록증이나 인감도장 달라고 하나요?
해킹을 당할 수 없는 기술적 우격다짐을 국민에게 하고, 국민은 위험한 공인인증서로 억울한 누명을 써도 하소연 할 곳이 없어집니다.

왜 기술적으로 문제가 없으면 보안이 가능하다고 생각하나요?

보안에 대해 기술적 무결성을 주장하고 기술적인 이야기를 하는 분들께 이야기를 하고자 합니다. 물론 이것은 막장 탁상공론에 재미붙인 정부와 공무원들, 그리고 거기에 줄을 대고 히히덕 거며 술잔이나 기울이고 있는 쓰레기 플러그인 업체들도 포함되어있습니다.

왜 여러분들은 “기술적으로 그것은 불가능합니다. 뭘 알고 말하시죠?” 라고 말을 하나요?

PC의 bios 에는 컴퓨터에 전원을 넣으면 암호를 입력하여야 부팅이 되도록 설정을 할 수 있습니다.
암호는 우리가 익히 배우는데로 가급적 연상이 어렵고 영문과 숫자, 그리고 특수키까지 조합하면 해커들이 뚫는것이 힘들어집니다. 이제 평소 사이가 좋지 않던 직장동료가 나의 PC를 포맷하거나 데이터를 지울 수 없습니다.

.. 그런가요? 공격자는 bios의 암호를 풀수 없지만 십자드라이버 (요즘은 드라이버도 필요 없죠)만 있으면 나의 HDD를 물에 넣을 수도 땅바닥에 내동댕이 치고 망치로 팰 수 도 있습니다. 또는 다른 컴퓨터에 꽂아서 데이터를 삭제하거나 포맷할 수도 있죠.

요즘은 특수키가 설치된 집들이 많이 있습니다. 전자도어락이 요즘은 전자라이터의 스파크로도 열리지 않고 비밀번호도 다양한 방법으로 설정이 가능합니다. 내가 열어주지 않으면 강도는 절대 들 수 없습니다.

강도는 창문을 통해서도 들어옵니다. 꽃배달, 택배직원이라고 해서 문을 열어줍니다. 정말 그 집을 털고 싶으면 기다리면 됩니다.

제 컴퓨터에는 항상 최신 버전으로 자동업데이트 되는 실시간 감시 백신이 동작하고 있습니다. 트래픽도 계속 백신이 체크를 하고 있습니다. 바이러스나 멀웨어에 감염될 일이 있을 수 없습니다. 그건 백신을 사용하지 않고 난 괜찮다고 생각하는 다른 사용자의 문제입니다. 그렇죠?

그리고 우리는 익스플로러의 경고창에 나오는 모든 액티브엑스의 내용을 읽지도 않고 무조건 설치하고 있습니다. 내 컴퓨터에 악성프로그램처럼 동작을 하거나 최신백신이 감지할 수 없는 바이러스, 또는 특정 조건에만 반응하는 멀웨어가 그렇게 설치가 되었는데 말이죠.

그런데 정부는 무조건 자신들만 믿으라고 합니다. 타인명의를 도용하지 못하도록 사설업체에 주민등록번호와 이름을 모두 넘겨주고 본인인증시스템으로 타인이 사용못하도록 하고 있습니다. 그리고 그 업체는 믿어야 합니다.

이게 지금 정부가 하고 있는 짓거리 입니다. ‘괜찮아. 그 애들은 나쁜짓 할 애들이 아냐’ 라며 강권합니다. 문제가 생기면 뒷짐을 지고 서서 그럴애들이 아닌데.. 라고 합니다.

우리나라 대부분의 개인정보가 중국에서 절찬리에 판매되는게 정부가 그렇게 자기들 믿으라고 강제한 공인인증과 엑티브X 때문입니다. 이젠 더 강력한 암호화가 된 공인인증서를 내놓는다고 합니다.

가만히 생각해보세요. 뉴스에서 개인정보 유출사고가 벌어지거나 보안문제 뉴스가 나올경우 해커가 보안암호를 뚫었다고 나온경우가 있나요? 아닙니다. 항상 나오는 말은 보안 취약점을 이용한 정보탈취와 해킹입니다.

기술적으로 완벽한 기술이 있으면 가능하다고 생각하는 무식한 정부와 그것이 맞다고 생각하고 그런걸 모르시는 어르신들을 지켜드려야 한다는 경로사상에 불타는 골통들의 지지가 바로 더 큰문제를 발생시키고 있는 것 입니다.

paypal을 통해 해외의 제품을 구매해 보셨나요? 해외 게임사이트에서 결제를 해보셨나요? 저는 지금도 가끔 paypal과 게임결제를 합니다. 그것도 제 크레딧 카드로 결제하고 있습니다.

그 나라사람이 아니라서 그나라 사람만 사용할 수 있는 인증서나 보안관련 프로그램을 써 본 적이 없습니다. paypal이 자신들만의 인증프로그램을 만들고 그것에 부인방지가 확실히 되어야 결제가 되나요? 아니면 백신이 반드시 깔려있는 PC나 유료방화벽이 설치되어있는 PC에서만 사용해야 결제가 되나요? 세계에서 가장 큰 결제 관련 업체인 paypal은 SSL프로토콜을 통해 보안을 유지하며 이것은 어떠한 플러그인, 앱도 필요 없습니다. 모든 브라우저가 지원하는 보안프로토콜이니까요.

공인인증 제도 자체가 없어져야 합니다.

보안은 결국 사용자가 무엇을 설치해서 되는것이 아닙니다.
보안은 무엇인가요? 최선의 방법으로 피해를 줄일 수 있는 최소한의 노력이 바로 보안입니다. 대통령이 그렇게 좋아하는 지하벙커에 들어가 있어도 그건 언제 뚫리냐의 문제일 뿐입니다.

자신들의 서비스에 문제가 생기면 뒷짐지고 ‘그냥 망하게 놔둬’ 라고 하는 기업이 있나요? 기업들이 알아서 보안관련으로 노력을 합니다. 사용자는 자신이 아는 선에서 백신도 설치하고 어려운 비밀번호를 사용하면서 노력을 합니다. 그런 자연적인 보안이 만들어져야 합니다.

정부가 나서서 민간업체 챙겨주고 액티브X 세상 만들어서 강제해서 개인정보 다 넘겨놓고 이젠 액티브X 없애고 다른 방식의 동일한 보안시스템을 자랑스럽게 표준을 따르는 것 처럼, 세계에서 모두가 알아주는듯 떠들어대는 이 시국이 참 우습습니다.

정부가 더이상 막장으로 후손들의 개인정보까지 중국에 넘기기 싫으면 가장 먼저 해야할 것이 공인인증서 제도를 폐지하고 민간이 알아서 하도록 하고 경찰들이 죄없는 사람 잡아가지 않도록 공무원들 교육이나 똑바로 해야 합니다.

저에게 날아온 메일 스크린샷 입니다. 이젠 보안이고 뭐고 여러군데에 해킹의 위험이 있는 공인인증서를 복사해서 나중에 재발급 받는 귀찮은 일 없도록 하라고 합니다.? 반대로 말하면 재발급 귀찮으니 여러군데 복사해서 사용하라는 메일이겠죠.

  • 결국 현재의 공인인증서란 해커들에게 “제 비밀번호 맘대로 알아내서 모든 사람들이 제 이름으로 대출도 받고 돈도 빼가세요~” 라고 하는 자선사업 인증서 입니다.
  • 마지막으로 또 한 번 말씀드리지만 그런 정책을 어르신들이 보안을 모르니 뭐니 하면서 찬성하거나 하는 사람들도 정신 똑바로 차렸으면 좋겠습니다.

    아버님 댁에 보일러 놔드려야 할지, 백신 깔아드려야 할지나 고민하시구요.

    세계적으로 이렇게 국가가 강제를 하고 무언가를 하도록 하고 거기에 대한 책임은 안지는 나라가 어디 있나요?
    SSL과 OTP만으로도 모든것을 다하는 세계의 온라인을 보면서도 액티브X 없앤다고 아웅거리면서 웹표준을 떠드는 정부의 삽질은 조폭의 폭력과 다를바 없습니다.

    ———————————————————–

    정말 해야할 말은 많은데 시간도 많지 않고 제 특기인 한참 후에 글올리기 신공도 발휘해 볼까 했는데 그냥 두서없이 적은글로 줄이려고 합니다. 다음에 보안에 대한 인문적인 이야기를 해보려 합니다만 아마 그런부분에서 지금의 보안에 대한, 특히나 무언가를 설치를 하는식의 제약이 가해지고 그것을 강제 하는것에 대해서 더욱 탐탁치 못한 부분도 있습니다.

    앞에서도 말했지만 제가 오히려 더욱 모르기 때문에 용감하게 글을 적었을 수 도 있습니다. 하지만 정부에서 저렇게 설쳐놓고도 개인정보 다 털리고 오히려 개인이 파산할 수 있는 심각한 제도를 만들어 놓고도 잡배처럼 구는것 자체가 문제입니다.

    • idz

      좋은 글 잘보고 갑니다. 방통위 삽질이야 어제 오늘일도 아니고 큰일입니다.
      시스템을 주도해야할 사람들이 시스템을 도태시키고 있으니…

      • 페이퍼북

        답변이 늦어서 죄송합니다. 정신줄 놓고 스팸처리를 했었네요 ㅡ.ㅡ;
        워낙 스팸이 많이 들어와서 필터링 해서 올리는데 그만 실수 했습니다.

        한 명씩 생각을 바꾸어가면 결국 바꿀 수 있을거라고 생각합니다.
        한국 특성상 그 시간이 정말 오래걸리고 힘들것이라고 생각 됩니다만 꼭 그렇게 될 것입니다.
        불편함을 느끼지 않게 해야하는게 실은 저희들이 해야하는 일 아닐까요?
        방통위와 관련 접대업체들(?)이 사라지는게 그런 날이 더 빨리 오는 계기가 되겠지만요. 쿨럭;

    • hisbody

      정말 좋은 의견 글입니다.

      한국은 그야말로 Active X 쓰레기 장입니다. 웬만한 사이트 들어가려면 모두 Active X를 설치하라하니…그러다 보니 컴퓨터가 A..X 창고/쓰레기 장이 되고 서로 엉켜서 난리가 아닙니다.

      영국에서 7년동안 인터넷 뱅킹했어도 아무문제 없었습니다. 정말 가볍고 단순한 보안 방법으로 언제 어디서 아무 브라우져로도 인터넷 뱅킹을 할 수 있습니다.

      그런데 우리나라는 IE 숭배자요 천지입니다.

      지금 껏 크롬을 썼는데 정말 느리고 짜증나네요. 수천만 사용자의 시간을 허비하고도 보안이 뻥 뚤리는 현실이니 …참 그런데도 장관상을 주고…뭐하는지 도대체 욕이 나오려고 합니다.

      개인뱅킹을 하는데 왜 공인인증서가 필요하나요?
      은행과 나와의 관계에서 안전하게 거래만 하면 되는데…왜 공인인증서로 해커와 사기꾼들을 초대하는지 …참 답답한 나라입니다.

      정말 좋은 글 왕 추천하구요.

      Active X 와 IE에서 해방되는 그 날까지 분발 부탁합니다.

      • 페이퍼북

        감사 드립니다. 보안업체는 아니지만 사이트 관련 업무에 종사하면서 더욱 답답한 점은
        아무리 회사에 왜 표준을 지켜야 하는가, 표준을 위해 조금 손해보는것이 결국 더 큰 이익이 될 수 밖에 없는가에 대한 이야기를 강력하게 하는 편 입니다.

        하지만 정말 화가 나는건 에이전시라는 이름을 가진 업체가 전혀 자각을 하지 않는다는 것 입니다.
        비단 저희 회사만의 문제도 아닙니다.

        본문에는 국가와 관련업체들에 대해서 이야기를 했지만 정작 큰 문제는 관련된 업종에 종사하는 사람들이 “그렇게 안해도 되는데 귀찮게 왜 그래?” 라는 의식입니다.
        제가 할 수 있는건 계몽아닌 계몽을 계속 하는 것 뿐입니다. ㅡ.ㅡ; 말을 꺼내면 욕을 먹긴 하지만요.

        그래도 언젠간 바뀌리라 믿습니다.

    • 한심한 정부에게 맡기기보다 이젠 우리가 알아서 할떄인거같습니다. 저같은 사람도 누가보면 막 전문가인줄 압니다. 저도 아는거 하나 objective-c 배우는거 밖에 없습니다. 일단 이런거 조금이라도 알면 전문가 라는식의 고정관념 사회적 분위기 교육환경을 바꿔야 비로소 시민들이 발벗고 나서게 될수있는겁니다.?
      ?쓰레기 주민번호제도, 쓰레기 공인인증서 제도는 없어져야할 제도 입니다.

      • 페이퍼북

        제가 이상진님보다 더 모릅니다. ㅜ.ㅡ 저같은 문외한이 이정도로 떠들어야 하는 상황이 답답합니다. 주민번호역시 반드시 사라져야 할 독재의 잔재이기도 하지요. 말씀 감사드립니다.

    • 학준 이

      무지한 블로거가 좋은글에서 많이 배우고 갑니다.
      혹시나 했는데 역시나로군요…
      저도 예전에 맥북구입시에 애플사이트에서 그냥 크레딧카드만으로 결제 되는 거보고
      적잔히 당황했던 일이 생각나네요..
      뭐이리 간단하지?라는 생각이들더군요.
      이젠 공인인증서 없으면 아무것도 못해버리는 거지같은 웹환경이
      버거울뿐이로군요..;;
      액티브엑스 숭배하면서 공인인증서 뿌린애들이
      이제는 새로운 돈벌이 아이템을 들고 나온격은 아닌가 싶습니다. ㅠㅠ

      • 페이퍼북

        안그래도 며칠 전 웹 접근성에 관한 포스팅에 잠시 몇 줄 언급하긴 했습니다.  애플사이트도 그렇고, 알라딘도 가능합니다. 업체들이 안바꿀 뿐이죠. http://www.appleblog.co.kr/?p=3391

        가령 알라딘에서 처음으로 아이폰에서 액티브엑스 없이 모바일 결제가 되도록 한 후, 얼마 지나지 않아 아이폰 결제를 내려야 했습니다. 결제 자체가 문제가 있었던 것이 아니라 BC 카드를 중심으로 카드업체들이 액티브엑스를 통해 결제가 안되도록 하면 알라딘의 카드결제에서 자신들 카드사는 빠지겠다고 나왔습니다. 어이가 없는 일이죠. 이게 한국의 현실입니다.

        이 스마트사인 기술에 참여하고 있는 업채 중 하나가 바로BC카드입니다.
        (제가 알기로는 지금은 아이폰에서 결제가 가능하다고 하네요. 확인은 안해봤습니다.)
        더 자세한 이야기는 생각나면 다음에 다시 다뤄보도록 하겠습니다. 감사합니다.

      • 페이퍼북

        안그래도 며칠 전 웹 접근성에 관한 포스팅에 잠시 몇 줄 언급하긴 했습니다.? 애플사이트도 그렇고, 알라딘도 가능합니다. 업체들이 안바꿀 뿐이죠. http://www.appleblog.co.kr/?p=3391

        가령 알라딘에서 처음으로 아이폰에서 액티브엑스 없이 모바일 결제가 되도록 한 후, 얼마 지나지 않아 아이폰 결제를 내려야 했습니다. 결제 자체가 문제가 있었던 것이 아니라 BC 카드를 중심으로 카드업체들이 액티브엑스를 통해 결제가 안되도록 하면 알라딘의 카드결제에서 자신들 카드사는 빠지겠다고 나왔습니다. 어이가 없는 일이죠. 이게 한국의 현실입니다. (제가 알기로는 지금은 아이폰에서 결제가 가능하다고 하네요. 확인은 안해봤습니다.)

        이 스마트사인 기술에 참여하고 있는 업채 중 하나가 바로BC카드입니다. 여기에 참여한 다른 업체들과의 관계도 본다면 좀 구린 냄새가 많이 납니다. 보는 사람에 따라서는 역겨울 수도 있구요.

        더 자세한 이야기는 생각나면 다음에 다시 다뤄보도록 하겠습니다. 감사합니다.
        이젠 공무원들이 국가를 위해 일하는게 아니라 돈벌이를 위해 국민을 이용하는 시대일 뿐이죠.