תלתעסר

xiii.egloos.com

포토로그 마이가든

분석하기 보단 분노하기가 쉽다. 문득

오픈웹의 ActiveX 논쟁

잊을 만하면 나오고 나오고 나오고 하는게 액티브X 논쟁이고, 얼마전엔 나도 간만에 본 게시물 http://imc84.egloos.com/4101343 에다가 짤막하게 몇몇 현황에 대한 리플을 단 적이 있다.

xeraph님의 경우는 같은 회사 출신이고(같이 근무한 적은 없다 , 내가 5년 전에 떠난 회사에서 근래까지 개발을 하셨다.), 현업에서 느끼는 현실과 일반 사회 인식과의 괴리에 대해서 고민 많으시라는 건 나로써도 충분히 이해가 되고하니, - 아 사실 그래서 난 한국을 떠났다. 그때 같이 일하던 사람 들..어느 순간 보니 다들 구글 코리아 가 있더라-그냥 조금 끄적거려 본다.

(사실 근래 오픈웹은 브레이크 파열된 기차 보는 느낌이다. 일개 사기업의 루트 인증서 추가 건까진 분명히 '사회공헌' 레벨의 의견 개진이었다고 본다.)

확실히 현 시점에 액티브X기술의 근원적 기술 미스-실행 권한-라던가 정책 미스-코드 신뢰할 만한 기관의 사이닝 레벨2 인증서의 발급 서비스 정지-같은 건 뭐 이제와선 아무도 들여다보지도 않고, 플래시는 별거로 생각하는 사람 들도 많은 걸 보면 과거에 '윈도우에서 미디어 플레이어 빠진다고? 그럼 곰 깔아쓰지' 하던 사람 들이 또 떠오르는 걸 보면..... 이 문제는 분명히 100% 기술 문제인데도 기술로 풀기엔 장벽이 만만치않다. 

그렇다고 법적요구조건......을 갖고 가자니 이게 또 '썩 와닿지'가 않는다. 

돌아가서, 정석적으로 봐보자. 오픈웹의 주장의 치명적 약점을 요약하면 아래 한줄이다.

*외국에선 자바 같은 웹 브라우저 비종속적 방식'만'으로 웹 뱅킹을 잘 쓰고 있으며, 이 경우 -지금의 IE종속에서-대체 가능한 기술사용시 기술적 보안 레벨은 (최소한 현재의 한국과) 동등하거나 더 우수하다.

약점이 아니라 주장의 메인이라고? 설마 그럴리가.

1. 저게 진짜인지 아닌지. 정말로 보안 레벨이 동등한지 아닌지. 정말 자바 같은 비종속 모듈'만'으로 웹뱅킹을 쓰는지. 정말로 보안 사고가 없는지. 있는지. 한국과 차이가 얼마나 나는지? 

2. 지금 나도 OTP도 없고 인증서도 없이 간단하고 빠른 몇몇 인터넷 뱅킹을 잘 쓰고 있지만 내 컴에 키로거나 트로이 있으면 과연 내가 당할까 안 당할까? 당하면 이 경우 누구 책임 될까?

3. 일본 은행 사이트/신용카드 사이트에서는 (강제는 아니지만) 왜 '잉카 인터넷'의 '엔프로텍트'를 제공하는 걸까?

ps1:웃긴 결론이, 한국이 가장 공격이 심한 나라라는 점이다. 실제로 현재 내가 근무하는 금융회사의 '일반'적인 인증 페이지. 한국 있을 때는 그 흔하던 브루트 포스 한번 안 들어온다. 사실 굉장히 많이 놀랐다. 이건 뭐랄까, 만약 공격으로 특정-위력에 의한 업무방해 등-이 된다면 대단히 높은 확률로 잡아 낼 수 있는 인프라의 특성에서 기인하는게 아닌가 싶다. 

ps2:아니 저 근데, 심정은 이해합니다만 OTP 취약성을 'MITM'이라고 하는 건 좀...


포스트 메타 정보

퍼블리싱 및 추천

같은 카테고리의 글

트랙백(2)핑백(2) 덧글(5)

트랙백

이 글과 관련된 글 쓰기 (트랙백 보내기)
TrackbackURL : http://xiii.egloos.com/tb/4285453 [도움말]

  • 오픈웹 관련해서 시끄러운 하루하루… 2009/04/06 21:14 #

    요 근래 오픈웹에 반감을 가지는 분들이 굉장히 많아지고 있는 것 같다. 뭐 오늘 읽은 내용만 하더라도 아래 정도? NCHOVY 인터넷 스톰 센터 - 오픈웹의 ActiveX 논쟁 방준영 - 인터넷 뱅킹과 Active...... more

  • 오픈웹 논란에 대한 단상 2009/05/02 20:46 #

    4월 한달 간 오픈웹에 대한 논란이 뜨거웠습니다. 그 배경과 저의 단상을 적어 봅니다. 배경 오픈웹이 MS IE 외의 웹브라우저나 윈도우 외의 운영체제에서도 온라인 뱅킹 등을 할 수 있게 해달...... more

핑백

  • Xeraph@NCHOVY : 오픈웹의 ActiveX 논쟁 2009-04-06 14:10:23 #

    ... 영 - ActiveX와 인터넷 뱅킹이경문 - 오픈웹에서 오해하기 쉬운 사실오정욱 - 인터넷 뱅킹과 액티브 엑스 논란에 대해서이경문 - 가상소설 : 오픈웹 네버엔딩 스토리서린 - 분석하기 보단 분노하기가 쉽다. 서린 - 아주 조금 더 풀어 쓴 인터넷 뱅킹과 Risk Analysissixthman - ActiveX의 사실과 오해 그리고 공방 이글루스 가든 - profes ... more

  • 오픈웹 관련해서 시끄러운 하루하루… | 내 맘대로 보는 세상 2009-04-06 21:14:33 #

    ... HOVY 인터넷 스톰 센터 - 오픈웹의 ActiveX 논쟁 방준영 - 인터넷 뱅킹과 ActiveX 서린 - 아주 조금 더 풀어 쓴 인터넷 뱅킹과 Risk Analysis 서린 - 분석하기 보단 분노하기 쉽다 버그 트럭 - 인터넷 뱅킹과 액티브 엑스 논란에 대해서 김휘강 - 오픈웹에서 오해하기 쉬운 사실 #1 이경문 - 오픈웹에서 오해하기 쉬운 사실 #2 일부 흥미로운 ... more

덧글

  • 2009/04/04 22:02 # 답글

    비공개 덧글입니다.

  • ㅇㅇ 2009/04/05 01:48 # 삭제 답글

    마소 까면 있어보이는 줄 아는 병신들이 참 많이 양산됐죠(웃음)

  • 서린 2009/04/05 12:55 # 답글

    쩝. 잘못된 지식을 바로 잡아줄 수 있는 사람들은 사실 귀찮고 번거로우니까-결정적으로..바쁩니다.- 손을 놓아버린거죠. 넷 상에 남은 건 그릇된 선동자들 뿐인가 싶습니다. 특히 한국 넷.

  • 카나리아 2009/09/11 22:49 # 삭제 답글

    '확실히 현 시점에 액티브X기술의 근원적 기술 미스-실행 권한-라던가 정책 미스-코드 신뢰할 만한 기관의 사이닝 레벨2 인증서의 발급 서비스 정지-같은 건 뭐 이제와선 아무도 들여다보지도 않고,'

    이게 이번 문제의 가장 큰 요점이에요. orz 결론은 마이크로소프트의 미스. 위에 마소 까는 사람 까면 있어보이는줄 아는 난독증 병신도 있는걸 보면 답이 안나올거 같지만 ㅎㅂㅎ

  • 카나리아 2009/09/11 23:06 # 삭제 답글

    차라리 인터넷 뱅킹을 웹으로 하려고 하지 말고 실행할수 있는 파일로 하는게 낫지 않을까요? Java를 쓴다면[애플릿 말고 그냥 자바] 어느정도까지는 크로스 플랫폼에 대한 대항이 될거 같기도 한데 말이죠. 물론 배포 또한 웹으로 하는게 아닌 은행에서 시디 형태로 하는게 나을듯 보여요.
덧글 입력 영역

프로필

검은 수호,그릇된 자들의 왕by 서린

카테고리

최근 트랙백

태그

태그 전체보기

검색

블로그내 검색 영역

RSS

RSS
xiii.egloos.com is powered by Egloos. Subscribe to RSS. Skin design by egloos.