밀피유의 이야기

답글

• oseb | 2007/02/09 12:10 | 답글 | 수정

  들어가서 구경할려고 했더니 아래 링크로 빠지면서 IE가 아니라서 사용불가라고 나오는군요. http://www.easyticket.co.kr/NotNetscapeMsg.htm
  비록 지금은 IE에서만 허용되지만 액티브 엑스 설치안하고 이용하는 곳이 있다니 열차 승차권말고 다른 곳도 연계시키면 이용시 편할 듯 싶습니다.

• 답글: Milfy | 2007/02/11 19:07 | 답글 | 수정

  컨트롤을 안 쓴 것까진 좋았는데, IE 이외의 브라우저론 볼 수 없는거였군요 =_= ;; 헌데, 넷스케이프라니 왠지 반가운 문구네요. orz

• charlz | 2007/02/09 12:44 | 답글 | 수정

  보안의 Measurement는 서비스를 제공하는 측의 "권한"입니다. 자사의 서비스가 128비트 SSL로 충분하다고 한다면 얼마든지 그것만으로 결재를 하는 사이트를 제공할 수 있습니다.
  
  문제는, 그 기준으로 문제가 발생했을 경우에 대한 책임 또한 그 권한을 소유한 업체의 문제가 되는 것입니다. 그렇기 때문에, 보안 기준을 높이는 것이고 높이고자 하는 경우의 솔루션으로 나와있는 것들이 대부분 Active X를 사용한 방식들이기 때문에 발생하는 선택입니다.
  
  간단히 예를 들어서, 사용자의 돈에 사고가 생길 가능성과 사이트에서 불편할 수 있는 가능성 둘 중 하나를 선택하라고 하면 어느 것을 선택하시겠습니까? 물론 사고가 안생기는 것을 선택할 것입니다. 둘다 선택 안하면 되지 않느냐고 한다면 현 상황에서 이 둘간의 밸런스를 맞추는 것이 얼마나 힘든지를 이해하지 못하는 것이겠죠.
  
  쇼핑몰이라고해서 혹은 다른 결재 서비스라고 해서 그 보안 수준이 은행에 비해서 낮아도 된다는 이야기는 밖 사람들의 가쉽으로는 할 수 있는 이야기지만, 역시나 사고가 생기면 책임은 그들에게 있는 것이기 때문에 (그 말을 한 사람이 책임지는 것이 아니지요) 뭐라하기 힘든 부분이라고 할 수 있지 않을까요.

• 답글: Milfy | 2007/02/11 19:09 | 답글 | 수정

  회사에서도 사고가 일어났을 때 책임소재를 분명히 하기 위해 오픈소스 도구를 활발하게 활용하지는 않는다는 이야기를 어디서 들은 적이 있습니다. 다만 문제를 발생시키지 않기 위한 강력한 사전 제어장치는 좋은 발생임에도 불구하고, 이 발상이 많은 부작용을 일으키고 있다는 점은 아쉽습니다.

• insideapple | 2007/02/09 13:04 | 답글 | 수정

  암호화가 중요한게 아니죠.. 키로거 같은걸로 타이핑부터 가로채가는데요. 그래서 이래저래 해서 ActiveX 를 쓰는것입니다.
  
  SSL은 웹브라우져와 웹서버간 사이의 패킷암호화지, 클라이언트 컴퓨터 자체가 해킹 위험에 노출되어 있으면 SSL 은 의미가 없죠. 첨부터 위조된 데이터를 SSL 을 통해서 웹서버측에 넘겨주면 방법이 없게 됩니다..
  
  얼마전 리눅스용으로 우체국에서 구축을 했다가, 클라이언트 컴퓨터에 방화벽이나 키로거같은걸 막는 툴이 없다는 이유로 인증에 실패를 한거를 보더라도..
  
  위댓글처럼 SSL만으로 서비스를 했다가 사고나면, 누가 책임을 지냐 이거죠.^^

• 답글: Milfy | 2007/02/11 19:10 | 답글 | 수정

  사용자 PC의 위험요소까지 정부가 앞장서서 해결해주는 덕분에 PC방에서도 웬만한 은행 웹사이트 하나만 띄워 두면 꽤 안전하게 인터넷을 사용할 수 있어서 좋기는 합니다만, 정작 사고가 일어나면 그들이 책임져주지 않는다는 점은 '책임소재'를 위한 프로그램이라는 의견에 힘을 실어주긴 어렵겠습니다.

• 동범이 | 2007/02/09 13:22 | 답글 | 수정

  위엣분 말씀대로 SSL 쓴다고 보안이 다 해결되는게 아닙니다. 로컬시스템에 키로거나 해킹프로그램 깔려있으면 입력하던 모든 정보가 다 저장되어 해커에게 넘어갑니다. SSL 쓴다고 안전하다고 생각하시면 완벽한 오산입니다. 이지티켓이라는 사이트가 유명하지 않고 해킹해봤자 별로 의미가 없는 사이트이기에 별 문제 없는 것이겠죠. 은행 같은 곳이 저렇게 되어있으면 하루도 안되 고객들이 해킹 당했을껄요.
  
  만약 ActiveX를 쓰지 않는 상태에서 구현할 수 있는 방법이라면 현재까지 나온 보안처리 방식중에는 핸드폰을 이용한 인증이 제일 보안성이 강력하다고 봅니다. 외국의 은행들도 핸드폰 인증 방식으로 처리를 하거든요.

• 답글: Milfy | 2007/02/11 19:12 | 답글 | 수정

  사실 완벽한 보안이 이루어지려면 - 애초에 그런게 되는진 모르겠지만 - 클라이언트 사이드, 서버 사이드, 그리고 전송 과정의 세 가지 모두에 보안이 이루어져야 하고, SSL은 이 세 가지 중 전송 과정에만 관여하는 보안 방안이라는 건 알고있습니다. 사실, 주민등록번호를 로깅하는 쇼핑몰 프로그램같은게 널려있는데 전송 과정을 암호화해도 의미가 없지요. 문제는 현재의 보안 컨트롤 같은 것들이 서버는 관두고 클라이언트 사이드에만 집중되어 있는 점에도 있다고 생각합니다. 키로거같은걸로 클라이언트에서 뭘 빼갈 수도 있을테지만, 서버에 보내진 공인인증서같은걸 주워가면 어떻게할까요.

• Adios | 2007/02/09 13:39 | 답글 | 수정

  로컬시스템에 키 로거 혹은 해킹프로그램이 설치되어 있다는것은 크게 봤을때 이미 로컬시스템을 이용하는 사람의 귀책사유라고 생각되는군요. 자신의 PC를 재대로 관리하지 못했다는것은 서비스를 제공하는 서버나 서버와 서비스를 운영하는 회사의 귀책사유가 되지 않을텐데.. PC방이나 공공시설(?)에서 돌아가는 PC의 보안을 강화해야하는것또한 시설관리책임자의 일거리이고.. 서버레벨에서 굳이 클라이언트의 보안을 신경써줘야 한다는것이 넌센스인듯. 그래서 돈과 관련된 부분에 'Active X'가 여러가지 설치되는 기현상(?)이 우리나라에 많다.. 라는 결론이 나오는군요.
  
  .....뭐 어쨌건 'Active X'가 되었건 할아버지가 되었건 '작동만 잘 되면 장땡'인 대부분의 사용자에게는 그닥 중요한 문제가 아닌듯?

• 답글: Milfy | 2007/02/11 19:13 | 답글 | 수정

  사실, 유저에게 클라이언트 보안을 책임지라고 하는 것도 쉽지 않는 일이긴 합니다. 단, 클라이언트 보안 준수 사항이 사이트를 이용하기 위한 강제 조건이라는 점은 조금 마음에 안듭니다.

• brightfe | 2007/02/09 13:59 | 답글 | 수정

  학원쪽에 프로그램을 개발해서 학원 컴퓨터를 많이 봤는데요. 학원 선생님들이면 학력이 모두 대학생 이상, 즉 고학력이라 볼수 있지만 컴퓨터를 관리할 줄 아는 사람은 거의 없습니다. 대부분 쓰레기 툴바와 온갖 잡동사니 프로그래밍 마구 잡이로 깔려 있죠.(필요에 의해서 깐게 아닌 자신도 왜 깔렸는지 모르는 것이죠) 그런 분들께 키로거가 당신한테 깔렸으니 당신 책임이요! 라고 한다면 위험할 듯한데요 ^^;; ActiveX 보단 정부에서 뭔가 표준화된 프로그램을 제공 해주면 좋을듯 한데..

• 답글: Milfy | 2007/02/11 19:15 | 답글 | 수정

  사실, 프로그램의 인스톨 방식이 ActiveX라는 점에 큰 불만은 없습니다. ... 제가 윈도우 사용자라서 그렇긴 합니다만 .. 중요한 점은 말씀하신대로 표준화된 프로그램 하나가 아닌가 합니다. 프로그램 하나라면 분명 여러 플랫폼으로 어렵지 않게 옮길 수도 있을테고요. 몇 개의 사이트를 이용하기 위해 같은 역할을 하는 컨트롤을 몇 개 씩이나 설치하는건 심한 낭비라고 봅니다.

• 하얀기적 | 2007/02/09 14:04 | 답글 | 수정

  키로고 또는 이와 유사한 해킹프로그램에 의해서 내 결재정보가 해킹당했다면, 서비스를 제공했던 콘덴츠사의 잘못을 따질수 없다고 생각됩니다.
  
  그게 ActiveX를 사용했건 안했건간에 말이죠, ActiveX를 사용한다고 해서 위와같은 프로그램에 완벽한 방어를 해준다고는 생각하지 않습니다. 완벽하게 방어해준다고 생각하는건 어쩌면 ActiveX에 목을 매고 있는 사람들이라고 생각합니다.
  
  결론적으론, 위와 같은 방식으로 해킹되었다면, 무조건 사용자의 책임입니다. 서비스 콘덴츠사에 책임을 묻는 것은 자신이 도둑이면서 옆사람을 도둑으로 주장하는 거와 다를게 없다는 겁니다.

• 답글: Milfy | 2007/02/11 19:16 | 답글 | 수정

  사실, 클라이언트의 보안을 잘 관리할 수 없는 사람들에게 ActiveX는 쉽고 편리한 방법이기는 하지만, 역시 말씀하신 부작용들을 어떻게 해결하느냐를 생각해볼 수도 있겠네요.

• 존슨 | 2007/02/09 14:08 | 답글 | 수정

  '귀책사유'라고 해도 실제 사고가 터지면 책임은 제공자에게 돌아옵니다. 예전에 은행 뚫렸다고 보도 났을때 어땠습니까? 이미 그 사용자의 개인정보가 유출된 사용자 귀책사유이지만 은행의 암호 체계가 더 강화된 것 보셨죠?
  더더군다나, 대개의 사용자들은 키로거 따위가 깔려있는지 조차 모릅니다. 그런 상황에서 아 네, 제 잘못이니 제가 책임 질께요. 이럴까요?
  외국과 우리나라는 개인정보가 도는 레벨이 다릅니다. 저도 액티브X가 깔리는건 짜증나지만 어쩌겠습니까? 안전해야하는걸.

• 답글: Adios | 2007/02/09 18:40 | 답글 | 수정

  결과적으로는 그렇게 되는것이 당연하죠.. 이미지 저하를 우려하는 기업측에서 '알아서'하는 것이니까요.. 책임의 소재를 다루는것과 '알아서'하는건 다른것으로 보이는데요?
  
  블로그 쥔장도 아닌데 답글달아봤습니다.. ;)

• brightfe | 2007/02/09 14:29 | 답글 | 수정

  그리고 고속버스 예약 사이트 들에 들어가 보면 대부분 ActiveX 설치를 하지 않습니다. 제 생각에는 아마.. 처음에 만들었던 사이트를 보고 뒤에 회사들이 따라서 비슷하게 만들면서 대부분 그렇게 된것이 아닌가 생각합니다. ㅎㅎ (인터페이스도 거의 비슷하죠). 예약을 하면서 실제 결제를 하지 않기 때문에 업체 쪽에서 설치 안한 것일수도 있구요. 제 생각에는 ActiveX 를 이용하지 않은 성공적인 결제 사례로 예를 들기에는 좀 약하지 않은가 하는 소견입니다. ^^

• 답글: Milfy | 2007/02/11 19:17 | 답글 | 수정

  누가 먼저 만들면 다들 뒤이어 따라하는 관행이 이럴댄 나쁘지 않네요. =_=;; 음. 저는 카드 번호를 넣는 상황에서는 무조건 ActiveX 컨트롤을 설치해야 하는걸로 알고있었는데, 해외결제도 아니면서 카드번호를 넣는데 아무것도 설치하지 않는 것을 처음 봐서 꽤 신기했습니다. 사실, 가결제이기 때문에 사고가 나도 그냥 취소해버리면 그만인 거래이기 때문에 그럴 수도 있겠단 생각도 드네요. :)

• Dino | 2007/02/16 13:21 | 답글 | 수정

  사실 모처에서 권고하고 있는 웹 보안관련 문서만 잘 적용시켜 놓으면 ActiveX를 굳이 이용하지 않아도 충분한 웹 보안이 가능하죠. 문제는 그런 보안 자체를 개발자들도 잘 안지키는데다가 이미 ActiveX로 익숙해져 있는 사람들로 인해 그게 아니면 불안하다라는 인식 때문일까요...
  
  뭐, SSL을 이용해서 전송값 자체를 https로 암호화 시켜주고 몇가지 소스 수정으로 해킹방지만 해줘도 충분히 안전하다고 봅니다;;

• 답글: Milfy | 2007/02/17 11:06 | 답글 | 수정

  위쪽을 보니 대체로 책임 소재를 가리기 위한 목적인 걸로 이야기하시는데, 실제로 사고가 나면 아무도 책임은 안지더라구요. 그러면 그냥 안쓰는거랑 똑같은거같아요. 다만, 법적으로 규정되어 있어서 ActiveX 컨트롤을 사용하나 싶었는데, 그건 아닌가보네요 ;

답글을 남깁니다.