밀피유의 이야기

들어가서 구경할려고 했더니 아래 링크로 빠지면서 IE가 아니라서 사용불가라고 나오는군요. http://www.easyticket.co.kr/NotNetscapeMsg.htm
비록 지금은 IE에서만 허용되지만 액티브 엑스 설치안하고 이용하는 곳이 있다니 열차 승차권말고 다른 곳도 연계시키면 이용시 편할 듯 싶습니다.

보안의 Measurement는 서비스를 제공하는 측의 "권한"입니다. 자사의 서비스가 128비트 SSL로 충분하다고 한다면 얼마든지 그것만으로 결재를 하는 사이트를 제공할 수 있습니다.

문제는, 그 기준으로 문제가 발생했을 경우에 대한 책임 또한 그 권한을 소유한 업체의 문제가 되는 것입니다. 그렇기 때문에, 보안 기준을 높이는 것이고 높이고자 하는 경우의 솔루션으로 나와있는 것들이 대부분 Active X를 사용한 방식들이기 때문에 발생하는 선택입니다.

간단히 예를 들어서, 사용자의 돈에 사고가 생길 가능성과 사이트에서 불편할 수 있는 가능성 둘 중 하나를 선택하라고 하면 어느 것을 선택하시겠습니까? 물론 사고가 안생기는 것을 선택할 것입니다. 둘다 선택 안하면 되지 않느냐고 한다면 현 상황에서 이 둘간의 밸런스를 맞추는 것이 얼마나 힘든지를 이해하지 못하는 것이겠죠.

쇼핑몰이라고해서 혹은 다른 결재 서비스라고 해서 그 보안 수준이 은행에 비해서 낮아도 된다는 이야기는 밖 사람들의 가쉽으로는 할 수 있는 이야기지만, 역시나 사고가 생기면 책임은 그들에게 있는 것이기 때문에 (그 말을 한 사람이 책임지는 것이 아니지요) 뭐라하기 힘든 부분이라고 할 수 있지 않을까요.

암호화가 중요한게 아니죠.. 키로거 같은걸로 타이핑부터 가로채가는데요. 그래서 이래저래 해서 ActiveX 를 쓰는것입니다.

SSL은 웹브라우져와 웹서버간 사이의 패킷암호화지, 클라이언트 컴퓨터 자체가 해킹 위험에 노출되어 있으면 SSL 은 의미가 없죠. 첨부터 위조된 데이터를 SSL 을 통해서 웹서버측에 넘겨주면 방법이 없게 됩니다..

얼마전 리눅스용으로 우체국에서 구축을 했다가, 클라이언트 컴퓨터에 방화벽이나 키로거같은걸 막는 툴이 없다는 이유로 인증에 실패를 한거를 보더라도..

위댓글처럼 SSL만으로 서비스를 했다가 사고나면, 누가 책임을 지냐 이거죠.^^

위엣분 말씀대로 SSL 쓴다고 보안이 다 해결되는게 아닙니다. 로컬시스템에 키로거나 해킹프로그램 깔려있으면 입력하던 모든 정보가 다 저장되어 해커에게 넘어갑니다. SSL 쓴다고 안전하다고 생각하시면 완벽한 오산입니다. 이지티켓이라는 사이트가 유명하지 않고 해킹해봤자 별로 의미가 없는 사이트이기에 별 문제 없는 것이겠죠. 은행 같은 곳이 저렇게 되어있으면 하루도 안되 고객들이 해킹 당했을껄요.

만약 ActiveX를 쓰지 않는 상태에서 구현할 수 있는 방법이라면 현재까지 나온 보안처리 방식중에는 핸드폰을 이용한 인증이 제일 보안성이 강력하다고 봅니다. 외국의 은행들도 핸드폰 인증 방식으로 처리를 하거든요.

로컬시스템에 키 로거 혹은 해킹프로그램이 설치되어 있다는것은 크게 봤을때 이미 로컬시스템을 이용하는 사람의 귀책사유라고 생각되는군요. 자신의 PC를 재대로 관리하지 못했다는것은 서비스를 제공하는 서버나 서버와 서비스를 운영하는 회사의 귀책사유가 되지 않을텐데.. PC방이나 공공시설(?)에서 돌아가는 PC의 보안을 강화해야하는것또한 시설관리책임자의 일거리이고.. 서버레벨에서 굳이 클라이언트의 보안을 신경써줘야 한다는것이 넌센스인듯. 그래서 돈과 관련된 부분에 'Active X'가 여러가지 설치되는 기현상(?)이 우리나라에 많다.. 라는 결론이 나오는군요.

.....뭐 어쨌건 'Active X'가 되었건 할아버지가 되었건 '작동만 잘 되면 장땡'인 대부분의 사용자에게는 그닥 중요한 문제가 아닌듯?

학원쪽에 프로그램을 개발해서 학원 컴퓨터를 많이 봤는데요. 학원 선생님들이면 학력이 모두 대학생 이상, 즉 고학력이라 볼수 있지만 컴퓨터를 관리할 줄 아는 사람은 거의 없습니다. 대부분 쓰레기 툴바와 온갖 잡동사니 프로그래밍 마구 잡이로 깔려 있죠.(필요에 의해서 깐게 아닌 자신도 왜 깔렸는지 모르는 것이죠) 그런 분들께 키로거가 당신한테 깔렸으니 당신 책임이요! 라고 한다면 위험할 듯한데요 ^^;; ActiveX 보단 정부에서 뭔가 표준화된 프로그램을 제공 해주면 좋을듯 한데..

키로고 또는 이와 유사한 해킹프로그램에 의해서 내 결재정보가 해킹당했다면, 서비스를 제공했던 콘덴츠사의 잘못을 따질수 없다고 생각됩니다.

그게 ActiveX를 사용했건 안했건간에 말이죠, ActiveX를 사용한다고 해서 위와같은 프로그램에 완벽한 방어를 해준다고는 생각하지 않습니다. 완벽하게 방어해준다고 생각하는건 어쩌면 ActiveX에 목을 매고 있는 사람들이라고 생각합니다.

결론적으론, 위와 같은 방식으로 해킹되었다면, 무조건 사용자의 책임입니다. 서비스 콘덴츠사에 책임을 묻는 것은 자신이 도둑이면서 옆사람을 도둑으로 주장하는 거와 다를게 없다는 겁니다.

'귀책사유'라고 해도 실제 사고가 터지면 책임은 제공자에게 돌아옵니다. 예전에 은행 뚫렸다고 보도 났을때 어땠습니까? 이미 그 사용자의 개인정보가 유출된 사용자 귀책사유이지만 은행의 암호 체계가 더 강화된 것 보셨죠?
더더군다나, 대개의 사용자들은 키로거 따위가 깔려있는지 조차 모릅니다. 그런 상황에서 아 네, 제 잘못이니 제가 책임 질께요. 이럴까요?
외국과 우리나라는 개인정보가 도는 레벨이 다릅니다. 저도 액티브X가 깔리는건 짜증나지만 어쩌겠습니까? 안전해야하는걸.

그리고 고속버스 예약 사이트 들에 들어가 보면 대부분 ActiveX 설치를 하지 않습니다. 제 생각에는 아마.. 처음에 만들었던 사이트를 보고 뒤에 회사들이 따라서 비슷하게 만들면서 대부분 그렇게 된것이 아닌가 생각합니다. ㅎㅎ (인터페이스도 거의 비슷하죠). 예약을 하면서 실제 결제를 하지 않기 때문에 업체 쪽에서 설치 안한 것일수도 있구요. 제 생각에는 ActiveX 를 이용하지 않은 성공적인 결제 사례로 예를 들기에는 좀 약하지 않은가 하는 소견입니다. ^^

사실 모처에서 권고하고 있는 웹 보안관련 문서만 잘 적용시켜 놓으면 ActiveX를 굳이 이용하지 않아도 충분한 웹 보안이 가능하죠. 문제는 그런 보안 자체를 개발자들도 잘 안지키는데다가 이미 ActiveX로 익숙해져 있는 사람들로 인해 그게 아니면 불안하다라는 인식 때문일까요...

뭐, SSL을 이용해서 전송값 자체를 https로 암호화 시켜주고 몇가지 소스 수정으로 해킹방지만 해줘도 충분히 안전하다고 봅니다;;

가장 최악의 방법중 하나죠. 경비업체 직원에게 비밀금고의 암호를 알려주는 것과 마찬가지입니다.
회사의 입장에선 효율성 측면에서는 선택할만한 방법이긴 합니다만 어드민 권한이 없는 컴퓨터에서의 브라우징이나 다른 프로텍션 툴(백신등)을 사용하는 경우 꼬여버리는 경우가 발생할 수 있고 가장 최악은 웹사이트의 버그로 인하여 컴퓨터가 포맷되어 버릴 수 있다는 것. 뭐 사용 약관에 사이트의 버그로 인한 모든 손실에 대해 니책임이다라는 문구 하나면 되긴 하지만요.
물론 저도 경영진의 결정을 거스를 힘이나 명분은 없습니다;;;;

확실히 가장 간단하긴 합니다만, 사용자입장에서는 최악의 방법이네요.
만약 그런 방법을 쓰는 회사가 있다면 저라면 머리 속에서 지워버리고 다시는 찾아가지 않겠습니다....;;

그런 사이트가 의외로 많이 있습니다. 신한은행은 자사의 홈페이지를 신뢰받는 사이트에 넣지요.

... 보고 너무 식겁해서 신뢰가능한 사이트의 레벨을 HTTPS 는 기본이오, 거기에 신뢰 가능한 사이트의 보안 레벨을 훨씬 더 높여버렸습니다. 세상 믿을거 하나도 없네요.

ActiveX 라.. 최근에 RIA 구현과 함께 다시 불거진 이야기이네요.. 그렇다고는 해도.. ActiveX 가 아직까지 불가피한 영역에서 꼭 필요하다는 건 두말할 필요가 없을 듯 싶네요..