- 밀피유의 이야기

'보안': 검색된 포스트 '6'건

2009/06/13 보안과 편의 (4)
2007/10/23 FON 로밍 권한 (3)
2007/02/09 사실, ActiveX 없이 결제 잘만 된다. (20)
2007/01/15 윈도우 비스타를 준비하는 가장 간단한 방법. (7)
2006/05/24 매신저 보안. (6)

2009/06/13 14:05

보안과 편의

사무실에서 메신저를 사용하기 위해서는 프록시 서버를 사용해야 합니다. 프록시 서버를 회사 밖에 두고 거기에 연결해서 쓰면 됩니다. 처음에는 프록시 서버를 검색해 연결해 주는 프로그램을 사용하다가 이게 영 느리기도 하고 프록시 서버를 못 찾으면 장시간 접속이 안 되기도 하는 점이 귀찮기도 하고 해서 집에서 서버로 사용하던 구형 노트북을 프록시로 사용하기로 했습니다. 이 노트북은 이제 구입한지 8년이 된 씽크패드 X22입니다.

프록시까지 연결에는 귀찮지만 VPN을 사용했는데, 유동아이피를 간단한 도메인 네임에 매핑시키기 위해 머리를 쓸 필요도 없었고 연결을 암호화 해주기 때문에 중간에 누군가 – 이를테면 회사 - 메시지를 가로챌 가능성도 낮았습니다. 또 접속하는 장소의 네트워크 상태에 별 영향을 받지 않고 편하게 사용할 수 있었습니다. 그래서 집안에서 다른 PC에 무선으로 접속할 때도 네트워크 환경에 신경 끄게 해 주는 VPN을 사용하고 있었지요.

이렇게 프록시 서버를 만들어놓고 보니 이게 꽤 편해서 다른 사람들도 같은 방법으로 메신저를 사용하게 했는데, 잠깐 사이에 수십 명을 네트워크에 넣고 사용하게 되었습니다. 펜티엄3, 800MHz, 256MB의 아슬아슬한 사양이지만 수십 명이 붙어도 그럭저럭 견뎌냈습니다. 다만 하드디스크 수명이 거의 다 되어 액세스 속도가 점점 느려져 가는 상황입니다. 가끔씩 하드디스크에서 ‘휘리리리릭~ 철커덕 철커덕’ 하는 무시무시한 소리가 들려올 때마다 가슴이 철렁 하지요. 여튼 이 아슬아슬한 사양의 서버에 수십 명이 24시간 붙어 기계를 혹사하게 되었습니다.

그런데 이 기계는 하드디스크 노후 문제 이외에도 전원부에 슬슬 문제가 생기고 있었습니다. 업타임이 3주를 넘기면 랜덤으로 기계가 꺼지는 겁니다. 사실 이건 업타임이 3주 정도에 다다르기 전에 기계를 껐다 켜면 해결됐는데, 당연하지만 늘 까먹고 있다가 어느 날 갑자기 기계에 핑이 안 가는 일이 생겼습니다. 이 문제는 부품 교체 같은 걸로는 더 이상 해결할 수가 없기 때문에 노트북에 전원이 들어오지 않는 그날까지 그냥 쓰리라 마음먹고 있던 참입니다.

그건 그렇고 어제는 사무실에서 갑작스레 메신저들이 오프라인이 되고 IRC가 재접속을 99번 시도한 다음 퍼져버렸습니다. 집까지 핑이 안 가더군요. 그러고 보니 업타임이 한 3주쯤 됐습니다. 그런데 결국 집에 와서 보니 기계는 살아있었고 죽은 건 네트워크 뿐이었습니다. VPN을 사용하기 시작하면서 사실상 VPN을 사용하지 않는 나머지 모든 접속을 차단했기 때문에 외부에서 VPN을 사용하지 않고서는 완전히 내부에 접속할 방법을 없애놨었습니다. 만약 어제 VPN을 사용하지 않고서도 내부에 접근할 방법이 있었다면 바로 복구할 수 있었을 텐데 하는 생각이 들었습니다.

그래서 이런 네트워크가 맛이 간 상황을 해결하기 위해 VPN을 통하지 않는 접속 방법을 남겨두는 것이 맞을까, 아니면 보안이나 편의를 위해 그냥 지금처럼 놔두는 것이 좋을까 하는 고민에 빠졌습니다.

답글 4 | 트랙백 0

VPN, 보안, 접속 편의

2007/10/23 17:45

FON 로밍 권한

사흘 전에, FON 로밍 권한이 제한된 것을 발견했습니다. 원인은 지금도 분명하지는 않지만, 'FON_AP'를 통해서 FON 홈페이지 이외에 접속을 시도하면 계속해서 로밍 권한이 없기 때문에, FON 공유기를 인터넷에 연결하라는 메세지가 반복해서 나올 뿐이었지요. 분명 공개된 SSID인 'FON_AP'를 통해 FON 홈페이지에 접속하고 있었는데요. 그리고 나흘이 지났는데, 이제서야 'FON_AP'를 통해서 인터넷 접속이 가능해졌습니다. 여전히 FON 홈페이지를 통해서는 접속이 가능한지 여부를 확인할 수 없었지요. 여튼 정상적으로 로밍 서비스를 이용할 수 있게 됐다는 식으로 결말이 났지만, 석연치 않은 부분은 남아있습니다.

어떤 이유인지는 모르겠지만, 로컬에서 '라 포네라'에 접속할 수 있는 방법이 없어졌습니다. 전에는 라 퍼네라에 부여된 아이피를 입력하면 아이디와 패스워드를 넣고 웹 브라우저를 이용해 옵션을 관리할 수 있었는데, 이제는 라 포네라가 부여받은 아이피에 접근할 수 있는 방법이 없습니다. FON 홈페이지에서 조정할 수 있는 건 공개할 대역폭과 AP 이름, 관리자 패스워드 정도입니다. 어떻게 보면 이쪽이 더 설정하기에 편할 수도 있겠단 생각은 들지만, 여전히 공유기가 제대로 돌고 있는지를 확인할 방법은 'FON_AP'를 통해 로밍 서비스를 사용해 보는 방법밖에 없다는 점은 불만입니다.

또 하나, FON 네트워크를 사용하기 위해 구매한 무선공유기는 느린 속도로 악명이 높기 때문에, 기존에 100메가급 인터넷을 사용하고 있는 사람이 네트워크 맨 처음에 달아 두면 화병으로 죽기 십상입니다. 그래서 기존에 사용하던 공유기 아래에 붙여놓는 경우가 많은데요, 공유기 아래에 붙어 있는 'FON_AP'에 접근하면 내부 네트워크에 대한 접근이 가능해집니다. 내부 네트워크에 열려 있는 기기에는 모두 접근할 수 있지요. 심지어는 네트워크에 물려 돌아가는 NDS도 확인할 수 있습니다. 그래서 웬만하면 'FON_AP'로 접근했을 때는 게이트웨이와 '라 포네라' 사이에만 접근을 허용하는 것이 좋지 않을까 하는 생각이 들었습니다. 어떻게 생각해보면 이건 기존에 사용하던 공유기 설정으로도 가능할 것 같은데, 자세히 확인한 적이 없어서 잘은 모르겠습니다.

어쨌든, 일단 FON 로밍을 다시 사용할 수 있게 되기는 했지만, 로밍을 사용하려면 주기적으로 공유기가 정상 동작하는지 확인하지 않으면 정말로 AP가 필요한 시점에 낭패를 당할 수도 있다는 교훈을 얻었습니다.

이 글은 스프링노트에서 작성되었습니다.

답글 3 | 트랙백 0

FON, 로밍, 보안

2007/02/09 11:50

사실, ActiveX 없이 결제 잘만 된다.

몇년 전부터 설때 집에 내려가기 위해 고속버스 승차권을 예매하기 위해 이지티켓 사이트를 사용했습니다. 사이트 생김새에서 풍겨오는 느낌 그대로, 꽤 오래 된 사이트이고, 디자인을 왕창 뜯어고친다든지, 난데없이 회원을 모집한다든지 하는 일체의 병신짓을 지양한 채로 예전 디자인 그대로 믿음직하게 서비스를 계속하고 있습니다. 가끔가다가 이런 사이트에 갑자기 광고가 주렁주렁 붙는다든지, 팝업이 우르르 뜬다든지 해서 기분이 왕창 나쁜 일들이 있었는데, 이 사이트는 몇년에 걸쳐 그런 일 하나 없이 잘 돌아가고 있습니다. 그만큼 사이트에 대한 개인적인 신뢰도 상당히 높습니다. 비록 1년에 고작 수회 사용하고 있지만요.

이 사이트에서 승차권을 예매하기 위해서는 카드 결제가 필요합니다. 일단 가승인한 다음, 터미널의 창구에 가서 카드를 제시하고 발권을 하는 식이기 때문에 일반 결제와는 조금 다를 지도 모르겠지만, 일단 사이트에서 가승인을 하기 위해서는 카드 번호와 주민등록번호 뒷자리, 유효기간 등의 정보를 입력해야 합니다. 즉, 일정 수준 이상의 보안이 필요하다는 의미.

하지만 이지티켓에서 몇 년 동안 승차권을 예매하면서, 단 한번도 '팝업'이나, 'ActiveX 컨트롤의 설치'를 요구받은 적이 없습니다.한창 윈도우 XP 서비스팩 2 때문에 다들 고생할 때에도 이 사이트에서는 아무 공지도 안 내걸었습니다. 서비스팩 2 할아버지가 오건 말건 이 사이트에서는 결제 과정 도중에 팝업이 튀어나오지도 않았고, 이리저리 꼬인 스크립트가 말썽을 일으키지도 않았을 뿐 아니라, 아무런 추가 컨트롤의 설치도 없었습니다. 다만, 카드번호를 입력할 때가 되면 조용히 주소 옆에 자물쇠가 생겨났다가 번호를 입력하고 나면 조용히 사라지는 정도. 예약 정보를 조회하기 위해서는 인증 수단으로 다시 카드 번호를 입력해야 하는 불편함이 있기는 하지만, 이 사이트에서 몇 년 동안이나 계속해 온 결제 과정의 간편함에 비하면 이 정도는 아무 것도 아닙니다.

이지티켓에서 결제 과정에 단지 SSL을 이용한 보안만을 사용하는 것이 '가승인'이기 때문에 상대적으로 약한 법의 적용을 받는 것인지, 아니면 128비트 암호화 모듈 사용에 대한 정부의 법령을 위반하고 있는 것인지는 잘 모르겠습니다. 하지만 SSL만으로도 필요한 수준 이상의 보안 상태를 이용할 수 있다는 확신이 있고, 이 사이트가 몇 년에 걸쳐 보여준 신뢰할만한 운영을 생각하면 대단한 128비트 암호화를 위해 팝업과 꼬인 스크립트와 추가 컨트롤 설치로 결제 과정을 얼룩지도록 하지 않아도 충분히 괜찮다는 생각이 들었습니다.

답글 20 | 트랙백 2

ActiveX, 결제, 보안, 이지티켓

답글

oseb | 2007/02/09 12:10 | 답글 | 수정
들어가서 구경할려고 했더니 아래 링크로 빠지면서 IE가 아니라서 사용불가라고 나오는군요. http://www.easyticket.co.kr/NotNetscapeMsg.htm
비록 지금은 IE에서만 허용되지만 액티브 엑스 설치안하고 이용하는 곳이 있다니 열차 승차권말고 다른 곳도 연계시키면 이용시 편할 듯 싶습니다.

답글: Milfy | 2007/02/11 19:07 | 답글 | 수정
컨트롤을 안 쓴 것까진 좋았는데, IE 이외의 브라우저론 볼 수 없는거였군요 =_= ;; 헌데, 넷스케이프라니 왠지 반가운 문구네요. orz

charlz | 2007/02/09 12:44 | 답글 | 수정
보안의 Measurement는 서비스를 제공하는 측의 "권한"입니다. 자사의 서비스가 128비트 SSL로 충분하다고 한다면 얼마든지 그것만으로 결재를 하는 사이트를 제공할 수 있습니다.

문제는, 그 기준으로 문제가 발생했을 경우에 대한 책임 또한 그 권한을 소유한 업체의 문제가 되는 것입니다. 그렇기 때문에, 보안 기준을 높이는 것이고 높이고자 하는 경우의 솔루션으로 나와있는 것들이 대부분 Active X를 사용한 방식들이기 때문에 발생하는 선택입니다.

간단히 예를 들어서, 사용자의 돈에 사고가 생길 가능성과 사이트에서 불편할 수 있는 가능성 둘 중 하나를 선택하라고 하면 어느 것을 선택하시겠습니까? 물론 사고가 안생기는 것을 선택할 것입니다. 둘다 선택 안하면 되지 않느냐고 한다면 현 상황에서 이 둘간의 밸런스를 맞추는 것이 얼마나 힘든지를 이해하지 못하는 것이겠죠.

쇼핑몰이라고해서 혹은 다른 결재 서비스라고 해서 그 보안 수준이 은행에 비해서 낮아도 된다는 이야기는 밖 사람들의 가쉽으로는 할 수 있는 이야기지만, 역시나 사고가 생기면 책임은 그들에게 있는 것이기 때문에 (그 말을 한 사람이 책임지는 것이 아니지요) 뭐라하기 힘든 부분이라고 할 수 있지 않을까요.

답글: Milfy | 2007/02/11 19:09 | 답글 | 수정
회사에서도 사고가 일어났을 때 책임소재를 분명히 하기 위해 오픈소스 도구를 활발하게 활용하지는 않는다는 이야기를 어디서 들은 적이 있습니다. 다만 문제를 발생시키지 않기 위한 강력한 사전 제어장치는 좋은 발생임에도 불구하고, 이 발상이 많은 부작용을 일으키고 있다는 점은 아쉽습니다.

insideapple | 2007/02/09 13:04 | 답글 | 수정
암호화가 중요한게 아니죠.. 키로거 같은걸로 타이핑부터 가로채가는데요. 그래서 이래저래 해서 ActiveX 를 쓰는것입니다.

SSL은 웹브라우져와 웹서버간 사이의 패킷암호화지, 클라이언트 컴퓨터 자체가 해킹 위험에 노출되어 있으면 SSL 은 의미가 없죠. 첨부터 위조된 데이터를 SSL 을 통해서 웹서버측에 넘겨주면 방법이 없게 됩니다..

얼마전 리눅스용으로 우체국에서 구축을 했다가, 클라이언트 컴퓨터에 방화벽이나 키로거같은걸 막는 툴이 없다는 이유로 인증에 실패를 한거를 보더라도..

위댓글처럼 SSL만으로 서비스를 했다가 사고나면, 누가 책임을 지냐 이거죠.^^

답글: Milfy | 2007/02/11 19:10 | 답글 | 수정
사용자 PC의 위험요소까지 정부가 앞장서서 해결해주는 덕분에 PC방에서도 웬만한 은행 웹사이트 하나만 띄워 두면 꽤 안전하게 인터넷을 사용할 수 있어서 좋기는 합니다만, 정작 사고가 일어나면 그들이 책임져주지 않는다는 점은 '책임소재'를 위한 프로그램이라는 의견에 힘을 실어주긴 어렵겠습니다.

동범이 | 2007/02/09 13:22 | 답글 | 수정
위엣분 말씀대로 SSL 쓴다고 보안이 다 해결되는게 아닙니다. 로컬시스템에 키로거나 해킹프로그램 깔려있으면 입력하던 모든 정보가 다 저장되어 해커에게 넘어갑니다. SSL 쓴다고 안전하다고 생각하시면 완벽한 오산입니다. 이지티켓이라는 사이트가 유명하지 않고 해킹해봤자 별로 의미가 없는 사이트이기에 별 문제 없는 것이겠죠. 은행 같은 곳이 저렇게 되어있으면 하루도 안되 고객들이 해킹 당했을껄요.

만약 ActiveX를 쓰지 않는 상태에서 구현할 수 있는 방법이라면 현재까지 나온 보안처리 방식중에는 핸드폰을 이용한 인증이 제일 보안성이 강력하다고 봅니다. 외국의 은행들도 핸드폰 인증 방식으로 처리를 하거든요.

답글: Milfy | 2007/02/11 19:12 | 답글 | 수정
사실 완벽한 보안이 이루어지려면 - 애초에 그런게 되는진 모르겠지만 - 클라이언트 사이드, 서버 사이드, 그리고 전송 과정의 세 가지 모두에 보안이 이루어져야 하고, SSL은 이 세 가지 중 전송 과정에만 관여하는 보안 방안이라는 건 알고있습니다. 사실, 주민등록번호를 로깅하는 쇼핑몰 프로그램같은게 널려있는데 전송 과정을 암호화해도 의미가 없지요. 문제는 현재의 보안 컨트롤 같은 것들이 서버는 관두고 클라이언트 사이드에만 집중되어 있는 점에도 있다고 생각합니다. 키로거같은걸로 클라이언트에서 뭘 빼갈 수도 있을테지만, 서버에 보내진 공인인증서같은걸 주워가면 어떻게할까요.

Adios | 2007/02/09 13:39 | 답글 | 수정
로컬시스템에 키 로거 혹은 해킹프로그램이 설치되어 있다는것은 크게 봤을때 이미 로컬시스템을 이용하는 사람의 귀책사유라고 생각되는군요. 자신의 PC를 재대로 관리하지 못했다는것은 서비스를 제공하는 서버나 서버와 서비스를 운영하는 회사의 귀책사유가 되지 않을텐데.. PC방이나 공공시설(?)에서 돌아가는 PC의 보안을 강화해야하는것또한 시설관리책임자의 일거리이고.. 서버레벨에서 굳이 클라이언트의 보안을 신경써줘야 한다는것이 넌센스인듯. 그래서 돈과 관련된 부분에 'Active X'가 여러가지 설치되는 기현상(?)이 우리나라에 많다.. 라는 결론이 나오는군요.

.....뭐 어쨌건 'Active X'가 되었건 할아버지가 되었건 '작동만 잘 되면 장땡'인 대부분의 사용자에게는 그닥 중요한 문제가 아닌듯?

답글: Milfy | 2007/02/11 19:13 | 답글 | 수정
사실, 유저에게 클라이언트 보안을 책임지라고 하는 것도 쉽지 않는 일이긴 합니다. 단, 클라이언트 보안 준수 사항이 사이트를 이용하기 위한 강제 조건이라는 점은 조금 마음에 안듭니다.

brightfe | 2007/02/09 13:59 | 답글 | 수정
학원쪽에 프로그램을 개발해서 학원 컴퓨터를 많이 봤는데요. 학원 선생님들이면 학력이 모두 대학생 이상, 즉 고학력이라 볼수 있지만 컴퓨터를 관리할 줄 아는 사람은 거의 없습니다. 대부분 쓰레기 툴바와 온갖 잡동사니 프로그래밍 마구 잡이로 깔려 있죠.(필요에 의해서 깐게 아닌 자신도 왜 깔렸는지 모르는 것이죠) 그런 분들께 키로거가 당신한테 깔렸으니 당신 책임이요! 라고 한다면 위험할 듯한데요 ^^;; ActiveX 보단 정부에서 뭔가 표준화된 프로그램을 제공 해주면 좋을듯 한데..

답글: Milfy | 2007/02/11 19:15 | 답글 | 수정
사실, 프로그램의 인스톨 방식이 ActiveX라는 점에 큰 불만은 없습니다. ... 제가 윈도우 사용자라서 그렇긴 합니다만 .. 중요한 점은 말씀하신대로 표준화된 프로그램 하나가 아닌가 합니다. 프로그램 하나라면 분명 여러 플랫폼으로 어렵지 않게 옮길 수도 있을테고요. 몇 개의 사이트를 이용하기 위해 같은 역할을 하는 컨트롤을 몇 개 씩이나 설치하는건 심한 낭비라고 봅니다.

하얀기적 | 2007/02/09 14:04 | 답글 | 수정
키로고 또는 이와 유사한 해킹프로그램에 의해서 내 결재정보가 해킹당했다면, 서비스를 제공했던 콘덴츠사의 잘못을 따질수 없다고 생각됩니다.

그게 ActiveX를 사용했건 안했건간에 말이죠, ActiveX를 사용한다고 해서 위와같은 프로그램에 완벽한 방어를 해준다고는 생각하지 않습니다. 완벽하게 방어해준다고 생각하는건 어쩌면 ActiveX에 목을 매고 있는 사람들이라고 생각합니다.

결론적으론, 위와 같은 방식으로 해킹되었다면, 무조건 사용자의 책임입니다. 서비스 콘덴츠사에 책임을 묻는 것은 자신이 도둑이면서 옆사람을 도둑으로 주장하는 거와 다를게 없다는 겁니다.

답글: Milfy | 2007/02/11 19:16 | 답글 | 수정
사실, 클라이언트의 보안을 잘 관리할 수 없는 사람들에게 ActiveX는 쉽고 편리한 방법이기는 하지만, 역시 말씀하신 부작용들을 어떻게 해결하느냐를 생각해볼 수도 있겠네요.

존슨 | 2007/02/09 14:08 | 답글 | 수정
'귀책사유'라고 해도 실제 사고가 터지면 책임은 제공자에게 돌아옵니다. 예전에 은행 뚫렸다고 보도 났을때 어땠습니까? 이미 그 사용자의 개인정보가 유출된 사용자 귀책사유이지만 은행의 암호 체계가 더 강화된 것 보셨죠?
더더군다나, 대개의 사용자들은 키로거 따위가 깔려있는지 조차 모릅니다. 그런 상황에서 아 네, 제 잘못이니 제가 책임 질께요. 이럴까요?
외국과 우리나라는 개인정보가 도는 레벨이 다릅니다. 저도 액티브X가 깔리는건 짜증나지만 어쩌겠습니까? 안전해야하는걸.

답글: Adios | 2007/02/09 18:40 | 답글 | 수정
결과적으로는 그렇게 되는것이 당연하죠.. 이미지 저하를 우려하는 기업측에서 '알아서'하는 것이니까요.. 책임의 소재를 다루는것과 '알아서'하는건 다른것으로 보이는데요?

블로그 쥔장도 아닌데 답글달아봤습니다.. ;)

brightfe | 2007/02/09 14:29 | 답글 | 수정
그리고 고속버스 예약 사이트 들에 들어가 보면 대부분 ActiveX 설치를 하지 않습니다. 제 생각에는 아마.. 처음에 만들었던 사이트를 보고 뒤에 회사들이 따라서 비슷하게 만들면서 대부분 그렇게 된것이 아닌가 생각합니다. ㅎㅎ (인터페이스도 거의 비슷하죠). 예약을 하면서 실제 결제를 하지 않기 때문에 업체 쪽에서 설치 안한 것일수도 있구요. 제 생각에는 ActiveX 를 이용하지 않은 성공적인 결제 사례로 예를 들기에는 좀 약하지 않은가 하는 소견입니다. ^^

답글: Milfy | 2007/02/11 19:17 | 답글 | 수정
누가 먼저 만들면 다들 뒤이어 따라하는 관행이 이럴댄 나쁘지 않네요. =_=;; 음. 저는 카드 번호를 넣는 상황에서는 무조건 ActiveX 컨트롤을 설치해야 하는걸로 알고있었는데, 해외결제도 아니면서 카드번호를 넣는데 아무것도 설치하지 않는 것을 처음 봐서 꽤 신기했습니다. 사실, 가결제이기 때문에 사고가 나도 그냥 취소해버리면 그만인 거래이기 때문에 그럴 수도 있겠단 생각도 드네요. :)

Dino | 2007/02/16 13:21 | 답글 | 수정
사실 모처에서 권고하고 있는 웹 보안관련 문서만 잘 적용시켜 놓으면 ActiveX를 굳이 이용하지 않아도 충분한 웹 보안이 가능하죠. 문제는 그런 보안 자체를 개발자들도 잘 안지키는데다가 이미 ActiveX로 익숙해져 있는 사람들로 인해 그게 아니면 불안하다라는 인식 때문일까요...

뭐, SSL을 이용해서 전송값 자체를 https로 암호화 시켜주고 몇가지 소스 수정으로 해킹방지만 해줘도 충분히 안전하다고 봅니다;;

답글: Milfy | 2007/02/17 11:06 | 답글 | 수정
위쪽을 보니 대체로 책임 소재를 가리기 위한 목적인 걸로 이야기하시는데, 실제로 사고가 나면 아무도 책임은 안지더라구요. 그러면 그냥 안쓰는거랑 똑같은거같아요. 다만, 법적으로 규정되어 있어서 ActiveX 컨트롤을 사용하나 싶었는데, 그건 아닌가보네요 ;

답글을 남깁니다.

오픈아이디로 글쓰기 [로그인][오픈아이디란?]

이름/비밀번호로 글쓰기

이름:

패스워드:

홈페이지:

비공개

2007/01/15 19:30

윈도우 비스타를 준비하는 가장 간단한 방법.

단순 추측입니다만,

윈도우 XP 서비스팩 2가 발표될 때, 한국은 다른 국가에 비해 출시가 늦춰졌습니다. 이유는 국내 인터넷 환경의 특징상, 엑티브X 컨트롤의 설치 단계를 반경하고, 팝업 윈도우에 간섭을 하면 웹 사이트 사용에 많은 문제가 발생하기 때문이었습니다. 상당수 사이트는 서비스팩 2가 나오기 전의 유예기간 동안 팝업창을 레이어화하고, 엑티브X 컨트롤이 설치방법 변경에 대한 안내문을 만들었습니다. 그 중 일부는 엑티브X 컨트롤을 벗어나 보려고 했지만, 웹 사이트에서 지원하는 광범위한 기능에 사용되는 엑티브X 컨트롤을 제거하는 것은 어려웠습니다.

여러 사이트가 여러 가지 방법을 내놓는 가운데, 개인적으로 인상깊었던 곳은 야후 코리아였습니다. 야후 코리아에서 정확히 뭘 설치했는지는 잘 기억이 안납니다. 아마 메일을 보내기 위해 파일 전송 관련 컨트롤을 설치했거나, 당시 야후 코리아에어 서비스하던 게임을 플레이하기 위해 컨트롤을 설치했을 것으로 추측만 하고 있는데요, 어느날부턴가 브라우저의 팝업 허용 목록에 추가한 적이 없는 야후 코리아가 등록되어 있더군요. 이상하다 싶어 삭제해봤는데, 어느날 보니 다시 등록되어 있었습니다. 어느 컨트롤인가가 실행될 때마다 계속해서 야후 코리아가 팝업 허용 리스트에 등록되고 있었습니다.

아마도, 윈도우 비스타의 UAC에 대비해 웹 사이트를 제작, 관리하는 입장에서 가장 간단히 생각할 수 있는 방법은 이런 거란 생각입니다. 한국의 웹사이트에서 제공하는 기능은 이미 웹 사이트의 한계를 벗어났고, 이를 위해 사용한 엑티브X 컨트롤의 기능을 제한한다면 웹 사이트 자체의 기능에도 많은 제약이 생길 수밖에 없을 겁니다. 그렇다면, 브라우저의 보안 수준의 '신뢰할 수 있는 사이트' 리스트에 자사의 사이트를 등록하고, 팝업 허용 리스트에도 역시 자사의 사이트를 등록하며, UAC를 해제하는 방법에 대한 안내문을 사이트 곳곳에 써붙이는 식으로 윈도우 비스타의 새로운 보안 정책에 대비하고 있지 않을까 하는 생각입니다.

답글 7 | 트랙백 0

ActiveX, UAC, 보안, 윈도우 비스타

답글

겐도 | 2007/01/16 14:19 | 답글 | 수정
가장 최악의 방법중 하나죠. 경비업체 직원에게 비밀금고의 암호를 알려주는 것과 마찬가지입니다.
회사의 입장에선 효율성 측면에서는 선택할만한 방법이긴 합니다만 어드민 권한이 없는 컴퓨터에서의 브라우징이나 다른 프로텍션 툴(백신등)을 사용하는 경우 꼬여버리는 경우가 발생할 수 있고 가장 최악은 웹사이트의 버그로 인하여 컴퓨터가 포맷되어 버릴 수 있다는 것. 뭐 사용 약관에 사이트의 버그로 인한 모든 손실에 대해 니책임이다라는 문구 하나면 되긴 하지만요.
물론 저도 경영진의 결정을 거스를 힘이나 명분은 없습니다;;;;

답글: Milfy | 2007/01/21 02:32 | 답글 | 수정
웹사이트에서 내 시스템의 권한 전체를 활용할 수 있다는 건 대단하기는 하지만, 정말 찜찜하기 짝이 없더라구요. 하지만, 당장에 그걸 막아버리면 무심코 편리하게 사용하던 기능들이 당장에 멈춰버릴테니, 그쪽도 별로 해피엔딩은 아닌 것 같고 .. 사실 플래시나 자바의 모래상자 구동 모델을 ActiveX 컨트롤 구동에 도입할 수는 없는걸까 하는 생각이 들어요. UAC에 의해 수십번 관리자 아이디와 패스워드를 입력하는 것 보다는 아예 모래상자 안에서 구동시킬 수 없을까 싶어요.

solette | 2007/01/17 10:51 | 답글 | 수정
확실히 가장 간단하긴 합니다만, 사용자입장에서는 최악의 방법이네요.
만약 그런 방법을 쓰는 회사가 있다면 저라면 머리 속에서 지워버리고 다시는 찾아가지 않겠습니다....;;

답글: Milfy | 2007/01/21 02:32 | 답글 | 수정
저는 글에 언급한 회사 딱 하나 봤었는데, 의외로 많나보네요. ;;

bzImage | 2007/01/20 08:51 | 답글 | 수정
그런 사이트가 의외로 많이 있습니다. 신한은행은 자사의 홈페이지를 신뢰받는 사이트에 넣지요.

... 보고 너무 식겁해서 신뢰가능한 사이트의 레벨을 HTTPS 는 기본이오, 거기에 신뢰 가능한 사이트의 보안 레벨을 훨씬 더 높여버렸습니다. 세상 믿을거 하나도 없네요.

답글: Milfy | 2007/01/21 02:33 | 답글 | 수정
끙 =_= 일반 사용자들이 자기 pc를 보호하려면 대체 어떡하면 좋을지 답이 안나오네요. ;

이상호 | 2007/07/18 01:35 | 답글 | 수정
ActiveX 라.. 최근에 RIA 구현과 함께 다시 불거진 이야기이네요.. 그렇다고는 해도.. ActiveX 가 아직까지 불가피한 영역에서 꼭 필요하다는 건 두말할 필요가 없을 듯 싶네요..

답글을 남깁니다.

오픈아이디로 글쓰기 [로그인][오픈아이디란?]

이름/비밀번호로 글쓰기

이름:

패스워드:

홈페이지:

비공개

2006/05/24 13:24

매신저 보안.

사실, 매신저로 엄청나게 비밀스러운 이야기를 나누는 것은 아니기 때문에 누가 메시지를 훔쳐본다고 해서 문제가 되지는 않겠지만, 누군가가 공개적으로 메시지를 열람한다거나, 열람할 것 같은 기분이 들면 평소에 하던 별 영양가 없는 이야기라도 꺼려지기 마련입니다. . . . 아니면 제가 소심한 건지도 모르겠지만요. 어쨌든, 매신저로 나누는 대화를 암호화해야겠다는 생각이 들었는데, SimpLite라는 간단하게 사용할 수 있는 메시지 암호화 도구가 있었네요.

서로 프로그램을 설치하고 상대방의 공개 키를 들고있으면 서로 주고받는 메시지의 보안이 유지됩니다. 사실은 이 암호화가 어느 정도 단단한 건지는 잘 모르겠지만, 관리자의 네트워크 모니터링에 간단한 대화들까지 쌩으로 나타나지 않는다면 그정도로 만족입니다. 다르게 표현하자면 '찜찜함을 덜었다'고 하는게 좋겠네요.

키를 주고받은 사람들과 메시지 보안이 됩니다.

답글 6 | 트랙백 0

SimpLite, 매신저, 보안

[요즘에 쓴 글] [예전에 쓴 글]

밀피유의 이야기

'보안': 검색된 포스트 '6'건

2009/06/13 14:05

보안과 편의

트랙백

답글

답글을 남깁니다.

2007/10/23 17:45

FON 로밍 권한

트랙백

답글

답글을 남깁니다.

2007/02/09 11:50

사실, ActiveX 없이 결제 잘만 된다.

트랙백

답글

답글을 남깁니다.

2007/01/15 19:30

윈도우 비스타를 준비하는 가장 간단한 방법.

트랙백

답글

답글을 남깁니다.

2006/05/24 13:24

매신저 보안.

트랙백

답글

답글을 남깁니다.

검색:

안내:

글 목록:

답글 목록:

트랙백 목록:

링크: