얼마 전 존경하는 안랩의 김홍선 대표께서 손수 블로그를 시작하셨습니다.
첫글에 다소 무례할 수도 있는 저의 오픈웹 질의에 대한 간단한 답을 주셨습니다. 결론적으로 이미 엎질러진 물을 수습하기는 백신 업체로서도 어쩔 수 없었다라는게 되겠습니다. 그러면서 총체적인 문제 해결에 대한 의지는 피력해 주셨습니다.
우리가 보다 다양한 환경을 지향해야 한다는 총체적인 방향에는 동감합니다. 중요한 것은 인터넷 뱅킹을 사용하는 규모에 비해 PC가 많은 위협에 노출되어 있고, 개인들의 보안 의식이 높지 않은 현실입니다. 따라서, IT 환경, 문화, 법과 정책, 실용성, 보안성 측면에서 종합적이고 건설적인 논의가 필요하다고 생각합니다.
우선 매우 동감하고 앞으로 진전이 있기를 희망합니다. 어떤 분들이 오픈웹의 김기창 교수님이 최근 시리즈로 나약한 보안 업체를 걸고 넘어져 결국 적으로 돌리고 있고 비전문적 지식으로 SSL 기술을 맹신한다고 비판 하고 있는데요.
그동안의 히스토리를 좀 안다면 서로 이해를 할 수 있지 않을까 합니다.
양심 고백
우선 제가 고백 하나 하겠습니다. 제가 늘 웹 표준 강의를 가면 Active X에 대한 이야기를 할때 하던 고백인데 블로그에서는 잘 안했던것 같습니다.
저는 1999년 부터 2003년까지 한국에서 ActiveX를 배포하기 위해서는 필수적인 코드사이닝 인증서를 공급하던 회사의 비지니스를 입안하고 총괄했던 사람입니다. (전자지불 사업도 6년 정도 했고 나름 그쪽 업계 사람들 알만한 사람은 다 압니다.)
그 당시 Active X 콘트롤을 개발했던 사람이라면 우리 회사에 대해 알고 있을 것입니다. 원래 이 사업은 (지금 보안 서버라고 부르는) SSL 서버 인증서를 판매/기술 지원하는 사업이었습니다.
그런데 엉뚱하게도 코드사이닝이 수 백개씩 팔리는 기현상을 경험했습니다. 우리가 수억원을 펀딩하고 있는데도 VeriSign과 Thawte가 Fake company 아닌가 실사를 올 정도였죠.
저는 요즘 우리가 그 때 그 사업을 안했더라면, VeriSign 미국 본사의 까다로운 절차 때문에 몇몇 업체는 ActiveX 콘트롤을 안 만들지 않았을까 하는 순진한 생각을 해 봅니다. 저는 우리 나라에 ActiveX콘트롤이 창궐하게 된 간접적인 원인 제공자이기도 합니다.
이것은 제가 Mozilla 커뮤니티의 일원이기도 하지만 웹 표준에 집착(?)에 가까운 활동을 하는 이유 중 하나입니다.
역사는 길다
ActiveX 문제에 대해 이야기를 시작한 역사는 매우 깁니다. 무려 2003년으로 거슬러 올라가죠. 그 때 데스크톱 리눅스를 장려하던 소프트웨어진흥원(KIPA)과 시각 장애인 접근성에 문제 의식을 가진 정보문화진흥원(KADO)에 계신 분들을 통해 웹 표준 이야기를 하던 우리와 같이 일하기 시작했습니다.
당시에 여러 번 KISA 사람들, PKI 업체 관계자들, 금융권 관계자들 회의가 있었는데 지금 만나면 하는 이야기와 별반 차이가 없었습니다. 그러니 KIPA나 행안부에서도 뭔가 해결은 못하고 강제성 없는 지침으로만 때울 수 밖에 없었죠. 비 IE 소비자들이 은행에 진정을 하면 그들은 (PKI) 보안 업체 사람들이 하는 똑같은 이야기를 되풀이해서 전달해 주었습니다.
국회 인권위에서도 AciveX 문제에 관심을 가졌고 행자부, 행안부 모두 관심을 가지고 이 문제를 풀기 위해 노력했으나 민간 부분의 비지니스를 건들 수 없다는 논리 그리고 보안적으로 현재가 최선이라는 보안 업체의 말로 묻히고 또 묻혔습니다.
그 사이에 외부로 부터 변화 해야한다는 다양한 시그널이 있었습니다. XP SP2 패치, Eolas 패치, IE7 출시, 비스타 출시 등등. 하지만, 보안 업체는 늘 꼼수를 제공하면서 레거시를 유지하는 방법만 제공했습니다.
그러는 사이 국민들의 PC 보안은 더욱 안좋아지고 공인 인증 모듈 뿐만 아니라 키로거가 창궐하니 키보드 후킹 프로그램을, 바이러스가 창궐하니 해킹 방지 SW, 방화벽 까지 제공합니다.
이것들이 더욱 세게 결합해서 더욱 폐쇄된 환경을 만들게 됩니다. 보안 업계가 얼핏 치열한 경쟁 상태처럼 보이지만 실은 온실의 화초가 된 것입니다.
역사는 반복된다
2006년 김기창 교수님이 법적인 용어로 이 문제를 파헤치기 시작하셨고 명확한 논리로 그동안 노력하던 우리같은 기술자에게 큰 감명을 주었습니다. 벌써 3년 전입니다. 당시 저 뿐만 아니고 수 많은 무명의 PKI 업체 관계자 혹은 보안 업체 종사자들이 (커밍 아웃해서) 기술적 토대를 마련해 주었습니다.
김 교수님은 그렇게 구축된 기술 및 법적 논리를 가지고 그동안 수 많은 회의와 대면, 조정, 법정 투쟁을 홀로 해 오셨습니다. 여기서도 3년 전과 똑같은 일들이 벌어집니다. 금결원, 은행에 내용 증명을 보내면 보안 업체로 부터 받은 내용을 앵무새 같이 이야기하는 상황이 반복되죠.
법으로 덤비는 사태의 심각성을 인지해서 인지 당시 KISA에서 했던 전문가 회의에 또 갔었습니다. 단지 바뀐게 있다면 PKI업체인 I사 주요 기술 경영진이 “3년 전에 해결 했다면 이정도는 아니었을 텐데. 이제는 공인 인증 모듈만 해결한다고 될 문제가 아니다.”라는 고백을 듣게 됩니다. 쩝…
그래도 보안 업체들은 혹시라도 오픈웹이 승소하면 다른 운영체제에도 보안 플러그인을 더 팔수 있지 않을까 싶어 개발에 착수하고 은행들이 Firefox를 지원하려면 얼마나 돈이 드냐고 하면 두벌을 만들어 운영해야 하니까 두배 더 든다고 말하고 다니는 형국이었습니다. 변하지 않는 건 은행 뿐만 아니었죠.
이제 보안 업체가 나서야 할 때
김교수님이 최근에 보안 업체에 대해 특히 큰놈 하나를 공격하는 이면에는 계속해서 은행이 빠져나갈 구실을 만들어준 보안 업체의 양심에 마지막 희망을 걸었기 때문입니다. 절대로 보안 업계 종사자를 적으로 돌리기 위해서가 아닙니다.
정말 이런 상황이 심각하다고 느낀다면 행동으로 나서야 한다는 것을 요구하는 것입니다. 지금 오픈 웹에서는 나약한 보안 업계를 공격한다는 둥 적으로 돌린다는 둥 기술적 지식이 빈약 하다는 둥 하는 말로 6년간 이어온 이 활동의 진정성을 훼손하고 있는데요. 이게 본질이 아닙니다.
앞서 안랩의 김홍선 대표의 말씀 대로 보안 업계의 책임있는 경영진들이 나서서 이 문제에 대한 올바른 해법을 찾아야 할 것입니다. 보안 업체들이 두번의 기회를 차버리고 세번째 기회도 밥그룻 문제로 방기한다면 우리 나라 인터넷은 암울합니다.
그러기 위해서는 우선 진정한 자기 고백이 있어야 합니다. (우리는 정치권에서 그런 모습을 많이 봐 왔습니다.) 자신의 잘못에 대한 진정한 양심의 고백 위에 변화를 이야기할 때에만 모두가 수용 가능하지요.
협의체를 만들어 금융보안연구원이든 정보보호진흥원이든 금융감독원이든 국정원이든 행안부든 한번 바꿔 보자고 해보십시오. 당장 ActiveX 걷어내고 SSL 쓰라고 안합니다. 적어도 보안 지식 미천한 법대 교수가 하는 정도 이상의 로드맵은 만들 수 있지 않겠습니까?
돈만 벌면 다고, 서로 밥 그릇 챙겨주고 시장 질서만 지켜지면 다 입니까. 사회적 책임을 해야지.
보안은 기술 정책의 문제
공교롭게도 어제 한국 보안 서버 보급률 16위라는 기사가 실렸습니다.
보안 서버라 함은 SSL 서버를 말합니다. 몇 년전 우리 나라는 SSL 서버 보급율이 거의 세계 꼴찌였고 KISA와 정통부가 SSL 서버 공급을 계속 푸쉬한 결과 작년 53위에서 올해 16위, 공급수량만 4만대가 넘었다고 합니다.
(물론 여기에 KISA가 떼를 써서 ActiveX 플러그인 방식이 포함되어 있다고 하는데) 2000년도 제가 사업을 시작할때 연간 백여개의 SSL 인증서를 공급할때랑 비교해서 실로 엄청난 변화 입니다.
SSL 방식이 혹은 플러그인 방식이 옳으냐를 따지기 전에 파급되는 비용 효과를 따져 보아야 합니다. 어떤 방식이 우리가 운영체제나 웹 브라우저를 업그레이드 하지 못하도록 한다면 사익을 넘어서 장기적인 국가적 이익을 포기하는 일이 될 것입니다. (개발해 보신 분들은 막 만든 레거시 디펜던시 때문에 최신 버전으로 업그레이드 못하는 경험을 한번씩을 해보셨을 겁니다.)
우리 나라 보안이 지금 그런 상태에 있습니다. 현재 문제와 진단을 보안 업체의 양심으로 갑에게 말할 수 있어야 합니다. 여전히 지금 방식도 훌륭하다라고 한다면 그건 6년전, 3년전 그들과 똑같은 꼴이 됩니다. (제발 젊은 분들이나마 그렇게 말하지 마세요.)
이것이 보안 업체와 종사자들에게 주어진 마지막 기회일 수 있습니다.
6년이면 강산이 반은 바뀌고 남습니다만 그동안 우리는 바뀐게 하나도 거의 없습니다. 우리 나라 사람들 한다면 하는 사람들 아닌가요? (SSL 서버 수 백배로 보급한거 보세요.) 3년 후에는 정말 그때 많이 바뀌었다라고 말할 수 있었으면 좋겠습니다.
p.s. 저도 학교에 있지만 김교수님 개강하셔서 수업 하시기도 바쁘실 텐데 진짜 고생하십니다. 조그만 꼬투리 잡고 늘어지지 마시고 거국적으로 김기창 교수님을 도와 주세요.
※ Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. 본 채널은 광고를 비롯 어떠한 수익도 창출하지 않습니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on checking facts for your investments and prohibit your citations as commercial content or news sources. This channel does not monetize via any advertising.)
차니의 생각…
보안 업체를 걸고넘어지는 이유 – 한국 SW업계가 제대로 클려면 ‘을’이라는 이유로 스스로 옥죄지말고 과감히 커밍아웃 해야 합니다….
바뀐게 있다면 국민들의 의식이 바뀌었지요.
“뭔가 나오면, 무조건 ‘예’를 눌러야 한다.”, “안누르면 인터넷이 안된다.” 그리고 “인터넷을 쓰면 얼마안가 꼭 컴퓨터가 느려진다.”, “인터넷은, 혹은 개인 PC 는 불안하다.”
개인적으로 이 사태를 보면, 테러를 매개로 불안감을 조장해서 장사해먹던 부시가 떠오릅니다.
그럼 대체 보안업체는 어떻게 해야 하는건가요? 아니 그 이전에 지금 말씀하시는 보안 업체의 기준이 뭔가요? PKI + AV(HIPS 등) 업체를 모두 합한건가요?
김기창 교수님은 대표 업체로 안랩을 지적하면서 SSL 을 대안으로 제시합니다. 둘은 전혀 관련이 없습니다. 설령 은행이 전체 시스템을 SSL 기반으로 바꾼다고 해도 여전히 ActiveX 로 설치되는 키로거 방지 프로그램이나 AV 프로그램을 강요할 수 있습니다. 지금 보안 종사자들이 어이없어 하는 것도 PKI 인증 시스템과 전혀 별개인 클라이언트 보안 시스템을 한데 묶어서 생각하는 것입니다. 클라이언트 보안 시스템의 문제를 지적하면서 PKI 인증 시스템의 대안을 내놓고 있습니다.
안랩이 할 수 있는 선택은 별로 없습니다. 지금 시스템 그대로 가거나 아니면 ActiveX 기반의 툴을 전부 걷어내고 명시적으로 다운받아 설치하는 방식으로 가거나 아예 은행에 제품을 공급하지 않거나. 문제의 원인은 은행이 클라리언트 PC의 보안을 어느정도 책임지도록 하는 현 제도에 있습니다. 이런 상황에선 모든 보안업체가 양심 고백을 한 들 달라지는 건 없습니다. 여전히 인증받은 백신(내지는 준하는 보안 제품)을 설치한 PC에서만 뱅킹을 허용하겠죠. ‘우리 은행은 SSL을 지원합니다. 근데 한국 금감원에서 인증받은 보안 제품들 중 하나가 설치되었는지 꼭 확인해야 한다고 합니다. 다음 중 하나를 설치해주세요’.
이 쪽을 공격하다가 갑자기 AV 공급업체를 공격하는 건 잘못된 방향입니다. AV 업체들이 먼저 ActiveX로 AV를 설치해야 한다고 제안한건가요? 오히려 사건이 터지고 난 후 후속책으로 들어오기 시작한 것 아닌가요? 사용자가 Opt-out 을 명시적으로 신청할 수 있는 방법을 마련하는 게 더 나아 보입니다.
@코카스, 제가 말한 보안 업체라함은 공인인증, 키보드해킹방지/AV업체, DRM 업체(프린팅)을 모두 포함하고 있습니다. 제가 보기에 국가적 수준의 보안에 대해 안랩이 가장 쉽고 빠르게 입장을 표명하고 개선가능하다고 봅니다.
공인 인증 모듈을 해결하고 사용자들의 보안 의식을 높히고 AV 도구들은 가급적 executable/standalone으로 깔도록 권고하는게 중요하다고 봅니다. 필요하다면 뱅킹 도구들을 따로 웹이 아닌 패키지로 배포를 하구요.
안랩같은 AV업체들이 근본적인 치유책을 내놓치 않고 ActiveX 설치 학습 효과에 동참하는거 자체가 문제가 있고 사용자 PC에서 자신들의 “적”을 장기적으로 키우는 거니까요. 설마 악성 코드/바이러스 사용자 PC에 많이 심기는게 영업에 도움이 되서 그러는 건 아니겠지요? AV업체라고 해서 남의 밥그룻인 것 같으니 기존의 문제를 그냥 방기하고 하던대로 맞추라는 법은 없습니다. 할 이야기는 해야지요.
그리고 SSL 대체와 안랩의 AV 배포는 완전히 다른 문제입니다. 글들이 섞여 있으니 그렇게 보이는 것 뿐이구요. 김교수님이 제시한 정책문서를 한번 보시기 바랍니다.
http://kldp.org/node/104111
[…] http://channy.creation.net/blog/689 //”); […]
channy님 말이 통하시는 분 같은니 글 올립니다.
제가 의아해 하는 부분은 ” ActiveX 설치 학습 효과에 동참하는거 자체가 문제가 있고 사용자 PC에서 자신들의 “적”을 장기적으로 키우는 거니까요.” 이부분입니다.
저는 PKI 분야랑 상관도 없고 국내 보안 업체에 근무하지도 않습니다. 해외 보안 업체에서 일하고 있지만 저 말에 대한 어떠한 자료나 근거, 혹은 행하여진 실험이 있는지요? 아니면 막연한 추측에 의한 것인지요.
그냥 그 부분이 궁금합니다. 사용자들이 아무 링크나 버튼을 클릭해 대는 것은 해외에서도 큰 골치 거리이거든요. 어떻게 보면 그럴듯한 주장이지만 논리의 비약이 너무 심한 것 같습니다.
저와 같은 보안 관련 종사자들이 걸끄러워 하는 것도 저러한 논리의 비약들이지, 오픈웹의 근본 취지가 아님을 알아 주셨으면 합니다.
@Matt, 제가 포털에서 개인 정보를 담당을 좀 했었는데 국내에서는 개인 정보가 제일 유출이 많은 경우가 키로거나 트로이목마에 의한 것인데요. 이들 중 대부분이 카페나 게시판에서 중국애들이 심은 ActiveX 콘트롤을 무심결에 설치하는 경우입니다. (오히려 국내에는 피싱 보다 이게 더 싸게 먹혀서 이런류의 공격이 많습니다.)
저희 집에도 애들한테 PC를 한시간만 맡겨도 ActiveX 콘트롤 열개 정도는 깔립니다. 그 중에 어떤게 악성인지 아닌지 구별하기도 어렵습니다.
한국 국민들 대부분 과거 보안 경고창에 “예” 그리고 제목표시줄에 뭐가 뜨면 일단 설치하고 보는 습관이 들어있다는 걸 해외 해커들도 잘 압니다. (최근 OS에는 코드사인이 안된 경우 설치가 안되지만, 한국 웹 사이트 중 브라우저 보안 수준을 “낮음”으로 하는 걸 권고하는 말도 안되는 곳도 있어서 self-signing control도 쉽게 설치 됩니다.)
과거에 한국에서 fake company가 제 3국(버진아일랜드 같은)을 통해 코드사인 인증서를 받아서 악성 코드 배포하는 경우도 종종 봐서 Thawte사에 몇번씩 제보를 했을 정도였습니다.)
포털이나 게임업체가 장기적으로 키로거에 노출되어 수집된 아이디 암호가 공공연히 팔리는데 제가 업계에 있었던 경험으로 봐서 해외처럼 피싱에 의해 수집되는 건 아닌 것 같습니다. 축적된 아이디 데이터를 기반으로 로그인 페이지로 무작위로 쉬운 암호 탐색을 하는 경우가 있습니다만 대개 서버쪽에서 막고 있기 때문에 그런 경우도 많진 않구요.
물론 ActiveX 콘트롤이 이런 정보 수집의 유일한 수단은 아닌것으로 알고 있습니다만 activex 콘트롤이 관리자 계정을 요구하기 때문에 적어도 해외 처럼 guest 계정이나 active directory 기반의 자원 관리를 하지 못하도록 하는게 문제인것 같습니다.
어느 회사만 보더라도 windows xp가 pc가 천대는 있는데 다 관리자 계정입니다. 그러니 뭐가 깔리는지(sw 저작권) 관리파트에서 관리도 안되고 worm이 돌면 비상 사태가 되고 결국 nprotect 같은 후킹 소프트웨어를 전체 pc에 깔도록 해서 원격 관리를 하는 실정입니다.
channy님 답변 감사합니다.
하지만 저의 원래 질문은 ”ActiveX 설치 학습 효과에 동참하는거 자체가 문제가 있고 사용자 PC에서 자신들의 “적”을 장기적으로 키우는 거니까요.”의 실질적인 근거 부분이었습니다.
그 부분에 대한 답은 안하신 것 같습니다. 물론 이러한 부분을 따지고 들자라는 것은 아닙니다. 개개인의 경험을 근거로 많은 사람들이 판단을 내리는 것이 잘못 된 것이라고 보지는 않습니다.
그렇다면 소위 한국의 보안 전문가들이 이러한 오픈웹운동에 어떻게 참여할 수 있는 방법이 있을까요? 물론 위키 페이지도 좋지만, 그러한 부분은 사실 아무나 덤비기 어려운 정말 어려운 부분이라고 할 수 있습니다. 그러한 부분보다도 사소하게라도 보안에 대해서 잘못 알고 있는 내용이나 오해들을 풀어 드리는 방향으로 의견 개진을 해 드려도 괜찮을지요?
물론 channy님이나 김기창 교수님도 많은 것을 알고 계시지만, 그래도 보안을 업으로 하루 종일 그 부분만 연구하고 일하시는 분들이 조금이라도 도움이 될 것이라고 생각합니다.
어떻게 생각하시는지요.
@Matt, 정작 중요한 이야기를 안했네요. 위의 적은 그런 문제 때문에 AV 소프트웨어를 ActiveX 콘트롤로 웹 사이트마다 제공한다는 아이디어가 문제가 있다고 봅니다. AV 소프트웨어는 PC 관리자가 설치해서 각 사용자가 나눠 쓰는게 가장 이상적이죠. 적어도 AV 업체라면 그렇게 하는게 맞다고 이야기는 할 수 있을 겁니다.
한국 PC 현실이 기존의 ActiveX 콘트롤 설치가 쉽고 다 관리자 계정이고 악성 콘트롤이 또다른 문제를 야기할 수 있음에도 그 방식을 ‘갑’이 원한다고 한다면 좀 문제가 있겠지요.
물론 AV 업체가 그런 방식으로 배포를 할 순 있겠지만 특수한 영업 환경에서 해야지 한국 처럼 천만명이 넘게 쓰는 뱅킹 서비스에 그것도 은행마다 따로 영업을 하는게 좀 그렇습니다.
각설하고 보안 전문가들이 도움을 주는 방식은 문제가 있으면 문제가 있다고 이야기 하는 것입니다. 아마 회사에서 클라이언트에게는 이야기 못할 겁니다. 저한테 이야기하라도 못하죠. 모여서 전문가 그룹을 만들고 오픈 웹 같은데 좋은 정책적 대안을 주는 것이죠.
지금까지 몇몇 보안 전문가들은 그렇게 했습니다만 시간이 지나고 보니 모든 보안 업계가 스스로 공공의 적이였다는 것입니다. 같이 움직이는게 도와 주는 거라고 봅니다. 오픈웹에는 아직 해결해야할 문제도 있고 제대로 로드맵을 그리기 어려운 갖가지 문제가 산적해 있습니다.
한마디로 국내 보안 업체들이 activex가 밥줄이라 놓기 싫은 이유 빼고 장기적 관점에 어떤게 보안에 이득인지를 산정하는도 도움을 주어야 할 겁니다.
예 그러한 액티브엑스 배포 아이디어를 옹호할 생각은 없습니다. 솔직히 저도 그러한 배포방식이 좋다라고 생각하지는 않습니다. 그러한 것들이 계속 제기되는 내용이지만 사실 엔지니어들이 큰 결정권을 가지지 못하는 한국 IT의 병폐에 속할 수도 있겠습니다. 그렇다고 엔지니어들이 회사내에서 무조건 순종적으로 나가는 것은 아니라고 합니다.
이미 국내에 보안과 관련 전문가 그룹이라고 부를만한 모임은 몇개가 존재합니다. 정책적인 대안을 여러가지로 아이디어 형태로 제시하려면 시간이 많이 걸릴 듯 합니다. 다만 기존의 오픈웹의 주장과 그 근거로 사용된 내용들에 대해서 잘못된 부분은 지적해 줄 수 있습니다. 그러한 부분의 사소한 오류들을 수정하는 것이 오픈웹의 근본 취지를 훼손할 것이라고 생각하지는 않습니다만 그대로 남겨두는 것은 문제가 있을 수 있습니다.
그리고, 보안 업계와 보안 전문가들을 정확하게 구별해 주시기 바랍니다. 보안 전문가들은 보안 업계에 몸담고 있을 뿐 개개인이 그 회사의 입장을 대변하는 것이 아닙니다. 오픈웹 관련 사이트에서 종종 보이는 인신 공격으로 오해 될 수 있는 표현들은 그렇게 좋아 보이지 않습니다. 물론 교수님의 의도가 그렇지 않다라고 하지만 그 의도를 제대로 보여 주시려면 절제의 미도 조금은 필요하다고 봅니다.
@Matt, 개인적으로 김교수님의 법적 혹은 강성 방식은 보안 업계와 보안 전문가의 딜레마를 떼어놓는 작업에 유리하다고 봅니다.
보안 업계는 위축될지 몰라도 법적 사회적 이슈가 대두되면 보안 전문가를 활동 시키기에는 좋은 토양을 줍니다. 이런 이슈가 터져 전문가 회의에 가봐도 업계를 대변하는 엔지니어들 뿐입니다.
지금은 온라인이라는 중요한 협업 방식이 존재하고 실제로 비밀 메일링리스트가 가동됩니다. 교수님께 신분을 밝히고 직접 메일로 오류를 수정하도록 도와 주시는 게 좋습니다.
김교수님께서 “보안 업체의 양심에 마지막 희망을 걸었기 때문”이라고 보기엔, 보안전문가에 대한 불신이 보이는 말들이 너무 많네요
“저는, 국내에서 “보안전문가”라며 행세하는 분들의 수준을 신뢰하지 않습니다. ” 라느니
“아무렇게나 말씀하시는데 불과합니다.”라느니
차니님께서 옹호하시는 내용과는 다른 생각을 저 교수님은 하고 있는 듯 합니다.
제겐 김교수님의 심정이 그저 “능력도 안되는 자칭 보안전문가들이 웹을 이따위로 만들어놔서 밉다.” 정도로 보이는데요
@jz, 역설적으로 제대로 된 사람 나오라는 뜻입니다. 윗글에도 있지만 저는 6년간 교수님 3년 동안 회의나 소송에 나온 자칭 보안 전문가들 한테 당하신 걸 생각해 주셔야죠. 제 글이 오픈웹에도 있습니다. 딴 생각이 아니십니다. 발끈하기 보다 제가 제대로 도와드리죠 이렇게 나와야 정상일텐데요.
Channy, jz/ 아무래도 무엇 보다도 양측이 서로간의 이해를 할 필요는 있는 것 같습니다. 저도 사실 오픈웹이라는 사이트를 몇달전에 슬쩍 보고 좋은 사이트네 그러고 말았던 사실이 있습니다.
Channy/ 그냥 아이디어입니다만 서로간의 커뮤니티에 서로 가입해서 의견을 개진하는 방식은 어떨까요? 지금처럼 웹에서 노출 시키면서 하는 것 보다는 더 진지하게 의견을 개진해 나갈 수 있지 않을까 생각합니다.
그냥 아이디어이니 답을 주세요. 제가 국내 보안 커뮤니티를 이끌어 가는 입장은 아니지만, 그러한 사람들은 많이 알고 있습니다. 서로간에 프라이빗한 메일링에서 조금더 상대에 대한 이해를 넓힐 각오를 하고 토론에 임해 보는 것도 필요한듯이 보입니다. 양측이 각을 세워서 비난해 보았자 남는 것은 서로간의 상처 밖에는 없을 것으로 보입니다.
제 메일 주소가 글 쓸 때에 포함되니 연락 주시면 됩니다.
Channy 님 안녕하세요. 저 역시 Matt 님의 의견에 동의합니다.
저는 만우절 특집으로 피싱사이트로 전락해 버린 모 블로그의 주인이며, 보안밥을 먹고 있습니다. ^^;
OpenWeb 은 몇년간 열심히 활동해 오셨을지 모르나, 예전에 비해 널리 알려진 것은 불과 요 근래라고 느껴집니다. 보안업계에 근무하시는 분들 중에서 OpenWeb 의 최근의 행보로 인해, 요근래야 비로소 오픈웹을 알게되신 분들은 사이트에 방문하는 순간 많은 오해를 갖기 쉬운 것 같습니다.
보안업계도 업종이 상당히 세분화 되어 있고, 어떤 업종에 있느냐에 따라 기본적인 철학과 배경지식이 다 다릅니다. 어떤 글에서는 모든 보안업체를 다 공격하는 것 같고, 어떤 글에서는 보안업계의 전문가라 하는 사람들을 다 공격하는 것 같습니다. PKI 업체의 암호화 솔루션은 무엇이 문제이고, ActiveX control 형태로 키보드 보안이나 안티바이러스 솔루션을 제공하는 업체는 무엇이 문제이다라고 각 컨텍스트마다 구분해 내는 것은 긴 기간 오픈웹 내의 많은 글타래를 읽어보아야 본의가 어떤 것이었구나라는 것을 안 사람만이 비로소 가늠해 볼 수 있습니다.
목적이 좋다고는 해도 그간 그 순수한 목적이 여러 난점들로 인해 이루어지지 않은 것에 대한 불쾌감이 글들에 묻어나는 것은 오픈웹의 교수님이 직접 글을 올릴때나 주요 활동자 분들이라면 자중이 필요하지 않을까 생각됩니다. 스스로 오해를 더 일으키시기에 딱 좋다고 생각됩니다. 요컨데, 오픈웹에 오는 보안쪽 분들이 지엽적인 글에 딴죽거는 것이라고 여겨지기에는 표면적으로 드러난 교수님의 글들이 너무 자극적이거나, 곡해될 소지가 높습니다.
p.s. 안랩을 걸고 넘어지신 것도 사실 살펴보면 위험하다고 생각합니다. 대의를 위해서, 관심을 끌기 위해서 타겟을 잡으신 것이라면 목적을 위해 수단으로 안랩이 지금 본의아닌 불명예를 입고 있는 상황인지도 모릅니다.
@Sakai Kim, 처음 오는 사람들에게 컨텍스트가 혼란스러운건 저도 문제가 있다고 봅니다. 체계적인 백서 같은게 필요한데 그걸 작업 중에 있습니다.
목소리가 공격적인 것도 조정 노력은 이미 소송 전에 해 볼 것은 다 해봐서 지금은 이기기 위한 소송을 하고 있기 때문에 그런 것으로 판단합니다.
제 소견을 밝혀 보자면 이른바 “웹 표준” 문제라는 같은 사안에 대해 UI 개발자와 보안 SW 개발자들이 전혀 다른 행보를 해왔다는 것입니다.
웹 브라우저 접근성을 위해 최근 수년간 프론트 엔드 개발자들은 문제를 직시하고 직접 실행했는데요. 지금은 서너개의 웹 표준 커뮤니티가 있을 정도입니다.
이들이 근무하는 수 많은 웹 에이전시 역시 ‘을’이고 IE에만 맞춰도 된다고 해도 웹 접근성의 중요성을 현장에서 역설했었습니다. 물론 여기에는 다음, 네이버 같은 주요 기업에서의 근무하는 개발자들과 그들의 입장 변화도 크게 작용했습니다.
이와 반대로 보안 업계(PKI든 AV든 컨설팅이든) 솔직히 이 문제를 그대로 6년간이나 그대로 방치하고 있습니다. 이런 활동이 꽤 오랫동안 개발자 커뮤니티에서 진행됐는데도 아직 모르고 있다는 것은 결국 밖을 둘러보지 않고 있다는 반증입니다. (보안 업계 사람들 그 안에서만 노는 경향이 강하죠.)
웹표준 커뮤니티에서 보듯 안랩이나 이니텍, 소프같은 회사들 주요 회사와 그 기업에 근무하는 사람의 역할이 중요합니다. 이것이 생산적인 결과를 낼려면 반목할 게 아니라 진정성이 중요하다는 것입니다.
웹 표준쪽에서도 토론 중에 자극적이고 서로 기분 상할 일이 많았습니다. 하지만 자극적이고 기분 나쁘다고 안할 성질의 것이 아니라고 봅니다.
허리케인의 생각…
보안 업체를 걸고 넘어진 까닭은? 우리나라에서의 activeX에 대한 역사적(?) 맥락을 조금이나마 알 수 있었다….
> 제가 포털에서 개인 정보를 담당을 좀 했었는데 국내에서는 개인 정보가 제일 유출이 많은 경우가 키로거나 트로이목마에 의한 것인데요. 이들 중 대부분이 카페나 게시판에서 중국애들이 심은 ActiveX 콘트롤을 무심결에 설치하는 경우입니다. (오히려 국내에는 피싱 보다 이게 더 싸게 먹혀서 이런류의 공격이 많습니다.)
-> 전 백신업체에서 일하고 있는데 저희쪽에서 파악한 악성코드 배포 방법 1위, 2위는 인터넷 익스플로러 취약점으로 보고 있습니다.
윈도우나 인터넷 익스플로러 취약점 이용하면 사용자 모르게 자동으로 악성코드를 설치할 수 있어 active-x 콘트롤을 이용한 방법은 법망을 피해가려는 업체들에서 주로 사용한다고 생각합니다.
이런 시각차이는 받는 정보가 달라서 발생하는게 아닐까도 생각도 듭니다.
@쿨캣7, 저도 그렇다고 생각합니다. 제 이야기가 좀 옛날 이야기기 때문이기도 하구요. 어쨌든 지금도 사용자들이 activex 콘트롤을 쉽게 설치하도록 공인 인증 플러그인들이 한몫하고 있다는 사실은 안변할 것 같네요.(보안 의식이란게 그런 학습에 의해 좌우 되니까요.)
게다가 브라우저 취약성 때문에 악성코드가 많이 배포된다면 현재 체제로 인해 웹 브라우저 업데이트도 잘 안되고 있는 상태니까요. 우리나라가 IE7 보급률이 가장 낮은 국가 중 하나라는 사실도 놀랍지 않죠.
웹 브라우저, OS가 최신 상태가 되도록 유지시키고 그 다음 AV와 방화벽이지요. 백신 업체들도 이 점을 계도해야 합니다. 그런데 현재 체제는 웹 브라우저와 윈도우 OS가 최신 상태로 유지되지 못하게 합니다. (다들 다운 그레이드하는데 그 이유가 대개 현재 웹 시스템 때문입니다.)
좋은 글 감사합니다. 본 글을 읽고 나니 많은 부분에 있어서 이해가 되지 않던 오픈웹과 보안 진영 사이의 오해가 풀리는 것 같습니다. 언제인가부터 오픈웹 사이트에서 보안업체를 거론하면서 현재 국내 인터넷 환경이 특수 환경 전용으로 된 원인이 보안 업체에 있다고 하는 것으로 들릴 수 밖에 없었고, 그러한 글들이 보일 때마다 보안에 관심을 가지고 있는 사람중의 한 명으로 처음부터 오픈웹의 주장에 사실 반기를 들 수 밖에 없었습니다.
소송을 하게 되면 원고측과 피고측이 서로 자신의 주장을 하면서 다른 의견을 피력하는 것이 당연하겠지만, 이처럼 온라인에서조차 그렇게 내편과 네편을 갈라서 얘기하는 것이 보이기 시작했고, 그런 분위기에 휩쓸려서 저 스스로도 한쪽으로 치우쳐 얘기할 수 밖에 없었음을 스스로 인정하고 반성하도록 하겠습니다.
서로의 입장에 대해서 이해를 하려는 노력이 필요할 것 같습니다. 오픈웹 원래의 좋은 취지를 실행해 나가는 과정에서 소송 과정에서 겪게 되는 답답함과 어려움을 저희같은 사람이 알 수가 없었고, 반대로 현재 보안업계에 몸담고 있는 사람들의 현실적인 어려움을 오픈웹 진영이 이해할 수 없음이 근본 원인으로 보여 집니다.
“현재 인터넷 환경의 원인이 보안 업체이지 않느냐?”, “암호화는 그렇다 치더라도 다른 해킹 위협까지 표준으로 커버할 수 있다고 보느냐?” 라는 식으로 말 하나하나에 서로 토를 다는 것은 현재 아무런 도움이 되지 않을 것 같습니다.
보안에 관심을 가지고 있는 사람중의 하나로서, 아니 대한민국 국민의 하나로서 오픈웹의 취지에 박수를 보냅니다. 바라건데 한발씩만 양보를 해서 서로를 이해해 줄 수 있는 너그러움을 가질 수 있기를 기원합니다.
쿨캣7/ 전 백신업체에서 일하고 있는데 저희쪽에서 파악한 악성코드 배포 방법 1위, 2위는 인터넷 익스플로러 취약점으로 보고 있습니다.
>> 백신업체에서 파악한 좋은 정보를 알게되어서 고맙습니다. 그렇지만, 제시하신 내용 역시 ActiveX 배포 방식이 악성코드 배포의 원인을 제공했다고 볼 수 있습니다.
>> 1. 취약점을 막기 위해서는 최신의 운영체제나 익스플로러로 업데이트를 해야 합니다. 그러나, 보안 제품들은 새로운 업데이트에 대해서 자신의 제품을 개선할 때까지 업데이트를 자제할 것은 요청하는 상황입니다.
>> 2. 사용자는 취약점이 더 적은 다른 배포판을 선택할 수 있어야 합니다. 익스플로러가 더 취약한지는 모르겠지만, 어찌되었든 현재는 선택의 여지가 없습니다.
>> 1위이든 2위이든, “카페나 게시판에서 중국애들이 심은 ActiveX 콘트롤을 무심결에 설치하는 경우”는 상당히 많은 것으로 예상됩니다.
한가지 제안을 드리고자 합니다. 오픈웹 진영에 계시는 분들께 “코드게이트”라는 행사에 초청을 했으면 합니다. 같은 말이라도 악수 한번 하고 명함 한번 건네고 나서 얘기를 하는 것과 이처럼 계속 온라인상에서 얘기하는 것은 차이가 있을 수 밖에 없을 테니까요.
저도 정부, 업체, 기관에 가서 발표도 해 보고 담당자들과 직접 회의도 해 봤지만, 그러한 분위기와는 또다른 것을 느끼실 수 있을 것으로 보입니다. 댓글을 다시는 분중에 해당 컨퍼런스에서 발표를 하시는 분도 계시니까 더더욱 좋은 기회로 보여 지네요.
좋은 생각이네요. 김휘강님이 강사로도 서시니까, 오프라인에서 서로 만나서 대화를 나누면 서로의 입장이 더 정확하게 전달 될 것 같네요. 김휘강님 정도면 보안 전문가로서의 대표성을 가지고 있으니까요.
unipro 님께
>> 백신업체에서 파악한 좋은 정보를 알게되어서 고맙습니다. 그렇지만, 제시하신 내용 역시 ActiveX 배포 방식이 악성코드 배포의 원인을 제공했다고 볼 수 있습니다.
-> 악성코드를 연구하는 제 입장에서는 Active X 컨트롤을 통한 배포는 다양한 악성코드 배포 방식 중 하나이고 전체 악성코드 배포 형태 중에서는 특별히 높지는 않습니다. 물론, 여전히 사용자들의 무분별한 액티브 X 컨트롤 설치로 위험성은 존재합니다. 다만 워낙 해킹된 웹사이트 방문이나 인터넷 연결만으로 감염되는 시대라… TT
>> 1. 취약점을 막기 위해서는 최신의 운영체제나 익스플로러로 업데이트를 해야 합니다. 그러나, 보안 제품들은 새로운 업데이트에 대해서 자신의 제품을 개선할 때까지 업데이트를 자제할 것은 요청하는 상황입니다.
-> 최신 운영체제나 웹브라우저는 사용 권고는 계속하고 있습니다. 저희쪽으로는 고객들이 컴퓨터 수가 너무 많거나 서버라서 안정성 때문에 보안 업데이트 못하겠다는 고객들에게 악성코드 감염될 수 있다고 꼭 해야한다고 설득해야하는 상황이라서요. (저는 연구소에 있다보니 고객들이 느끼는 것과는 또 다르게 느낄 수도 있겠네요.)
>> 2. 사용자는 취약점이 더 적은 다른 배포판을 선택할 수 있어야 합니다. 익스플로러가 더 취약한지는 모르겠지만, 어찌되었든 현재는 선택의 여지가 없습니다.
-> 그러게요. 저도 파이어폭스가 설치되어 있습니다만 유명 포털 사이트에서도 클릭 조차 안되는 경우가 있어… 잘 안쓰게되더군요 TT
>> 1위이든 2위이든, “카페나 게시판에서 중국애들이 심은 ActiveX 콘트롤을 무심결에 설치하는 경우”는 상당히 많은 것으로 예상됩니다.
-> 네. 액티브 X 컨트롤로 낚는게 카페, 게시판, 블로그, 지식인을 통한 직간접 배포는 정말 다양하더군요 TT
아샬의 생각…
종종 제대로 되지 않은 부분을 언급하면 다 그런게 아니란 식이나 자신에 대한 공격으로 받아들이는 경우가 많은데 – 심지어는 구분짓기를 한다 – 크게 도움이 되는 행위는 아닌 것 같다. 그러니까, 하냐 안 하냐 나는 이것만 믿는다….
관계자만이 전해줄 수 있는 좋은 글, 잘 봤습니다. 감사합니다. :)
@matt, @이경문, @Sakai Kim, 저도 다음주에 서울에 있으니 해외 출장 중이신 교수님 오시면 의논해 보고 참석해 이야기 나눠 보도록 할께요.
오픈웹이 왜 접근이 안되죠? 문제가 있나요?
오픈웹이 거처를 정하고 있는 서버가 주말 부터 계속 DDoS 공격을 당하고 있습니다.
http://kldp.org/node/104379 참조.
그 서버에는 다른 웹사이트들도 많이 있으므로, 오픈웹 때문에 일어나는 공격이라면, 그 분들께 죄송스럽습니다.
따라서, 당분간, 구글 그룹으로 피난 가 있겠습니다. http://groups.google.co.kr/group/open-web
만일 오픈웹에 최근 게시된 글들에 대한 앙심을 품고 이런 일이 벌어졌다면, 그것은 국내 보안업계 종사자 전체에게 심각한 누가 되는 일이라는 사실은 알고계시면 좋겠습니다.
matt님의 댓글이 스팸 체크하다가 삭제되어서 다시 복구했습니다. 죄송합니다.
—-
DDOS 공격에 보안 업체를 일단 걸고 넘어지시는 이유가 무엇입니까? 발언 수위를 조절하셔야 할 필요가 있는 것 같습니다. 오해를 풀려고 하던 보안 전문가들이 오해를 키울 이유가 있을까요? 그리고 보안 업체와 보안 전문가를 구별해서 사용하시기 바랍니다.보안 업체는 아직 오픈웹에 대해서 공식 대응한 업체가 없습니다. 단지 보안 전문가들이 오픈웹의 잘못을 지적하고 있을 따름입니다. 용어의 정확성이 뒷받침 될 필요가 을 것 같습니다.그리고 몇몇 보안 전문가들은 오프라인에서의 모임을 갖고 싶어 하고 있습니다. 이 글에 제 메일 주소가 남으니 연락 주시기 바랍니다. 제가 주선해 드릴 수 있습니다.
그게 단순히 ActiveX를 걷어내는 일만이 아니고… 보안업체(백신 제외)의 존폐가 달린 일이라서 그렇습니다. 얼마되지도 않는 PKI 관련 국내 보안 시장을 작게남아 좀 키워놨는데, 그것 없어지면 먹고 살게 없어지는…
장단점이 있어요. 전쟁 중인 국가답게 나름의 보안 체계를 유지하고 있다는 거, 덕분에 관련 기술이나 인력들 조금 더 가지게 되었다는 거 등… 단점은 잘 아시는 표준화 역행 등…
그래서 밥그릇 앞에서, 포도청 앞에서, 총부리 앞에서 ‘양심’ 운운은 좀 격이 안 맞을 지도 모른다는 것을 조심스럽게… ^^
웹표준? 인터넷 뱅킹? 누구 잘못을까요?…
최근 오픈웹의 소송이 최근 폐소했다는 기사가 나왔고 한동안 말이 좀 있다가 다시 사그라든 요즘, 나는 좀 다른 식의 접근을 좀 해보고 싶다. 오픈웹의 소송 취지는 내가 알기로는 IE 이외에 모든 브라우저와 플랫폼(리눅스와 OSX)에서도 동작가능한 전자정부와 인터넷 뱅킹등의 기본 정보 접근권을 달라는건데, 나는 약간 축소해서 보겠다. 좋다. 모든 플랫폼은 그렇다고 치자. 일단 윈도에서 IE를 제외하고 다른 브라우저에서 인터넷 뱅킹이 안되는 이유는? …
오픈웹 관련 만화 두편…
몇 년전에 그린 그림인데, 아직도 상황은 변한게 없군요~
고려대 김기창 교수님이 이끄는 오픈웹이 금결원과의 민사 소송 2심에서 패소한 이후, 오픈웹(OpenWeb)에 대한 많은 이야기가 인터넷을 달구고 있습니다.
오픈웹, 금결원과의 민사소송 2심서 패소
웹 표준, 이제 물러설 수 없다
“은행 및 금융기관 사이트 액티브X 없애주세요” 청원에 동참해 주세요!
전자금융거래의 공인인증/보안프로그램에 관한 제안
안철수 연…