몇 년전에 그린 그림인데, 아직도 상황은 변한게 없군요~
고려대 김기창 교수님이 이끄는 오픈웹이 금결원과의 민사 소송 2심에서 패소한 이후, 오픈웹(OpenWeb)에 대한 많은 이야기가 인터넷을 달구고 있습니다.

오픈웹, 금결원과의 민사소송 2심서 패소
웹 표준, 이제 물러설 수 없다

“은행 및 금융기관 사이트 액티브X 없애주세요” 청원에 동참해 주세요!
전자금융거래의 공인인증/보안프로그램에 관한 제안
안철수 연…

최근 오픈웹의 소송이 최근 폐소했다는 기사가 나왔고 한동안 말이 좀 있다가 다시 사그라든 요즘, 나는 좀 다른 식의 접근을 좀 해보고 싶다. 오픈웹의 소송 취지는 내가 알기로는 IE 이외에 모든 브라우저와 플랫폼(리눅스와 OSX)에서도 동작가능한 전자정부와 인터넷 뱅킹등의 기본 정보 접근권을 달라는건데, 나는 약간 축소해서 보겠다. 좋다. 모든 플랫폼은 그렇다고 치자. 일단 윈도에서 IE를 제외하고 다른 브라우저에서 인터넷 뱅킹이 안되는 이유는? …

http://kldp.org/node/104379 참조.

그 서버에는 다른 웹사이트들도 많이 있으므로, 오픈웹 때문에 일어나는 공격이라면, 그 분들께 죄송스럽습니다.

따라서, 당분간, 구글 그룹으로 피난 가 있겠습니다. http://groups.google.co.kr/group/open-web

만일 오픈웹에 최근 게시된 글들에 대한 앙심을 품고 이런 일이 벌어졌다면, 그것은 국내 보안업계 종사자 전체에게 심각한 누가 되는 일이라는 사실은 알고계시면 좋겠습니다.

종종 제대로 되지 않은 부분을 언급하면 다 그런게 아니란 식이나 자신에 대한 공격으로 받아들이는 경우가 많은데 – 심지어는 구분짓기를 한다 – 크게 도움이 되는 행위는 아닌 것 같다. 그러니까, 하냐 안 하냐 나는 이것만 믿는다….

>> 백신업체에서 파악한 좋은 정보를 알게되어서 고맙습니다. 그렇지만, 제시하신 내용 역시 ActiveX 배포 방식이 악성코드 배포의 원인을 제공했다고 볼 수 있습니다.
-> 악성코드를 연구하는 제 입장에서는 Active X 컨트롤을 통한 배포는 다양한 악성코드 배포 방식 중 하나이고 전체 악성코드 배포 형태 중에서는 특별히 높지는 않습니다. 물론, 여전히 사용자들의 무분별한 액티브 X 컨트롤 설치로 위험성은 존재합니다. 다만 워낙 해킹된 웹사이트 방문이나 인터넷 연결만으로 감염되는 시대라… TT

>> 1. 취약점을 막기 위해서는 최신의 운영체제나 익스플로러로 업데이트를 해야 합니다. 그러나, 보안 제품들은 새로운 업데이트에 대해서 자신의 제품을 개선할 때까지 업데이트를 자제할 것은 요청하는 상황입니다.
-> 최신 운영체제나 웹브라우저는 사용 권고는 계속하고 있습니다. 저희쪽으로는 고객들이 컴퓨터 수가 너무 많거나 서버라서 안정성 때문에 보안 업데이트 못하겠다는 고객들에게 악성코드 감염될 수 있다고 꼭 해야한다고 설득해야하는 상황이라서요. (저는 연구소에 있다보니 고객들이 느끼는 것과는 또 다르게 느낄 수도 있겠네요.)

>> 2. 사용자는 취약점이 더 적은 다른 배포판을 선택할 수 있어야 합니다. 익스플로러가 더 취약한지는 모르겠지만, 어찌되었든 현재는 선택의 여지가 없습니다.
-> 그러게요. 저도 파이어폭스가 설치되어 있습니다만 유명 포털 사이트에서도 클릭 조차 안되는 경우가 있어… 잘 안쓰게되더군요 TT

>> 1위이든 2위이든, “카페나 게시판에서 중국애들이 심은 ActiveX 콘트롤을 무심결에 설치하는 경우”는 상당히 많은 것으로 예상됩니다.
-> 네. 액티브 X 컨트롤로 낚는게 카페, 게시판, 블로그, 지식인을 통한 직간접 배포는 정말 다양하더군요 TT

저도 정부, 업체, 기관에 가서 발표도 해 보고 담당자들과 직접 회의도 해 봤지만, 그러한 분위기와는 또다른 것을 느끼실 수 있을 것으로 보입니다. 댓글을 다시는 분중에 해당 컨퍼런스에서 발표를 하시는 분도 계시니까 더더욱 좋은 기회로 보여 지네요.

>> 백신업체에서 파악한 좋은 정보를 알게되어서 고맙습니다. 그렇지만, 제시하신 내용 역시 ActiveX 배포 방식이 악성코드 배포의 원인을 제공했다고 볼 수 있습니다.
>> 1. 취약점을 막기 위해서는 최신의 운영체제나 익스플로러로 업데이트를 해야 합니다. 그러나, 보안 제품들은 새로운 업데이트에 대해서 자신의 제품을 개선할 때까지 업데이트를 자제할 것은 요청하는 상황입니다.
>> 2. 사용자는 취약점이 더 적은 다른 배포판을 선택할 수 있어야 합니다. 익스플로러가 더 취약한지는 모르겠지만, 어찌되었든 현재는 선택의 여지가 없습니다.

>> 1위이든 2위이든, “카페나 게시판에서 중국애들이 심은 ActiveX 콘트롤을 무심결에 설치하는 경우”는 상당히 많은 것으로 예상됩니다.

소송을 하게 되면 원고측과 피고측이 서로 자신의 주장을 하면서 다른 의견을 피력하는 것이 당연하겠지만, 이처럼 온라인에서조차 그렇게 내편과 네편을 갈라서 얘기하는 것이 보이기 시작했고, 그런 분위기에 휩쓸려서 저 스스로도 한쪽으로 치우쳐 얘기할 수 밖에 없었음을 스스로 인정하고 반성하도록 하겠습니다.

서로의 입장에 대해서 이해를 하려는 노력이 필요할 것 같습니다. 오픈웹 원래의 좋은 취지를 실행해 나가는 과정에서 소송 과정에서 겪게 되는 답답함과 어려움을 저희같은 사람이 알 수가 없었고, 반대로 현재 보안업계에 몸담고 있는 사람들의 현실적인 어려움을 오픈웹 진영이 이해할 수 없음이 근본 원인으로 보여 집니다.

“현재 인터넷 환경의 원인이 보안 업체이지 않느냐?”, “암호화는 그렇다 치더라도 다른 해킹 위협까지 표준으로 커버할 수 있다고 보느냐?” 라는 식으로 말 하나하나에 서로 토를 다는 것은 현재 아무런 도움이 되지 않을 것 같습니다.

보안에 관심을 가지고 있는 사람중의 하나로서, 아니 대한민국 국민의 하나로서 오픈웹의 취지에 박수를 보냅니다. 바라건데 한발씩만 양보를 해서 서로를 이해해 줄 수 있는 너그러움을 가질 수 있기를 기원합니다.

게다가 브라우저 취약성 때문에 악성코드가 많이 배포된다면 현재 체제로 인해 웹 브라우저 업데이트도 잘 안되고 있는 상태니까요. 우리나라가 IE7 보급률이 가장 낮은 국가 중 하나라는 사실도 놀랍지 않죠.

웹 브라우저, OS가 최신 상태가 되도록 유지시키고 그 다음 AV와 방화벽이지요. 백신 업체들도 이 점을 계도해야 합니다. 그런데 현재 체제는 웹 브라우저와 윈도우 OS가 최신 상태로 유지되지 못하게 합니다. (다들 다운 그레이드하는데 그 이유가 대개 현재 웹 시스템 때문입니다.)

-> 전 백신업체에서 일하고 있는데 저희쪽에서 파악한 악성코드 배포 방법 1위, 2위는 인터넷 익스플로러 취약점으로 보고 있습니다.

윈도우나 인터넷 익스플로러 취약점 이용하면 사용자 모르게 자동으로 악성코드를 설치할 수 있어 active-x 콘트롤을 이용한 방법은 법망을 피해가려는 업체들에서 주로 사용한다고 생각합니다.

이런 시각차이는 받는 정보가 달라서 발생하는게 아닐까도 생각도 듭니다.

보안 업체를 걸고 넘어진 까닭은? 우리나라에서의 activeX에 대한 역사적(?) 맥락을 조금이나마 알 수 있었다….

목소리가 공격적인 것도 조정 노력은 이미 소송 전에 해 볼 것은 다 해봐서 지금은 이기기 위한 소송을 하고 있기 때문에 그런 것으로 판단합니다.

제 소견을 밝혀 보자면 이른바 “웹 표준” 문제라는 같은 사안에 대해 UI 개발자와 보안 SW 개발자들이 전혀 다른 행보를 해왔다는 것입니다.

웹 브라우저 접근성을 위해 최근 수년간 프론트 엔드 개발자들은 문제를 직시하고 직접 실행했는데요. 지금은 서너개의 웹 표준 커뮤니티가 있을 정도입니다.

이들이 근무하는 수 많은 웹 에이전시 역시 ‘을’이고 IE에만 맞춰도 된다고 해도 웹 접근성의 중요성을 현장에서 역설했었습니다. 물론 여기에는 다음, 네이버 같은 주요 기업에서의 근무하는 개발자들과 그들의 입장 변화도 크게 작용했습니다.

이와 반대로 보안 업계(PKI든 AV든 컨설팅이든) 솔직히 이 문제를 그대로 6년간이나 그대로 방치하고 있습니다. 이런 활동이 꽤 오랫동안 개발자 커뮤니티에서 진행됐는데도 아직 모르고 있다는 것은 결국 밖을 둘러보지 않고 있다는 반증입니다. (보안 업계 사람들 그 안에서만 노는 경향이 강하죠.)

웹표준 커뮤니티에서 보듯 안랩이나 이니텍, 소프같은 회사들 주요 회사와 그 기업에 근무하는 사람의 역할이 중요합니다. 이것이 생산적인 결과를 낼려면 반목할 게 아니라 진정성이 중요하다는 것입니다.

웹 표준쪽에서도 토론 중에 자극적이고 서로 기분 상할 일이 많았습니다. 하지만 자극적이고 기분 나쁘다고 안할 성질의 것이 아니라고 봅니다.

저는 만우절 특집으로 피싱사이트로 전락해 버린 모 블로그의 주인이며, 보안밥을 먹고 있습니다. ^^;

OpenWeb 은 몇년간 열심히 활동해 오셨을지 모르나, 예전에 비해 널리 알려진 것은 불과 요 근래라고 느껴집니다. 보안업계에 근무하시는 분들 중에서 OpenWeb 의 최근의 행보로 인해, 요근래야 비로소 오픈웹을 알게되신 분들은 사이트에 방문하는 순간 많은 오해를 갖기 쉬운 것 같습니다.

보안업계도 업종이 상당히 세분화 되어 있고, 어떤 업종에 있느냐에 따라 기본적인 철학과 배경지식이 다 다릅니다. 어떤 글에서는 모든 보안업체를 다 공격하는 것 같고, 어떤 글에서는 보안업계의 전문가라 하는 사람들을 다 공격하는 것 같습니다. PKI 업체의 암호화 솔루션은 무엇이 문제이고, ActiveX control 형태로 키보드 보안이나 안티바이러스 솔루션을 제공하는 업체는 무엇이 문제이다라고 각 컨텍스트마다 구분해 내는 것은 긴 기간 오픈웹 내의 많은 글타래를 읽어보아야 본의가 어떤 것이었구나라는 것을 안 사람만이 비로소 가늠해 볼 수 있습니다.

목적이 좋다고는 해도 그간 그 순수한 목적이 여러 난점들로 인해 이루어지지 않은 것에 대한 불쾌감이 글들에 묻어나는 것은 오픈웹의 교수님이 직접 글을 올릴때나 주요 활동자 분들이라면 자중이 필요하지 않을까 생각됩니다. 스스로 오해를 더 일으키시기에 딱 좋다고 생각됩니다. 요컨데, 오픈웹에 오는 보안쪽 분들이 지엽적인 글에 딴죽거는 것이라고 여겨지기에는 표면적으로 드러난 교수님의 글들이 너무 자극적이거나, 곡해될 소지가 높습니다.

p.s. 안랩을 걸고 넘어지신 것도 사실 살펴보면 위험하다고 생각합니다. 대의를 위해서, 관심을 끌기 위해서 타겟을 잡으신 것이라면 목적을 위해 수단으로 안랩이 지금 본의아닌 불명예를 입고 있는 상황인지도 모릅니다.

Channy/ 그냥 아이디어입니다만 서로간의 커뮤니티에 서로 가입해서 의견을 개진하는 방식은 어떨까요? 지금처럼 웹에서 노출 시키면서 하는 것 보다는 더 진지하게 의견을 개진해 나갈 수 있지 않을까 생각합니다.

그냥 아이디어이니 답을 주세요. 제가 국내 보안 커뮤니티를 이끌어 가는 입장은 아니지만, 그러한 사람들은 많이 알고 있습니다. 서로간에 프라이빗한 메일링에서 조금더 상대에 대한 이해를 넓힐 각오를 하고 토론에 임해 보는 것도 필요한듯이 보입니다. 양측이 각을 세워서 비난해 보았자 남는 것은 서로간의 상처 밖에는 없을 것으로 보입니다.

제 메일 주소가 글 쓸 때에 포함되니 연락 주시면 됩니다.