|
출처: ♡♥ 비 비 샵 ♥♡ ™ 원문보기 글쓴이: 행복한 지현이
“설치하겠습니까 yes/no?”를 묻는 프로그램이 악성코드인지 꼭 필요한 프로그램인지 구별 할줄 알면 이미 중급수준은 된다고 봅니다. ActiveX 자체의 결함도 충분히 가능하겠지만, 그런 건 다른 OS에서도 자주 등장합니다. 유독 MS-윈도우에 대한 해킹이 많이 시도되는 건 특히 한국에서 MS-윈도우 사용자층이 대부분이기 때문이라고 봅니다. 리눅스처럼 MS-윈도우의 소스를 공개해버린다면 더욱 다양한 해킹이 가능할거라고 확신합니다.
AciveX 보안 문제는 사용자의 무지가 아니라 교육의 결과이다. 우리나라에서는 90년대 중반 부터 인터넷 뱅킹과 공인 인증을 통해 ActiveX를 비롯한 플러그인 기술을 인터넷에 사용하기 시작했다. 은행, 증권사, 정부 기관이 제공하는 ActiveX 플러그인을 아무 거리낌 없이 설치해서 사용하도록 교육한 것이다. 지난 XP SP2 사태 때도 이들 기관들이 앞장 서서 ActiveX를 설치하는 방법을 교육시켰다.
이 때문에 우리 나라 사람들은 스파이웨어 ActiveX와 정상적인 ActiveX를 구별하지 못한다. 그냥 보안 경고가 뜨면 '예'를 누른다. 집을 지키는데 세콤을 안 달고, 스스로 경비원이 되어 문을 다 열어 놓고 혼자서 문 앞에서 지키고 있는 꼴이다. 게다가 집에 들어 오는 사람은 다 좋은 사람일 거라고 상사로 부터 교육까지 받았다.
최근 빈번하게 발생되는 중국발 해킹 사건도 특정 웹 사이트를 해킹해서 스파이웨어 숙주로 만들고 악성 ActiveX 코드를 꺼리낌 없이 설치하는 우리 나라 사람들을 겨냥해 암호나 로그인 정보를 갈취하는 사건이 대부분이다. 교육 결과를 역이용 하는 것이다.
또한, 우리 나라에서는 운영 체제를 설치할 때 모두 관리자(Administrator)로 설치한다. 그렇지 않으면 인터넷을 사용하기 어렵기 때문이다. 맥이나 리눅스 데스크톱(특히, 우분투)는 처음 설치할 때 관리자(root)로 설치되지 않고 기본적으로 일반 사용자로 설치된다. 윈도우 XP에서도일반 사용자로 관리가 가능하다. 운영 체제는 사용자 수준을 강제 함으로서 기본적으로 악성 코드에 대한 보안 장치를 마련 하는 것이다.
ActiveX는 인터넷으로 악성 코드가 유포될 수 있다는 걸 예상하지 못하고 만들어진 기술이기 때문에 실제로 결함이 있는 기술이다. 최근 5년 동안 MS가 윈도우의 보안 강화를 비스타 출시 보다도 더 중요하게 생각하고 있는 것도 이런 이유다. MS에 해킹이 집중되는 것은 운영 체제에 대한 취약성이 많은 결과이고 우리 나라는 더욱 문제가 된다. 외국에서는 ActiveX라면 거의 대부분 스파이웨어다. Flash나 Adobe 같은 ActiveX 콘트롤은 사용자가 직접 프로그램을 설치하면 자동적으로 깔리는 것이다. 따라서 MS가 Vista에서 ActiveX의 구동을 더욱 어렵게 만드는 것도 이런 이유에서다.
그만큼 자바로 데스크탑 어플리케이션을 만들어 본 실력이 없다는 반증이다. Thinkfree Office를 실행 해봤나? 아주 많은 기능을 가지고도 속도가 나온다. 우리나라 공인 인증에서 쓰는 ActiveX들은 기능과 스펙이 Thinkfree의 1/100도 안된다. 또한 IE에 기본 탑재되는 자바 VM과 Java Web Start를 사용하면 설치 문제는 없다. 같은 플러그인 기술이라도 Java VM이 Sandbox이기 때문에 운영 체제에 직접적인 위해도 가하지 못한다.
악성 코드 제작자에 대한 강력한 대책 보다도 일반인들이 기본적인 보안이 강화된 운영 체제를 사용하도록 계도 하는 것이 더 중요하다. 벽을 부셔 놓고 들어오는 도둑을 막으라고 하는 게 말이되나? 관리자라도 IE에서도 보안 등급을 최상위로 해두면 ActiveX는 절대 깔리지 않는다. 피싱의 경우도 웹 브라우저들이 주소창 고정 제공 및 EVSSL 인증서를 통한 강력한 보안 등을 통해 기본 프로그램만 사용하더라도 문제가 없도록 개선해가고 있다. 운영 체제와 웹 브라우저의 기본 보안 기능만 사용하도록 계도 하면 보안에 취약할 일이 없다!
현재의 ActiveX 공인 인증 기술도 SSL과 똑같은 기술을 기반으로 한다. 키로거 하나로 다 뚫을 수 있다고 하면 그건 우리 나라 공인 인증 기술도 마찬가지다. 이것이 우리 나라 은행에서 스파이웨어 방지, 키보드 해킹 방지 프로그램를 ActiveX로 제공하는 이유이다. 벽만 쌓으면 되는 것을 자꾸 창으로 창을 막으려니 문제가 되는 것이다.
결국 현재의 문제는 보안 문제에 대해 국가적인 근본 대책이나 교육을 마련하지 않고 계속 '요구 사항'을 빌미로 하위 호환성을 추구하려 했던 국가 및 공공기관에 책임이 있다. 처음 시작은 비 IE, 비 윈도우 사용자를 위한 지원 요구로 시작되었지만 지금이라도 근본적인 문제를 해결하는 방법으로 가야 한다고 생각한다. |