Tag Archives: ActiveX

인터넷 쇼핑. 내국인 공인인증서 폐지.

공인인증서 없이 6월 즘이면 내국인도 쇼핑이 가능할 모양이다. 연합뉴스 기사이다.

공인인증서 없이도 쇼핑이 가능하게 된단다. 카드번호를 이용해 확인하고 휴대폰 등으로 확인하는 방향을 검토한다는 말이 들린다.

하자는 의욕이 있다면 이렇게 쉽고 간단히 해결 될 문제다. 자. 이제 인터넷 뱅킹이 남았다.

액티브 엑스 박멸이라는 대증요법

잠시 윈도우 컴퓨터를 사용하다가 예스24에서 책을 사려고 했다. 무의식적으로 장바구니에서 결제 버튼을 눌렀다. 그런데 갑자기 화면 하단에 다운로드를 묻지 않는것 아닌가? 난 깨달았다. 내가 작업하는 브라우저가 인터넷 익스플로러가 아니라, 내가 평소에 작업하던 Chrome이라는 사실을. 그리고 한번 시험삼아서 프로그램을 설치해서 깔아 실행해 보았다. 그리고 놀랍게도 결제는–인터넷 익스플로러에서 때와 거의 변함없이–부드럽게 잘 되었다. 언제부터 그렇게 되었던 것인지 모르겠다. 나는 주로 맥으로 쓰다보니. 윈도우 컴퓨터에서는 무조건 윈도우 이외의 컴퓨터가 아니면 안된다고 나오기 때문이다. 물론, 여전히 맥에서는 예스24에서는 결제를 할 수 없다. 나는 드디어 깨달았다.

많이들 액티브 액스를 없애면 된다고 생각한다. 액티브 엑스에 대한 혐오는 증오 수준이다. 물론 액티브 엑스는 절대악 수준이다. 하지만 액티브 엑스는 그냥 컨테이너 수준이다. 굳이 비유하자면 전염병의 매개체에 지나지 않는다. 공인인증서나 안심클릭/ISP가 바이러스라면 액티브 엑스는 공기나 물, 오염된 대변, 음식, 침출물 같은 같은 것이다. 만약 그 바이러스가 공기로 옮는것 뿐 아니라 물이나 음식물로도 옮는다고 생각해보라. 물이나 음식물을 들이마셔서 바이러스가 옮으면 대책이 없다. 공인인증서/안심클릭 등도 마찬가지다. 엑티브 엑스는 바이러스로 치면 공기에 지나지 않고, 자바(물)라던지 아예 네이티브 바이너리(음식)로 전파해 버리면 대책이 없다. 진짜로 해결하려면 항바이러스제제를 써서 근원(공인인증서/안심클릭/안전결제 등)자체를 박멸하는것이 정답이다. –공인인증서와 안심클릭, 액티브 엑스에 관한 생각 중에서

우려했던 대로, 이 안심클릭과 공인인증서라는 ‘바이러스’는 결국 액티브 엑스라는 ‘매개’를 피해서 교묘하게, EXE파일로 결제플러그인을 다운로드 하는 방식으로 ‘전파’되었다. Chrome을 쓰는 윈도우 사용자들은 ‘아, 이제 크롬과 파이어폭스에서도 되니 잘 됐네’하고 불만의 입을 틀어막을 수 있겠지만, 여전히 맥에서는 사용할 수 없다. 즉, 다시 말해서 이것은 ‘대증요법’에 불과하다. 매개체 하나를 막은 것에 불과하다. 진짜로 해결을 하기 위해서는 근간이 되는 안심클릭이나 공인인증서 체제를 근본적으로 다시 생각하는 수밖에 없다. 멀티플랫폼으로 지원되도록 다시 짜던지, 아니면 철폐를 하던지. 내 생각에는 플러그인 방식 또한 결국 충수염으로 배아프고 열나는 환자에게 그냥 타이레놀 먹이고 얼음찜질하는 정도의 요법이라고 보인다.

공인인증서와 안심클릭, 액티브 엑스에 관한 생각

인터넷 서점 알라딘의 도메인이 aladdin.co.kr이었고 앨러딘컴이란 상호를 쓰던 시절의 일이다. 내가 예스24 대신에 알라딘을 쓰던 이유는 푸른 기조의 예쁜 디자인과 aladdin이라는 로고 타입도 있었지만 아마존을 벤치마킹한 주문 방식의 편리함에도 있었다. 다른 서점은 주문을 완료할때 결제가 되었지만 알라딘은 발송할때 결제가 되었다. 따라서 발송하기 전이라면 책을 추가할 수도 있었고, 수량을 정정하는 것도 가능했다. 어차피 발송이 느려지거나 빨라지거나, 결제는 출하되는 시점에 되기 때문에 그것은 커다란 문제가 없었다. 신용카드는 알라딘의 시스템에 저장되어 있었기 때문에 그냥 주문장만 작성하고 버튼만 누르면 완료가 되었다. 장바구니에 넣고, 수량과 주소를 확인하고 완료 버튼을 누르면 바로 완료가 되고 결제는 발송이 되는 순간 되는 간단한 시스템이다.

그런데 어느날 안심클릭과 ISP(인터넷 안전결제)의 의무 사용과 10만원 이상 결제의 공인 인증서 사용이 의무화 되었다. 그러다보니 알라딘의 이러한 정책은 당장 폐기되어 버렸다. 알라딘의 이러한 매력은 그냥 사라져버렸다. 안심클릭과 ISP가 카드 부정 사용을 막았는지, 공인인증서의 사용이 보안을 가져왔는지는 모르겠는데 거의 10년전의 이 변화가 ‘우리나라의 아마존’을 궤멸 시켜버렸다는 점은 사실이다.

많이들 액티브 액스를 없애면 된다고 생각한다. 액티브 엑스에 대한 혐오는 증오 수준이다. 물론 액티브 엑스는 절대악 수준이다. 하지만 액티브 엑스는 그냥 컨테이너 수준이다. 굳이 비유하자면 전염병의 매개체에 지나지 않는다. 공인인증서나 안심클릭/ISP가 바이러스라면 액티브 엑스는 공기나 물, 오염된 대변, 음식, 침출물 같은 같은 것이다. 만약 그 바이러스가 공기로 옮는것 뿐 아니라 물이나 음식물로도 옮는다고 생각해보라. 물이나 음식물을 들이마셔서 바이러스가 옮으면 대책이 없다. 공인인증서/안심클릭 등도 마찬가지다. 엑티브 엑스는 바이러스로 치면 공기에 지나지 않고, 자바(물)라던지 아예 네이티브 바이너리(음식)로 전파해 버리면 대책이 없다. 진짜로 해결하려면 항바이러스제제를 써서 근원(공인인증서/안심클릭/안전결제 등)자체를 박멸하는것이 정답이다.

아마존과 이베이/Paypal, 애플/iTunes 같은 회사들은 전세계에서 가장 많은 크레딧 카드 정보를 가지고 있는 회사 중 하나이다. 여기에서 한번쯤 쇼핑해본 경험이 있을텐데, 이들은 그만큼 어마어마한 책임을 가지고 정보를 관리하고 있다. 만약 이들이 ‘털린’다면 아마 전세계구급 사고가 날 것이다. 사고 정도가 아니라 소송전이 될 것이고 과실유무에 따라서는 형사사건이 될 것이다. 나도 알고 당신도 알고 그들도 알고 있다. 그렇기 때문에 그들은 정신병적으로 당신의 프로파일을 관리를 하고 있다.

미국의 카드회사들은 광범위하게 카드사기에 대한 대책을 가지고 있으며, 온라인 거래에 대해서 항변권을 보장하고 있고 본인이 사용하지 않은 거래에 대해서 한푼도 내지 않아도 된다는 사실을 홍보하고 있다(절차는 피곤할지 모르지만), 물론 그것에 대한 1차적인 대책과 책임은 카드사들과 상점들이 가지고 있다.

우리나라의 경우에는 1차적인 책임을 사용자에게 지우고 있다는 점이 문제고, 그로 인한 각종 불편을 주고 있다. 사용자에게 의존하는 클라이언트 보안방식에 기댄 지난 십 년간, 쇼핑몰과 은행, 카드사는 상대적으로 허약해 졌다. 지금 당장 만약 액티브 엑스를 없애고, 공인인증서와 안심클릭등을 없앤다 할지라도 쇼핑몰들이 크레딧 카드 정보를 안전하게 보관할 보안 여력이 있을지 의심된다. 한편으로 카드사나 은행이 카드 부정 사용을 탐지할 여력이 있는지, 그리고 부정 사용이 발생했을때 고객을 지켜줄 여력이 있을지 또한 불확실하다.

우리나라의 은행과 쇼핑몰 웹사이트는 집중치료실(ICU)에 입원해 있는 중증 환자와 같다. 엑티브 엑스라는 호흡기를 붙이고 호흡하고 수액을 맞으면서 영양을 공급받고 있는 상황이다. 그렇지만 결국 이걸 떼어내야 할 때가 온다. 오랜 동안의 체력이 떨어져서 목발을 짚거나 재활치료가 필요할테지만 그렇다고 언제까지나 호흡기를 붙이고 누워 앉아 있을수는 없는 것 아닌가?

ActiveX로 삽질하다

설 연휴 중 윈도우 컴퓨터 앞에 앉았다. 대개의 일을 맥으로 하는 내가 윈도우 컴퓨터 앞에 앉았다는 것은 윈도우로 해야하는 일을 해야한다는 것을 의미한다. 이번은 은행일이다. 수월하게 인터넷 익스플로러를 켜서 은행 사이트에 접속해서 USB 드라이브의 공인인증서를 제출했다. 그런데 오류가 발생했다. 공인인증서를 어쩌고 키가 어쩌구 저쩌고. 음? 몇번을 해봐도 마찬가지다. 포기했다. 연휴가 끝나고 은행에 전화해보니 의외로 간단했다. 원흉은 ActiveX였다. 결국 강제로 언인스톨하고 수동으로 재설치하니 짜잔! 언제 그랬냔 듯이 잘 접속되었고 잘 처리했단 경사스런 이야기. 경사로세 경사로세~

젠장맞을. ActiveX.

ActiveX 개발자의 변명과 이에 대한 반박

ActiveX에 대한 반박글에 어떤 개발자가 달아놓은 변명이 있었다. 아쉽게도 원문을 찾지는 못했지만 대강을 옮기자면, ActiveX가 절대악처럼 묘사되는데는 이의가 있다, 자신의 클라이언트에 MP3를 웹에서 다운로드 받아서 MP3에 넣어주는 모듈을 납품했는데, 이런게 자바나 AJAX로 가능하지 않다는 것이다.

그런데 내 대답은 이렇다. 왜 웹에서 MP3를 다운로드 받아서 해야하는지 모르겠다는 것이다. 이 개발자는 이공학도이고 나는 인문학 전공이므로 이공학적 문제를 인문학적으로 반박하자면, ActiveX의 위험성을 비판하는 측의 핵심은 ‘왜 시스템 레벨의 문제를 웹에서 관여하느냐’는 것이다.

요컨데, 웹은 정말 위험한 곳이다. 어떤 쓰잘때기 없는 것이 묻을지 모른다. 그래서 요즈음 전반적인 기술 추세는 되도록이면 웹브라우저가 ActiveX 같이 다운로드 받으면 웹에서 시스템 레벨까지 건드릴 수 있는 것을 안하려고 들고 있기 때문이다. 절대로 안전한 보안은 없다는 관점에서 보면 웹에서 정당한 권한을 얻은 주체가 시스템을 건드릴 수 있다는것은 다시 말하면 정당하지 못한 주체도 시스템을 건드릴 수 있다는 걸 의미한다(그래서 그 악성코드들이 있다)  그래서 마이크로소프트는 점점 ActiveX를 사장시키려고 애쓰고 있고, 점점 깔기 위해서 까다롭게 만들고 있는것이다. 처음에는 노란줄을 띄워서 한번 더 확인하고 비스타부터는 UAC라고 해서 몇번 더 검증을 한다.

IE7이나 8이 나왔을때 한바탕 난리가 난 까닭은 IE가 OS와 다른 레이어, 즉, 샌드박스하에서 운용되기 때문에 시스템레벨을 건드려야 하는 대다수의 ActiveX 플러그인과 그것을 막으려는 IE간의 충돌 때문이다. 지금은 어떻게 우회로를 마련하고 있지만, 덕분에 위험성을 줄이겠다는 본래 문제는 색이 바라고 말았다.

만약 시스템 레벨을 건드려야겠으면, 그때는 프로그램을 다운로드 하는 방식이 존재한다. 이방식이 불편할 수는 있지만, 어떤 측면에서는 매우 안전하고 매우 편리한 방법이다. 다시 말하면 사용자에게 시스템의 컨트롤할 수 있는 여지가 늘어나는 까닭이다. 사용자가 필요할때 다운로드 받아서 설치하고, 사용자가 필요할 때 실행하고, 사용자가 필요로 할때는 삭제할 수도 있는 것이다. Mac OS X과 Windows 7은 웹에서 다운로드 받은 프로그램에 대해서 한번 더 확인을 요구한다.

iTunes를 생각해보라, 사실 iTunes의 수익의 대부분은 WebObject 기반의 iTunes Store, 즉 웹에서 발생하고 있지만, 굳이 iTunes라는 클라이언트 프로그램을 설치해야 작동하게 되어 있다. 그것은 iTunes가 iPod이라는 녀석을 돌리기 위한 녀석이기 때문이고 그러려면 iPod service와 driver를 설치해야 하기 때문이다. 우리나라 업체 같았다면 진즉에 ActiveX로 드라이버와 서비스를 실행하도록 했을 것이라는데 내기를 걸 수 있다(앞서 말한 개발자가 한 일이 그것이었다). 실제로 동생 녀석이 PMP에 인터넷 강의를 받는걸 보았는데 ActiveX로 만들어진 전용프로그램이 PMP까지 파일을 전송하는 것을 볼 수 있었다. 내 전망이 틀리지 않음을 증명하는 사례라 하겠다.

아무튼 이러한 구조는 Mac OS 기반이었던 iTunes와 iTunes Store가 Windows 환경에서도 성공하도록 만들었다. 즉, 브라우저 종속에서 벗어나자, 플랫폼 종속에서도 벗어났다는 것이다. 그래서 ActiveX를 버리라고 요구하는 것이다.

인터넷 익스플로러 8(IE8)에서 ActiveX 삭제하기 글은 생각외로 인기를 끌었다. 이유는 의외로 많은 프로그램들이 삭제 방법을 제공하지 않기 때문이다. 인터넷 뱅킹에 사용되는 보안 프로그램은 상당수 제공이 되지만 문제는 대개의 웹사이트에서 습관적으로 설치되는 IE들을 삭제하기는 만만치 않다.

거기에 더하여, 시스템의 호환성 문제도 생각해봐야 한다. ActiveX 하에서 돌아가는 프로그램중에서 시스템 레벨까지 건드리는 프로그램은 필연적으로 윈도우나 시스템이 변경될때마다 문제가 발생하지 않으리란 법이 없다. 차라리 모든 국민에게 공짜 백신을 줘라에서 주장했던 것은 차라리 어설픈 드라이버 레벨의 방화벽이나 키로거 방지를 하느니, 제대로된 백신과 방화벽을 설치하도록 하는것이 안전하다는 것이다. 64비트 OS를 사용하다보니 과연 키보드 보안이나 해킹 방지 프로그램이 어떻게 작동할 것인가 걱정을 했었는데 다행히도 이미 64비트 프로그램이 나와 있었다. 아마 초기 64비트 사용자는 고생을 했으리라 미뤄 짐작이 가능하다.

64비트 전환에서 느낀것은 어플리케이션 레벨에서 돌아가는 프로그램은 거의 대부분 문제없이 작동하는 것이었다. 그런데 문제가 있다면 말그대로 드라이버 레벨을 건드리는 보안프로그램이나 ActiveX 밖에 없다. 웹 사이트를 돌아다니고 인터넷 뱅킹을 하는데 OS, 아니 윈도우에 따라 작동유무가 갈려서는 안되기 때문이다. 대법원도 결국 많이 사용하는 윈도우에 집중하라는 것이 효율적이기 때문에 문제가 안된다고 파악한것 같으나, 내심 문제가 있다고 생각한다. 윈도우 버전에 따라서도 얼마든지 잘 작동하지 않을 수 있기 때문이다. 판사가 만약 자신의 윈도우 PC에서 인터넷뱅킹이 잘 작동하지 않았을때도 ActiveX를 옹호하는 판결을 내렸을지 의심스럽다.