|
|
||||||||
| 경고! 게시물 작성자의 사전 허락없는 메일주소 추출행위 절대 금지 |
|
갑론을박 말씀을 나누시고 계시듯이 ActiveX를 완전히 도외시 할 필요는 없다고 봅니다.
도구 자체의 문제라기 보다는 사용의 목적과 주체에 잘못되어서 생긴 일이잖습니까. IT 산업을 사회전반에 자리를 차지하게 위해서 어거지로 하다보니, 일반인도 컴퓨터를 다루게 되었고 M$의 올인원 제품을 한국에서 선택한 휴유증이 나타나고 있는 것 뿐입니다. 예전의 매니아적 사용자층만의 IT가 대중화를 거치면서 사용자들의 평균적인 수준과 이해는 낮아질 수 밖에 없는 것입니다. ActiveX만의 문제를 토론한다고 해결방안이 나오는 것은 아니며, 사용자층의 보안에 대한 의식화를 해야 할 시기이기도 합니다. 과거와 같이 일부 사람들만의 IT가 될 것이 아니라면. 누가 이런 일을 시작할지는 모르겠습니다만, 비용에 대한 염려로 계속 이렇게 곪은 상태로 가겠지요. 갑론을박이라고는 하지만, 이번 논란으로 액티브X의 문제점이 일반에게까지 드러난 이후로 액티브X에 긍정적이거나 적어도 부정적이지 않은 측은 오직 개발자밖에 없다는 것이 중요하다고 봅니다.
웹 기술이 수용되는 과정에는 개발자만 있는 것이 아니라 제공하는 쪽, 그러니까 홈페이지 서비스를 제공하는 기업 혹은 정부가 있고 그걸 사용하는 사용자가 있습니다. 그런데 지금의 논란 과정에서 보면, IT 뉴스에 올려놓은 기사들에서도 보다시피 기업, 혹은 정부는 액티브X 수용 과정에 대해 개발업체를 탓하고 있고 일반 사용자들도 비난하는 쪽입니다. 결국 액티브X를 변호하고 있는 것은 개발자들, 그것도 전부가 아닌 일부 개발자 뿐이라는 것입니다. 제가 알고 있는 문제를 나열하자면 끝도 없지요...
시멘택 백신 업데이트 서버 ActiveX가 DDoS의 대상이 되서 자위대, 일본 신무사가 맛간 사건이 근래 들어 ActiveX의 최대 이슈겠군요(리커버리 전산망까지 완전이 맛이 갔었죠) 국내 이슈로는 모 게임 사이트가 서비스 거부 / 해킹을 당했을 때 ActiveX의 백도어를 통해서 우회했습니다. 고객 정보 수백만명이 날아간 뒤였지요 제 손을 거친 온라인 게임 중 ActiveX 런처 / 패치에 트래픽을 걸어 서비스를 거부한 예는 수를 샐 수 없을 정도입니다. (물론 중화풍 해킹이였죠... 툴... ㅠㅠ) 앞서 지적한 모 메신저에도 백도어가 있어서 사용자 정보를 마음대로 가져오고 원격 조정 가능합니다. 모 대형 게임 회사 런처 / 패치에도 문제있는 악성 코드 / 백도어 코드가 있습니다. 모 온라인 보안 프로그램의 경우 경쟁 회사의 제품이 떠 있으면 고의적으로 상대 프로그램을 죽여버립니다. 모 툴바의 경우 작은 사이트, 신문사쪽에 많이 들어가있는데, 계속 ie를 실행하고 있으면 메모리가 물처럼 줄줄줄 샙니다. 서너 시간 두고 있으면 리부팅을 하지 않으면 안될 지경이 됩니다. 저번에 문제가 되었던 야후 툴바는 ie7과 랜덤하게 충돌합니다. ie7과 상당수 툴바는 랜덤하게 다운되는 문제가 있습니다. 그리고 비스타에서는 역설적이게 금융권 사이트의 ActiveX가 제대로 되지 않고 먹통이 됩니다. 전자 상거래도 제대로 못하는 사태가 벌어진것이지요 플래시 9도 ie와 충돌을 일으키고 있어 다운이 되는 문제가 있습니다. 이유는 잘 모르겠더군요... -;; 거래했던 회사 일이라 일일히 실명을 거론할 수 없어 이정도로 끝냅니다. 그리고 ActiveX는 프로그램인데도 불구하고 사용자가 설치 / 제거가 그리 쉽지 않고 뭐가 뭔지 알 수 없습니다. 특히 임시로 테스트 계정으로 activeX를 만든 회사도 많습니다. 인증이 비싸다는 이유 하나만으로 그렇습니다. 모든 기술은 개발자가 아니라 사용자의 입장에서 봐야합니다. 인터넷 거래를 하고 있는데 대단히 유명하고 코스탁에서 잘 나가는 회사의 런처 / 패치가 사용자가 하는 것을 감시하고 자료를 유출하고 있다면 좋겠습니까? 모 메신저 개발자들은 여자친구를 사귀기 위해서 나이 / 성별 / 지역 정보를 자유롭게 검색해서 "이쁜 여성" 메신저에 승인 절차도 없이 접속해서 개발자라고 해서 여친을 구하는 행동은 애교스럽지요.. 악의는 없으니까... 그 정보에 대해서 고객 정보라는 개념이 단지 없고 유출되었다는 감각이 없을 뿐이지요 실제로 문제가 되서 큰 일이 난다면 자사의 ActiveX가 보안이 취약해서 문제가 되었다고 할 간 큰 개발자가 몇이나 될까요? 그냥 해킹 당했습니다. 보안 강화해야겠습니다 정도이지요 DCOM / RPC쪽의 ActiveX의 보안 취약점으로 얼마나 많이 윈도우가 패치되었는지를 보시면 창의적이며 악의적인 크래커가 가장 노리기 쉬운 수단이 바로 ActiveX라는 것을 알게 될 겁니다. 이제 IIS도 웬만한 공격에 견딜 수 있을 정도로 튼튼하거든요. 이제 남은 것은 사용자가 멋모르고 설치하는 ActiveX의 보안 취약점 정도가 최신 트랜드이지요..
마음 독하게 먹고 그리드 음악을 공유하는 모 사이트의 ActiveX를 공격한다면 개인 홈페이지가 얼마나 마비될까요? 백만? 천만? 확실한 것은 최소 사나흘은 사이트 마비와 함께 주변 사이트를 공격하는 DDoS 브로커로 사용할 수 있다는 것입니다. 이런 사실을 들어내놓고 말할 사람들은 그리 없죠. 일하다보면 시간이 촉박해지고 구현이 복잡해지고 웹 프로그래머는 갑갑하고 결국 activeX로 뭔가를 만들죠 초치기를 하는 개발자의 입장은 백번 이해가 갑니다. 결국은 피해가 유저에게 가는 시추에이션이라는 거죠. 신뢰받는 OS를 만들겠다는 엠에스의 공약이 있었지만, 결국 XP SP2에서 자동 다운로드 못하고 잠시 대기하는 어정쩔하게 간 것이지요. 기존에 activeX가 많이 "자신들의 룰"에 벗어나 깔린 것을 ms도 알고 있었던 것입니다. 보안이 뛰어나다는 자바 / 자바 애플릿 역시 간간히 뚫립니다만은 MS 수준으로 우회될 수 있는 합법적인 통로가 있지 않습니다. 이 점이 명검 엑스컬리버이지만, 잘못 휘두르는 상황 때문에 주변을 위협하는 건달이 되어 버린 것입니다. 헐.... DoS 공격이 ActiveX만의 문제입니까? 간단이 Ping만 죽어라 보내는 것으로도 DoS공격이라고 할수있습니다. 해킹된 웹페이지에 ActiveX가 있으면 그 해킹원인이 모두 ActiveX 때문이라고 해석되겠군요? 그리고 ActiveX의 백도어를 설치한것은 개발자와 그 회사의 도덕적 해이가 문제입니다. ActiveX의 문제가 아니라는 점이지요. 하지만 여전이 ActiveX가 개발자나 회사에게 백도어 기능을 추가할수있는 가능성을 제공하므로 ActiveX가 문제가 있다는 것이라고 하는게 정확하지요. 하지만 제가 아래 글을 올린 것을 읽어보신다면, 비스타에서는 기본적으로 더이상 ActiveX가 보안 문제를 일으키는 API의 호출을 허락하지 않는다는 것입니다. 그래서 저는 비스타라면 오히려 우리가 알고 있는 것처럼 ActiveX를 써서는 않된다가 아니라, 제대로 만든 ActiveX라면 비스타에서 더욱 사용해볼수있지 않는냐를 생각을 올린겁니다.
예를 들어 달라서 예를 들어드려습니다... 사건에 대한 결과를 일반화된 사례로 오인하시지 마세요...
핑을 무한정 때린다고 해서 요즘 죽는 서버가 어디있습니까?? 비스타가 보안 문제를 일으키는 API 호출을 정말 지원하지 않는다고 생각하십니까? *.scr 파일 역시 스크린 세이버 파일이였지만 악용되니 바이러스가 되지 않았습니까? 그리고 ActiveX가 처음부터 보안이라고는 생각 안하고 설계가 되었다는 것을 증명하는 것 아닙니까? 비스타에서 UAC를 높이게 되어 admin 권한이라도 가진다면 무용 지물이라는 사실을 모르시진 않으시겠지요? 인터넷 뱅킹 / 쇼핑을 하려면 필수적으로 낮춰야하는 것도 아시죠? 보안 레벨을 조정하게 되면 파일 읽고 쓰기가 되고 다른 api에 대한 제한이 풀립니다. 비스타32비트의 경우 아직 커널 드라이버 접근에 대해서 완벽하게 막지 않기 때문에 sys로 드라이버 만들어서 넣어 버리면 지금과 다를 바 없는 보안의 취약점이 생기는 겁니다. 그리고 제안 드리는 것은 비스타 관련 자료를 공유하면서 같이 공부하시지요. 제가 아는 한은 특정 API를 완전히 사용 정지하지는 못합니다. asm으로 때리는 코드까지 일일히 가드할 것이라 생각하면 오산입니다. 유저들도 원치 않고 개발자들도 보안의 취약성을 인정하면 어쩔 수 없이 액티브X 형태의 배포는 사라지겠군요. 대안으로 단독 설치용이 다시 많이 등장할지도 모르겠습니다. OLE 2.0 컨트롤이라고 배웠는데 웹에 접목되면서 어느새 이렇게 되 버렸네요. 짧은 지식에 좋은 말씀들 고맙습니다.
특히 액티브X 때문에 여기 저기서 피해본 경우는 그 장점을 내세우기가 민망하게 되 버렸네요. 비스타에서라도 보안이 강화되어서 함부로 접근못하게 막는다니 원기술이 잘 활용되길 개인적으로 바래봅니다. (인터넷 뱅킹은 공공재 개념으로 봤을 때 비IE 브라우저에 대한 이용이 허용되는 것이 맞다고 저도 인증합니다.) 박성철님의 의견대로 현재 ActiveX의 형태로의 배포가 사라지고 사용자가 다운로드 받아 설치하는 개념이 많이 등장하라니는 점에 대해서 동감합니다. 일예로 싸이월드가 그런식입니다. 음악을 플레이하는 플러그인 기능을 사용자에게 설치할까 바로 묻지 않고, 화면상에 문구를 두더군요. 대략 "음악 들을라면, 이 링크 눌러 다운로드 받고 플러그인 설치해"라고요.. 이 방식은 기존의 ActiveX방식에 비해 사용자가 좀더 주의를 기울이고, 이런 프로그램이 내 PC에 깔리는구나.. 라는 것에 대한 투명성을 제공하는 장점이 있구요.. 언제라도 필요하다면 언인스톨 시키기에 용의하다는 장점이 있는것같습니다.
하하~ 화두는 이렇습니다. 일반 유저들에게 ActiveX에 대한 문제가 제대로 사회적으로 이슈화된게 언제죠? 바로 비스타 출시와 함께입니다. 물론 개발자들 사이에서는 웹상의 ActiveX 문제가 있다는 건 다들 인지하고 있었겠지요. 그렇다면 비스타 이전에는 이처럼 언론에서나 일반 유져들에게 시끄럽게 ActiveX에 대해 이러쿵 저러쿵한 말도 나오지 않았습니다. 즉, 비스타를 사용하지 않는다면, 지금 그대로 ActiveX를 사용하면 될일이고, 비스타를 사용하고 있고 웹상에 ActiveX가 제대로 잘 돌아간다면, (물론 IE의 보안설정은 기본으로 해둬야겠지요) 예전처럼 안심하고 사용하고 않돌아 간다면 요놈이 뭔가 내 PC를 읽거나 쓰려는 의심의 여지가 있구나.. 하는 것을 알게 되겠지요.. 추후 비스타가 더욱 많이 보급된다면 이제는 자의든 타이든 개발자들이 웹상에서 ActiveX를 본의 그대로 제대로 만들수밖에 없겠지요. 음.... 제게 능력이 된다면 비스타를 전세계인에게 사주지 못할것도 없지요. 이제 땡전적인 문제가 이슈인가요?
관련 글 리스트
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Copyright © 1999-2015, borlandforum.com. All right reserved. |
네이티브로 구현한다는 말을 하면 단순히 CS만 생각하는 분들도 있는데, 요즘 업무용 프로그램을 네이티브로 구현하는 경우 CS가 아닌 멀티티어로 구현하죠. 저같은 경우에도 그렇게 개발했구요.
물론 이런 말씀을 드린다면 웹이 대세라든지 고객사에서 웹을 원한다든지 그런 말씀을 하실 수도 있겠지요. 하지만 고객이 원하는 더 높은 보안과 더 역동적이고 화려한 UI를 원한다면, 웹에 액티브X를 올려서 해결하는 것보다 네이티브로 구현하는 것이 고객사의 실제 이익면에서 더 도움이 되는 것이 사실이고 그렇게 설득하는 것이 당연하지 않습니까.
인터넷, 특히 지금 논란이 되고 있는 전자정부 사이트 같은 경우, 애플릿으로 재개발하는 것은 충분히 타당하다고 생각합니다. 웹에서 최대한의 편의를 위해 네이티브 수준의 기능을 모두 집어넣는다는 발상은, 사실 인트라넷이 아닌 인터넷 환경에서 액티브X도 아무런 문제가 없다는 인식이 아니라면 애초에 없었을 발상입니다. 그래도 굳이 필요하다면 인쇄용 프로그램을 다운로드해서 설치하는 방법도 있을 수 있겠지요.