|
:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
09/09/23 15:50
액티브 액스를 취하지 않는 외국의 웹 뱅킹 방식을 취하자는 건가요?
외국 은행은 뭐 파폭에서도 인터넷 뱅킹이 잘되기도 하고, 액티브도 안떠서 좋고, 이것저것 깔으라는게 없어서 편하다는..
09/09/23 16:06
소인배님// 왜그러십니까,,, 가끔씩 보여주시는 내공은 전공자 뺨을 후려치시는거 같던데;;;
액티브 떡칠좀 안했으면,,,
09/09/23 16:09
서명했습니다.
하지만 궁금한건 액티브 x가 불편하긴 하지만 목적이 보안이기 때문에 은행도 어쩔수없는거아닌가요? 아니면 액티브x 없이 다른 방도가 있나요?
09/09/23 16:14
오월님// 기본적으로 SSL(Secure Socket Layer)라는 방식이 있습니다. 모든 운영체제, 모든 브라우저에서 작동하구요. 나머지 플러그인은 Java로 만들면 역시 (거의) 모든 환경에서 사용 가능합니다. ActiveX라고 뭐 특별히 대단한 일을 하는 것도 아니고, 다 다른 기술로 만들 수 있고, 또 외국에서는 그렇게 만들어 씁니다. 그런 방식에 대해 의구심을 가지실 필요는 없는 것이, 외국에서는 그렇게들 잘만 쓰고 있고, 별로 뚫렸다는 얘기도 없구요... 예를 들어 Paypal만 봐도 그렇잖아요?
09/09/23 16:25
사실 좀 의아하긴 했습니다.
전 처음에는 인터넷으로 은행 관련 업무 하면 보안상의 문제때문에 당연히 그정도 불편은 감수해야하는거라고 생각했는데 방학때 미국 여행 가면서 미국 사이트에서 카드로 결제해보니 우리나라랑 너무 다르더군요. ;; 액티브 엑스가 다 뻘짓 인가요??
09/09/23 16:32
오월님// 지금 국내 시중 은행이나 각종 인터넷 쇼핑몰 등의 전자결제 시스템에서 사용하는 activex 방식의 보안 프로그램을 보면, 이를 설치하기 위해 운영체제나 웹브라우저 레벨에서 설정된 각종 보안 경고를 무시/해제/우회 등등의 방법으로 무력화시키라고 되어 있죠
그러니까 뭐랄까... 사설 보안업체 직원이 야간에 제대로 경비 활동을 할 수 있도록 자택의 대문을 항상 열어 놓고 담을 허물어 놓아 달라 뭐 이런 식입니다
09/09/23 16:36
우리나라가 유독 액티브엑스를 쓰는건, InCA나, 안랩같은 보안전문업체들이 먹고 살수 있도록 해준 정부의 관대한 배려입니다. 크크크...
SSL에다가, 자바로 플러그인(사실 플러그인이라 할것도 없죠) 하는 부분은 너무 쉬워서, 돈이 안되기 때문에...
09/09/23 16:46
거의 대부분 키로그를 잡기 위한 방법이죠.
SSL과 자바플러그인으로 못 할것도 없긴 한건 맞습니다만, 키로그를 설치하는 경우는 아예 상황이 달라지기 때문에 activeX외의 다른 대안이 없는것 입니다.
09/09/23 16:50
제발 파폭에서 인터넷 뱅킹좀 하게 할 수 있었으면 하는 생각..
액티브엑스가 딱히 좋은 시스템도 아니고 말이지요. 아, 은행 말고 기타 주요 공공기관 사이트는 죄다 엑티브 엑스 떡칠이 되어 있어서 파폭으로는 제대로 이용할 수 없는 경우가 대부분이더군요
09/09/23 17:02
루뚜님님// 음, 그건 틀린 말씀은 아닙니다만, 그렇다고 키로그를 못 잡는 것도 아니고 그렇다고 activeX가 키로거에 안전한 것도 아니죠... 물론 개발하기 용이한 것은 맞습니다만. 애초에 사용자의 보안의식이 제일 문제입니다 -_-; Admin 권한을 막 주는 것도 모자라 아예 Admin 계정을 주 계정으로 쓰는 걸 보면 심장이 벌렁거려요.
09/09/23 17:08
다소 첨언하자면, ActiveX를 사용하면 Windows/IE 환경에서 쉽게 보안성을 획득할 수 있습니다. 게다가, 키로거에 대한 대응도 용이하고 운영체제 업데이트를 제대로 안 해도 상관이 없는 등등 꽤 이점이 있습니다. 만일 Windows/IE 환경만 존재한다면 ActiveX를 쓰는 것이 합리적이겠죠. 다만 여타 환경에서는 ActiveX를 쓸 수 없으니 문제가 되는 거죠. SSL+Java 플러그인+적절한 인증서 조합으로도 충분한 보안성을 갖출 수 있고(비록 한국에서 개발하려면 더 경험이 필요하겠지만), 그게 바람직하다는 겁니다. 차선책으로는... Windows+IE의 경우에는 ActiveX를 쓰고, 이외의 경우에는 SSL 기반으로 간다던가 하는 방법이 있겠군요. 애초에 사용자가 컴퓨터 관리 좀 잘 하고, 운영체제 업데이트 꼬박꼬박 받고, 보안 의식이 좀 박혀 있으면 이런 문제가 안 일어날 겁니다. 근데 보안 의식 없는 사용자가 인터넷뱅킹하다 괜히 사고 터지면 골치아프니까 문제가 시작되는 거죠.
09/09/23 17:13
아스트랄님// 현재 ActiveX의 역할은 클라이언트-서버 통신+키로거/각종 말웨어 방지입니다. SSL은 통신 규격이므로 전자에 해당하고, 후자는 Java 플러그인이 맡는 거지요. Java로 못 막을 이유는 딱히 없습니다만(못 막으면 다른 크로스 플랫폼 플러그인을 덧붙이면 되겠죠) 일단 국내에서 ActiveX로 개발을 워낙 많이 해 놔서 옳겨가기가 좀 난감한 겁니다.
09/09/23 17:57
많은 분들이 오해하시는데 Active X가 처음부터 이렇게 x막장 취급을 받는 녀석은 아니었습니다. 사실 우리나라 IT쪽이 이런 것들이 꽤 많은 이유는 역설적으로 나름 남들보다 먼저 발전해서 그런 면이 있습니다. 마치 남들보다 먼저 모바일 인터넷을 활성화했다가 독자적으로 커서 남들하고는 전혀 호환이 안되는 일본의 모바일 인터넷 시장을 연상하시면 비슷합니다.
여하튼 제가 해당 분야 개발자가 아니라 정확히 기술적인 부분은 모르지만 처음 시작할 당시만 해도 Java등 여타 기술보다는 Active X가 훨씬 안전했었거든요. 이후 문제점들이 드러나면서 이제는 시대에 뒤쳐진 놈이 되버렸는데, 문제는 현재 Active X로 금융 거래등을 하는 것이 아예 법제화되있다는 점입니다. 그럼 이걸 바꿔서 이제 Active X 말고 다른 넘들을 쓰면 좋은데 언제나 그렇듯 관료화의 폐단이 한 번 해놓은 것을 잘 바꾸지 않는다는 점입니다. 그렇게 하는 이유중 하나는 현재 공인인증서 암호화 기술을 하는데 돈을 들여서 우리가 나름 독자 개발을 해 놓은 것이 들어가고 있기 때문입니다. 아마 기억하기로는 ETRI의 어딘가였을 겁니다. 아무튼 앞으로도 상당히 오랜 기간 바뀌기는 힘들거 같네요 -_-; 높~은 결정권자중에 이런 쪽으로 문제의식이 있다거나 머리가 있는 인간이 없으니...
09/09/23 19:37
ActiveX를 쓰는 이유는 키로거도 잡아야 되고, 금액 관련된 중요 form을 sign해야 됩니다.
우리나라 인터넷 뱅킹 관련 법 규범에 의하면 결국 부인방지를 위해서 form을 signing하게 되어 있는데 각 브라우저가 지원하는 암호화 방식으로는 암호화 통신은 가능해도, form의 signing은 불가능합니다. 외국의 인터넷 뱅킹+또는 거래가 파폭만으로 가능한건, 그 동네에선 암호화통신만 만족하면 되고 form을 sign할필요는 없기 때문입니다.
|
||||||||||