:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
15/02/21 12:53
아무리 SSL 적용해놔도 ActiveX 넋놓고 ok 누르는데 익숙해져서 보안 구멍이 생기기 쉽죠. 첫 단추부터 잘못 끼워버린...
15/02/21 19:42
잘 봤습니다.
한국 웹사이트들이 SSL이나 TSL 대신 ActiveX를 고집하는 이유에 대해서 조금 더 자세히 설명해 주실 수 있으신가요? 설명하신 대로라면 외국 사이트들은 SSL이나 TSL 기반 보안을 사용하는 이유가 납득이 안갑니다.
15/02/21 20:00
잘 봐 주셨다니 감사합니다.
우선, SSL/TLS는 보안 프로그램(IE에서는 ActiveX, 크롬/파폭에서는 플러그인)과 상충되는 개념이 아닙니다. 실제로 오늘날 한국 금융권/상거래 사이트들은 [둘 다] 쓰고 있습니다. 우리 은행을 예로 들면, 사이트 주소가 https://www.wooribank.com/ 입니다. HTTPS를 사용한다는 것을 알 수 있죠. 여기에 키보드 보안이나 개인 방화벽 같은 추가적인 보안 프로그램을 동원하는 것입니다. 왜 한국과 달리 외국은 보안 프로그램을 설치하지 않는가... 저는 은행 및 상거래 사이트들의 보안에 대한 요구치(기대치?)가 다르기 때문이라고 생각합니다. 보안 프로그램이 보안을 향상시키는 것은 분명한 사실입니다. 이것 자체에는 논박의 여지가 별로 없습니다. 그러나 만물이 그렇듯 이것 역시 공짜가 아닙니다. 1. 간단하게 생각해서 보안 프로그램 개발도 돈입니다. 은행은 SSL/TLS라는 기본적인 보안 수준 위에 보조적인 보안 수단을 제공하느라 추가적인 비용을 지출하고 있죠. '이 비용이 감수할 만한가?'는 은행의 선택이겠습니다만, 어쨌든 이것도 비용이긴 비용이고 장기적으로 보면 소비자에게 전가될 비용이기도 합니다. 2. 사용자 불편을 가중시킵니다. 뭐 이건 너무나 유명해서 두 말 할 필요가 없죠. 사이트마다 몇 개씩 플러그인 설치, 어떨 때는 자기들끼리 꼬이기도 하고, 가끔은 블루스크린을 띄우기도 합니다. (제가 그래서 맥북에서 BC 카드 사이트를 접속하지 못하고 있습니다. 유명한 버그예요.) 3. 사이트에 접속하려면 으레 프로그램을 설치하는 게 정상이라는 분위기를 만듭니다. 무슨 프로그램이든 설치한다는 행위 자체가 악성 코드나 바이러스를 유입시킬 확률을 높이기 때문에 가급적 기본 프로그램만으로 웹 이용이 가능하다는 인식이 있어야 하는데, 프로그램 설치에 대한 부담감을 상당히 낮추고 있죠. 이런 저런 단점이 있지만, 앞서 말했듯 보안 프로그램이 보안을 높이는 것도 사실이기 때문에, 결국 트레이드-오프라고 할 수 있습니다. 이 점에 대해서 한국은 추가적인 보안 프로그램을 요구한 역사가 깊고, 은행들이나 상거래 사이트도 단점보다는 장점이 크다는 인식이 있는 것이겠죠. 반대로 외국은 보안 프로그램이라는 문화도 없었고, 굳이 추가적인 보안을 도입하기에는 단점이 너무 많다고 생각하는 것이겠죠. 2번이 상당히 결정적인 역할을 할 것입니다. 만일 외국의 어떤 은행이 비용을 감수하고서라도 보안 프로그램을 도입했다고 치죠. 그러면 보안이 향상되는 효과를 누릴 수 있겠지만, 당장 사용자 반발이 어마어마할 것입니다. 한국은 사용자들을 잘 길들여 놓았지만, 외국은 그런 게 없으니까요. 바로 다른 은행으로 도망가 버리겠죠. 이러면 은행 입장에서는 큰 손해이므로, 감히 시도할 수가 없겠죠.
15/02/22 14:26
은행의 입장에서는 2번이 중요하지만,
실제 보안의 입장에서는 3번이 중요합니다. 웹이라는 개념에서 가장 중요한 것은 서버(웹, 인터넷 등)와 로컬(개별 기기, 대표적으로 PC)을 분리하는 것입니다. 영화관의 개념을 빌려 설명하자면, 웹은 스크린에 3D 영화라는 화면을 쏘고, 사용자는 로컬이라는 안경을 통해서 완벽한 3D 영화를 접하는겁니다. 그래서 사용자의 안경은 가능한 깨끗한 정품 상태로 유지해서 웹이 쏘는 정보를 100% 순수하게 받아들일 수 있도록 하는게 보안의 기본 개념입니다. 보안이 깨진다는 건 누군가가 안경에다가 장난질을 쳐서 안경을 통해 스크린을 보는게 아니라 안경알에 이상한 화면이 뜨도록 만들어서 사용자가 보려고 의도하지 않은 화면을 보도록 만드는 상황이라고 할 수 있겠습니다. 위의 영화관 예에서 볼 수 있듯이 기본적이고 핵심적인 보안 유지의 포인트는 서버(3D 영상을 스크린에 쏘는 영사기)가 로컬(사용자가 쓰고 있는 3D 안경)을 건드리지 못하도록 하는 것입니다. 더 엄밀하게 말하면, 그 누구도 로컬을 건드리지 못하게 해서 로컬을 순수하고 안전한 상태로 놔두는 것이 보안의 핵심이죠. 근데 우리나라식 보안은 로컬을 오염시킵니다. 아무거나 막 다운받게 만들어요. 대부분은 은행이나 공공기관에서 제공한 보안프로그램이니까 괜찮지만 단 한 번만, 단 한 번만 잘못된 프로그램을 다운받으면 로컬 보안이 붕괴됩니다. 그래도 사람들은 자기가 잘못된 프로그램을 다운받았는지 모릅니다. 워낙 많은 프로그램을 다운받았으니 뭐가 맞고 뭐가 틀린지 알 도리가 없죠. 이미 프로그램을 다운받아서 로컬을 수정하는게 습관화되어버려서 자기가 하는 행위가 위험한 행위라는 걸 모릅니다. 제가 생각하는 대한민국 보안은 이런겁니다. 미국 슬럼가에서 방탄복에 방탄헬멧을 입고, 남들 눈에 보이게 총들고 돌아다니는거에요. 이러고 총 맞아 죽지 않기를 바라는 건 과욕이죠. 이러고 돌아다니면 시간이 얼마나 걸리냐의 문제일 뿐 갱한테건 경찰한테건 반드시 총 맞습니다. 총 맞아 죽고싶지 않으면 방탄복, 방탄헬멧을 입을게 아니라 안전하고 치안이 유지되는 거리만 다녀야합니다. 그리고 마지막으로 첨언하자면 입고 돌아다니는 방탄복, 방탄헬멧도 별로 성능이 좋은 건 아니라는게 함정이죠...
|