//[Computername]/[shared] /mnt/mounted
or
mount -t smbfs -o username=[User] //[IP]/[shared] /mnt/mounted
최신 배포본의 경우 smbmount가 mount의 내부 명령으로 변경.
2007년 2월 24일 토요일
공유된 윈도우스(NTFS) 파티션 원격으로 마운트 하기
mount -t smbfs -o username=[User],password=[PW]
ordinary mount command
mount -t [type] [dev] [dir]
ex.) mount -t ntfs /dev/hda1 /mnt/hda1
umount [dir]
ex.) umount /mnt/hda1
Preparation for NTFS
1. add NTFS module to the kernel.
/sbin/modprobe ntfs
2. verify loaded module.
dmesg | grep NTFS => NTFS driver n.n.nn [Flags: R/W MODULE]
cat /proc/filesystems
3. list partition tables.
/sbin/fdisk -l
2007년 2월 23일 금요일
[News] ActiveX 없앤다고 문제가 해결될까?
한국에서 ActiveX는 공공의 적이다. ActiveX가 웹환경을 불안정하게 만드는 주범이라 하고, ActiveX만 사라지면 한국 웹환경이 크게 정화될것처럼 말들을 한다. ctiveX가 퇴출되어야 한다는 것엔 이론의 여지가 없고, 퇴출방법과 이 사태의 책임론을 따지는 것이 당연시 될 정도이다. 과연 이러한 일방적 여론은 옳을 것일까? ActiveX를 문제의 주범으로 보는 것은 옳지않다고 말하는 사람들도 있다. 그들은 한국의 웹환경상 ActiveX 외엔 선택의 여지가 별로 없었고 ActiveX를 퇴출시키더라도 전반적인 웹환경은 나아지지 않을 것이라고 한다.
얼마전 웹상에서 이러한 반론자 중에 한 사람의 글을 접하게 되었다. 많지 않은 반론인 점도 있지만 무엇보다 그의 글이 나의 관심을 끌었던 것은 공인인증서를 동원해도 보안에 어려움을 느끼는 한국과 달리 미국 등에선 아직도 한메일 로그인식으로 계좌이체를 하고 카드번호만 알아도 아마존 주문이 가능하다는 것이었다.
항상 해외선진국의 보안은 한국보다 앞섰을거라 짐작했었는데 그가 소개한 내용은 일반적 상식과는 너무 달랐다. 그의 설명은 ActiveX가 한국에서 사태로까지 발전하게 된 것은 외국에 비해 보안수준이 낮아서가 아니라 과도한 보안민감도와 낮은 신뢰문화 때문이라는 것이었다.
ActiveX 논쟁의 변증법적 진전이라는 느낌이 들었다. 그래서 그의 글을 소개해준 skepticalleft.com의 mathlove님을 통해 ActiveX 관련한 인터뷰를 부탁하였다. 16일 보낸 질문지에 대한 답변이 19일 돌아왔다. 편의상 그를 'X맨'이라 부르겠다. 'X맨'은 컴퓨터과학 전공자로서 그동안 보안문제에 관심을 가지고 국내금융사들의 인터넷뱅킹 보안허점을 지적해온 이력을 가진 30세 정도의 김모씨로 자신을 소개했다. 그 분야에서 알만한 사람은 아는 상당한 성과도 있다고 한다.
ActiveX의 경쟁력
커서 : 먼저 우문같지만, ActiveX가 이렇게 한국인터넷을 장악할 정도의 경쟁력을 가지게 된 이유는 무엇입니까?
X맨 : ActiveX 뿐만 아니라 윈도우와 각종 MS 소프트웨어들이 널리 퍼지게 된건 무엇보다도 설치와 사용의 편리함 때문입니다. 보안성능은 어떤 방법(언어, 툴)을 쓰던 100% 똑같은 성능을 만들어낼 수 있습니다. 다만 얼마나 사용자접근성이 잘 갖춰졌냐는 측면에선 단연 MS와 MS-윈도를 따라올만한 것이 없는 게 현실입니다.
커서 : 퇴출론자들의 주장으로는 ActiveX의 가장 위험한 부분이 웹에서 맘대로 개인피시를 통제(control) 하는 것이라고 하는데, 리눅스나 ActiveX가 아닌 다른 프로그램을 쓰면 이런 통제가 없는 것입니까?
X맨 : 사실 control(통제)이라 함은 어떠한 OS든 프로그램이든 가능합니다. 리눅스에서 키보드 보안을 해야한다면 그 역시 device를 제어하는 kernel 코드에 직접 액세스 가능해야 될텐데 이 역시 관리자(root)권한을 필요로 합니다. 일단 관리자 권한을 얻은 process(쉽게 말해 internet explorer, winamp 이런 프로그램이 돌아가는걸 뜻함)는 개인피씨를 마음대로 주무를 수 있다는 점에서는 공통적입니다. 하드웨어적인 보안을 구현하는 차원에선 당연히 관리자 권한을 필요로 하게되고, 리눅스나 여타 OS 역시 인터넷뱅킹의 경우 혼자서 관리자권한으로 쓰는 경우가 많기 때문에 꼭 MS-윈도우만 보안에 취약하다고 단정하긴 어렵습니다.
커서 : ActiveX가 자바 등과 비교해서 접근성 외에 사용성도 뛰어나다고 하는데 어떻습니까?
X맨 : 자바의 경우 속도가 상당히 느리고 Windows XP 이후의 버전에선 Java Virtual Machine이 기본적으로 탑재되어있지 않아서 사용자들이 개별적으로 설치해줘야 된다는 사소한 문제점이 있습니다. 이게 컴퓨터를 좀 다룰 줄 아는 중수급 이상에겐 아무것도 아니지만 초보자라면 쉽게 포기할 수도 있는 문제입니다.
커서 : 그렇다면 지금의 사용성을 유지하려면 ActiveX밖에 없는건가요? 만약 ActiveX를 쓰지 않고 보안성과 웹구현을 현재만큼 유지하려면 사용자는 어떤 불편을 겪게 되죠?
X맨 : 개별 프로그램을 따로따로 설치해주면 됩니다. 리눅스(또는, 예전의 DOS) 사용자들은 그러한 개별 설치에 아주 익숙해져 있고 그런 작업을 나름대로 깔끔하다고 생각합니다. 저 역시 MS-윈도우로 접어들면서 제멋대로 설치하고 특히 레지스트리와 \windows 폴더에 안치워지는 쓰레기가 쌓이는걸 아주 못마땅하게 생각하던 사용자였으니까요.
하지만 초보사용자 중에 exe, msi, zip 파일 받아다 특정 디렉토리에 압축풀고 설치한 다음, ActiveX의 자동 호출이 필요할 때마다 수동으로 시작-실행-특정 폴더에 가서 필요한 프로그램들 일일이 실행해주는 작업을 백 명 중에 몇이나 제대로 따라할 수 있을지 걱정됩니다.
ActiveX를 없앤다고 보안문제가 해결되진 않는다
커서 : 현재 ActiveX에서 발생한 보안문제 등을 보면 프로그램 등의 문제가 아닌 사용자의 부주의가 대부분이라고 하는데 맞습니까? ActiveX 자체의 결함으로 발생한 문제는 없습니까?
X맨 : 제 생각엔 90%이상 사용자의 무지에 따른 부주의입니다. “설치하겠습니까 yes/no?”를 묻는 프로그램이 악성코드인지 꼭 필요한 프로그램인지 구별 할줄 알면 이미 중급수준은 된다고 봅니다. ActiveX 자체의 결함도 충분히 가능하겠지만, 그런 건 다른 OS에서도 자주 등장합니다. 유독 MS-윈도우에 대한 해킹이 많이 시도되는 건 특히 한국에서 MS-윈도우 사용자층이 대부분이기 때문이라고 봅니다. 리눅스처럼 MS-윈도우의 소스를 공개해버린다면 더욱 다양한 해킹이 가능할거라고 확신합니다.
커서 : 그런데 왜 MS는 비스타에 ActiveX를 더 이상 않쓰겠다는거죠. ActiveX 없이도 보안성과 사용성을 높였다는 건가요.
X맨 : 악성코드들이 ActiveX를 통해 침투해서 MS-윈도우를 통제불능으로 만드는 사태가 빈발하기 때문이라고 봅니다. 물론 그건 사용자들의 무지와 부주의가 주원인입니다. 그러나 MS-윈도우 쓰는 사람들의 상당수는 다른 OS의 경험이 거의 없는 일반계층이기에, 편리성보다는 위험성을 더 크게 고려할 수밖에 없었을 겁니다. 그리고 외국의 경우 웹사이트 구성이 한국에 비해 단순합니다. 제가 2002년까지 호주에 살던때만 해도 인터넷뱅킹으로 이체하는 작업에 단순히 아이디와 패스워드 딱 두가지로 해결됐습니다. 한국에서는 상상도 못할 일이죠. 그들은 ActiveX 포기해도 큰 불편함을 없을거라고 판단했을 수도 있습니다. 이는 한국의 현실과 완전히 동떨어진 것이지요.
커서 : 결국 ActiveX가 이렇게 공공의 적처럼 취급받는 것은 ActiveX 자체의 결함 때문이 아니라 스패머(스파이웨어)들 때문이랄 수도 있는데 그렇다면 오히려 ActiveX 를 공격하기보다 스패머에 대한 대책과 조치를 취하는 게 옳은 것 아닐까요?
X맨 : 일반인들은 단순한 피씽 싸이트에도 속아넘어갑니다. 그정도의 지식을 가진 사람들에게 프로그램의 성격에 따라 설치할지 말지 판단을 요구하는건 어불성설입니다. 결론은 저 역시 스패머에 대한 강력한 대책이 필요하다는겁니다.
커서 : 상업적 이익을 노리는 보안회사와 언론의 과도한 보안관련 보도 등으로 사회에 너무 인터넷 보안염려증이 퍼졌기 때문은 아닌지요?
X맨 : 부정할수는 없는 이야기입니다. 심지어 백신 개발업체가 고의로 뿌린 바이러스와 악성코드도 적지 않다는 물증없는 심증은 여러번 있었습니다.
기술보다는 문화 차이가 한국만의 ActiveX 사태를 불렀다
커서 : 'mathlove'님이 소개한 님의 글에서 제가 가장 관심가졌던 부분은 한국과 외국의 보안환경을 비교한 것이었습니다. 미국 등은 아직도 한메일 로그인식으로 은행거래를 한다고 하면서 외국이 보안문제가 없는 것은 보안기술이 뛰어나서가 아니라 사기 등의 보안사건이 심각하지 않기 때문이라고 하셨습니다. 결국 ActiveX 문제는 한국과 외국의 문화적인 차이가 크게 작용했다는 시각이신데 설명 부탁드립니다.
X맨 : 제 개인적 생각으로는 그렇습니다. 한국에서 웬만한 대형업체들 지나다니다보면 땅바닥에 나뒹구는게 신용카드 매출전표고, 아직까지도 카드번호 16자리와 유효기간 4자리를 **로 가리지 않고 그대로 노출해버리는 경우가 적지 않습니다. 미국식으로 인증하면 그 굴러다니는 영수증으로도 주문이 가능합니다. 네이버의 카드 관련 지식인을 찾아보면 외국에서 한국의 신용카드는 접수하지 않는다고 불평하는 분의 글이 보이는데 바로 이런 차이에서 비롯된 것입니다. 그들과 우리의 보안환경이 다른 겁니다. 까놓고 얘기해서 거긴 사기를 잘 안친다는 겁니다.
심지어 어느정도의 차이가 있냐면, 길거리에 현금이 떨어져있어도 안집어갈 정도로 순진~멍청한 사람들이고, 초중고에서 객관식을 모르면 빈칸으로 비워두는게 당연하다고 여기는 정도로 순진~멍청한 사람들입니다. 단, 한국인 유학생들이 많이 몰린 곳에서는 이제 그렇지 않은 경향이 좀 있습니다. 한인 이민자들이 은행을 상대로 사기치는 수법에 대해선 저도 혀가 내둘러질 정도이며, 호주 S모 지역의 C모 은행은 한국 여권 소유자들에게 아예 계좌 개설을 거부하는 초강경 정책을 실시하기도 했습니다.
커서 : 해외선진국에서는 결제를 할 때 SSL방식을 많이 쓴다고 합니다. ActiveX 퇴출을 주장하시는 분들도 SSL만으로 충분하다고 말하는데, 한국만 유독 ActiveX 쓰는 이유는 뭘까요?
X맨 : SSL 갖고만 하는 외국 인터넷뱅킹싸이트는 key logger 하나만 설치해놔도 다 뚫립니다. 심지어 텍스트 브라우저로도 인터넷뱅킹이 가능합니다. 그리고 전자정부에서 ActiveX 쓰는거 많이 비판하는데, SSL 하나 갖고만 하면 저라도 남의 등초본 금방 뗄 수 있습니다. 그렇다고 지금도 구멍이 없는 것은 아니고요.
그리고 외국과 우리는 인터넷 환경이 다릅니다. 한국처럼 움직이는 동영상 플래쉬 등의 fancy한 자료가 아주 많은 웹사이트가 일반적인 환경에서 그 모든 데이타를 SSL로 주고받는건 문제가 많습니다. 실제로 외국 홈페이지들은 텍스트브라우저로 봐도 전혀 불편이 없을 정도로 아주 단순하게 짜여진 경우가 많습니다만, 여기엔 그들의 열악한 통신환경도 한몫 합니다. 흔히 말하듯, 서양 선진국에 나갔다와 봐야 한국 인터넷 환경이 어느 정도나 최고급인지 알 수 있습니다.
커서 : 잘 이해가 안갑니다. 외국의 그 거대한 은행들이 돈이 없는 것도 아니고 어떻게 그렇게 보안시스템이 허술할 수있죠. 솔직히 믿기지 않는데요.
X맨 : Anti MS 정서가 우리보다 훨씬 강하고 또 그렇게 쉽게 해놔야 장애인, 노인, 어린이들도 쓸 수 있다는 취지입니다. 결정적으로는, 앞서 말씀드렸듯 그들과 우리의 신용문화가 다르다고 봐야 할겁니다. HSBC 은행이 최근에 제2 암호로 내세운게 집전화번호 끝 4자리입니다(ㅎㅎㅎ) 얘들은 보안카드 이체암호 이런게 전혀 없다보니 개인인증에 집전화번호 4자리 누르라고 하는 겁니다. 심심하시면 HSBC 계좌 열어놓고 외국 인터넷뱅킹의 실상을 체험해보는것도 재밌을 겁니다.(^^) 제가 재작년에 찔러서 억지로 공인인증서를 통과시키긴 했습니다.
한국에서 보면 이런 외국 은행/카드결제는 간을 배밖으로 내놓은거라고 생각할 수밖에 없습니다. 그렇다고 거래의 책임이 개인에게 있느냐? 그것도 아닙니다 서양이야말로 대부분 은행책임입니다. 그럼에도 불구하고 이런 시스템이 잘 굴러가는걸 보면 신용사회란게 대단하다고 봐야겠죠.
커서 : “전자정부에선 왜 ActiveX만 쓰이냐”는 시민행동의 질문에 행자부가 보낸 답변을 보면 “다른 응용소프트웨어 기술의 안정성 등에 대한 보장이 완벽하지 않고, 단기간에 구현해야 하는 전자정부 서비스에 적용하기 곤란하여 우선 국민 대다수가 이용하고 있는 윈도우 운영체제만을 지원토록 하였다”라는 말이 나오고 또 “2005년 10월의 인터넷 민원서비스 발급 중단 사례에서 알 수 있다시피 다른 나라와는 달리 약간의 보안상의 문제도 허용되지 않는 상황임” 이라는 말도 나옵니다. 결국 보안문제가 빈발한 한국사회에서 보안의 완벽성을 기하기 위해 OS의 다양성을 희생시켰다는 것인데 어떻습니까?
X맨 : OS의 다양성을 희생시켜서라도 금융신뢰도가 낮은 이 사회에서 전자상거래를 유지시키기 위해 어쩔 수 없는 선택이라고 바라보는게 제 입장입니다. 만약 한국도 미국의 amazon.com 처럼 카드번호 16자리와 유효기간 4자리로 인증 끝내는 방식이라면 저는 한국에서 신용카드 온라인 결제를 과감하게 포기할겁니다.
커서 : 마지막으로, 현재 지적되는 보안문제들이 없어질려면 어떻게 해야 할까요?
X맨 : 설치가 아주 복잡한 방식이라면 가능할 법 합니다. 물론 비현실적입니다. (1) ActiveX 든 다른 형태의 보안 프로그램이든, 일반 개인은 설치할 권한을 몰수하고, 국가에 등록된 극소수의 보안업체에서 출장나온 기사만 설치할 수 있게 하는 방법 (2) 개인중에 국가에서 실시하는 인터넷 관련 지식 시험을 통과한 자만이 설치할 수 있게 하는 방법 - 나머지는 인터넷뱅킹 포기해야겠죠.
커서님의 인터뷰 요청 감사드립니다. 늦었지만 새해 복 많이 받으십시오.
X맨님과의 인터뷰를 끝내고 필자는 ActiveX논란에 대해 몇 가지 느끼게 된 것들이 있다.
첫째, ActiveX논란이 한국사회의 낮은 신뢰도로 인한 비용이 아닌가 하는 점이다. 거래 상대방간에 서로를 믿지못해 이중 삼중의 보안장치를 갖추게 되고 다시 이 보안장치가 또 보안문제를 일으키고 있는 상황인 것이다. 결국 이 문제는 보안기술을 높이기 보다 한국사회의 신뢰도를 높이는 것이 더 빠르고 효율적인 방법일지 모른다.
둘째, 모든 조건을 최상으로 만족시키긴 어렵다는 것이다. 관련자들의 말을 들어보면 보안성과 사용성 그리고 최첨단의 웹구현을 모두 만족시키는 데엔 사실 ActiveX를 따라올만한 것이 없다고 한다. 만약 보안성을 최대로 높일려면 ActiveX를 포기해야 하는데 그러면 사용성을 팍 낮추어야 한다. 과연 일반사용자들은 보안을 위해 그런 불편함을 감수할까? ActiveX논의엔 보안외에 사용성과 웹구현도 같이 고려되어야 할것이다.
셋째, ActiveX문제를 MS의 독점이나 정부의 정책에만 책임 지울 수 없다는 것이다. 이 논란엔 사회문화적인 문제도 개입되어 있다. 만약 정부의 정책변경과 MS 독점해소만으로 이 문제를 풀려한다면 비슷한 문제는 또 발생하게 되는 것이다. 한국사회의 신뢰도를 높이고 약간의 보안문제에도 크게 떠드는 과도한 보안민감도를 낮추는 등의 내재적 노력도 필요할 것이다.
제발 한국에서의 논란들이 그렇듯 또 ActiveX 하나 잡고 모든 문제가 해결되었다는 식으로 이 논란이 끝나지 않길 바란다.
얼마전 웹상에서 이러한 반론자 중에 한 사람의 글을 접하게 되었다. 많지 않은 반론인 점도 있지만 무엇보다 그의 글이 나의 관심을 끌었던 것은 공인인증서를 동원해도 보안에 어려움을 느끼는 한국과 달리 미국 등에선 아직도 한메일 로그인식으로 계좌이체를 하고 카드번호만 알아도 아마존 주문이 가능하다는 것이었다.
항상 해외선진국의 보안은 한국보다 앞섰을거라 짐작했었는데 그가 소개한 내용은 일반적 상식과는 너무 달랐다. 그의 설명은 ActiveX가 한국에서 사태로까지 발전하게 된 것은 외국에 비해 보안수준이 낮아서가 아니라 과도한 보안민감도와 낮은 신뢰문화 때문이라는 것이었다.
ActiveX 논쟁의 변증법적 진전이라는 느낌이 들었다. 그래서 그의 글을 소개해준 skepticalleft.com의 mathlove님을 통해 ActiveX 관련한 인터뷰를 부탁하였다. 16일 보낸 질문지에 대한 답변이 19일 돌아왔다. 편의상 그를 'X맨'이라 부르겠다. 'X맨'은 컴퓨터과학 전공자로서 그동안 보안문제에 관심을 가지고 국내금융사들의 인터넷뱅킹 보안허점을 지적해온 이력을 가진 30세 정도의 김모씨로 자신을 소개했다. 그 분야에서 알만한 사람은 아는 상당한 성과도 있다고 한다.
ActiveX의 경쟁력
커서 : 먼저 우문같지만, ActiveX가 이렇게 한국인터넷을 장악할 정도의 경쟁력을 가지게 된 이유는 무엇입니까?
X맨 : ActiveX 뿐만 아니라 윈도우와 각종 MS 소프트웨어들이 널리 퍼지게 된건 무엇보다도 설치와 사용의 편리함 때문입니다. 보안성능은 어떤 방법(언어, 툴)을 쓰던 100% 똑같은 성능을 만들어낼 수 있습니다. 다만 얼마나 사용자접근성이 잘 갖춰졌냐는 측면에선 단연 MS와 MS-윈도를 따라올만한 것이 없는 게 현실입니다.
커서 : 퇴출론자들의 주장으로는 ActiveX의 가장 위험한 부분이 웹에서 맘대로 개인피시를 통제(control) 하는 것이라고 하는데, 리눅스나 ActiveX가 아닌 다른 프로그램을 쓰면 이런 통제가 없는 것입니까?
X맨 : 사실 control(통제)이라 함은 어떠한 OS든 프로그램이든 가능합니다. 리눅스에서 키보드 보안을 해야한다면 그 역시 device를 제어하는 kernel 코드에 직접 액세스 가능해야 될텐데 이 역시 관리자(root)권한을 필요로 합니다. 일단 관리자 권한을 얻은 process(쉽게 말해 internet explorer, winamp 이런 프로그램이 돌아가는걸 뜻함)는 개인피씨를 마음대로 주무를 수 있다는 점에서는 공통적입니다. 하드웨어적인 보안을 구현하는 차원에선 당연히 관리자 권한을 필요로 하게되고, 리눅스나 여타 OS 역시 인터넷뱅킹의 경우 혼자서 관리자권한으로 쓰는 경우가 많기 때문에 꼭 MS-윈도우만 보안에 취약하다고 단정하긴 어렵습니다.
커서 : ActiveX가 자바 등과 비교해서 접근성 외에 사용성도 뛰어나다고 하는데 어떻습니까?
X맨 : 자바의 경우 속도가 상당히 느리고 Windows XP 이후의 버전에선 Java Virtual Machine이 기본적으로 탑재되어있지 않아서 사용자들이 개별적으로 설치해줘야 된다는 사소한 문제점이 있습니다. 이게 컴퓨터를 좀 다룰 줄 아는 중수급 이상에겐 아무것도 아니지만 초보자라면 쉽게 포기할 수도 있는 문제입니다.
커서 : 그렇다면 지금의 사용성을 유지하려면 ActiveX밖에 없는건가요? 만약 ActiveX를 쓰지 않고 보안성과 웹구현을 현재만큼 유지하려면 사용자는 어떤 불편을 겪게 되죠?
X맨 : 개별 프로그램을 따로따로 설치해주면 됩니다. 리눅스(또는, 예전의 DOS) 사용자들은 그러한 개별 설치에 아주 익숙해져 있고 그런 작업을 나름대로 깔끔하다고 생각합니다. 저 역시 MS-윈도우로 접어들면서 제멋대로 설치하고 특히 레지스트리와 \windows 폴더에 안치워지는 쓰레기가 쌓이는걸 아주 못마땅하게 생각하던 사용자였으니까요.
하지만 초보사용자 중에 exe, msi, zip 파일 받아다 특정 디렉토리에 압축풀고 설치한 다음, ActiveX의 자동 호출이 필요할 때마다 수동으로 시작-실행-특정 폴더에 가서 필요한 프로그램들 일일이 실행해주는 작업을 백 명 중에 몇이나 제대로 따라할 수 있을지 걱정됩니다.
ActiveX를 없앤다고 보안문제가 해결되진 않는다
커서 : 현재 ActiveX에서 발생한 보안문제 등을 보면 프로그램 등의 문제가 아닌 사용자의 부주의가 대부분이라고 하는데 맞습니까? ActiveX 자체의 결함으로 발생한 문제는 없습니까?
X맨 : 제 생각엔 90%이상 사용자의 무지에 따른 부주의입니다. “설치하겠습니까 yes/no?”를 묻는 프로그램이 악성코드인지 꼭 필요한 프로그램인지 구별 할줄 알면 이미 중급수준은 된다고 봅니다. ActiveX 자체의 결함도 충분히 가능하겠지만, 그런 건 다른 OS에서도 자주 등장합니다. 유독 MS-윈도우에 대한 해킹이 많이 시도되는 건 특히 한국에서 MS-윈도우 사용자층이 대부분이기 때문이라고 봅니다. 리눅스처럼 MS-윈도우의 소스를 공개해버린다면 더욱 다양한 해킹이 가능할거라고 확신합니다.
커서 : 그런데 왜 MS는 비스타에 ActiveX를 더 이상 않쓰겠다는거죠. ActiveX 없이도 보안성과 사용성을 높였다는 건가요.
X맨 : 악성코드들이 ActiveX를 통해 침투해서 MS-윈도우를 통제불능으로 만드는 사태가 빈발하기 때문이라고 봅니다. 물론 그건 사용자들의 무지와 부주의가 주원인입니다. 그러나 MS-윈도우 쓰는 사람들의 상당수는 다른 OS의 경험이 거의 없는 일반계층이기에, 편리성보다는 위험성을 더 크게 고려할 수밖에 없었을 겁니다. 그리고 외국의 경우 웹사이트 구성이 한국에 비해 단순합니다. 제가 2002년까지 호주에 살던때만 해도 인터넷뱅킹으로 이체하는 작업에 단순히 아이디와 패스워드 딱 두가지로 해결됐습니다. 한국에서는 상상도 못할 일이죠. 그들은 ActiveX 포기해도 큰 불편함을 없을거라고 판단했을 수도 있습니다. 이는 한국의 현실과 완전히 동떨어진 것이지요.
커서 : 결국 ActiveX가 이렇게 공공의 적처럼 취급받는 것은 ActiveX 자체의 결함 때문이 아니라 스패머(스파이웨어)들 때문이랄 수도 있는데 그렇다면 오히려 ActiveX 를 공격하기보다 스패머에 대한 대책과 조치를 취하는 게 옳은 것 아닐까요?
X맨 : 일반인들은 단순한 피씽 싸이트에도 속아넘어갑니다. 그정도의 지식을 가진 사람들에게 프로그램의 성격에 따라 설치할지 말지 판단을 요구하는건 어불성설입니다. 결론은 저 역시 스패머에 대한 강력한 대책이 필요하다는겁니다.
커서 : 상업적 이익을 노리는 보안회사와 언론의 과도한 보안관련 보도 등으로 사회에 너무 인터넷 보안염려증이 퍼졌기 때문은 아닌지요?
X맨 : 부정할수는 없는 이야기입니다. 심지어 백신 개발업체가 고의로 뿌린 바이러스와 악성코드도 적지 않다는 물증없는 심증은 여러번 있었습니다.
기술보다는 문화 차이가 한국만의 ActiveX 사태를 불렀다
커서 : 'mathlove'님이 소개한 님의 글에서 제가 가장 관심가졌던 부분은 한국과 외국의 보안환경을 비교한 것이었습니다. 미국 등은 아직도 한메일 로그인식으로 은행거래를 한다고 하면서 외국이 보안문제가 없는 것은 보안기술이 뛰어나서가 아니라 사기 등의 보안사건이 심각하지 않기 때문이라고 하셨습니다. 결국 ActiveX 문제는 한국과 외국의 문화적인 차이가 크게 작용했다는 시각이신데 설명 부탁드립니다.
X맨 : 제 개인적 생각으로는 그렇습니다. 한국에서 웬만한 대형업체들 지나다니다보면 땅바닥에 나뒹구는게 신용카드 매출전표고, 아직까지도 카드번호 16자리와 유효기간 4자리를 **로 가리지 않고 그대로 노출해버리는 경우가 적지 않습니다. 미국식으로 인증하면 그 굴러다니는 영수증으로도 주문이 가능합니다. 네이버의 카드 관련 지식인을 찾아보면 외국에서 한국의 신용카드는 접수하지 않는다고 불평하는 분의 글이 보이는데 바로 이런 차이에서 비롯된 것입니다. 그들과 우리의 보안환경이 다른 겁니다. 까놓고 얘기해서 거긴 사기를 잘 안친다는 겁니다.
심지어 어느정도의 차이가 있냐면, 길거리에 현금이 떨어져있어도 안집어갈 정도로 순진~멍청한 사람들이고, 초중고에서 객관식을 모르면 빈칸으로 비워두는게 당연하다고 여기는 정도로 순진~멍청한 사람들입니다. 단, 한국인 유학생들이 많이 몰린 곳에서는 이제 그렇지 않은 경향이 좀 있습니다. 한인 이민자들이 은행을 상대로 사기치는 수법에 대해선 저도 혀가 내둘러질 정도이며, 호주 S모 지역의 C모 은행은 한국 여권 소유자들에게 아예 계좌 개설을 거부하는 초강경 정책을 실시하기도 했습니다.
커서 : 해외선진국에서는 결제를 할 때 SSL방식을 많이 쓴다고 합니다. ActiveX 퇴출을 주장하시는 분들도 SSL만으로 충분하다고 말하는데, 한국만 유독 ActiveX 쓰는 이유는 뭘까요?
X맨 : SSL 갖고만 하는 외국 인터넷뱅킹싸이트는 key logger 하나만 설치해놔도 다 뚫립니다. 심지어 텍스트 브라우저로도 인터넷뱅킹이 가능합니다. 그리고 전자정부에서 ActiveX 쓰는거 많이 비판하는데, SSL 하나 갖고만 하면 저라도 남의 등초본 금방 뗄 수 있습니다. 그렇다고 지금도 구멍이 없는 것은 아니고요.
그리고 외국과 우리는 인터넷 환경이 다릅니다. 한국처럼 움직이는 동영상 플래쉬 등의 fancy한 자료가 아주 많은 웹사이트가 일반적인 환경에서 그 모든 데이타를 SSL로 주고받는건 문제가 많습니다. 실제로 외국 홈페이지들은 텍스트브라우저로 봐도 전혀 불편이 없을 정도로 아주 단순하게 짜여진 경우가 많습니다만, 여기엔 그들의 열악한 통신환경도 한몫 합니다. 흔히 말하듯, 서양 선진국에 나갔다와 봐야 한국 인터넷 환경이 어느 정도나 최고급인지 알 수 있습니다.
커서 : 잘 이해가 안갑니다. 외국의 그 거대한 은행들이 돈이 없는 것도 아니고 어떻게 그렇게 보안시스템이 허술할 수있죠. 솔직히 믿기지 않는데요.
X맨 : Anti MS 정서가 우리보다 훨씬 강하고 또 그렇게 쉽게 해놔야 장애인, 노인, 어린이들도 쓸 수 있다는 취지입니다. 결정적으로는, 앞서 말씀드렸듯 그들과 우리의 신용문화가 다르다고 봐야 할겁니다. HSBC 은행이 최근에 제2 암호로 내세운게 집전화번호 끝 4자리입니다(ㅎㅎㅎ) 얘들은 보안카드 이체암호 이런게 전혀 없다보니 개인인증에 집전화번호 4자리 누르라고 하는 겁니다. 심심하시면 HSBC 계좌 열어놓고 외국 인터넷뱅킹의 실상을 체험해보는것도 재밌을 겁니다.(^^) 제가 재작년에 찔러서 억지로 공인인증서를 통과시키긴 했습니다.
한국에서 보면 이런 외국 은행/카드결제는 간을 배밖으로 내놓은거라고 생각할 수밖에 없습니다. 그렇다고 거래의 책임이 개인에게 있느냐? 그것도 아닙니다 서양이야말로 대부분 은행책임입니다. 그럼에도 불구하고 이런 시스템이 잘 굴러가는걸 보면 신용사회란게 대단하다고 봐야겠죠.
커서 : “전자정부에선 왜 ActiveX만 쓰이냐”는 시민행동의 질문에 행자부가 보낸 답변을 보면 “다른 응용소프트웨어 기술의 안정성 등에 대한 보장이 완벽하지 않고, 단기간에 구현해야 하는 전자정부 서비스에 적용하기 곤란하여 우선 국민 대다수가 이용하고 있는 윈도우 운영체제만을 지원토록 하였다”라는 말이 나오고 또 “2005년 10월의 인터넷 민원서비스 발급 중단 사례에서 알 수 있다시피 다른 나라와는 달리 약간의 보안상의 문제도 허용되지 않는 상황임” 이라는 말도 나옵니다. 결국 보안문제가 빈발한 한국사회에서 보안의 완벽성을 기하기 위해 OS의 다양성을 희생시켰다는 것인데 어떻습니까?
X맨 : OS의 다양성을 희생시켜서라도 금융신뢰도가 낮은 이 사회에서 전자상거래를 유지시키기 위해 어쩔 수 없는 선택이라고 바라보는게 제 입장입니다. 만약 한국도 미국의 amazon.com 처럼 카드번호 16자리와 유효기간 4자리로 인증 끝내는 방식이라면 저는 한국에서 신용카드 온라인 결제를 과감하게 포기할겁니다.
커서 : 마지막으로, 현재 지적되는 보안문제들이 없어질려면 어떻게 해야 할까요?
X맨 : 설치가 아주 복잡한 방식이라면 가능할 법 합니다. 물론 비현실적입니다. (1) ActiveX 든 다른 형태의 보안 프로그램이든, 일반 개인은 설치할 권한을 몰수하고, 국가에 등록된 극소수의 보안업체에서 출장나온 기사만 설치할 수 있게 하는 방법 (2) 개인중에 국가에서 실시하는 인터넷 관련 지식 시험을 통과한 자만이 설치할 수 있게 하는 방법 - 나머지는 인터넷뱅킹 포기해야겠죠.
커서님의 인터뷰 요청 감사드립니다. 늦었지만 새해 복 많이 받으십시오.
X맨님과의 인터뷰를 끝내고 필자는 ActiveX논란에 대해 몇 가지 느끼게 된 것들이 있다.
첫째, ActiveX논란이 한국사회의 낮은 신뢰도로 인한 비용이 아닌가 하는 점이다. 거래 상대방간에 서로를 믿지못해 이중 삼중의 보안장치를 갖추게 되고 다시 이 보안장치가 또 보안문제를 일으키고 있는 상황인 것이다. 결국 이 문제는 보안기술을 높이기 보다 한국사회의 신뢰도를 높이는 것이 더 빠르고 효율적인 방법일지 모른다.
둘째, 모든 조건을 최상으로 만족시키긴 어렵다는 것이다. 관련자들의 말을 들어보면 보안성과 사용성 그리고 최첨단의 웹구현을 모두 만족시키는 데엔 사실 ActiveX를 따라올만한 것이 없다고 한다. 만약 보안성을 최대로 높일려면 ActiveX를 포기해야 하는데 그러면 사용성을 팍 낮추어야 한다. 과연 일반사용자들은 보안을 위해 그런 불편함을 감수할까? ActiveX논의엔 보안외에 사용성과 웹구현도 같이 고려되어야 할것이다.
셋째, ActiveX문제를 MS의 독점이나 정부의 정책에만 책임 지울 수 없다는 것이다. 이 논란엔 사회문화적인 문제도 개입되어 있다. 만약 정부의 정책변경과 MS 독점해소만으로 이 문제를 풀려한다면 비슷한 문제는 또 발생하게 되는 것이다. 한국사회의 신뢰도를 높이고 약간의 보안문제에도 크게 떠드는 과도한 보안민감도를 낮추는 등의 내재적 노력도 필요할 것이다.
제발 한국에서의 논란들이 그렇듯 또 ActiveX 하나 잡고 모든 문제가 해결되었다는 식으로 이 논란이 끝나지 않길 바란다.
|
| ||
|
김 욱 기자 ⓒ 2007 OhmyNews 기사원본 |
[QAOS.com] ARC 경로 이해하기
피드 구독하기:
글 (Atom)