최근 Windows Vista가 출시되어 여러가지 말들이 많은데, 그 중에 재밌는 것은 ZDnet에 올라온 윈도우 비스타에 대한 정통부 기자회견이다. 동영상을 보면 알겠지만, 정통부의 기자회견 내용은 은행에서 사용중인 ActiveX를 통해서 공인 인증서를 기존 방식대로 사용하기가 어렵기 때문에 기존 ActiveX를 사용하기 위해서 Windows Vista의 핵심 기능인 UAC 보안 레벨을 낮추도록 우회하는 방법을 2월까지 고안해내기 전에 MS사에서 판매중인 Windows Vista를 사용하거나 구매하지 않기를 당부하는 내용이다.
이전에는 정부가 Microsoft사에게 국내에 출시될 Windows Vista의 보안 레벨을 낮춰달라는 전대미문의 요청을 했다. 정부는 Windows 98과 XP SP2 업데이트에 대해서도 사기업 MS에게 어리광을 부리기도 했다. 이러한 병신짓은 Slashdotted 되었고, 대한민국 정부가 Microsoft라는 사기업에게 머리를 조아리는 병신짓을 한것으로 World Wide 바보 국가로 유명세를 타게 되었다.
담당 기관이 수수방관 하다가 뒤늦게서야 Windows Vista에서 기존 ActiveX를 어떻게든 주섬주섬 동작시키려고 발버둥 치는 모습이 참 안타깝기 그지없다. 그 동안 오픈웹 캠페인을 비롯해서 여러가지 이슈들이 많이 나왔기에 더 상세히 설명할 필요는 없고, 공인 인증서라는 엿같은 제도를 개선하거나 없애지 않는 이상 Windows 업데이트가 나올때마다 뒤늦게 땜질해댈건 안봐도 비디오다.
공인 인증서가 과연 금융기업과 사용자에게 편리함과 체계적인 보안 서비스를 줄 수 있을까? 난 회의적이다. SEED 또한 그렇다. 아무리 미국이 128bit 암호화 기술 어쩌구 저쩌구... 구차한 변명은 소용없다. 세월도 꽤 흘렀고 지금은 2007년이다. 국민의 세금으로 대체 뭘하는건가? SEED 암호화 알고리즘 자체는 훌륭할지 모르나 보편적인 암호화 기술이 아니다. Mozilla Firefox에 SEED 모듈을 기본 내장하겠다는 이야기도 나왔으나, 그건 어디까지나 Mozilla 얘기고...
정부는 국민 세금 뜯어서 뻘짓하지 말고 그냥 다른 나라처럼 SSL 인증에 가상 키보드 입력같은 기술로 고치는게 나을 것이다. 변경에 따른 비용부담 보단 지금처럼 허술한 시스템 때문에 업데이트마다 나라가 휘청거리고 사기업에서 우회 솔루션을 개발할때까지 손가락 쪽쪽 빨지 않아도 되고, 매킨토시, 리눅스, 파이어폭스, 오페라 등등 사용자들한테 욕 안먹어도 된다. 지금 처럼 근시안적인 우회 방법만 고심할게 아니고 중장기적으로 바라 본다면 훨씬 나은 선택이리라.
잠깐 ActiveX와 Windows 이야기를 해보자면, 기존 Windows는 UNIX 기반의 Linux, Mac OS X 처럼 root 최고 권한과 사용자 권한이 따로 분리되어 있지 않고, 사용자 생성을 하게 되면 최고 권한을 갖게 되어 있다. ActiveX를 설치할 때 동의를 물어보는 과정에서 ActiveX는 사용자의 최고권한을 얻게 되고 시스템의 구석구석을 마음대로 주물럭할 수 있다. 이런 문제점도 있기에 MS가 Java Applet에 대항해서 ActiveX 만들었을 때도, 수많은 보안관련 전문가들은 우려의 목소리를 높였고 결국 이젠 MS도 거의 내다버린 자식마냥 대하고 있다.
Windows Vista는 코드명 Longhorn 시절부터 내세우던 WinFX와 같은 핵심기능이 별다른 개발진전이 없었고, 빌 게이츠는 Trust-worthy Computing이라는 말을 2002년도에 꺼내기 시작했다. 차기 Windows 개발 방향은 보안에 중점을 맞추고 개발이 되었고, UAC (User Account Control)이라는 보안 시스템을 Vista 버전의 강점으로 꼽고 있다.
지금까지 Windows의 무수히 셀수도 없을 만큼의 보안 구멍이 뚫려 있었고, 그렇기에 안티바이러스 회사들이 타 OS에 비해서 많으며, Vista 버전으로 인해서 높아진 보안레벨로 인해 MS는 Symantec 같은 회사와 서로 으르렁대는 상황이다. MS 또한 사활을 걸고 꽤 보안에 대해서 신경을 썼음을 짐작할 수 있는데, 국내 사기업에서 만든 보안용 ActiveX와 공인 인증서를 사용기 위해서 이러한 UAC 보안 레벨을 사용자보고 낮추라고 기자회견까지 열은 정부는 도대체 무슨 생각을 갖고 있는건가?
보안이 가장 중요한 온라인 뱅킹 서비스를 이용할땐 보안 레벨을 낮춰서 ActiveX를 사용하고, 온라인 뱅킹 이용이 끝나면 다시 사용자가 보안 레벨 설정을 올려서 사용해야 하나?
그리고 은행도 사기업이긴 하지만 공공재적인 성격을 띠고 있음을 스스로 잘 알것이다. 그렇다고 안철수 연구소의 V3 디스트리뷰터도 아니면서 비싼 돈주고 사용자에게 V3 백신에 키보드 후킹 방지 등등 ActiveX 프로그램을 왜 설치하게 해주나? 세상에 사용자 보안위험을 걱정해서 사이트에 접속할때마다 안티바이러스에 방화벽 프로그램까지 설치해주는 나라는 우리나라 밖에 없다. 키 로거, 방화벽, 안티바이러스 어플리케이션은 사용자가 직접 구매해서 설치해야하는 것이지, 정부나 기업이 ActiveX로 배포하는게 어딨냔 말이다. 정부는 어디까지나 보안에 대한 문제는 사용자 개개인의 문제란걸 인지할 필요가 있다.
은행에서 배포하는 보안용 ActiveX에 대해서도 참 웃긴게, 보안은 어차피 창과 방패인데, ActiveX로 되어 있건 아니건 어떤식으로든 우회를 해서라도 보안을 비켜갈 수 있다. 그리고,
은행은 어디까지나 온라인 뱅캥 서비스에 대한 기본적인 보안만 하면 된다. 지금처럼 은행이 사용자에게 각종 보안관련 ActiveX를 설치하지 않으면 서비스 이용이 불가능하도록 하는 것은 보안사고가 발생했을때 사용자 당사자가 아니라 은행이 그에 대한 책임을 물어야 한다. 개인의 계좌 이용에 있어서 개인 보안은 어디까지나 사용자 몫이다.
G-market에서 얼마나 급했으면 오타까지 내면서 사용자들에게 보안레벨을 낮추라고 광고까지 때리나.. 이게 다 조류독감 걸린 정부 때문이다. 억울하다 해도 소용없다. 이런 닭짓하는데 아까운 국민세금 끌어다 쓰지 말고 똑바로 좀 합시다.
Leave a comment