Category Archives: 21세기소년

20090724 :: 브라우저 갈아타기 – IE6 잔혹사

Posted on by
17

게으름이 아니라

사실 좀 쓰다 말다 하면서 시간이 많이 지났네요. 이제사 겨우 우당탕탕 대충 마무리지어서 발행합니다. 원래는 저의 브라우저 권장 성공기를 쓰려고했는데, 좀 병맛나는 글이 될 거 같아서 선회했습니다. 해당 내용은 나중에 다시 정리를 해봐야 할 듯 하네요.

최근 유튜브에서 IE6를 더 이상 지원하지 않는다고 공식적으로 발표하여 좀 화제가 되었었지요. 아주 바람직한 현상이라고 생각됩니다. 얼마전 DDoS 사건을 겪으면서 내심 기대했던 하나의 이슈는 IE의 ActiveX의 폐해가 좀 부각이 될 줄 알았는데, 그런 건 적어도 메이저 언론이라는 곳에서는 그리 많이 이야기 하지 않은 것 같아서 참 의아했어요. 문제의 악성 코드를 배포한 사이트들의 목록도 알려주지 않고 있고 말이지요. 뭐 해당 사이트들을 아직 못찾은 거 아닌가 하는 생각도 들었지만, 어디에선가 문제가되는 사이트들을 이미 차단했기 때문에 공격 자체가 소강 상태에 접어든다는 식으로 사람들을 안심 시키는 기사도 본 적이 있어서 더더욱 의문스럽다는 것이지요. (머 이 내용은 OO일보도 인정한 내용이네요 ㅋ)

뭐 DDoS 관련하여 많은 조치들 및 쏟아져 나오는 이런 저런 발언들을 생각하면 가뜩이나 더운 요즘 사람 마음만 더 짜증이 날 뿐이니 잠시 다음 글로 미루도록 하고 (그래놓고 이 글도 참 미루고 미루다 발행까지 왔지만요), 오늘은 요즘 바람이 불고 있는 브라우저 바꾸기 운동에 대해서 한 번 이야기해 볼까 합니다.

브라우저 갈아타기가 쉽지 않은 배경

액티브엑스와 함께 이제는 천덕꾸러기 취급을 받게된 IE는 무려 10년동안이나 우리와 함께 해온 브라우저입니다. 솔직히 지금 기준으로는 형편 없는 성능에 보안도 불안불안하지만, IE6가 처음 출시된 99년께만해도 대단한 프로그램으로 떠올랐음은 사실 인정해야 할 것입니다. 그 당시에 IE6와 경쟁했던 브라우저들의 수준은 너무나 큰 덩치에 모양새도 그리 이쁘지 못했었거든요. 게다가 윈도 운영체제와 통합되어 있다는 것은 MS로서는 대단한 강점이었습니다. 초고속 인터넷과 함께 PC가 우리 나라의 각 가정에 보급되기 시작하면서 인터넷 익스플로러는 ‘웹 브라우저’가 아닌 ‘인터넷 그 자체’로 인식되었기 때문입니다.

IT에서 10년은 강산이 대여섯번은 바뀌도 남을 정도로 매우 긴 시간입니다. IE6의 이러한 ‘유구한’ 역사는 (그리고 그와 더불어 너무 오랜 기간 동안 경쟁자가 나타나지 못했던 점과, MS의 게으른 업그레이드를 포함해서) 웹의 생태 환경을 그리 좋지 못한 방향으로 이끌고 말았습니다. IE6의 초창기에는 넷스케이프와의 웹 브라우저가 종반을 향해 치닫고 있었고 이러한 상황에서 MS는 넷스케이프와의 차별화를 위해 비표준적인 부분을 지나치게 많이 도입했던 것입니다. (물론 당시의 넷스케이프도 표준에서 멀어지고 있었음은 자명하고요) 말도 안되는 마크업 오류는 관대히 눈감아주는 한 편, MS만의 문법으로 스크립트가 작동하도록 하는 등의 이슈가 많았습니다. 게다가 비주얼 스투디오에 익숙해져가는 개발자들은 ‘웹 코딩’을 자기 스타일대로 해 나가기 시작했습니다. 예를 들면 입력폼에 글자를 넣고 서버로 전송하는 submit을 기능을 폼 자체의 기능이 아닌 스크립트로 수행하는 어처구니 없는 상황들도( IE7이 처음 출시되었을 때 SK텔레콤의 T월드는 로그인이 안됐었습니다! )그냥 그대로 받아들여지고, 그러한 코드가 또 물려지고, 복제되는 등의 악순환이 반복되었습니다. (그리고 그러는 와중에 넷스케이프는 역사의 뒤안길로 사라집니다.)

게다가 우리 나라가 보통 나라입니까. MS라면 사족을 못 씁니다. MS 윈도우의 대규모 보안 업데이트 종합 선물 세트인 ‘서비스팩’이 새로 배포될라치면 뉴스는 호들갑을 떨어댑니다. 인터넷 뱅킹이 안될 거라는 둥, 업계에 대 혼란이 온다는 둥. 그런 혼란을 틈타 많은 웹 서비스 업체들은 고객 들에게 ‘그런 건 번거롭기만하고, 오작동을 유발하니 깔지말라’고 주문합니다. 이쯤되면 막장이라고 해도 할 말 없기입니다. 아무튼 언론에서도 그렇게 떠들어대니 일반 사용자들의 인식은 점점 미궁속으로 한심하게 변해갑니다. 즉, 서비스팩을 설치하고 보안 관리 항목이 강화되어 기존에 사용하던 웹 사이트 기능에 문제가 생기면 그게 ‘웹 페이지의 문제’가 아니라 ‘서비스팩의 문제’가 되는 것입니다.

이런 문제는 특히 파이어폭스가 처음 나타났을 때 아주 점입 가경이었죠. “파이어폭스 별로 좋은 줄 모르겠어요. XX게임 사이트가면 게임도 안되고… 뭐도 안되고… 화면이 깨져서 보여요…” 상황이 이렇다보니, 상황이 이렇다보니 저도 처음에는 주위에 파이어폭스를 매우 적극 권장해주었지만,  결국엔 포기했습니다. 이러한 관점의 차이는 단순히 몇 일, 몇 달만에 생기는 것이 아니기 때문에 분명히 잘 못된 것임에도 불구하고 그 사이에 깊이 패인 간극을 메울 방법을 도저히 찾을 수가 없더군요.

높고 견고한 벽. 그리고 균열

그런데 최근 몇 년 사이에 상황이 좀 재밌게 돌아가기 시작합니다. 윈도비스타가 출시되고, IE7이 탑재되기 시작했죠. 그리고 이 IE7이 XP용으로도 나오기 시작합니다. 개인적으로는 이 때가 정말 흥미 진진했는데요, 팔자에도 없는 웹서비스 기획을 해보게 된 계기이기도 하고 동시에 국내에서 10위내에 랭크될만한 대형 사이트의 코딩을 하신 분과도 작업을 해 보았고, 더 웃긴것은 그 때 별로 깔리지도 않았던 IE7을 기준으로 서비스를 만들었던 경험 때문입니다. 특정 지역 서비스의 부가 서비스 개념으로 사이트를 제작했는데, 경제 수준이 좀 되는 동네이다보니 “여기 사시는 분들이 5~6년 된 컴퓨터를 쓰실 일도 없을테고, 일단 사면 최고 기종 아니겠느냐, 그리고 이제는 PC를 사면 IE7이 깔려있다. 표준에 맞게 가자”고 해서 IE6에서 안되는 부분은 대놓고 포기하는 사태가 벌어지기도 했지요. 다행인지 불행인지는 모르겠으나, 타 지역에서는 그 존재를 모르시는 일이 많은지 웹 관련 클레임은 거의 들어오지 않았습니다. (빙고)

어쨌든 새로운 OS가 새로운 PC에 탑재되어 판매되기 시작하면서 IE7의 점유율은 물리적인 압력에 의한 것처럼 상승하기 시작합니다. 사실 두 브라우저는 비슷하면서도 또 많이 다르기 때문에 IE6가 개발자들의 지옥 코스로 부각된 것은 이 때 쯤부터가 아니었을까 생각됩니다. 차라리 IE6와 FF만 정합한다면 더 쉬웠을지도 모르지요.

그런데, 이러한 상황에서 정말 재밌던 것은 IE7은 그럼에도 부진한 점유율 상승을 이루어왔는데, 그 이유는 IE6 사용자들이 FF로 갈아타기 싫었던 이유와 마찬가지 입니다. 실질적으로 ‘잘 안되는 것’은 없습니다만, 익숙하지 않았던 것과 언론이 부채질해 온 ‘업그레이드에 대한 막연한 두려움’이 큰 몫을 차지했던 것 같네요. 그리고 주목할만한 것은 이러한 점은 IE7의 점유율 상승에도 큰 장애가 된 것이 사실입니다.

결국 IE6의 독주와 이에 웹을 너무 안일하며 개발을 해온 서비스 업체 그리고 거기에 동조하여 무책임한 이슈 떠벌리기에만 급급했던 대한민국 언론. 이런 것들이 지금의 웹 생태계를 난국으로 몰아넣었다는 점에서는 비난을 피하기는 어려울 것입니다.

IE8의 강제 업데이트와 문제점

IE7이 IE6와 가장 달랐던 점이자 동시에 달랐지만 전혀 인정 받지 못했던 점은 바로 탭 브라우징이었습니다. MS에서조차 이런 걸 눈치채고 있었는지는 모르겠지만, 아무튼 IE7의 기본 동작 모드는 새 창에서 _blank로 정의된 링크가 열리도록 한 것이었죠. 실제로 파이어폭스를 주변에 권했을 때 가장 ‘불편하다’고 반응하는 부분은 대체로 ‘네이버에서 링크를 눌렀는데, 창이 새로 안뜬다’는 것이었습니다. IE7이 이러한 ‘혼란(?)’을 중화시키는 역할을 어느 정도 수행할 때 쯤에 IE8이 등장했습니다. 거의 그냥 모양새만 좀 달라진 IE7과는 달리 많은 부분에서 환골탈태라는 말에 걸맞을만큼 싹 뜯어고쳐진 모습이 뭐랄까, 좀 마음이 놓이는 모습이었습니다. IE8이 등장할 때 가장 큰 이슈가 되었던 것은 바로 하위 호환성을 포기하고 웹표준을 전격적으로 지원한다는 이야기였습니다. ACID2 테스트를 100점으로 통과했었죠. 이는 IE6,IE7을 떠올렸을 때 깜짝 놀랄만큼 센세이셔널한 이야기이기는 합니다. 어떤 의미에서는 대단하다고 할 수 있겠습니다만, 사실 하위 호환성을 포기한다는 것은 MS 입장에서는 이러한 하위 호환성 포기가 그렇게 어려운 결정은 아니었을 겁니다. 왜냐면 하위 호환성을 포기할 것이냐 말 것이냐의 문제는 브라우저를 만드는 입장에서는 별로 고민할 거리가 없기 때문이지요. 웹 서비스가 비록 웹 브라우저 위에서 돌아간다고해도, 이 하위 호환성에 대한 여지는 정확하게는 브라우저가 아닌 웹 서비스 자체에서 눈물을 머금고 수정을 해야할 문제이니까요. 단지 서비스를 만드는 사람의 입장에서는 정합해야할 브라우저가 하나 더 추가된 것일 뿐이라는 이야기입니다.

암튼 이런 배경에서 등장한 IE8에 대해서 MS는 더더욱 단호한 조치를 취합니다. 바로 IE8을 윈도우XP의 자동 업데이트 항목 중 ‘중요 업데이트’로 설정함으로써 윈도 자동 업데이트를 사용하는 사용자들이 IE8을 거의 반 강제적으로 다운로드 받아 설치하게끔한 것이지요. 언뜻 보기에 이러한 결정은 매우 반길만하다고 생각됩니다만, 제가 보기에는 좀 시기 상조가 아니었나 싶은 생각도 듭니다. 이런 결정이 내려진 것은 IE8이 출시되고 몇 달 지나지 않은 시점으로 기억하는데 물론, MS가 오랜 기간의 테스트를 거친 것은 사실이지만 ‘대부분의’ 시스템에 적용될 것을 예상하고 시행하는 윈도우즈 업데이트에 포함시켜도 좋을 만큼의 IE8의 안정성이 확보되지 못한 상황에 내려진 판단이라는 점은 좀 성급했다고 생각되는군요. 덕분에 네이버 지식인에는 ‘IE8을 깔고 났더니 어쩌구 저쩌구…’ 하는 질문들로 득실거리기 시작했고, IE8을 삭제하는 방법에 대한 이야기들이 나오기 시작했습니다. 안타깝게도 이렇게 업데이트 적용 후 IE8을 수동으로 삭제하고나면 윈도 자동 업데이트가 다시 IE8을 설치하라고 하지는 않는다는 점에서 ‘보다 안정적인 대안’으로서의 IE8이 시장에 진입할 수 있는 기회가 좀 줄어든 것은 아닌가 하는 생각도 조금은 듭니다.

브라우저 갈아타기에 대한 우리들의 준비

아무튼 이제 IE6를 대체할 수 있는 플랫폼의 준비는 거의 완료되었다고 판단해도 크게 무리가 있지는 않은 것 같습니다. IE8과 IE7이 있고, 구글 크롬, 파이어폭스, 사파리, 오페라 등의 멋진 브라우저들도 멋진 외관과 훌륭한 성능을 가지고 간택되기만을 기다리고 있는 것이니까요. 그리고 어느 정도 자신감 있는 서비스들은 (트위터나 유튜브) 이제 IE6 말고 더 좋은 브라우저를 써보라고 슬슬 사용자들을 꼬드기기 시작합니다. 그런데 이렇게 브라우저만 구비되면 사용자들은 순순히 IE6를 버리고 다른 서비스를 찾아 떠날 수 있을까요? (그리고 국내라면 그러한 사용자들은 여전히 압도적으로 너무나 많습니다.)

꼭 그렇지만은 아닐 거라고 봅니다. 지금도 여전히 파이어폭스나 구글크롬, 오페라에서 정상적으로 동작하지 않는 서비스가 너무나 많습니다. 단순히 화면이 어긋나는 것을 떠나서 여기저기에 이해할 수 없는 방식으로 사용된 자바 스크립트가 브라우저에 따라서 제대로 작동하지 못하는 곳들은 지금도 여전히 많다는 것이죠. (게다가 앞서 언급했듯이 웹 브라우저에서 자바 스크립트가 정상적으로 실행되지 않고 오류가 발생한다면 대부분의 브라우저는 그러한 내용을 적극적으로 알리지 않고 슬그머니 스크립트 실행을 중단해버립니다. 그게 브라우저 사용 시나리오에도 부합하는 것이구요)  엑티브 X문제는 사실 IE와 비IE 계열간의 문제이므로 좀 다른 이슈라고 생각됩니다만, 사실 ‘사용자의 접근성’을 중시하는 철학으로 웹 서비스를 제작하려면 액티브 X를 사용해서 웹상에서 사용하는 서비스 ==> 웹에서 할 수 있는 것만 제공하는 웹 서비스 + 전용 클라이언트의 형태를 병행하여 제공하면 (비용문제는 있겠습니다만) 되는 것이지요. 그리고 요즘은 말도 안되는 액티브엑스를 남발하기보다는 플래시의 기능을 이용해서 이러한 문제를 우회하는 서비스들도 많이 있죠.

어쨌든 지난 10년동안 발목에 묶인 큰 바위 같던 브라우저 문제의 가장 큰 덩어리를 우리는 지금 치워보려고 하는 순간에 와 있습니다. 그리고 이러한 흐름은 점점 더 거세어 질 거라는 것도 명백해 보입니다. 어찌보면 단순히 브라우저 하나 버리고 끝나는 문제가 아니라, 웹서비스에 대한 인식이 바뀌고 접근성에 대한 고민들이 더욱 중요하다고 생각됩니다만, 지금 블로고스피어 곳곳에서 보이는 이러한 브라우저 갈아타기를 천명하는 개발자/기획자들의 블로그를 보면 사실 그러한 점은 좀 찾아보기가 힘들어서 좀 씁쓸하게 생각되기도 하네요. 분명 브라우저를 교체하면 사용자 입장에서도 훨씬 빠른 인터넷을 쓰는 것 처럼 체감 성능의 향상이 있을 수도 있습니다만,  ’지금의 형상에서 브라우저 정합 업무량만 줄어드는’ 것으로 웹 환경이 바뀌어서는 안된다는 겁니다. 결국 브라우저 갈아타기 운동은 구형 브라우저를 역사의 뒤안길로 보내는 작업인 동시에 웹 환경에 대한 인식 변화와 실제 환경 개선이 서로 맞물려야 할 것입니다. 그런 면에서 브라우저 갈아타기는 단순히 사용자들이 새 브라우저를 다운로드 받는 비용만 생각할 정도의 단순한 운동에 그칠 것은 아닙니다. 서비스 자체가 표준에 부합하게 구현되어야 하며, 그 이전에 위에서 이야기한대로 비 IE 계열의 브라우저 사용자들이 실질적으로 전체 서비스를 사용할 수 있도록 하는 고려가 설계에 반영 되어야 할 것입니다. 사실 IE6를 버릴거면 (많은 분들이 주장하시듯) 왜 굳이 IE8을 설치해야 하는 지 전 잘 모르겠거든요.

20090721 :: 백신 깔아야 인터넷 시켜 주신다굽쇼?

Posted on by
9

아침 일찍부터 믹시에서 어처구니 없는 소식을 전하는 글을 보고 급 흥분 했습니다. 사실 좀 오래 묵어서 이제는 제대로 발효가 된 떡밥을 어제 입에 문채로 잠이 들었었는데 말이죠. 전자 신문에 완전 사람 뻥지게 만드는 뉴스가 떴더군요. 제목하여 “개인 PC에 백신 안 깔면 포털 접속 못해”]. 아, 먼저 전자 신문 정진욱 기자님께 한 말씀 드리겠습니다. 주제 넘는다고 생각하실지는 모르겠지만,  ”백신”은 안 연구소의 “V3″와 같은 제품명입니다. 신문 기사에서까지 이러시면 곤란하죠. 안티 바이러스로 부디 정정해 주시길 바랄게요.

방통위는 도대체

공무원이라는 작자들이 국민들이 낸 세금으로 귀한 쌀밥 드시고 입으로 똥같은 소리만 계속해서 지껄여대고 있습니다. DDoS 공격 때도 책임을 북한이나 멋모르는 일반 사용자들 탓만 하고 있더니, 아예 “그건 니들 탓이었어”라고 쐐기를 박으시는군요.

물론 우리 나라 인터넷 이용 인구중의 절대 다수, 그것도 압도적으로 많은 비율을 차지하고 있는 대다수는 보안이나 관련된 IT 지식이 절대적으로 부족한 계층입니다. 이 들 중 대다수는 ‘윈도우즈 보안 업데이트’가 무엇인지도 모르며, 시스템 트레이 영역에서 자동 업데이트로 설치되려는 보안 패치들이 있음을 알리는 노란 방패를 클릭해볼 엄두를 못내는 사람들입니다. 당연히 이런 사람들이 누가 설치해주지 않는 이상 본격 보안 프로그램(개인 방화벽 프로그램, 안티 바이러스 프로그램, 안티 스파이웨어 프로그램)을 설치해서 쓰리라고 생각하기는 어렵습니다.

따라서 국내에서의 일반 사용자들의 컴퓨팅 환경을 보다 안전하고 쾌적하게 만들기 위해서는 모든 PC(여기서는 MS윈도우가 설치된 것으로만 한정합니다)에 이러한 보안 솔루션이 설치되는 것은 사실상 매우 바람직한 일이기는 합니다.  하지만 위에서 말한대로 이 ‘일반 사용자’들이 과연 이러한 본격 보안 프로그램의 옥석을 가려낼 수는 있을까요? 심지어는 전 정부의 정보통신부와 한국 소비자 보호원에서 발표한 “스파이웨어 제거 프로그램 공동 실태 조사“에서도 사용자 몰래 유료 결제를 연장하여 결국은 구속까지 당한 업체의 프로그램(닥터 바이러스)를 버젓이 ‘우수한 결과를 보였다’며 발표했던 전력도 있지 않습니까. 심지어 2007년의 저 조사 결과는 해당 업체의 대표가 구속된 이후에 발표되어서 더더욱 어처구니가 없고 거기에 충격까지 더해준 것으로 기억하는데요. (사실 전 샘플 선정부터 수상스럽기 그지없었던 저 조사의 ‘우수 제품’으로 선정된 5개 제품 중 “양아치 스피릿”이 깃들지 않은 제품은 없다고 이 자리에서 단호히 말씀드릴 수도 있습니다.)

위에서 링크한 기사에서는 예전에도 한 번 밀어붙여 볼려구 했는데, “쓰레기 같은 외산 백신이 국내 시장을 잠식할까봐” 그러지 못했다는 군요. 말이 나와서 말인데, 쓰레기 같은 보안 프로그램은 국내에도 이미 충분히 많이 있습니다. 개인적으로 참 좋아하는 블로그인 울지 않는 벌새님의 블로그를 방문해 보신다면, 얼마나 많은 쓰레기 같은 보안 프로그램을 가장한 악성 프로그램이 많은지도 알 수 있을 겁니다. 상황이 이런데, 개인 PC에 대한 보안 솔루션 설치를 의무화해서 인터넷 접속을 제한하시겠다구요?

줘패도 답이 안나올 녀석들

뭐 일단 말이 안되는 이야기에 반박을 달려니 너무 귀찮고, 게다가 그 반박 근거도 너무 많아서 참 난감합니다. 하지만 결정적으로 십분 양보 아니 백만분 정도 양보해서 거의 대다수의 사람들이 방통위의 바램대로 보안 솔루션을 설치했다고 칩시다. 그럼 이제 대형 사이트들은 보안 솔루션이 탑재되지 않은 PC의 접근을 제한해야겠지요? 어떻게요?

답은 하나 밖에 없지요. 네, 바로 ActiveX입니다.

일반 사용자들의 보안 의식을 높이고 어쩌고를 외치면서 보안 솔루션 탑재 의무화를 지껄이는 그 스토리의 최종장에는 역시나 ActiveX가 자리잡고 있습니다. 정말이지 우리 나라 공무원들의 AcitveX 사랑은 이제 집착을 넘어 정신병으로 밖에는 보지이  않습니다. 결국 보안 프로그램 깔고 ‘무겁게 인터넷하면서’ 보다 자유롭게 AcitveX를 설치하고 다니라는 이야기로 밖에는 들리지 않습니다. 비닐 빤쮸입었으니 똥묻히고 다니라는 이야기인가요.

당신들이 정말 규제를 하고 의무적으로 금지를 해야하는 일은 바로 이 AcitveX를 함부로 못 쓰게 만드는 겁니다. 잠깐 이 글 한 번 보시고 오실래요? 못되먹은 양아치가 ‘네이버 동영상 다운로드 가속기’라는 제목의 악성 프로그램을 ActiveX로 배포하는데, 사실상 그 실체가 PC에 설치된 보안 프로그램을 무력화시키는 프로그램이라면 어떡하면 좋을까요? 사용자들이 습관적으로 ‘설치’를 누르는 그 순간 당신들이 자신감에 넘쳐 믿고 있을 그 ‘보안 프로그램이 깔려서 걱정 없을 사용자 PC’는 그렇게 좀비PC가 되는 겁니다. 그리고 그러한 당신네들의 두터운 ‘백신에 대한 신뢰’와 그로 인해 이어지는 ‘보안에 대한 나태함’은 이번 DDoS 공격보다 훨씬 더 강력한 후폭풍으로 되돌아 올 것이라는 그런 시나리오가 제 머리속에는 너무나 선명한 1080급 HD해상도의 영상으로 스치고 지나갑니다.

그건 그렇다 치고 그럼 안티 바이러스가 설치될 수 없는 리눅스 계약의 운영체제를 쓰는 사용자들은 어떡할 겁니까? ActiveX로 보안 프로그램이 설치되었는지 검사할 수도 없고, 리눅스용으로는 안티 바이러스 프로그램도 ‘거의’ 없습니다. 있더라도 보통은 다른 플랫폼에서 가져온 파일의 감염 여부를 진단하는 목적으로나 쓰인다 이겁니다. 결국 이건 ActiveX를 너무 사랑한 나머지 국민의 기본적인 권리를 니들 맘대로 제한하겠다는 지랄 낭설에 다르지 않다고 보이네요.

그렇게 원한다면 당신들이 해야할 것은

제발 제정신을 좀 차리고 이를 강제하겠다는 것이 아니라 그럼 정말 사용자들이 믿고 설치할 수 있는 각종 유/무료의 보안 제품 리스트를 만들어서 공개하고 배포하고 사람들을 교육하시기 바랍니다. 그런 노력도 기울이지 않고 단순히 눈 먼 세금 띄어다가 ActiveX로 백신 프로그램 깔렸나 검사하는 모듈 만들 것이 아니라, 어디 또 가짜 백신/가짜 악성코드 제거 프로그램 뿌려서 피해자만 계속 양산하려 드는 양아치 새끼가 없는지 눈에 불을 켜고 샅샅이 인터넷을 뒤지고 다니란 말입니다. 원인이 뭔지, 우리 나라 인터넷 환경에서 보안과 관련하여 가장 문제가 되는 것이 어떤 것인지 진지하게 성찰하고 연구하지 않는 이상, 이 땅의 비루한 네티즌들은 넘쳐나는 사기꾼 양아치들이게 푼 돈/큰 돈을 계속해서 뜯기고도 자기가 피해자 인줄도 모르고 나다닐 거라는 말입니다. 그리고 또 훗날 보안 문제가 터져서 나라가 시끌 시끌한 그 날이 오면 당신들의 무지가 아닌 오늘날 당신들의 나태함과 안이함에 대해서 당신들은 그 책임은 분명하게 물어야 할 것도 기억하시기 바랍니다.

20090713 :: 머리부터 발끝까지, 우리 나라 보안의 현주소

Posted on by
1

DDoS 사태가 좀 크게 벌어졌을 때 쓰려고 시작한 글인데 지나친 게으름으로 인해 이제사 완성해서 발행합니다.

그렇게 난리 법석 안 떨어도 됐거든요?

요즘은 슬슬 사그러드는 듯 합니다만, 얼마전까지만해도 분산 서비스 거부(Distributed Denail of Service) 공격 때문에 국내 주요 사이트 및 일부 정부/우익 단체들의 홈페이지가 마비되는 사건이 벌어졌습니다. 사실 인터넷 뱅킹이나 인터넷 쇼핑 및 일부 포털을 제외하고는 머 있으나 마나한 사이트들이라서 신경쓰지 않고 있었습니다만, 아무래도 뭐하나 국민들의 관심을 정치로부터 떼어놓으려는 떡밥만 있으면 미친듯이 몰려들어 지랄 난장을 벌이는 언론들 덕분에 전국이 시끌 시끌했지요. 게다가 몇 년 전 국내에서도 제법 인기를 끌었던 ‘다이하드 4.0′의 상황과 똑같다며 난리 법석을 부리는 모습에는 가뜩이나 더운데 정신까지 끈적이는 불쾌감의 극치를 맛보았습니다. (어디 신문사 중에 PC에서 불꽃이라도 파바박 튄 데가 있나 봅니다)

게다가 안그래도 방학을 앞두고 네이버가 버벅거려 초딩들 마음이 뒤숭숭할텐데 국정원은 난데없이 ‘이번 사이버 테러 배후에는 북한이 있다’는 유언비어를 앞장서서 퍼뜨려 사회적 불안감을 마구 조성해주고 제대로 병신인증 한 번 했습니다. 국정원이 내뱉은 헛소리에 야당을 비롯한 많은 네티즌들이 사이버 보안법을 위한 언론 플레이라며 반발했지만 ‘일부언론’들과 한나라당은 되려 안보 개념도 탑재가 안됐다고 성을 냈지요.

가만히 보니 이 사람들 전쟁 내고 싶어서 안달하는 거 같은데 어쨌든 잠정적으로 공격의 근원지는 영국으로 판명이 난 듯 합니다. 문제는 저열한 국정원의 정치 놀음입니다. 이 사람들은 국가 안보를 그렇게 입에 달고 살고, 심지어는 국민들의 혈세로 스티커까지 만들어서 전국의 시내 버스 내리는 문이며 지하철 문마다 붙여놓지만 스스로의 이성적 사고는 어디 내다 팔아버린 것 같습니다. 실제 공격의 목표가 정부 사이트나 우익 언론 단체가 (역시 포함만 되었을 뿐이고) 되었다 하더라도 그저 ‘홈페이지가 접속이 안되는’ 정도에서 그쳤다는 겁니다. 그나마 치명상을 입은 시스템은 공격에 사용된 좀비PC들 뿐이지요. 이 사실들만 보더라도 어떤 정치적인 목적을 띈다고 판단하는 건 너무나 섣부른 거 아닌가 싶은데, 이러한 양상이 그냥 일반적인 악성코드에 의한 피해와 뭐가 다른가요?

좀비PC – 일부 운이 나빴던 사용자들의 PC

3차 공격의 성과(?)도 미미하여 DDoS  공격이 소강상태에 접어들었고, 영국으로 진원지가 밝혀지고 (어디서는 서버는 미국에 있다는 이야기도 들립니다만, 이 부분은 확인하여 다시 수정하도록 해야겠네요) 어느 정도 사태가 진정되어 가는 것 같습니다. 하지만 제 생각에는 이제부터가 시작이라고 생각이 듭니다.

하지만 너무나 답답하게도 정부는 이런 큰 사고(?)를 계기로도 범국민적인 보안 의식 강화 운동 같은 건 할 생각이 없나봅니다. ‘안보’에는 관심있어도 ‘보안’에는 관심이 없는 그들의 근원적 사고를 반영하는 듯 하네요.

국내에서 이와 같은 대형 DDoS공격에 의한 큰 피해가 발생할 수 있는 가장 큰 이유는 바로 멀웨어에 감염된 PC들이 국내에 있었기 때문입니다. 하다못해 중국에서 대형 DDoS 공격이 감행된다고 하면 그냥 중국 쪽 IP를 일시적으로 차단하여 손쉽게 막을 수 있었겠지만, 국내 정상 사용자속에 섞인 수 만대의 좀비 PC들을 걸러내는 것은 쉽지 않기 때문이죠. 일일이 IP를 등록하는 것도 한계가 있고, 일시에 몰아부치든 밀려들어오는 트래픽 속에서 그런 작업을 해내기란 쉽지 않은 일일테니까요.

은 정말이지 절망적인 수준이거든요. 거의 절대적인 대다수의 사용자들은 ‘편하지 않으면 무슨 신기술이냐’라는 생각과 더불어 ‘인터넷은 편하다’는 막연한 편견을 가지고 있습니다. 그래서 보안이라든지 개인 정보 보호 따위에는 관심이 없습니다. 은 정말이지 절망적인 수준이거든요. 거의 절대적인 대다수의 사용자들은 ‘편하지 않으면 무슨 신기술이냐’라는 생각과 더불어 ‘인터넷은 편하다’는 막연한 편견을 가지고 있습니다. 그래서 보안이라든지 개인 정보 보호 따위에는 관심이 없습니다. 아주 가끔은 ‘가입할 때 주민 번호도 입력 안하는 이메일 서비스를 어떻게 믿을 수 있냐’고 하시는 분도 본 적이 있습니다.

그리고 계속해서 야기되는 ActiveX 문제도 마찬가지 입니다. 무조건 ActiveX가 문제인 것은 사실 아닐 수도 있습니다. 브라우저의 접근 범위를 뛰어넘는 기능을 제공하는 웹 서비스를 제공하려면 쓰지 않을 수 없는 기술입니다. (접근성이나 소프트웨어 종속성은 이 글에서 다루고자 하는 부분이 아니므로 일단 제외하겠습니다.) ActiveX 문제에서 가장 관심을 가지고 까야할 주제는 그 기술 자체가 아니라, 그걸로 서비스를 기획하고 만드는 사람의 사고 방식이 문제라는 겁니다.

ActiveX 문제는 ‘과학 기술’이 가지는 그 속성을 축소하여 담아둔 현상으로 해석할 수도 있습니다. (이 예시는 사실 소설 주라기 공원에 나오는 이야기입니다) 가다데의 고단자는 마음만 먹으면 한 손으로도 사람 목을 꺾어 버릴 수도 있습니다. 하지만 그 정도의 고수들은 쉽게 사람을 죽이지는 않지요, 그것은 그러한 힘을 손에 넣기 전까지는 어마어마한 훈련과 더불어서 자기 자신을 그런 힘을 가질 자격이 있도록, 즉 그것을 통제할 수 있도록 수련을 한다는 겁니다.  하지만 과학 기술은 그렇지 않습니다. 인류가 문자를 발명한 이후로 ‘기술 지식’은 너무나 쉽게 다음 세대에게 전달이 되기 시작했지요. 그래서 뉴튼 이후의 과학자들은 선배들이 평생에 걸쳐 발굴한 성과를 아주 짧은 시간 안에 습득하고 그 다음 레벨의 지식과 기술을 연구하게 됩니다. 그렇게 몇 세대를 지나면서 과학 기술은 엄청난 속도로 발전하지만, 이제는 어느 누구도 그 기술이 올바르게 사용될 거라고 장담할 수 있는 사람은 없게 됩니다. 성찰이나 노력에 비해 몇 배나 큰 힘을 가지게 된 사람이 과연 그 힘을 제대로 통제할 수 있을까요?

ActiveX 문제도 마찬가지입니다. 너무나 쉬운 관문 – 사용자가 팝업창에서 [예]를 한 번 클릭하는 것- 만 통과하면 그 시스템은 이제 ActivX 프로그램이 하고 싶은 대로 할 수가 있습니다. 이렇게 동적으로 코드가 다운로드되고, 설치되어 실행될 수 있도록 하는 것은 개발자 입장에서는 사실 매우 편하기 그지 없는 방식이고, 그래서 10년 전 쯤에 이 기술은 여러 개발자들의 찬양을 받기도 했습니다. 하지만 그렇다고 개발자(여기서는 실제 코드를 짜는 것만이 아닌 서비스를 설계하는 모든 이를 말합니다)들이 모두 ‘보안 의식’이 철저했던 것은 아니었습니다. 하다 못해 모 초대형 사이트에서는 배경 음악 플레이어를 설치했을 뿐인데, 자기 네 사이트가 ‘신뢰할 수 있는 사이트’로 몰래 등록이 되어 있기도 하지요. 이런 식으로 ActiveX를 통해서 사용자 PC의 보안을 완전 무력화하는 서비스도 있었습니다. 심지어는 아예 ActiveX를 물어보지 않고 설치할 수 있도록 설정을 사용자 몰래 변경해버리는 곳도 있습니다. 그 정도 수준이면, 그 얼마나 값어치 있는 서비스를 제공할지는 몰라도, 서비스 제공자로서의 최소한의 상도의도 포기한 양아치라고 밖에는 표현할 수 없지요.

그렇게 거의 10년을 사용자들은 ActiveX를 습관적으로 설치하도록 강제 받아 왔고, 이제 그 대단한 학습효과는 사용자 스스로를 옥죄게 만들게 되었습니다. 서비스 제공 업체들은 ‘문을 허술하게 열어두도록 하는 방법’은 알려주었지만, ‘벽에 구멍이 나는 데 공구리 치는 것’을 알려주지는 않았습니다. 즉 ActiveX로 문은 열되, 사용자 보안 업데이트 같은 것은 어느 누구도 하라고 알려주는 법이 없었지요. 아예 국가가 나서서 윈도 서비스팩 출시를 늦추어 달라는 둥, 이런 밉상 짓을 하고 앉아 있습니다.

분위기가 이렇다보니, 결국 이번 공격에 동원된 PC를 사용하던 사용자들을 비난하기도 참 뭣한 겁니다. 비난의 화살은 결국 국내 사용자의 대다수가 받아야 할 테니까요. 그리고 그들을 그저 무지한 상태로 남아있도록 강요한 온갖 서비스 업체들과 정부도 같이 비난을 받아야겠지요. 그저 아무 것도 모르고 PC를 사용하던 사람들은 그냥 ‘운이 없었을’ 뿐이었습니다. 그럼에도 불구하고 ‘좀비PC 경고 받고도 그냥 PC 사용한 사용자’에 대해서 한심하다는 논조의 기사거리도 보였는데, 그건 정말 나쁜 기사입니다. 참 못되먹었어요. 그 엄한 사람을 그렇게 만들지 않게 할 의무가 정부에게, 언론에게 그리고 최소한의 상도의 차원에서 인터넷 서비스 제공업체에게 있기 때문입니다.

이번에도 정신 못차리는 언론

그럼에도 언론은 더더욱 정신을 못차립니다. 정보 통신 관련 ‘전문 기자’들의 지식 수준이야 사실 더 이상 말할 필요가 없지요. 동네 컴퓨터 학원에서 게임하는 초딩보다, 마을 여성회관에서 독수리 타법으로 인터넷 배우신 주부들 보다도 더 나을 것 없는 수준들 (관련 기사가 삭제되었는지 찾을 수가 없어서 행복한 고니님의 블로그로 링크합니다)을 보여주었으니, 이번 DDoS 사태에 대해서는 뭐 별반 기대하는 것은 없습니다. 하지만, 지금쯤되었으면 최초 악성 코드를 배포한 것으로 알려진 사이트 목록은 공개해야 하는 것 아닙니까? 이 부분은 꼭 저 뿐만이 아니더라도 정말 궁금해 하시는 분들이 많을 텐데요. 이 부분이 가장 의문스럽군요. 어쩌면 제대로 관리 안되기로 유명한 국내 언론사들이 주요 숙주 사이트였기에 이미지 관리 차원에서 자체적으로 공개를 안하시는 건가요? (어쩌면 정부 기관 홈페이지 일 수도 있지요. ) 좀비 PC들이 ActiveX를 통해 감염되었을 가능성이 매우 높고, 1차 공격이 지난 시점에서도 어쩌면 그 사이트들은 계속해서 악성 코드를 사람들의 PC에 심고 있을지 모르는데도 이 부분에 대해서는 계속 함구 하고 있습니다. 마치, 흉악범이 탈옥하여 걸거리를 활보하며 계속해서 피해자를 만들고 있는데도, 언론에서 덮어주는 꼴과 다를 바가 없습니다. 하다못해 경찰이나 국정원에서도 그런 조치를 생각 못했을까 싶기도 할 정도로 기본적인 내용임에도 불구하고 그저 ‘조용히 넘어가면 그만’이라는 냄새를 많이 풍겨주고 있습니다. 하기사, 언론(이라고 하기에도 부끄럽네요)들이 추가 피해 발생이나 그런 거에 관심이 있겠습니까, 그저 북한 배후라는 국정원의 근거 없는 유언 비어만 확대 재생산하는 데 몰두해서 한참 재미봤을 텐데 말이지요. 어쨌거나, 이와 관련된 언론인들은 모두 X잡고 방바닥에 앉아서 잘 반성해야 합니다.

아니, 피해를 주는 사이트를 못가도록 알리고 홍보해야할 사람들이 야동 다운 받아 보지 말라고 설레발을 치는게 말이 됩니까? 그럼 왜 북한이 주도한 겁니까? 일본이면 몰라도.

정부와 국정원 – 어디서 굴러먹던 양아치들

정부의 대응은 정말이지 더더욱 가관입니다. 허둥대기나 했지 제대로 한 게 아무것도 없어요. 거기다 국정원은 아무 근거도 없이 이번 공격이 북한이 주도한 사이버 테러라며 헛소리를 퍼트리기 시작합니다. 만에 하나 북한이 테러를 감행하고자 마음을 먹고 저질렀다면 그 깟 몇 개 홈페이지 다운될 정도로 장난만 치다가 끝냈을까요? 그렇게 ‘강한 부대’를 양성했으면 금융 전상망을 초토화한다거나, 군 기밀을 빼가는 등의 좀 임팩트 있는 공격을 하지 않았을까 싶은데요. 설령 그것이 ‘테러’라고 한다면 그건 국정원으로서도 더더욱 할 말이 없습니다. 국가의 정보 보안 인프라가 그 딴 초보적인 DDoS 공격 따위에 마비가 됐다는 것이니, 이제 북한이 맘먹고 영화처럼 대 혼란을 야기하려고 한다면 정부가 그것을 막을 방법이 없다는 것을 그대로 시인했을 뿐입니다. 비가 와서 눅눅한 공기가 온통 병신 냄새, 바보 냄새로 가득 메워지는 느낌이 듭니다. 그저 조선일보 홈페이지가 마비되었다고 북한은 IP 할당도 못받았는데, 영국으로 진원지가 확인됐는데 계속해서 북한이 저지를 ‘테러’랍니다. 그냥 하는 짓거리가 지나가는 초딩 잡아다가 꼬투리 잡아 돈 뺐는 양아치 이상도, 이하도 아닙니다. 그 딴 소리 계속 지껄이는 걸 보면 국정원의 자작극이 아닌가하는 강한 의혹이 제기되는 것이 그리 억지는 아니라고 생각되는 군요.

이번 사태에서 우리가 배운 것

이런 일련의 사건들을 겪고나서 확실히 확인한 것이 몇 가지 있지요. 첫 째, 우리 나라는 IT 강국은 커녕 베트남만큼도 못한 후진국이라는 점. 둘 째, 정작 맘먹고 누군가가 테러할라치면 그에 대한 대응은 없고 속수 무책으로 당할 수 밖에 없겠구나 하는 점. 셋 째, 사건의 전개와 진화 과정을 지켜본 바로는 앞으로 전혀 개선될 기미는 보이지 않는 다는 것. 넷 째, 이 나라 언론들 중에서 제대로 의식 박혀있는 곳은 한 군데도 없다는 점.

가장 문제가 되는 것은 사용자 개개인의 보안 의식이 없다는 것이고, ActiveX는 그 자체가 좋다/나쁘다의 가치 판단을 할 수 없지만 지금처럼 무작정 예만 클릭하다록 하는 습관을 뜯어고쳐야 한다는 것이 가장 중요한 일이 아닐까 싶습니다. 그렇지만 지금도 ‘유료 백신은 돈 아깝다는 생각하지 말고 까세요’ 소리나 하고 있는 언론이 있고, 또 ActiveX가 얼마나 좋네 나쁘네를 가지고 싸우는 네티즌들을 보면 그저 한숨만 나올 따름입니다. 까놓고 말해서 IE의 점유율이 이렇게 압도적이지 않았다면 네이버가 쓰러질 정도로 큰 파괴력을 가지는 공격이 가능했을까하는 생각도 드네요.

아무튼 ‘세계로 뻗어나가는 한국’ 이런 말만 좋아하는 우리들의 습성 뒤에는 얼마나 병신같은 실체가 숨어있었는지만 확인할 수 있는 매우 부끄러운 요즘이었습니다.

20090717 :: 파이어폭스 3.5.1 긴급 업데이트

Posted on by
Reply

파이어폭스 3.5가 릴리즈 된 지 얼마 되지 않아 마이너 업데이트가 이루어졌습니다. 오늘 자동 업데이트 기능을 통해 업데이트가 가능했는데요. 이 번 버전에서 개선된 것은 파이어폭스 3.5의 버그로 인해 프로그램 시작 시 꽤 많은 시간이 지연되는 부분을 수정했다고 합니다. 보안 목적으로 프로그램이 시작될 때 난수 발생 절차를 거치는데요, 이 부분이 디스크에 저장되어 있는 캐시가 많으면 많을수록 오랜 시간동안 지연을 시키는 원인이 되었다고 합니다. 심한 경우에는 5분 이상 딜레이가 발생했다고 하네요. 해당 버그는 3.5 정식 배포 이전에 발견되었다고 하고, 그래서 아주 급히 업데이트를 시행한 것으로 보입니다. 아무래도 브라우저들이 저마다 빠른 속도를 내세우며 경쟁하는 요즘 상황이 많이 자극이 된 듯 하네요.

파이어폭스 3.5.1로 업데이트를 하고나서의 런칭 시간은 기분탓인지는 몰라도 아주 빨라진 느낌입니다. 단순히 기분 탓이라기 보다는 실제로 구글 툴바가 설치된 인터넷 익스플로러 7 보다도 더 빨리 뜨는 군요.

참고로 저의 파이어폭스 업데이트 시마다 중점 사항이 되는 구글 기어스는 업데이트 이후 Nightly Tester Tool을 이용해 강제 설치하면 정상적으로 작동됩니다. ㅋㅋ

20090715 :: Firefox 3.5에서도 G메일 오프라인 모드를 사용하고 싶어요!

Posted on by
Reply

파이어폭스 3.5가 매우 갑작스럽게 정식 릴리즈 되었습니다. 새로운 버전이 정식으로 공개될 때 마다 파이어폭스는 업데이트하라는 창을 자동으로 띄우거나 백그라운드에서 미리 업데이트 설치 파일을 다운로드 받아서 오매불망 사용자의 업데이트 허가를 기다립니다. (아, 물론 이는 매우 바람직한 업데이트 방법입니다!) 그런데, 파이어폭스의 새 버전, 그것도 대단한 성능향상과 더불어 너무나 멋진 기능들이 즐비한 3.5 버전의 정식 버전을 설치하기에는 조금 망설임이 생기는 것도 사실입니다. 왜냐하면 즐겨 사용하는 확장 기능들이 새 버전의 브라우저와 호환이 되지 않을 수도 있기 때문이지요. 그럼 몇 일 간은 확장 기능의 새 버전이 나올 때까지 눈물을 머금고 파이어폭스를 사용하거나 구글 크롬, 오페라 등의 다른 브라우저를 잠깐씩 쓰게 됩니다. (물론 그것이 이후의 파이어폭스 차기 버전이 나올 때까지 지속되는 비극적인 상황도 더러 있기는 합니다.)

물론 그러한 경우를 대비하여 Nightly Tester Tool 이라는 걸출한 확장기능이 존지하기는 하지요. 예전에 이 확장을 몰랐을 때는 확장 기능 파일을 열어서 버저 호환 범위를 살짝 속여 설치하기도 했습니다만, 이 확장이 있으면 브라우저 업그레이드 시에 호환성을 강제로 부여해서 사용할 수 있게 해 줍니다. 제가 그리 많은 확장 기능을 사용하는 것은 아니어서 이 Nightly Tester Tool 만으로도 불편함 없이 인터넷을 즐길 수 있게 되었지만, 단 한 가지 아쉬운 점이 있다면 바로 G메일, 구글 문서, 구글 캘린더를 오프라인에서도 사용할 수 있게 하는 궁극의 확장인 Google Gears가 새로 출시된 파이어폭스와 호환되지 않는 다는 사실이었습니다.

그렇게 몇 일을 눈물로 밤을 새지는 않았지만 아무튼 구글 기어를 그리워하다가 오늘 뜻 밖의 발견을 했네요. 파이어폭스 3.5 버전에서도 오프라인에서 Gmail 과 같은 구글 도구들을 사용할 수 있는 길이 열린 것입니다!

그것은 바로 ‘Google Gears 재설치’입니다. 지금 구글 기어 홈페이지에서 내려 받을 수 있는 버전은 0.5.29 입니다. (제 경우에는 0.5.23 버전이 설치되어 있었습니다.) 우습게도 구글 업데이터에도 구글 기어의 업데이트 가능 사실을 알려 주거나 자동으로 업데이트 하지 않는 점은 좀 그렇더군요. 아무래도 구글 크롬에는 기어가 내장되어 있고, 크롬 자체의 자동 업데이트 기능에 의해 업데이트 되는 것을 보니 구글이 크롬을 밀기로 독하게 마음 먹으면서 어느 정도 파이어폭스를 버린 것 같습니다. (파이어폭스용 구글 툴바의 경우에는 이미 포기한 것 같은데, 파이어폭스 자체의 사용성이 많이 향상되어서 지금은 구글 툴바가 없어도 충분히 잘 사용할 수 있습니다.)

그리하여 구글 기어를 언인스톨한 후 홈페이지에서 다시 내려 받아 설치를 하였습니다. 재설치가 끝나고 나니 아래와 같이 홈페이지 상에서 버전을 알려주더군요. (기왕이면 설치하기 전에도 현재 버전을 좀 알려주거나, ‘설치’가 아닌 ‘업데이트’로 표시해주면 더욱 좋았을 것을…)

그리하여 저는 다시 파이어폭스로 각종 구글 앱스의 오프라인 모드를 사용할 수 있게 되었으며, 오늘은 왠지 두 다리를 쭉 뻗고 잘 수 있을 듯 하네요~  기사, 파이어폭스 사용자 중에서도 오프라인 모드 기능을 요긴하게 쓰시는 분이 많은 지는 잘 모르겠습니다. 그래서 왠지 자랑스럽게 포스팅을 하면서도 조금 뻘쭘하네요. 참고로 워드프레스에서 제공하는 ‘터보 기어’ 기능은 오프라인 모드가 아니라 어드민 기능 중 일부 ajax 기능을 구글 기어를 통해 오프라인 저장소에 저장했다가 나중에 한 번에 서버로 전송하는 기능으로, 오프라인 모드 접속과는 무관하다고 하는 군요. (앗, 워드 프레스 사용자도 그러고보니 드물군요 ㅠㅠ)