Monthly Archives: January 2010

20100120:: 공인인증서를 USB에 저장하라굽쇼?

Posted on by
7

갈수록 답이 안나오는 한국 인터넷 진흥원

이미 많은 언론 매체나 블로그를 통해 소식이 알려진 이슈인데, 행정안전부와 한국인터넷진흥원에서 공인인증서를 강제로 USB 메모리 장치에 저장하도록 강제한다는 소식입니다. 빠르면 올해 하반기부터 시행된다고 하는데, 너무나 어처구니 없는 처사가 아닐 수 없군요.

현행 공인인증서의 문제점

개인공인인증서는 개인이 소지하여 본인임을 증명하는 용도로 사용하고자 하는 일종의 본인 확인 수단입니다. 따라서 공인 인증서가 사용되는 모든 온라인 통신이나 거래에 대해 자기 스스로를 증명하는 일종의 전자 신분증인 셈이지요. 그런데 문제는 현행 공인인증서는 단순한 파일 형태로 존재하며, 아무 제약 없이 물리적으로 복제가 가능하다는 점입니다. 따라서 악의를 가진 침입자가 개인 PC의 허술한 부분을 뚫은 다음 해당 파일을 복제해 간다면 손 쓸 방법이 없는 것이지요. 물론 PC 내에 들어있는 파일을 맘껏 액세스할 수 있는 정도라면 불행하게도 여러분의 로그인 비밀번호 따위는 이미 그 해커 손에 들어가 있다는 문제입니다.

더 위험한 것은 공인인증서가 저장되는 폴더는 접근에 아무런 제약이 없으며, 심지어 모든 PC에서 그 위치가 동일합니다. 하드 디스크 내에 공인인증서를 저장했다면 C:\Program Files\NPKI 폴더가 생성되고 여기에 공인 인증서에 필요한 파일들이 모두 저장됩니다. 윈도 탐색기로 해당 폴더에 접근하는 것이 가능하며, 아무 제약 없이 해당 파일을 USB나 다른 하드디스크, 네트워크 드라이브로 복사하고 심지어 전자우편을 사용하여 외부로 발송하는 것도 가능합니다.

저장 경로가 동일하다는 것은 보안상 굉장히 취약한 것입니다. 만약 불특정 다수의 공인인증서 파일을 수집하고자 하는 목적을 가진 누군가가 있다면 다음의 시나리오를 생각할 수 있을 겁니다.

눈뜨고 속는 곳이 인터넷이다

먼저 가짜 사이트를 하나 만듭니다. 파일 공유 혹은 음악 감상 등의 사이트로 둔갑하면 더욱 용이합니다. 그러면서 필수 플레이어를 ActiveX로 설치하라고 합니다. 물론 그냥 플레이어나 다운로더가 아닙니다. 아무튼 사용자들은 아무 생각없이 ‘교육받은’ 대로 ActiveX를 설치합니다. 설치된 프로그램은 실행되자마자, 곧장 “C:\Program Files\NPKI” 폴더가 있는지 탐색해서, 사용자 몰래 해당 폴더의 내용을 압축하여 어딘가 미리 정해놓은 원격 폴더로 업로드합니다. 로그인하라면서 비밀번호 같은 것도 금새 파악해서 같이 저장할 수 있을 겁니다. 물론 이러한 ‘아무 사이트’에서 사용하는 비밀번호가 공인인증서 비밀번호와 일치할 확률은 굉장히 높습니다.

조금 더 억지를 부려보자면 해당 프로그램은 실행되는 동안 샅샅이 사용자 PC의 그림 파일들을 탐색합니다. 모든 그림파일을 업로드할 수는 없기에 해커가 외부에서 그림파일을 확인할 수 있도록 한장씩 한장씩 그림을 원격지로 전송합니다. 그러다보면 은행 보안 카드를 스캔하거나 촬영한 파일을 찾을 지도 모를 일입니다. 아, 물론 공인인증서는 물론이고 보안카드 스캔 파일까지 메일함 같은 곳에 보관하고 있을테니, 해커는 벌써 여러분의 로그인 아이디와 비밀번호를 사용해서 왠만한 포털 사이트를 다 뒤져 봤을런지도 모릅니다.

이쯤되면 공인인증서가 본인 확인을 위한 ‘안전한’ 수단임을 결코 신뢰할 수 없습니다. 물론 이런 시나리오는 제 가정에 불과하지만, 우리 나라 웹 환경이라면 – 그리고 우리 나라의 평균적인 인터넷 사용자의 보안 의식을 생각한다면 충분히 가능한 이야기입니다.

USB에 저장만하면 안전하긴 한거니?

USB에 저장해서 쓰고 계신분들도 많으실 겁니다. 사실 하드 디스크에 공인 인증서를 보관하면 위험하다는 신문 기사는 예전부터 몇 건씩 눈에 띄었거든요. 아 하지만 불행히도 현행 공인인증서는 역시 소용없습니다.

보통, USB 메모리를 PC에 꽂으면 무슨 작업을 할 지 결정하라는 창이 뜹니다. 설정에 따라서는 해당 USB의 파일을 보여주는 탐색기가 바로 실행되기도 하지요. 이는 USB 메모리가 PC에 장착되는 순간 특정한 ‘이벤트’가 발생하여 OS가 이를 감지한다는 의미입니다. 이러한 이벤트를 위에서 언급한 나쁜 프로그램이 놓칠리가 없습니다. 게다가 USB에 저장하는 경우에는 그냥 루트에 NPKI 폴더가 바로 노출됩니다. 덕분에, USB를 꽂는 순간 F:\NPKI 라고 손쉽게 해당 폴더를 찾아 바로 업로드 해버릴 수 있습니다.

공인 인증서가 위험에 처한 상황이라는 것은 사실 어제 오늘의 이야기가 아닙니다. 그리고 이러한 문제는 공인 인증서를 취급하는 방법 자체가 잘못되었기 때문입니다. 그 매체가 PC에 붙어있는 하드 디스크이든, CD-RW이든, USB메모리이든, 외장형 하드디스크이든 간에 해당 장치의 액세스를 OS가 직접할 수 있다면 행여 설치되어 있을지 모를 못되먹은 프로그램 입장에서는 이를 입수하는 것이 누워서 떡먹기일 뿐입니다. 그리고 애석하게도 그 나쁜 프로그램이 은행이나 쇼핑몰에서의 필수 ActivX인  NP******* 같은 프로그램의 이름을 사칭한다해도, 일반적인 인터넷 사용자 입장에서는 이를 확인해 볼 방법이 없기 때문이지요.

설령 본격 안티바이러스 프로그램이나 방화벽을 사용하여 수상한 프로그램이 설치될 때 이를 감지하고 동작하지 못하도록 막아버리면 되지 않느냐구요? 그래서인지 대부분의 ActiveX를 사용하여 브라우저가 제공하는 기능 이상의 기능을 제공하고자 하는 사이트에서는 친절하게 “안티 바이러스의 실시간 감시 기능을 꺼주세요”라고 안내합니다. 덕분에 우리 불쌍한 네티즌들은 은행, 쇼핑몰이 제공하는 빈약하기 그지 없는 보안 ActiveX를 쓰기 위해 그나마 훨씬 더 안전한 보호막을 자기 손으로 벗겨 내고 인터넷을 사용합니다. 정말 미안합니다만, 여러분들이 은행이나 쇼핑몰의 브라우저 창을 닫는 순간-혹은 그 사이트를 떠나 싸이월드로 룰루랄라 일촌 탐방을 떠나는 순간-꺼져버린 본격 안티바이러스 프로그램을 다시 활성화하는 것은 여러분의 책임입니다.

결국 현재의 공인인증서는 아무런 개인 증명도 보호장치도 되지 못하는 상황입니다. 사실은. 그래서 은행에서 인터넷 뱅킹 사고가 터진다면? 은행은 공인인증서를 하드에 보관했는지, USB에 보관했는지, 심지어 웹하드나 이메일로 공유했는지 따위도 신경쓰지 않습니다. (왜? 애초에 신뢰할만한 개인 인증 수단으로 사용될 수 없는 걸 아마 만든 쪽에서도 알고 있을 테니까요. 누군가 훔쳐가기 쉽다는 것을 스스로 인지했을 거에요) 금융기관은 여러분들의 과실을 찾기 위해 오직 한 가지 사실에만 매달립니다. 그것은 바로 여러분들이 보안 카드를 스캔이나 촬영하여 디지털 매체(하드/USB/이메일 등등)에 보관했느냐하는 사실입니다.

보안카드의 내용까지 유출되었다면 (은행이나 보안업체는 이미 여러분들의 별볼일 없는 보안 의식은 간파했기 때문에 여러분의 컴퓨터는 해커의 수중에 들어가서 모든 아이디나 비밀번호 같은 게 다 넘어갔다고 가정합니다.) 손쓸 방법이 없기 때문입니다. 최소한 인터넷 뱅킹에서는 “여러분들만” 알고 있는 정보는 오로지 보안카드의 정보 밖에 없으니까요. (그래서 보안카드 받으면 누구한테 빌려주지 말라고 주의 문구가 써 있습니다. 그런데 촬영이나 스캔하지 말라는 문구는 아직 본 적은 없는 거 같네요)

그럼 어디에 저장하면 되나요?

공인인증서를 저장하는 수단은 크게 두 가지 입니다. 하나는 보안토큰이라는 하드웨어적 보안 장치에 저장하는 방식입니다. 생긴 것은 USB와 비슷하게 생겼으나, 인증서를 저장할 때 하드웨어적으로 내용을 암호화할 수 있습니다. 당연히 액세스하기 위해서는 사용자(주인)가 설정한 암호가 있어야 하지요. 그런데 문제는 이 보안 토큰은 돈주고 사려니 좀 비싸다고 생각될 수 있다는 점입니다. 만약 행안부와 KISA가 조금이라도 의식이 있는 사람들이 모인 집단이라면 USB에 저장할 것이 아니라 보안 토큰에 저장하라고 해야 할 것입니다.

그렇지만 사실 우리는 돈을 안 들이고도, 그것도 하드디스크에 아주 편히 공인 인증서를 저장할 수 있습니다. 파이어폭스나 구글크롬, 사파리, 오페라 등의 브라우저는 이미 브라우저 자체에 소프트웨어적으로 보안 저장 장치를 구현하고 있습니다. IE 계열에서도 이러한 보안 저장소를 지원하는지는 모르겠습니다만, 어쨌든 한가지 확실한 것은 그렇다면 지금의 쓰레기같은 보안 모듈들을 덕지 덕지 ActiveX의 형태로 설치하지 않아도 됩니다.

키보드 보안 프로그램이요? 그래픽으로 처리되는 화상 키보드나 퍼즐조각맞추기 등의 키보드를 사용하지 않는 입력 수단을 사용하면 됩니다. 그러면 제 아무리 키로거라 하더라도 어떤 아이디와 비밀번호를 입력했는지, 입력했는지조차 모를테니까요.

오히려 지금의 방식보다 ‘이미 만들어져있는’ 수단들과 ‘이미 남들이 다 쓰고 있는 아이디어’를 사용하여 구현하는 인터넷 금융 거래 방식이라면 훨씬 더 안전성을 확보할 수 있는 것이 사실입니다.

사람들을 병신으로 교육시키는 보안 전문가님들께

행안부도 그렇고 KISA도 그렇고 여느 보안업체도 그렇고 제발 인정할 것은 인정하고 공익을 위해 조금만 양보했으면 좋겠습니다. 지금 우리 나라 웹 그리고 보안 환경의 현실은 아무것도 모르는 사용자들을 병신으로 교육시키고 있는 꼴과 하나도 다를 게 없습니다. 그리고 이러한 보안 위협 때문에 사회적으로 지출되는 비용은 꽤나 엄청납니다. 모르긴 몰라도 그리하여 기업들은 그만큼 경쟁력을 잃고, 세금도 낭비되고 있겠지요. 얼마전에도 좀비 PC를 통한 DDOS 공격에 온 나라가 발칵 뒤집혀졌지만, 정작 전문가라는 사람들은 너무나 조용합니다. 최소한 저 사태때만큼은 좀비PC를 만든 악성 코드의 감염지가 어딘지, 그리고 방비책은 무엇인지 알려주고 -아니, 최소한 ActiveX는 무조건 설치하지 말라고 뉴스라도 내보내주던가!-  추후에 병신같은 네티즌들이 독인지 똥인지도 모르고 아무거나 집어먹는 사태는 막아야 했던 거 아닌가 싶네요.

부디 보안 전문가 분들도, 보안이라는 것이 단순히 기술적으로 무언가 벽을 쌓고 잠그는 것이 아니라 그 시작점이 ‘사람’이라는 기본에 충실해 주셨으면 하는 바램도 있습니다. 제발 어설픈 기자분 모셔다 놓고 윈도 기본 기능인 원격 지원을 살짝 변형해서 귀신 쇼 같은 거 펼치시지 마시구요. (그건 아이폰이 해킹툴이 된게 아니라 그냥 OS의 기능을 잘 이용하신 거 뿐이라는 거, 본인은 모르셨던 건 아니죠?) 온 나라 대부분의 네티즌은 그 기자분만큼 보안에 대해서는 어리숙합니다. 원격지원으로 PC 안되는 부분 봐주고 있으면 귀신이 붙은 거 같다고 놀라는 친구들이 제 주위에도 많아요. 정말이지 그런 쇼나 펼쳐서 기사로 내보내고 앉아있는 한가한 현실을 보면, 그리고 한 편으로 카드 결제 하나 하려고 하면 PC를 재부팅해야 하는 병신 같은 웹 환경에 이제는 질렸습니다.

20100115 :: Firefox 3.6 Release Candidate 1 공개

Posted on by
4

해를 넘긴 릴리즈 일정

지난 주 수요일 즈음해서 파이어폭스 3.6의 배포 후보판(RC)의 첫 번째 버전이 발표되었습니다. 이미 파이어폭스 3.6은 다섯번에 달하는 베타 버전을 거쳤고, 그 첫 번째 RC 버전이 1월 초순에 나왔습니다. 원래 모질라가 발표했던 계획에는 지난 2009년 말경에 3.6 정식 버전을, 2010년 하반기 혹은 말 경에 4.0 버전을 발표하는 것이었는데, 일정이 조금 밀린 감은 없잖아 있습니다. 뭐 그 동안에도 3.0.x 대와 3.5.x 대도 각 각 몇 번의 보안 업데이트가 있어왔으며, 아마 3.6이 발표가 된 이후에 3.7도 연내로 발표가 될 것이므로 4.0 버전의 발표는 내년 초로 다시 연기될 가능성이 그만큼 커졌다고 보입니다.

CSS3 지원 및 향상된 자바 스크립트 엔진

파이어폭스 3.6은 3.5보다 더 많은 CSS3 규격을 지원합니다. 이미 3.5 버전 대에서는 둥근 모서리 및 text-shadow를 지원했습니다만, 3.6부터는 다중 선색(multi border color)이라든지 background-scaling, background-gradient 등의 속성을 지원합니다. 그리고 gecko 렌더링 엔진도 새 버전(1.9.2)으로 바뀌었으며, 자바 스크립트 엔진도 교체되어 어느 정도 성능이 향상되었습니다. 물론 3.0 -> 3.5로 버전이 변경될 때 워낙 큰 성능 차이를 보였던지라, 이번 버전에서의 향상된 성능이 그리 부각될 내용이 못될 수도 있습니다 (게다가 구글 크롬이라는 속도면에서 무시무시한 괴물 브라우저가 버티고 있기도 하지요) 하지만 베타버전을 쭉 사용해본 결과, 체감상으로는 초기 런칭 속도를 제외하고, 웹 페이지를 그리는 속도는 구글 크롬에 견줄 정도로 많이 빨라진 것이 사실입니다. 구글 크롬이 심플한 UI에 비해 굉장히 많은 시스템 자원을 사용한다는 점을 생각한다면 파이어폭스는 그 나름대로의 안정성이라든지 장점을 가지고 있다고 봐야겠지요.

Persona 기본 지원

전반적인 스킨 전체가 아닌 브라우저 상단과 하단의 스킨을 쉽게 교체할 수 있는 Persona가 브라우저 자체에 내장됩니다. http://www.getpersonas.com/en-US/에서 확인해 볼 수 있습니다. 페르소나의 가장 큰 특징은 스킨을 설치하지 않고 마우스 오버만으로 실제 브라우저의 배경 이미지가 바뀌며 확인이 가능하다는 것입니다. 저도 별도의 테마를 사용하는 것보다 손쉽게 변경이 가능하여 마음에 들어하는 기능입니다.

플래시 플러그인은 여전히 불안정

여전히 플래서가 많은 사이트에서의 동작은 불안합니다. 이것은 파이어폭스 자체의 문제라기 보다는 리눅스용 플래시 플러그인의 문제로 보입니다. 대체로 파이어폭스가 죽는 사이트들은 구글 크롬에서도 똑같은 동작을 보는 확률이 크거든요. 참고로 구글 크롬은 현재 4.0.288.1 버전이 최신의 개발자 버전이며, 현재 버전에서의 런칭 속도는 상상을 초월합니다. (거의 계산기만큼 빨리 뜹니다. 확실히 gedit보다는 빨리 뜨고요) 파이어폭스의 경우에는 3.0.x 대보다는 그래도 많이 빨라진 느낌입니다만, 구글 크롬을 생각한다면 보다 노력할 필요가 있을 것 같네요.구글 크롬의 경우 4개 정도의 확장을 설치했는데, 런칭 속도에는 크게 영향을 주지 않는 듯 합니다. 이도 상당한 강점이라 하겠네요. 그래도 다양한 플러그인과 확장의 안정성을 높이기 위해 내부적으로는 꽤나 수정을 거쳤다고 합니다.

그리고 제3사가 제작한 플러그인이나 프로그램은 이제 내부 폴더가 아닌 별도의 폴더에 저장되도록 변경된다고 합니다. 어플리케이션의 자체 안정성을 높이기 위한 방법이라고 하네요.

그래도 강추

그래도 이미 파이어폭스 3.5 버전대를 사용하고 있다면 3.6의 정식 버전이 발표되자마자 업그레이드할 것을 권합니다. 3.5로의 업그레이드 때 보다는 덜 하겠지만 속도 면에서 어느 정도의 향상을 체감할 수 있으리라고 생각 됩니다. 단, 시스템 사양이 그리 여유롭지 못하다면 속도 향상은 크게 느껴지지 않을런지도 모르겠네요. (이는 크롬에서는 더욱 심화되는데 저사양 PC에서 윈도 기반의 크롬은 결코 가벼운 브라우저가 아닙니다. 그렇지만 IE6,7,8보다는 크롬이 훨씬 빠르게 동작합니다. )

3.7에서는 보다 다양한 기능들이 탑재될 듯

이미 멀티 터치를 브라우저 수준에서 지원하는 데모 동영상이 공개가 되었으며, 노트북에 탑재된 가속도 센서를 통해 화면을 왜곡하는 데모도 발표된 바 있지요. (너무 귀찮아서 링크를 못찾겠네요. 추후 수정하지요) 게다가 3.7에서부터는 Direct2D를 지원할 예정이라는 소문도 있습니다. 즉, 화면에 렌더링 결과를 그리는 것을 CPU를 통하지 않고 GPU에서 바로 처리하도록 하는 것인데, 운영 체제마다 그런 방식이 매우 다를 것으로 예상되어 좀 난항을 겪게 되지 않을까 싶기는 한데, 모질라에도 워낙 능력자가 많으니, 닥치고 기다려봐야지요.

4.0의 출시도 벌써 기대된다

연말 혹은 내년 초에 발표 예정인 4.0은 탭 및 윈도우 디자인 시안이 공개된 적이 있습니다. 구글 크롬처럼 탭을 상단으로 올려 보다 많은 세로 공간을 사용할 수 있도록 하는 형태로 디자인이 변경될 모양입니다. 개인적으로는 설정을 통해 현재의 모양과 크롬 스타일을 선택하는 것이 좋을지도 모른다는 생각도 듭니다. 크롬 스타일의 창이 공간 절약면에서는 우수하지만 (특히 노트북에서), 크롬에서는 HTML 문서의 title을 제대로 볼 수가 없거든요. 이러한 디자인의 변경도 좋지만, 제 경우에는 그런 변경은 설정을 통해서 사용자가 선택하게 하는 것이 어떨까 싶은 생각도 드네요.

이미 위키에 4.0의 목업 디자인이 올라와 있네요. https://wiki.mozilla.org/firefox/4.0_Windows_Theme_Mockup 이곳에서 확인 가능합니다.

[추가]

벌써 RC2 버전이 릴리즈 되었습니다. 이번 달 내로 정식 버전이 릴리즈 될 듯 싶네요. (2010.01.18)

20010105:: 네이버씨 내 저작권 어쩔거임 2

Posted on by
4

음.. 지난번에 제 블로그에서 퍼나른 이미지에 떡하니 자기 인장을 찍어다가 카페를 운영하는 걸 적발(?)했다고 포스팅했더랬습니다. 물론 ‘신고’만 하고 과연 이런 신고가 실효성이 있는 건지 살짝 궁금하기도 해서 네이버 고객센터를 이용해서 문의를 해봤습니다.

뭐 사실 그리 기대는 안 했지만 지난 번 해킹 사건 때 그래도 나름 성의있는 답변의 자세를 보여준 상담원이 있었기 때문에 그래도 copy&paste 따위의 수준을 각오했던 건 아니었어요. 사실 ‘내 그림을 배껴갔다 ㅅㅂ’ 류라기보다는, 카페에서 단순히 신고만해도 어떤 제제가 가해지는지, 이런 경우에 대해 네이버는 관심을 기울이는지, 그리고 그런 처리 경과가 신고자에게 리포팅 되는지를 그냥 물어본 것이 문의 메일의 전부입니다.

그런데, 답변이 왔네요 가관입니다.

뭐 그 아래 내용은 더 볼 것도 없네요. 일단 네이버의 답변부터 좀 정리해 보겠습니다.

  • 증거를 대라 우리 고객님(?)의 그림이 니껄 카피했다는 정보가 부족하다. [내가 문의 내용에 넣어준 링크는 타 봤냐]
  • 이딴 걸로 징징거리고 싶으면 니 신원 확실히 까고, 정식으로 신고해라. [이럴 줄 알았다만, 내가 물은 건 이게 아니거든]
  • 그냥 법이라니까. 까라면 까. [니들을 까줄까 고민중이다]

이런 내용이네요. 어처구니가 하늘로 솟아 돌아올 기미가 보이지 않습니다. 제가 보낸 문의 내용에서 일부 단어만 추출해서 그냥 적당한 답변을 붙여넣기 했음에 그지 없군요. 심지어 해당 이미지가 게재된 제 블로그의 포스팅은 무려 ‘강좌’ 이며, 어떻게 최종 이미지를 만들어내는지에 대한 과정까지 소상히 밝히고 있습니다. 근데 제가 원본이 아니라니요! ‘도식화’로 검색하면 해당 포스트는 2007년에 작성됐다고 뜬단 말입니다, 이 개같은 님들아. 이런 거 찌질하게 퍼다나르는 네이버 이용자도 정말 싫지만, 외부 포스팅에 대한 저작권은 발톱의 때만큼도 못하게 생각하는 네이버의 작태는 무척이나 가증스럽습니다. 그런 주제에 웹툰까지 동원해서 저작권을 알린다고 호들갑을 떨었던 거군요. 네이버 고객센터 직원들이나 좀 똑바로 교육시켰으면 좋겠습니다. 네이버가 이 포스팅을 보게될 가능성은 매우 희박합니다만, 개인적으로 한 두 번 더 찔러보고 정식으로 절차 밟아서 신고하든가 해야겠습니다.

그건 그렇다치고, 어떡하나 볼려고 보낸 문의에 대해 읽어보지도 않고 답변하는 고객센터는 정말 용자스럽습니다. 자기가 무슨 공무원이나 되는 줄 아시나봐요.

p.s. 위 스크린샷에는 답변을 준 상담원의 이름이 들어있습니다만, 걍 놔둘랍니다. 스크립트가 랜덤하게 입력하는 이름이 아니라는 보장도 없고, 어차피 해당 답변도 ‘고객센터’ 이름으로 왔기 때문에 불만을 저 분께 토로할 방법도 없거든요.