DDoS 사태가 좀 크게 벌어졌을 때 쓰려고 시작한 글인데 지나친 게으름으로 인해 이제사 완성해서 발행합니다.

그렇게 난리 법석 안 떨어도 됐거든요?

요즘은 슬슬 사그러드는 듯 합니다만, 얼마전까지만해도 분산 서비스 거부(Distributed Denail of Service) 공격 때문에 국내 주요 사이트 및 일부 정부/우익 단체들의 홈페이지가 마비되는 사건이 벌어졌습니다. 사실 인터넷 뱅킹이나 인터넷 쇼핑 및 일부 포털을 제외하고는 머 있으나 마나한 사이트들이라서 신경쓰지 않고 있었습니다만, 아무래도 뭐하나 국민들의 관심을 정치로부터 떼어놓으려는 떡밥만 있으면 미친듯이 몰려들어 지랄 난장을 벌이는 언론들 덕분에 전국이 시끌 시끌했지요. 게다가 몇 년 전 국내에서도 제법 인기를 끌었던 ‘다이하드 4.0′의 상황과 똑같다며 난리 법석을 부리는 모습에는 가뜩이나 더운데 정신까지 끈적이는 불쾌감의 극치를 맛보았습니다. (어디 신문사 중에 PC에서 불꽃이라도 파바박 튄 데가 있나 봅니다)

게다가 안그래도 방학을 앞두고 네이버가 버벅거려 초딩들 마음이 뒤숭숭할텐데 국정원은 난데없이 ‘이번 사이버 테러 배후에는 북한이 있다’는 유언비어를 앞장서서 퍼뜨려 사회적 불안감을 마구 조성해주고 제대로 병신인증 한 번 했습니다. 국정원이 내뱉은 헛소리에 야당을 비롯한 많은 네티즌들이 사이버 보안법을 위한 언론 플레이라며 반발했지만 ‘일부언론’들과 한나라당은 되려 안보 개념도 탑재가 안됐다고 성을 냈지요.

• 관련 기사 : “사이버테러 배후 북한.종북세력 추정”
• 관련 기사 : 한나라, ‘북한 배후설’ 기정사실화…민주당 맹비난
• 관련 기사 : 국정원이 디도스 공격 배후로 北을 지목한 이유는?
• 관련 기사 : [7·7대란]방통위 “북한발 공격 불가능”

가만히 보니 이 사람들 전쟁 내고 싶어서 안달하는 거 같은데 어쨌든 잠정적으로 공격의 근원지는 영국으로 판명이 난 듯 합니다. 문제는 저열한 국정원의 정치 놀음입니다. 이 사람들은 국가 안보를 그렇게 입에 달고 살고, 심지어는 국민들의 혈세로 스티커까지 만들어서 전국의 시내 버스 내리는 문이며 지하철 문마다 붙여놓지만 스스로의 이성적 사고는 어디 내다 팔아버린 것 같습니다. 실제 공격의 목표가 정부 사이트나 우익 언론 단체가 (역시 포함만 되었을 뿐이고) 되었다 하더라도 그저 ‘홈페이지가 접속이 안되는’ 정도에서 그쳤다는 겁니다. 그나마 치명상을 입은 시스템은 공격에 사용된 좀비PC들 뿐이지요. 이 사실들만 보더라도 어떤 정치적인 목적을 띈다고 판단하는 건 너무나 섣부른 거 아닌가 싶은데, 이러한 양상이 그냥 일반적인 악성코드에 의한 피해와 뭐가 다른가요?

좀비PC – 일부 운이 나빴던 사용자들의 PC

3차 공격의 성과(?)도 미미하여 DDoS  공격이 소강상태에 접어들었고, 영국으로 진원지가 밝혀지고 (어디서는 서버는 미국에 있다는 이야기도 들립니다만, 이 부분은 확인하여 다시 수정하도록 해야겠네요) 어느 정도 사태가 진정되어 가는 것 같습니다. 하지만 제 생각에는 이제부터가 시작이라고 생각이 듭니다.

하지만 너무나 답답하게도 정부는 이런 큰 사고(?)를 계기로도 범국민적인 보안 의식 강화 운동 같은 건 할 생각이 없나봅니다. ‘안보’에는 관심있어도 ‘보안’에는 관심이 없는 그들의 근원적 사고를 반영하는 듯 하네요.

국내에서 이와 같은 대형 DDoS공격에 의한 큰 피해가 발생할 수 있는 가장 큰 이유는 바로 멀웨어에 감염된 PC들이 국내에 있었기 때문입니다. 하다못해 중국에서 대형 DDoS 공격이 감행된다고 하면 그냥 중국 쪽 IP를 일시적으로 차단하여 손쉽게 막을 수 있었겠지만, 국내 정상 사용자속에 섞인 수 만대의 좀비 PC들을 걸러내는 것은 쉽지 않기 때문이죠. 일일이 IP를 등록하는 것도 한계가 있고, 일시에 몰아부치든 밀려들어오는 트래픽 속에서 그런 작업을 해내기란 쉽지 않은 일일테니까요.

은 정말이지 절망적인 수준이거든요. 거의 절대적인 대다수의 사용자들은 ‘편하지 않으면 무슨 신기술이냐’라는 생각과 더불어 ‘인터넷은 편하다’는 막연한 편견을 가지고 있습니다. 그래서 보안이라든지 개인 정보 보호 따위에는 관심이 없습니다. 은 정말이지 절망적인 수준이거든요. 거의 절대적인 대다수의 사용자들은 ‘편하지 않으면 무슨 신기술이냐’라는 생각과 더불어 ‘인터넷은 편하다’는 막연한 편견을 가지고 있습니다. 그래서 보안이라든지 개인 정보 보호 따위에는 관심이 없습니다. 아주 가끔은 ‘가입할 때 주민 번호도 입력 안하는 이메일 서비스를 어떻게 믿을 수 있냐’고 하시는 분도 본 적이 있습니다.

그리고 계속해서 야기되는 ActiveX 문제도 마찬가지 입니다. 무조건 ActiveX가 문제인 것은 사실 아닐 수도 있습니다. 브라우저의 접근 범위를 뛰어넘는 기능을 제공하는 웹 서비스를 제공하려면 쓰지 않을 수 없는 기술입니다. (접근성이나 소프트웨어 종속성은 이 글에서 다루고자 하는 부분이 아니므로 일단 제외하겠습니다.) ActiveX 문제에서 가장 관심을 가지고 까야할 주제는 그 기술 자체가 아니라, 그걸로 서비스를 기획하고 만드는 사람의 사고 방식이 문제라는 겁니다.

ActiveX 문제는 ‘과학 기술’이 가지는 그 속성을 축소하여 담아둔 현상으로 해석할 수도 있습니다. (이 예시는 사실 소설 주라기 공원에 나오는 이야기입니다) 가다데의 고단자는 마음만 먹으면 한 손으로도 사람 목을 꺾어 버릴 수도 있습니다. 하지만 그 정도의 고수들은 쉽게 사람을 죽이지는 않지요, 그것은 그러한 힘을 손에 넣기 전까지는 어마어마한 훈련과 더불어서 자기 자신을 그런 힘을 가질 자격이 있도록, 즉 그것을 통제할 수 있도록 수련을 한다는 겁니다.  하지만 과학 기술은 그렇지 않습니다. 인류가 문자를 발명한 이후로 ‘기술 지식’은 너무나 쉽게 다음 세대에게 전달이 되기 시작했지요. 그래서 뉴튼 이후의 과학자들은 선배들이 평생에 걸쳐 발굴한 성과를 아주 짧은 시간 안에 습득하고 그 다음 레벨의 지식과 기술을 연구하게 됩니다. 그렇게 몇 세대를 지나면서 과학 기술은 엄청난 속도로 발전하지만, 이제는 어느 누구도 그 기술이 올바르게 사용될 거라고 장담할 수 있는 사람은 없게 됩니다. 성찰이나 노력에 비해 몇 배나 큰 힘을 가지게 된 사람이 과연 그 힘을 제대로 통제할 수 있을까요?

ActiveX 문제도 마찬가지입니다. 너무나 쉬운 관문 – 사용자가 팝업창에서 [예]를 한 번 클릭하는 것- 만 통과하면 그 시스템은 이제 ActivX 프로그램이 하고 싶은 대로 할 수가 있습니다. 이렇게 동적으로 코드가 다운로드되고, 설치되어 실행될 수 있도록 하는 것은 개발자 입장에서는 사실 매우 편하기 그지 없는 방식이고, 그래서 10년 전 쯤에 이 기술은 여러 개발자들의 찬양을 받기도 했습니다. 하지만 그렇다고 개발자(여기서는 실제 코드를 짜는 것만이 아닌 서비스를 설계하는 모든 이를 말합니다)들이 모두 ‘보안 의식’이 철저했던 것은 아니었습니다. 하다 못해 모 초대형 사이트에서는 배경 음악 플레이어를 설치했을 뿐인데, 자기 네 사이트가 ‘신뢰할 수 있는 사이트’로 몰래 등록이 되어 있기도 하지요. 이런 식으로 ActiveX를 통해서 사용자 PC의 보안을 완전 무력화하는 서비스도 있었습니다. 심지어는 아예 ActiveX를 물어보지 않고 설치할 수 있도록 설정을 사용자 몰래 변경해버리는 곳도 있습니다. 그 정도 수준이면, 그 얼마나 값어치 있는 서비스를 제공할지는 몰라도, 서비스 제공자로서의 최소한의 상도의도 포기한 양아치라고 밖에는 표현할 수 없지요.

그렇게 거의 10년을 사용자들은 ActiveX를 습관적으로 설치하도록 강제 받아 왔고, 이제 그 대단한 학습효과는 사용자 스스로를 옥죄게 만들게 되었습니다. 서비스 제공 업체들은 ‘문을 허술하게 열어두도록 하는 방법’은 알려주었지만, ‘벽에 구멍이 나는 데 공구리 치는 것’을 알려주지는 않았습니다. 즉 ActiveX로 문은 열되, 사용자 보안 업데이트 같은 것은 어느 누구도 하라고 알려주는 법이 없었지요. 아예 국가가 나서서 윈도 서비스팩 출시를 늦추어 달라는 둥, 이런 밉상 짓을 하고 앉아 있습니다.

분위기가 이렇다보니, 결국 이번 공격에 동원된 PC를 사용하던 사용자들을 비난하기도 참 뭣한 겁니다. 비난의 화살은 결국 국내 사용자의 대다수가 받아야 할 테니까요. 그리고 그들을 그저 무지한 상태로 남아있도록 강요한 온갖 서비스 업체들과 정부도 같이 비난을 받아야겠지요. 그저 아무 것도 모르고 PC를 사용하던 사람들은 그냥 ‘운이 없었을’ 뿐이었습니다. 그럼에도 불구하고 ‘좀비PC 경고 받고도 그냥 PC 사용한 사용자’에 대해서 한심하다는 논조의 기사거리도 보였는데, 그건 정말 나쁜 기사입니다. 참 못되먹었어요. 그 엄한 사람을 그렇게 만들지 않게 할 의무가 정부에게, 언론에게 그리고 최소한의 상도의 차원에서 인터넷 서비스 제공업체에게 있기 때문입니다.

이번에도 정신 못차리는 언론

그럼에도 언론은 더더욱 정신을 못차립니다. 정보 통신 관련 ‘전문 기자’들의 지식 수준이야 사실 더 이상 말할 필요가 없지요. 동네 컴퓨터 학원에서 게임하는 초딩보다, 마을 여성회관에서 독수리 타법으로 인터넷 배우신 주부들 보다도 더 나을 것 없는 수준들 (관련 기사가 삭제되었는지 찾을 수가 없어서 행복한 고니님의 블로그로 링크합니다)을 보여주었으니, 이번 DDoS 사태에 대해서는 뭐 별반 기대하는 것은 없습니다. 하지만, 지금쯤되었으면 최초 악성 코드를 배포한 것으로 알려진 사이트 목록은 공개해야 하는 것 아닙니까? 이 부분은 꼭 저 뿐만이 아니더라도 정말 궁금해 하시는 분들이 많을 텐데요. 이 부분이 가장 의문스럽군요. 어쩌면 제대로 관리 안되기로 유명한 국내 언론사들이 주요 숙주 사이트였기에 이미지 관리 차원에서 자체적으로 공개를 안하시는 건가요? (어쩌면 정부 기관 홈페이지 일 수도 있지요. ) 좀비 PC들이 ActiveX를 통해 감염되었을 가능성이 매우 높고, 1차 공격이 지난 시점에서도 어쩌면 그 사이트들은 계속해서 악성 코드를 사람들의 PC에 심고 있을지 모르는데도 이 부분에 대해서는 계속 함구 하고 있습니다. 마치, 흉악범이 탈옥하여 걸거리를 활보하며 계속해서 피해자를 만들고 있는데도, 언론에서 덮어주는 꼴과 다를 바가 없습니다. 하다못해 경찰이나 국정원에서도 그런 조치를 생각 못했을까 싶기도 할 정도로 기본적인 내용임에도 불구하고 그저 ‘조용히 넘어가면 그만’이라는 냄새를 많이 풍겨주고 있습니다. 하기사, 언론(이라고 하기에도 부끄럽네요)들이 추가 피해 발생이나 그런 거에 관심이 있겠습니까, 그저 북한 배후라는 국정원의 근거 없는 유언 비어만 확대 재생산하는 데 몰두해서 한참 재미봤을 텐데 말이지요. 어쨌거나, 이와 관련된 언론인들은 모두 X잡고 방바닥에 앉아서 잘 반성해야 합니다.

아니, 피해를 주는 사이트를 못가도록 알리고 홍보해야할 사람들이 야동 다운 받아 보지 말라고 설레발을 치는게 말이 됩니까? 그럼 왜 북한이 주도한 겁니까? 일본이면 몰라도.

정부와 국정원 – 어디서 굴러먹던 양아치들

정부의 대응은 정말이지 더더욱 가관입니다. 허둥대기나 했지 제대로 한 게 아무것도 없어요. 거기다 국정원은 아무 근거도 없이 이번 공격이 북한이 주도한 사이버 테러라며 헛소리를 퍼트리기 시작합니다. 만에 하나 북한이 테러를 감행하고자 마음을 먹고 저질렀다면 그 깟 몇 개 홈페이지 다운될 정도로 장난만 치다가 끝냈을까요? 그렇게 ‘강한 부대’를 양성했으면 금융 전상망을 초토화한다거나, 군 기밀을 빼가는 등의 좀 임팩트 있는 공격을 하지 않았을까 싶은데요. 설령 그것이 ‘테러’라고 한다면 그건 국정원으로서도 더더욱 할 말이 없습니다. 국가의 정보 보안 인프라가 그 딴 초보적인 DDoS 공격 따위에 마비가 됐다는 것이니, 이제 북한이 맘먹고 영화처럼 대 혼란을 야기하려고 한다면 정부가 그것을 막을 방법이 없다는 것을 그대로 시인했을 뿐입니다. 비가 와서 눅눅한 공기가 온통 병신 냄새, 바보 냄새로 가득 메워지는 느낌이 듭니다. 그저 조선일보 홈페이지가 마비되었다고 북한은 IP 할당도 못받았는데, 영국으로 진원지가 확인됐는데 계속해서 북한이 저지를 ‘테러’랍니다. 그냥 하는 짓거리가 지나가는 초딩 잡아다가 꼬투리 잡아 돈 뺐는 양아치 이상도, 이하도 아닙니다. 그 딴 소리 계속 지껄이는 걸 보면 국정원의 자작극이 아닌가하는 강한 의혹이 제기되는 것이 그리 억지는 아니라고 생각되는 군요.

이번 사태에서 우리가 배운 것

이런 일련의 사건들을 겪고나서 확실히 확인한 것이 몇 가지 있지요. 첫 째, 우리 나라는 IT 강국은 커녕 베트남만큼도 못한 후진국이라는 점. 둘 째, 정작 맘먹고 누군가가 테러할라치면 그에 대한 대응은 없고 속수 무책으로 당할 수 밖에 없겠구나 하는 점. 셋 째, 사건의 전개와 진화 과정을 지켜본 바로는 앞으로 전혀 개선될 기미는 보이지 않는 다는 것. 넷 째, 이 나라 언론들 중에서 제대로 의식 박혀있는 곳은 한 군데도 없다는 점.

가장 문제가 되는 것은 사용자 개개인의 보안 의식이 없다는 것이고, ActiveX는 그 자체가 좋다/나쁘다의 가치 판단을 할 수 없지만 지금처럼 무작정 예만 클릭하다록 하는 습관을 뜯어고쳐야 한다는 것이 가장 중요한 일이 아닐까 싶습니다. 그렇지만 지금도 ‘유료 백신은 돈 아깝다는 생각하지 말고 까세요’ 소리나 하고 있는 언론이 있고, 또 ActiveX가 얼마나 좋네 나쁘네를 가지고 싸우는 네티즌들을 보면 그저 한숨만 나올 따름입니다. 까놓고 말해서 IE의 점유율이 이렇게 압도적이지 않았다면 네이버가 쓰러질 정도로 큰 파괴력을 가지는 공격이 가능했을까하는 생각도 드네요.

아무튼 ‘세계로 뻗어나가는 한국’ 이런 말만 좋아하는 우리들의 습성 뒤에는 얼마나 병신같은 실체가 숨어있었는지만 확인할 수 있는 매우 부끄러운 요즘이었습니다.

인터넷 뱅킹의 보안에 대해 요즘 오픈웹과 개발자들(로 추정되는 분들)간의 뜨거운 토론이 슬슬 ‘오픈웹 무용론’으로 새어 나오기도 하고 보다 감정적으로 이야기가 격해 지고 있는 느낌입니다. 개발자들 입장에서는 오픈웹에서 퍼붓는 독설이 결코 반가울리 없겠지만, 제가 보기에는 김기창 교수님의 논리는 그 어법 자체가 직선적이고 다소 감정적일지언정 그리 비약이 심하다거나 하지는 않은 듯 합니다. 

많은 개발자분들이 댓글을 통해 ‘단지 [을]일 뿐인 개발사의 한계’에 대해 성토하고는 있지만, 그러한 말들은 문제의 본질을 흐리게 할 뿐입니다. 오픈웹의 초기 모토는 ‘플랫폼이나 브라우저에 종속되지 않고 인터넷을 사용할 수 있게 하자’라는 것이었고, 그 중 ‘인터넷 사용’은 ‘금융거래’에 초점이 맞추어져 있었죠. 사실 닫혀있는 대한 민국의 웹 사이트는 은행들 뿐만이 아닙니다. ‘돈’이 왔다 갔다하는 거의 모든 사이트에서 공인인증서를 요구하고 있고, 공인 인증서 모듈 설치와 더불어서 덕지 덕지 ‘보안 모듈’이라는 이름으로 그 정체를 알 수 없는 플러그인들이 한번에 설치되는 것이 가장 큰 문제이지요. 그리고 유독 ActiveX가 문제가 되는 것은 ActiveX 그 차체에 문제보다는  김기창 교수님이 거듭 강조하시듯이 ‘설치 메세지가 나타나면 무조건 [예]를 누르라는 지시’ 때문입니다.

그럼에도 불구하고 많은 분들이 SSL 보안 연결도 그리 안전하지 않다는 말만 되풀이 하고 계십니다. 참 답답한 현실이 아닐 수 없습니다. 물론 웹 서비스를 만드는 사람과 운영하는 사람이 다른 경우가 거의 대부분이기는 합니다만, 그냥 ‘만들어달라’는 요구에 대해서 만들어주기만 하면 끝이라는 식의 발언 들은 서비스 개발자로서의 최소한의 소명 의식마저 저버린 듯한 느낌이 들어서 안타깝기도 하구요. 이미 옥션등의 대형 포털에서 대량의 개인 정보 유출 사고가 있었고, 그 가장 근본적인 원인은 ‘쓸데없이 주민등록 번호를 요구한’ [갑]에게 있는 것도 당연한 이야기입니다만, 그런 민감한 정보를 저장함에 있어서 만에 하나 유출될 가능성을 염두에 두지 않고 암호화 하지 않고 DB에 저장한 개발사 역시 아무런 할 말이 없을 거라는 겁니다. 좀 개념을 갖고 만들었다면 회원 DB가 유출되어도 큰 문제가 되지 않을 수도 있는 사건이었습니다. 지금에야 유야무야 넘어가버린 문제이지만, 실제로 국민 1/3을 식별할 수 있는 개인 정보가 그냥 다 공개되어버린 것과 같은 저 문제는 ‘국가적 보안 위기’로 봐도 무방한 사건 입니다. 

지금 오픈웹에서 벌어지는 댓글 논쟁은 그리 유용해 보이지 않습니다. 결국은 ‘째려보니 맘 상해서 등돌린’ 보안 업계 종사자 분들의 뒷모습을 보는 것 같아서 마음이 씁쓸합니다. 백번, 천번 양보해서 정말로 SSL 보안 연결이 못믿을 방법이어서 부득이 하게 사용자의 입력 정보를 암호화하는 방법을 ActiveX로 썼다고 해도, 아이디/비밀번호 못지 않게 중요한 제 계좌정보는 왜 평문 통신으로 뿌려버리게 되는 것인지 이해가 가지 않습니다. 정말이지 논점 일탈이 멀어도 한참 멀리까지 넘어와 버린 느낌이랄까요.

정말 그 분들의 말처럼 SSL은 믿을 게 못되고 IT 강국, 대한민국의 첨단 기술력으로 만든 ActiveX가 훨씬 더 안전한 보안 통신을 구현할 수 있다면, 굳이 브라우저에서 인터넷 뱅킹을 할 이유는 없어 보입니다. 그냥 전용 터미널 소프트웨어를 만들어 배포하는 게 훨씬 경제적이고 안전할 듯 하네요. 이제 슬슬 싸움이 ‘밥 그릇 지키기’ 쪽으로 몰려 가는 것 같습니다. 앞으로도 여러번의 ‘법원 밖에서의’ 진통이 예상됩니다만, 차라리 지금 조금 힘들더라도 이 문제가 이런 논쟁을 계기로 공론화 되고, 그래서 사회 전반에서 보다 활발히 논의되고, 또 일반 사용자들에 대한 보안 교육 강화가 의무적으로 시행되는 등의 조치가 취해질 수 있다면 좋겠습니다.

거친마루님의 nProtect를 고발합니다를 읽고 생각이 나서 키보드를 다잡고 앉았습니다. nProtect 뿐만이 아니라 전자정부 홈페이지 들어가서 간단한 문서 한 장 인쇄하려고 하면 연속적으로 예닐곱개의 액티브엑스를 설치해야하는 게 당연시 되는 분위기에서 과연 거친마루님이 바라는 ‘모두가 각성하여 한 목소리내는’ 그런 날이 올까 과연 의심스럽습니다.

양날의 검, 액티브 엑스

굳이 양날의 검이라는 식상한 표현을 쓰지 않더라도, 액티브 엑스는 그 편리성은 인정해줘야 할지 모르지만 이에 따른 부작용 더 이상 말할 필요가 없을 만큼 커진 상태입니다. 게다가 이제 액티브 엑스가 가지는 문제 이외에도 너무나 이에 종속적인 우리 나라의웹 환경이 문제가 되고 있지요. MS에서 인터넷 익스플로러를 업그레이드 하거나, 운영체제의 차기 버전을 내놓을 때마다 “쇼크”라 불러도 좋을 정도로 국내 인터넷 업계가 들썩입니다. 개인적인 입장에서 키워드 검색을 브라우저 수준에서 엔진을 선택할수 있게 하는 점이나 액티브 엑스 사용을 보다 불편하게 (반대로 보다 안전하게) 만드는 점 등은 칭찬해 줄만하다고 생각하는데, 국내웹 업계 혹은 언론사 기자들은 그걸 참 고깝지 않게 보고 있더군요.

이러한 환영할만한 MS의 행보에도 불구하고 이미 우리 나라의 액티브 엑스 종속성은 너무나도 심각한 문제이며, 이는 네이버 지식인이나 혹은 해당 액티브엑스를 사용하는 웹페이지의 FAQ와 같은 문답란을 살펴보면 그 수준을 가늠하게 할 수 있습니다.

***가 안돼요하는 식의 질문에는 너무나도 위험한 방법을 그 해결책이라며 당당하게, 마치 그것이 세부 사양을 속속들이 관리해서 문제를 해결하는 고급정보인양 제시하는 사례들은 어렵지 않게 접할 수 있습니다. 우리 나라 대다수 인터넷 사용자는 ‘컴맹’인 동시에 보안 지식 같은 건 전혀 갖고 있지 않다고 봐도 무방하다는 겁니다.그저 쿠키 삭제 해주는거 같고 악성 코드 삭제했다며 결제 낼름 받아버리는 악덕 양아치들이 활개를 치고, (심지어는 그런 양아치들이 우수 업체로 선정이 되는) 이런 어처구니가 없는 시츄에이션이 펼쳐지는 곳이 대한민국입니다.

이러다보니 액티브엑스 개발에서 보안 의식 같은건 저 멀리 팽개쳐버리는 것이 기본이 되었습니다. 또한 웹 사이트 개발자(혹은 업체)는 클라이언트의 요구사항에만 매달리다 보니, 역시 사용자의 입장은 외면하게 되었습니다. 이러다보니 해외에서는 원격에서 로컬의 리소스를 마음대로 좌지 우지할수 있는 위험성 때문에 기피 대상이 되고 있는 액티브 엑스가 ‘화려한 홈페이지의 기본’으로 인식되어 버렸던 것입니다. 따라서 액티브 엑스가 기세 등등하며 그 영역을 확장하는 지난 10년간 대한민국 인터넷 사용자의 대다수는 무감각하게 “예” 버튼을 누르는 것에 익숙해져 버렸습니다.

덕분에 액티브 엑스 형태로 배포되는 많은 악성코드, 스파이웨어들은 여전히 큰 영향들을 발휘하고 있습니다.  이제는 다른 대안을 찾기 이전에 이렇게 위험한 사용자들의 습관과 인식을 먼저 개선해야할 때입니다. 하지만 액티브엑스를 사용하고 있는 거의 모든 웹사이트들이 이러한 주장을 어떻게 받아들일지는 사실 모르겠군요.

먼저 보안 경고창부터

별의 별 액티브엑스중에 가장 널리 사용되고 있고,또 가장 문제가 되고 있는 녀석 중 대표주자를 하나 꼽으라면 전 주저없이 nProtect를 꼽겠습니다.온갖 은행, 쇼핑몰에서 만날 수 있고 설치를 하고 나면 윈도우 서비스로 버젓이 부팅시에 실행됩니다. 서비스를 삭제해버려도 다시 자기가 실행되는 타임이 되면 은근 슬쩍 시스템 서비스로 다시 등록을 하는… 그야말로 악성 코드의 특성을 고스란히 갖고 있습니다. 게다가 악질적으로 요즘엔 가상 시스템에는 에러를 내면서 실행이 안되는, 전 네티즌의 공공의 적으로 떠오르고 있습니다.

정말 영업사원이 연봉 10억씩 받는 분인지, 아니면 다른 시커먼 커넥션이 있는지는 모르겠습니다만 nProtect 자체는 그리 믿을 만한 해킹 방지 툴이 아니라는 것은 꼭 알아두셨으면 합니다. 이미 구글에서 ‘nProtect bypass’라고 검색만 해도, 아예 해킹툴 파일을 배포하는 링크까지 찾을 수 있을 정도니까요. 특히나 최근 몇몇 온라인 게임에서 nProtect를 사용하기 시작하면서 중국산 해킹 툴이 많이 나돌아다니는 거 같더군요. 결국 아무리 좋은 보안 툴이 나오고, 방화벽, 백신이 나와도 지식인에서 흔히 볼 수 있는 답변들대로 충실히 설정해서 사용하거나 한다면 이거 뭐 대문 열어놓고 세콤 다는 거랑 뭐가 다른지 모르겠군요.

그리고 MS에서도 제발 보안 경고창 좀 다시 만들어 줬으면 좋겠습니다. 지금의 보안 경고창에는 ‘신뢰할 수 있는 게시자의 소프트 웨어만 설치하세요’ 따위의 미온적인 경고 문구 만이 있을 뿐입니다. 당연히 어떤 게시자가 신뢰할수 있는 게시자인지 사용자의 입장에서는  절대 알 수 있는 방법이 있을리가 만무하지요. 역시나 지식즐~에 물어봤다간 또 저런 즐~스런 답변만 접하게 (닥터바이러스 킹왕짱 류..) 될지도 모르니까요.

개인 pc 보안 문제의 원인을 사용자의 보안 의식 부재로 떠 넘기면서 오히려 그러한 점을 교묘히 돈벌이에 이용하는 업체들은 좀 정신차리고 사람됐으면 좋겠습니다. 그리고 MS도 보안 경고창 좀 제대로 만들어야겠습니다. 최소한 이런 파일을 설치하면 어떤 일들이 있을 수 있으니, 진짜 신중하게 생각하라는 말을 좀 이해할 수 있게 넣어줘야하는 거 아닙니까.

사실, 이것도 좀 부족하긴 부족하지요. 차라리 이런 식으로 하든가..

p.s.

오픈웹(http://openweb.or.kr)의 칼럼에서도 이런 무성의한 보안 경고창에 대한 언급을 했네요. 오래전에 쓴 글이지만, 트랙백 살짝 걸어봅니다.