분류 전체보기 (69)
Life Story (22)
Music Story (12)
My Play (10)
Security (20)
Scrap (3)
Virtualization (1)
기타연주  구글어스  기타  보안  마이클잭슨  Schecter  Jazz  블루스  hacking  가상화  schecter SD-II  Recording  Gartner  ActiveX  인터넷 뱅킹  전자정부  hijacking  웹 접근성  blues  jimi  연주  웹접근성  security  전자금융  웹표준  악플  srv  인터넷뱅킹  guitar  Virtualization 
 오픈웹 v. 금..
└>Open Web
 ActiveX 알고..
└>日常茶飯事
 Vista ActiveX..
└>SNAIPER의 조..
 마이클잭슨 내..
└>[Noenemy]'s m..
«   2017/06   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  
+ VMblog.com -..
+ virtualizatio..
+ Virtualizatio..
+ VMTN Blog
+ Total : 71,559
+ Today : 0
+ Yesterday : 2
  

 

 

 

비판적 시각에서의 ActiveX 기술
+   [Security]   |  2007.04.10 15:46  
비판적 시각에서의 ActiveX 기술

[글 싣는 순서]
1. 비판적 시각에서의 ActiveX 기술
2. ActiveX 취약점에 대한 이해와 보안

프로그래밍에 대한 좀 더 창조적인 접근과 방법에 대한 자료를 찾다 보면 이미 수많은 보안관련 엔지니어들이 “How To Become A Hacker(http://www.catb.org/~esr/faqs/hacker-howto.html)” 라는 대단히 유명한 글을 접했다는 것을 알 수가 있는데, 이 글을 쓴 사람은 Eric Steven Raymond씨 라는 것을 알 수 있다.

사실 Eric S. Raymond씨는 1998년 11월 1일 할로윈데이에 발표한 “Halloween Document”라는 놀라운 문서를 발표한 장본인이기도 하다. 이 문서는 MS가 당시 Netscape, Linux등의 급격한 S/W 시장의 성장을 방어하기 위한 내부 문건이었는데, 바로 “Halloween Document(http://en.wikipedia.org/wiki/Halloween_documents)”가 MS의 내부 문건을 설명하고 있는 자료이며, 당시 MS의 엔터프라이즈 마케팅 그룹 메니저인 Ed Muth씨는 해당 내부 문건의 존재를 인정했다.

이 문서로 인해 MS의 Open-Source Software에 대한 대외적 전략이 노출되게 되었고, 이 전략은 후에 FUD(Fear, Uncertainty, Doubt)로 불리게 된다. 이 전략은 경쟁 제품에 대한 막연한 두려움이나, 의심과 같은 정보를 생산하고 각종 컨퍼런스 등에서 공공연히 유포하는 마이너 전략으로써 당시 급격히 상승하는 경쟁 제품(Open-Source Software)의 점유율에 따른 MS의 미래에 대한 두려움이 이 문서에 녹아 있다.

이 문서에는 프로토콜의 비표준화 및 비공개를 통한 가격 상승 및 경쟁 억제와 같은 MS의 현재의 모습이 그대로 투영되고 있으며, 이러한 전략은 소스코드의 비공개로 인한 S/W 호환성의 한계를 극명하게 나타내는 것은 물론이며 MS만을 위한 프로토콜 양산으로 인해 공유와 개방이라는 인터넷의 기본적 철학을 정면으로 부정하는 결과로 나타나게 된다. 이러한 부분은 세계적인 기업인 Google과 MS가 기업철학적인 측면에서 가장 비교되는 부분이며, 反 MS 정서를 만들게 된 배경이 되기도 한다. 이러한 배경에서 Google의 경영철학이 ‘악해지지 말자(Don’t be Evil)”라고 하는데, 악함(Evil)의 대상이 누구였는지는 어느 정도 유추가 가능하다고 볼 수도 있다.

오늘의 주제인 ActiveX라는 것은 누구나 아는 것처럼 MS가 만든 기술이며, 당연히 소스와 프로토콜이 공개되지 않았고, 이의 결과로 ActiveX는 Internet Explorer(이하 ‘IE’)에서만 구동되는 부작용을 낳게 되었다. “Halloween Document”를 본 사람이라면 MS가 추구하는 목표라는 것은 결국 쉽게 말해서 ‘MS 사용자만을 위한 인터넷 세상 만들기’라는 것을 알 수 있다. 사실 ActiveX라는 기술은 대단히 혁신적인 기술임에 틀림없고 2007년 지금의 현실에서도 ActiveX의 역할을 대체할 만한 확고한 기술이 눈에 띄지 않는 다는 점에서 대단히 높게 평가 받을 만 하다는 점은 분명해 보인다.

ActiveX 기술을 이용하게 되면 프로그래머의 손에 마술지팡이를 쥐어 준 것과 같이 기존에는 생각지도 못했던 기술의 구현이 가능해지고 시스템과 프로그램이 한 몸이 된 것과도 같은 User Interface를 쉽게 구현할 수도 있다. 그러나 2007년 MS가 VISTA와 IE7을 출시하면서 변화가 일어나게 되었다. MS 스스로가 ActiveX 기술을 부정하는 사건이 발생한 것이다. VISTA와 IE7에서는 ActiveX 컨트롤을 공격위험요소로 판단하고 이의 사용을 차단하는 메커니즘을 도입해 버렸다. 사실 잘못 만들어진 ActiveX 컨트롤은 사용자 OS에 블루스크린이 뜨는 원인이 되는 경우가 허다했고, 원인이 무엇인지 모르는 사용자는 MS Windows의 문제라고 판단하는 경우가 비일비재 하기 때문에 MS의 입장에서도 ActiveX 컨트롤 문제는 아주 머리가 아픈 존재임에 틀림 없었을 것이다.

또한, 가장 중요한 문제는 대부분의 MS Windows를 위협하는 공격 요인이 사실상 ActiveX 형태를 가진다는 점 이었다. 사실상 ActiveX 컨트롤은 누구나 만들 수 있으며, 앞서 언급한 바와 같이 ActiveX 기술은 프로그래머들에게 마법의 지팡이와도 같은 역할을 하기 때문에 악의적 시스템 조작과 같은 크래킹을 쉽게 만드는 원인을 제공하는 양날의 검과 같은 역할을 충분히 수행할 수 있었다. MS에서 ActiveX에 대한 정책을 수정하면서 가장 큰 타격을 받는 곳은 다름아닌 우리나라가 가장 피해가 클 것이라고 본다. 관공서, 은행과 같은 곳은 물론이며, 포탈 서비스와 심지어 개인홈페이지 수준까지 외국에서는 사례를 찾아보기 힘들 정도로 대한민국은 ActiveX 기술에 종속되어 있었던 것이 사실이며, 이에 대한 원인으로 IT 평론가인 김국현님은 4가지를 열거하고 있다.
1.당시 미국의 128비트 암호화 수출 금지 조항에 맞선 독자 기술(SEED)의 개발과 적용 지도
2.한국의 특수 상황이 발생시킨 정보 기관의 지침(보안 적합성 검증)
3.독자적 최상위 인증 기관 운영 욕구
4.해킹 피해 발생 보도에 대한 과민 반응
과거에 발표되는 취약점의 상당수는 MS에서 배포한 ActiveX 취약점을 이용하는 경우가 많았고, 공격자의 입장에서는 상당히 쉬운 방법을 통해 PC를 원격 조정(Arbitrary Code Execution)하는 것이 가능했다. 그러나 MS는 지속적으로 패치를 내 놓고, 대응 인프라도 갖추어 왔기 때문에 MS에서 배포한 ActiveX 취약점은 찾기 쉽지 않은 지경이다. 그러나 MS이외의 국내 및 해외의 일반 개발사에서 제작된 ActiveX의 대부분은 기본적인 보안성 검증에 대한 절차 없이 프로그래밍되어 취약할 뿐만 아니라 MS처럼 패치를 내 놓기도 쉽지 않은 상황이어서 하나의 ActiveX 취약점은 사회적인 골치거리가 될 수도 있다.

사회적인 골치거리라는 문장을 선택한 이유는 ActiveX가 사용되는 환경 특성상 그 이용범위가 대단히 광범위할 수도 있다는 점 때문이다. 해외 유명 서비스들을 살펴보면 ActiveX를 이용하는 빈도가 너무나도 낮다는 것을 확인할 수 있는 반면에 국내의 경우에는 ActiveX 없는 사이트를 찾아보기 힘든 지경이다. 이러한 현실에서 1,000만명 이상이 사용하고 있다는 SNS(Social Network Service)와 같은 서비스의 ActiveX에서 취약점이 발생할 경우, 이론적으로는 1,000만대의 PC에 대한 권한을 획득할 수 있다는 뜻이 된다.

이 정도라면 ActiveX는 향후 국내 인터넷 환경의 신뢰성에 문제가 될 가능성이 충분존재하며, 현실적으로 현행 사이트의 10곳 중에서 7군데 정도의 ActiveX 취약점 발생빈도가 존재한다고 하는 현실을 감안한다면, 왜 사회적인 골치거리가 될 수 있는지에 대한 답이 될 수 있다고 본다.

우리에게 있어 WWW(World Wide Web)이란 무엇이었던가? 1990년대 초반 Tim Berners-Lee(이하 ‘TBL’) 에 의해 창조되고, 폭발적으로 성장해온 웹 기술은 기존의 Web을 떠나 이제 Web 2.0의 시대에 도달한 듯싶다. Web 2.0의 영향은 그것이 시대적인 Trend인지? 마케팅 차원의 립서비스 인지를 떠나서 우리의 생활에 직, 간접적으로 영향을 받고 있는 것은 분명해 보인다. 그렇다면 우리의 일상생활을 지배하는 웹의 근본적 철학은 무엇이었는가?

1991년 8월 6일에 TBL은 “a short summary of the World Wide Web project”이라는 글을 ‘alt.hypertext’ Newsgroup에 공개했는데, 이것이 바로 지금 우리가 웹 서비스를 이용할 수 있는 출발점이 되었다. W3C(World Wide Web Consortium)에 따르면 웹은 “웹의 모든 잠재력을 이끌어내기 위해서 가장 기본적인 웹 기술은 상호 간의 호환성이 있어야 한다는 것, 그리고 어떤 소프트웨어나 하드웨어에서도 웹을 접근할 수 있어야 한다는 것”이라고 정의하고 있다. 이것을 한마디로 정의한다면 웹의 기본 철학은 ‘공유와 개방’이라고 할 수 있다. 공유와 개방이라는 것은 공개 될 수 있는 모든 정보가 환경적, 독점적, 기술적 지배를 받지 않고 자유롭게 유통 될 수 있는 Communication의 혁명을 의미한다.

결국 웹 이라는 것은 기계가 아닌 인간이 주체가 되고, 그 주체는 가치를 생산하고 그 가치를 공유하는 하나의 새로운 세상. 이것이 애초에 TBL이 주창했던 웹의 미래였다. 우리나라에서도 최근 변화의 움직임이 구체화되고 있는데, 고려대 법대 김기창 교수를 주축으로 ‘오픈웹(http://open.unfix.net)’이라는 단체에서는 웹 표준화 운동에 앞장서고 있다. 오픈웹이 추구하는 웹 표준화와 ActiveX를 바라보는 시각에 대해 알아보기 위해 김기창 교수와 인터뷰를 가졌다.

사용자 삽입 이미지

 [사진] ‘오픈웹’을 이끌고 있는 김기창 고려대 법대 교수

- 보안측면에서도 김기창 교수와 오픈웹의 최근 행보는 상당한 관심을 가지고 지켜보고 있다. 또한, 최근 오픈웹에서는 금융결제원을 상대로 손해배상 청구 소송을 제기 한 것으로 알고 있다.
“기업과 같은 영리를 위한 기업 단위에서는 그 기업이 어떤 선택을 하던지 스스로 책임을 지면 되는 것이고, 스스로의 서비스에 대해서 그 누구도 뭐라고 할 수 없다고 본다. 그러나, 공공 서비스의 제공에 따른 선택은 법적으로 정의된 모든 법적 사항을 준수하여야 한다. 이러한 점에서 오픈웹은 공공 서비스를 제공하는 금융결제원에 대해 공인인증서비스의 편파적, 차별적 서비스 제공이 실정법을 위반했다고 보고 있으며, 이를 근거로 손해배상을 청구하고 있다.”

- 인터뷰 요청에서 밝혔던 바와 같이, 사실 오늘 주제는 ActiveX인데, 오픈웹이 바라보는 ActiveX는 무엇인가?
“보안측면에 대한 이야기를 꼭 하고 싶었다. 이 부분에 대해서는 사실 논쟁이 더 이상 필요없다고 본다. 이미 MS는 최근 VISTA, IE7에서 ActiveX를 버렸지 않은가? 또한, 수많은 ActiveX의 남발로 인해 보안성 강화를 위한 노력이 오히려 ActiveX 그 자체로 인해 보안성이 떨어지는 경우가 존재한다는 점은 주목해야 한다”

- 외국의 경우 ActiveX의 이용 현황은 어떻다고 보는가?
“최근 VISTA로 인해 홍역을 치루고 있는 나라는 우리나라가 유일하다고 본다. 그 만큼 우리나라의 차별적, 편파적 서비스가 아무런 비판 없이 수용되고 있었다는 점이 문제라고 본다. 스페인, 덴마크 등은 우리나라와 같이 공인인증서를 널리 사용한다. 그러나 여기에 사용된 기술은 액티브X 기술이 아니다. 이들은 JAVA Applet 기술로 공인인증서 기술을 구현하고 있으며, JAVA Applet은 알고 있는 바와 같이 모든 운영체제, 모든 웹 브라우저에서 정상 작동한다. 따라서 이용자가 무슨 웹 브라우저를 사용하든 차별 없이 인증서를 이용할 수 있다. 바로 이러한 점이 국내와 외국의 차이점이라고 본다. 우리나라는 어떤가? 특정 OS에서만 가입이 가능하고, 특정 브라우저만을 이용해야 서비스의 이용이 가능하다. 결국 개인의 의지와는 관계없이 특정 OS와 특정 브라우저의 이용을 공공 서비스가 강요하고 있는 것이다. 이것은 웹 표준화를 떠나서 문제가 있는 서비스 방식임에는 틀림없다."

- 공인인증서비스가 ActiveX기술 위주로 제공될 경우 문제점은 무엇이라고 보는가?
“사실 이것은 공인인증서비스만의 문제가 아니다. 대한민국의 전산환경이 MS의 기술로 도배가 되어 있는 상화에서는 MS라는 회사가 없어지거나 특정 패치 또는 서비스의 제공을 거부하는 등의 치명적인 위험이 생기면 우리나라 전산 산업의 기반이 허물어질 위험에 직면한다. 다양한 운영체제와 다양한 웹 브라우저가 사용되는 표준화된 환경에서는 일부의 위협일 뿐이지, 국가적 혼란을 초래할 가능성은 없다. 하지만, 지금의 추세가 지속적으로 이루어 질 경우에는 대한민국의 서비스는 미국의 MS에 지속적으로 의존할 수 밖에 없는 구조이다.”

- 그렇다면 공공서비스에서 JAVA Applet이 ActiveX의 대안이 된다고 보는 것인가?
“앞서 언급한 것과 같이 이미 해외에서 그렇게 사용하고 있다. 충분히 대안이 된다고 본다. 덧붙여서 이야기 한다면 공인인증서를 사용할 때는 거래 주체가 고객이므로 내가 무엇을 보호하고 있는지를 사용자에게 충분히 알려줘야 한다고 본다. 그러나, 현재의 일반적 공인인증서는 ‘Who am I” 와 같은 정보에 대해서만 인증하는 방식이다. 따라서 결재 금액을 위변조하는 것과 같은 보안 사고가 발생할 수가 있다. 이러한 문제는 공인인증서를 이용함에 있어 무엇을 보호할 것인가에 대한 표준이 없어서 그렇다고 본다. 특히 이러한 문제는 쇼핑몰과 같은 PG(Payment Gateway) 업체를 이용하는 결제 방식의 경우에는 더욱 심하며, 업체마다 보호 범위와 대상이 다르다는 것을 알 수가 있다.”

- ActiveX의 대안기술이 시장에서 뿌리 내릴 수 있다고 보는가?
“금결원에서 인터넷 익스플로러6.0 이상, 파이어폭스1.5 이상(리눅스/RedHat Fedora에서 가동하는 경우), 사파리1.3 이상에서 정상 작동하는 가입자 설비 개발이 2006.12.에 이미 완료된 것으로 알고 있다. 또한, 어떤 기업에서는 모든 브라우저를 지원하는 대안기술이 이미 만들어져 있는데 기존의 관행적 모순이 오히려 이러한 기술의 시장진입을 가로막는 역할을 해왔다. 대안기술은 시장에서 평가 받을 수 조차 없는 상태에 있었으며, 이제는 이러한 기술들이 시장에 뿌리를 내릴 수 있는 때가 왔다고 생각한다.”

- 마지막으로 웹 표준화가 의미하는 것은 무엇인가? 인터뷰에 감사드린다.
“MS 제품을 사용하지 않으면 공인인증서를 발급받지도 못하는 나라가 과연 어디에 있는가?심지어 핸드폰이 없으면 인터넷 쇼핑몰에서 제품도 못 사고, 게임 계정에 로그인 할 수 조차 없고, 포털 사이트에서 잃어버린 패스워드를 찾지도 못한다. 무엇보다 정보의 소통이 어떤 특정 업체가 개발한 기법이나 기술에 종속되어서는 안 된다. 인류문화의 발전은 제약 없는 정보소통에 달려 있다.”

아프리카에 군대가 아닌 인터넷을 보급함으로써 잠자고 있는 아프리카 민중들의 기본적 가치를 스스로 깨닫게 하자는 운동에서도 알 수 있듯이 TBL이 주창한 웹을 통해 말하고자 하는 근본적 철학은 혁명 그 자체와도 같다. 많은 학자들과 전문가들이 우리나라의 웹 서비스가 기형적이고, 왜곡되었다는 표현을 쓰고 있는데, 이러한 이유는 “현재 우리나라의 웹 환경이라는 것이 사실상 웹의 기본적 철학에 위배되는 비표준 서비스의 집합체”라는 시각 때문이라고 본다. 아직도 많은 전문가들은 “정상적 서비스에 문제만 없으면 됐지, 꼭 표준 서비스만을 제공해야 하는가? 극소수의 사용자를 위해 표준화된 서비스를 제공하는 것은 경제논리에도 맞지 않다”라는 시각을 갖고 있는 것을 흔히 볼 수 있는데, 금번 MS의 VISTA 출시와 더불어 비롯된 ActiveX 기술로 인한 혼란. 그것이 바로 “왜 웹 표준을 준수해야 하는지?”에 대한 답이 될 수 있다고 본다. 향후 만약 VISTA와 같은 MS의 제품이 시장에서 실패한다면 그것은 기술 또는 마케팅 차원에서의 패배가 아닌 시대가 요구하는 철학을 따르지 못한 낙오자이기 때문일 것 이라는 것이 많은 전문가들의 시각이기도 하다.

표준으로부터 이탈한 독점적 지위의 기술은 그 자체가 재앙이며, 거대 공룡과도 같은 세계적 글로벌 기업을 몰락의 길로 안내할 수도 있고, 우리나라가 IT 후진국으로 몰락할 수도 있다는 점에서 뭔가 다른 대책을 필요로 하고 있음은 분명해 보인다. ActiveX와 같은 기술의 취약점은 ActiveX 그 자체의 취약점도 문제가 되지만, 사실 가장 중요하게 봐야 하는 ActiveX의 취약점은 비표준화된 서비스 그 자체가 아닐까 싶다.
신고
크리에이티브 커먼즈 라이선스
Creative Commons License

 
 
     , , ,
     0   3
BlogIcon Jerry 2007.04.12 14:08 신고
위 내역은 정보보호21C 5월호에 실릴 예정인 ActiveX 취약점 1회분 원고 입니다.
^^ 2007.09.09 18:28 신고
잘 읽었습니다
BlogIcon madison scott nude 2008.05.23 05:15 신고
친구는 너의 현재 위치의 팬이 되었다!

아이디 
비밀번호 
홈페이지 
비밀글   

 

<<이전 | 1 | ··· | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | ··· | 69 | 다음>>

bluesman's Blog is powered by Daum & Tattertools

 

티스토리 툴바