분류 전체보기 (69)
Life Story (22)
Music Story (12)
My Play (10)
Security (20)
Scrap (3)
Virtualization (1)
보안  schecter SD-II  Virtualization  인터넷뱅킹  hacking  웹 접근성  Schecter  ActiveX  Jazz  전자정부  security  Recording  가상화  Gartner  guitar  인터넷 뱅킹  전자금융  blues  블루스  마이클잭슨  웹표준  기타연주  연주  악플  hijacking  jimi  구글어스  srv  기타  웹접근성 
 오픈웹 v. 금..
└>Open Web
 ActiveX 알고..
└>日常茶飯事
 Vista ActiveX..
└>SNAIPER의 조..
 마이클잭슨 내..
└>[Noenemy]'s m..
«   2018/04   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
+ VMblog.com -..
+ virtualizatio..
+ Virtualizatio..
+ VMTN Blog
+ Total : 73,032
+ Today : 0
+ Yesterday : 3
  

 

 

 

Security _해당되는 글 20건
2007.01.19   짧은 생각 (4)
2007.01.09   Global E-Government - 2006 (2)
2006.12.29   웹 접근성에 대한 소고 (6)
2006.12.26   Open API에 대한 보안적 관점에서의 소고 
2006.12.26   MySpace XSS 취약점에 대한 소고. 

 

짧은 생각
+   [Security]   |  2007.01.19 02:51  

아래 내역은 drzekil님의 댓글에 대한 답글 입니다.
(답글 형태로 달아보려 했으나 내용이 하도 길어져서 포스팅 합니다. OTL)
==========
반갑습니다. 웹 접근성 향상을 위한 노력이 많은 부분에서 증대되고 있는 시점에 좋은 지적을 해 주신 점에 대해서 감사드립니다. ^^

예, 그렇죠. 네트워크상에서 상대방을 신뢰할 수 있는 방법이 없기 때문에 공인인증서와 같은 수단으로 상대방에 대한 신원 확인 또는 부인방지 등을 하는 것 이겠지요. 저 역시도 ActiveX가 완전한 해결책이 된다고 믿음을 전혀 갖고 있지 않습니다. 특정 OS로의 편중 현상을 해결하지 않으면, 이것은 언젠가는 부메랑이 되어 대한민국을 괴롭히게 될 겁니다. 웹 접근성 향상을 위한 부분에 대해서는 국가에 대해 끈질긴 압력을 지속적으로(!!!) 가해야 할 것으로 생각하며, 최근 많이 공론화 되고 있는 웹 접근성 향상 노력과 비판에 대해 개인적으로는 참으로 기쁘게 생각합니다. 국가는 역시 배고픈 자를 위해 스스로 손을 내밀지 않는 것 같습니다. 도와달라고 적극적으로 행동하고 실천할 때 도움을 받을 수 있다고 봅니다.

기업과 국가는 물론 다르겠지만, 대한민국의 전자정부의 초기 목표는 다수의 국민에게 서비스를 제공하는 것이 목표였던 것은 분명해 보입니다.

글쎄요... 복지가 발달된 외국의 경우에는 고등교육과 심지어 사교육까지 국가가 책임지는 경우도 존재하는데, 외국이 하고 있으니까 우리도 이렇게 하자고 하면 어떨지요? 장애인을 위한 배려가 없는 학교들은 장애인이 정상적인 학업을 포기하게 만들고 결국 장애인이 사회에 적응하기 힘들게 만들며, 학력이 부의 세습에까지 영향을 미치는 우리나라의 현실에서 장애인과 그의 자손은 사회적 약자의 입장을 벗어나기는 현실적으로 힘들다고 봅니다. 사실은 모두가 우리나라의 장애인 정책과 사회보장 시스템이 약하다는 것을 알고 있지요. 하지만, 우리 모두는 우리가 낸 세금으로 이러한 문제들을 적극적으로 해결하고자 노력하지 않습니다. 해당 관련 부처에서 돈을 더 쓰겠다고 하면, 재경부 같은 곳에서는 국회예산 심의 문제를 들어 난색을 표명합니다. 왜 우리는 이러한 문제들에 대해 적극적이지 못하며 때로는 이중적인 모습을 보이기도 할까요?

10%이건, 5%이건 1% 미만의 사용자에게 환경에 관계없이 서비스를 제공하기 위해서는 돈이 문제가 아니라, 하겠다는 강력한 의지와 각오가 중요한 문제라고 봅니다. 가장 적은 비용으로 다수의 정보 소비자들에게 가장 효과적인 시스템을 구축하겠다는 것이 시스템 구축을 위한 대다수의 선택이라면, 이때부터는 언론과 세금을 내는 국민들로부터 전자정부는 '돈먹는 하마'라는 욕을 각오해야 하며, 또한 MAC, LINUX도 되는데, Palm OS, Symbian 등 ARM, Intel 계열 Embedded OS는 왜 안되는가?라는 질문을 받게 될 겁니다.

좀 더 적극적으로 1% 미만의 사용자에게까지 환경에 관계없이 서비스를 제공하기 위해서는 정부와 국민의 서로 다른 이중적 사고방식에 대한 합의가 도출되어야 가능한 부분이 분명히 존재하며, 제 개인적으로 이러한 합의는 불가능하다고 봅니다. 물론 1%의 사용자에게도 서비스를 하라고 하면, 당장은 "옳소", "그렇소"라는 말을 들을수는 있어도 실제로 이러한 계획을 실천에 옮길때 정작 다수의 국민은 "미쳤다"는 이야기를 하게 될 겁니다. 정부도 물론이지만 사실 사회구성 인원들도 상당히 이중적인 잣대를 들이대는 경우를 흔히 접할 수 있습니다.

전자정부에서 제공하는 대다수의 서비스는 국민들 개인들에게 재산권을 포함한 각종 중요한 증적과 증적에 대한 증명 수단을 제공합니다. 따라서 정보보호의 의미는 전자정부가 제 1의 목표로 삼아야 하는 숙명과도 같은 것 입니다. 2005년 동아일보 1면에 실렸고, 당시 사회적으로도 상당한 파급을 일으켰던 "인터넷 민원서류 발급 중단" 사례에서는 윈도우즈 기반에 대한 한가지 서비스도 완전히 지켜지기 어렵다는 학습효과를 경험할 수 있었습니다.

글쎄요. 웹 접근성 향상. 이 부분에 대해서는 정부가 웹 접근성 향상을 위한 노력을 안하는 것인가? 못하는 것인가?에 대해서 고민을 해 봐야 한다고 봅니다만, 제 개인적으로는 노력을 안하는 것이다 쪽으로 한표 던집니다. 또한, 현재 사용자층의 다양한 요구가 증가되는 시점에서 사용자층의 다양한 요구의 대부분이 원칙적으로는 모두 맞다는 측면에 대해서는 인정하지 않을 수 없을 것 같습니다.

국가가 제공하는 서비스는 참으로 많습니다. 이러한 서비스 중에는 받아야 하는 사람이 받지 못해 심지어 굶어 죽는 기초생활보호 대상자도 존재하는 것이 현실입니다. 대단히 극단적으로 예를 들면, '재정이 넉넉하지 않은 대한민국 정부의 재정 및 경제 현실에서 1% 미만의 사용자에게까지 전자정부 서비스를 확대할 것이냐, 아니면 그 돈으로 굶어죽는 기초생활보호 대상자 수를 확대할 것이냐'는 이 극단적인 시나리오는 국가가 제공해야 하는 서비스의 대상과 범위를 다시 한번 생각하게 하는 대목이 될 수도 있다고 봅니다.

"돈 몇푼 들지도 않는 웹 표준을 지키지도 못하는 전자정부..." 뭐 이런 글을 흔히 접합니다. 솔직히 이런말 아무나 쉽게 할 수 있는 말이지요. 저는 이런 글을 접할때 몇가지 생각을 합니다. '정말로 웹 표준 준수와 웹 표준 환경에서의 보안성 확보를 추구하는데 돈 몇푼 들지 않는가?', '그 쉬운 웹 표준 준수 방법을 그 수많은 개인이 만든 홈페이지에서 조차 보기 힘든 이유는 무엇인가?', '지금도 웹 표준이라는 것은 진정 존재하는가?'.

-----------------------------------------------------------------

BlogIcon drzekil 2007/01/18 23:28
논리적이고 좋은 글 감사합니다..
제 의견을 말씀드리자면..
네트워크 상에서는 어떠한 방법을 사용하더라도 상대방을 100% 신뢰하는것은 불가능 합니다..
OS 자원에 대한 접근이라고 해봤자 양 끝단의 이야기일 뿐입니다.
네트워크의 특성상 가운데에서 가로채서 블라블라 해버리면 삐리리한 사태가 올 수 있는거죠..
액티브엑스 역시 완벽한 해결책은 되지 않습니다..

다른 이야기를 조금 해보면..
기업이랑 국가는 다릅니다.
기업은 다수를 상대로 장사할 수 있지만, 국가는 국민의 다수가 아닌 전부를 포용해야 한다고 생각합니다.
그 누구도 국가의 보호를 받을 기회를 받지 못해서는 안됩니다.
국가는 모든 국민을 보호하기 위해 노력해야 합니다.
대사관의 어이없는 행태가 욕을 먹는 이유도 그런 이유겠지요..
인터넷 접근성도 마찬가지 입니다.
10%이건, 5%이건 1% 미만이건..
서비스를 받을 기회조차 주어지지 않는다는것은 국가이기때문에 문제가 있다고 생각합니다.
국가가 너무 어이없는 행동을 하기에 분노가 치밀어 오르는것이지요..

개발자들에게 무슨 죄가 있겠습니까..
개발자들의 어려움을 잘 알고 있습니다..
단지 위에서 시키는대로 할 뿐인걸요..



 
 
     웹 접근성, 웹접근성, 전자정부
     2   4
BlogIcon drzekil 2007.01.19 10:21 신고
헙.. 실수로 글을 날렸네요..ㅡㅡ
다시 써야죠..^^

먼저 제 댓글의 답변으로 글을 포스팅까지 하시다니.. 송구스럽고 감사합니다..^^

국가는 "모든" 국민에게 세금을 걷을 권리가 있습니다. "모든" 국민은 국가에게 세금을 낼 의무가 있습니다.
반대급부로
"모든" 국민은 국가에게 평등한 대우를 받을 권리가 있습니다. 국가는 "모든" 국민에게 평등한 대우를 할 의무가 있습니다.
그렇기에 잘못을 지적하고 목소리를 높이는 거지요.

더하여..
국가 차원에서 볼 때 소수의 권익이야말로 더욱 보호되어야 한다고 생각합니다.
소수인 장애인에 대해 국가가 보호하지 않으면 안되고,
소수인 극빈자들에 대해 국가가 보호하고 서비스를 제공하지 않으면 안됩니다.
저와 같은 맥 유저들은 적어도 대한민국에서는 인터넷 장애인과 같은 느낌이 듭니다.
이에 대해 분명히 국가는 잘못하고 있고 고쳐 나가야 합니다.
장애인이 비장애인처럼 활동하도록 도와야 할 정부가
비장애인이 장애인처럼 활동하도록 조장하고 있습니다.

님 덕분에 더 많은 생각을 하게 된 듯 합니다.
개인적으로 우리나라는 너무 서두르는 경향이 있네요..^^
그놈의 조급병을 고치고 좀 천천히 생각해서 좋은 정책 및 입법이 된다면 이런 어이없는 문제는 점점 사라지지 않을까 싶습니다..^^
BlogIcon Jerry 2007.01.19 12:30 신고
지금까지 맥이나 리눅스 사용자가 정부에서 제공하는 서비스에 대한 권익을 이야기 하는데 있어서 사용자들이 너무 아마추어적으로 대응해온 부분은 분명 존재하는 것 같습니다. 상당수의 스레드에서 접할 수 있는 그 대부분도 감정적이거나 나도 세금을 내는 사람인데, 내가 쓰고 있는 시스템에서 왜 안되게 하느냐...가 상당수입니다. 이런 논리는 좀 아니라고 봅니다. 내가 낸 세금에 대해 대우를 받기 위해서는 drzekil께서 말씀하신대로 명확한 사실과 증거물을 통해 잘못을 지적하고 동시에 정부를 설득해 나가는 것이 맞다고 봅니다.
주세홍 2007.01.19 14:46 신고
김국현씨의 포스팅 하나 링크 걸어 봅니다.
http://www.zdnet.co.kr/itbiz/column/anchor/goodhyun/0,39030292,39154776,00.htm
요즘은 발사후 조준 시기인가 보네요. 비스타 문제로 더욱 그러한 듯도 하구요..
BlogIcon sex toy clips 2008.05.23 05:16 신고
저에서 유사한 역사는 이었다.

아이디 
비밀번호 
홈페이지 
비밀글   

 

 

Global E-Government - 2006
+   [Security]   |  2007.01.09 14:15  

얼마전에 대한민국 전자정부와 관련된 작은 포스팅을 하기도 했지만, 사실 우리나라의 전자정부 구현방식은 많은 비난을 받기도 하지만, 그들의 전자정부 구현을 위한 의지에는 박수를 보낼만 하다고 본다.

실제로 2006년 8월달에 insidepolitics에서 발행된 자료를 보면 국가별 E-Government Ranking 순위가 발표되었는데, 대한민국이 60.3점으로 1위를 차지했음을 알 수가 있다.

1위~5위를 보면, 다음과 같다.

1. South Korea : 60.3
2. Taiwan : 49.8
3. Singapore : 47.5
4. United States : 47.4
5. Canada : 43.5
.
.
9. Japan : 41.5
.
.
18. North Korea : 32.0


위의 내역에서 중요하게 판단해야 할 부분은 1위와 2위의 차이가 2위와 3위의 차이에 비해 현격하게 편차가 존재한다는 부분이며, 두번째는 2005년에 대한민국이 26.2점으로 일본보다 낮았던 점을 생각한다면, 2006년에는 60.3점으로 엄청난 비약을 했다는 점이다.

재미있는 점은 2005년에 북한이 16.0에서 32.0으로 2배나 수직상승했다는 점인데, 북한의 E-Government와 관련된 현황이 어떤지 솔직히 전혀 몰라서 뭐라 언급을 하기는 힘들지만, 그들도 E-Government에 많은 노력을 하고 있다는 점은 좀 의외라고 본다.(개인적으로는 북한의 E-Government 시스템의 현황이 어떤지 정말로 궁금하다.)

또 한가지 주목해야 할 부분은 웹 접근성과 관련해서 그 수많은 비판을 받고 있는 우리나라의 E-Government가 사실 세계적으로는 Best Practice에 속한다는 사실이다. 욕할때는 욕 하더라도 칭찬할 것에 대해서는 칭찬하도록 하자.

우리나라는 칭찬에 너무 인색하다. 칭찬은 고래도 춤추게 한다던데, 축하의 박수 한번 쳐 주도록 하자. 짝짝짝.

위에 언급된 자료는 여기에서 PDF로 다운로드 받아 볼 수 있다.



 
 
     E-Government, 웹 접근성, 웹접근성, 전자정부
     0   2
삐돌이 2007.02.07 11:56 신고
네 말씀하신 대로 전자정부 평가에서 1등을 한 점을 축하해야 할 것입니다. 하지만 본 평가에서 실시한 접근성 부문(Disability Access)의 우리나라 점수를 보시면 왜 접근성이 문제인지를 알 수 있으실 것입니다. 우리나라는 W3C WCAG 1.0 중요도 1 항목을 15%밖에 준수하지 못하는 것으로 나타났습니다. 이는 평가대상 국가들의 평균에도 미치지 못하는 점수입니다.

전자정부 서비스가 정말 좋게 제공되고 있지만, 장애인은 갈수록 어려워지는 문제를 말하는 것입니다...

참고하시기 바랍니다
BlogIcon bluesman 2007.05.01 21:02 신고 
돌이님, 블로그를 보다가 보니, 지금이 5월달인데, 2월달에 들을 남겨 주셨었네요. 제가 못 봤습니다. OTL. 예, 그렇지요. 해당 자료의 이 자료의 평가 기준 세부 내역을 연구해보면, Online Service, Publications, Databases, Privacy Policy, Security Policy, W3C Disability Accessibility1)의 6개 항목으로 점수가 구분되어 있으며, W3C Disability Accessibility(장애인 접근성) 항목은 OECD 국가 29개국(EU 제외) 중 25위로써 거의 최하위라는 것을 알 수가 있는데, 이것은 사실상 국내의 웹 서비스 수준이 양적으로는 우수하지만, 다양한 웹 접근성 확보 측면에서는 사실상 낙제점을 받았다고 볼 수가 있으며, 이는 비단 전자정부뿐만이 아니라 일반적인 국내 웹 서비스 수준을 대변하는 지표로 해석될 수 있다고 봅니다. 장애인 접근성 부분은 사실상 자료에서 밝힌 W3C 가이드라인을 충족하는 자동화 도구를 이용(Bobby 5.0) 한 것으로 알고 있는데, 사실상 해당 항목의 거의 대부분은 Web Accessibility를 의미한다고 볼 수도 있어서 이 부분은 우리나라의 전자정부가 분명한 인지를 해야 함을 의미한다고 봅니다. 양적인 것도 의미는 있겠습니다만, 이 정도에서 만족하면 않되겠지요.

아이디 
비밀번호 
홈페이지 
비밀글   

 

 

웹 접근성에 대한 소고
+   [Security]   |  2006.12.29 09:56  
“웹의 본질은 링크…” 뭐, 이 따위 교과서적인 이야기 하고 싶은 것은 아닙니다. 웹 접근성... 글쎄요... 현재 많은 이야기가 되고 있는 웹 접근성과 관련해서는 언론에서도 이제 많은 논의가 되고 있고, 심지어 웹 접근성을 무시하는 우리나라의 전자정부에 대해 소송을 준비하고 있는 움직임도 보입니다.

현재 소위 말하는 WEB 2.0 시대를 맞아, 제 개인적으로 "이런것은 좀 문제다"라고 보는 내역은 아래 몇가지 입니다. 기술적인 내용은 뺐습니다.

1. '퍼옴' 문화
2. 저작권
3. 다양한 사용자 환경 지원

1번과 관련해서는 POC 2006에서 Richard Stallman도 언급한바 있지만, 예를들어 DRM과 같은 보호 기술이 창작자를 보호하는 방법으로 생각되지만, 사실 DRM 기술로 돈을 버는 사람은 원작자가 아닌 유통경로의 사람들이라는 부분에 정말이지 공감합니다. 현실이 이러한 것을 이미 증명하고 있거든요. 실제로 소위 '펌' 문화는 창작자의 의욕을 상실하게 만드는 것이 분명하며, 우수 컨텐츠의 유통을 본질적으로 저하 시키는 주된 요인이 된다고 봅니다. IT쪽을 예로 들자면, 우수한 프로그래머들은 돈주고 살수도 없는 자신만의 Undocumented Programming Skill을 한 두개 이상은 갖고 있다고 봅니다. 그러나, 이렇게 소중한 자료가 공유가 되지 못하고 자신의 컴퓨터나 머리속에서 그냥 사라질 뿐 입니다. 공개를 왜 안하냐구요? 무슨 이득이 있어 공개를 합니까? 다른 사람이 그냥 퍼가고... 자신의 자료를 다른 사람의 홈페이지나 블로그에서 버젓이 봤을때, 그 상실감과 그 동안의 노력이 보상받을 수 있는 시스템이 전혀 없는데...

2번과 관련해서는 1번과 관련한 부수적 역기능이라고 보는데요, 어떤 사람이 오랜 시간과 정렬을 투자한 소중한 자료를 다른 사람이 버젓이 자신이 만든 자료인양 올려놓는 것은 물론이며, 이를 통해 경제적 이득까지 취하는 경우이죠. 다소 극단적인 예라고도 할 수 있겠지만, 현실적으로 벌어지는 문제이죠. Chester님이 이야기 하신 NHN 사례에 대해서도 좀 우울하지만 인정하지 않을 수 없습니다.

3번과 관련해서는 위에서 언급했던 국가를 상대로 한 소송 준비건에서도 알 수 있듯이, MS 독주체제라고 해야 하나요?  이 강력한 연결고리가 느슨해 지면서, 다양한 사용자 환경에 대한 서비스 요구가 증가하고 있는 실정입니다.

3번이 웹 접근성과 관련된 부분이라고 생각이 드는데, 사실 다양한 사용자 환경에 대한 서비스 요구가 증가하고 있는 것은 사실 당연한 것이며, Windows 운영체제가 지구상에 유일한 운영체제라는 것이 아닌 이상 당연한 요구라고 봅니다.

다만, 여기서 웹 접근성과 관련하여 중요하게 생각해야 할 점을 두가지 정도로 압축해 본다면...

1. 왜 처음부터 다양한 웹 접근 환경을 보장하지 않았는가?
2. ActiveX 기술이 MS의 기술이며, IE에서만 최적화를 보장하는데 왜 처음부터 이 기술이 광범위하게 사용되었는가?(특히 국내에서...)

라고 볼 수 있다고 봅니다.

첫번째 부분에 대해서는 과거 Netscape와 Internet Explorer(이하 'IE')가 경쟁하던 시절을 회상해야 하는데, NCSA의 Mosaic에서 출발한 Netscape는 당시로써는 지금의 우리나라 IE환경이라고 할 정도로 전세계적으로 압도적인 사용자를 가진 브라우저 였지요. 초기 인터넷 사용자의 거의 대부분은 느려터진 전화 모뎀과 Netscape를 아직도 기억하고 있을 겁니다. 문제는 Microsoft가 브라우저 시장에 뛰어 들면서 운영체제에 브라우저를 내장시키면서 일이 벌어 집니다. 이는 반독점 소송으로 이어졌고 2004년에 미국 항소법원은 MS와 정부간에 맺은 반독점 화의에 지지 입장을 표명하면서 결국 MS에 대해 강력한 제제를 요구한 소송이 MS의 사실상 승리로 막을 내리게 됩니다.
 
이 사건 이후 경쟁력을 상실한 Netscape는 종말을 맞이하게 되고, 이후 97년 10월부터 2002년까지 IE의 시장 점유율은 95%까지 상승하게 되는 계기가 됩니다. 무려 5년간이나 브라우저는 하나의 기업이 독점하는... 흔히 말하는 암흑기를 가치게 되는 것이죠. 98년에 Netscape는 그들의 브라우저 소스를 공개했고, 이것이 현재의 Mozilla가 있게 된 원인이 되는데, 바로 이 Mozilla 재단이 현재의 Firefox를 출시한 곳이 되는거죠.

문제는 암흑기가 너무도 길었다는 겁니다. 사실상 97년부터 2002년이라는 시기는 지금 사용하고 있는 대다수의 인터넷 환경이 자리를 잡아버린 시기였다는 것이죠. 97년에 PSTN 모뎀을 사용해서 Kbps 단위의 통신을 사용하던 이용자가 Mbps단위로 넘어가 버린 것도 이 시기이며, FTTC에서 FTTH로 넘어오게된 것도 이 시기 입니다. 이때는 국내에서도 은행 창구에서의 뱅킹 서비스보다 인터넷 뱅킹을 통한 서비스 사용자가 더 많아지게 된 시기이기도 합니다.

사실 이러한 시점과 시장 요인 및 기술의 진화적 관점에서 생각해 본다면, "왜 처음부터 다양한 웹 접근 환경을 보장하지 않았는가?"에 대한 해답이 나옵니다. 다양한 웹 접근 환경을 보장할 필요성이 없었기 때문이었죠. IE이외의 다른것이 없고, Linux 또는 MAC OS 사용자의 비율이 높아진 것도 아무리 빨라봐야 2000년 이후이기 때문에 개발자는 IE 이외의 브라우저에 대한 고민을 할 필요성이 없었던 거라고 봅니다.

자, 그럼 표준 문제가 남는데... 표준이라는 것도 사실 처음부터 없었던 것이고, 인터넷과 PC가 지금과 같이 인간Communication의 중심이 되리라고 장담하는 사람은 거의 없었습니다. 완전한 표준이 없었다면, 표준이 있더라도 인터넷 환경에서의 사용자의 요구와 욕구 해소에는 부족했었다면, 표준이라는 것은 결국 Power를 가지는... 다수의 사용자가 사용하는... 또한 유용한 기술을 선보이는 시장의 승자가 누리게되는 특권 아니던가요? MS는 승자였던 것 뿐입니다. 물론 앞으로 계속 지속될 가능성은 없어 보이는군요.

두번째 부분에 대해서는 사실 접근하기가 쉬운 것은 아닐 것 같습니다. 2000년 이후 인터넷은 단순히 정보의 공유 뿐만이 아닌 실 생활에서의 편의를 위한 엄청난 서비스들이 등장하게 되는데, 인터넷 뱅킹, 인터넷 결재, 홈쇼핑, 전자정부, 인터넷 게임 등 현대 사회에서 우리가 상상하는 대부분의 서비스가 이미 보편화 되어 있습니다. 일반적으로 볼때 웹 표준이라는 것을 준수하는 것은 솔직히 웹 표준이라는 철학적 통찰력이 있는 엔지니어만이 할 수 있는 영역은 아니라고 봅니다. 사실 누구나 웹 표준에 맞도록 구현할 수 있다는 뜻이죠.

근데, 현실은 그렇지 못한 것이 틀림없죠. 왜 그럴까요? 왜?

이 부분은 제 개인적으로는 웹 서비스의 진화과정에서 사용자의 인증과 보안이라는 부분을 결코 무시할 수가 없는 부분이라고 보는데, 인터넷은 TCP/IP라는 것과 사실상 동의어 입니다. 돌발 퀴즈 하나 내도록 하죠. ^^

TCP/IP에서 상대방이 보낸 패킷을 완전하게 신뢰할 수 있는가?
답은... "신뢰할 수 없다". TCP/IP를 아무리 뜯어봐도 상대방이 정말로 보냈는지를 알 수 있는 방법은 존재하지 않습니다.

이것이 안되기 때문에 IPv6가 나오게 되는 계기가 되는 것이고, 인터넷 뱅킹이나 결재, 전자정부, 홈쇼핑과 같이 당장 현실적으로 돈 문제나 증적이 중요한 서비스에서는 이것이 엄청난 문제가 됩니다. A라는 사람이 B라는 사람에게 100만원을 보냈는데, A라는 사람이 보냈다는 기술적, 법적 증거가 없다면... 당연히 문제가 되는 것이죠. 이 문제를 해결하기 위해 키 인증 기반의 PKI 인증이 도입되었는데, 기술적 배경을 이해하신다면 당연한 기술적 진화과정을 이해 하실 수 있다고 봅니다. 따라서 인증과 보안문제는 현대의 인터넷 환경에서 기존 인터넷 환경의 신뢰적인 접속 환경을 지켜나아갈 수 있는 열쇠와 같은 것 이었습니다.

바로 이러한 인증과 보안문제에서 부터 웹 접근성은 꼬여나아가기 시작합니다. '신뢰적 인터넷 환경'을 보장하려면, Server Side에서 보안성을 완전하게 지켜나아갈 수 있는 방법이 없었습니다. 지금도 없습니다. Server Side와 Client Side 모두에서 인증과 보안문제를 풀어나아갈 수 밖에 없는데, 이는 OS 자원에 대한 접근을 의미 합니다. 기존 인터넷 환경에서는 단방향 정보제공만으로도 가능했는데, 양방향 정보제공이 필요한 시점이 왔다는 것을 의미합니다. 간단히 뱅킹 사용자도 "내가 내 계좌의 주인이 맞다"는 정보를 거래하는 은행으로 뱅킹 서비스 이용시 인터넷을 통해 증명해야 한다는 것이죠.

OS 자원에 대한 접근 방법이 필요한 시점에서 MS는 ActiveX 기술을 선보이게 되는데, 이 기술이 97년 10월부터 2002년까지 IE의 세계 시장 점유율이 95%를 차지하는 시점이라는 점에 주목해야 합니다. 이 황금기에 정작 개발자가 OS 자원에 대한 접근 방법으로 사용해야 할 만한 기술이 ActiveX 기술이었습니다. 더군다나 세계 시장 점유율은 95%가 되었지만, 국내 시장에서는 그 이상이었다고 보는 것이 정확합니다.(제 경우에는 2006년 12월 현재 회사 홈페이지에 접근하는 비 IE 사용자의 비율은 0.2%에 불과 합니다. 정말 압도적이군요.)

웹 접근성에 대한 요구가 증가하는 현재의 시점은 Firefox 시장 점유율이 10% 이상이라고 하는데(좀 더 많지 않던가요? 흠...), 이는 IE이외의 사용자가 점차 증가하고 있다는 것을 의미하고, 이는 기존 서비스 제공자 입장에서는 참으로 곤혹스러운 현상임에는 틀림없다고 봅니다.

플러그인을 ActiveX가 아닌 자바로 만들면 어느정도 크로스플랫폼이 지원되지 않을까요? 다른것도 아닌 인터넷때문에 MS사 제품만을 써야 한다는 것은 상당히 문제가 있다고 생각합니다. (Source)
흔히 ActiveX 기술을 다른 기술로 대체할 수는 없는 것이냐? 는 질문을 많이들 하는데, 이 부분 역시도 이미 많은 분들이 고민해 오신 듯 합니다.

“ActiveX같은 것은 없어져야한다. Flash같은 것으로 대체되면 된다”

이를 조금 과장해서 다르게 이야기하면,

“ActiveX같은 것은 없어져야한다.(는 것은) ActiveX같은 것으로 대체되면 된다”고 이야기 하는 것과 같습니다. (Source)

웹 접근성에 문제가 되는 ActiveX와 같은 기술에서 본질적으로 문제가 되는 부분은 ActiveX 기술 그 자체가 아니라 어떤 방식이던지 간에 OS 자원에 대한 접근이 불가피한 인터넷 서비스의 현실에 있다는 것이 좀 더 정확한 문제라고 봅니다.

웹 서비스에 대한 접근성을 향후 다양한 방식에 의한 서비스를 대상으로 제공하는 것은 시대적인 필요성이 분명해 보입니다. 다만, 이를 좀 더 공론화 시키기 위해 정부를 상대로 소송을 건다던지, 기업을 상대로 비난을 한다던지... 이런 것들은 좀 무의미한 것 처럼 보이는 것이 제 시각이고, 사실 좀 냉소적 시각에서 보고있기도 합니다. 왜 애초부터 표준을 지키지 못하고 편리성을 위해 ActiveX로 떡칠을 해 놨느냐는 이야기는 "왜 그런 근시안적인 태도로 일관해 왔냐?"는 이야기로 들립니다. 쌤통이라는 이야기도 하시는 분들이 많습니다.

외국의 쇼핑몰들은 비스타가 나오건 어쩌건 상관없을텐데 말이지요.
그곳들은 원래부터 윈도우건 맥이건 리눅스건 가리지않고 멀쩡하게 잘 돌아갔으니까요...(Source)

외국의 쇼핑몰 중에 윈도우건 맥이건 리눅스건 가리지않고 멀쩡하게 잘 돌아가는 사이트가 존재한다면, 정말 환상적인 사이트이거나, 이 경우가 아니라면 이미 외국이나 국내에서 보안쪽에 엄청난 문제가 있다는 사실도 알아야 합니다. (Securityfocus 사이트를 한번 보시기 바랍니다.) 지금까지 인터넷을 통해 많은 수의 사용자가 은행에 들러 창구에서 소일을 하거나 서류하나 발급받기 위해 소중한 시간과 비용을 낭비했었던 현실을... 정말이지 많은 개발자들에 의해 제한된 범위해서나마 해소가 되었다면, 부족한 점이 있을지언정 마땅히 박수를 쳐주는 것이 옳다고 봅니다.

이들을 비난하는 분들은 5년후의 미래 인터넷 환경에 대한 완전한 예측이 가능한 분들인가요? 아니면, 단 1년 후에 대한 미래에 대한 완전한 예측이라도 가능한 분들인가요? 제 주변에 IT업계에 계시는 전문가들은 6개월 이후만이라도 정확한 예측이 가능했으면 좋겠다고 하시던데, 그분들은 다 바보들인가요? 플랫폼 독립적으로 동작 가능한 솔루션? 존재하긴 합니까? 존재한다면 현재 접근 모델과 비교하여 빠릅니까? 기존 서비스 아키텍처에 대한 변경 고려 없이 적용 가능한가요? 보안에 대한 문제는 없을까요? 전세계적으로 통용되는 Reference를 갖고 있는 안정적, 효율적 구조인가요? 다른 OS? LINUX와 MAC OS는 완전무결한가요? AJAX가 접근성 방해요소에 대한 완전한 대체 기술로 보안 문제에 대한 고려없이 사용 가능한가요? 웹 접근성을 위해 보안은 포기할까요?...

우리나라의 IT업계에서 종사하는 그 수많은 사람들이 결코 바보는 아니라고 봅니다.

웹 접근성을 향상시키는 것은 시대적 대세이고, 반드시 이루어야 할 지향점임에는 틀림없지만, 지금까지나마 노력해온 그들을 향해 "샘통이다", "철학도 없는 단순노동자", "미래에 대한 대책도 세워놓지 않은 무능력자" 취급하는 것은 문제가 있다고 봅니다. 또한, 이러한 것들을 개혁세력과 꼴통세력으로 구분하는 이분법적 행태도 솔직히 웃깁니다.

웹 접근성에 대해 말들이 많지만, 정당하지 못한 비판들과 논점을 벗어난 해석이 주류를 이루고 있는 것 같아 한번쯤은 이야기해 보고 싶었습니다.
 



 
 
     security, Web 2.0, 보안, 웹 접근성, 웹 표준, 웹접근성, 웹표준, 전자정부
     0   6
BlogIcon ENTClic 2006.12.29 21:57 신고
좋은 글 잘 읽었습니다 ^^
저도 웹표준과 크로스플랫폼을 주장하고 있는 사람입니다.
비주류에 속해 있다보면 정말 국내 환경에 짜증이 엄청나지요..그러다보니 말이 좀 과격해질수도 있고 오버되는 경우가 있는 것 같아서 반성하고 있습니다.
민간 기업들이야 이해를 할려고 노력하지만 공공사이트에서 완전이 소수를 무시하는 것을 보면 내가 대한민국 국민 맞나 하는 안타까움을 많이 느낍니다.
똑같이 세금내고 당연한 해택은 못 받으니 열 좀 받지요..ㅎㅎ
법으로도 자기들이 만들어놓고 지키는 않는 정부는 세상 어디에도 없을 겁니다.
IT업계 종사자들의 문제보다는 정책을 잘 지키지도 않는 우리나라의 대표들이 더 문제가 큰 것 같아요 ^^
BlogIcon bluesman 2007.01.19 03:09 신고 
ENTClic님 블로그에서는 항상 새롭고 흥미진진한 부분에 대해 많이 언급해 주셔서 좋은 정보에 감탄하고 있습니다. 블로고스피어와 집단지성의 힘이라는 것에 일부 회의적인 시각도 있기는 합니다만, 저는 긍정의 힘에 의미를 부여하고 싶네요. 얼마전에 비스타 관련해서는 MS에 ActiveX를 허용해 달라는 요청까지 했다던데, 정말 굴욕 그 자체 입니다. 이 정도는 미리 예상할 수 있었던 일 아니었을까요? 비스타 한글판이 좀 있으면 나올텐데, 그나마 이게 빠른거다라고 해야 할까요? 우리나라 정부의 이런점은 정말 비판해야 한다고 봅니다. 뭐라도 무너지고 사람이 죽어나가야 대책을 세운다 말입니다. 정말 문제입니다.
BlogIcon drzekil 2007.01.18 23:28 신고
논리적이고 좋은 글 감사합니다..
제 의견을 말씀드리자면..
네트워크 상에서는 어떠한 방법을 사용하더라도 상대방을 100% 신뢰하는것은 불가능 합니다..
OS 자원에 대한 접근이라고 해봤자 양 끝단의 이야기일 뿐입니다.
네트워크의 특성상 가운데에서 가로채서 블라블라 해버리면 삐리리한 사태가 올 수 있는거죠..
액티브엑스 역시 완벽한 해결책은 되지 않습니다..

다른 이야기를 조금 해보면..
기업이랑 국가는 다릅니다.
기업은 다수를 상대로 장사할 수 있지만, 국가는 국민의 다수가 아닌 전부를 포용해야 한다고 생각합니다.
그 누구도 국가의 보호를 받을 기회를 받지 못해서는 안됩니다.
국가는 모든 국민을 보호하기 위해 노력해야 합니다.
대사관의 어이없는 행태가 욕을 먹는 이유도 그런 이유겠지요..
인터넷 접근성도 마찬가지 입니다.
10%이건, 5%이건 1% 미만이건..
서비스를 받을 기회조차 주어지지 않는다는것은 국가이기때문에 문제가 있다고 생각합니다.
국가가 너무 어이없는 행동을 하기에 분노가 치밀어 오르는것이지요..

개발자들에게 무슨 죄가 있겠습니까..
개발자들의 어려움을 잘 알고 있습니다..
단지 위에서 시키는대로 할 뿐인걸요..
BlogIcon bluesman 2007.01.19 03:03 신고 
소중한 지적 감사히 잘 받았습니다. 댓글을 달아보려 했으나, 대용이 너무 길어져서 정식으로 포스팅 했습니다. http://bluesman.tistory.com/56에서 확인하실 수 있으시겠습니다. ^^
BlogIcon youknowit 2007.02.01 23:03 신고
인터넷이 business를 위한 매체였다가(군사-> 포르노 -> 비지니스 일반), 이제는 보편적 역무, 특히 공공역무 제공의 매체로 까지 발전하였습니다.

비지니스 맥락에서 논의되는 '표준준수 권장' 문제와, 공공역무 제공이라는 맥락에서 요구되는 '보편적 역무제공 의무' 간에는 명백한 차이가 있다는 점을 보안업체에 근무하시는 분들이 이해하(신다면야 좋겠지만, 그럴게 하)실 필요까지는 없습니다.

그러나, 공공역무(공인인증서, 전자민원 등) 제공을 감독하고, 관련 법규를 집행하여야 할 정부(Regulator)가, 도대체 인터넷 기술도 모르고, 관련 법도 모르면서, 서비스 제공자(보안관련 업체, 공인인증기관 등)가 하는대로 무작정 방치하였기 때문에 사태가 이렇게 된 것입니다.

오픈웹도 소송을 "원하지는" 않습니다.(오늘자 포스팅, <a href="http://open.unfix.net/2007/01/31/76/">전자정부와 Web 2.0</a> 참조) 그러나, 시장이 제대로 기능하기를 기대하는 것이 불가능할 뿐아니라(99.8% 점유율), 시장에 맡겨져서는 안되고, 정부가 철저히 규제, 감독하여야 된다고 명문의 법규정이 있음은 물론, 그렇게 해야할 뚜렷할 정책적, 합리적 이유도 있는 분야에서, 정부가 그 임무를 내팽겨 치고 있을 때, 소송 외에는 별 대안이 없다는 생각입니다.

개발자를 비난하는 것은 이 사태의 구조를 이해하지 못하는 천박한 견해라고 생각합니다. MS 사를 비난할 이유도 없습니다. 시장을 감시하고, 공정한 경쟁이 가능하고 바람직한 영역에서는 이를 확보하도록 노력해야 할 임무를 지니고 있음에도, 그 직무를 유기하고 있는자, 바로 그자를 비난해야 합니다.
BlogIcon Jerry 2007.02.01 23:10 신고 
예, 저 역시도 사실 처음에는 이 부분에 상당히 냉소적이거나 비판적 입장이었습니다. 하지만, 많은 분들의 의견을 들으면서 Open Web의 시도는 하나의 커다란 발걸음이 될 수 있겠다는 생각으로 바뀌었습니다.

제 개인적으로는 곰곰히 생각해보면, 거시적 관점의 철학 없이 오로지 현상에 대한 해결에 집착했었던 제 과거를 많이 반성하게 된 계기가 된 것 같아서 아주 기분이 좋습니다.

Open Web의 건승을 기원드리겠습니다.

아이디 
비밀번호 
홈페이지 
비밀글   

 

 

Open API에 대한 보안적 관점에서의 소고
+   [Security]   |  2006.12.26 15:19  
자주 방문하는 이삼구글 블로그를 보다 보니, "구글, 개발자 포용 정책에 손대나?"라는 제목으로 글이 올라와 있는데, 사실 이 부분은 저 역시도 많은 생각을 해 왔던 부분이었습니다.

본문 내용중에...

구글은 자사의 서비스 해킹을 즐길 정도의 여유가 있었다.(물론, 검색과 광고 등 핵심 사업은 허용되지 않는다.) 구글 맵의 API가 나온 것도 맵 서비스를 해킹해서 새로운 서비스를 만든 해커 때문이었다. 하지만, 구글은 공식적으로 검색 결과를 해킹할 수 있는 API를 중지해 버렸다. 중지 후 공식 블로그에 공지를 했으나, 많은 블로거들은 지금까지 나온 검색 해킹에 관한 서적이 쓸모 없어 졌다면서 우려를 표시했고, 차니님도 이에 대해 구글이 변하는 것이 아니냐는 을 블로그에 올리기도 했다.
라는 부분은 포털 서비스의 정체성과도 연계가 되는 부분인데, 예를들어 사실상 Open API를 제공하는 Naver나 Daum이 사실 Contents의 생성자는 아니기 때문에 Contents의 연결고리를 제작해 배포함으로써, 사용자의 Contents를 포털에 끌어들이기 쉽도록 사용자 인터페이스를 제공하는 것이죠. 사용자는 더욱 쉽게 Open API를 이용하여 포털을 통한 Contents의 생성과 배포 및 Contents의 이용을 다양한 각도에서 시도하자는 것이 목적이라고 볼 수 있겠지요.

물론 이러한 Open API를 이용한 단점도 있지요. 사실 특정 포탈이나 서비스에 기반한 API라는 것이 다른 곳에서도 제공되는 일반적인 기능에 국한되거나, 사용자 컨텐츠의 특정 포탈로의 블랙홀로 인도하는 사악한 의도에서 비롯된 것이라고 해석할 수 있는 여지도 있습니다.

또 다른 문제는 보안적 측면에서 접근할 수도 있는데, API의 특성상 Open API는 서비스 접근을 위한 상당수의 Interface 정보 및 방법이 제공되기 때문에 API를 배포하는 것은 공격자 입장에서는 '어디가 가장 공격하기 쉬운 곳인가?'라는 정보를 가장 효율적으로 알아낼 수도 있고, 이것이 바로 "구글, 개발자 포용 정책에 손대나?"라는 글에서 중요하게 생각할 수도 있는 부분이라고 볼 수도 있습니다.

우리나라 정부에서 추진하고 있는  전자정부 관련 로드맵을 잠시 보더라도 전자정부 이용 활성화 계획에 따르면,  

※ 민간포털과 협력을 통하여 검색 부가 서비스 등을 제공(단, 세부 부가서비스 종류는 사업추진시 분석을 통해 효과적인 서비스로 결정하며, 연동방식은 Open API 방식 등을 검토)
Open API 방식을 검토하고 있는 것으로 보인다. 심지어 다른 자료를 보면...

공공기관용 공동이용창구 및 이용기관 API를 이용하여 공공기관에서 행정정보를 공동 이용할 수 있도록 서비스 제공
이라는 문구도 보이는데, 이용기관 API는 분명히 일반으로까지 확대될 것은 분명해 보인다. 그러나, 여기서 중요하게 생각해야 할 점은 얼마나 많은 DB를 공유하느냐는 점이다.

○ 정부보유 행정정보는 총 4,583종(중앙 771, 지방 3,812)으로 조사
○ 정보공유를 위한 주요정보는 74종 1,065백만 건(공부 기준)으로 분석
○ 주요DB 74종 중심으로 연간 1,639백만 건 공유
자료를 보면, 이용기관 API 를 통해 공유되거나 공유될 자료의 양이 엄청나다는 것을 알 수 있다. 물론 이러한 자료가 공유됨으로 인해서 대국민 행정정보 이용 편의성이 증대될 것은 분명하다. 문제는 이러한 자료가 악의적인 공격자에 의해 악의적으로 호출될 경우다. 내 생각엔 이러한 공격 행위를 가장 효율적으로 할 수 있는 지름길은 API로 보이는데 말이다.

DRM도 맨날 뚫리는 현실에서 API를 공개한다???  글쎄... Google의 결정은 단순히 Open API만의 문제가 아니라, Communication 방법론에 대한 본질적 사고를 필요로 하는 것도 같다.



 
 
     API, open api, security, 공유, 보안, 행정정보, 행정정보공유
     0   0

아이디 
비밀번호 
홈페이지 
비밀글   

 

 

MySpace XSS 취약점에 대한 소고.
+   [Security]   |  2006.12.26 12:51  

최근 뉴스에 따르면, 미국에서는 미국 아이들의 1/3이 아이팟을 가지고 있다고 하고, 68%의 학생들이 MySpace나 Xanga나 Facebook에 홈페이지를 만들어본 경험이 있다고 합니다. MySpace를 사용하는 사용자가 5천만명 정도라니, 정말이지 엄청난 숫자 입니다. (우리나라 전체 인구가 하나의 서비스에 다 가입해 있다고 해도 MySpace 숫자보다 작을 것 같네요. 남북한을 합치면 넘으려나... --+)

SNS(Social Networking Service)는 서비스 특성상 전파력이 상당히 높다고 볼 수 있으며, 다수의 사용자가 사용하는 서비스에 특정 악성코드가 삽입이 되거나 할 경우, 이론적으로는 5천만명이 사용하는 PC 모두에서 권한을 얻거나 개인 정보를 악의적으로 추출할 수도 있죠. SNS 서비스의 대표격인 싸이월드 같은 경우도 비슷한 사례를 보일 수도 있는 유사한 서비스라고 할 수 있겠습니다.

크리스마스 이브군요. 12월 24일 인터넷 서핑을 하다가 보니 MySpace에 존재하는 취약점을 이용한 공격 방법이 나와있는데, 공격 방법을 알아낸 공격자는 이를 'Zero-Day Attack'이라고 말하고 있습니다. 언급하고 있는 공격 방식은 대단히 간단합니다.

Anyway, here's the exploit:

<body onLoadmoz-binding="alert('XSS');">

As you can see if you run that moz-binding is changed to .., and we are left with the following:

<body onLoad..="alert('XSS');">
전형적인 XSS 취약점인데, 이까짓거 가지고 무슨 'Zero-Day Attack' 운운하느냐... 하겠지만... 이 서비스를 5천만명이 사용할 때는 문제가 달라집니다. 수많은 사용자에게 서비스를 제공하는 하나의 서비스에 취약점이 발생하면, 5천만대의 사용자 PC가 동일한 취약점으로 인해 위협받는 경우인데, 바로 이게 포탈 서비스 또는 SNS 서비스에서는 숙명과도 같은 문제입니다.
 
우리나라의 경우에는 어떻냐구요...? 글쎄요... 사랑의 반대말은 무관심이라고 했던가요? 취약점 내용을 무시해 버리거나, 취약점 패치 시점이나 여부에 따라 취약점 코드 공개가 되는 국제 관행과는 상관없이 무조건 법적으로 대등하겠다는 막무가내 식이 대부분이죠.

외국의 경우에는 이런 식으로 취약점 공개가 이루어 집니다.

1. 보안 전문가의 취약점 인지
2. 보안 전문가의 취약점 증명 코드(PoC, Proof of Concept) 설계 및 증명
3. 취약점 밴더에 해당 사실을 알림
4. 취약점 밴더는 지속적으로 보안전문가와 의논하며, 취약점 제거 방안에 대해 연구하며, 이 기간동안 취약점 코드는 인터넷으로 공개 안 됨.
5. 취약점 밴더는 패치 코드를 일반 사용자에게 제공됨과 동시에 인터넷에 취약점에 대한 설명과 동시에 보안 전문가의 Credit을 알림.
6. 보안전문가는 취약점 패치에 대한 자유로운 발표가 이루어짐.

아래 그림은 이러한 프로세스를 통해 Microsoft의 취약점을 발표했었던... 제가 몸담고 있는 회사에서 2006년 3월 정도에 발표한 내용입니다.

사용자 삽입 이미지

흔히 취약점이 없는 프로그램은 없다는 것이 이미 이론적으로도 정립이 된 내용이고, 취약점을 만들어내는 프로그래머를 대책없이 비판할 수도 없는 것이 현실 입니다. 따라서 취약점에 대한 학문적 연구와 발표 문화는 정말이지 절실 합니다.

취약점이 국내 해커들로 부터 나오지 않거나, 국내 해커들이 대부분 취약점을 발견해도 숨기는 것이 현실이라면, 취약점이 영원히 숨겨질까요? 절대 아니죠. 외국 해커들은 국내 사이트에 대한 공격적 가치를 몰라서 그럴 뿐이며, 공격자는 해당 취약점을 언젠가는 반드시 발견해 냅니다. 이런 경우, 하나의 취약점이 국가적 IT 인프라를 손상 시킬 수 있을 정도의 결과로 반드시 돌아 옵니다.

IT 보안과 취약점에 대해 받아들일 자세가 되어 있지 않다면, 우리나라 IT 인프라의 미래 또한 없는 것은 분명해 보입니다.

 
 
     IT 보안, MySpace, security, SNS, 취약점
     0   0

아이디 
비밀번호 
홈페이지 
비밀글   

 

<<이전 | 1 | 2 | 3 | 4 | 다음>>

bluesman's Blog is powered by Daum & Tattertools

 

티스토리 툴바