1. ActiveX 란
- 초기 윈도우 익스플로러에는 미디어플레이어, 금융 결제 등을 위한 사용자 편의기술이 없었기에 플러그인이라는 익스플로러가 하지못하는 기능을
할 수 있게 해주는 확장프로그램이 생겨남.
플러그인에는 자바 애플릿, 플래시, 실버라이트, ActiveX 등이 존재하고, ActiveX는 현재 우리나라에서 가장 널리 사용되고 있음.
이는 아마도 과거 PC 시장을 MS가 독점했고, MS의 익스플로러의 웹 브라우져 점유율이 가장 높았으며 MS가 직접 ActiveX를 만들었기 때문이지 않을까 싶다.
게다가 공인인증서가 ActiveX를 사용하고, 많은 공공기관의 웹 페이지에서 별의별 ActiveX를 사용하면서 새로운 플러그인이 등장해도 파고들수가 없는것 같음.
(민원24시 이용하다가 진짜 짜증났고, 산업은행 웹페이지는 접속만해도 ActiveX 설치라고 함. 예비군1도 그렇고..)
- 기존의 응용 프로그램을 웹과 연결시켜 그대로 사용할 수 있게 하는 기술로써 실행할 페이지에 접속하면 자동으로 내려받기 되어 사용자의 PC에 설치됨.
브라우저가 액티브X 컨트롤을 지정한 페이지를 발견하면 사용자의 간섭 없이 컨트롤을 자동으로 내려받아 설치하므로
웹에 풍성한 기능을 제공하는데에는 기여했지만 윈도우 환경에서만 실행되는 호환성과 보안 문제가 나타나게 됨.
2. ActiveX 문제점
- 대다수의 플러그인의 문제점은 보안에 취약하기때문에 수시로 취약점이 발견돼 개발사에서 패치를 제공 함.
- 사용자를 '예스맨(Yes Man)'으로 만드는 것.
특정 서비스를 사용하기 위해서는 플러그인 설치에 동의해야만 하고 사용자는 선택의 여지가 없음.
반드시 설치해야하므로 '네(Yes)'를 눌러야하며, 설치과정에서 각종 악성코드와 광고들이 함께 설치됨.
일부 사용자는 브라우져의 보안 등급은 최하로 낮춰 동의 절차를 간소화하기도 하며, 악성코드의 설치를 막고자 브라우져의 보안 등급을 최고 수준으로 높이면
플러그인이 설치가 되지 않는 일이 벌어짐. (현재까지도 공공기관 웹 페이지 중에서 이러한 일을 겪게하는 곳이 있음. 아마 국민건강보험 이었음)
- ActiveX의 문제점은 호환성에서도 발생함.
현재 구글의 크롬, 모질라의 파이어폭스 등이 존재하지만 거의 대부분의 ActiveX가 MS의 익스플로러에서만 사용이 가능함.
3. 대응
- W3C과 웹 브라우저 개발사 등이 플러그인없이 인터넷뱅킹, 전자정부, 동영상 스트리밍, 웹 하드, 게임 등의 작업을 할 수 있도록 하는 웹 언어 'HTML5'를 개발하고
웹 표준으로 지정함.
- ActiveX를 비롯한 플러그인 퇴출 작업.
4. 현재 우리나라의 상태
- 2016년 6월 KISA의 전자정부서비스 웹표준 제고방안 자료를 보면,
전자정부시스템에 ActiveX 등의 비표준기술 9천여개가 사용되고 있음.
ActiveX는 사용자 인증, 전자결제, 개인방화벽, 키보드보안, 파일 업&다운로드, 문서 뷰어 등에서 주로 사용되고 있음.
- 대응방안
단계적으로 ActiveX를 제거해 나가는 것이 필요.
당장 ActiveX를 제거해도 되는 기술과 그렇지 않은 기술로 분류하고, 제거가 어려운 기술의 경우 대책을 수립하고 대체기술을 마련해야 함.
최종적으로는 국제표준 기반의 전자정부 서비스 수립.
5. 공인인증서
- (정보보안기사 정리 3 - 전자서명, PKI) 글 볼것
- 인터넷뱅킹과 전자상거래 구현을 위해 만든 기술로써 웹상에서 사용자가 승인한 거래에 대해 자신이 승인했다는 것을 인증해주는 역할을 함.
- SSL 기술이 암호화 전송기술이 90년대초 개발됐지만 미국 정부의 수출 제한으로 사용이 어려웠기에 암호화기술을 적용한 ActiveX를 이용하는 공인인증서를 개발함.
(공인인증서 기반기술은 ActiveX가 아니지만 금융기관 등에서는 방화벽, 가상 키보드 등과 패키지로 액티브X 기반 공인인증 서비스를 제공함.)
- 인터넷뱅킹을 위해서는 ① 거래시 주고 받는 데이터를 암호화하는 암호화기술, ② 거래의 당사자를 인증하는 사용자 인증 기술,
③ 거래를 위한 비밀번호를 생성하는 OTP 기술 이 필요함.
공인인증서는 ①, ②를 구현하는 기술임.
- 해외에서는 금융기관이 공신력있는 제3자(베리사인 같은.)에게 인증을 받고 'EV SSL 인증서'를 받음.
사용자는 주소표시줄이 녹색인 것과 웹 사이트 소유주 및 인증서 발급 기관을 확인하고 웹 사이트를 사용할 수 있음.
(물론 이 방법이 공인인증서 같이 사용자 인증을 해주는 것은 아님)
- 국내에서 온라인 거래를 위해서는 금결원, 코스콤 같은 공인인증기관에서 사용자가 본인 인증을하고 공인인증서를 발급 받아야 함.
피싱 사이트가 발생하게 된 것도 금융기관이 자신들의 웹 사이트의 검증을 제공하지 않것이 이유 중 하나임.
6. 공인인증서 장점
- 전자서명 기능을 수행하는 공인인증서가 있으므로서, 집에서 편리하게 관공서의 문서를 열람할 수 있으며 금융결제도 간편하게 이용가능.
- 많은 기사에서 말하는 공인인증서의 문제점 중 하나는 금융기관에게 면죄부를 준다는 것임.
금융기관은 공인인증서로 사용자 인증을 하고 거래과정 상에 필요한 보안을 ActiveX로 죄다 지원을 하는데,
금융사고가 발생하면 금융기관은 정상적인 인증 절차를 지켰기 때문에 책임을 회피할 수 있는 계기를 마련할 수 있음.
즉, 해커가 해외에서 해킹한 사용자의 공인인증서와 계정으로 결제를 할 경우 우리나라의 금융기관은 공인인증서와 계정만 보고 'OK' 해버림.
해외의 경우 해외에서 거래를 시도하려는 IP 이므로 의심을 하고 사용자에게 적절한 조치를 취함.
- ActiveX 기반으로 보안에 취약함.
- 비표준적 위치(NPKI폴더)에 사용자의 비밀키가 저장 됨.
- 주의할 점은 공인인증서 기술 자체가 문제가 있다는 것이 아님.
공인인증서에 사용되는 공개키기반구조(PKI)라는 기술은 미국 국가안보국(NSA)이나 미국 국립표준기술연구소(NIST)로부터 최고 수준의 보안 등급을 받음.
* 참고로 2015년부터 공인인증서 의무 사용이 폐지됨.
8. 대응책
- FIDO(생체인증 통한 사용자 인증 솔루션)
- KISA가 진행하는 PKI 2.0 프로젝트인 ‘FIDO와 공인인증서 연계 기술'
- ActiveX 기반이 아닌 공인인증서 기술
- 참고 두번째.
* 참고
- http://it.donga.com/17704/
- http://decisive.egloos.com/5868000 (공인인증서가 아닌 다양한 사용자 인증 방법 소개)
- http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150326193229
- http://raonsecure.tistory.com/50
댓글 없음:
댓글 쓰기