글
우리나라 보안체계의 문제점.
이용자의 현재 상태 : 비밀번호 자꾸 까먹으니까 귀찮아.
0. 대부분의 사람들은 컴맹이다.
1. 사람들이 컴퓨터 보안에 별 관심이 없다. (비밀번호를 컴퓨터에 저장한다거나...너무 쉬운걸로 한다거나.)
2. 그런데 은행 온라인 계좌번호 해킹을 당했다?
3. 해킹 피해자가 자기 잘못은 모르고 은행탓을 한다.
4. 은행은 뒤집어 쓰기 전에 뭔가 해야 한다. 책임을 회피하자.
5. 사람들이 보안 설정을 하게 해야 하는데 교육이 안된다. 어쩌지?
6. 컴퓨터를 은행에서 조작하여 보안 설정을 하게 하면 된다.
7. 근데 그건 이용자의 허락이 있어야 한다. 어쩌지?
8. 허락 하라고 안내해야지 뭐. "ActiveX 경고창이 뜨면 '허용'을 누르세요. 안하면 안돼요"
9. 자, 이제 은행은 사용자의 컴퓨터를 조작하여 보안 설정을 할 수 있게 되었다.
이용자의 현재 상태 : ActiveX 경고창이 뜨면 무조건 "허용"을 눌러야 하는구나. (뭔진 모르지만.)
10. 범죄를 저지르려는 자들은 생각했다. 어떻게 하면 저 비밀번호를 알아내지?
11. ActiveX를 쓰면 사용자 컴퓨터를 제어할 수 있으니까 비밀번호를 알아낼 수 있다.
12. 적당한 웹 사이트를 해킹하여 직접 만든 ActiveX를 설치하게 조작한다. 한국의 웹 사이트는 의외로 해킹이 쉽다.
13. 사람들은 그냥 게임이나 한판 하려고, 정보나 좀 얻으려고, 들어간 웹 사이트에서 ActiveX를 설치할거냐는 질문을 받는다.
14. "이건 뭐야?"라는 생각조차 하지 않은 채 "네(YES)"를 클릭한다.
15. 범죄를 저지르려는 자들은 기뻐했다. 아싸.
16. 다시 해킹은 일어난다.
이용자의 현재 상태 : 은행이 잘못한거 아냐? 내돈 내놔!
은행 : 우린 잘못 없다. 비밀번호 관리 못한 이용자 잘못이다. 못준다.
여기서 잠깐, 위의 8번 단계에서 뭔가 찝찝함을 느낀 후에 계속하자.
17. 해킹을 막아야 한다.
18. 보안 프로그램을 더 많이 설치하자.
19. ActiveX 경고창이 뜨면 어쨌든 "허용"을 하세요.
20. 바이러스도 잡아야 한다.
21. ActiveX 경고창이 뜨면 어쨌든 "허용"을 하세요.
다시한번 잠깐. 18번부터 21번이, 인터넷을 사용하면서 단 한번만 설치하면 되는 거라면 문제는 없지만, 웹 서비스마다 독자적인(이라고 하지만 사실 같은 회사에서 납품받은) 보안/백신 프로그램을 설치한다. 똑같은 프로그램인데 배포자 서명만 다른 프로그램이 수십개가 설치된다.
22. 컴퓨터가 느려진다.
23. 인터넷이 느려요.
24. 포맷하세요.
이 상황이 무한반복이다.
물론, 이렇게 까지 진행되는동안 리눅스, 맥OS, 솔라리스 등의 윈도우즈 계열이 아닌 운영체제를 쓰는 사람들은 "Active X가 뭐임? 먹는거?" 냐고 반문하며 한국은 인터넷 뱅킹이 안되는 후진국이라 생각하고 있었다.
문제의 원인은 문화다. 컴퓨터 환경이 워낙에 빠르게 성장했기 때문에, 사람들은 비밀번호를 입력하면 된다고 생각했을 뿐, 그 비밀번호를 지켜야 한다는 생각은 하지 못한다. 컴퓨터에 있는 모든 정보는 프로그램을 이용해서 조작하고 알아낼 수 있다. 즉, 프로그램 설치만 막아낸다면 대부분의 보안은 완벽하다. 하지만 은행이나 다른 웹 사이트에서 설치하는 프로그램은 프로그램의 설치를 막아주지는 않는다. 그것이 실행되는 동안에 일어나는 후킹(정보 가로채기)이나 피싱(낚시)같은 것들을 감지하여 막아낼 뿐이다. 더군다나 인터넷에서 Active X를 설치할거냐고 물어보면 "무조건 YES"라고 대답해 버리는 나쁜 습관을 모든 국민들에게 심어 주었다. Active X같은 프로그램을 설치할 거냐고 묻는다면, 일단 누가 보낸 프로그램인지 알아야 하고 그 배포자가 믿을만한 사람인지 확인해야 한다. (배포자 서명) 그리고 그 프로그램이 믿을 수 있는 프로그램인지 알아야 한다. (소스코드 검증) 하지만 그런 것들은 불가능하다. 아무도 확인하지 않고 아무도 확인할 수 없다. 무조건 설치해야만 하기 때문이다. 우리나라는 문화적으로 컴퓨터 화면에서 대화창이 뜨면 뭔지 확인하지 않고 빨리 내가 하고싶은 게임을 실행시켜야 하기 때문에 무조건 YES를 누른다. 그 순간 해킹이 시작된 것이다. 해킹에서 가장 어려운 단계는 컴퓨터의 정보를 알아내는 것이 아니라 그 컴퓨터를 이용하는 사용자의 마음을 열게 만드는 것이다.
가령, 악성 프로그램이 백신인척 위장하고 "너네 컴퓨터 검색해보니까 바이러스 많이 걸렸더라? 그거 고치려면 한달에 단돈 1000원이면 되는데, 할거야?" 라고 물어본다. 바이러스 걸린것도 거짓말이고 고칠 필요도 없다. 단, 매달 1000원이 결제되는건 사실이다. -_-; 어디서 보낸건지 확인하지 않으니 이런 사기에 당한다. 물론, 나쁜놈은 사기꾼이고 당한사람은 고스란히 피해자인데, 이 피해를 보상받기 위한 노력은 또한 고스란히 피해자가 해야 한다. 하지만 매월 천원 나가는걸 되돌려 받기 위해서 소송을 걸기엔 우리나라의 재판 과정은 길고 험하며 비싸다는 점. (그래서 나는 부모님께 인터넷에서 뭔가 돈을 내야 서비스를 받는 거라고 한다면, 일단 "아니오"를 선택한 후 나에게 연락하여 확인한 후에 사용해 달라고 여러번 강조해서 말씀드렸다. 정당한 서비스라면 얼마를 내든 합당한 요금을 내고 쓸 수 있지만, 사기는 당하면 안되니까.)
애초에 ActiveX라는 것을 사용하지 않고, "비밀번호는 반드시 암기하고, 다른데 적어두지 말 것이며, 누구에게 알려주지 말아야 한다"는 것을 강요했다면 Active X는 욕을 먹을 이유조차 없는 쓸만한 기술이다. 중간에 누군가 정보를 가로채는 것을 막기 위해서는 공인인증서를 이용한 보안http나 ssl정도의 기술이면 충분하다. 이미 뚫려버린 컴퓨터에 백만개의 백신과 천만개의 보안 프로그램을 설치한들, 컴퓨터가 느려지기만 할 뿐 해킹 방지에는 전혀 도움이 되지 않는다.
이 문제가 해결되지 않는 이유는, 앞서 분명히 은행이나 다른 웹 사이트 등이 ActiveX 설치에 대해 무조건 "네"를 대답하도록 만든 문화적 조작을 해 놓고서도 보안 프로그램과 적당한 기술적 요건을 갖추어서 이 문제에 대해 더이상 책임질 필요가 없기 때문이다. 즉, 이제 사람들은 해킹 당한건 전적으로 개인의 잘못이 되었다. 사업자들이 너무나 발견하기 어려운 곳에서 잘못을 저질러 놓았기 때문이다. 뭐라 책임을 묻기도 어려운 바로 그곳에.
최근, 오픈웹 운동이 최종적으로 대법원에서 패소 판결을 받았다. 인터넷 뱅킹은 윈도우즈에서만 되도록 제공해도 법적으로 아무런 하자가 없다. (이 판결대로라면, 은행은 맥OS에서만 인터넷 뱅킹이 되도록 제공해도 되고, 리눅스에서만 인터넷 뱅킹이 되도록 제공해도 되며, 원한다면 DOS에서만 인터넷 뱅킹이 되도록 제공해도 된다.) 그럼, 그것으로 끝인가?
여전히 보안 후진국으로 남을 뿐이다. 문화가 바뀌지 않는 한, 보안 프로그램의 버전이 100.0까지 올라가더라도 해킹은 막을 수 없다.
주민등록번호를 입력해서 인증을 받은 다음에 무선랜을 쓰도록 하자는 아이디어를 낸 어떤 한심한 국회의원이 있어서 답답하여 그런다. 만약 그렇게 된다면, 까페에서 무선랜 신호 붙잡아서 주민등록번호를 알아내는건 의외로 쉽다. -_-;
이용자의 현재 상태 : 비밀번호 자꾸 까먹으니까 귀찮아.
0. 대부분의 사람들은 컴맹이다.
1. 사람들이 컴퓨터 보안에 별 관심이 없다. (비밀번호를 컴퓨터에 저장한다거나...너무 쉬운걸로 한다거나.)
2. 그런데 은행 온라인 계좌번호 해킹을 당했다?
3. 해킹 피해자가 자기 잘못은 모르고 은행탓을 한다.
4. 은행은 뒤집어 쓰기 전에 뭔가 해야 한다. 책임을 회피하자.
5. 사람들이 보안 설정을 하게 해야 하는데 교육이 안된다. 어쩌지?
6. 컴퓨터를 은행에서 조작하여 보안 설정을 하게 하면 된다.
7. 근데 그건 이용자의 허락이 있어야 한다. 어쩌지?
8. 허락 하라고 안내해야지 뭐. "ActiveX 경고창이 뜨면 '허용'을 누르세요. 안하면 안돼요"
9. 자, 이제 은행은 사용자의 컴퓨터를 조작하여 보안 설정을 할 수 있게 되었다.
이용자의 현재 상태 : ActiveX 경고창이 뜨면 무조건 "허용"을 눌러야 하는구나. (뭔진 모르지만.)
10. 범죄를 저지르려는 자들은 생각했다. 어떻게 하면 저 비밀번호를 알아내지?
11. ActiveX를 쓰면 사용자 컴퓨터를 제어할 수 있으니까 비밀번호를 알아낼 수 있다.
12. 적당한 웹 사이트를 해킹하여 직접 만든 ActiveX를 설치하게 조작한다. 한국의 웹 사이트는 의외로 해킹이 쉽다.
13. 사람들은 그냥 게임이나 한판 하려고, 정보나 좀 얻으려고, 들어간 웹 사이트에서 ActiveX를 설치할거냐는 질문을 받는다.
14. "이건 뭐야?"라는 생각조차 하지 않은 채 "네(YES)"를 클릭한다.
15. 범죄를 저지르려는 자들은 기뻐했다. 아싸.
16. 다시 해킹은 일어난다.
이용자의 현재 상태 : 은행이 잘못한거 아냐? 내돈 내놔!
은행 : 우린 잘못 없다. 비밀번호 관리 못한 이용자 잘못이다. 못준다.
여기서 잠깐, 위의 8번 단계에서 뭔가 찝찝함을 느낀 후에 계속하자.
17. 해킹을 막아야 한다.
18. 보안 프로그램을 더 많이 설치하자.
19. ActiveX 경고창이 뜨면 어쨌든 "허용"을 하세요.
20. 바이러스도 잡아야 한다.
21. ActiveX 경고창이 뜨면 어쨌든 "허용"을 하세요.
다시한번 잠깐. 18번부터 21번이, 인터넷을 사용하면서 단 한번만 설치하면 되는 거라면 문제는 없지만, 웹 서비스마다 독자적인(이라고 하지만 사실 같은 회사에서 납품받은) 보안/백신 프로그램을 설치한다. 똑같은 프로그램인데 배포자 서명만 다른 프로그램이 수십개가 설치된다.
22. 컴퓨터가 느려진다.
23. 인터넷이 느려요.
24. 포맷하세요.
이 상황이 무한반복이다.
물론, 이렇게 까지 진행되는동안 리눅스, 맥OS, 솔라리스 등의 윈도우즈 계열이 아닌 운영체제를 쓰는 사람들은 "Active X가 뭐임? 먹는거?" 냐고 반문하며 한국은 인터넷 뱅킹이 안되는 후진국이라 생각하고 있었다.
문제의 원인은 문화다. 컴퓨터 환경이 워낙에 빠르게 성장했기 때문에, 사람들은 비밀번호를 입력하면 된다고 생각했을 뿐, 그 비밀번호를 지켜야 한다는 생각은 하지 못한다. 컴퓨터에 있는 모든 정보는 프로그램을 이용해서 조작하고 알아낼 수 있다. 즉, 프로그램 설치만 막아낸다면 대부분의 보안은 완벽하다. 하지만 은행이나 다른 웹 사이트에서 설치하는 프로그램은 프로그램의 설치를 막아주지는 않는다. 그것이 실행되는 동안에 일어나는 후킹(정보 가로채기)이나 피싱(낚시)같은 것들을 감지하여 막아낼 뿐이다. 더군다나 인터넷에서 Active X를 설치할거냐고 물어보면 "무조건 YES"라고 대답해 버리는 나쁜 습관을 모든 국민들에게 심어 주었다. Active X같은 프로그램을 설치할 거냐고 묻는다면, 일단 누가 보낸 프로그램인지 알아야 하고 그 배포자가 믿을만한 사람인지 확인해야 한다. (배포자 서명) 그리고 그 프로그램이 믿을 수 있는 프로그램인지 알아야 한다. (소스코드 검증) 하지만 그런 것들은 불가능하다. 아무도 확인하지 않고 아무도 확인할 수 없다. 무조건 설치해야만 하기 때문이다. 우리나라는 문화적으로 컴퓨터 화면에서 대화창이 뜨면 뭔지 확인하지 않고 빨리 내가 하고싶은 게임을 실행시켜야 하기 때문에 무조건 YES를 누른다. 그 순간 해킹이 시작된 것이다. 해킹에서 가장 어려운 단계는 컴퓨터의 정보를 알아내는 것이 아니라 그 컴퓨터를 이용하는 사용자의 마음을 열게 만드는 것이다.
가령, 악성 프로그램이 백신인척 위장하고 "너네 컴퓨터 검색해보니까 바이러스 많이 걸렸더라? 그거 고치려면 한달에 단돈 1000원이면 되는데, 할거야?" 라고 물어본다. 바이러스 걸린것도 거짓말이고 고칠 필요도 없다. 단, 매달 1000원이 결제되는건 사실이다. -_-; 어디서 보낸건지 확인하지 않으니 이런 사기에 당한다. 물론, 나쁜놈은 사기꾼이고 당한사람은 고스란히 피해자인데, 이 피해를 보상받기 위한 노력은 또한 고스란히 피해자가 해야 한다. 하지만 매월 천원 나가는걸 되돌려 받기 위해서 소송을 걸기엔 우리나라의 재판 과정은 길고 험하며 비싸다는 점. (그래서 나는 부모님께 인터넷에서 뭔가 돈을 내야 서비스를 받는 거라고 한다면, 일단 "아니오"를 선택한 후 나에게 연락하여 확인한 후에 사용해 달라고 여러번 강조해서 말씀드렸다. 정당한 서비스라면 얼마를 내든 합당한 요금을 내고 쓸 수 있지만, 사기는 당하면 안되니까.)
애초에 ActiveX라는 것을 사용하지 않고, "비밀번호는 반드시 암기하고, 다른데 적어두지 말 것이며, 누구에게 알려주지 말아야 한다"는 것을 강요했다면 Active X는 욕을 먹을 이유조차 없는 쓸만한 기술이다. 중간에 누군가 정보를 가로채는 것을 막기 위해서는 공인인증서를 이용한 보안http나 ssl정도의 기술이면 충분하다. 이미 뚫려버린 컴퓨터에 백만개의 백신과 천만개의 보안 프로그램을 설치한들, 컴퓨터가 느려지기만 할 뿐 해킹 방지에는 전혀 도움이 되지 않는다.
이 문제가 해결되지 않는 이유는, 앞서 분명히 은행이나 다른 웹 사이트 등이 ActiveX 설치에 대해 무조건 "네"를 대답하도록 만든 문화적 조작을 해 놓고서도 보안 프로그램과 적당한 기술적 요건을 갖추어서 이 문제에 대해 더이상 책임질 필요가 없기 때문이다. 즉, 이제 사람들은 해킹 당한건 전적으로 개인의 잘못이 되었다. 사업자들이 너무나 발견하기 어려운 곳에서 잘못을 저질러 놓았기 때문이다. 뭐라 책임을 묻기도 어려운 바로 그곳에.
최근, 오픈웹 운동이 최종적으로 대법원에서 패소 판결을 받았다. 인터넷 뱅킹은 윈도우즈에서만 되도록 제공해도 법적으로 아무런 하자가 없다. (이 판결대로라면, 은행은 맥OS에서만 인터넷 뱅킹이 되도록 제공해도 되고, 리눅스에서만 인터넷 뱅킹이 되도록 제공해도 되며, 원한다면 DOS에서만 인터넷 뱅킹이 되도록 제공해도 된다.) 그럼, 그것으로 끝인가?
여전히 보안 후진국으로 남을 뿐이다. 문화가 바뀌지 않는 한, 보안 프로그램의 버전이 100.0까지 올라가더라도 해킹은 막을 수 없다.
주민등록번호를 입력해서 인증을 받은 다음에 무선랜을 쓰도록 하자는 아이디어를 낸 어떤 한심한 국회의원이 있어서 답답하여 그런다. 만약 그렇게 된다면, 까페에서 무선랜 신호 붙잡아서 주민등록번호를 알아내는건 의외로 쉽다. -_-;
RECENT COMMENT