2010년 2월 1일

대두되는 스마트폰의 보안 문제

먼저, 관련기사를 보시죠.

기사 내용 중 “윈도모바일이나 안드로이드 OS의 경우 개방형이어서 보안 문제에서 상대적으로 자유롭다”는 말은 결국 1) 보안 문제가 크게 발생할 수 있으며 2) 방화벽, 백신, 키보드보안 프로그램의 의무설치를 강제하겠다는 말이죠.

PC의 경우를 보면 방화벽, 백신, 키보드보안 액티브X뿐만 아니라 안티스파이웨어, 피싱방지 액티브X까지 까는 웹사이트도 있습니다.

사실 보안은 “필요악”입니다. 보안은 나쁜 공격으로부터 보호하기 위해(필요), 이용자를 불편하게 하고 추가 비용을 지불하게 만들죠(악).

그렇기 때문에 무조건 보안이 아니라, 얻는 것과 잃는 것을 냉정하게 따져서 균형감각을 갖추어 보안을 적용해야 합니다. 트레이드오프를 고려해야 합니다.

하지만 한국의 경우 중요한 것은 잘 보안도 안되면서(SSL도 제대로 사용 안하고, 서버 관리 소홀로 개인정보를 유출시키고 등등), 그렇게까지 할 필요가 없는 부분은 전세계 유래가 없이 이상한 보안을 강제하고 있습니다.

사실 키보드보안 액티브X는 정말 최악이죠. 기술적으로 그거 깔아도 100% 보안이 되지도 않는데, 전국민이 키보드보안 액티브X를 설치하느라 낭비하는 시간 그리고 PC의 리소스 낭비, PC가 맛 가서 재설치하고 AS하는 시간 등을 고려해볼 때 “한국은 정말 어느 나라보다도 쓸데없이 과도한 보안 비용을 지불하고 있는” 겁니다.

정부는 왜 해외 선진국들에서는 액티브X를 전혀 쓰지 않고서도 인터넷뱅킹과 인터넷쇼핑을 잘 하고 있는지 제발 스터디해서 전국민의 시간과 비용을 낭비하는 일이 없기를 바랍니다.

완벽하지도 않으면서 사람들만 불편하게 하는 액티브X보다는 학교, 회사에서의 보안 교육을 강화하는 것이 훨씬 효과적입니다. 그리고 앞으로도 액티브X를 계속 유지할 생각이라면, 최소한 일정 수준 이상의 지식을 갖춘 이용자는 스스로의 책임 하에 과도한 보안 옵션을 끌 수 있도록 해야 할 것입니다.

이상한 보안 프로그램들 때문에 발생하는 사회적 비용이 너무 큽니다.

또한 스마트폰까지 망가뜨리려고 하는 정부의 과도한 보안 정책을 분명히 반대합니다. 망가진 것은 PC웹만으로 족하지 않나요? 보안 업체들, 정부에 로비 그만 하세요.

제 주장은 다음과 같습니다.

1) 기술적 보안은 선진국 수준에 맞추어 주세요. (현재는 말도 안되게 과도합니다!)

2) 학교, 회사, 지자체 등에서 초보자를 위한 보안 교육을 강화 해주세요. (보안은 정신 교육이 아주 중요합니다. 교육 없이 돈으로 때우니까 이렇게 됐죠.)

3) 앞으로도 여전히 이용자를 불편하게 할 생각이라면, 최소한 검증된 이용자는 자기 책임하에 보안 옵션을 관리할 수 있게 해주세요. (무조건 설치해야 하는 키보드보안 액티브X는 폭력입니다!)


크롬과 사파리, 파이어폭스에서도 대한민국 모든 웹사이트를 이용할 수 있는 날이 오기를 간절히 바랍니다.

댓글 7개:

top_genius :

"정부는 왜 해외 선진국들에서는 액티브X를 전혀 쓰지 않고서도 인터넷뱅킹과 인터넷쇼핑을 잘 하고 있는지 제발 스터디해서 전국민의 시간과 비용을 낭비하는 일이 없기를 바랍니다."
라고 하셨는데요. 과연 그렇게만 볼 것일까요?

http://dgtgrade.egloos.com/1888699
http://www.skepticalleft.com/bbs/board.php?bo_table=01_main_square&wr_id=6858&sca=&sfl=mb_id%2C1&stx=wookpsn&sop=and&page=4

바비(Bobby) :

To top_genius님/ 저도 예전에 본 글이네요.

액티브X를 없앤다고 모든 문제가 해결되는 것은 아니지만, 일단 액티브X를 없앤다는 전제하에 보안 논의가 새롭게 시작될 필요가 있습니다.

액티브X의 필요성을 자꾸 얘기하면 액티브X는 살아있게 됩니다.

백번 양보해서 도입 당시에는 나름의 필요성이 있었다고 해도, 이제는 아닙니다. 유지하는데 따른 사회적 비용이 너무도 큽니다.

그렇다는 것에 동의해야 제대로 된 보안 정책을 수립할 수 있다고 봅니다.

익명 :

동감한표 추가요

익명 :

올소 적극 지지합니다!!!!

익명 :

의견에 동감 합니다.

그러나 그저 좁은 세상에서 돈만 밝히는 속물들의 세상.

LeaFriend :

이미 보안에 쓰는 돈으로 수익을 올리는 보안업체의 저항도 한 몫을 하지 않나 싶네요. 그들로서는 밥줄이 달린 문제니 말이죠.

vino :

쩝.. ActiveX를 없애는게 왜 보안업체의 밥줄을 조이는 거라 보시나요들?

ActiveX 없이 결제하도록 만들면 그건 뭐 회사 전산팀에서 만들 것도 아니고 어차피 다 컨설팅 받게 돼있습니다.

외국이 온라인금융사고가 없다고 하는데 외국 뱅킹사고 무지하게 많습니다 ㅡ,.ㅡ;;;

한국이 온라인 뱅킹 인구에 비해 사고가 엄청 적은겁니다.

게다가 사고나면 은행이 책임지잖아요. 미국은 개인vs은행으로 소송가는 경우가 다분합니다.

저는 이런저런 ActiveX를 설치하는 댓가가 '사고시 은행 책임'의 조건이라면 기꺼이 그 방식을 따르겠습니다.

외국처럼 개인이 뱅킹 사고에 대한 위험부담을 지는건 싫습니다. 잘못하면 내돈 나가니까요

다시 말씀드리면 한국이 유럽이나 미국보다 뱅킹사고가 훨씬 적습니다. 제발 ActiveX가 취약하다('기술 자체가 취약하다'는건지 원) 이상한 소리나 외국이 이딴거 없이 잘만 쓴다는 근거없는 주장은 없어졌으면 좋겠습니다.

최선은 ActiveX없이 사고도 없는 방식을 찾아내는 것이겠죠. 그리고 사고시 은행이 메꿔주고요.
그런데 오픈웹의 주장대로 OTP+SSL로는 사고가 없을리가 없어보입니다.

차선은 은행이 깔라는거 깔아주고, 사고도 은행이 책임지는 방식입니다. 은행이 다 책임지고 있는 지금이 무척 좋은거란걸 개인이 책임지는 시대가 오면 알게 되겠죠.

IE도 안쓰고 AX 깔리는거 싫어서 가상머신 써서 뱅킹하는 제가 AX를 옹호하는 것 같은 글을 쓰게 될줄은 몰랐지만 솔직히 이건 아니다 싶습니다.

댓글 쓰기

댓글을 환영합니다.

스팸으로 인해 모든 댓글은 운영자의 승인 후 등록됩니다. 스팸, 욕설은 등록이 거부됩니다. 구글의 블로그 시스템은 트랙백을 지원하지 않습니다.