소프트웨어 온라인 쇼핑... 액티브X 사라진다?

뭔가 잘못알고 계신거 같네요.

딱히 기술력이 딸려서가 아니라 오히려 '쓸데없이(?) 고도화' 되어있기 때문입니다.

'구식'은 액티브X이지, 거기서 작성하는 프로그램 자체의 내용은 상당히 고도의 보안입니다.

전 세계에서도 2048비트 인증보안 하는 곳은 많지 않습니다.

그런걸 억지로 우겨넣으려다보니 이런 사단이 난거죠.

정확하게는 한국에서는 일찌기 정부정책으로 IMF조기탈출과 경제 활성화의 대안 중 하나로 IT활성화를 시도했는데,

당시 SSL도 태동기였고, 당장 믿을만한 보안방법이 없었기에,

당시에는 흔한 기술이었던, 액티브X를 이용한 공인인증서를 개발하게 된겁니다.

문제는 여기서 끝냈으면 되는데,

진짜 솔직하게 까고 말해서 '미개한 한국인'들이

'ㅅㅂ 닥치고 다 책임져라. 무조건 정부 은행 니들이 다 책임져라.'는 풍토가 정착되기 시작한게 진짜 악수였습니다.

일단 공인인증서로만 끝냈으면, 지금쯤 액티브X는 확실하게 버리고 외국식으로 갔을지도 모릅니다.

왜 '정부와 은행과 쇼핑몰이 다 책임져라'는 말이 나쁜거냐면,

'그래, 책임질게. 대신 우리가 시키는 대로 해라.' 이런식이 되기 때문입니다.

그놈의 '책임'을 지기 위해서 각종 보안프로그램을 집어넣은겁니다.

솔직히 입장바꿔 생각해보면,

사용자가 엉뚱한데서 바이러스 걸려서 지가 개인정보 비밀번호 털리고,

그걸로 도둑놈들이 돈을 빼갔으면, 그게 누구 책임인가요?

사용자 책임인게 당연한거 아닌가요?

비밀번호를 사용자가 바이러스걸려서 털렸는데, 왜 그걸 은행이 책임져야하나요?

하지만 십수 년 전 한국에서는 그걸 은행더러 책임지라고 난리칠 상황이었습니다.

새로 도입하는 IT 시스템인데 엉뚱하게도 서버가 취약한게 아니라, 사용자가 취약한게 문제라,

각종 보안사고로 골머리 앓을 상황이었습니다.

그래서 AX 사용에 있어 '이왕 이런 기술 쓰는김에 보안프로그램도 깔아버리자'는 생각들을 하게 되었고,

그대로 시행되어 지금에 이른겁니다.

아무리 은행이 잘해도 사용자가 비번을 유출시키면 은행은 방법이 없습니다. 그래서 보안카드 OTP까지 따로 제공하는겁니다.

근데 보안카드를 스캔해서 저장해두었다가 털리는 우스운 일도 발생하죠. 그러지 말라고 따로 만들어준건데... ㅡㅡ;;

문제는 그 보안프로그램 까는게 갈수록 살이붙고 많아지고 이해관계가 얽히고 섥히고 하다보니,

'미개한 사용자'는 AX만 보면 무작정 Yes 눌러대는 통에 안전이 확보되지 않는 사이트에서도 'Yes맨'이 되어,

거꾸로 바이러스와 악성코드를 손쉽게 불러들이게 되었고,

그럴수록 보안프로그램은 더 늘어나며 악순환이 계속 되어 온겁니다. 물론 공인인증서도 계속 비트수 올려가며 고도화 됐죠.

AX를 욕하는게 그냥 구식이어서가 아니라,

그 exe파일을 손쉽게 실행할 수 있는게 문제인겁니다.

이건 장점이기도 합니다. 온라인게임사이트 가면 로그인하고 거기서 시작버튼만 클릭하면 게임이 실행되는게 AX덕분이죠.

당연히 바이러스와 악성코드가 난무하기도 좋은 단점이기도 하구요.

'외국은 SSL로 잘만 하는데 왜 우리만 이러냐'고 쏘아대는게 바보같은 소리인게 이런 이유입니다.

이미 한국도 SSL은 쓰고 있고, 공인인증서가 추가로 쓰입니다.

근데 이 SSL이건 공인인증서 프로그램이건 이것들이 하는 역할은 '패킷을 가로채는' 공격을 막는 용도로만 쓰입니다.

비유하자면 이것들은 '은행현금수송차량'에 해당되는겁니다.

'수송중에' 내용물을 보호할뿐, 그걸 은행에서 주기전에 혹은 받은 후에 관리 못하면 무용지물인겁니다.

중요한건 바로 '사용자의 ID,비번,개인정보'를 입력하는 순간입니다.

이 순간을 스스로 지키지 못하면, SSL이고 공인인증서고 전혀 관계가 없습니다.

한국에서는 이걸 털리지 말라고 보안프로그램을 깔아주는겁니다. 털리고 나서 사용자가 난리칠게 뻔하고 소송으로 몸살을 앓게 되니까요.

어떤 사람들은 공인인증서,보안프로그램이 사용자에게 책임을 떠넘기기 위해(?) 있는거라고 욕하는데,

애초에 사용자의 책임인데 떠넘기고 자시고 할것도 없습니다.

그래서 외국에서는 '그건 니 책임 ㅋ' 이라는 게 기본마인드입니다....만, 거기서도 '미개한' 인간은 많아서 책임지라고 난리치는 인간은 많죠.

하지만 위에서도 말했듯 사용자가 털렸는데 왜 물어주냐?는게 논리적으로도 당연하고 명백한 상황이기에, 보통은 묵살됩니다.

다만, 역시 외국에서도 송사는 귀찮은 노릇이기에 '규모의 경제' 개념으로 보상해주는 일도 많습니다.

아마존이나 외국 쇼핑몰에서 배송못받았다고 하면 같은걸 통크게 다시 배송해주는걸 악용해서 받아놓고 못받았다고 우겨 더 받아내는 한국인들 때문에, 한국을 블랙리스트 먹였다는 기사 보셨죠? 그것도 규모의 경제 개념입니다.

그런것 때문에 외국에서는 큰 문제가 안되는거지,

은행측의 서버가 털린게 입증되지 않은 이상은 기본적으로 배상,보상 책임은 없습니다. 사실 그게 너무 당연한거구요.

소송으로 가면 거의 사용자가 집니다. 논리적으로 은행측 과실을 입증할 수가 없는게 당연하거든요.

한국에서도 은행에서 털린게 입증된 사례는 거의 없습니다.

은행이 깡패라 그런게 아니라, 실제로 공인인증서나 보안카드 관리 소홀로 털린게 대부분이라는거죠.

물론 그게 없으면 털릴일도 없지 않느냐 싶지만,

그럼 남은건 '비밀번호'밖에 없습니다.

그 비밀번호가 털리면? 그냥 그대로 끝장나는거죠. 매일같이 수만건이상은 유출사고가 발생할겁니다.

물론 외국도 같은 조건이지만, 위에서 말했듯 책임은 사용자에게 있는거고,

외국은 주로 OTP 개념으로 갑니다.

우리가 쓰는 OTP도 있구요, 초보적이지만 쓸만한 OTP도 있습니다.

비밀번호가 123456789 라면 *□□□**□□* 의 빈칸을 채우라는 식이죠.

사실 보안카드에서도 이런개념의 초보 OTP가 정착된 상황이구요.

(근데 말했다시피 보안카드 스캔해서 저장하면 무용지물... ㅡㅡ;;)

근데 이런것도 키로거바이러스 같은거에 걸려있으면,

아무소용없습니다. 입력되는거 모두 조합하다보면, 원래 비번이 나올수밖에 없죠.

그러니 아예 따로 쓰는 기계 OTP 정도 말고는 답이 없는셈이 되죠.

아니면 반드시 '마우스입력'을 사용하거나요.

결국 조심하고 책임져야할 건 '사용자 본인' 이라는 결론으로 회귀하게 되는겁니다.

정부는 방식을 바꾸면서 이것에 대한 계몽과 홍보에 주력해야합니다.

사용자가 조심하지 않는 이상은 결코 답이 나오지 않습니다.

지금도 무조건 정부와 은행에게만 성토하고 있는데,

바이러스와 악성코드의 온상은 정부와 은행이 아니라

사용자들이 악성사이트에 방문하고 다운받은 파일들입니다.

우리 사용자들이 스스로 이런것에 대한 보안을 책임지자는 여론을 만들지 못하면,

이 문제는 영원히 해결되지 않습니다.

'결국 조심하고 책임져야할 건 '사용자 본인' 이라는 결론으로 회귀하게 되는겁니다.

정부는 방식을 바꾸면서 이것에 대한 계몽과 홍보에 주력해야합니다.

사용자가 조심하지 않는 이상은 결코 답이 나오지 않습니다.'

=>문제의 본질을 흐리지 마세요.

님이 한 이야기는 책임에 관한 문제인데, 응용프로그램이든 웹프로그램이든 어짜피 그 문제는 피할 수 없습니다.

피할 수 없는 문제라면 굳이 응용프로그램을 깔 필요가 없습니다.

응용프로그램을 깐다고 해결되는 문제가 아니니까요.

결론은 기술력이 부족한 것입니다.

누나컴에 바이러스나, 액티브 찌거기가... 득실한데 설치된 것들 지우면 또 귀찮게 설치 해야된다고 짜증냄 그래서 늘 불안함요...

백신이 바이러스 사이트니깐 위험하다는데 친히 백신을 끄고 들어간 경우도 많음...진짜 정부에서 계몽과 홍보가 절실함...전단지라도 각 가정에 뿌리거나 다운받아서 볼 수 있게 잘 설명된 있는 문서 내려 받게 했으면...

그리고... 사십중반 ~칠십대 분들은 설명해도 ㅠ 보이스피싱에 노출되는건 필연적이고...-_- 젊은 사람들 부터라도 지금 이라도 바로 알려야 된다고 봄