Internet Explorer 를 쓴다면서 우리는 최상의 보안을 제공한다.

 라는 말을 보안 전문가라고 하는 존재가 하면 어떤 기분이 들까요? 이건 코미디 이겠죠. Adobe flash 가 최고의 vector 기반 엔진이라고 믿는거와 동일 하고, flash 로는 어떤 문제도 생기지 않는다고 하는 헛소리와 동일 합니다.

 그래서 보안에 최소한의 예의 갖춘다고 생각 된다면 FireFox 정도를 쓰거나, 아니면 메모리 낭비의 귀신인 Chrome 이라도 쓰는게 정석까진 아니라도 일반적인 방법일 겁니다. 이들이 사용하는 Sandboxing 은 최소한 Flash 의 털릴대로 털린 보안의 큰 구멍들을 브라우저 밖으로 까지 뚤리지 않게 해 주는 것들 중 하나 이기 때문 입니다.


요즘 흥행 하는 ransomeware 들이 대체로 IE 와 Flash 기반의 문제점들로 부터 가장 많이 터지고 있다는 것을 고려 해 봐야 합니다. 이들이 java 까지 털고 있는 시점에서 그만큼 브라우저 자체의 sandboxing 이 중요 한 시점이기도 합니다.


 즉, 요즘 브라우저들은 이런 기술로 브라우저 밖 까지 개인 정보가 털리지 않게 많은 방법의 보안 솔루션을 사용하고 있고, 사실 이런 방법은 해외에서도 많이 이용 되고 있습니다. 내부 암호화 엔진과 SSL 을 맹신 해서는 안될 일 이겠지만, 적어도 이런 기술로도 짧게 발생 하는 보안 정보 교환 등은 외부 누출로 일이 벌어지는 걸 최소화 할 수 있다는 점 입니다.


 또한 OS제조사를 빙자한 거대 게임 회사인 MS 에서 조차 자신들 편하자고 만들었던 ActiveX 가 '이건 도저히 우리도 어쩔수 없는 ㅄ짓거리다' 라고 판단하여 지원을 끊는 판국에, 아시아의 어느 반도는 이를 보안회사라고 붙이고 돈이나 삥뜯는 가짜 보안회사들 먹여 살리느라 반대를 엄청 심하게 했었습니다. 정보는 브라우저에서 보는데 개인정보 보안은 왜 OS 차원에서 하는지 모르겠지만 그건 IE 를 쓸 때나 이야기고, IE 를 제외한 대부분의 브라우저에서 Sandboxing 을 쓰는 21세기에 대체 왜 아직도 키보드 보안이네 뭐네 하는 것을 OS 단에서 돌리는 NAPI (Native API) 를 사용해서 쳐 만들고 있는지 이해가 안 가는건 저만의 착각인지 모르겠습니다.


 한 예로 제가 아이폰에서 지로용지 금액을 내기 위해 앱을 깔고, 이게 어디에 보안의 방법 이라고 생각하게 되는지 모를 공인 인증서를 복제 하기 위해 금융결제원 전자인증센터 가서 뭘 하려고 FireFox 로 들어 가면 이렇게 됩니다.




 윈도우에서 UAC (사용자 계정 컨트롤) 켜 두고 있으면 저 상태에서 먹통이 됩니다.

 사용자가 바이너리나 돌리는 걸 방지 하기 위해 윈도우 자체에서 방지 하고 있는 관리자 권한 급 바이너리 구동시 이를 확인 하게 해 주는 것이 바로 UAC 인데, (타 OS 는 이미 예전 부터 적용 되어 있음, Linux 의 sudo 와 동일) 이걸 켜 두면 위 처럼 팝업이 뜨는데, 저 UAC 창에 버튼을 선택 할 수 없게 됩니다. 즉, TouchEn 의 nKey 라 불리는 저 상식적으로 왜 필요 한지 모르겠는 병맛 NAPI 플러그인 덕에 아무것도 못 하겠는건 둘 쨰 치고, 이를 어떻게든 해결 해서 다음 페이지 넘어가서 공인 인증서를 복제 하려면 아래 처럼 뜹니다.


하하하...


 윈도우 쓰면 IE 나 쓰라고 어디 MS 한테 돈을 받은건 아닐테고, 공인 인증서 복제 하는 NAPI 제조사가 IE 말고는 만들 재간이 없다고 하니 이런 친절한 팝업을 띄어 주었을 겁니다. 대부분의 브라우저 제조사들이 이런 ActiveX 랑 다를바 없는 것들이 보안적인 이슈로 많은 문제점을 보여 점점 사용을 제한하고, 앞으로 NAPI 자체를 없앤다고 합니다.

 그런데 이러면 아시아의 어느 작은 반도에 있는 보안다운 보안을 하지도 못하는 회사들이 이제 설 자리가 점점 줄어 든다 싶으니 별에 별 방법을 이용해서 보안이란 어디서 찾아야 할지 모를 것들을 이용해서 보안이라고 난리를 치며 죽지 않는 기생충 마냥 이 짓거리들을 계속 하려고 애 쓸 것 입니다.


 심지어 맥에서는 deb 로 보안 패키징 이라며 부가로 이를 설치 하게 하고, 막상 관련 페이지 들어가면 CPU 사용율을 100% 로 치솓게 하는 짓거릴 해서 사용자가 뭔가 사용을 힘들게 해서 이를 포기 하게 하려는 심보인지? 라는 의문이 들게 하는 짓거릴 하는 것이 이들 보안 업체라 불리는 것들의 수준 입니다.


 브라우저 내에서 정보를 주고 받는게 그렇게 힘들다면, 차라리 전용 프로그램이나 앱을 만드는게 맞을 겁니다. 차라리 그 짓거리로 돈을 벌어야지요. 이미 보안이 계속 보강되고, 타국에서는 그걸 이용해서 보안 정보를 잘 주고 받고들 계신데 왜 이걸 브라우저 밖의 OS 차원에서 막는다고 ㅄ같은 짓거릴 하는건지 모르겠습니다. 그럴거면 그냥 각 OS 마다 따로 전용 프로그램이나 앱을 만들면 되는 것을 왜 굳이 브라우저 마다 사람 혈압이나 오르게 만드는 것들을 설치하게 만들고, 이걸 또 서비스로 매번 OS 실행 시 마다 같이 돌아서 내 CPU 와 메모리 지원을 쓰지도 않는데 계속 처 먹고 계신건가 이겁니다.


 각 클라이언트 들이 자신들 만의 web design 을 사용하고, 여기에 보안적인 방법을 (국가가 하라니 하겠지만, 사실 따지면 국가의 어느 기관이 원흉) Active X 쓰라 했다가 이제 이게 안된다니 NAPI 쓰라 그러고 ... ActiveX 나 EXE 설치본으로 service 나 dll 돌리는 거랑 대체 달라진 차이가 뭔지 모르겠는데, 이걸 보안이랍시고 하고들 있는걸 보면, 이 작은 어느 아시아의 반도에서 진정 보안에 대한 삐뚤어진 시각이 얼마나 심각한지 다시 한번 알게 되는 듯 합니다.


 이런 ㅄ 짓거리 줄이라고 https 프로토콜 있고, 이거 말고도 많은 기능들을 브라우저 자체에서 지원을 해 주고 있는 세상에, 이걸 부정하는건지 아니면 이해를 못 하고 자신들이 하는 방법이 최고라고 착각 하는건지 알 방법은 없지만 - 아마 이 짓거릴 해야 돈을 버니까 하겠지만 - 왠만하면 이런 ㅄ같은 방법 말고 차라리 자신들이 직접 브라우저를 만들어 배포 하던가 하는걸 하는게 어떨까 합니다. 물론 그런거 까지 할 수준이면 이런 ㅄ짓거릴 하진 않았겠지만요.

Posted by 견족자K rageworx