독자의견(Talkback) |
논점의 주가 무엇인지? |
유진양[ 2007/05/07 ] |
|
최근의 ActiveX의 과다사용문제 및 보안문제가 은행권에 의해서 이루어진 것처럼 보이게 쓰셨고, 의견란에서도 은행권 문제만을 부각하는 군요. 기사 평론 제목을 "은행들의 ActiveX 문제의 진실"로 수정하실 생각은 없으신지... 사실 ActiveX가 처음나올때부터 사용되지 않았으며, 그 원인은 IE의 시장점유율에 있었습니다. Netscape가 시장에서 도태되면서 과다하게 사용되게 된 기술이지요. 또 다른 이유도 있습니다. 한게임 아시죠? ActiveX 기술을 사용하였는 데, 그와 같은 프로그램은 플레쉬나 표준기술 어떤것으로도 당시에는 나올 수 없었습니다. ActiveX를 사용하는 게 저급 개발자가 개발하는 양 말씀하시는 분이 계시는데, 고객의 요구를 파악하지 못하면 살아남지 못하는게 당시와 지금의 현실입니다. 또한 ActiveX가 쉬워서 퍼진 기술도 아닙니다. 여느 웹개발 노하우보다 어려우면 어렵지 쉽지않습니다. 대체할 만한 기술이 빨리 나와서, 기존 문제점을 없애 주면 좋겠네요. |
| |
표준을논하시는데.. |
김준호[ 2007/04/11 ] |
|
ActiveX의 표준, 비표준을 논하시는데 보안 등의 일부 분야에서만 의견들이 다루어지는것은 의미가 없습니다. 웹이 나온지 제 기억으로 한참되었는데요, 아직도 10년도 더 된 예전 기술들이 그대로 쓰이고 있지요. 많은 기능들이 추가되고 확장되었지만 아직도 웹은 Html 을 쓰고 Http를 사용하고있습니다. 그리고 현재 웹개발자들의 개발환경은 더욱 복잡해지고 열악해졌다고 밖에 보이지않습니다. 웹브라우저를 통해 그 수많은 기능들을 구현하고자 정말 많은 노력들을 기울여 만들어 놓은 것들은 비록 그것이 ActiveX를 등에 업고, C/S 버전인척 웹에서 돌아가게 만들었지만, Client 개발자들의 역량이나 기술요소 자체가 ActiveX가 성숙되기 전부터 Microsoft의 Windows 성공을 따라 간것이지 ActiveX나 정부시책을 따라간것은 아니라고 봅니다. ActiveX가 처음 나왔을때 정말 편리했습니다. 그냥 Windows Application을 개발하듯이 코딩할수 있었고 그게 웹에서 돌아갔으니까요. 지금와서 열광했던 기술이 표준이 아니네, 나라 전체가 Microsoft의 영향을 받느니 말하는수는 있지만 마땅히 조치할수 있는 대안이 없다면 불특정 누군가에게 떠드는 문제 제기의 표시정도밖에 되지 않을것같습니다. 컬럼을 쓰신 분께서도 ActiveX 의 문제라고 제목을 다셨는데, ActiveX는 십수년동안 Microsoft OS를 선택했던 사람들이 기능 구현을 위해 선택한 기술이었고 대다수가 사용했던 IE에서 편리하게 개발할수있는 방식이었습니다. 그것을 마이크로소프트의 보안 강화 등의 뒷북으로 피해를 입는 다고 기술자체가 문제가 많은것으로 얘기하시는것은 문제가있다고보이네요 어쨌건 말이 많지만요~ ActiveX는 당시 최고의 기술이었습니다 아무튼 생각없이 커져버린 많은 ActiveX Solution들은 많은 보완이 필요한 시점이네요.. 하지만 다른 관점에서 Windows 말고 다른 OS까지도 우리나라에서 많은 사용자를 가지고 있다면 보안이 강조되는 요즘 훨씬 많은 얘기거리와 문제점이 대두될듯합니다. 그래도 선택할수있는 OS가 많지 않은건 대단히 아쉽습니다만... |
| |
음... |
최준열[ 2007/03/16 ] |
|
'소스가 노출된다고 해서 프로그램 자체의 보안이 취약해 지는 것은 아닙니다. 황당한 방법으로 프로그램을 개발한 경우, 공개적으로 "쪽팔리게" 되고, 한번 개발한 제품을 계속 우려먹기가 힘들어질 뿐입니다.'
마이크로소프트가 윈도우의 소스코드 공개를 꺼리고 있는 이유를 아주 단적으로 설명해 주셨군요. Windows Server의 NLB기능이 어떻게 구현되어 있는지를 보면 실소를 금할 수가 없습니다. nlb.dll인가 뭔가 딸랑 dll하나 넣어놓고 '네트워크 로드 밸런싱 지원'이라고 광고되고 있더군요.
수많은 dll누더기의 집합체인 윈도우즈...과연 언제까지 버티려나... |
| |
처음 댓글 다신 분의 견해... |
youknowit[ 2007/03/13 ] |
|
저 아래 처음 댓글 다신 분은 마치 SEED 알고리즘과 ActiveX 무슨 상관관계가 있는 듯 말씀하셨지만, 아무런 기술적 근거가 없는 견해에 불과합니다.
브라우저 탑재 모듈이 SEED를 지원하지 않아서 플러그인/애플렛을 사용해야만 할지라도, 그것으로부터 ActiveX 사용이 불가피했다는 결론이 도출될 수 있는 것은 아닙니다. ActiveX외의 플러그인/애플렛도 있습니다. 자바, 플래시도 플러그인/애플렛이며, SEED를 지원하고 전자서명을 처리할 수 있습니다.
범용성이 훨씬 더 큰 이러한 대안을 무시하고, MS의 경쟁제한적 lock-in 전략에 스스로를 얽어매는 최악의 선택을 한 데 대한 면죄부를 SEED에서 찾을 수는 없습니다. 그저 자신이 익숙하게 다룰 수있는 VBScript로 손쉽게 장사하겠다는 근시안적 선택에 대하여 어느 누구도, 어느 단계에서도 제대로된 veto를 하는 자가 없어서 그랬을 수도 있습니다.
그러나 오히려 더 설득력 있는 견해는, 그런 veto가 강력히 제기되었음에도 불구하고(ActiveX가 여러 문제를 안고 있다는 것은 비밀이 아니고, 무수한 반론이 제기된 것은 부인할 수 없는 facts 입니다), 금결원과 일부 보안 업체들은 자유로운 경쟁체제가 자신들의 돈벌이에 불리하다는 매우 전략적인 고려에 근거하여 ActiveX를 고의로 선택하였을 가능성이 더 큽니다.
자바 애플렛이 선택되지 아니한 여러 이유를 들 수는 있지만, 결정적인 이유는 소스가 쉽게 노출된다는 것이고, 따라서 보안 업체가 장사를 하는데 지장이 있다는 것입니다.
소스가 노출된다고 해서 프로그램 자체의 보안이 취약해 지는 것은 아닙니다. 황당한 방법으로 프로그램을 개발한 경우, 공개적으로 "쪽팔리게" 되고, 한번 개발한 제품을 계속 우려먹기가 힘들어질 뿐입니다.
"국내 공인인증시스템 개발/도입 당시부터 깊게 관여했던" 분이 이 문제에 대하여 아래 첫 댓글에 적은 수준의 이해밖에 없었기 때문에 현재와 같은 사태가 발생하였을 수도 있겠지요. |
| |
제가 금융권 웹에서 일하는데... |
그이유...[ 2007/02/20 ] |
|
제가 금융권 웹에서 일하는데... 몽땅 금감원 잘못입니다. 다른 ActiveX는 모르겠지만 금융권 ActiveX는 금감원에서 시키는데로 합니다. 소비자편의고 기술이고 다필요없습니다. 금감원이 시키는데로 허락하는데로만 합니다.. 그래서..몽땅 금감원 잘못입니다. 바보 금감원이 컴 사용과 국가의 미래에 대해서는 모르는 거죠. 그래서 MS의 종주국이 된겁니다. 금감원의 애매모호한 문구는 모든 OS 모든 Browser를 지원하면 좋지 않겠냐 처럼 보이면서도 일단 Windows에 IE만 되면 오픈하면 되니깐 급하게 글케 만들어라는 해결책을 밑에 깔고 있습니다. ActiveX의 칼로 금감원을 내려쳐야죠. |
| |
ActiveX보급이 개발자 때문은 절대로 아니죠. |
sj[ 2007/02/07 ] |
|
단정적으로 이야기하면 개발자들은 윗선에서 시키는 대로 일하는 일이 많이 있어서 그 책임은 그리 무겁지 않습니다. 다만, 아래에서의 피드백이 없어서 초기에 바로잡을 수 있었던 것을 이리 끌고간 책임을 지울 수도 있겠지만 우리나라 현실에서 아랫사람이 의견을 개진하면 윗사람들이 묵살하는 경우가, 특히 조직이 권위적일 수록 많은 것이 사실이죠. 사기업의 경우에는 무엇으로 만들든 그들 자유이니 뭐라고 할 사항이 못되지만 국가 주요 행정 사이트들의 경우에는 머리가 굳어버린 공무원들이 가장 큰 문제죠. 덩치큰 것만 볼 수 있고 전체를 보지 못하는 매우 나쁜 시력의 소유자들... 그들이 문제인 겁니다. 공공 사이트들 같은 경우는 ActiveX로 개발을 한다고 해도 다른 대안을 마련해 놓았어야 하는데 그렇지 않고 막아버렸다는 것이 가장 큰 문제인 겁니다. 사적인 사이트(기업용 사이트 포함, 다만 공적인 역할을 수행하는 은행등의 사이트 제외)는 오너가 어떻게 주문하던 유저가 어떤 것을 원하던 그래서 ActiveX를 사용하던 별 상관은 없지만 공적인 사이트(정부 사이트 등, 은행 사이트 포함)는 모든 국민이 제한없이 접근이 가능하게 설계가 되어야 하고 그 책임자인 공무원등의 오너가 개념을 가지고 만들어졌어야 하는데 그게 되지 않았던 거죠. 그래서 최근 오픈웹의 소송이라던지 하는 것들이 벌어지는 것이고 ActiveX에 관한 논란이 생긴 것입니다. |
| |
ActiveX 보급이 마냥 개발자 때문인가? |
인순이[ 2007/02/05 ] |
|
글쎄요. 과연 그럴까요? 오너가 원하는 빠른 개발시간에 해당 사이트의 User가 원하는 수준까지 만든다고 한다면 자연스럽게 ActiveX로 가게 되어 있습니다. 이런 상황이 문제입니다. 솔직히 보안용 ActiveX는 사용상에는 그리 큰 문제가 없어요. 웹브라우저 이상의 기능을 원하는 User와 오너들이 존재하는 한 ActiveX는 양성될 것이고 그것을 강제로 막는다면 또다른 ActiveX와 같은 대안을 찾게 될 것입니다. 진정 환경을 바꾸고 싶다면 User들이 유흥을 위해서 웹을 하는 습관을 버리도록 유도해야 해야겠죠. 이게 바뀌지 않은 이상 백날 해도 소용없어요. 자바애플릿도 문제가 참 많죠. |
| |
정말 신경질 나서 미치겠네 |
최준열[ 2007/01/30 ] |
|
얼마전 교보문고에서 책 3권 주문했는데 제 PC에 엑티브X 거의 11개 정도 깔더군요. 이런 미친놈들을 봤나...방금전에는 또 삼성멀티캠퍼스 가서 뭐 좀 검색하려고 했더니 로그인 하려면 XecureWeb 7.0 깔라고 나오네...겨우 로그인 가지고 엑티브X를 요구하다니...아 짜증난다 한국 웹사이트...외국 사이트는 다 다른 걸로 해결하는 걸 한국 개발자들은 실력이 모자라 엑티브X를 남발한다고 밖에는 볼 수 없음...
그리고 MS가 점점 미쳐가고 있군요. Zdnet기사 보니까 JPEG을 끌어내리기 위해서 독자 포맷을 비스타에 탑재하려고 한다고요? 사실 뭐 MS가 심심해서 wma를 만들었겠습니까...지들 딴에는 mp3를 끌어내릴 수 있다고 생각해서 만들었을 겁니다 (물론 절대 불가능하겠지만).
정말 엥글로섹슨들은 미친 것 같군요. 1년 365일 돈 계산만 하다가 머리가 돌아버린 것 같습니다. 앞으로 5년안에 MS가 몰락하는 꼴을 보게 되겠군요. |
| |
난 외국 사이트에서 액티브X 요구하는 사이트는 단 하나도 본 적이 없습니다. |
김가현...[ 2007/01/29 ] |
|
그렇다고 국내 사이트보다 기능이 딸리는 사이트는 본적도 없습니다. 그리고 액티브 X말고 자바 웹 스타트를 이용하면 안되나요? 자바도 이제 오픈 소스로 가니, 명분도 있고 브라우저나 OS도 안가리죠. |
| |
판도라 TV를 보면 액티브 X는 이미 쳐지기 시작했음. |
김가현[ 2007/01/29 ] |
|
판도라 TV 제 기억으로는 유튜브보다 먼저 나온 UCC 콘텐츠 사이트였습니다. 하지만, 유튜브처럼 플래쉬를 이용하여 UCC 배포에 나서는 사이트가 늘어나자, 급격하게 경쟁력을 잃고 있습니다. 판도라 TV는 액티브 X를 포기하지 않는 이상 절대 경쟁력을 회복할 수 없을 겁니다. 제가 알기로는 MNCAST나 다음 동영상에도 현재 밀리고 있다고 합니다. 판도라는 망하고, 유튜브는 16억달러의 몸값을 받는 차이, 파이어폭스로 두 사이트 한번 다녀보면 알 수 있습니다. |
| |
그리고 이 문제는 |
최준열[ 2007/01/26 ] |
|
'가능과 불가능'의 문제가 아니다. 비록 한두업체에 불과했지만 리눅스나 맥에서도 가능한 인터넷뱅킹을 제공한 업체가 분명히 존재했다. 그 한두업체가 리누스 토발즈나 스티브 워즈니악 같은 천재를 데리고 있어서 그런 것이 가능했다고 생각하나? |
| |
엔지니어님.. 문제 해결이 전부가 아니라고 봅니다. |
sshtel[ 2007/01/26 ] |
|
문제 해결이 되어서 해피엔드를 기대하는 것만이 다가 아닙니다. 그 비용은 어떻게 할건가요? sj님 말대로 언제든지 상황은 바뀔 수 있는겁니다. 소프트웨어 공학의 기본인데, 그걸 무시하니까 이렇게 고생하는 거죠... 애초에 웹 표준을 준수하고 호환성이 좋은 체계로 발전했다면 이런 문제가 발생하지 않았고 앞으로 그러한 방향으로 나아가야 한다고 얘기하는 것입니다. 더 늦기 전에 말이죠 |
| |
아래 불여우 링크를 따라가 보니... |
sj[ 2007/01/26 ] |
|
SEED를 브라우저에 기본탑재 시킨다는 이야기가 나오니 표준 알고리듬을 ARIA로 바꾼다는 이야기가 나와있더군요. 만약 표준이 ARIA로 바뀌게 되면 결국 또 ARIA를 브라우저에서 지원하지 않기 때문에 ActiveX를 쓸 수 밖에 없다는 이야기가 또 나올려나요? 왜들 이렇게 개념을 안드로메다로 날려 버린 것인지.... 국내업체 보호라는 명분을 달아도 이것은 소비자를 우롱하는 행위라고 밖에는 보여지지 않습니다만.... |
| |
밑에 불여우 링크 수정 |
엔지니어[ 2007/01/25 ] |
|
http://kldp.org/node/63150 이 링크를 참조바랍니다. 좀 더 리플들이 상세합니다. |
| |
SEED 때문에 엑티브엑스가 필요하다??? |
엔지니어[ 2007/01/25 ] |
|
여태까지는 그랬지만... 이제는 아닙니다.
불여우 3.0에서 SEED 암호화를 기본 탑재 추진하고 있습니다. http://kldp.org/node/63186 참조
또한 비스타에서도 SEED를 탑재하게 됩니다.
국산 암호화 알고리듬 SEED 윈도비스타 탑재
국산 암호화 알고리듬인 SEED가 MS의 차세대 운용체계(OS) ‘윈도 비스타’에 탑재된다. 이에 따라 인터넷 뱅킹을 할 때마다 ‘액티브X’를 설치, 암호화 모듈을 받아야 했던 번거로움이 사라질 전망이다.
한국정보보호진흥원(KISA·원장 이홍섭)은 윈도 비스타에 SEED를 탑재할 수 있는 ‘차세대 암호 API(CNG)’를 분석하고 응용 프로그램 개발에 들어갔다고 5일 밝혔다.
이재일 KISA 단장은 “과거 윈도에 SEED와 같은 특정 암호 알고리듬을 탑재하려면 MS의 승인을 얻어야 했지만 윈도 비스타에서는 MS의 승인 없이 CNG에 적합하게 응용 프로그램만 개발하면 암호를 탑재할 수 있다”고 말했다.
해외에서는 SSL(Secure Socket Layer)을 이용, 인터넷 뱅킹의 데이터 보호를 위한 암호화 부분을 처리하고 있다. 하지만 국내에서는 전자서명법에 따라 금융 정보의 전자적 데이터 교환 시 표준 블록암호 알고리듬인 SEED를 사용하도록 하고 있다.
웹 브라우저가 인식하지 못하는 SEED를 채택하고 있어 국내 은행들은 그동안 액티브X 형태의 별도 플러그인 프로그램을 배포해왔다.
KISA는 이 같은 문제를 해결하기 위해 내년 응용 프로그램 개발을 완료, 보급할 계획이다. 프로그램 개발이 완료되면 윈도 비스타에 SEED가 탑재되고 인터넷 익스플로러에서 이를 통한 SSL 통신이 가능해진다.
박해룡 KISA 연구원은 “윈도에 SEED가 탑재되면 다른 윈도용 응용 프로그램에서 SEED를 사용하는 암호화가 가능해져 더 많은 분야에서 SEED 알고리듬을 사용할 수 있게 된다”고 설명했다.
김인순기자@전자신문 |
| |
문제는... |
sj[ 2007/01/24 ] |
|
다들 SEED를 구현해야 했기 때문에 ActiveX를 사용해야 했다고 이야기들 하시는데, 그럼 Linux뱅킹을 지원하는 농협이나, 맥에서도 뱅킹을 지원하는 신한은행같은 경우는 어떻게 설명하실 겁니까? 윈도우의 IE상에서야 SEED지원을 위해 ActiveX를 사용했다고 하더라도 나름의 Cross-Platform적인 대안이 있었다면 이런 경우까지는 오지 않았다고 생각하는데요.
ActiveX문제의 진실은 보안성 문제도 있지만 가장 큰 문제는 호환성 문제입니다. IE 말고는 전혀 호환성이 없는 ActiveX를 범국가적으로 매우 중요한 기능들까지 묶어놓았으니(빠져나갈 구멍도 없이 말이죠.) 이런 문제가 생기는 겁니다. |
| |
뜬금없는 비판들은 그만하고 |
몽몽이[ 2007/01/23 ] |
|
허구헌날 MS가 어쩌구 하는 사람들 참 한심스럽다. 그렇게 잘난 사람이 많은데 왜 여태 SSL에서 SEED 구현을 기본적으로 지원하지 않느냔 말이다... 맨날 MS만 씹으면 뭔가 있어보이니까 찌질대는 것 뿐이지 실제 행동으로(Active하게) 하는건 X도 없는 것들... 그래서 Active X가 필요한거였다. 더 이상 찌질대지 말고... 아무것도 하지 않았던 자신을 반성하라. |
| |
재밌는 상상. |
sshtel[ 2007/01/23 ] |
|
ActiveX를 보완하기 위한 대안이라 함은... 아래 elmo님의 말을 빌리면 예를 들어 브라우저만의 기능으로는 user identity 확인이 불가능하다, 보다 화려하고 interactive 한 UI 가 필요하다, 웹에서도 PC 에서 할 수 있었던 대부분의 기능을 제공하고 싶다...
이런 요구 사항을 만족할 수 있는 새로운 웹 표준이 있다면 정말 그것 처럼 멋진 일은 없을겁니다. 현재 웹으로 할 수 있는 일은 극히 제한적이죠.. HTML은 Hyper Text Markup Language입니다. 즉, 기본적인 text, image같은 정보의 전송을 목적으로 만들어진 표준이기 때문에 화려한 액션을 기대하긴 힘들죠
만약 전세계 GUI의 표준이 제시된다면? 그렇게 해서 단순히 html처럼 웹으로 전송된 방대한 양의 데이터를 통해 브라우저가 OS의 파워풀한 GUI 자원을 끌어올 수 있다면?
예를 들면 회전하는 3D 물체의 영상을 웹표준으로 표현하여 서비스하는 서버에 윈도우 사용자와 리눅스 사용자가 각각의 웹브라우저로 서비스 요청을 하면 그 '표준'데이터는 웹을 통해 전송되고 각각의 브라우저는 자신들만의 방법으로 OS에 3D 영상을 표현하기 위한 자원을 요구하겠죠. 생각만 해도 소릅돋네요~! 물론 미래에는 네트웍과 시스템이 그만큼 거대한 데이터를 신속히 처리할 수 있다는 가정하에 말이죠.
그전에는 이런 해결을 위한 또 다른 미들웨어가 출현하지 않을까 하는 생각입니다만..
좀 어이없는 상상이었습니다.. =_= |
| |
웹이라는 연못과 웹이라는 바다 |
sshtel[ 2007/01/23 ] |
|
아래 적은 글은 ActiveX와 보안에 관한 제 생각이고, 이 글은 웹 표준과 ActiveX에 대한 글입니다. 현재 사용자의 기능을 만족하기 위해 ActiveX를 사용할 수 밖에 없다는 개발자 분들.. 향후 10년 이후를 바라본다면 저는 결코 바람직하지 않다고 생각합니다. 한 예로, 언젠가 세계의 금융권이 연결될 날이 온다고 생각해 봅시다.(이부분은 제가 무지합니다. 현재의 수준이 어느정도 인지 몰라서.. 국내 은행끼리는 아무 문제 없다는건 알지요) 수많은 국가들이 온라인으로 금융권을 연결시킨다고 생각하면, 답은 웹밖에 없다고 보여집니다. 그런데 모든 나라가 동참하여 인증과 보안에 관한 어떤 웹 기반의 표준을 따른다고 생각(상당히 표현이 추상적입니다만)했을 때, 우리 나라에서 쉽게 적용할 수 있을까요? 물론 위대한 우리의 개발자분들은 우리 은행권의 웹과 전세계의 표준을 연결시킬 방법을 강구하게 될것입니다. 그것이 인력 낭비일까요, 새로운 일자리의 창출일까요?
앞으로 세계는 점점 좁아지고 그만큼 국가간의 릴레이션은 강력해질 것 입니다. 다양한 시스템들은 웹을 통해 연결될 것이며, 그 흐름에 뒤쳐지면 IT 강국이라는(전에 들었던 IT 엔터테인먼트 강국이라는 표현이 낫겠네요) 이름표밖에 없는 대한민국은 도태될 것 입니다.
제목의 웹이라는 연못도 웹이고 웹이라는 바다도 웹입니다. 다만 우리가 우리만의 연못을 깊게 판다고 저 넓은 바다와의 통로를 메꾸면 그 안에 이루어 놓은 깊은 연못물은 썩고 맙니다.
이미 MS마저 흐름은 ActiveX 로부터 등을 돌렸는데 왜 그걸 고집해야 하는지 모르겠습니다.
이 글은 제가 좀 무지한 상태에서 두서 없이 썼네요.. |
| |
고객을 위한 ActiveX 고객을 위협.. |
sshtel[ 2007/01/23 ] |
|
며칠 전 은행 사기 피싱 기사를 봤습니다. 고객이 은행 사이트로 착각하게 하여 중요 정보를 빼내려는 수작이지요. ActiveX 와는 상관없는 얘기지만, 여기서 제가 말하고 싶은건 그만큼 사용자는 '바보'라는 사실입니다. 그래서 무지한 사용자의 편의를 위해 ActiveX를 도입할 수밖에 없었다는 건 핑계로 밖에 안보여집니다. 이제 그 매력적이던 ActiveX가 사용자를 위험하게 할 수있다는 사실은 삼척동자도 아는 사실입니다. 저 아래 ActiveX의 당위성을 주장하시는 분들 말에 따르면, 시스템 설계시 사용자의 미숙함을 보완하기 위한 요구사항은 잘 캐치했지만 사용자의 보안불감증이라는 비기능 요구사항을 무시해 버렸네요. 제 개인적인 생각이지만 ActiveX는 소프트웨어 공학적 측면은 둘째치고 기능적 요소에 근본적인 결함이 있다고 생각합니다. 좀 더 사용자 입장에서 말이죠
오히려 적나라하게 비밀번호를 요구하는 피싱 사이트에서 사용자는 의심을 더 하면 더했지 ActiveX 경고 메세지에 대한 보안불감증은 심각합니다.
ActiveX는 분명 모두가 서로를 아끼고 믿고 순수했던 시절에는 유용했음이 틀림없습니다. 하지만 세상은 변했고 이제는 웹이라는 초자연적인 시스템의 요구사항은 변했다는 사실입니다. 은행만 보안을 강조하던 시절은 지났다고 봅니다. 수없이 많은 개개인의 PC 정보는 중요하지 않다고 생각하십니까? 그걸 무시한다면 분명 천문학적인 손실은 발생하게 될겁니다. |
| |
고객이 원하는 웹상에서의 파일 공유 시스템 |
신현석[ 2007/01/22 ] |
|
고객이 웹에서 파일 공유를 원한다고요? 액티브 엑스 쓰십시오. 하지만 액티브 엑스를 쓸 수 없는 맥에서는 파일 하나씩 업로드 하고 공유 할 수 있게도 해 주세요. 액티브 엑스를 무조건 쓰지 말라는 것이 아닙니다. Graceful degradation만 고려가 되어 있다면 그런말 할 필요가 없죠.
웹에는 다양한 사용자 환경이 존재 한다는 것은 웹개발자라면 반드시 명심해야 하는 기본입니다. |
| |
저의 생각 |
개발자[ 2007/01/22 ] |
|
그렇다면 외국은 어떻게 대처했을까요?
저는 파이어폭스를 즐겨 사용합니다. 그런데 MS의 사이트에서 조차도 불여우로 항해하는데 아무 문제가 없었습니다. 심지어 MS도 웹 표준을 준수해서 자사의 사이트를 만들고 있었던겁니다.
엑티브엑스는 그럼 어떻게 했을까요? 별도의 프로그램으로 다운로드 받도록 유도하더군요. 즉, App로 만들어서 다운받아서 설치하도록 되어있습니다. 이 방식이 물론 약간 더 불편하지만 보안적으로 한번 더 생각하고 설치하도록 만들어주는 비교적 안전하고 합리적인 방식으로 보입니다.
국내 사이트는 아예 불여우나 리눅스, 맥 사용자는 철저히 배재되어있습니다.
물론 엑티브 엑스 편리합니다. 클릭한번으로 모든게 이루어지니까요. 하지만 그 편리성 뒤에 숨은 무서운 함정(보안 문제 표준 문제)등이 또 한국의 발목을 잡을겁니다. 세계는 표준화되어있는데 우리만 우물안 개구리 식으로 특정 회사의 특정 기술로 비표준화되어있다면 문제가 심각하지요.
밑에 개발자 분 의견도 충분히 이해는 합니다. 아무리 내가 뭐가 올바른지 알아도 고객이 그걸 원하고 월급받는 입장에서 경영자가 요구하면 어쩔 수 없지요. 하지만 적어도 그 길이 올바르지 않다는건 인정하실겁니다. |
| |
이런 논의때마다 드리게 되는 질문... |
어디 이번에는...[ 2007/01/22 ] |
|
저는 엑티브엑스를 옹호하지도 싫어하지도 않는 사람입니다. 제게 있어 제일 중요한 것은 저의 고객분들이죠.
이런 논의때마다 드리게 되는 질문이 있습니다. 비슷한 종류의 몇 가지 문제만 해결할 수 있는 방법을 제시해주신다면, 지금 당장부터 엑티브엑스를 쓰지 않아도 전 무방합니다.
가장 대표적인 예를 하나 말씀드려보겠습니다. 웹 상에서 파일공유 시스템을 만들려고 합니다. 엑티브엑스 말고 특정 폴더와 하위 폴더를 한번에 업로드하거나 다운로드 할 수 있는 방법을 좀 알려주십시오. ^_^;;;
왜 이런걸 요구하냐고는 묻지 마시구요, 제 고객이 원하는 거니까요. 에플릿의 설정을 바꾸는 방법도 있다고 하던데 그건 정답이 될 수 없습니다. 그렇다면 엑티브엑스랑 다를 바가 없으니까요. FILE 타입 INPUT 태그로 도배를 하는 건 말씀 안드려도 아시겠지만 정중히 거절하겠습니다. ^_^
과연 이번에는 해결책을 찾을 수 있을까요? ^_^;;; |
| |
뭐가 대안이 될 수 있을까요? (2) |
elmo[ 2007/01/22 ] |
|
그럼 각설하고, 뭐가 대안이 있을까요?
일단 개발자들이 '빠른 결과' '복잡 다양한 기능' '화려한 UI' 를 최선의 미덕으로 삼는 우리나라의 환경에서 자리를 유지하려면 그 원하는 바를 이룰 수 있는 환경을 고를 수 밖에 없을겁니다.
결국 모든 사람들이 아는 바 처럼 'Platform independent' 하면서도 강력한 것이 되겠죠.
Flex나 Appllo 로 화려한 UI 에 대한 욕구와 어느정도 레벨의 'Desktop application like' 한 결과는 내 줄 수 있을겁니다. 하지만 모두 커버할 수 는 없겠죠. 예를 들어 우리나라의 어떤 프로그래머가 획기적인 성능의 코덱을 만들어서 그걸 웹에서 플레이 하려면 그 새로운 코덱을 빠르게 처리해 줄 뭔가 가 있어야 할테니까요. Java 쪽도 계속 사용될 수 있을거구요.
단지 MS/IE 플랫폼에 국한적인 ACtiveX 는 더이상 사용되지 못할 것이고 .NET 의 경우도 MONO 가 제대러 다양한 플랫폼에서 안정적으로 작동하는, 또 그렇게 되고 있다는 인식이 확산된 그 시점에서나 사용될 수 있을겁니다.
너무나 허망한 답이지만 개발자들이 그런 independent 한 솔루션에 더 무게를 두고, 또 입안자들이나 고객들도 그러한 선택을 수용할 수 있는 날이 하루속히 빨리 와야겠죠....
에궁 ;; |
| |
뭐가 대안이 될 수 있을까요? (1) |
elmo[ 2007/01/22 ] |
|
'지나가다'님, '돌돌이'님, 'ActiveX' 님들께서 이미 지적해 주셨듯이 그간 ActiveX 가 사용된 이유가 있었습니다.
즉, 어떠한 문제들, (예를 들어 브라우저만의 기능으로는 user identity 확인이 불가능하다, 보다 화려하고 interactive 한 UI 가 필요하다, 웹에서도 PC 에서 할 수 있었던 대부분의 기능을 제공하고 싶다...) 을 해결 하는데 있어 그당시 ActiveX 만큼 매력적인 것은 없었다는 것이죠.
ActiveX 가 다른 플랫폼에서 작동하지 못한다는것을 모르는 프로그래머는 아마도 없었을 것 같고, 또 그분들이 무책임하다고 하시는것도 무리가 있을 듯 하지 않을까 하네요.
ACtiveX 를 적용했을 그당시 혹은 그 웹어플리케이션의 대상 유저들은 대부분 Linux 에 무지했고, Mac 사용층이 얇았고, 게다가 시장에서는 빠른 결과를 내놓는 자가 승리하고, Java 보다 빨리 반응해서 그 문제들을 해결 해 줄 수 있었기 때문이죠.
문제가 되는 보안 취약성에 대해서도 SandBox 등의 모델보다 오히려 그당시는 ACtiveX의 방식, 즉 사용자의 허락을 받아 시스템의 통제권을 얻는것이 오히려 단순하지만 효과적인 방식이었다는 의견도 많았습니다.
'김국현'님 말씀대로 '목가적인 시대' 여서 그랬을까요, 아무튼 아쉬움이 남는것은 사실입니다. |
| |
그럼 스마트 클라이언트가 대안이 될 수 있나요? |
최준열[ 2007/01/20 ] |
|
닷넷2.0에서 클릭온으로 이름이 바뀌었나 그럴텐데...ActiveX에서 로직만 가져와서 SC로 다시 개발하는 것이 대안일까, 아니면 이 참에 독점기술의 나쁜점을 깨닫고 리눅스나 맥에서도 똑같이 동작하는 표준웹의 건설에 힘쓰는 것이 대안일까요?
개인적으로도 상당한 가치관의 혼돈이 느껴지네요. SC는 닷넷기반인데 ms는 당연히 리눅스용 닷넷을 안 만들테니 (사용자들이 자발적으로 만들어 간다는 모노는 일단 논외로 합시다) 결국 이것도 웹 사이트를 ms기술에 종속된 웹사이트로 만드는 건데...
어떻게 생각하시는지 의견 좀 달아주세요. |
| |
문제의 핵심은... |
엔지니어[ 2007/01/20 ] |
|
Active-X는 보안에 굉장히 취약한 기술이라는 겁니다.
초창기 넷스케이프에서 자바가 탑재되면서 동적 애플릿 기술을 보고 경악한 MS가 부랴부랴 급조해낸 기술이 Active-X입니다. 아무런 보안을 위한 샌드박스도 없이 일단 인증만 믿고 설치 하는 순간 PC에 대한 모든 제어권을 가지게 되는 기술로 당시에도 보안에 대한 지적이 많았던 기술입니다.
MS는 이제 자바에 대항해 .NET이라는 기술을 가지게 되었으므로 굳이 보안적으로 문제가 많았던 Active-X가 필요치 않게 되어 버리려는 겁니다.
그 태생적 한계로 Active-X는 언제가 버려질 수 밖에 없는 기술입니다.
지금 포탈과 정부는 비스타 출시 후 그냥 보안레벨을 낮춰서 우회하도록 유도하고 있습니다. 보안을 강화시켜놓으니 그 보안을 낮추도록 해서 일단 급한 불 끄고 보자는 근시안적인 대책으로 일관하고 있습니다.
물론 너무 많이 퍼진 엑티브엑스를 하루 아침에 없앨 수는 없겠지만 지금 나오는 무대책은 한숨만 나오네요. 어쨌거나 싫든 좋든 비스타 출시 후에 기존 업체들도 대안을 생각해야만 할 것 같네요. |
| |
제 연락처 |
최준열[ 2007/01/20 ] |
|
제 싸이는 www.cyworld.com/dynamism 이고 이메일은 akira.kr@gmail.com 이니 저하고 더 이야기하고 싶으면 메일 보내셈. |
| |
드라마 다운로드도 |
최준열[ 2007/01/20 ] |
|
드라마 다운로드 사이트를 만들어서 거기로 웹브라우저로 접속하게 할 것이 아니고, OS의 UI메뉴에 드라마 다운로드 메뉴를 박아놓고 그 메뉴로 이동하면 인터넷으로 데이터만 읽어와서 현재 다운로드 가능한 드라마 목록을 보여주는 겁니다. 현재 XBOX 360이 이런 식으로 되어 있죠. MS에서 개설한 드라마 다운 사이트로 웹 브라우저로 접속하는게 아닙니다. UI는 이미 머신안에 임베디드 되어있고 단순히 드라마 제목 text data만 인터넷으로 읽어오는 것이죠.
저는 이런 추세가 '진정한 보통 사람 컴퓨팅'이 나아가야 할 방향이라고 믿고 있습니다. 좀 더 넓은 범위에서 이야기 한다면 저는 비즈니스 컴퓨팅과 홈 컴퓨팅이 분리되어야 한다고 믿고 있는 사람입니다.
기업용 서버 OS인 Windows NT에 알록달록한 UI만 씌워서 가정에 들이밀어 놓고 '이게 가정용 OS이니 입 닥치고 쓰셈'의 시대는 이제 끝나야 합니다. 위험천만하기 짝이없는 주소입력 방식의 인터넷을 보통 사람의 손에 던져주고 인터넷으로 고스톱 하다가 PC 맛탱이 가면 V3로 막든 바이러스 체이서로 막든 니네가 알아서 막으라는 방식은 저는 미친 방식이라고 생각합니다.
초보자가 V3를 어디가면 살 수 있는지 바이러스 체이서의 제작사 URL은 어디인지 대체 어떻게 알 수 있다는 겁니까. 가정주부한테 인터넷을 한 번 가르쳐 보십시오. 제발 컴퓨터 초초초전문가인 자신 기준으로 생각하지 마시길 바랍니다. |
| |
Wii에도 |
최준열[ 2007/01/20 ] |
|
Opera 브라우저를 다운로드 받아 인스톨 할 수 있습니다. 제작사에서 닌텐도 Wii용 Opera를 출시했기 때문이죠. PC에서 다운받아서 옮기는 것도 아니고 Wii에서 바로 다운받는 것으로 알고 있습니다.
그리고 가전의 컴퓨터화는 컴퓨터 비전문가들이 집에서 인터넷을 보다 안전하게 이용할 수 있는 길을 열어주는 것과도 관계가 있습니다. 개발이 직업인 사람들이야 msdn도 뒤져야 되고 레드햇 사이트에 접속해서 리눅스 ISO도 다운 받아야 되고 인터넷에 대한 모든 엑세스가 가능해야 되는 사람들이기 때문에 지금의 주소입력 방식대로 인터넷을 이용할 수 밖에 없습니다만...개발과 아무런 관련도 없는 가정 주부들이나 아이들까지 이런 식으로 인터넷을 이용해야 되는가는 또 다른 의문으로 남습니다.
주소입력 방식은 위에서 말한대로 컴퓨터 전문가를 위한 방식이고, 초보자들은 아무 주소에나 무제한 엑세스가 가능한 위험한 방식보다는 딱 되는 기능만 되는 안전한 방식이 더 긍정적일수가 있습니다.
예를 들면 DVDP나 디빅스에 랜 포트가 장착되어서 인터넷 연결이 가능해졌다고 할 때, 사실 디빅스로 full 웹 브라우징을 가능하게 하자는 것은 약간 넌센스입니다. 디빅스로는 드라마만 보면 되기 때문에 그렇게 모든 가능성을 열어둘 필요가 없습니다. 이런 경우 디빅스에서는 제작사가 개설해 놓은 영상 컨텐츠 다운로드 웹 사이트 딱 하나에만 접속이 가능하게 해 놓으면 제품의 이용자는 인터넷으로 동영상을 다운받는다는 원래의 목적을 달성하면서도 이상한 사이트에서 부지불식간에 들어오는 미친 바이러스들에서 조금 더 안전해질 수가 있습니다. 아니면 꼭 html파싱 기능을 구현하는데 집착할 게 아니라 아예 UI가 고정된 어플리케이션을 박아놓고 뒤에서 데이터만 받아오게 만들수도 있겠죠. 예를 들면 날씨정보 웹 사이트에 접속은 할 수 없지만 화면UI에서 날씨메뉴로 이동하면 날씨메뉴 UI는 임베디드로 이미 고정되어 있고 단순한 날씨 데이터만 랜 선으로 인터넷에서 받아오는 겁니다. 그 제품은 오로지 날씨 데이터만 받아오도록 머신이 아예 고정되어 있기 때문에 바이러스나 해킹의 위협으로부터 매우 안전할 것입니다. |
| |
솔직히 |
최준열[ 2007/01/20 ] |
|
Windows가 왜 이렇게까지 전세계에 퍼지게 되었나하고 같은 문제라고 보여집니다. OS/2보다 후지고 MacOS보다 후지지만 이렇게 퍼지게 된 건 PC제조업체들마다 찾아다니면서 타 OS를 설치하지 못하게 막았던 것, Windows가 응용 프로그램이 풍부했던 것 여러가지가 작용했지만 Windows 말고 다른 OS는 전혀 존재를 알지도 못하고 사용할 줄도 모르는 사용자들의 무지도 복합적으로 작용한 것이 아니겠습니까.
뭐 그건 그렇고, 저는 사용자들에게 매킨토시를 가르치고 리눅스를 가르치는 것이 해답이라고 생각하고 있진 않습니다. Windows나 MacOS가 '컴퓨터 전문가가 아니어도 컴퓨터를 다룰 수 있게 해주자'는 취지로 데스크탑 메타포어를 도입한 제품들이긴 합니다만, 저는 Mac이나 PC같은 개인용 컴퓨터의 시대 자체가 끝나고 있다고 생각하고 있는 사람 중 하납니다.
소니의 PS3가 많은 시행착오 끝에 결국 불발로 끝나고 말았지만 '가전의 컴퓨터화'는 지금 이 시간에도 꾸준히 진행되고 있습니다. 그리고 수많은 국산 디빅플레이어들도 점점 100Mbps 이더넷 포트를 장착하기 시작했죠. PC에서만 되던 기능들 (웹 브라우징, mp3 재생 기타 등등)이 점차 가전제품 안으로 수용되면서 결국 PC는 '업무용 머신'이라는 본연의 자리를 찾아가게 될 것이라는 것이 저의 생각입니다. 그렇게 되면 java나 php개발자들처럼 컴퓨터가 직업인 사람만 데스크탑이나 노트북을 소유하고 나머지 일반 유저들은 결국 언젠가 Windows PC를 떠나겠죠. 저 만해도 PSP로 구글 메일 잘 되는 것 한 번 확인하고 나니 PC잘 안 켜게 되더군요 |
| |
제 생각엔 |
최준열[ 2007/01/19 ] |
|
일단은 '공무원들의 탁상행정과 수 많은 SI의 허접한 개발자들이 만들어낸 졸작' 여기에 한 표 던집니다. 사용자 인증 및 전자서명 문제가 브라우저만으로는 해결이 안 되는 측면이 있어서 ActiveX가 도입이 되었다...그런 부분도 충분히 있었을 것으로 사료됩니다.
하지만 그런 상층부의 흐름과는 별도로 그냥 우리 주변을 둘러봤을 때 ActiveX를 사용해서 어떤 기능을 구현하면 그 기능은 매킨토시나 리눅스에서는 이용이 불가능하게 된다는 것 자체를 모르는 무식한 프로그래머들이 너무나 많습니다.
정부에서 SEED를 키우기 위해 ActiveX를 밀게 됐다는 것, 사용자 인증 문제 때문에 쓸 수 밖에 없었다는 것 여러가지가 복합적으로 작용했지만 이렇게까지 나라 전체에 ActiveX 광풍이 일게 된 건 위에서 제가 말한 프로그래머들의 무지도 거의 40%정도 작용하지 않았나 생각합니다.
제가 말하고 싶은 건, 보안이나 사용자 인증하고 아무 관계도 없는 단순기능 구현에도 한국개발자들은 미친듯이 ActiveX를 남발해 댄다는 겁니다. 그리고 그렇게 아무런 의식 없이 남발해 대는 건 말한대로 ActiveX를 적용하면 다른 브라우저에서는 작동이 안 된다는 단순한 지식도 없어서 그런거죠. 정부의 '우리는 ms 없으면 못 살어'식의 의존적인 정책결정도 한 몫 했지만 프로그래머들의 무지도 함께 작용했다고 보여집니다. |
| |
ActiveX가 왜 이렇게까지 활성화되었는지를 더 생각해봐야할 듯... |
ActiveX[ 2007/01/19 ] |
|
국내에서 ActiveX는 불특정 다수를 위한 웹사이트외에도 매우 다양하게 쓰이고 있습니다. 기업용 시장에서도 ActiveX는 필수불가결한 존재가 되어버렸는 데요, 특히 PowerBuilder, Delphi, Visual Basic등 4GL이 장악했던 90년대와 달리 기업내 업무시스템의 Webifying 광풍이 분 2000년대초반부터 지금까지를 살펴보면, 기존에 사용하던 4GL기반의 C/S를 모두 웹으로 바꾸면서 UI는 그대로 가져가려는 기업들의 요구사항때문에 각종 ActiveX들이 쏟아진 면이 있습니다. 이러한 경향은 인터넷 뱅킹이나 전자정부에서의 보안, 레포팅관련 ActiveX와는 또다른 큰 경향이라고 볼 수 있습니다. 위의 본문은 이러한 점이 간과된 듯.
현재, 사용되고 활성화되고 있는 AJAX 및 관련기술로도 여전히 기업의 Grid, Chart외 수많은 UI Needs를 충족시키기에는 미흡함이 있고, Flash나 Flex역시 본질적으로 결국은 많이 퍼진 ActiveX에 불과한 것이지요.
특히나 국내기업들이 요구하는 업무시스템의 UI를 볼 때, 웹브라우져상에서 Runtime에서 UI동작이나 Data의 다양한 처리 Needs를 웹표준하에서 처리하기란 매우 어려운 것이 현실입니다.
요구가 부당한 것인지....대처가 잘못된 것이었는지는 명쾌하게 판단하기 어렵지만, 제공자나 사용자에게 중요한 것은 당장 사용가능하면서도 현실적인 해답이겠지요.
그런 면에서 애용된 ActiveX라고 봅니다.
예전에 수없이 시도되었던 JAVA Applet기반의 이러한 환경이 이미 겪었던 실패의 길을 감안하면...현재의 AJAX기반의 Web시스템이 개발자들에게 주는 어려움을 고려하면 더 깊고 멀리보는 해답을 찾아야할 것 같습니다. |
| |
당위성을 찾을수가 없습니다. |
댓글보다가[ 2007/01/19 ] |
|
브라우저의 SSL(서버인증서만의) 만으로는 사용자 인증 및 전자서명이 불가능했고... 국내 공인인증 정책은 우리나라의 인터넷 보안의 경쟁력을 올리는 중요한 역할을 해왔고... 금융 업무 환경에 지대한 도움을 주었다는 것은 인정해야 할 것... 전부다 어불성설입니다. 문제는 왜 ActiveX 이어야만 했는가? 입니다. 공인인증서? 좋습니다. 중요한것은 현재 우리나라의 공인인증서는 특정OS의 특정 브라우저만 지원한다는 것 입니다. 정통부 공무원들의 탁상행정과 수 많은 SI의 허접한 개발자들이 만들어낸 졸작 이라고 볼수 있죠... 그런 졸작을 가지고 우리나라 인터넷보안의 경쟁력을 높였다는둥... 국내 금융업무환경에 지대한 도움을 주었다는 말씀은 "우리나라 인터넷은 MS없으면 안돼" 라고 말씀하시는것 처럼 들립니다. 개발자들의 허접함과 관계부처의 안일한 태도가 오늘의 문제를 만든건 아닌지 생각해 봐야할때가 아닌가 합니다. |
| |
ActiveX는 보안 타개를 위해서만 사용된 것은 아닙니다. |
돌돌이[ 2007/01/19 ] |
|
웹에서 보다 시각적인 화면을 요청했을 때, 보다 빠른 처리를 요청했을 때 이러한 클라이언트 기술을 사용할 수 있게 해 주는 기능 역시 ActiveX(다른 제품은 plug-in 등)을 통해서 가능하게 됩니다. 지금 와서 Flash Player가 왜 ActiveX 나 Plug-in으로 개발되었는가를 질문하지 않게 되는 것 처럼 말이죠. 기사는 ActiveX라는 광범위한 적용 범주를 자칫 보안때문에 ActiveX를 사용하게 되었다는 것으로 좁게 인식시킬 수 있을 것 같아서 의견을 적습니다. 지금이야 PC 성능도 확실히 좋아졌고 JavaScript, DHTML, VML(또는 SGML) 등 웹 상에서만도 할 수 있는 일이 많아졌고 Web2.0 이다 해서 브라우저 활용을 극대화 하는 방안 등이 논의되고 있지만, 그런 것이 어려웠던 저 사양 PC 시절부터 지금의 그러한 기능을 가능하게 해 주는 XMLHTTP 까지가 모두 ActiveX 의 기술 도움을 받고 있다는 것은 부인할 수 없는 사실입니다. ActiveX의 진실이 너무 좁게만 비춰지지 않도록 이후의 내용을 기대하겠습니다. |
| |
국내 인터넷뱅킹 보안 모듈의 당위성. |
지나가다.[ 2007/01/19 ] |
|
국내 공인인증시스템 개발/도입 당시부터 깊게 관여했던 사람으로서 기사의 의도에 충분히 공감하면서도 약간의 부연을 붙여야 할 것 같아서 남깁니다. 1. 당시 SEED를 강요함으로써 국내 업체만이 시장에 진입할 수 있도록 한 것은 사실이나 당시의 분위기는 각 국가별 독자 알고리즘 활성화가 당연했었던 상황이었으며, 2. SEED가 아니더라도 브라우저의 SSL(서버인증서만의) 만으로는 사용자 인증 및 전자서명이 불가능했고, 3. 사용자 인증서를 사용한다고 했다면 유료로 인한 문제 및 발급절차 자체의 어려움(왠만한 일반인은 포기해야 할 듯)으로 과연 실용성이 있었을까요? 다 떠나서 국내 공인인증 정책은 우리나라의 인터넷 보안의 경쟁력을 올리는 중요한 역할을 해왔고 또한 국내 금융 업무 환경에 지대한 도움을 주었다는 것은 인정해야 할 것입니다. |
| |