DDoS 공격의 근본적인 해결 방법

DDoS 공격때문에 청와대를 비롯해 많은 사이트들이 멈추었고, 수사한다고 온 정부기관이 난리고, 국정원은 얼씨구나 기회다라며 친북세력들이 한거라고 오바질중이고…난장판이다. 트위터에서는 “정부가 이번 기회에 인터넷 규제를 더 강화하는거 아니냐”라는 왠지 그럴듯한 걱정도 앞서고 있다.

뭐…사건이야 언젠가는 해결될테고, 이런 문제가 반복되는것을 막을 근본적인 해결방법은 무엇일까? 가장 중요한건 국내에 좀비PC가 몇일만에 몇만대가 되는것을 막아야 한다.

이를 막기 위해서는

  1. 국내 웹사이트에서 ActiveX 사용을 멈추어야 한다.
  2. IE6등 구형웹브라우저를 퇴출시키도록 캠페인하고, 파이어폭스등 기반이 다른 웹브라우저도 어느정도 점유율을 확보해야 한다
  3. 사람들에게 보안업데이트와 백신의 사용을 적극 홍보하고 권해야 한다

우리나라 사람들은 뭔가 노란 경고창이 뜨면 조건 ‘설치’를 누른다. ActiveX의 설치를 허가하지 않으면 웹사이트 이용 자체가 불가능한것이 학습화 되었기 때문에, 세밀한 내용을 확인도 하지 않고 확인해주는 것이다. 보안 경고 시스템이 국민들의 버릇에 의해 무력화 된것이다.

우리나라 사람들은 IE의 점유율이 98%이고, 그중 50%이상이 오래되고 보안이 취약한 IE6이다. 한가지 플랫폼에 단일화 되어 있으면 한가지 침입방법에 모든 국민이 당한다. 다양성은 보안에 매우 효과적인 요소이다. 따라서 파이어폭스등의 제2,3브라우저가 외국처럼 어느정도 점유율을 차지해야 극적인 감염이 확산을 막을 수 있다.

우리나라 사람들은 윈도가 문제생기거나 느려진다면서 보안업데이트도 안한다. 서비스팩도 안깐다. 백신도 거의 안깐다. 은행사이트에 들어갔다 나와서 보안 플러그인을 실행시킨다든지 하는 말도 안되는 보안상식이 팽배해 있다.

덕분에 각종 커뮤니티에 ‘해킹’이라고 검색해봐라 정말 하루에도 게임이나 웹서비스 계정을 해킹당했다는
사람들 수두룩하다. 대부분 자신의 비밀번호 관리를 잘못했거나, PC에 보안이 뚫려서 비밀번호가 노출된것이다.

이런 문제가 빨리 해결되지 않으면, 우리나라는 좀비 PC가 1,2만은 우습게 발생하는 나라가 될것이다. 해킹 사고만 터지면 해외 서비스들이 중국과 함께 IP차단해버리는 나라가 되고 싶지 않다면, 서둘러야 한다.

관련뉴스 : 미국, 공격 경유지 한국 지목, 트래픽 차단 조치

게이머님들, 은행 보안프로그램을 믿지 마세요.

어쩌다 알게 된 온라인 게임 머저리 어린 놈친구A가 갑자기 쪽지를 보내왔습니다.

A : “드라코님, 저 계정 해킹당했어요. + (‘팬티만 입은 캐릭터로 징징거림’으로 요약가능한 약 2KB의 메시지)

Draco : “저런, 안되셨네요. 넥X은 복구 안해주던데”

A : “그러게요. 어떻게 해킹당했는지 모르겠어요. 정말 많이 조심했는데”

Draco : “PC방에서 바이러스 걸린 컴퓨터를 쓴거 아니에요?”

A : “그건 아니에요. 게임 들어가기 전에 XX은행 사이트에 먼저 접속해본다구요”

Draco : “……”

정말 할말을 잃었습니다.

은행의 보안용 프로그램은, 은행 사이트에 접속했을때만, 은행 웹페이지만 보호해줍니다. 운영체제에 게임을 타겟으로 하는 바이러스가 걸려 있는지는 그 보안 프로그램의 관심사항이 아닙니다.

누가 게임 계정의 안전을 위해 은행사이트에 들어가보라는 말도 안되는 팁을 처음 퍼트린겁니까? 잘난척 하려고 퍼트린 추측성 팁이 얼마나 많은 사람들에게 피해를 줬을까요.

게임은 믿을수 있는 백신이 설치된 컴퓨터에서만 하고, 그렇지 않을때는 OTP등 확실한 인증 시스템과 스크린 키보드등을 사용하세요.

Internet Explorer 8 정식버전 사용기

사용자 삽입 이미지

  • 기본적으로 RC1 버전과 큰 차이는 없어보입니다.
  • IE7에 비해 엄청나게 빠릅니다. 페이지 로딩 속도는 확장기능을 안깐 파이어폭스3와 비슷하고, 프로그램 실행은 더블클릭하는 순간 뜹니다.
  • 파이어폭스에서 기본기능이나 확장기능으로 편하게 쓰던 기능들(불안정한 종료시 복구, 피싱사이트 경고, 주소에서 도메인강조, 탭 색상 표시 등등) 이 기본으로 설치되어 있네요.
    사용자 삽입 이미지
  • 파이어폭스에서는 제대로 나왔는데 IE에서는 조금 틀리게 나오던 스타일들이 파이어폭스와 거의 근접하게 렌더링 되는게 흥미롭습니다. 파이어폭스에서 깨지던 사이트들이 비슷한 모양으로 깨지는 경우가 종종 보이네요. IE6,7이 없어지기만 하면 -_- 웹개발자들은 편해질듯. (반대로 IE8에서만 혼자 깨지는 경우도 있습니다만…-_- CSS핵이 있겠죠.)
  • 기존의 IE7에서 멀쩡하던 페이지들중 깨지거나 작동하지 않는게 많습니다.  웹페이지 관리자들 바쁠거 같습니다. (그런데 어제 RC1버전으로는 깨지던 사이트가 벌써 오늘은 멀쩡하게 보이는 페이지들이 보입니다. 그리고 그런 페이지들은 여전히 파이어폭스에서 깨지네요 -_-; 어떻게 한거냐…)
  • Acid2는 패스. Acid3는 19점이 나오네요. 19점도 아주 느릿느릿 점수가 올라가다 멈춥니다. 이래놓고 웹표준 준수하는 웹브라우저라고 동네 방네 떠들고 있습니다.
    사용자 삽입 이미지
  • 설치할때 기본 검색 공급자를 “구글”로 유지하라고 선택했는데, Live Search로 바뀌어 있군요…음…
  • “호환성보기”버튼은 IE8의 일종의 독입니다. 고육지책이죠. 그나마 다른 사이트로 이동하면 자동으로 풀리게 되어 있으니 다행이랄까요.
  • 탭기능이 IE7의 기본값보다 더 효율적으로 설정되어 있습니다. 탭기능을 거의 안쓰던 사람들도 이제 IE8을 쓰면 탭기능을 익히게 될거 같습니다. (대신 이게 뭐냐고 욕나올지도)
  • 소스보기가 아주 보기 좋게 바뀌었네요. 개발자 도구도 유용할것 같고. 마음에 듭니다.
  • 피싱 사이트 확인 기능인 스마트스크린이 종종 사용할수 없다고 에러를 냅니다. 갑자기 트래픽이 몰리나…
  • InPrivate 필터링 기능은 잘 사용하면 유용할거 같은데….개념이나 사용법이 잘 안 와닿습니다. -_-
  • 다른 액티브X는 확인해보지 못했고, BC카드 사이트를 로그인 해봤는데, 로그인이나 사용상의 큰 문제는 없었습니다. 다만 계속 보안을 위해 일부기능이 차단되었다는 노란색 경고와 첫페이지로 갑자기 이동하거나 페이지 일부가 잘려 나오는등의 문제가 있었습니다.
  • 자…어느정도 테스트해 봤으니 전 다시 파이어폭스로…ㅎㅎㅎ

국정원 ActiveX 삭제유틸 CleanAX 사용해보기

국가정보원에서 운영하는 국가사이버안전센터에서 안쓰는 ActiveX 를 삭제해주는 CleanAX라는 유틸리티를 배포중입니다. http://service1.nis.go.kr/ 에서 다운로드 할수 있습니다.

개인적으로 국가정보원에 대한 이미지가 무척 안좋지만 – 오래전에 아는 분이 그 동네 홈페이지를 만드는 일을 해주다가, 관계자에게 폭행을 당했다죠 – 정부에서 ActiveX가 안좋은걸 인식하고 행동에 옮기고 있다는 긍정적인 의미도 있는거 같아 받아봤습니다.

설치하고 실행하면 이런 화면이 나옵니다.
사용자 삽입 이미지….아이콘이고 화면이고 참 유치뽕짝입니다. “나 정부에서 만들었어요” 냄새가 풀풀.

확인 버튼을 누르면

사용자 삽입 이미지인터페이스는 단순합니다.
일정기간 사용하지 않은 Active똥을 검색해주고, 그 기간을 60일, 30일, 15일로 설정할 수 있습니다. 검색된 결과중에 원하는 것들을 선택해 삭제할 수 있구요.
여전히 구성이나 아이콘이나 색이나 유치하지만, 단순하고 실수할 여지는 없어 좋습니다.

사용자 삽입 이미지
잘 삭제 되었다고 합니다.
국정원 프로그램이라고 해서 제 컴퓨터를 잡아먹지는 않은 모양입니다. (잡아먹어봐야 가상머신이지만)

액티브엑스를 잘 지워주는건 좋은데, 근본적으로 우리나라 웹사이트들이 남용하지 않도록 권고해주었으면 좋겠군요. 국정원도 괜히 결제시 보안기준같은거 마련해서 이것저것 깔리게 한 원흉중 하나거든요.

Active X와 관련된 상반된 두 기사

오늘 인터넷 뉴스를 보다가 상반된 느낌을 주는 두 기사를 보았습니다.

파이어폭스 제작자 “한국, 액티브X 벗어나야”

베이커 회장은 19일 기자간담회를 갖고 “외국에서는 사라져가는 액티브X를 유독 한국만이 고집하고 있다. MS조차 액티브X를 줄여가고 있다”며 “한국이 다른 브라우저는 몰라도 앞으로 나올 익스플로러라도 제대로 쓰려면 이제 액티브X에서 벗어나려는 노력이 필요하다”고 강조했다.

파이어폭스3의 출시와 관련해서 여러 내용의 인터뷰입니다. 마지막에 한국에서 유독 낮은 파이어폭스 점유율의 범인으로 액티브 X를 지목하죠. 파이어폭스 네이버버전에 대한 이야기도 있습니다.

“풀브라우저 한계를 극복하라”

LG텔레콤 최고재무관리자(CFO) 김상돈 상무는 지난 1분기 실적발표 컨퍼런스 콜에서…(중략) “향후 모바일에 맞는 액티브X를 개발하고, 웹사이트 사업자와 협력을 통해 최적화를 추진할 것”라고 밝혔다.

모바일 관련 화두인 “모바일환경에서의 결제와 RIA”에 대한 이야기입니다. 개인적으로 저분이 이야기한 액티브X가 ‘모바일도 액티브 X를 돌리자’인지 ‘모바일에서 액티브 X역할을 하는 기능을 구현하겠다’인지 애매합니다. 하지만 어째튼 ‘액티브 X’를 당연하다는 듯이 생각하는 것이나 웹표준적인 지향과는 거리가 먼것은 분명해 보입니다.

이 놈의 액티브 X 싸그리 사라졌으면 속 시원하겠군요.
요즘은 외국 쇼핑몰 사이트가…영어의 장벽에도 불구하고 훨씬 편하게 느껴질 정도입니다.

PS.
저 자신도 남의 웹사이트 만들어주다보면…
“팝업 공지창 뜨게 해주세요”라던가
“방문자 몰래 프로그램이 돌아가서 정보를 가져오게 못할까요?”
라는 어이없는 요청을 자주 듣는 상황인데….

사이트 만드는 사람은 그냥 관리나 행정적인 편의성으로 비표준을 남발하고
사이트 사용하는 사람은 그냥 그러려니 하는게 이미 보편화 된게 아닐까 싶기도 합니다. -_-

ActiveX와 인증서의 경제적 문제점.

우리나라에서 쇼핑몰 결제나 금융업무, 본인확인등을 온라인 상에서 하려면 ActiveX와 인증서를 사용해야 합니다. 액티브X는 보안프로그램과 인증서 확인 프로그램을 설치하고 작동하는데 사용하죠. 이 방식은 여러가지 문제점이 있는데, 가장 많이 거론되는것이 윈도+IE조합이 아니면 사용할 수 없다는 것입니다. 지금까지 오픈웹운동이나 웹표준쪽의 여러 주장이 있었지만, 대부분은 그런 호환성과 관련해서 소수의 이용자가 불편을 겪고 있다는 쪽으로 공략(?)을 하고 있습니다.

개인적인 생각이지만, 조금 다른 방향에서 접근하는 시각도 있었으면 합니다. “너희들은 벌 돈을 못벌고 있어”라고 외쳐주는 겁니다.

인터넷 쇼핑몰의 상당수는 액티브X와 인증서문제로 상당히 비효율적인 결제과정을 거칩니다. 예) 저같은 컴퓨터 경력 20년되어 가는 사람도 헤매는데, 다른 사람들은 오죽하겠습니까. 비효율적인 방식으로 인해, 손님들의 시간을 뺏고, 접근성이 떨어져서 결국 잠재적인 매출의 감소를 일으키고 있습니다. 외국 쇼핑몰에서 몇번 결제를 해봤더니, 너무나 간편해서 지르는 재미까지 생기더군요 -_-;

인터넷 뱅킹은 어떻습니까? 블로그나 게시판들을 보면, 보안 프로그램이 꼬여서 인터넷 뱅킹을 이용 못했다는 사람들이 수도 없이 많습니다. 만약 그들이 컴퓨터가지고 고생하는 시간을 줄여준다면 은행은 훨씬 많은 거래를 할 수 있고 필요없는 서버처리나 고객지원도 줄어들겁니다.

컴퓨터의 보안상태도 문제입니다. 사람들이 액티브X를 설치해야 결제를 할 수 있다는 훈련을 받은 결과, 위험한 액티브 X 설치메시지에도 습관적으로 OK를 눌러버립니다. 몇년간 아는 사람이 컴퓨터가 안된다느니, 느리다느니 해서 보면 항상 덕지덕지 깔려있는 액티브X나 그에 딸려 설치된 관련프로그램이 주원인입니다.

더 아이러니한건, 이러한 손실을 일으키는 댓가로, 많은 사장님들이 인터넷 보안결제 회사들에게 사용료를 지불하고 있다는 겁니다. -_- 보안 프로그램과 인증서를 쓰게 되어 있으니 어쩔수 없는겁니다.

우리나라의 인구는 정보산업을 발전시키기에도 너무나도 적은 인구입니다. 미국,중국,인도의 IT발전을 보면 인구의 힘을 알수 있습니다. 적은 인구로 발전을 이룩하려면 장애가 적고 효율적인 시스템을 채용해야 합니다. 그런데 지금의 액티브X와 인증서 방식은, 문짝에 드나드는데 구식자물쇠 여러개 달아놓은 셈입니다. 빨리 쉽고 빠른 카드식 디지털 자물쇠로 바꿔야 합니다. 이건 얼마 안되는 맥이나 리눅스 유저들이 결제를 할수 있느냐의 문제가 아니라, 수백만~천만이 넘는 대상으로 하는 문제입니다.

저만 이런 생각한게 아니라, 많은 분들이 같은 생각을 하셨겠지만, 액티브 X의 기회비용 손실에 대한 연구결과 같은게 있나 해서 이리저리 찾아봤는데, 별로 건질게 없더군요. 관련 업계나 연구하시는 분들이 더 자료를 모으고 개선점을 모색했으면 좋겠습니다.

ps.
2MB 대통령은 이런데나 좀 실용적으로 접근해보지…

ps.
원래 이런건 업체들이 먼저 나서서 시정을 요구해야 할거 같은데…우리나라 업체들은 너무 착한가(?)