관리 메뉴

미닉스의 작은 이야기들

[웹툰06] 공인인증서의 치명적 문제 2/2 본문

IT이야기 시즌2-도난당한 패스워드

[웹툰06] 공인인증서의 치명적 문제 2/2

미닉스 김인성 2012.09.18 23:04


이 페이지에 있던 보안 웹툰은 사정에 의해서 가리게 되었습니다.


그 이유가 궁금하신 분은 <여기>에서 확인하실 수 있습니다.


김인성.



저작자 표시 비영리 변경 금지
신고
178 Comments
  • 이전 댓글 더보기
  • 프로필사진 헐... 2013.07.19 05:21 신고 "클라이언트 환경을 완벽히 통제할 수 있는 장점이..." 이 문장을 보자말자 이건 보안쪽 일하는 사람이 아니던지 혹은 그냥 생각이 없는 사람이다 라는걸 알수 있었습니다.

    저 문장 자체가 클라이언트를 해킹하는거나 마찬가지다라는걸 알란가 몰겠네요.. 아니면 그냥 뒷돈 찔러주니깐 그렇게 하는게 더 좋겠다는 건가요?
  • 프로필사진 엔지니어? 2013.09.30 18:54 신고 보안쪽은 아니지만 컴터 S/W쪽 밥벌어먹는 사람으로서 엔지니어라는 분의 글.. 참 쪽팔리고 창피하네요. 정말 윗분 말씀대로 생각이 없는건지 보안쪽 일 하는 사람이 맞는건지라는 생각이 먼저 드는군요. 클라이언트 환경을 완벽히 통제한다는 표현이 해킹과 다를 게 뭐가 있는지요?
  • 프로필사진 바보들의 모임. 2013.10.14 14:42 신고 뭐.. 바보들이 모임인가 싶네요...
    컴퓨터를 완벽하게 컨트롤해야 보안이 가능하다고 하질 않나... SSL 하고 공인인증서하고 목적이 다르니 비교할 수 없다고 하질 않나... 바보들이가? 전자서명하고 SSL은 목적이 다르니 비교 불가라는데에 '나는 바보입니다' 라고 인증하는 꼴이란걸 모르는건지... ActiveX 가 왜 문제가 있는지에 대한 근본적인 이해도 없이 플러그인 OK 외쳐대는 꼴에 엔지니어라니...
    전문 문자 쓰면 전문가인가? 기술의 근본적인 통찰력이 없으니 한국 IT가 이 모양이지..
    부끄럽다.

    전자서명하고 SSL은 다르다? 코메디.. ㅋㅋㅋㅋ
  • 프로필사진 ;;; 2013.11.27 19:52 신고 … 기가막히는 만화군요…;; 저는 여러모로 부족한 IT 햇병아리였고 그나마도 지금은 하던 거 버리고 다른 공부를 하고 있는 처지이긴 합니다만, 이 만화를 그리시는분이 대체 어떤 분이신지 정말 궁금합니다. IT쪽 업무에 한번이라도 발 담그신 적이 있으신 분인가요?? 아니, 하다못해 코딩경력은 조금이라도 있으신 분인건가요?? 만화의 공인인증서의 취약점에 관한 내용자체에 대해서는 아닌 부분도 적잖기는해도 전반적으로 많이 동의합니다. 그리고 적어도 제가 알고지내던 선후배 엔지니어들은 다 하나같이 입을 모아 공인인증서에 문제가 많음을 지적합니다. 그런데 마치 IT 종사자들의 머리꼭대기 위에 있다는듯이 버젓히 남들보기에 오해할만한 말씀을 하시는 게─ 그것도 저 정도로 힘주어 강조하며 말씀하시는 게… 전 이미 떠난 입장인데도 한때의 IT 종사자로서 상당히 불쾌하군요 -_- 게다가… 거 참… 학부시절부터 비인간적일정도로 혹독하게 훈련받은 배테랑 엔지니어가 독학해서 본질을 파악한 변호사를 절대 이길 수 없다뇨… 법조인들은 절차적 정합성을 따지는 훈련이 되어있어서 IT분야같은 학문분야따위는 너무 쉽게 할 수 있다뇨…;; 엔지니어들의 정체성과 전문성을 무시하는 그런 심히 무례한 표현은 부디 자제해주시기를 부탁드리겠습니다 -_-
  • 프로필사진 10새 2014.11.08 23:48 신고 님이 알고 지내던 선후배 엔지니어들이 모두 하나같이 공인인증서의 문제를 지적하는데 왜 그노무 공인인증서가 개선되지 않는 걸까요? 사용자 입장에서 비웃지 않을 수가 없어요. 아시겠습니까? 그쪽 분들 불쾌할 염치가 있는지?
  • 프로필사진 ;;; 2015.03.13 03:36 신고 동문서답하시네요. 피땀흘려 실력쌓아놔서 현업에 종사하는 엔지니어들 능력없는 병신만드는 발언을 지적하는거지, 공인인증 누가 계속 해야된다고 말했습니까?? 그리고 사용자 사정이라는 게 있듯 현업 사정이라는 게 있습니다. 건들고싶어도 못 건드려서 오히려 이용자들보다도 훨씬 더 속터지는 게 엔지니어들이예요. 알지도못하는 주제에 염치라는 단어 함부로 꺼내지마십쇼
  • 프로필사진 지나가던공돌이 2013.11.27 23:21 신고 프로토콜 알고리즘 운운하기전에 이리와서 납땜부터 하시지요? 애매한 법 조항 해석하던 능력으로 어떤식으로 납땜하는지 보겠습니다.
  • 프로필사진 2013.11.28 09:43 신고 이댓글 수준이 모 이래요?
  • 프로필사진 2013.11.28 19:50 신고 엔지니어 입장에서는 저 웹툰을 보고 분개하는 게 지극히 정상입니다. 뭘 모르는 사람이 보기에는 논리적으로 보이겠지만, 프로그래밍이란 게 어떤 건지 조금이라도 아는 사람이라면 절대 입에서 나올 수 없는─ 말도 안 되고 말 같지도 않은 내용입니다. 저도 참 궁금하군요. 납땜은 제쳐두고라도 그 잘난 법학적 사고력으로 디버거도 필요없이 하찮은 코드따위 얼마나 잘 만질 줄 아는지 ㅋ
  • 프로필사진 공돌이 2014.04.10 19:03 신고 엔지니어 입장으로 당연히 저 웹툰을 보고 열받는게 정상입니다.

    적어도 소프트웨어에 대해, 하다못해 프로그래밍을 조금이라도 배웠다면 프로그래밍의 '모호성' 따위를 발언하는 내용이 있을 수가 없습니다.

    소프트웨어 내의 모든 알고리즘은 100% 수학적 논리적인 기반으로 이루어질 수 밖에 없습니다. 컴퓨터가 스스로 사고하는 능력이 없으니까요.
    그런데 변호사 들먹이면서 애매한 법 조항 어쩌구 하면서 IT 분야에 적용하려고 합니다. 아니 기본적으로 수학적 메카니즘이 깔려있는 S/W 도대체 어디에 '애매한' 게 있다는겁니까? 프로그램은 무조건 0 아니면 1입니다.

    그리고 제일 어이가 없는게,
    프로그램 오류 찾기를 프로그래머는 컴파일러에게 의존하고
    변호사는 코드 한 줄 한줄 코드를 점검하는 비유....
    컴파일 에러와 런타임 에러가 뭔지는 알고 이런 만화를 그렸는지조차 의심스럽습니다.
    런타임 에러가 나면 당연히 프로그래머도 에러가 난 코드 한 줄 한 줄 점검해야됩니다. 이건 프로그래밍을 해 봤으면 기본 상식 아닌가요?


    애초에 법 조항을 해석하는 능력을 알고리즘 분석하는 능력보다 더 뛰어난 능력으로 보고 있다는 것 부터 어이가 없군요. 두 경우는 완전히 다른 범주의 케이스입니다.


    공인인증서 문제 많고 국제표준을 따라야 하는 건 동의하지만
    다른 분들도 쓰셨듯이 SSL = 공인인증서 라고 하는 것도 황당하고
    뜬금없이 엔지니어 어쩌구 저쩌구 하는 것도 어이가 없네요.
  • 프로필사진 youknowit2 2013.11.29 00:57 신고 http://openweb.or.kr/?p=6534 (‘이공계 천시’의 제도적 구조) 이 글은 어떤가요?
  • 프로필사진 Favicon of http://minix.tistory.com BlogIcon 미닉스 김인성 2013.11.29 02:59 신고 ㅠㅠ
  • 프로필사진 지나가던 행인 2014.01.07 12:27 신고 만화보다 댓글이 더유용하군요 만화는 기본 배경 느낌을 본다고치면

    댓글은 그곳에 정보를 채워주는 역활은 한것같습니다

    그런데 댓글 중간중간에 "코드도 못짜는 주제에" "문과주제에" 뭐등등 여러가지 보기안좋은 덧글이 보이네요

    코드를 짜고 프로그램을 만질줄 아는 그 자신들이 기술과 신념 그리고 객관적인 장단점을 파악할수있는 머리를

    가지신분들이라면 저런 모욕적 말이나 비하하는 말보다는

    엔지니어님 처럼 상대방의 의견에 대한 의문 다른방법 제시 등 자신의 주장을 펼치는게 맞는거라고 생각합니다
    (저는 엔지니어님의 의견에 전체적으론 반하는 입장이지만 몇몇 주장은 공감하고있습니다)

    반대로 모욕적인 언사나 하면서 남을깍아내리고 자신을 높히려고 하는사람들은

    기술자 라기보다는 그저 위에서 시키는대로 불합리적인가를 따지지않으며 스스로 생각조차안하는

    코드 짜는 도구들과 다를바 없어보이네요 그리고 그러한 도구는 누구든 어느정도 교육을 받으면 될수있죠
  • 프로필사진 어렵군요 2014.02.14 05:16 신고 공인인증서를 대채할 수 있는 표준기술은 뭐가 있을까요?
    ssl은 용도가 다르잖아요?

    디지털 상에서 인감과같이 개인을 식별할 수 있는 기술에 대한 이야기가 없어서 아쉽네요.
  • 프로필사진 어렵다 2014.02.14 05:25 신고 은행보안 프로그램은 저도 짜증나지만 서비스의중요함에 대한 최소한의 노력이라고 생각되는데

    이러한 부분없이 사용자에게 보안에 대한 선택과 책임을 전적으로 맡겼을때 일반 사용자가 책임을 수긍할까요?

    불편하더라도 은행의 최소한의 노력(?)을 바랄거고 대응을 희망할거 같은데 어떻게 생각하시는지 궁금합니다.

    갑자기 정보유출건에 대해 정보 사용에 동의했으니 문제 없다는 누구의 망언이 생각나는건 왜일까요?
  • 프로필사진 리눅서 2014.03.07 18:02 신고 웹툰의 내용도 매우 유익해서 너무 좋았는데, 더 많은 정보와 시야를 제공하고 유익했던 부분은 여러 사람들의 덧글이라고 생각되네요.

    저 역시 IT 종사자로 SSL 암호화 구조가 궁금하여 찾아서 들어온 내용인데 생각 이상의 큰 수확을 얻어 갑니다.

    지금 저의 느낌을 부족하지만 글로 표현해보자면..

    "같이 일하며 더 많은 것들을 공부하고 경험하고 계속해서 많은 것들에 대해 토론해보고 싶다."

    지금의 저는 많이 부족하여 토론에 개입하지는 못하지만 미닉스님, 김아무개님, detective1님, 엔지니어님, ryubro님, youknowit님께서 남겨주신 고견 잘 보고 많이 배우고 가겠습니다.

    아참! 자주 들르겠습니다~ ^^

    p.s. 덧글 끝부분 쯤에 남겨진 "코딩 실력이 너무도 중요하신 분"은 소원없이 코딩만 하면서 살게 되시길 기원 드릴께요~
  • 프로필사진 BlogIcon 12 2014.03.26 20:46 신고 어떻게 ssl이랑 공인인증서랑 똑같다고 얘기를 할수가 있지? ssl은 암호화를 하기 위한 목적으로 서버가 인증서를 발급받는거고 공인인증서는 공증(전자서명)을 목적으로 사용자가 인증서를 발급받아서 비밀키로 거래내역에 서명을 하는건데?? 목적도 다르고 사용방법도 완전 다른데 어떻게 같단말이 나올수가.. 역시 이래서 어중간하게 배운 사람이라고 할수 밖에 없는거다 기술 하는 사람들중에서도 몇십년씩 일한 사람도 많고 천재들도 많고 정의로운 사람들도 얼마나 많은데 어떻게 다들 눈감고 있나?
  • 프로필사진 ㅎㅎㅎ 2014.06.11 01:39 신고 잘보고 갑니다. ㅎㅎ
    댓글에서 인격이 보이네요. ㅎㅎ
  • 프로필사진 2014.06.16 23:20 비밀댓글입니다
  • 프로필사진 기가막히고 코가막힌다 2014.07.09 19:17 신고 웹툰이 오래된거라 댓글을 지양하려했지만 도저히 분개해서 참을 수가 없네요.

    정말 현업에서 일하면서 엔지니어로써 느끼는 IT의 실상이 왜 이따위인지는 댓글 달아주신 몇몇 분들을 통해 왜 그런지 정말 잘 알겠습니다.

    논리를 얘기해도 논리의 정의부터 모르고 논리를 따지고 있으니 1+1=2가 왜 되는지부터 공부해야 될 분이 많이 보이구요, 열심히 답글로써 이해시키려는 노력은 어찌보면 허망한 궤변 DDos에 당하는꼴이라고 볼 수 있습니다.

    논리전개에 논리가 안맞는 이야기를 근거로 들어 대답을 반복하는 것은 논리가 정확해야 되는 사실적 관계들이 어지럽게 나열된 이 상황에서 하나하나 논리성을 검증해 나가기가기에 지치는 부분을 이용하여 궤변을 펼친다고 생각합니다. 결국 현업에서 해당 기술들로 밥벌이 하시는 분들의 밥줄 지키기로 밖에 안보여 집니다.

    저도 나름 보안업계에 몸담아 살아왔는데 보안이라는게 [정의]의 개념을 포함하고 있어보이지만 사실은 그냥 [침입에 대한 대응]의 방법론일뿐 [정의] 개념은 많이 부존재한다는걸 느꼈습니다.
    [보안]의 객체가 되는 고객보다 돈벌이에 더 집중하여 일이 진행되는걸 더 많이 봤거든요.

    어쨌거나 저의 이런 얘기들도 결국 타인이보면 개인적인 경험과 의견일 뿐 대단한 글도 아니죠.

    글 읽다 답답해서 한자 적고 가는 수준입니다만
    그래도 분명한건 웹툰을 통해 옳은 방향으로 나아가시려는 여러 분들이 많이 계시다는 것은 확인 할 수 있어 그래도 미래가 어둡지만은 않다는 점을 가져갑니다.
  • 프로필사진 BlogIcon 지나가던 2014.08.09 03:19 신고 키체인이고 뭐고 전부 관리자 권한이 있으면 평문을 그대로 볼수있습니다.. 좀비로 만든 피씨라면 그정도는 쉽겠죠
  • 프로필사진 10새 2014.11.08 23:42 신고 엔지니어님을 비롯하여 이 만화의 주장 내용과 태도에 분기탱천하는 분들이 참 많네요.
    근데 그렇게 많은 현직자들이 스스로 개선해야 할 부분이 있다고 하면서도 현실은 변하지 않는 거죠?
    이 글에 리플로 잘났다고 떠들어봤자 너네들이 하는 일은 액티브X 현상유지밖에 없잖아요
    엔지니어님 외 기타 빡친 님들.. 안그렇습니까? 나같으면 그런 리플 안 달고 일이나 하겠네요 어휴
  • 프로필사진 한밤중 2015.01.28 11:26 신고 저도 IT 분야에 종사하고 있고 분야는 보안쪽은 아니지만 서버 일을 하고 있습니다.
    전체적으로 읽어 보면 좀 답답해요.

    나도 문제는 알고 있고, 그치만 이것도 나쁜 것만은 아니고.. 대안을 찾고 싶고. 한국말이 참 어렵고..
    한국말이 어려운게 아니라 본인의 생각이 한발짝 더 나아가지 않을 뿐입니다.

    길게들 써놓으셨지만 도대체 무슨 말을 하는지...

    우리의 현재 보안 문제가 정체되고 발전하지 못하는 이유가 저는 정치적인 이유인줄말 알고 있었는데,
    여기 댓글들을 보니 소위 보안업계에 종사한다는 분들이 저런 생각들을 하고 있으니..

    제발 여기 댓글로 도배를 하신 분들이 보안업계의 '소수'이길 간절히 바랄 뿐입니다.
  • 프로필사진 dog horn 2015.02.23 08:58 신고 2015년 현재,
    아직까지도 쓸모없어보이는 보안 관련 플러그인들이 활개치고있습니다.
    키보드보안에 먼 악성코드 방지에 뭐시기거시기...

    얼마나더 설치해야 하는거야~
  • 프로필사진 지나가던 농대생 2015.04.08 01:47 신고 이 글을 보면서 드는 생각이 있는데요, 현재 사용하는 공인인증서 방식에 지분인식 보안토큰을 사용하게 하는 방법은 어떤 것 같나요?
    이 웹툰에서도 보안토큰에 대해서는 안전하다고 말한 것 같은데요
    공인인증서의 취약점이 사용자가 보관하기 때문이라면 국가적으로 보안토큰보급에 힘쓰면 될 것 같아요.
    (물론 사용자의 불편이 증가되기는 하겠지만 SSL과 공인인증서의 목적이 다르다고 어떤 분이 댓글로 말하셨으므로 이 때를 고려해서 하는 말입니다)
  • 프로필사진 BlogIcon 법학자이자 프로그래머 2016.03.10 17:39 신고 공감합니다. 허나 it분야가 법학보다 쉽다라..? 솔직히 이건 공감못하겠네요. 법학이 분명 모호한 학문이긴하나 결국은 판례로 향하기때문에 해석은 판례의 따라 해석될수뿐이 없습니다. 아무리 학설로 떠들든 우기든 결국은 판례대로 해석될수 뿐이없는 학문입니다. 하지만 it쪽은 정확한답이 없습니다. 분명 문제를 해결하기위해 정답은 있겠죠 허나 그정답에 도달하는 과정의 분명 다들 차이가 있습니다. 그런면에 법학보다 더 모호하다고 볼수도있습니다. 허나 법학은 it분야보다 더간단합니다. 어떤 사건이있다면 그사건의 정답은 반드시 똑같습니다. 도달과정도 차이가 거의없고요 판례를 뒤집거나 전원합의체가 아닌이상은요. 일부 엔지니어때문이라고는 하지만 it분야를 너무 무시하시는듯 합니다 물론 두학문의 우위를 나눌수는없겠지만요
  • 프로필사진 Favicon of http://minix.tistory.com BlogIcon 미닉스 김인성 2016.03.10 20:25 신고 공인인증서, 액티브엑스 문제는 기술적인 부분뿐만 아니라 그 위에 존재하는 제도적, 법적, 상업적, 관습적인 부분까지 모두 포괄해서 말해야 합니다.

    엔지니어들이 기술적인 부분만을 강조하고 있지만 애초에 기술 이외의 부분에 대한 이해가 없기 때문에 엔지니어 사이드에서 제도 개선을 위해 나서는 분이 없는 것입니다.

    실제로 한국의 보안 현실에 대해 제대로 된 문제 제기하고 있는 분들은 법률가들 뿐입니다. 이들이 인간 사회에 대한 이해를 바탕으로 기술적인 부분 이외의 문제점을 논증해 왔습니다.

    김기창 교수님은 여기에 더해 스스로 기술적인 부분까지 공부해서 그 어떤 엔지니어에 뒤지지 않는 기술적인 이해를 하고 있습니다. 이 것은 제가 직접 확인한 사항입니다.

    여태까지 저는 기술적인 관점에서 한국의 보안 현실의 문제점을 제대로 파악하고 있는 엔지니어를 만나 본 적이 없습니다. 각각의 기술에 대해 이해하고 있을지는 몰라도 종합적으로 판단하는 사람은 없었습니다.

    극히 일부 그런 분들이 있기는 했지만 그들도 제도적, 정책적, 사회적 관점에서 문제를 바라보는 사람은 전무했습니다.

    제가 만났던 분들 중에서 유일하게 김기창 교수님만 기술적인 부분까지 포함해서 총체적인 이해를 하고 있었습니다.

    제가 이를 정확하게 만화에 표현하지 못해서 이런 오해를 만든 것이라고 생각합니다.

    보안 만화 개정판을 낼 예정인데 이 부분에 대해서 좀 더 명확하게 손 보도록 하겠습니다.
댓글쓰기 폼