관리 메뉴

미닉스의 작은 이야기들

[웹툰14] 액티브엑스 - 한국 보안을 망친 주범 2/3 본문

IT이야기 시즌2-도난당한 패스워드

[웹툰14] 액티브엑스 - 한국 보안을 망친 주범 2/3

미닉스 김인성 2013.03.21 17:00


이 페이지에 있던 보안 웹툰은 사정에 의해서 가리게 되었습니다.


그 이유가 궁금하신 분은 <여기>에서 확인하실 수 있습니다.


김인성.



저작자 표시 비영리 변경 금지
신고
23 Comments
  • 프로필사진 ex 2013.03.21 20:20 신고 전혀 사실관계가 검증되지 않은 이야기군요.
  • 프로필사진 Favicon of http://kofpw.wo.to BlogIcon Believer 2013.03.21 21:48 신고 다른건 몰라도 저 안에서 표현하는 프로그램간의 기능차이는 정확하게 묘사하고 있는데요.
    M$가 베이퍼웨어로 먹고 살았다는건 낭설이 아님은 조금만 관심있어도 흔히 들어볼 수 있는 이야기였고 엑티브엑스가 자바를 견제했다는 사실이 아니란건가요? 어디가 입증이 필요하신건지 그게 더 궁금하네요

  • 프로필사진 DoubleD 2013.03.28 18:17 신고 ActiveX는 Java보다는 넷스케이프에 있던 플러그인을 견제하기 위해서 나온 기술입니다. 비슷한 개념이 다른 브라우저에도 있어요.
  • 프로필사진 Favicon of http://gcempire.tistory.com BlogIcon 썰렁황제 2013.06.20 10:37 신고 미소가 Java 를 정말 견제하려 했다면, 액티브액스 개발 후 자바를 넣지 않겠죠. 하지만 마소는 Java 초창기부터 라이센스를 맺어 지속적으로 자사용 Java 를 개발해왔으며, 오히려 자기네 플랫폼에 편입시키려고 이러저런 규격을 개발하기도 했습니다. 액티브X 를 자바 대체제로 만들려 했다면 저런 행보를 보이지 않았겠죠.
  • 프로필사진 지나던.. 2014.11.07 23:08 신고 Netscape Plug-in VS. ActiveX
    javascript VS. Jscript
    java VS. C#

    으로 보는 것이 좀 더 맞겠습니다.

    java는 programming 언어였고. ActiveX는 웹 브라우져에서 추가 기능을 사용하기 위한 장치였으니 서로 같은 위치에서 비교할 수 없다고 봅니다.
  • 프로필사진 sg 2013.03.21 23:40 신고 active x지금 와서는 욕먹을 물건이지만
    그 당시에 브라우저와 피씨를 구분한다거나 하는게 있었나? 그런 개념 자체가 나오기 전의 물건을 가지고 이제와서 비판하면 안되지
    더군다나 엑티브엑스는 이제 공식적으로 윈도우에서도 지원안하겠다고 한 물건인데.

    그리고 마소가 완전 비밀주의로 간다고 주장하고 있지만 자기 어플리케이션에 대한 api를 제일 잘 제공하던 회사중 하나였고 지금도 잘 제공함. 내부 구현은 비밀로 하는게 문제라면 문제지만
    덕분에 오픈오피스 나올때까지 쓸만한 오피스 프로그램중에 api공개된건 마소 하나였고

    그리고 json이 나오기 전에 네트워크의 대부분을 지배하던 xml의 표준화도 마소가 엄청 기여함.
    이 부분에서 마소가 욕먹을만한건 자기가 정한 표준을 버리고 새로 표준 만드는 일을 너무 자주했다는것이지 표준화에 관심 자체가 없었던건 아님
  • 프로필사진 동동 2013.03.22 01:55 신고 액티브엑스는 당시 넷스케이프의 플러그인 시스템에 대한 견제라고 보는게 옳겠죠. 당시 넷스케이프가 인기를 끌었던 가장 큰 이유중 하나가 바로 타 브라우저에서 지원되지 않는 플러그인 시스템이었으니깐요. (이는 이후 NPAPI라는 이름으로 타 브라우저도 사용하게 됩니다) 1세대 브라우저격인 오라클의 파워브라우저나 썬의 핫자바, 심지어 오페라조차 이 당시엔 플러그인을 지원할수 없었습니다. 넷스케이프에서만 구현됐었으니깐요.

    보안적인 문제는 "매우" 컸지만 한편으로는 당시 환경에서 가장 편하기도 했습니다. 아시다시피 당시엔 광대역 네트워크가 지금처럼 보급되지 않고 대부분은 전화접속 네트워킹을 통한 56Kbps 정도의 접속환경이 주류였는데, 이 환경에서 최소 수 메가에 이르는 넷스케이프 플러그인 환경은 상당히 쓰기가 힘들었습니다. 웹페이지 하나 띄우는데만도 분단위로 걸리는 상황에서 플러그인 하나 설치하려면 또 플러그인 제조사 웹사이트로 따로 들어가서 프로그램을 수십분간 다운받고 다시 해당 웹사이트에 접속하는건 너무나도 오래 걸렸거든요. 아마 이때문에 올드유저들중 상당수는 이 플러그인을 모아놓은 잡지 부록 CD같은것들을 가지고 있었을겁니다.

    반면 액티브엑스는 이런게 없었죠. 심지어 언인스톨러마저 없을 정도의 작은 실행 용량은 굳이 확장기능을 사용하기 위해 따로 웹사이트에 접속할 필요 없이 바로 사용이 가능했으니깐요.

    다만 확실히 보안은 문제였습니다. 지금 이것저것 물어보고 UAC 띄우고 하는것과 달리 처음의 ActiveX는 심지어 설치할까 물어보는 과정조차 없었으니깐요.

    자바의 경우 솔직히 당시엔 써먹을만한 물건이 "전혀" 아니었습니다. 그 이유는 너무 무거웠어요. 프로세서 속도가 GHz를 넘나드는 지금도 가상화기반 기술은 때로 엄청난 성능하락을 보여주는데, 처음 등장시 1~200 "MHz"에 불과했던 당시 하드웨어 성능으로는 사용하기 만만한 물건이 전혀 아니었습니다. 아주 간단한 자바 애플릿이 들어간 웹사이트조차 당시 컴퓨터에선 컴퓨터가 멎을 정도였으니깐요.

    플래시 역시 마찬가지입니다. 지금이야 플래시가 가히 개발언어와 맞먹을 정도로 덩치가 커졌지만, 액티브엑스가 나올 당시의 플래시는 거창한 API라기보다는 단순한 벡터 애니메이션 재생도구에 불과했어요. 애시당초 목적 자체가 낮은 대역폭에서 비트맵 이미지로는 감당하기 힘드니 그걸 용량이 작은 벡터 데이터로 바꿔서 구현하자는게 처음 플래시의 용도였죠.
  • 프로필사진 Favicon of http://lasetron.tistory.com BlogIcon Lasetron 2013.03.22 03:05 신고 동동님의 의견에 동의합니다.
    자바가 애플릿으로 사람들의 이목을 끄는데 성공했지만,
    너무 무겁고 느려서 쓸만한 기술은 아니었습니다.

    당시에 웹게임 벤처로 한 회사는 ActiveX를.. 다른 한 회사는 자바 애플릿을 사용했었습니다.
    그중 ActiveX를 사용한 회사가 성공했고..그 업체 이름은 한게임입니다.

    자바가 성공한 곳은 애플릿쪽이 아니라 서버쪽이었습니다.
  • 프로필사진 Favicon of http://garambit.dam.so BlogIcon 가람빛 2013.03.23 03:36 신고 그러고보니 ActiveX를 검사하는 백신은 단 한번도 보지 못했네요;;
  • 프로필사진 iruis 2013.04.05 18:17 신고 내용을 보다보니 다른 브라우저에서의 문제 가능성은 빠져있는 느낌이듭니다.

    아무리 다른 브라우저는 액티브엑스를 지원하지 않는다 해도 자바를 통해서 하드웨어 사양 검색이 가능하며, NS계열의 플러그인으로도 PC 프로그램을 실행할 수 있거든요. (마영전을 아무런 생각 없이 파폭으로 실행하고 나서 적지않게 충격이였숩니다) 다르게 말하면 넷스케이프 기반 브라우저도 충분히 악성코드가 네이티브로 돌아갈 여지가 있습니다.

    그리고 사용자가 플러그인이니 액티브엑스를 설치하도록 질문을 한다고해도 결정적으로 보통 사람들은 이게 뭔지 모르겠지만 필요하니 설치를 한다는 것입니다.

    익스 6,7시절, 8이나 9도 취약점을 사용하면 사용자 동의 없이 악성코드가 설치될 수 있지만 이게 타 브라우저라고 해도 취약점이 없다 하기 힘드네요.

    많이 쓰고 점유율이 높으면 당연히 그쪽으로 침투하려고 시도를 많이합니다. 다른 라우저가 점유율이 더 놓았으면 NS계열의 플러그인으로 많은 악성코드가 나왔겠죠. (실제로 애플은 자바의 보안 취약점 때문에 종종 특정버전 이전의 자바가 깔려있으면 자체적으로 브라우저에서 차단합니다.)

    결정적으로 액티브엑스가 있으니 보안이 더 취약해졌다는건 동의하나 그것이 있기에 우리나라의 피씨 보안을 취약하게 만들었고 플러그인은 안전하다고 하기 힘들어보입다. 플러그인으로도 이미 익스플로러에서 가능한걸 취약점이나 직접적으로 설치를 유도해서 같은 문제가 발생 했을테니까요. 그냥 액티브엑스의 역사를 주제로 그리셨으면 좋았을거 같습니다.
  • 프로필사진 Favicon of http://archwin.net BlogIcon archmond 2013.04.10 11:11 신고 Active X 기술 자체가 문제가 아니라 그걸 남용하고 있는 대한민국 현실이 문제죠.
    칼 자체가 문제입니까? 그걸 살인도구로 쓰는 사람들이 문제죠.
  • 프로필사진 Favicon of http://garambit.dam.so BlogIcon 가람빛 2013.06.21 00:20 신고 그렇죠..
  • 프로필사진 Favicon of http://azurenote.com BlogIcon azurenote 2013.04.25 00:59 신고 이번 연재분은 비약이 아주 많이 심합니다. 일단 끝편까지 보고 나서 논해야겠지만
    혹시라도 잘 모르는 사람이 보고 이상한 쪽으로 오해를 할 까봐 우려되는군요.
  • 프로필사진 Favicon of http://binworld.kr BlogIcon BinGoon 2013.07.05 20:24 신고 저는 IT에 관심이 많은 학생입니다.^ 가끔와서 만화로 되어있는 IT 이야기를 자주 읽는데
    오랜만에 들어왔다가 한국 IT 이야기 만화를 보게 되었네요.
    보면서 다른 것은 잘 모르나 인터넷 익스플로러를 끼워팔기 하면서 넷츠케이프가 망했다는 사실을 알고 있구요.

    뭔가 문맥은 이상하지만... 저도 잘 모르지만 윗분들 말씀에 공감하고 싶습니다.
    ActiveX가 꼭 나쁜것 많은 아니였다고 생각해요, 그 당시 기술적인 문제도 있었을 것 같구요.
    지금 구글 크롬을 사용하다 보면 애드웨어가 확장 프로그램으로 설치되는 경우도 있구요 ㄷ
    아마 그당시 어떤 방법을 사용했든지 간에 새로운 방법으로 공격하지 않았을까 싶습니다.^
    과거는 과거 이고 현재는 현재이니 빨리 한국 인터넷 환경이 바뀌어져서 해외 결제 시스템 처럼
    안전하고 간편한 방식이 찾아오기를 바랍니다.^

    근데 스티브잡스 나오고 끝나서 뒷내용이 궁금하네요? ㅎㅎ
  • 프로필사진 손님 2014.01.17 22:57 신고 ㅎㅎ
    요즘은 엑티브x다 뭐다 뭐이리 많이 까냐 하니까 새로운 방법을 쓰더라구요 ㅋㅋㅋ
    엑티브x 설치를 Veraport라고 하나만 깔아두고 이놈이 보안 프로그램을 혼자서 설치하는 방식으로요..
    이거 하나만 설치시 물어보고 각 은행이나 보험사 들어갈때마다 필요한걸 알아서 깔아주니 편하긴 한데... 안타깝기만 합니다 ㅜㅜ
  • 프로필사진 너부리 2014.02.14 08:00 신고 넷스케이프가 망한 이유가 끼워팔기 때문이였을까요..?
    그때 당시에는 웹 저작툴의 성능이 아주 좋지않았고

    개발자(현재의 퍼블리셔)의 수준도 초기 수준이였기 때문에
    html 태그를 지금과 같이 웹표준화해서 작업하는것이 어려웠습니다.

    여기에서 넷스케이프에서는 </td>나 </tr> 등 닫는 태그가 하나라도
    잘못되어 있으면 화면디자인이 알아보기 힘든 수준으로 깨져서
    (표준을 맞추면 정상적으로 표시됨)
    개발 및 화면 디자인 작업이 어려워서 소외되기 시작했고, 반면에
    익스플로러의 경우에는 내부 html엔진이 자동적으로 닫는 태그를
    제네레이팅 해줘서 깨지는 것을 어느 정도 막아 주었습니다..

    물론 자동제네레이팅 기능이 브라우저 버전(OS업데이트 포함)에 따라서
    정상적으로 표시되는 PC와 다른게 표현되는 PC가 존재했었습니다..
    (ex : 개발자 PC는 정상인데 꼭 PT하거나 대표님 PC에서 깨짐 ㅡ.ㅜ)

    이외에도 여러가지 일들이 복합적으로 작용한것이지 단순히 끼워팔기 때문이다...
    라는것은 잘못된 정보라고 생각합니다.
  • 프로필사진 ... 2014.03.12 19:11 신고 현업 개발자인데 억측인 부분이 많네요... active x 남용을 비판하려고 하는건 이해하지만..
  • 프로필사진 ... 2014.03.12 19:16 신고 자바는 닷넷이고, 액티브액스는 NPAPI이고,
    당시 미국에서 40비트 이상 암호화 기술을 수출을 금지하여
    국내에서 차선책으로 ActiveX를 활용하여 구현되었던것이고요..
    결국 미정부 + 한국정부의 합작품이지.. 그 기술을 제공한 MS의 책임으로 돌리기에는 무리수같습니다.
  • 프로필사진 ... 2014.03.12 19:17 신고 부엌칼로 살인하는경우가 비일비재하니.. 전국의 모든 부엌칼을 사용을 금지하자는것과 비슷한 것 같네요.
  • 프로필사진 ... 2014.03.12 19:27 신고 국내 및 해외 브라우저 점유율표를 찾아보시면 아시겠지만..
    국내처럼 과도하게 7-80% 이상 점유하는곳은 한국밖에 없습니다.
    MS가 의도하였다면 국내외 점유율은 차이가 없어야 맞겠죠.
  • 프로필사진 으음? 2014.06.20 17:43 신고 크롬 플러그인은 뭐라고 하실지 궁금하네요..

    ActiveX랑 동작방식이 동일하며 심지어 취약점 터지는 포인트까지 동일합니다.

    크롬은 착한 브라우저인가요 ? ㅎㅎ
  • 프로필사진 으음? 2014.06.20 17:46 신고 물론 실제 크롬관련 국내 제작 플러그인에서 발생하는 취약점도 확인해보고 poc까지 제작해보고 하는 소리입니다.
  • 프로필사진 ppper 2015.04.12 20:03 신고 안녕하세요, 이번에 ActiveX 주제로 발표 준비를 하고있는 대학생입니다.

    다름이 아니고 올려주신 만화가 정말 좋은 내용인거 같아 만화 속 몇장면만 인용해서 쓰고싶은데

    써도 될지 여쭤보려 댓글올립니다! 좋은하루 되십시오
댓글쓰기 폼