2010년 3월 4일 목요일

한국에서 ActiveX가 광범위하게 사용되는 이유

한국에서 ActiveX가 광범위하게 사용되는 이유

국내에서 ActiveX가 광범위하게 사용되는 원인에 대해서 제가 알고 있는 몇가지 요소들을 기술해봅니다.

1. 공인인증서

  • 공인인증기관이 MSIE ActiveX기반으로만 서비스를 제공합니다.

2. 신용카드 전자상거래 ISP결제

  • BC, 국민에서 설립한 자회사 K모사에서 개발하였고 ActiveX형태로만 동작합니다.
  • 국민, BC카드의 전자상거래 결제는 모두 ActiveX로만 가능한 이유입니다.

3. 전자금융거래법 시행세칙 29조

  • 안티바이러스 ActiveX, 키보드보안 ActiveX, 개인방화벽 ActiveX가 모두 이 규정에서부터 파생되었습니다.

4. 금융거래시 전자서명

  • 금감원에서 금융거래시 전자서명을 요구하며
  • 공인인증 전자서명은 현재 ActiveX로만 가능합니다.

5. 보안서버 구축

  • http://secsv.kisa.or.kr/secsv/jsp/secsv.jsp 참조
  • 정보통신망 이용촉진 및 정보보호등에 관한 법률하위 시행령 하위 개인정보의 기술적 관리적 보호조치 기준 제5조에서 
    • SSL방식과 응용프로그램방식을 모두 인정하고 있습니다.
  • 응용 프로그램 방식은 공인인증서 사용모듈과 유기적으로 결합되어 하나의 ActiveX로 전자서명이나 End-to-End 암호화가 가능한점을 개발업체에서 장점으로 홍보하고 있어서 일반 업체에까지 광범위하게 ActiveX가 확산되게한 원인입니다.
  • 전자상거래 안심클릭 결제에 ActiveX가 사용되는 주요 이유중 하나입니다.

6. MSIE Auto Popup 차단

  • MS에서 특허나 보안등 여러가지 이유로 Auto Popup을 차단하고 있습니다.
  • 단 해당 서버 도메인이 Trusted Zone에 속하는 경우 Auto Popup이 가능합니다.
  • 신용카드 안심클릭 결제등은 팝업구조로 결제가 진행됩니다.
  • 많은 PG업체들이 결제팝업이 차단되는것을 방지하기 위해서 해당 업체 도메인을 MSIE Trusted Zone에 자동 추가하는 기능이 포함된 ActiveX를 결제시작하기전에 설치요구하고 있습니다.

7. iframe에 대한 오용

  • - ActiveX를 사용하더라도 이것이 꼭 필요한 단계에서만 사용하면 되는데 국내 현실은 일단 접속하는 모든 유저에게 ActiveX를 깔도록 요구합니다.
  • - 단순히 웹사이트를 둘러보기만 할 대다수 유저들에게 ActiveX를 깔도록 요구하는것은 불필요한 보안위험을 증대시킵니다.
  • - 실제로는 Javascript DOM 제어등을 통해 ActiveX를 꼭 사용해야한다면 그때 잠깐 활성화하여 사용할 수 있지만
  • - 상당수 업체들이 R&D가 부족하여 iframe등을 통해 무조건 ActiveX를 깔도록 요구합니다.

댓글 2개:

youknowit :

보안서버(암호화 접속으로 서비스하는 서버)를 ssl 로 구축하는 것이 액티브액스 플러그인으로 구축하는 것보다 비싸다는 지적은 잘 이해하기 어렵네요.

ssl/tls 접속으로 암호화 교신을 하면, 서버인증서를 구입하기는 해야 하지만, 서버측 플러그인을 업체로부터 구입해야 할 필요는 없습니다. 서버측 플러그인 가격은 억대에 달합니다. 클라이언트 플러그인도 물론 끼워서 구입해야 하겠고요.

ssl/tls 접속은 아무런 플러그인도 서버가 구입할 필요 없이 아파치/IIS 등 서버 소프트웨어 설정 파일에 지시어 한두줄만 추가하면 됩니다.

서버인증서는 몇만원-몇십만원 정도에 구입할 수 있습니다.

플러그인으로 암호화하는 경우, 클라이언트 플러그인이 과연 서버의 신원을 제대로 확인하는지를 아무도 객관적으로 검증할 수 없습니다.

암호화가 과연 제대로 되는지, 웹페이지 내용 중 어느 부분이 암호화되는지도 객관적으로 검증할 길이 없습니다.

보안서버를 별도프로그램 방식으로 구축할 수 있다는 논리는 기술적으로 도저히 납득하기 어려운 주장이라고 생각합니다.

mountie :

응용 프로그램 방식의 비용에 관해서 오류가 있었고 조금 수정하였습니다.