다만 국정기획위는 불가피한 경우엔 액티브엑스 대신 ‘exe’ 파일 설치 방식을 활용하기로 했다. 박 대변인은 “다양한 웹 브라우저에서 공공기관 홈페이지를 이용할 수 있는 환경이 조성될 것”이라며 “전자정부 서비스의 보안이 강화되는 효과도 기대할 수 있다”고 말했다.

-----------------------------------------------------------

이 글은

박 대변인은 “다양한 웹 브라우저에서 공공기관 홈페이지를 이용할 수 있는 환경이 조성될 것”이라며 “전자정부 서비스의 보안이 강화되는 효과도 기대할 수 있다”고 말했다.

다만 국정기획위는 불가피한 경우엔 액티브엑스 대신 ‘exe’ 파일 설치 방식을 활용하기로 했다.

라고 바껴야 제대로 쓴 기사가 될 것 같네요.

아 그말이었군요...

exe도 문제점이 많은걸로 아는데 흠... 역시 한번에 고치는건 힘든건가. 기획위에 전문가들이 없는건가.

안철수 소환!

exe로 떡도배 되겠군요. 그넘이저넘... 덴장

exe 로 만들면 웹과 어떻게 메세지를 주고받나..해킹이 더 쉬워지는거 아닌가? 바뀐게 없는데?

Active-X 가 나온 이유는 exe 로 설치할때의 위험성 때문에 나온겁니다. exe 설치시 무슨 보안의 위험성과 어떤 것을 내 PC 설치 할지를 몰라서 Active-x 로 만들어서 그 위험성을 줄이기 위해서 나온겁니다. 박근혜 정부때 박근혜 가 없에라고 했더니, exe 설치를 하겠다고 한겁니다. 더 안좋은 선택을 한거죠. 그걸 계승하는 겁니다. IT 에 대한 지식이 전무 한거라고 보면 됩니다. 아마존이나 외국 사이트들 보면 표준 협약을 지켜서 exe 나 Active-x 없이 보안을 만들어 냅니다. 아직까지도 사용자에게 책임을 지우는 관행은 여전합니다.

아니에요
웹언어 자체가 굉장히 제약적이기때문에
웹에서 exe나 dll을 연동하여 사용하기 위해 개발됀거죠
다만 엑티브엑스를 사이트에서 사용하기위해서는 ms에 돈주고 인증서를 발급받아야 하기때문에
위험성이 적은것은 맞다고봐야겟네요

ms자체 에서 엑티브 x는 보안에 심각한 결함이 있다고해서 전세계에서 쓰는 나라는 우리나라 뿐입니다.

앞부분은 맞는 말씀인데

인증서는 ms에서 사야하는 것은 아니고 공인된 인증서 발급기관 어디라도 가능합니다.
인증서로 배포파일에 서명을 하는 것은, 파일 위변조 확인과 배포된 파일이 문제를 일으켰을시 공급자 확인을 할 수 있는 것 뿐이지 기타 위험성과는 상관이 없습니다.
exe로 배포해도 서명을 하는 것은 마찬가지고요.

그리고 ax 기술 자체가 어떤 보안 취약이 있는 것은 아닙니다.
스크립트 언어와 달리 바이너리라 너무 많은 제어권을 가질 수 있기에 보안 위험에 노출될 가능성이 높은 것일 뿐. 이는 같은 바이너리인 exe로 만들어도 똑같죠.
간혹 자체 코드 말고 ax 기술 자체 보안 헛점의 문제는 os의 다른 컴포넌트에 보안 오류 있는 것과 마찬가지구요. 다른 웹기술이 발전하면서 필요성 감소와 우리 나라 같은 특정 국가말고는 별로 사용되지 않고 기술 유지 비용이 드니 ms는 시대 조류에 맞게 없애려 한 거고.

웹이 제한적이었던 시절이니 Active-x 고 exe를 안썼던 이유는 더 보안에 위험해서 안쓴겁니다. 웹에서 연동할때는 OCX 를 Cab 로 만들어 배포합니다. 물론 dll 로 포함하지만요. 젊었을때 C++ 로 Active-x 만들어서 배포한 경험이 있어서 이야기 해 해줍니다. 사이닝만 되면 개발자가 딴 마음을 가지면 얼마던지 업무외에 다른 기능 넣을수도 있고 백도어 만들수 있어요. 개인자료 수집요? 가능 합니다.  그것보다 더 쉬운게 exe 개발입니다. ocx 로 개발하는 거랑 exe 개발하는거 조금 다른데요. exe 로 개발하면 더 많은 것을 할수 있습니다. 즉 보안상으로 더 후퇴 하는겁니다. 선진국이 왜 선진국이냐면요. 표준 안을 지키면서 웹에서 다 구현합니다. 특히 아마존에서 카드로 물건 사면서 감탄하는게 아무것도 설치 하지 않아도 된다는 겁니다. 그렇게 해도 보안 문제가 안생깁니다. 소비자 문제로 안 물고 늘어집니다. 게다가 아마존 AWS 를 사용해 보면 클라우드 상에서 서버들이 그냥 구축됩니다. 이런게 혁신인거죠. Active-x 를 exe 로 바꾼다. 서구 사회는 4차 혁명을 준비하고 실현해 나가고 있는데 구석기 시대 이야기 하니 한숨만 나옵니다.

액티브 액스도 님 말한 거 다 가능합니다.
ax가 cab으로 묶고 ocx(dll)만 담아진다고 생각하시는 거 같은데 아니고,
그 전에 dll이나 exe나 할 수 있는 짓은 똑같습니다.

사이닝만 되면 다 된다고 글을 적어 놓았는데...액티브 액스도 님 말한거 다 가능하다 고 이야기 하면 뭐 어떤 반응을 보여야 하는건지요? 다만 exe 로 개발시 더 편해서 위험성이 더 크다 라고 이야기는 건데..
???? 당황스럽습니다.

exe를 안썼던 이유는 더 보안에 위험해서 안쓴겁니다 <- 님이 이렇게 말씀하셔서 그게 아니라 하는 얘깁니다만?
제가 당황스러운데요? 액티브 액스도 그냥 바이너리입니다만.
개발시 더 편해서 위험성이 크다는 건 무슨 얘긴지 이해가 안가고요.
개발 편한 거랑 위험성이란 어떤 상관 관계가? 개발 편하면 편한 만큼 보안에 더 공들일 시간이 생겨 안전해지면 몰라도.
exe로 하면 더 많은 것을 할 수 있지 않고 exe로 할 수 있는 거 ax로 다 가능합니다. 엘리베이션(권한 요구)이라도 요구하는 건 비스타부터 유저 권한 강화로 생긴 거고. ax 안에 exe 넣어 별도 경로에 저장하고 호출할 수도 있고 동등한 짓이 가능해요. 엘리베이션 창 뜨는 거나 설치할까요 묻는 창 뜨는 거나 모르는 유저입장에서 다를 것도 없고.

진짜라면 욕 존나 쳐 먹어야죠.  왜 엑티브를 없애는지 전혀 이해를 못 하고 있잖아요. 그것도 3년 후에 일인데 말도 안 되는 맹구 같은 짓이죠.

전문가 다 들오가서 내논 대답입니다.
예전부터 엑티부엑스 폐지운동하시는 교숨이 핵심이 되서 움직이고 있습니다.

얼척이 없어서

아니 그냥 다른 선진국의 예를 따라하면 안되는 건가요?
내가  뭐 보안 이런 걸 전혀 모르니 뭐라 할 말은 없지만..

국정기획자문위원회 박광온 대변인은 6일 정례브리핑에서 “‘액티브엑스’를 100% 퇴출시키는 것을 국정과제에 반영했다”라면서 “2015년부터 이를 추진해 80% 가량 ‘액티브엑스’가 제거돼 있지만 2020년까지 공공분야에서 완전하게 퇴출시키는 것을 목표로 하고 있다”고 밝혔다.
----------------------------------
브리핑 내용이 좀 더 나와있는 다른 기사의 이 문구를 보니 약간 회의적이네요. 현재 80% 퇴출?? 전혀인데...
금융권의 ax 사용이 권고안에서 제거가 되었지만 exe로 돌아섰을 뿐 문제는 여전한데
본문의 불가피한 경우가 어떤 경우를 말하는지를 그간의 행보로 추측해보면
말그대로 ax 퇴출이 모토였다고 착각하는 거라면 답이 없는 거. 기존의 불편함은 계속 이어진다고 밖에.

국정기획 자문위원회는 도대체 어떤놈들이 있는거죠???

이건 뭐 조삼모사도 아니고...
EXE 는 엑티브X 보다 바이러스가 숨기 더 쉬운 환경이죠.
HTML5 냅두고 왜 엉뚱한 짓을 하는지 원... 에휴...

참고로, ax 문제의 공론화 배경은 단순 브라우저 플러그인인 ax를 쓰지말자가 아닙니다.
예전에 두어번 적었었는데

1. 너무 많은 부가 설치
2. 제대로 이루어지지 않는 버전관리
3. 버그로 인한 사용성 저해
4. 보안 취약 문제(이건 ax의 보안 문제도 있었지만 사이트 플로우 자체의 보안문제도 허다했음)
5. 플랫폼 제한
6. 보안 솔류션의 강제로 인한 선택권 제한

등이 주 이슈이며 여기서 보안을 들먹이며 무분별하게 사용된 기술(?)이 ax여서 ax ax 한 것이지 ax 자체를 걷어내고 말고의 문제가 실제 문제의 본질이 아니죠.


그리고 관련 프로세스가 이렇게 된 이유를 이해하는데는 배경 지식 한가지가 필요한데

우리 it 환경에서 금융, 행정 등의 분야의 많은 것들을 온라인 편의로 제공하려다 보니
본인 확인 절차가 반드시 필요한데 다른 과정을 거치지 않고 it 기술 자체로 해결하려면 전자서명이라는 것이
괜찮은 솔루션입니다.
전자서명, 즉 인증서 제출은 웹 표준으로 모든 브라우저에 자체적으로 탑재된 기능이라 별도의 플러그인이 필요가 없습니다만

전자서명에는 암호화 알고리즘이 들어가고 인터넷 초기에 외산 소프트웨어인 웹 브라우저들은 국제 표준(사실상 미국표준)인 이 암호화 알고리즘은 방위자산으로 미방위성이 법으로 40bit 까지만 해외에 공개하고 그 이상은 기밀로 공개 불가라는 문제가 있었습니다. 이후 128bit 이상도 소프트웨어의 해외 제공은 풀렸으나 여전히 소스는 방위자산(소스 유출의 비화 등이 따로 있으나 이건 여기서 중요한 부분이 아니고).

이런 이유로 백도어가 있을지도 모르는 클로즈 소스를 국가 행정에 사용할 수 없다고 판단해 별도 암호화 알고리즘을 구현해 전자서명에 사용하게 되었고 자체 알고리즘은 외산 브라우저에서 지원하지 않으니 기능을 추가하기 위해 만들어진 게 공인인증 액티브X 모듈입니다(인증 마피아 탄생 배경).
여기에 금융 행정 분야의 보안사고에 대해 사용자에게 책임을 떠넘기겠단 마인드에 기인해 각종 부가 모듈 설치 강제가 이루어진 것이죠.


결론적으로 본인 확인 절차가 필요한데 본인 확인 방법을 바꾸지 않고서는 부가 프로그램 없이 표준적인 방법으로 처리할 방법이 없다는 얘깁니다.
아니 한가지 있습니다. 브라우저 제조사에 어필해 국내 표준인 암호화기법을 지원하게 하는 것이 능동적 접근이며 가장 확실한 방법입니다. 문제는 이제까지 행정적 차원의 이런 노력이 전무 했습니다.
(오픈소스에서의 개발자들의 어필로 파이어폭스에 유일하게 현재 포함되어 있는 상태)

공인인증 자체를 없앨려면 본인확인이 필요한 모든 업무에 다른 확인방법을 이용해야하는데
유일하다 시피 한 것이 전화인증 뿐입니다만, 전화기 분실이 문제가 되겠죠(인증서의 경우 인증서 분실과 같을 수 있습니다만 인증서는 기본적으로 암호 락이 걸리므로 어느 것이 더 기본적으로 보안성이 있냐는 말이 있을 수는 있습니다)

지금 2020년으로 추진되는 계획이 공인인증 체계를 그대로 두고
2년 반정도 기존에 하지 못했던 노력을 해 다수의 브라우저에 국내 표준인 암호화를 탑재하게 할 것인가
전화인증을 도입할 것인가, 불가피한 경우의 예외를 상정하면서 액티브 엑스만 아닌 액티브 엑스랑 다를 바 없는 프로그램을 setup 형태로 설치하게 할 것인가 정도겠는데
첫번째 처럼 하고 나머지 보안 솔류션을 선택하게 하는 것이 가장 바람직할텐데
느낌상 두번째와 세번째를 병행하고 실사용은 원하는 만큼 달라지진 않는(약간은 설치할 것이 줄긴 할겁니다만) 방향이지 않을까 싶은 생각이 드네요.
5번이 1차로 해결될 것으로 보이고, 부가적으로 사용 자체를 줄이겠다는 생각은 기저에 있으니 1번 6번은 꽤 해결될 것으로 기대되긴 하지만요.

아울러 관공서에 표준 문서 포맷 안쓰고 여전히 창궐하고 있는 hwp도 좀 솎아주고, 출력물 위변조 방지도 좀 표준적인 걸 쓰든가 하고 해야 할텐데 현재로썬 이게 두 해 정도 안에 달라질 걸로 보이진 않네요.

웹보안은 미국식으로 완전히 교체해야함. 지금 보안프로그램업체 대부분 폭파시켜버려야 함...

아니 왜 소비자가 해킹을 감내해야 하는건지 지들이 보안 똑바로 하고, 털리면 지들 돈으로 보상 해줘야지

이나라는 지난번 개인정보 대란 때도 소비자들 집단소송 패소했었죠 소나기가 지나가면 끝이라는 식

메일 주소로 가입되고 카드번호 하나로 데빗, 크레디트 전부 통용되는 대부분의 나라는 우리보다 미개해서 그런건가? 당장 옆나라 일본에 한류관련 상품을 사는 외국인들을 보면 뭔가 느끼는게 없는건가?

ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 엑티브엑스 가고 exe설치가 온다!!!! ㅋㅋㅋㅋㅋㅋㅋㅋㅋ 에라이 궁댕이나 방댕이나 거기서 거기구만

그냥 이건 법안을 기업 책임 위주로 바꾸면 되는거 아닌가요?
우리나라 정보통신 보호법인지 보호법인지 모르겠지만
기업은 책임을 안지고 고객이나 개인에게 책임을 돌리려는 작태부터 고쳐야죠
그렇게 하면 기업이 알아서 보안업체 고용해서 관리할거고 그 이후엔 외국처럼 간단한 방식으로 하면 되겠죠
물론 제 생각입니다.