오픈웹 화면의 글자가 흐릿하게 보일 경우
오픈웹 사이트에 웹폰트를 적용했습니다. 경우에 따라서는 글자가 흐릿하게 보일 수도 있는데, 이럴때 다음과 같이 조치하시기 바랍니다. (윈도우에서 크롬, 사파리 웹브라우저를 사용하시는 분에 해당)
- 바탕화면을 오른 클릭하여 나타나는 메뉴 중 “속성”을 선택
- “디스플레이 등록정보” 창이 나타나면 “화면배색” 탭을 선택
- 화면배색 창에 있는 “효과” 버튼을 클릭
- 효과 창에 제시된 항목중, “화면글꼴 가장자리를 다듬는데 다음 방법을 사용”에 보시면 “표준”이라 되어 있는데, 이것을 “Clear Type”으로 변경하고 확인을 클릭.
탈옥/루팅 폰에서 뱅킹앱 실행 금지?
스마트폰 이용자 중 꽤 많은 분들이 탈옥/루팅을 하여 사용하고 있습니다. 탈옥/루팅은 저작권 침해도 아니고, 이용허락조건 위반도 아닙니다. 물론 소프트웨어 제공자가 “변경을 일체 금지한다”는 조항을 이용허락조건에 일방적으로 넣어둘 수는 있지만, 이런 조항은 법적효력이 없습니다. 유저가 스스로 소프트웨어를 변경하여 사용하는 것은 유저의 권리입니다. 그 과정에서 역분석을 하더라도 그것은 법률이 명문으로 인정하는 적법한 것입니다. 호환성을 확보하고자 역분석을 수행하여 알아낸 결과를 스스로 이용하거나 제3자에게 제공하는 것도 (호환성을 확보할 목적이라면) 적법합니다. 물론, 원래의 프로그램과 실질적으로 유사한 프로그램을 만들어 경쟁적으로 판매하는 행위는 당연히 위법하겠지만…
국내 은행 중 상당수는 탈옥/루팅폰에서 뱅킹앱이 실행되지 않도록 해두고 있습니다. 그렇게 해두면 보안에 도움이 될거라고 믿기 때문일 것입니다. 별 생각 없이 무조건 뭔가를 못하게 막으면 좀 안전하지 않을까? 라는 막연한 발상으로 결국 더 큰 보안위험을 초래하는 처사라고 생각합니다(물론, 모든 국내 은행/증권사가 그렇지는 않습니다). 그 이유를 설명드리겠습니다.
첫째, 탈옥/루팅 폰은 앱스토어/안드로이드 마켓 외의 경로로 입수한 아무 앱이나 설치가 가능하게 되므로 결국 PC와 유사한 이용환경이 됩니다. 탈옥/루팅 폰에서 금융거래를 못하게 하겠다면 PC에서도 못하게 하는 것이 옳을 것입니다. 아무 프로그램이나 마구 설치될 수 있는 PC에서는 금융거래를 하도록 하면서 탈옥/루팅 폰에서는 못하게 한다는 것은 일관성이 없습니다.
둘째, 탈옥/루팅 폰에서 금융거래를 못하게 하면, 그런 폰에서는 사람들이 금융거래를 안할까요? 천만의 말씀. 탈옥/루팅 폰에서도 금융거래를 할 수 있도록 해둔 “변경앱”이 마구 등장합니다. 인터넷 검색창에 “탈옥 뱅킹”이라고 입력해 보십시오. 엄청나게 많은 온갖 “해법”들이 소개되고 있고 많은 유저들이 그런 웹사이트에서 제공되는 정체불명의 “변경된 뱅킹앱”을 설치하고 이용합니다. 물론 매우 위험한 사태입니다. 그러나 “그건 유저들 잘못이지, 우리 잘못이 아니다”라고요? 처음부터 은행이 탈옥/루팅 폰에서 금융거래를 틀어막지 않았다면, 이런 “私的 해법”이 우후죽순처럼 등장할 이유도 없고, 유저들이 이런 “잘못된 행태”를 보일 이유도 없습니다. 이런 위험한 사태가 벌어지는 근본 원인은 은행에게 있습니다.
한발 더 나아가, 일부 은행들은 아예 자신들의 “공식앱”조차 안드로이드마켓에 등록도 안하고 그냥 내려받아 설치하도록 해두고 있습니다. 마켓에 앱을 등록하고 매번 업그레이드하는 절차가 번거롭고 귀찮기 때문인가요? 마켓에 개발자로 등록하는데 드는 매년 얼마의 돈이 아까와서? 도저히 납득이 가지 않는 조치입니다. 이런식으로 앱 설치파일(apk)을 마구 내돌리는 처사를 은행이 앞장서서 하면, 유저들이 인터넷에서 아무렇게나 내려받은 앱설치 파일을 경계하지 않게 되므로 변조된 설치파일 유포가 더욱 쉬운 환경이 마련됩니다.
루팅/탈옥 폰에서 금융앱 실행을 틀어막으려 할 경우 생기는 결과는 둘 중 하나입니다: (1)탈옥/루팅 폰 만큼이나 위험(하거나 오히려 더 위험)한 PC환경에서 해당 은행 거래를 하거나 (2)私的으로 변경된 믿을 수 없는 앱을 루팅/탈옥폰에 설치하여 해당 은행거래를 하게됩니다. 이런 사태가 해당 은행에게 과연 이로운가요?
진정으로 금융거래 안전에 도움이 되는 방향은
(1) 은행의 “공식앱”은 반드시 앱스토어/안드로이드마켓을 통해서만 배포하고(은행 페이지에는 이렇게 등록된 앱과 연결되는 ‘링크’를 제공하면 됩니다)
(2) 은행의 “공식앱” 자체가 루팅/탈옥 폰에서도 실행되도록 함으로써 이용자들이 “私的으로 변경된 앱”을 찾아헤메는 위험한 사태가 아예 생겨나지 않도록 하는 것입니다.
요컨대, 탈옥/루팅 폰이건 순정폰이건 은행거래앱은 언제나 은행이 안내하는, 등록된 앱만을 사용하여 거래할 수 있도록 이용 환경을 마련해주는 것이 올바른 보안정책입니다.
지금 상황(아래 스크린샷 참조)은 결코 보안에 도움이 되지 않습니다. 이런 사태가 초래되는 이유는 은행이 루팅/탈옥폰에서 금융거래를 막으려 “시도”하기 때문입니다(결국 막지도 못하지만).
보안 설계는 유저의 심리를 정확히 이해, 분석하는데서 출발해야 합니다. 유저들에게 “너희들이 틀렸어”라는 훈계만을 끝없이 늘어놓는 “보안전문가”는, 자신이 내세우는 보안해법이 왜 저급한지 이해조차 할 능력이 없는 자일 뿐입니다. 유저들이 “그릇된 행동”을 하게끔 유발하는 보안해법은 그 자체로 낙제점입니다.
10.26 선거방해 사건의 문제점
“술김에 좀비PC 200대로 ‘때리삐까예’ 한번 하니까 중앙선관위 웹사이트가 2시간 넘게 맛이가더라”는 순정연애소설을 믿으라지만, … 문제는 훨씬 심각합니다. 경찰은 이 사건을 전과자 몇명이 우발적으로 저지른 정보통신망법 위반 사건이라고 얼버무려 덮으려 하지만, 적용법률부터 완전히 틀렸을 뿐 아니라, 이 사건은 선관위, KISA, 방통위가 모두 연루될 수 밖에 없습니다. 디도스였어도 그렇고, 아니라면 더더욱 그렇습니다. 그 이유를 설명드리겠습니다.
중앙선거관리위원회는 2005년에 “정보통신기반보호법”이 규정하는 “주요정보통신기반시설”로 지정되었습니다(2011 국가정보보호백서, 109면). 따라서, 선관위는 전산망 보호대책을 수립하여 방통위에 제출해야 할 뿐 아니라, 행안부장관, 국정원장 등은 선관위가 수립한 보호대책이 제대로 이행되는지 여부를 점검하도록 되어 있습니다.
그리고 중앙선관위원장(김능환 대법관)은 침해사고가 발생하여 중앙선관위 전산망이 교란·마비된 사실을 인지한 때에는 관계 행정기관, 수사기관 또는 KISA(이하 “관계기관등”이라 한다)에 그 사실을 통지하여야 하고, “관계기관등은 침해사고의 피해확산 방지와 신속한 대응을 위하여 필요한 조치를 취하여야 한다“고 규정하고 있습니다(정보통신기반보호법 제13조 제1항).
KISA는 지난해 7월28일, 24억원을 들여 “감염PC 사이버 치료체계“를 시범 구축하였습니다. 이 사업의 소상한 기술적 내용은 감염PC 사이버 치료체계 시범 구축 감리용역의 제안요청서를 참조하시면 되지만, 간단히 말해서 디도스 공격이 감지되면 ISP가 그 공격에 동원된 감염PC의 ip 주소를 신속하게 파악하여 그로부터 오는 트래픽을 우회시키고, 해당 PC이용자가 웹브라우저를 실행하면 KT, SK브로드밴드, 티브로드 등의 접속서비스 제공자가 감염사실을 유저에게 알리고 백신을 내려받아 치료하도록 팝업창을 띄워주는 것입니다. 이 사업에는 인포섹·안철수연구소가 관련 사업자로 선정되었다고 합니다. “악성코드 감염PC 사이버치료체계 구축 본격화”, 2010.7.30 디지털데일리 보도.
“감염PC 사이버 치료체계”는 올해 초 3.4 디도스가 발생하였을 때 만족스럽게 작동하였다고 방송통신위원회 스스로가 자랑한바 있습니다: “7.7 디도스에 비해 피해가 적은 이유” (방통위 공식블로그). 실제로 감염PC 이용자들은 팝업창을 보았을 것입니다. KISA 스스로가 이 체제를 어떻게 자랑하는지는 이 동영상을 보시기 바랍니다.
요컨대, 선관위가 로그파일 공개 못하겠다며 이리저리 이유를 궁색하게 둘러대고 있지만 현재 가동되는 “감염PC 사이버 치료체계”에 따라서 주요기반시설에 대한 디도스 공격에 동원된 감염PC의 ip주소는 아예 선관위를 거칠 필요도 없이 ISP들이 KISA, 방통위 등과 신속히 공유하고 있습니다. 그렇기 때문에 올초 3.4 디도스의 경우에도 동원된 감염PC 갯수가 116,299개라고 방통위가 신속히 집계하는 것입니다.
궁금하지 않으세요? 정말 이번 선관위 접속장애가 “디도스” 때문이라면, 실제로 동원된 감염PC가 과연 몇대였는지? 방통위나 KISA가 왜 40일이 지난 아직까지 조용히 입다물고 뒤에 있고, 경찰 혼자 앞에 나와 200대인지 2000대인지 오락가락, 횡설수설하고 있는지? 선관위가 새벽에 신고를 했는데도 KISA나 수사기관, 방통위 등은 왜 아무 조치도 안하고 있었는지? 관련 법규정의 해당 부분을 다시 적어보겠습니다: “관계 행정기관, 수사기관 또는 KISA(‘관계기관등’)에 그 사실을 통지하여야 한다. 이 경우 관계기관등은 침해사고의 피해확산 방지와 신속한 대응을 위하여 필요한 조치를 취하여야 한다.”
선관위 웹페이지는 별로 “중요하지 않아서” 그랬다? 선거 당일날 이런 일이 벌어졌는데도? “감염PC 사이버 치료체계”가 “그날은” 작동하지 않았다? LG엔시스가 관리하고 있던 디도스 방어장비는 정상 작동하고 있었는데, 좀비 200대로 선관위 서버를 다운시켰다? 말이 된다고 생각하세요?
하다 못해 온라인 게임사이트가 디도스 공격을 당해도 경찰은 “수사과정에서 확보한 악성코드를 정보보호기관에 제공해 감염된 좀비PC가 치료되도록 조치하고” 있습니다. 중앙선관위가 디도스 공격을 당했다는데 어째서 40일이 넘도록 KISA, 방통위, 경찰 어느 한 XX도 감염 PC에 대하여 아무 조치도 취하지 않고 있나요?
국가의 “주요정보통신기반시설”인 중앙선관위가 좀비PC 200대에 뻣었다는 것이 정말이라면, 그것만으로도 벌써 선관위원장, 행안부장관, 국정원장이 모두 처벌되어야 합니다. 국가의 주요정보통신기반시설을 이따위로 방치해둔 책임이 가벼울수는 없습니다. 이름도 모를 게임사이트 공격에도 13만대 정도는 감염시켜야 장애를 일으킬 수준의 디도스 공격이 가능한것 같은데… (“좀비PC 13만대 동원 경쟁 게임사 디도스 공격” 2011.5.25자 디지털타임즈 보도)
별 웃기지도 않는 디도스 사기극을 믿으라니 참… 선관위, KISA, 방통위, 수사기관 모두 썩은 냄새가 진동하는군요.
아 참, 중앙선관위와 같은 주요정보통신기반시설을 교란·마비 시킨 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 되어 있습니다(정보통신기반보호법 제28조). 경찰이 적용하려는 정보통신망법 제71조 제10호(“정보통신망에 장애가 발생하게 한 자”)는 5년 이하 징역 또는 5천만원 이하의 벌금에 처하도록 되어있습니다. 위메프 50% 통큰 할인되겠습니다! 경찰인지 변호사인지 쬐끔 헷갈리는 부분입니다용…
이 글도 읽어보세요: “선관위 디도스 공격은 페인트 모션이다“
10.26 선거방해 디도스 쇼, 쇼, 쇼
한국은 “디도스 강국“인지라, 디도스 관련 자료가 꽤 있습니다. 시간 있으신 분은 아래 기술분석 보고서들을 한번 읽어보시기 바랍니다(올해 3.4 디도스 관련):
http://www.hauri.co.kr/updata/3.3_DDoS_Attack_Report.pdf
(안랩의 보고서는 “보고서”인지, “회사 선전”인지 분간이 어렵지만…)
요컨대,
- 고도의 세련된 공격기술을 구사하여
- 무려 116,000대 이상(방통위 집계)의 감염PC를 동원하고,
- 사람들의 감염컴퓨터가 켜져있을 가능성이 매우 높은(따라서 공격이 가장 효과적인 시점인) 오전 10시, 오후 6:30분에
- 주요은행, 전자정부, 지마켓, 옥션, 네이버, 다음 등을 상대로
이루어진 공격이었습니다.
그래서 결과는? 태산명동에 서일필(쥐 한마리)… 공격대상 어느 곳도 별 접속장애 없이 정상 서비스가 가능했습니다. 감염 PC의 하드디스크가 “파괴”된다는 무시무시한 호들갑에 사람들이 화들짝 놀라서 백신을 내려받아 설치하긴 했으나, 그 시점에는 이미 공격이 별 영향도 없이 끝난 다음이었습니다. 10만대 이상의 좀비PC를 동원한 3.4 디도스가 아무런 서비스 교란도 없이 끝난 이유는 사람들이 백신을 설치했기 때문이 아니라(백신으로 디도스를 막는다는 것은 원래부터 웃기지도 않는 헛소리입니다), 2년전에 있었던 2009년 7.7 디도스 이후에 서버들이 디도스방어장비를 구축해 두었기 때문이었습니다. 선관위도 2009년 12월에 디도스방어장비를 구축해두고 있었고, 보궐 선거 당일에도 이 장비는 정상 작동하고 있었습니다.
인터넷에서 싸구려로 구할수 있는 아마추어 디도스 공격킷으로 고작 200대(아니, 2000대 였던가요? 워낙 오락가락해서 ㅋ)의 감염PC를 동원해서 술김에 한번 “때리삐까예” 해보니 새벽6:15분부터 아침 8:32분까지 2시간여 동안이나 중앙선관위 서버가 맛이가더라? 한마디로 쥐가 웃을 소리입니다.
10.26 선거방해 사건의 초점은 공씨 단독범행인지 아닌지가 아니라, 공씨가 자백했다는 수준의 디도스 공격으로는 디도스방어장비가 정상작동하던 선관위 서버가 2시간이 넘게 장애를 일으킬 수가 도저히 없다는데 있습니다.
디도스 공격이 서비스장애의 진짜 원인이었다면, 어떤 PC들이 어떤 경로로 감염되었는지에 대한 기술분석 보고서(위에 제가 보고서를 제시한 이유가 있습니다) 한페이지도 없다는 것도 납득이 안가는 부분입니다. 10.26 선거방해 사건 발생 후 40일 넘게 시간이 있었습니다. 위에 링크된 보고서들은 3.4 디도스 발생 이틀이나 사흘만에 나온 것들입니다.
디도스 공격은 (1)먼저 많은 PC를 감염시켜야 하고(야동 파일 등에 숨은 형태로), (2)감염된 PC들이 켜져 있어야 가능한 것입니다. 술김에 전화 한통 한다고 ‘원하는 시간에’ 할 수 있는 공격이 아닙니다. 아침 6:15 – 8:32 는 이른 출근 시간이므로 감염 PC들이 켜져 있을 가능성 자체가 낮습니다. 저도 그날 아침 출근 버스에서 PC가 아니라 “휴대폰으로” 선관위 웹사이트에 접속을 시도하였고(휴대폰이 좀비PC로 작용하는 경우는 거의 없습니다), 실제로 페이지가 뜨긴했지만 투표소 조회는 안되었습니다.
오늘 경찰이 발표한 10.26 선거방해 사건 “수사” 결과는 국민을 컴맹바보천치로 우습게 아는 사기극에 불과합니다. “나경원을 사랑해서…” 참 눈물 겹군여
중앙선관위와 경찰이 공동 연출하는 “10.26 선거방해 순정 에로 드라마”에 검찰도 곧 카메오로 출연하겠지만, 이미 스포일러가 워낙 많아서 결말은 뻔할 것입니다.
중앙선거관리위원장 김능환 대법관의 사퇴를 촉구합니다.
선거는 민주주의의 핵심을 이루는 절차입니다. 아무리 황당한 짓을 일삼는 정부일지라도 그 정부가 공정한 선거를 통하여 선출된 정부라면 그 정당성을 함부로 부인할 수는 없습니다. 따라서 다음 선거에서 최선을 다해서 정부를 교체해보려 노력하는 것이 민주주의의 당연한 모습입니다. 물론 선거만이 민주주의의 전부는 아니지만, 가장 중요한 요소인 것은 분명합니다.
여러번 있은 보궐선거나 주민투표(이들은 모두 근무일에 실시되는 투표입니다)에 별다른 불편이나 문제도 없었던 투표소의 위치를 대대적으로 변경하는 것부터가 좀 이상했습니다. 하지만 선관위는 더욱 괴상한 일을 거듭했습니다. Continue Reading →
DDoS 장난질 그만 치세요
여기 오픈웹을 방문하시는 분은 이미 웹기술이나 컴퓨터에 상당한 지식을 가진 분들이므로 DDoS 공격이 무엇인지 알고계실 것입니다. 그러나 다른 대부분 사람들에게 DDoS는 “뭔지 모르지만 심각한 공격”, “북한이 저지르는 주요 인프라 교란행위” 등 막연한 두려움을 자아내는 것입니다.
하지만 원래 DDoS는 정치적 소신을 피력하는 수단으로 사용되거나(위키 리크스에 사람들이 보내는 기부금 줄을 끊은 Paypal에 대한 DDoS 공격 등), 순전히 돈을 노리고 경쟁사의 웹사이트를 다운 시키는 찌질한 용도로 쓰이거나(이것은 경쟁사가 영세하여 제대로 된 DDoS방어 설비도 없을 때에나 사용되는 저급한 부류의 공격이지요), 별 이유 없이 그냥 여기저기 유명 사이트를 상대로 감행해보는 해킹 초짜들의 개념없는 공격(페이스북, 워드프레스, 아마존, 구글 등 유명사이트에는 늘 일정 규모의 공격이 들어오고, 이런 공격은 일상적으로 방어되고 있으므로 아무런 영향도 없습니다) 등이 있습니다.
그러나, 한국에서는 “괴상한” DDoS 공격이 이루어지고 있습니다. Continue Reading →
교육과학기술부 인증서비스(ePKI)의 문제점
제가 강의안 게시 등의 용도로 사용하는 웹서버의 SSL서버인증서를 교육과학기술부 전자서명인증센터로부터 발급받았습니다. 이 과정에서 발견된 몇가지 문제점을 말씀드리겠습니다. Continue Reading →
국민은행 오픈뱅킹 화이팅!
며칠전 국민은행이 거의 대부분의 이용환경에서 은행거래를 할 수 있는 “오픈뱅킹”서비스를 시작했습니다.
지난해 7월 국내 최초로 우리은행이 선보인 오픈뱅킹은 EV SSL서버인증서로 교신암호화를 하고 웹서버의 신원을 유저가 육안으로 확인할 수 있는 수단(visual cue)을 제공함으로써 금융거래의 신뢰성을 한단계 업그레이드 하였을 뿐 아니라, 종래 천편일률적으로 사용되었던 플래시 장식을 말끔히 걷어내고 쾌적한 속도로 안정적인 거래를 가능하게 하는 것이었습니다.
이제 국민은행은 더욱 향상된 여러 모습으로 다른 경쟁 은행들보다 선진적인 보안 철학과 유저의 편의를 배려하는 서비스 정신을 보여주고 있습니다.
먼저, 주목할 점은 Continue Reading →
“토종”OS 라고요?
보도를 보니 정부가 “토종OS” 개발에 나선다는 흉흉한 소문이 있네요. 몇 년전에 적었던 글(한국웹의 불편한 진실에 게재된 글)을 “다시” 올립니다. 거듭 되풀이 이야기해도 못 알아들으면 할 수 없고요.
[2009년 7월에 출판된 글]
국내 보안규제의 문제점
8월8일 디지털 타임즈에 기고된 고려대 정보보호대학원 김승주 교수님의 칼럼은 국내 보안 규제의 문제점을 정확히 지적하는 글입니다. 반드시 읽어보시기 바랍니다.