우리가 안철수연구소에 대하여 공개적으로 문제 제기를 한지 약1주일만에 약간의 변화가 있는 듯 합니다. 보안프로그램 사용을 강제하던 일부 은행들이 자신들의 페이지를 수정한 것 같습니다.
이를 계기 삼아, 보안프로그램을 “확실히” 거부하는 방법을 설명드리겠습니다(이미 아시는 내용이겠지만).
첫째, 국가정보원 http://www.ncsc.go.kr/ 에 접속하여 액티브 액스 삭제 프로그램(클린 액스)의 설치파일을 내려받습니다(“저장”을 선택). MS IE 웹브라우저로 이 파일을 내려받았으면, IE를 종료하고, 클린 액스 프로그램을 실행합니다.
여러분의 컴퓨터에 숨어있던 액티브 액스 중에서 전자서명에 필요한 플러그인(INISAFE Web, Xecure Web 등의 이름)을 제외한 대부분의 액티브액스를 지웁니다. 특히 AhnLab, SCSK (SoftCamp), nProtect, INCA Internet 등이 배포한 것은 모조리 지웁니다.
그러나 이 프로그램은 최근 1달 또는 최근 2주간에 사용된 액티브액스는 지우지 않습니다. 따라서, 도구 –> 인터넷옵션 –> 프로그램 –> 추가기능관리로 갑니다. 그 곳에서 “Internet Explorer에서 사용 중인 모든 추가 기능”을 선택합니다. 거기서 게시자 이름란을 보시고, Softforum, Initech, Adobe, Microsoft 등을 제외하고는 모두 삭제합니다. 해당 플러그인을 클릭하고 창 아래쪽을 보면 “삭제” 버튼이 활성화됩니다. 그 버튼을 하나씩 누르면 됩니다.
둘째, 그런 다음 금융기관 웹사이트 접속하면, 이들 프로그램을 설치하라고 아우성을 칠 것입니다. 마치 금단현상에 시달리는 마약 중독자를 보는 듯 하지요. 이때 화면 상단에 노란 띠가 나타납니다:
이것을 클릭하면 드롭다운 메뉴가 펼쳐 집니다. 여기서 “ActiveX 컨트롤 설치”를 선택합니다. 아래 그림처럼. (염려마십시오. 아직 설치되지 않습니다.)
그러면 플러그인인 내려받아 집니다. 약 5초 가량 뒤 화면에는 이런 보안경고창이 나타납니다.
경고창 왼쪽 편에 있는 “자세한 옵션보기”를 누르면, 다음과 같은 창이 나타납니다. 이 순간이 바로 우리가 기다려 온 순간입니다.
새로 펼쳐진 부분 중, “…. 에서 배포한 소프트웨어를 설치하지 않음(N)”을 선택합니다. 그리고, 반드시 “설치 안 함“을 누르시기 바랍니다.
이렇게 하고 나면 이 업체가 배포한 소프트웨어는 여러분의 브라우저가 “조용히” 무시하고 넘어갑니다. 물론, 같은 업체라도 약간씩 다른 버전의 플러그인이 있으므로, 그럴때는 보안경고창이 또 나타납니다. 그때도 위와 같은 방법으로 처리하면 됩니다.
이렇게 해두면, 여러분의 웹브라우저는 이들 보안업체들을 “신뢰되지 않은 게시자”로 취급하여 아예 무시하게 됩니다. 예를 들어, 그 리스트는 다음과 같습니다(도구 –> 인터넷 옵션 –> 내용 –> 게시자):
무료 상품이라고 해서 불매운동을 할 수 없는 것은 아닙니다. 특히, 그 무료 상품 사용이 “강제”된다면, 그것은 더 이상 무료가 아닙니다. 은행이 금융서비스 제공의 조건으로 이런 무료 상품의 사용을 “강제”하는 행위는 명백한 끼워팔기 행위입니다.
이런 일을 하는 은행들이 아직 꽤 남아 있습니다. 그런 은행과 거래하시는 분들은 여기에 있는 서식(doc 포맷, pdf 포맷)을 참조하셔서, 해당 은행의 은행장 앞으로 문의/요청 서신을 보내시기 바랍니다(반드시 내용증명 우편으로). 그리고, 저에게 그 사실을 알려주시기 바랍니다. 끼워팔기 실태조사 페이지에 댓글 형태로 공개적으로 알려주셔도 좋고요.
이미 안철수연구소는 일부은행으로부터 방화벽/안티바이러스 프로그램 사용을 “강제”하는 행위를 중단하였습니다. 소비자의 선택을 무시하고 이른바 “보안프로그램”의 사용을 강제하는 은행에 대하여는 즉각적인 법적 대응을 개시하겠습니다.
브라보! 행동으로 옮겨야 합니다. 내일 거래은행에 들어가 봐야겠군요.
몰랐던 사실이군요.
바이러스 백신 프로그램의 설치를 시한 만료된 인증서로 인증해 왔다는 건, 유통기한 지난 독감 백신을 “예방접종”이라고 맞아왔다는 것과 같군요. 만약 저 인증서가 악의적인 목적에 의해 도용되어 어딘가에서 사용되었다면 정말 큰 사고가 났겠군요.
오히려 안랩은 오픈웹에 감사해야 할 것 같은데요. “진짜 대형사고” 터지기 전에 경고를 해 주고 있으니까요.
만세~ 드디어 가시적인 움직임이 나왔군요. (발표도 없이 물밑에서 하고 있다는 게 치사스럽습니다만..)
벼르고 벼뤘는데, 잘 됐네요.
바로 행동으로 움직이겠습니다.
이런 기회를 마련해 주셔서 감사합니다.
김기창 교수님을 비롯한 오픈웹 여러분들께 진심으로 감사드립니다.
하나은행은 activex가 실행되지 않으면 아예 로그인이 되질 않는것 같군요. 내용증명을 보내야할까요.
자동차세 납부를 위해 ‘부산광역시 인터넷 지방세 센터(http://etax.busan.go.kr/)에 접속하였더니, ‘펜타시큐리티시스템(주)ISSAC-Web Pro v2.5 보안플러그인’ 설치를 요구하더군요. 설치하지 않고 진행하니, 신용카드번호, 주민번호 등을 http로 보내게 되어있어서 하는 수 없이 플러그인을 설치했습니다. 플러그인없이 처리할 수 있게 되어도 http프로토콜로만 운영되는 사이트는 이용하지 않는 것 외에는 방법이 없군요.
하지만, 위 글을 읽었습니다만, 몇가지 의문이 들어 몇자 적어봅니다.
ActiveX를 지우라고 하셨는데, 전자서명 ActiveX는 왜 제외하고 지워야하나요? 기준이 뭔지 궁금합니다.
그리고 위에 코드사인 부분에 대한 지적이 있는데,
코드사인은 날짜가 만료되더라도 timestamp만 주면 계속 사용할 수 있는 것으로 알고 있습니다.
오픈웹을 위한 문제는 ActiveX가 문제가 아니라고 생각합니다. 방향을 바꿔야하지 않을까 생각되네요.
고맙습니다. 코드사인 인증서 날짜 문제는 제가 처음에 잘못알고 적은 부분입니다. 이점을 지적해 주신점 거듭감사드립니다. 그리고 안철수 연구소에도 이런 주장이 잠시 게시된 점 사과드립니다. 그 부분을 적을때 저의 지식의 한계였습니다.
전자서명 플러그인은 조금 다릅니다. 현행규정은 전자서명 사용여부를 이용자의 선택에 맡기지 않습니다. 보안프로그램은 규정이 벌써 이용자의 선택에 맡기도록 되어 있습니다.
물론, 현재는 전자서명과 보안접속을 한데 묶어서 처리하는 플러그인이 사용되고 있는데, 이 문제는 그 다음 단계로 대응할 예정입니다.
그리고, 제가 제안하는 대응방법이 물론, ActiveX 에만 “한정된 것”은 아닙니다. 파이어폭스 용 플러그인도 비슷한 문제를 불러일으킵니다. 지금까지 파이어폭스 사용자는 온라인 뱅킹은 못했을 망정, 자기 컴퓨터는 비교적 깨끗하게 유지할 수 있었습니다. 앞으로 파이어폭스 이용자마저, 지금 MSIE 이용자들 처럼 “반드시 예”하라는 황당한 지시를 받는 상황을 예방하고자 합니다.
오픈웹지지합니다님// 전자서명용 ActiveX를 제외하는 이유는 글 제목에서 보시다시피 “가짜 보안프로그램 불매운동”이기 때문입니다. 키보드보안 프로그램이라던지, 개인방화벽 프로그램을 이야기 하는 것이죠.
몇개의 글을 읽다보니 이 사이트의 목적이 무엇인지 혼란이 드는 느낌입니다.
뭘 위한 오픈웹인지??
그리고 단순한 그때 그때의 문제점만을 지적하기 위한 글인지??
단순히 문제점을 지적하고, 이용하지 않는다라고 해서 끝나는 문제가 아닌것 같네요
좀 더 앞을 내다보시고 글을 적어주시면 관련자 분들께도 좋을것 같습니다.
다시 한마디/ 오픈웹이 무슨 거창한 일을 꿈꾸는 것은 아닙니다. 한마디로 요약하면, “장사도 좋지만, 법은 지켜가며 하자.” 대충 그정도일 뿐입니다.
더 큰 의미는 여러분께서 만들어 나가시겠지요.
앞에서 잠깐 오픈웹지지합니다님이 코드사인에 대해서 언급해 주셨는데요.
빌드한 바이너리를 최종 배포할 때 코드사인을 하게 되는데, 최종 배포때, 정상 인증서로 바이너리를 코드 사인하게 되면 날짜가 지났더라도 코드사인한 날짜에 정상 인증서로 사인을 한 것이 유효하기 때문에 전혀 문제가 되지 않습니다.
위 캡쳐화면에서도 마이크로소프트도 2002년에 코드사인 한 것을 그대로 사용하고 있음을 알수 있죠.
[youknowit 추가] 위 캡쳐화면에 나타나는 Microsoft Corporation 인증서는 가짜인증서 입니다. (FRAUDULENT, NOT Microsoft 라고 안내되어 있습니다.)
그리고 인터넷 뱅킹시에 깔리는 보안 제품들을 가짜 보안프로그램이라고 하시면, 어디 불안해서 인터넷 뱅킹 할수 있겠어요?
저런 프로그램들이 깔려도 인터넷뱅킹 해킹 사고가 일어나는 마당에 설치안하고 인터넷뱅킹 하라고 하면…차라리 은행 창구에나 가서.. 안전하게 하는수 밖에요.
“저런 프로그램들을 깔려고” 사람들에게 “반드시 예”하라고 지시해 왔습니다.
실제로 사람들은 예를 눌러대 왔습니다. 그렇기 때문에 지금과 같은 “공황 상태”가 온 것이고, “저런 프로그램들”에 대한 의존 증세를 벗어날 수 없게 된 것입니다. 마치 망가질 대로 망가진 drug junky가 fix 를 찾듯이.
오픈웹은 이 사태를 바꾸고자 합니다. 보안업체들은 이제는 더 이상 “모르고 그랬다”는 변명이 통하지 않는다는 점을 아실 것입니다. 그동안 계속 일종의 “주사”를 강제로 놓아서 온국민에게 “보안프로그램 의존 상태”를 만들어 온 책임을 져야 합니다.
저런 프로그램들(?) 이란게 전혀 필요가 없다는건가요?
제가 생각하기에 이 사이트의 목적은 아닌것 같은데요
마치 우리나라 IT 가 여태껏 해온게 마치 잘못된것처럼 느껴지게 하는데요.
바로 위 댓글처럼 사용자를 우롱했다는 글은….
1. 보안 프로그램이 필요한것은 공감하시는건가요?
2. 그 보안 프로그램이 M$ 에서 제공하는 기술로만 적용되어 있고, 또 그에 따라 기타 OS(리눅스, MAC) 등에 제공되지 않는다라는거죠?
3. 그럼 우리나라 개발자중에 어떤 OS 의 개발자가 많을까요? 어떤 OS 의 개발 회사가 많을까요?
아직까지 우리나라는 글쓴님께서 얘기하시는 환경이나 법체계가 잘 잡혀있지 않다는것에는 동감하고 있답니다.
개발자의 한 사람으로서 전체적인 흐름의 문제는 지적 및 개선하려고 하는 노력은 하지 않고,
하나의 현상 및 잘못된 점만 지적만 하는것은 문제가 있는것으로 보입니다.
하나은행 오늘 내용증명우편물 발송하였습니다. 본사 하나은행빌딩 영업부 앞으로 해서 보냈는데 잘 도착할지 모르겠군요. ^^
고맙습니다. 영업부 앞으로 해도 결국은 전달될 것입니다.
앞으로 보내실 분들은 언제나 “OOO 은행 은행장” 을 수신인으로 표시하시기 바랍니다.
네. 영업부 하나은행 은행장 앞으로 보냈습니다. 4월 1일까지 회신을 달라고 했는데 너무 이른건 아닌지 모르겠군요. 아무튼 잘 해결이 되었으면 합니다.
다시 한마디/
1. 보안프로그램이 ‘일정한 유용성’이 있다는 점은 누구도 부인하지 않습니다. 그러나 그것을 ‘강제로 사용’하도록 만드는 것은 완전히 잘못된 발상입니다.
또한, 은행 사이트에 접속해 있는 동안만 실행되는 방화벽/바이러스 스캔 프로그램은 아무 쓸모가 없습니다. 그런 것들은 애초에 보안프로그램 축에도 낄 수 없습니다.
2. 우리가 제기하는 문제는 MS IE 독점에 관한 것이 아닙니다. 파이어폭스 이용자에게까지 ‘그런 프로그램’이 플러그인으로 강제 배포되는 사태를 방지하기 위한 것입니다.
파이어폭스에서도 “반드시 예”를 누를 수 있도록 해주세요라는 요구가 아닙니다. No, thank you.
3. 현재는 윈도우 OS 천국입니다. 영원히 그런 상태가 유지되는 것은 부당하다는 것이 오픈웹의 입장입니다.
오픈웹이 플랫폼 다양성을 추구한다고 해서, “파이어폭스용 보안프로그램 플러그인”도 빨리 제공하라는 요구를 할 것으로 생각하셨다면 오해 입니다.
(MS IE에서건, 파이어폭스에서건, 사파리에서건) 플러그인을 아무 생각없이 마구 뿌려대는 우리 업계의 후진적 설계 관행 자체를 문제 삼는 것입니다.
junkie라는 표현이 가장 정확하고 함축적인 표현이네요. 윈도우즈, ActiveX (MS도 저버린) 중독자들. drug dealer가 좋다니까 무조건 팔에 찔러데는 중독자들.
댓글을 읽어보면 불필요한 오해(?)를 하시는 분들이 계신데요, 최근에 여기 오픈웹에 들러주신 분들은 조금만 시간을 투자하셔서 오픈웹 사이트에 올라와 있는 글들을 찬찬히 읽어봐주시면 아마 오픈웹이 지향하는 바가 무엇인지 알 수 있으실 것 같습니다.
신한은행, 우리은행 그리고 HSBC은행에 보냈습니다.
목록에 SC제일은행이 빠진것 같은데 SC제일은행도 강제하는게 확실한지 묻고 싶습니다. (안랩을 강요하던데 설치를 하지 않으니 화면이 넘어가지 않군요.)
외환은행의 경우도 nProtect KeyCrypt설치를 강제하고 있습니다.
외환은행은 소프트포럼의 클라이언트키퍼 입니다..
정말 궁금한 것은… 그렇게 하여 강제적으로 설치하지 않고 그냥 바로 은행을 사용할 때, 이용자의 PC가 해킹을 당해서 자기 돈이 인출이 되었을 때 과연 그 피해자는 책임을 누구에게 물을까요? 컴에 잘 아시는 분들이야 뭐 자기가 pc 관리 잘못해서 그렇다고 쳐도, 잘 모르시는 어르신 분들이나 학생? 들 경우는 무조건 은행에서 책임을 져내야 한다고 벅벅 거릴거고.. 그런 것들을 최대한 줄이고자 은행이건 게임업체이건 그런 도용 문제 때문에 보안프로그램을 적용시키는 것으로 알고 있는데 말이죠.. -_-; 걍 뭐 그렇다구요. 쿨럭!~
-다시 한마디 적습니다. says (2009.3.18, pm3:48 ):
-마치 우리나라 IT 가 여태껏 해온게 마치 잘못된것처럼 느껴지게 하는데요.
위 문장 정말 맞는 말입니다. 예 이제껏 우리나라 IT가 해온게 잘 못 된거 맞습니다. 그럼 잘 못 된게 없다고 생각 하셨다는 건가요?
-_-a님// 보안 프로그램 없이도 보안이 되게끔 사이트를 구성해야겠죠. 아무거나 막 까는건 “아무거나 막 깔아라”고 해온 보안회사 덕택이니 자업 자득입니다. 만약 이상하면 무조건 안깔아왔다면 키로거나 백도어는 안깔렸을테고, 문제는 통신 감청인데, 이건 SSL을 이용하면 엔간해선 막히거든요. 결국 ActiveX는 아무 의미없습니다.
gwangyi님// 요즘 바이러스/웜/키로거/백도어 등은 웹사이트를 보는것만으로도 웹브라우저의 취약점을 이용해서 사용자 모르게 깔릴수 있습니다.
우선 보안프로그램들이 모든 보안경고창을 무조건 “예”하라고 했다는것도 비약이 심한거 같은데, 보안프로그램 설치시 보안경고창에 “설치”를 선택하라고 한것이 꼭 키로거나 백도어들이 설치되도록 한것이다 라고 말씀하시는것은 너무 심하고요… 무조건 안깔아왔다면 키로거나 백도어가 없다는것도 말이 안됩니다.
오픈웹에서 처음 주창했던 내용은 좋았는데… 지금은 전혀 다른 방향으로 전혀 설득력 없는 주장들이 난무 하고 있습니다.
여기 있는 주장들이 사실관계, 기술적인 문제 등등에 대해서 신중하게 접근하고 있는지 정말 의심스럽네요..
웹사이트를 보는 것만으로도 웹브라우저의 취약점을 이용해서 깔리는 경우는 “믿을 수 없는 사이트”에 들어갔기 때문입니다. 네이버만 들어가는데 그런게 깔릴까요 -_-
그리고 보안경고창 뭔지도 모르고 막 예 누르는데 그 중에 키로거나 백도어가 없을거라고 장담할수도 없고, 이상한 어플 받아 깐 일이 없다면 – 즉 믿을만한 회사에서 발급한 인증서로 싸인된 어플만 받아 깐다면 키로거나 백도어 깔릴 일도 없겠죠.
결국 “제대로 된 보안감각을 지닌 사람이 쓰는 컴퓨터에 키로거나 백도어가 깔릴 경로”는 OS나 기타 어플들의 취약점이 Remote Attack으로 뚫리는 경우가 남는데… 보통의 클라이언트라면 리슨 소켓을 여는 일이 없으니 방화벽으로 완전히 차단해버리면 해킹당할일이 없는거 같습니다.
gwangyi님// iFrame Injection 등으로 만약 “믿을수 있는 사이트”가 해킹 당했다면 예를 들면 CNN, 네이버, 등등 충분히 취약점을 통해서 그런게 깔릴수 있습니다. 그런것들이 문제가 되는것이고 그런 사고들은 정말 많습니다. 특히 봇넷등의 문제는 심각하고요.. 그렇게 취약점에 의해서 해킹당한 사용자 PC등이 DDos공격등에 사용되고 개인정보를 가져가고 있습니다. 네이버 등 주요 포탈 신문사 등등의 홈페이지에 해킹시도가 성공하지 못하고 바이러스/웜이 없는 절대 안전한 사이트라고 믿으신다면 다시 생각하십시요…
제대로된 보안감각을 지닌 분들 이야말로 인터넷이 절대 어디든지 안전할수 없다는 사실을 알고 있을겁니다.
gwangyi님 보안을 이야기 할때 100%는 없습니다. 모든 공격을 막는 소프트웨어도 없으며 나만 잘쓰면 안걸리겠지 하는것도 위험한 생각입니다. 그래서 충분한 보호조치를 함께 취해야 하는것입니다.
Offline에서의 보안도 Online에서의 보안도 충분하다는 개념보다는 할수 있는 최대한의 보안을 시도 하는것이고 그것도 뚫립니다.