국내 악성코드와 액티브X컨트롤로 본 오픈웹에 바라는 점

그동안 오픈웹 활동을 관심있게 보고있었습니다.
많은 사람들이 오픈웹이 적을 만드는 방식과 잘못된 사실 주장을 문제삼고 있습니다.


제가 오픈웹을 처음 알게된게 2009년 안랩을 시작으로 보안업체를 비난하면서 이슈를 만들었을 때 입니다.
어떻게보면 비정상적인 국내 웹환경을 함께 해결 할 수 있는 파트너라고 할 수 있는데 보안업체를 적으로 만들어뒀죠.


요즘은 보안업체에서 금강원으로 목표를 바꾼걸로 보이네요.

저야 암호나 인증서쪽은 잘모르고 악성코드만 관계된 사람이니 그동안 오픈웹과 그 반대 글만 계속 보고 있었습니다.
- 아는게 있어야지 댓글이나 글을 쓰겠죠.

그런데... 이번에는 악성코드쪽까지 물고 늘어지는군요.
- 사실 예전에도 그랬습니다.

오픈웹에 '한국, 전세계 악성코드 진원지 1위 등극'이라는 글이 올라왔습니다.
- http://openweb.or.kr/?p=2915

예전부터 김 교수님은 그동안 국내 악성코드 문제가 액티브 X 컨트롤 때문이라는 주장을 하셨습니다.

- DDoS 대란 사용자 탓 뿐인가
http://www.etnews.co.kr/news/detail.html?id=200908060228

그 기사보고 저는 '액티브 X 컨트롤과 악성코드 배포 관련' 글을 썼네요.

하지만, 다른 글에도 썼지만 현재 악성코드 배포와 액티브 X 컨트롤은 직접적인 관계가 없습니다.
- 5년 전이라면 어느 정도 타당한 주장입니다. 하지만, 그것도 흔히 스파이웨어로 불리는 애드웨어입니다.

7.7 DDoS 공격 때 사용된 악성코드 배포 방식이 액티브 X 컨트롤이었나요 ?
액티브 X 컨트롤로 퍼진게 아니라 웹하드 프로그램 업데이트 파일에 악성코드가 포함되어 있었습니다.

해당 업체 프로그램이  액티브 X 컨트롤로 설치됩니다만 일반 설치 프로그램으로 설치했어도 사용자는 감염되었습니다.

물론 Channy님 말씀처럼 무분별한 액티브 X 컨트롤이 사용자들이 웹서핑 중에 주의하지 않고 클릭하게 한 요인이 될 수는 있습니다. 그런 우려로 김 교수님께서 말씀하신거라면 어느 정도 이해됩니다. 하지만, 언론 인터뷰와 기사를 보면 국내 악성코드 감염 원인이 액티브 X 컨트롤이라고 주장하는 것처럼 보입니다.

실제로 국내 악성코드 감염이 많은 이유를 '이게 다 액티브 X 컨트롤 때문이다'라는 댓글이 달리는데 오픈웹이 한몫했다고 생각합니다.

백번 양보해서 무분별한 액티브 X 컨트롤 사용으로 사용자가 무조건 [예]를 누르게 되었다고해도 요즘 악성코드는 액티브 X 컨트롤를 이용해 퍼지는 경우 거의 없습니다. 한마디로 잘못 짚었고 알고도 그랬다면 어떻게든 액티브 X 컨트롤을 악으로 만들려는 의도라고 생각할 수 밖에 없습니다

* 보안에 무심한 사용자들

보안에 무심(혹은 무지)한 사용자에 대한 얘기는 전혀 근거 없는게 아닙니다.
- 물론 보안제품도 지금보다 더 성능이 향상되어야 합니다.

국내 백신업체에서는 7.7 DDoS 공격이 발생하기 전에 백신 업데이트가 이뤄졌습니다.
(참고로 해외 백신들은 당시 대응하지 못한 경우가 더 많았습니다.)
그런데, 공격은 크게 줄어들지 않았습니다. 이게 무엇을 의미할까요 ?

사용자들이 백신 프로그램을 사용하지 않았거나 해당 악성코드를 진단하지 못하는 제품을 사용했거나 악성코드 감염을 알고도 치료하지 않았다는 겁니다.
- 제 생각에는 백신 프로그램 자체를 설치 안했다고 보입니다.

그 당시 KT 같은 ISP 업체는 감염 시스템을 찾아 전화로 연락하거나 직접 제거까지 해줬습니다.


문제를 해결할 수 있는 보안 제품이 나와도 사용자가 사용안하는데 백신업체가 어떻게 할까요 ?
그때 계속 방송 나오면서 국민들에게 자기 컴퓨터 검사하라고 호소했습니다.
악성코드가 공중파타는건 대단한 일이죠. 그래도 안됩니다.

어떻게 할까요 ?
보안 업체 직원이 전국 컴퓨터에 찾아가서 일일히 백신 프로그램을 설치할까요 ?

정부도 이런 점을 고민할 겁니다.
보안의 중요성은 커지는데 사용자들이 보안에 대해 모르거나 알아도 귀찮다고 안 지킵니다.
그리고, 보안사고가 발생하면 무조건 해당 업체가 책임지라고 합니다.
- 이런 부분은 언론에도 책임이 있습니다. 사용자 부주의보다는 업체에 대책을 세우라고만 하니...

사용자가 보안에 관심 안가지고 실천하지 않으면 지금처럼 금융서비스 받을 때 보안 프로그램 강제로 설치 같은 황당한(!) 상황이 발생합니다.

이런 문제는 사용자 + 보안 업체 + 정부 + 언론이 함께 풀어가야할 문제입니다.

사설 경비 업체 서비스를 받는다고 해서 문을 안 잠그는 사람은 없겠죠.
하지만, 지금 많은 사용자들이 보안 프로그램이라는 사실 경비 업체 서비스를 받으면서 문 안잠그고 다니고 있습니다.

이게 정말 다 액티브 X 컨트롤 탓일까요?


* 오픈웹에 바라는 점

앞으로 오픈웹쪽에서는 국내 악성코드 감염 원인을 액티브 X 컨트롤와 직접적으로 연관시키지는 말아주셨으면 합니다.

기회되면 그런 내용 한번 해외 백신 커뮤니티에서 발표해보시면 어떤 반응 나올지 아찔합니다.

액티브 X 컨트롤을 절대악으로
보안업체를 적으로
금융기관을 적으로
정부를 적으로 만든다고 문제가 쉽게 해결되지는 않습니다.

아직 국내 보안업체가 부족한것도 사실입니다.
이부분은 국내 보안업체가 꾸준히 노력해야하는 부분입니다.
하지만, 사용자들의 보안 의식이 없으면 어떤 훌륭한 보안제품이 설치되어 있어도 문제는 발생합니다. 

사용자들의 보안 의식을 높이는 운동도 함께 해주셨으면 합니다.

오픈웹의 취지는 공감하지만 방식은 너무 안타깝습니다.