인터넷 뱅킹 이라...
3월 5, 09:27 오후
현석님의 포스팅을 읽고 잠시 생각이 나서 글을 써봅니다.
뭐 저도 인터넷 뱅킹을 사용하고 있습니다.
물론 윈도우의 IE에서죠.. 다른곳에서는 안되니까요.
사용하던 브라우저를 놔두고 다시 IE를 틀어야하는 불편함은 확실히 존재합니다.
activeX 에 대해서 관련된 사람들과 짧게 얘기해본적이 있어서…
그에 대한 얘기를 할까 합니다.
activeX를 보안 컨트롤로 사용할거라면 좀 통일된 컨트롤을 사용해서 은행마다 다른 컨트롤을 깔아야하는 불편함을 없에자. 이런 얘기가 나왔는데.. KISA였는지 금감원인지 잘 모르겠습니다만 보안 컨트롤을 사용하기만 하면 된다고 합니다.
그쪽에서 통일해서 컨트롤을 배포하거나 가이드를 내려주면 될것이 아니냐.~
그랬는데 책임문제가 있어서 자기네들이 책임을 져야하니 그부분을 꺼려 한다고 하더라구요…
자기 책임 아니니 신경이나 쓰겠습니까? 우리나라 정부의 현 주소 겠지요..
사실 activeX를 사용하면 보안이 더 좋은지도 딱히 모르겠습니다만….
저렇게 당연히 activeX 보안 컨트롤을 사용하기만 하면 된다는 마인드가 깔려 있다면..
activeX 보안 컨트롤을 사용 하는것은 당연하고 다른OS, 브라우저를 지원하는것은 당연히 추가 비용이라고 생각하겠죠…
그냥 처음에 잘만들면 될것을 (티나지않는)삽질을하고 그걸 메꾸려 또 작업을 해야한다니 짜증나겠죠 뭐
대부분지원하는 getElementById사용하지않고 미리 document.all을 사용했으니 추가로 덧붙여 줘야 한다라고 생각하는 사람들한테는 저런 문제는 추가비용이 확실히 맞습니다.
아직 인식이 바뀌려면 아직은 많은 시간이 필요한가 봅니다.
![[Valid RSS]](http://mydeute.com/images/valid_rss.gif "Validate my RSS feed")
정태영
3월 11, 08:48 오후에 의견을 주셨습니다.
키보드 보안이나 백신 같은건 논외로 하고 xecureWeb 을 사용하는 것과 https 를 사용하는 것에 대해서만 비교를 해보자면
보안은 오히려 https 가 더 낫다고 생각됩니다. 둘 다 같은 128, 256bit 암호화가 가능하지만 xecureWeb 등을 사용할땐 IE 와 activeX object 사이에선 평문 전송이 이뤄지기 때문에 여기서 보안 문제가 생길 수 있음이 증명되었죠.
또 비용 문제도 xecureWeb 을 사용하는 것이 훨씬 많은 비용을 야기시킨다고 생각합니다. https 를 이용할 경우 페이지는 일반 http 를 이용할 때와 다름이 없습니다. 다만 프로토콜만을 http 가 아닌 https 로 적어주면 나머지는 전부 브라우져에서 알아서 처리해주죠.
하지만 xecureWeb 등을 이용하게 되면 자바스크립트를 이용해서 페이지를 코딩해야하고, 값을 넘겨주는 것도 간단히 form 엘리먼트를 이용해서 submit 하면 되는게 아니라 스크립트를 통해 activeX ojbect 로 값을 넘겨서 암호화 한뒤 전송해야 하죠.
이로보나 저로보나 activeX 를 이용한 보안 채널 구성은 없어져야 할 관행이라고 생각됩니다.