현재 IE 7.0 관련 호환성 문제를 이런 저런 체크를 하면서,
전에 한 보안 업체에서 말해 주었던 이슈에 대하여 잠시 생각해 보았다.
IE 7.0에서는 멀티 탭을 지원하는데, 만일 모든 탭에 다양한 은행의
사이트가 뜨게 되면, 방대한 양의 ActiveX 컨트롤들이 동시 다발적으로
뜨게 되는데, 이 경우 어떻게 대처하는 것이라는 부분이다.
예전에 IE 6.0 에서도 이와 비슷한 문제가 발생하여, 심지어는 컴퓨터가
자동으로 재시작하는 경우도 발생한다고 한다.
이렇게 심각한 상태인데, 왜 외국에서는 이런 문제가 불거지지 않는 것일까?
외국 은행은 ActiveX를 쓰지도 않고 어떻게 보안을 취하는가?
이런 의문이 들었다.
그리고 한번 Citybank 의 외국판과 신한은행(조흥은행)을 비교해서 잠시 보았다.
신한은행
CityBank
우리나라 보안 업체들의 밥줄이기 때문에, 특별히 여기에 태클 걸고 싶은 생각은 없지만, 솔직히 우리나라 은행 사이트들 문제가 있는 것 같다. 만들기 쉽다는 이유 하나 만으로 모두 Active X로 깔고 있는데, 사실 HTTP 대신 HTTPS 만 써도 큰 도움이 될 것 같다.
외국 사이트에는 처음 들어가도 ActiveX에 대해서는 절대 아무런 이야기가 없다.
오로지 개인 정보에 대한 모든 사항들은 HTTPS 프로토콜을 기준으로 동작하고 있다는 차이이다. 차라리 이렇게 심플하고 깔끔하게 만든다면 비용이 더 절감되고, 사용하는 사용자도 안전하게 이용할 수 있지 않을까?
여기 일례로 든, 신한은행 사이트는 개인 정보 부분도 HTTPS가 아닌 HTTP이다. 오로지 암호 전송에만 ActiveX를 사용한 전송을 할 뿐이다. 그렇다면, 계좌 정보 조회할 때도, 미기장 정보를 열어볼때도 모두 패킷상에서 노출된다는 이야기....
무엇을 보안을 할지를 멋대로 결정하고 실제 막아야 할 필요가 있는 사항은 노출된...
힘들게 비용만든 기형적 구조의 보안이라 생각된다. 최소한 HTTPS와 같은 표준적인 방법의 보안을 구성했다면, 아마도 지금 내가 하고 있는 호환성 문제는 애시당초 발생되지 않을것 같다.
- Update -
다른 전문가분들의 말씀에 다음과 같은 사항들로 보호한다고 하는 군요.
1. ActiveX를 이용해 중요 정보를 암호화/복원화를 해서 중요한 데이터들을 전송합니다.
- 계좌 정보, 각종 이력 내용
2. HTTPS를 이용하게 되는 경우 웹서버의 부하가 많고 화면 자체가 느려진답니다.
3. 호환성 이슈 중 가장 큰 부분은 키보드 보안을 위한 후킹에서 발생된다고 하는군요.
하인도1
[하인드/하인도/인도짱 의 홈페이지] 저만의 공간입니다. 다양한 소재들을 나열하는 아주 단순 무식한 홈페이지 입니다. 다양한 문서 자료도 있겠지만, 저의 푸념들도 있답니다.