보안프로그램에 '악성코드' 넣은 보안업체 검찰 적발

악성코드를 찾아내 치료해야 하는 보안 프로그램 속에 악성코드를 고의로 집어넣어 금전적 이득을 챙긴 보안업체 두 곳이 검찰에 적발됐다.

서 울중앙지검 첨단범죄수사2부(부장검사 위재천)는 인터넷뱅킹에 사용되는 보안프로그램에 악성프로그램을 넣는 수법으로 광고수익을 챙긴 혐의로 S사 한 모 대표를 불구속 기소했다고 18일 밝혔다.
또 이 제품을 공급받아 금융권 등 공급해온 P사 박 모 전무는 벌금 1000만원에 약식기소했다.

검찰에 따르면, P사는 지난 2008년 4월부터 최근까지 자사 보안프로그램 속에 인터넷 웹브라우저 검색 시, 특정 사이트로 연결되도록 하는 코드를 삽입해 공급해 왔다.
특히 양사의 보안 프로그램은 주요 국가기관, 지방자치단체, 금융권 내에 대거 공급된 상태로, 상당수 PC에 해당 프로그램이 설치됐다.

http://eto.freechal.com/news/outview.as ... 8152111023

액티브X 기반의 보안의 안전함을 열심히 주장하시던 분들이 뭐라하실지? :-)

[quote="duck":34rgux6m]보안과는 관계없는 일이라 AX에 관해서는 별 말이 없을 겁니다.[/quote:34rgux6m]
보안과 관계가 전혀 없다고는 할 수 없는 것 같은데 말이죠. 현재 ActiveX 체제의 가장 큰 문제점이 바로 이겁니다. 공급자가 악의를 품는다면 얼마든지 보안 프로그램으로 가장하고 사용자의 컴퓨터에 어떠한 프로그램이라도 심을 수 있다는 것이 말이죠.(그것도 보안 프로그램이니 관리자 권한을 필요할테니-_-;; )

ActiveX가 보안에 좋지 않은 이유는 기술적인 측면만 있는 것이 아닙니다. 은행이나 다른 사이트에서 뭐 설치하라고하면 무조건 OK를 누르는 사용자의 안좋은 습관 형성에도 영향을 미칩니다.

우분투 쓰기 시작한 이후 인터넷 뱅킹을 할 수 없어 볼일 있으면 은행까지 냅다 뛰어갔다 오곤 했는데…,

이 기사를 보니 땀흘린 보람(-_-;)이 느껴집니다.

저건 ActiveX 기반 보안의 문제점이라기보다는 클로즈드 소스의 문제점이라고 하는 게 더 정확한 것 같군요.

리눅스 쓰면서 가장 신경 안쓰고 편안하게 사용할 수 있는 분야가 바로 바이러스, 악성코드…

악성코드… 그거 슈퍼에서 파는 건가요?ㅜ?

[quote:j2bq6sc2]공급자가 악의를 품었을 경우 보안에 문제 안되는 프로그램이 있나요?[/quote:j2bq6sc2]

이거슨 "바늘 도둑이나 소 도둑이나 도둑놈이긴 마찬가지 아닌가요?" 쯤의 논리로 봐도 괜찮은가요?

[quote="duck":tbv0sssv][quote="떠돌이":tbv0sssv][quote="duck":tbv0sssv]보안과는 관계없는 일이라 AX에 관해서는 별 말이 없을 겁니다.[/quote:tbv0sssv]
보안과 관계가 전혀 없다고는 할 수 없는 것 같은데 말이죠. 현재 ActiveX 체제의 가장 큰 문제점이 바로 이겁니다. 공급자가 악의를 품는다면 얼마든지 보안 프로그램으로 가장하고 사용자의 컴퓨터에 어떠한 프로그램이라도 심을 수 있다는 것이 말이죠.(그것도 보안 프로그램이니 관리자 권한을 필요할테니-_-;; )

ActiveX가 보안에 좋지 않은 이유는 기술적인 측면만 있는 것이 아닙니다. 은행이나 다른 사이트에서 뭐 설치하라고하면 무조건 OK를 누르는 사용자의 안좋은 습관 형성에도 영향을 미칩니다.[/quote:tbv0sssv]
공급자가 악의를 품었을 경우 보안에 문제 안되는 프로그램이 있나요?[/quote:tbv0sssv]
물론 공급자가 악의를 품었을 경우 보안에 문제 안되는 프로그램은 없습니다. 문제는 그것이 '보안 소프트웨어’라는 이름으로 "사용자의 아무런 경계 의식 없이" 설치된다는 것이죠. 게다가 보안 프로그램이라고하니 대부분 관리자 권한으로 실행되지요. 단순 게임이나 프로그램이 악의를 품고 악성코드를 담고 배포되는 것보다 더 심각하고 파급력이 클 우려가 있습니다.

[quote="misari":3sbr1ndo][quote:3sbr1ndo]공급자가 악의를 품었을 경우 보안에 문제 안되는 프로그램이 있나요?[/quote:3sbr1ndo]

이거슨 "바늘 도둑이나 소 도둑이나 도둑놈이긴 마찬가지 아닌가요?" 쯤의 논리로 봐도 괜찮은가요?[/quote:3sbr1ndo]

"경찰관이 도둑질한거나, 노숙자가 도둑질한거나 마찬가지 아닌가요?" 쯤의 논리가 더 가까울 듯 하네요.:)

액티브X의 특별함(?)은 사용자가 어쩔수 없이…혹은 무의식적으로 설치해버린다는 것입니다.
많은 사용자들에게 액티브X의 설치 노란줄은 단순한 프로그램 설치를 위한 보안 경고가 아니라 "이거 설치하지 않으면 이 웹서비스 못 써"라는 의미이며, 실제로도 그렇게 작동합니다.

좀 심하게 말해서,
여러분들이 모 은행 액티브X에 홈페이지를 바꿔버리거나, 광고 집어넣거나, 혹은 PC를 좀비로 만들어버리는 악독한 액티브X가 있다고 인지한다해도, 여러분이 그 은행을 이용하기 위해서는 알아도 그 액티브X를 깔아야 합니다.
그리고 여러분 외의 많은 사람들은 아무것도 모르고, 그냥 습관적으로 설치 허용을 누르고 있을 것입니다.

PC사용자는 PC보안의 최종 방어선입니다.
그런데 액티브X는 사용자의 선택이나 보안의지 따위는 무시해버리는 위와같은 특성을 가지고 있습니다. 액티브X앞에서 여러분은 보안의 프로든, 컴맹 초보든 큰 차이가 없게 됩니다. (고수라면 윈도우를 다시 설치할때 좀더 능수능란하다는 정도의 차이가 있겠죠 ㅋㅋ)

따라서 액티브X에 악의적인 프로그램을 삽입하는 문제는 일반 프로그램보다 더 파급력이나 잠재적인 위험이 크다고 할 수 있습니다.

[quote="duck":1c84e5fl]제가 말하고자 한 것은 그런 문제들은 AX가 아니더라도 가능하다는 것입니다.[/quote:1c84e5fl]제가 말하고자 한 것은 그런 문제는 ActiveX가 일반 프로그램보다 파급력이 비교할 수 없이 크다는 것입니다.(들아코님도 잘 말씀해주셨네요)

[url:1ljxf4am]http://openweb.or.kr/[/url:1ljxf4am]

어떤 천하에 몹쓸 멍멍이가 저런 짓을 했나 했더니
오픈웹에서 찾아보니까 [b:1ljxf4am]소프트포럼(Softforum)[/b:1ljxf4am]이군요!

그래도 코스닥 상장사인데, 저렇게까지 부도덕한 짓을 했어야 했나 싶네요.
이 참에 업계에서 퇴출시켜 버렸으면 좋겠네요.

근데, 생각해보니 이 회사 얼마전에 [b:1ljxf4am]국세청에 리눅스용 XecureWeb 팔아먹은 회사[/b:1ljxf4am] 아닌가요? -_-;

[quote="duck":1t79pkpx][quote="떠돌이":1t79pkpx][quote="duck":1t79pkpx]제가 말하고자 한 것은 그런 문제들은 AX가 아니더라도 가능하다는 것입니다.[/quote:1t79pkpx]제가 말하고자 한 것은 그런 문제는 ActiveX가 일반 프로그램보다 파급력이 비교할 수 없이 크다는 것입니다.(들아코님도 잘 말씀해주셨네요)[/quote:1t79pkpx]
논점 이탈입니다.

제가 처음부터 말해오고 있는것은 AX의 파급력이 아닙니다.
아무래도 제 글을 잘못 이해하신듯 합니다.[/quote:1t79pkpx]
한줄짜리 글들에서 제가 잘못 이해할만한 부분이 있었나요? -_-a

오리님은 AX의 기술적인 부분만을 지적하시길래 전 처음부터 AX가 사용자의 보안 습관에 미치는 안좋은 점과 그 파급력을 중점으로 말씀드렸습니다. AX가 보안에 미치는 악영향은 그 기술적 허점에 있는 것이 아니라 다른 부분에 있다는 것을 말이지요. 논점이탈이라기보다 오리님이 말씀하시는 주장과 처음부터 다른 차원의 문제였다는 것이죠.

특히 이번 문제는 AX의 기술적 허점이 드러난 부분이 아니라 AX의 다른 문제점이 여실히 드러난 부분입니다. AX 기술적으로야 좋지요. 플랫폼 종속적이라는 점을 제외한다면 개발자 입장에서 얼마나 좋은 기술입니까? 단, 그 기술 덕분에 드러나는 문제들이 확실히 있고, MS도 여기에 인정을 했었죠. 기술적 차원 외에 다른 점에서 생각을 해보시기 바랍니다.

일반 프로그램도 충분히 가능은 합니다. 다만 그 파급력에 대해서는 AX에 대해 다시 생각해볼만한 주제입니다. 다른 프로그램도 가능하니 AX에는 문제가 없다, 파급력은 논외로 하자라는 것은 뭔가 이상한 논리네요.

[quote="duck":1vrwk146]제 글을 잘못 이해하고 계신게 맞네요.

"액티브X 기반의 보안의 안전함을 열심히 주장하시던 분들이 뭐라하실지? :-)"
>> "보안과는 관계없는 일이라 AX에 관해서는 별 말이 없을 겁니다."

p.s. 한줄 짜리 글이라도 읽는 사람이 자기 주장에 맞춰서 읽으면 잘못 이해할 수 있지요.
한줄 짜리라고 쉽게 너무 쉽게 생각하신듯 합니다.

p.s. 혹시나 또 오해하실까봐 하는 말인데 제가 AX보안의 안전함을 주장한 사람은 아닙니다. 단지 그렇게 주장하던 사람들이 별 말이 없을 거라는 겁니다. 혹시나 또 오해하실까봐…[/quote:1vrwk146]
제가 처음부터 문제제기를 한 곳은 "보안과 관계 없는 일이라" 였습니다.-_-a 제가 오해한 부분은 없는 것 같은데요… 전 오리님께서 AX를 안전하다고 주장하시는 분이라고 하지는 않았습니다. 이 문제가 보안과 관계 없는 일이 아니라는 것을 말한 것 뿐입니다. 그 사람들이 별말을 해야한다는 것이죠.

생각해보면 한줄짜리 글이기 때문에 오해가 생길 수 있겠군요. 그렇지만 제 글을 읽어보셨다면-_-; 오리님도 오해를 하지는 않으셨을텐데… 아쉽습니다.

어쨌든 문제가 점점 감정적 이슈로 옮겨 갈 것 같아서 전 덧글을 그만 달겠습니다.

덧. 단,

[quote:1vrwk146]다른 프로그램도 가능하니 AX에는 문제가 없다, 파급력은 논외로 하자라는 것은 뭔가 이상한 논리네요.[/quote:1vrwk146]

이 부분은 오리님의 덧글에 대한 제 오해가 맞네요.