순천향대학교 정보보호연구실 김수현 kimsh@sch.ac.kr 2015. 3. 30 ActiveX 폐지 순천향대학교 정보보호연구실 김수현 kimsh@sch.ac.kr 2015. 3. 30

Contents 1. 서론 2. ActiveX 동향 3. ActiveX 대체방안 월요 세미나

1. 서론 ActiveX 1996년, 마이크로소프트사 개발 재사용 가능한 객체지향적인 소프트웨어 구성 요소 개발에 사용되는 기술 전반적인 기술 혹은 기술을 구현하는데 필요한 구성요소 액티브X 컨트롤은 액티브X를 이용해 만든 작은 프로그램을 말함 대부분 액티브X는 인터넷 익스플로러의 플러그인을 만드는데 사용됨 월요 세미나

1. 서론 국내에서 ActiveX를 사용하게 된 이유 1999년 국내 공인인증서 사용 시작 미국 수출 제한으로 인한 SSL 56비트 암호키만 이용 가능 국내 SEED 128비트를 이용하기로 결정 SEED는 웹브라우저에서 지원 불가 플러그인을 통해 이용 ActiveX 선택 이 후 미국의 암호 수출제한이 풀렸으나 이미 ActiveX를 이용하는 시스템의 고착화로 대체 기술들이 제대로 개발되지 않음 월요 세미나

2. ActiveX 동향 ActiveX 동향 대부분 은행 등 금융권에서 오픈뱅킹 시작 AcitiveX를 사용하지 않기 때문에, 익스플로러 외 브라우저에서 사용 가능(유일한 장점) 그러나 ActiveX와 유사한 NPAPI에 의존 Netscpae Plugin Application Programming Interface 다른 브라우저 사용 시 각종 플러그인 설치 전세계적으로 각종 플러그인 퇴출 예정 구글 크롬 : NPAPI 자체를 퇴출시킬 예정 파이어폭스 : NPAPI 제거 공지 월요 세미나

2. ActiveX 동향 국내 금융거래의 문제점 보안 사고 발생 시 책임여부 국내 금융회사들은 사용자들을 ‘잠재적 범죄자’ 취급함 모든 사용자가 사기 거래를 일으킬 수 있다고 보기 때문에 사용자의 편의는 고려치 않고 PC에 무조건 보안 프로그램 설치 강요 아마존, 페이팔 등 미국 회사들은 대다수 사용자를 ‘선의의 사용자’로 취급 부정거래자만 잡아내는 것에 목적을 둠 사기거래 적발 시스템(FDS, Freud Detect System) 발전 보안 사고 발생 시 책임여부 국내 : 사용자 미국 : 카드사 혹은 결제사 미국 기업들은 선의의 사용자를 더 많이 모으는 것이 중요하다고 보기 때문에 조금이라도 편리한 결제 시스템을 제공하기 위해 피나는 기술 경쟁을 펼쳤습니다. 메일 제목에 지불 금액을 쓰고 참조에 ‘cash@square.com’를 입력하면 신기하게도 송금이 끝나는 스퀘어(Square) 같은 스타트업도 나왔습니다.  미국에서는 보안 사고가 터졌을 때 정부가 책임져주지 않습니다. 카드사나 결제사가 직접 책임을 져야 합니다. 그래서 보험 사업이 발전해 있습니다. 결론적으로 한국의 액티브X는 보안 사고의 책임을 사용자와 정부에 떠넘기는 체제라면, 미국의 간편 결제 시스템은 사용자의 편의성을 높이고 기업이 보안 사고를 책임지는 체제라고 할 수 있을 것입니다. 월요 세미나

2. ActiveX 동향 ActiveX 제거 관련 당국 활동 주요 일지 관련부처 일지 주요 내용 미래창조 과학부 2014년 4월 2014년 9월 2014년 10월 2015년 3월 ActiveX 없는 공인인증서 이용기술 개발 목표 제시 ActiveX 개선 위한 ‘인터넷 이용환경 개선 가이드라인‘ 보급 ActiveX 대체 수단 HTML5 웹표준 지정 웹표준기술(HTML5) 도입 기술 지원 확대 행정자치부 2007년 6월 2014년 5월 웹브라우저 호환 위해 2009년까지 전 공공기관의 웹페이지 국제 규격 표준화 목표 각 부처에 ActiveX 사용 실태 조사와 대체 계획 수립 요청 행정, 공공 웹사이트의 ActiveX 제거 이행 지침 수립, 시행 예정 월드와이드웹컨소시엄(W3C)은 30일 HTML5를 공식 권고안(W3C Recommandation)으로 지정했다고 밝혔다. HTML5는 인터넷 웹페이지를 만들 때 사용하는 언어인 하이퍼텍스트마크업언어(HTML)의 다섯 번째 버전으로 지난 2008년 첫 논의를 시작해 2년 전인 2012년 12월 '권고안 후보'로 지정됐다가 이번에 웹표준이라 할 수 있는 공식 권고안이 됐다. 월요 세미나

3. ActiveX 대체 방안 ActiveX 대체 방안 ‘exe 실행파일’ 방식의 보안프로그램 크롬, 사파리 등에서도 실행 가능 그러나 exe 실행파일은 특정 OS(Windows)외에는 설치 불가 리눅스, 맥 등 사용자의 PC에 보안 프로그램을 깔고 또 다시 사용자에게 책임을 전가하는 무늬만 다른 ActiveX 브라우저 종속성 다양한 브라우저 뿐만 아니라 다양한 OS에서도 제공해야 하지만 해결 불가 공인인증서 의무 사용 폐지로 간편결제 도입 촉진 월요 세미나

Click to edit company slogan . Thank You ! Click to edit company slogan . 월요 세미나

참고문헌 3월말 카드사 액티브엑스 퇴출 공공 웹페이지에선 여전히 대세 http://news.zum.com/articles/20671115 은행권 액티브X 퇴출 못하고 미적미적 http://news1.kr/articles/?2059351 '액티브X 폐지해도 당장 외국에서 천송이 코트 구입 쉽지 않아' http://news.sbs.co.kr/news/endPage.do?news_id=N1002894559 액티브X 전면폐지 2개월 유예 사실 아니다 http://www.korea.kr/policy/actuallyView.do?newsId=148789468 핀테크 시대의 성장통 ‘액티브X 폐지’ http://news.donga.com/List/3/all/20150120/69173000/1 '가보지 않은' 액티브X 폐지…보안에 문제 없나 http://economy.hankooki.com/lpage/economy/201503/e2015032306362769890.htm 액티브엑스로 먹고사는 보안업체, “우리도 피해자”, http://slownews.kr/9534 액티브X 폐지와 그 적들, http://biz.chosun.com/site/data/html_dir/2015/01/16/2015011600499.html?main_column 월요 세미나