"SSL/TLS 가 과연 취약한가?" 페이지 보기

215 views
Skip to first unread message

youknowit

unread,
Apr 6, 2009, 10:19:34 AM4/6/09
to open web

http://groups.google.co.kr/group/open-web/web/ssl-tls?hl=en을(를) 클릭하거나 연
결되지 않을 경우 브라우저의 주소창에 해당 URL을 복사하여 붙여넣기 하세요.

Haisoo Shin

unread,
Apr 6, 2009, 11:03:41 AM4/6/09
to open web
기대했지만, 그쪽에서는 이미 거부한 것 같지요. 다른 분이라도 도전해주셨으면 하는 바람입니다.

애초에 그쪽의 주장은 SSL이 SEED+키보드보안+백신보다 취약하다는 것이었겠죠. SSL보다 현재의 플러그인 암호화가 우월하다
는 제대로 된 근거는 아직 본 적이 없습니다. 누군가가 애플리케이션 단에서 암호화를 하기 때문에 안전하다고는 했지만, 이 역시
결국 클라이언트 PC에 해킹 프로그램이 설치된 경우를 상정한 것이겠지요. 보안을 요구하는 부분만 암호화를 하기 때문에 서버 부하
를 줄일 수 있다는 장점도 있긴합니다.

클라이언트 PC 또는 중간 라우터 등을 점거하지 않는 이상 SSLv3 통신을 뚫는 것은 아직까지 불가능하다고 생각합니다. 결국
교수님의 제안을 받아들이는 사람이 할 수 있는 일이라고는 클라이언트 PC를 공격하는 일 정도겠지요. 그런데 이 것이 성공한다고
해서 SSL이 SEED보다 허술한 것은 아닙니다. 클라이언트 PC가 넘어가면 SEED도 손쉽게 해킹이 가능할 것이니까요.

사실 어렵게 시연해줄 필요도 없지요. 해킹이란게 워낙 시간을 소모하는 작업이니까요. 다만 현재의 플러그인 방식이 https에 비
해서 어떤 장점이 있는지 이론적으로라도 알려줬으면 하는 바람입니다. 그래야 그에 따른 대안을 고민해볼테니까요.

Tae-young Jung

unread,
Apr 6, 2009, 11:18:17 AM4/6/09
to open web
제가 아까 블로그에 남겼던 글에서 장황하게 써두었지만...

MITM 공격을 간단히 설명하자면

1. 공격자가 AP를 가장
2. 사용자가 인터넷에 사용하기 위해 AP를 가장하고 있는 공격자로 접속 - 이를 통해 인터넷질...
3. 인터넷 뱅킹등을 이용하려고 하면 변조된 DNS 등을 이용하여 아래와 같은 식으로 통신을 하게 됩니다.

클라이언트 <-HTTPS통신-> 공격자 <-HTTPS-> 서버

물론 클라이언트 측에서는 보안 경고창이 뜨겠죠. 서버 인증서가 유효하지 않다고, 하지만 (통계적으로) 90%에 달하는 사용자들
이 이에대해 '예' 를 클릭한다고 합니다. 그로 인해 정보를 가로채고 위 변조 할 수 있게 되는 문제죠.

그런데, 이게 플러그인 방식이라고 다르냐! 똑같은 문제가 발생할 수 있습니다. 결론부터 얘기드리자면 그놈이 그놈이란 겁니다.

다른 글에서 방준영씨는 '해외 이용 사례 중 페이팔 피싱'을 들어 외국에서도 문제가 많음을 얘기하고 있습니다. 또한 '공인인증서
와 보안 접속은 상관없으니 공인인증서를 사용하지 말자? 헛소리!' 정도 얘기를 하고 있는데,

우선 공인인증서와 보안 접속은 상관이 없기 때문에 위 이야기는 조금 핀트가 어긋났다고 할 수 있습니다.

공인인증서는 보안 채널을 생성하는데 사용되는 것이 아니라 자신이 거래했다는 것을 증명하기 위한 목적으로 (마치 PGP
Signature와 같이) 사용됩니다. OpenPGP를 활용해서 자신이 보낸 이메일을 입증하는 방식으로는 Enigmail 등이
있으며, 이 방식이 딱 공인인증서 + 거래증명 과 동일한 것을 의미한다고 볼 수 있을 것입니다.

참고로 Enigmail은 다음과 같이 동작합니다.

1. 이메일 내용을 해슁
2. 해슁한 문자열을 자신의 비밀키로 암호화
3. 이메일을 받는 사람은 자신의 공개키로 암호화된 문자열을 복호화하고, 메일 내용의 해쉬값과 비교!

결과적으로 보낸 사람을 증명할 수 있음.

전자 서명은 어떨까요?

1. 전송되는 값을 해슁
2. 이 해슁 값을 공인인증서로 암호화
3. 받아보는 쪽에서 디코딩해서 증명...

뭐 내용 증명이건 내용 확인이건... 어쨌거나 표현의 차이일 것 같고... 위에서 예로든 Enigmail과 동일한 것을 볼 수
있습니다.

kldp의 '리눅스, 키보드 보안'과 같은 글들을 보게 되면 리눅스 등에서 키보드 보안 모듈을 깔려고 하는 것이 얼마나 비상식적
인 것임을 알 수 있습니다. 맥에서도 비슷한 얘기일 것으로 보이고요.

윈도우는 아무래도 비상식적인 사용자들이 많고, 오랫동안 취약점 등이 노출되어 왔습니다. 이런 취약한 OS와 다른 OS에 동일한
기준을 적용한다는 것은 넌센스라고 생각하며, 절충안으로 Windows+ IE에서는 지금과 같은 체제를 유지...

하지만 타 브라우져, 타 OS에 한해서는 안티바이러스, 안티키로거 기능 사용을 Optional하게 처리할 수 있도록 해야한다고
봅니다.

그리고 해결해야할 문제가 둘 더 있죠. 공인인증 플러그인과 보안 채널 바로 그것인데요. 이와 관련해서는 100번을 생각해도 똑같
은 답 밖에는 생각나질 않습니다.

* 보안 채널은 HTTP over SSL로 전환
* 공인인증을 위한 마임타임 및 API를 표준화

뭐 보안 채널 문제야 별로 얘기할 필요가 없을 것 같고... 공인인증 API 표준화 부분...

ActiveX나 plugin이나 어떤 마임타입을 가지는 object가 삽입되었을 경우 그에 대한 핸들러로써 호출이 됩니다. 또
한 둘 다 동일하게 javascript로 해당 객체를 조절할 수 있는 인터페이스를 가지죠.

자 그렇다면 공인인증을 위한 mimetype을 표준화하고, 공인인증 API (플러그인에 값을 넘겨주고 전자 서명된 값을 넘겨받
기 위한 인터페이스) 를 표준화할 경우 다음과 같이 사용할 수 있을 것 입니다.

1. 공인인증용mimetype을 가지는 object가 삽입 -> 이 mimetype에 대한 플러그인이 활성화 (종류는 상관 없
음)
2. 이 object의 메쏘드를 사용하여 공인인증 진행
3. 만약 공인인증용 플러그인이 존재하지 않는 플랫폼이라면 표준 문서를 보고 직접 구현을 하면 됨.

끝! 사람들은 모두 행복하게 인터넷 뱅킹을 사용할 수 있게 되었습니다.

낼 아침 첫 수업이라 일찍 자야하는데, 글이 길어졌네요.


xeraph

unread,
Apr 6, 2009, 11:20:36 AM4/6/09
to open web
이것 참.. 해수 씨까지 헛소리에 동참하면 곤란하죠 -_-

김 교수님, 지금까지 얘기한 거 다 뭘로 들으셨습니까?
한참 엔드포인트 뚫리는거 얘기했는데 그냥 귀막고 계셨나요?
그 컴퓨터에 키로거 하나만 깔아도 그냥 끝난다고 몇 번 말씀드려야 합니까?

youknowit

unread,
Apr 6, 2009, 11:21:48 AM4/6/09
to open web
그러니, 제 컴퓨터에 키로거를 깔아보시라는 것입니다.

dasony

unread,
Apr 6, 2009, 11:23:56 AM4/6/09
to open web
"그 컴퓨터"가 어느건가요? 클라이언트PC 말고 다른 컴퓨터인가요?

xeraph

unread,
Apr 6, 2009, 11:26:29 AM4/6/09
to open web
당연히 뱅킹을 시도하는 단말을 말하는거죠.

매달 MS 취약점 몇 건씩 발표되는데, 또 애플리케이션도 제로데이가 계속 나옵니다.

사용자 PC에 취약점이 없으리라고 어떻게 그렇게 호언장담하십니까?

아.. 진짜 쇠귀에 경 읽는 것도 적당히 해야겠다는 생각이 드는군요.

dasony

unread,
Apr 6, 2009, 11:29:36 AM4/6/09
to open web
저는 분명히 "클라이언트 PC 또는 중간 라우터 등을 점거하지 않는 이상"이라고 했습니다.
그리고 키로거가 깔린 컴퓨터에서 현재 플러그인 기반 암호화시스템은 안전한가요?

키로거/백신 설치 문제와 SSL vs SEED 문제는 별개로 봐야되는데 자꾸 논의가 섞이니까
서로 쇠귀에 경 읽고 있네요.

youknowit

unread,
Apr 6, 2009, 11:30:01 AM4/6/09
to open web
예, 제 컴퓨터를 말합니다. ip 주소는 116.44.202.41 입니다.

On Apr 7, 12:26 am, xeraph <xer...@nchovy.com> wrote:

xeraph

unread,
Apr 6, 2009, 11:31:59 AM4/6/09
to open web
저는 교수님을 대상으로 말씀드린 것이니 대신 반응하실 필요 없고요.

이 부분은 해수 님이 읽어보셨을지 모르겠지만 이전 오픈웹 사이트에서의 논의의 연장선 상에 있는 것입니다.

뱅킹 보안을 논하면서 SSL만 가지고 논의하면 무슨 소용이 있습니까?

youknowit

unread,
Apr 6, 2009, 11:38:00 AM4/6/09
to open web
하나씩, 하나씩 밝혀보면 되겠습니다.

별도 플러그인 방식의 "보안접속"은 한국 외에는 아무데도 하는 곳이 없고, "보안접속"에 관한 한 SSL 을 능가하는 안전한 해
법은 없다는 것이 오픈웹의 입장입니다. 이 문제 부터 분명히 매듭을 짓고, 그 다음 문제를 논하면 될 것으로 저는 생각하고 있습
니다.

지난 며칠동안 댓글을 다신 분들은 마치 "SSL/TLS 보안접속"이 금방 공격될 수 있다는 식으로 사람들을 오도했다고 저는 이해
하고 있습니다. 그러니, 그것부터 한번 입증해 보시면, 더 이상 불필요한 지면 낭비는 필요없지 않겠습니까?

dasony

unread,
Apr 6, 2009, 11:38:01 AM4/6/09
to open web
제랍님께서 저까지 헛소리에 동참한다고 하시기에 당연히 저한테
하시는 말씀이라고 생각했습니다만 죄송합니다.

위에 정태영님 글을 읽어보시면 알 수 있듯이 많은 분들은
1) SEED/플러그인 방식의 암호화를 SSL 등의 표준으로 바꾼다
2) 전자서명은 표준화를 하든지 크로스플랫폼을 한다.
3) 키로거/백신을 opt-out할 수 있게 한다.
을 요구하는 것이잖아요.

차례대로 해야하니까 SSL만이라도 논의하는 것은 의미가 있습니다.
3번에 반대한다고 해서 1번이 안될 이유는 없으니까요.

그리고 교수님/ 교수님 PC가 뚫리지 않는다는 것은 별 의미가 없는
것 같습니다. 애초에 보안 의식이 허술한 사용자까지 상정하고
가야하니까요.

On Apr 7, 12:31 am, xeraph <xer...@nchovy.com> wrote:

xeraph

unread,
Apr 6, 2009, 11:43:49 AM4/6/09
to open web
저는 해수 님이 지금 말씀하신 1, 2, 3에 대해서 이견이 없습니다.
3번은 물론 사용자가 책임을 진다는 전제를 달아야 하고요.

그러나 다 갈아엎어라, 해명해보아라, 어디 한 번 뚫어보아라 식은 매우 불쾌합니다.

그리고 아무도 SSL을 따로 떼어놓고 취약하다고 하지 않았습니다.

dasony

unread,
Apr 6, 2009, 12:01:32 PM4/6/09
to open web
문제를 분리해서 하나씩 접근하면 서로 만족할 수 있는 안이 나오리라 믿습니다.
2번의 기술적인 문제와 3번의 법적인 문제가 가장 큰 문제가 되리라 생각합니다.
그런데 계속해서 1번에서 머물러있으니 답답한 마음이 큽니다. 서로 흥분 상태에
있어서 그렇다고 생각합니다. 개인적으로는 오픈웹에서 보안업계에 문제를
제기하는 과정이 조금 공격적이었던 것이 아쉽습니다. 그 동안 답답한게 많아서
그랬겠지만요.

우리끼리 대안을 찾아내도 훨씬 큰 두 장애물(정부와 은행)이 기다리고 있지요.
그 두 장애물을 넘고나면 그 다음엔 구현 및 deploy라는 또다른 문제가 있고요.

조금 한 발 물러서서 오픈웹은 보안의 입장에서, 보안쪽 분들은 오픈웹의
입장에서 생각해보면서, 논쟁보다는 논의를 했으면 하는 것이 저의
주제 넘은 바람입니다. Channy님 블로그에서 어느 분이 이번 주에 있는
코드게이트에 김교수님과 Channy님 등이 참석해서 직접 이야기해보는
것이 어떠냐는 의견을 주신 적이 있는데, 그것도 괜찮은 생각 같고요.

그리고 세랍님 위에 닉네임 잘못 써서 죄송합니다 ^^;

youknowit

unread,
Apr 6, 2009, 12:03:26 PM4/6/09
to open web
제가 보기에는 "SSL 보안접속이 별도 플러그인 방식의 보안접속"보다 취약하다는 주장은 원래부터 근거가 없었습니다.

그러므로, 우선, "보안접속용 플러그인"은 걷어내면 됩니다.

공격자가 키로거를 아무 컴퓨터에나 설치할 수 있는 것은 아닙니다. 위험을 정확히 분석하고 대책을 세워야지, 위험을 과장하고 호들
갑을 떤다고 보안에 도움이 되는 것은 아니라고 저는 생각합니다.

안티 키로거를 지금처럼 플러그인 방식으로 제공하되,

1. 미리, 그런 플러그인이 제공된다는 정보(information)를 고객들에게 제공함으로써, '영문도 모르고 예를 눌러야 하
는' 현재의 사태를 시정하고,
2. 그 플러그인 설치를 거부하는 경우, 해당 페이지에 접속할 때마다, 설치를 요구하는 경고창이 뜨도록 해두고,
3. 그 플러그인 게시자를 '신뢰할 수 없는 게시자로 등록하는 방법'을 아는 이용자(고급이용자)는 그렇게 등록해두면, 더 이상
경고창 없이 그 다음 단계로 넘어갈 수 있도록 해두라는 것이 제 생각입니다.

이런 해법이 지금의 설계를 크게 바꾸어야 하는 것도 아니고, 금융거래를 더 위험하게 만드는 것도 아니라고 저는 생각합니다.

Xeraph 님의 생각도 그리 다르지는 않을 것으로 예상하는데, 어떤지요?

On Apr 7, 12:43 am, xeraph <xer...@nchovy.com> wrote:

xeraph

unread,
Apr 6, 2009, 12:13:56 PM4/6/09
to open web
dasony/
오픈웹 하는 행동 보면 전혀 참여할 마음이 안 듭니다.
(아래는 오픈웹을 대상으로 하는 말이니 혹시나 오해하지 마세요.)

이제는 마치 보안 전문가들이 오픈웹 DDoS 때린 것 아니냐는 투로 떠들고 다니시고..
진짜 전문가들이 마음먹고 공격하면 고작 IP 2개로 다 드러나게 허접하게 공격 안 합니다.

이 페이지에 쓴 글도 그렇고 이전에 쓴 글들도 그렇고..
마치 안 한다고 하면 거봐라 저것들 돌팔이 아니냐는 식으로 분위기를 몰아가는 것도 대단히 불쾌하고..
(무슨 모의해킹이 장난이나 마술인 줄 아십니까 뿅 마음만 먹으면 그냥 되게.. 그거 비싼 돈 받아가면서 몇 주씩 작업합니다.)
4월 2일 덧글에서도 보였듯이 저것들 믿을 수 없다고 농락하는 것도 불쾌하고 그걸 농담이라고 둘러댄 것은 더 불쾌하고..

대체 뭘 하자는건지 모르겠다는 겁니다.

분명히 사과하지 않으면 다들 거부할거라고 예상합니다.
보안 전문가들 다 적으로 돌리고 이제 DDoS 받고 나니 어디 하소연할데라도 있으신지.. 것 참..

김 교수님/
1, 2, 3 동의합니다. 마찬가지로 사용자의 책임이 전제되어야 합니다.

youknowit

unread,
Apr 6, 2009, 12:19:29 PM4/6/09
to open web
4.2. 댓글이 농담이라고 생각하신다면, 별로 할 말이 없습니다.

제가, 저의 웹블로그 댓글 작성란에 댓글 다는 사람의 한메일 id 와 password 를 입력하도록 요구한다고 생각해 보시기 바
랍니다. Xeraph 님은 입력하시겠습니까?

dasony

unread,
Apr 6, 2009, 12:26:42 PM4/6/09
to open web
교수님/
당시에 다른 분이 "만우절 농담이라고 생각하세요"라는 취지의
리플을 달았습니다. 그것을 두고 말씀하신 것 같네요.

xeraph님/
오픈웹 자체가 커뮤니티도 아니고 무슨 단체도 아니고 애매합니다.
거기 리플 다시는 수많은 분들이 다 오픈웹의 공식입장이라고 보시면
안된다는 구차한 말씀밖엔 드릴 수가 없겠네요. 물론 아시다시피 저도
오픈웹이랑 아무런 관련 없는 사람이고요. ^^;

그만큼 보안업계에 평소에 불만을 가지고 있던 분들이 꽤 있었다 정도로
이해할 수도 있지 않을까요? 그분들이 다 오픈웹의 "선동"으로 인해
보안업체에 대하여 나쁜 인상을 가지게 된 것은 아닐테니까요.

정태영

unread,
Apr 6, 2009, 12:04:35 PM4/6/09
to open...@googlegroups.com
덧: 이경문씨 홈페이지는 로그인을 하지 않으면 글을 쓸 수 없기 때문에 이미 아이디를 만드신 것으로 보이는 dasony님이
경문님을 메일링리스트로 인도해주셨음 좋겠습니다.

경문님께서는 SSL 과 SEED 를 직접적으로 비교하고 있는데요. 이건 잘못된 것입니다. 이는 마치 HTTP 와 UTF-8 을
비교하고 있는 것과 마찬가지입니다.

SSL 은 암호화 방식이 아닌 전송 계층에 해당됩니다. Secure Socket Layer라는 이름에 괜히 Layer가 들어가는 것이 아니죠.

SSL을 사용할 경우 AES등 다양한 암호화 방식을 사용할 수 있습니다. 물론 SEED도 (클라이언트와 서버가 모두
지원한다면) SSL에 사용될 수 있는 것으로 알고 있습니다.

참고로 OpenSSL: The Open Source toolkit for SSL/TLS 에도 이미 SEED가 구현되어 있습니다.

09. 4. 7, 정태영 <nae...@gmail.com>님이 작성:
> 우선 제랍 님이 얘기하시는 애물단지 말단 클라이언트에 대한 얘기는 논외로 하구요.
>
> 얼마 전 토론 - 김기창 교수님과 이경문씨와의 토론-에서의 핵심은 SSL 보다 플러그인 방식이 안전하느냐 였던걸로 기억합니다.
>
> http://www.gilgil.co.kr/bbs/zboard.php?id=free&no=2793
>
> 자 이분이 열심히 얘기하시는 MITM 이 무엇인지 궁금하면 다음 링크 중간에 있는 프레젠테이션 파일의 4번째 페이지를 참고해주세요.
>
> http://securitytube.net/SSL-MITM-Attack-Over-Wireless-video.aspx
>
> 아래 쪽에 데모 링크를 누르시면 실제 데모도 볼 수 있습니다.
>
> 간단하게 AP를 가장해서 값을 가로채겠다는 건데, 정말 최말단에 붙은 후에야 가능한 공격으로 보입니다. 사실 이 공격의 경우
> 사용자의 주의가 있다면 어느정도 피해갈 수 있을 것으로 보이구요. (유효하지 않은 인증서 오류)
>
> 그런데 이 공격이 SSL에만 해당하느냐! 그게 아니란 거죠. XecureWeb 등 HTTPS 와 비슷하게 Secure
> channel을 제공하는 플러그인도 이런 공격은 피해갈 수 없습니다.
>
> 뭐 결론은 둘 다 거기서 거기란 거고, 그렇다면 이미 대부분의 브라우져에 구현되어 있는 HTTPS를 쓰는게 낫지 않겠냐는게 제
> 입장입니다.
>
> 09. 4. 7, youknowit <keecha...@googlemail.com>님이 작성:

> --
> --
> 오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다.
>
> http://mytears.org
>


--
--
오랫동안 꿈을 그리는 사람은 그 꿈을 닮아간다.

http://mytears.org

xeraph

unread,
Apr 6, 2009, 12:29:13 PM4/6/09
to open web
둘러대지 마십시오. 입력하고 안 하고는 자유입니다.

그러나 그걸 가지고 자세한 사실 관계 파악도 없이,
국내에서 10년 넘게 보안 전문가로 일해 온 사람을,
허세나 부리는 믿을 수 없는 사기꾼 취급한 것에 대해 분명히 사과하셔야 합니다.

뱅킹 보안은 그렇게 열심히 공부하신 분이 그런 변명을 하십니까?
그리고 비단 이 건만이 문제였습니까?

그리고 논쟁에 접근하는 태도를 분명히 하셔야 합니다.

지금까지처럼 자기 주장에 불리한 정보는 고의로 무시하거나 누락하고,
유리한 내용만 갖다 붙이는 행동을 계속 하시면 누구도 돌아보지 않을 것입니다.

또 다른 문제..

분명히 예전에는 다른 브라우저 플러그인을 지원해야 한다고 하시더니
요새는 플러그인 자체가 악이라고 주장하시고.. 어느 장단에 맞춰야 합니까.

정태영

unread,
Apr 6, 2009, 11:55:51 AM4/6/09
to open...@googlegroups.com
우선 제랍 님이 얘기하시는 애물단지 말단 클라이언트에 대한 얘기는 논외로 하구요.

얼마 전 토론 - 김기창 교수님과 이경문씨와의 토론-에서의 핵심은 SSL 보다 플러그인 방식이 안전하느냐 였던걸로 기억합니다.

http://www.gilgil.co.kr/bbs/zboard.php?id=free&no=2793

자 이분이 열심히 얘기하시는 MITM 이 무엇인지 궁금하면 다음 링크 중간에 있는 프레젠테이션 파일의 4번째 페이지를 참고해주세요.

http://securitytube.net/SSL-MITM-Attack-Over-Wireless-video.aspx

아래 쪽에 데모 링크를 누르시면 실제 데모도 볼 수 있습니다.

간단하게 AP를 가장해서 값을 가로채겠다는 건데, 정말 최말단에 붙은 후에야 가능한 공격으로 보입니다. 사실 이 공격의 경우
사용자의 주의가 있다면 어느정도 피해갈 수 있을 것으로 보이구요. (유효하지 않은 인증서 오류)

그런데 이 공격이 SSL에만 해당하느냐! 그게 아니란 거죠. XecureWeb 등 HTTPS 와 비슷하게 Secure
channel을 제공하는 플러그인도 이런 공격은 피해갈 수 없습니다.

뭐 결론은 둘 다 거기서 거기란 거고, 그렇다면 이미 대부분의 브라우져에 구현되어 있는 HTTPS를 쓰는게 낫지 않겠냐는게 제 입장입니다.

09. 4. 7, youknowit <keecha...@googlemail.com>님이 작성:

youknowit

unread,
Apr 6, 2009, 12:34:38 PM4/6/09
to open web
피싱사이트에서도 id와 password 를 입력할지 말지는 이용자의 자유입니다.

그분의 사이트가 피싱사이트라는 이야기가 아닙니다. 10년 넘게 보안일을 해 오셨다는 분이 그런 식으로 자신의 사이트를 설계한다
는 것 자체가 저는 신기할 따름입니다.

제 댓글에 설명된 내용을 이해못하시는 분도 부지기수이고, 바로 그 당사자 분도 아직 자신이 무슨 일을 하시는지 이해하시는 것 같
지는 않습니다.

정태영

unread,
Apr 6, 2009, 12:31:13 PM4/6/09
to open...@googlegroups.com


2009년 4월 7일 (화) 오전 1:13, xeraph <xer...@nchovy.com>님의 말:

dasony/
오픈웹 하는 행동 보면 전혀 참여할 마음이 안 듭니다.
(아래는 오픈웹을 대상으로 하는 말이니 혹시나 오해하지 마세요.)

이제는 마치 보안 전문가들이 오픈웹 DDoS 때린 것 아니냐는 투로 떠들고 다니시고..
진짜 전문가들이 마음먹고 공격하면 고작 IP 2개로 다 드러나게 허접하게 공격 안 합니다.

죄송합니다만 사실 관련된 말은 제가 한 것입니다.

제 입장에서 그렇게 생각하지 않을 이유가 있을까요? 제가 개인 서버를 운영한지 8년째이고, 도메인도 처음부터 지금까지 같은 도메인을 사용해오고 있습니다.

3년쯤 전에 호스팅 업체를 옮기면서 아이피가 한 번 변경되긴 했습니다. 제 서버를 사용하시는 분들 외부에 큰 소리 나올 일 없이 좋은 소식들 많이 전하려고 노력하는 분들이고 악의를 살만한 분도 없었습니다.

뭐 어쨌거나 지난 8년간 운영하면서 한 번도 받지 않았던 DDoS 어택을 이 시점에 받았습니다. 제 입장에서 어떻게 생각할 것 같습니까? 고작 아이피 2개로 다 드러나게 허접하게 공격을 한건지 아니면 더 있는데, 업체 측에서 로그를 그렇게 준건지까지는 모르겠습니다. 어쨌거나 보안 업계 분이라면 보기 싫은 오픈웹을 보지 않기 위해 제 서버를 서비스 불능으로 만드는 거야 어렵지 않았을거라 생각하며, 아까도 말했듯이 상황이 상황이니만큼 저로써는 그렇게 생각할 수 밖에 없었습니다.

덕분에 8년 만에 처음으로 제 의지와 상관없이 이틀간 접속을 못하고 있고, 오늘 하루에만 전화를 수십통이나 받아야 했습니다. 업체 측에서는 제 서버에서 불법 도박 사이트 등이 운영되는건지 체크하기 위한 목적으로 루트 비밀번호까지 요구했구요. 

제 서버를 함께 사용하는 친구들로부터 문자, 전화, 메시지 등도 수 없이 받아야 했습니다. 상황을 알고 있기 때문에 저한테 뭐라고 하지는 않지만 그 때문에 저는 더 힘든 상황입니다.

네 보안 업체 분들 대단한 거 알겠습니다. 

다시 한 번 말하지만 덕분에 호스팅 업체에서 쫒겨날 위기에 빠졌고, 제 서버를 함께 쓰던 사용자 분들은 그 잘난 DDoS 공격자 덕분에 최소 삼일 에서 일주일정도는 자신의 홈페이지에 접속하지 못하게 되었습니다. (최소 내일까지는 접속을 못할테고, 옮긴다고 하면 네임서버 변경 후 1~2일 불안할테니 4~7일 정도는 불편을 겪게 되겠네요.)



 

이 페이지에 쓴 글도 그렇고 이전에 쓴 글들도 그렇고..
마치 안 한다고 하면 거봐라 저것들 돌팔이 아니냐는 식으로 분위기를 몰아가는 것도 대단히 불쾌하고..
(무슨 모의해킹이 장난이나 마술인 줄 아십니까 뿅 마음만 먹으면 그냥 되게.. 그거 비싼 돈 받아가면서 몇 주씩 작업합니다.)
4월 2일 덧글에서도 보였듯이 저것들 믿을 수 없다고 농락하는 것도 불쾌하고 그걸 농담이라고 둘러댄 것은 더 불쾌하고..

대체 뭘 하자는건지 모르겠다는 겁니다.

분명히 사과하지 않으면 다들 거부할거라고 예상합니다.
보안 전문가들 다 적으로 돌리고 이제 DDoS 받고 나니 어디 하소연할데라도 있으신지.. 것 참..

김 교수님/
1, 2, 3 동의합니다. 마찬가지로 사용자의 책임이 전제되어야 합니다.


참고로 제가 썼던 글에서는 안한다고 돌파리라고 몬 것이 아니라, 잘못된 내용이 보여서 정정하고 싶었던 것입니다. 참고로 DDoS 공격을 받은 건 김기창 교수님이 아니고 접니다. 하소연할데 없네요. 

행복하신가요? 

뭐 더 하고 싶은 말은 많지만 여기서 줄이겠습니다.



dasony

unread,
Apr 6, 2009, 12:44:31 PM4/6/09
to open web
애초에 blogger.com 사이트가 그렇게 설계된 것을 가지고,
그것이 어떠니 저쩌니 하는 것은 의미가 없는 것 같습니다.
그냥 상대방 흠집 내기 그 이상도 그 이하도 아니니까요.

xeraph

unread,
Apr 6, 2009, 12:44:46 PM4/6/09
to open web
그 때 덧글 보고 실수한 걸 깨달으신 줄 알았는데 아직도 모르시는군요.

다시 가서 제대로 확인하시기 바랍니다.

구글에서 원래 그렇게 만들어 놓은 것 뿐인데.. 구글이 이제 보안에 무지한 기업이 되겠군요. 헛 참..

youknowit

unread,
Apr 6, 2009, 12:49:03 PM4/6/09
to open web
제가 댓글을 쓰기 전에 blogger.com 이 어떻게 설계 되어 있는지를 확인하고, 댓글을 적었습니다.

blogger.com에 가서 확인해 보시기 바랍니다. blogger.com 은 그런식으로 설계되어 있지 않습니다. 댓글 다는 사
람의 구글계정 id와 password 를 개별 블로거 홈페이지에서 입력하도록 설계되어 있지 않습니다.

정태영

unread,
Apr 6, 2009, 12:48:54 PM4/6/09
to open...@googlegroups.com
2009년 4월 7일 (화) 오전 1:29, xeraph <xer...@nchovy.com>님의 말:

그러나 그걸 가지고 자세한 사실 관계 파악도 없이,
국내에서 10년 넘게 보안 전문가로 일해 온 사람을,
허세나 부리는 믿을 수 없는 사기꾼 취급한 것에 대해 분명히 사과하셔야 합니다.



그만 잘라고 했는데 딱 한 가지만 더  묻겠습니다. 

당신들 보안 관계자들에게는 지금 이 시스템이 그렇게 만족스럽고 자랑스러운가요?

xeraph

unread,
Apr 6, 2009, 12:52:47 PM4/6/09
to open web
이보세요 정태영 씨.
지금 서버가 공격 받아서 화나고 당황스러운건 잘 알겠습니다.

그런데,
누가 자랑스럽다고 이렇게 시간 들여서 쇼하고 있는 줄 아십니까?
저라고 블로그에서 악플 아주 한 트럭 받아가면서 그럴 이유가 있었을까요?

오픈웹이 지금보다 더 취약한 뱅킹을 만들자고 주장하는데,
게다가 보안 전문가들을 기만하고 우롱하고 있는데 가만 있을 수 있습니까?

누가 먼저 공격했습니까?
물론 정태영 씨는 아니겠죠. 그런데 그렇다고 저보고 뭐라고 하시면 곤란합니다.

xeraph

unread,
Apr 6, 2009, 12:57:41 PM4/6/09
to open web
김 교수님은 끝까지 자기가 맞다고 주장하시는데 제가 더 할 말이 없네요.

방준영 씨가 왜 그렇게 깠는지 이해가 안 되시는게 당연하겠네요.
http://bangjunyoung.blogspot.com/2009/04/blog-post.html

더 말해봐야 잠 잘 시간만 줄어들 뿐이고..
Matt님이 Channy님 블로그에 오프라인에서 보자고 써놓으셨으니 저는 더 말하지 않겠습니다.

http://channy.creation.net/blog/689#comment-482025

한 번 오프라인에서도 끝까지 맞다고 우겨보세요.

Message has been deleted

xeraph

unread,
Apr 6, 2009, 1:00:38 PM4/6/09
to open web
http://xeraph.egloos.com/4902688
링크된 글과 덧글을 정독해보시길 바랍니다.

youknowit

unread,
Apr 6, 2009, 1:02:52 PM4/6/09
to open web
방준영님의 블로그(그것도 blogger.com입니다)에서 댓글을 한번 달아보시기 바랍니다. 구글 계정 id와 password를
방준영님 블로그 페이지에서 입력해야 하는지를 잘 관찰하시고, 그 결과를 알려주시기 바랍니다.

구글이 그런식으로 설계하지는 않습니다.

On 4월7일, 오전1시57분, xeraph <xer...@nchovy.com> wrote:
> 김 교수님은 끝까지 자기가 맞다고 주장하시는데 제가 더 할 말이 없네요.
>

> 방준영 씨가 왜 그렇게 깠는지 이해가 안 되시는게 당연하겠네요.http://bangjunyoung.blogspot.com/2009/04/blog-post.html

dasony

unread,
Apr 6, 2009, 1:03:58 PM4/6/09
to open web
키로거와 백신이 없으면 잘 모르는 사용자들의 컴퓨터가 취약해집니다.

On Apr 7, 1:58 am, cogniti <cogn...@gmail.com> wrote:
> "더 취약한 뱅킹"에 대한 근거를 부탁드립니다.
> 정말 몰라서 그럽니다.

Matt Oh

unread,
Apr 6, 2009, 1:06:06 PM4/6/09
to open web
제가 여기에 썼습니다. 기록 삼아 올립니다.
"""
http://channy.creation.net/blog/689#comment-482025
Matt
2009 4월 07 1:48
DDOS 공격에 보안 업체를 일단 걸고 넘어지시는 이유가 무엇입니까? 발언 수위를 조절하셔야 할 필요가 있는 것 같습니다. 오해
를 풀려고 하던 보안 전문가들이 오해를 키울 이유가 있을까요? 그리고 보안 업체와 보안 전문가를 구별해서 사용하시기 바랍니다.
보안 업체는 아직 오픈웹에 대해서 공식 대응한 업체가 없습니다. 단지 보안 전문가들이 오픈웹의 잘못을 지적하고 있을 따름입니
다. 용어의 정확성이 뒷받침 될 필요가 있을 것 같습니다.
그리고 몇몇 보안 전문가들은 오프라인에서의 모임을 갖고 싶어 하고 있습니다. 이 글에 제 메일 주소가 남으니 연락 주시기 바랍니
다. 제가 주선해 드릴 수 있습니다.
Message has been deleted

dasony

unread,
Apr 6, 2009, 1:14:29 PM4/6/09
to open web
cogniti님/
앞선 논의를 읽어 봐주시길 바랍니다. 순수하게 SSL만 따로 때놓고
이야기 했을때 문제 없다는데까지는 xeraph님도 동의하셨습니다.
현재 가장 의견이 충돌하는 부분은 부분은 키보드 보안과 백신의
ActiveX 배포 부분입니다. 그리고 이 것이 있는 것이 없는 경우보다
안전하다는 것 지극히 상식적인 이야기이기도 하고요.

참고로 구글 그룹 이메일로도 가능합니다. 오른쪽의 Edit my
membership 부분에서 설정하시면 됩니다.


On Apr 7, 2:10 am, cogniti <cogn...@gmail.com> wrote:
> xeraph
> 구글그룹....적응이 잘 안 되는군요...^^
> (메일링 리스트를 웹에서 하는거 같군요. 그냥 이메일로 하는 방법은 없나요.)
> 워냑 드루팔에 익숙해 있어서요^^
>
> ssl 이 mitm 에 취약하다고 하는데...
> 이것을 말씀하시는 건가요?

Message has been deleted

Matt Oh

unread,
Apr 6, 2009, 1:22:32 PM4/6/09
to open...@googlegroups.com
문제는 여기서 결론을 내어 봐야 소용이 없다라는 사실입니다.
보안 전문가나 보안 업체가 결정권을 가진 사안이 아니고, 결국 금융권이 결정하게 될 사안일듯 하구요.
보안 업체나 보안 전문가를 애초에 오픈웹에서 비방하실 이유가 없었다라는 것이 결론이라면 결론입니다.
이제 오해가 풀렸으니 더 이상의 플레임워는 없어도 될 것 같군요.

2009/4/6 Hodong Kim <cog...@gmail.com>
그럼 결론이 나왔네요...

peterpan

unread,
Apr 6, 2009, 1:32:10 PM4/6/09
to open web
저기 여기 글쓸려고 가입했는데요...

아이디랑 패스워드 구글이나 오픈웹에 피싱당하는거 아닌가요?

> > > 요새는 플러그인 자체가 악이라고 주장하시고.. 어느 장단에 맞춰야 합니까.- 따온 텍스트 숨기기 -
>
> - 따온 텍스트 보기 -

dasony

unread,
Apr 6, 2009, 1:34:11 PM4/6/09
to open web
보안 전문가들의 바로 그런 태도가 지금의 상황에 간접적인 이유가
되었다고 생각합니다. 모두들 오픈웹의 대의명분에는 동의하면서,
결국 금융권이, 결국 정부가 정해야 하는 일이다라고만 하시니까요.

금융권이, 정부가 오픈웹의 말만 듣고 결정하면 얼마나 좋겠습니까?
심지어 소송을 걸고 편지 보내고 서명운동하고 하지만 다 실패했습니다.

보안과 오픈 양쪽 다 만족할 수 있는 대안을 누군가가 만들어야 합니다.
제대로 된 대안을 가지고 정부/은행에 가져가야 하지 않을까요?
오픈웹도 보안 전문지식이 부족하지만, 정부 은행은 더합니다.

어쩔수 없다, 현실이 그렇다, 이런 말씀만 하시지마시고, 대안을 같이
찾아 갔으면 좋겠습니다. 여기서 결론을 내봐야 소용없다고요?
여기서 결론 내리면 보안전문가들과도 합의한 안이다라면서
정부에게 은행에게 들고 갈 수 있습니다. 저는 거기에 마지막 희망을
걸고 있습니다.

On Apr 7, 2:22 am, Matt Oh <oh.jeongw...@gmail.com> wrote:
> 문제는 여기서 결론을 내어 봐야 소용이 없다라는 사실입니다.
> 보안 전문가나 보안 업체가 결정권을 가진 사안이 아니고, 결국 금융권이 결정하게 될 사안일듯 하구요.
> 보안 업체나 보안 전문가를 애초에 오픈웹에서 비방하실 이유가 없었다라는 것이 결론이라면 결론입니다.
> 이제 오해가 풀렸으니 더 이상의 플레임워는 없어도 될 것 같군요.
>

> 2009/4/6 Hodong Kim <cogn...@gmail.com>


>
>
>
> > 그럼 결론이 나왔네요...
>
> > On Mon, 2009-04-06 at 10:14 -0700, dasony wrote:
> > > cogniti님/
> > > 앞선 논의를 읽어 봐주시길 바랍니다. 순수하게 SSL만 따로 때놓고
> > > 이야기 했을때 문제 없다는데까지는 xeraph님도 동의하셨습니다.
> > > 현재 가장 의견이 충돌하는 부분은 부분은 키보드 보안과 백신의
> > > ActiveX 배포 부분입니다. 그리고 이 것이 있는 것이 없는 경우보다
> > > 안전하다는 것 지극히 상식적인 이야기이기도 하고요.
>
> > > 참고로 구글 그룹 이메일로도 가능합니다. 오른쪽의 Edit my
> > > membership 부분에서 설정하시면 됩니다.
>
> > > On Apr 7, 2:10 am, cogniti <cogn...@gmail.com> wrote:
> > > > xeraph
> > > > 구글그룹....적응이 잘 안 되는군요...^^
> > > > (메일링 리스트를 웹에서 하는거 같군요. 그냥 이메일로 하는 방법은 없나요.)
> > > > 워냑 드루팔에 익숙해 있어서요^^
>
> > > > ssl 이 mitm 에 취약하다고 하는데...
> > > > 이것을 말씀하시는 건가요?
>

> --
> -matt

Message has been deleted

Matt Oh

unread,
Apr 6, 2009, 1:36:53 PM4/6/09
to open...@googlegroups.com
적어도 이유없이 남을 비방하는 태도 보다는 낫지 않을까요?
얼마나 많은 보안 전문가들과 접촉을 시도하였는지 모르겠지만, 적어도 공개적으로 알려진 분들은 그러한 접촉을 받아 본 적이 없는 것 같습니다만.
왜 자꾸 남을 평가하려고 드시는지 이유를 알 수 없습니다.
2009/4/6 dasony <das...@gmail.com>



--
-matt

NamX

unread,
Apr 6, 2009, 1:39:28 PM4/6/09