빨리 사라져야할 액티브X

해킹의 기술이 다양해지는 요즘 아직도 고전적인 해킹기술이 널리 사용되고 있어요. 

바로 액티브X를 이용한 해킹법이에요.

액티브X는 은행, 관공서, 쇼핑몰, 전자결제 에 주로 사용되는데요. 실제로 어떻게 해킹이 이뤄지는지 쇼핑몰을 예를 들어 볼게요.



[시나리오]

해커는 다른사람이 키보드로 누르는 정보가 자신한테 보여지도록 만든 액티브X를 몰래 쇼핑몰 서버에 결제하는곳에 올려두어요.

이를 알리 없는 쇼핑몰 고객 A양은 장바구니에서 결제를 클릭하게되고 이어서 결제를 위해선 수많은 액티브X를 설치하라는 알림과 마주하게되죠.

결제를 하기위해 어쩔수 없이 A양은 액티브X를 모두 설치하게되고 그 순간 해커가 심어 놓은 프로그램도 설치되죠.

A양은 카드번호와 cvc정보, 유효 년월, 비밀번호를 입력하고 상품을 구입해요. 

그 순간 해커는 키보드에 입력되는 정보를 *모양까지 모두 무시하고 보게되고 이를 이용해 해커가 다른곳애서 물건을 사죠.

이후 A양은 자신도 모르게 사용된 카드 내역을 받아보게 되죠.




이처럼 액티브X를 이용한 해킹법은 해커들 사이에서 정말 쉽고도 효과적인 방법으로 알려져 있죠. 

따라서 우리 정부는 이러한 보안의 문제와 더불어 다양한 문제를 이유로 2017년까지 액티브X 퇴출을 발표했어요.

이에 맞춰 위에 언급한 은행, 관공서, 쇼핑몰, 전자결제 등도 변화를 해야만 하는것이죠. 

그러나 '액티브X 비사용'만 언급했다는점을 악용하여 새로운 시스템 도입에 들어 가는 막대한 비용을 제외시키고자 액티브X를 다른 형태의 실행파일로 단순히 바꿔서 사용자들이 다운 받게 하는곳들이 늘어나고 있어요.

이는 다운 받는 프로그램의 형태만 바뀌었을뿐 보안의 문제를 그대로 담고 있고 보안기술 발전은 이루어지지 못하는거죠.

해외에서는 오래전 액티브X의 취약점을 파악하고 이를 대체할 다양한 방법들이 이용되고 있는데 말이죠.

아직도 국내엔 결제를 하기전 무엇인가를 설치하라는 사이트들이 대다수인데요. 

어서 이러한 문제점이 빨리 사라지고 액티브X를 대체할 기술력을 가진 소기업들이 있다면 발굴하여 키워 나가야할 것으로 보이네요.