실종아동 사이트에서 Active-X를 사용하면 안되는 일곱가지 이유
실종아동전문기관에 알린다
Active-X를 깔지 않으면 한 명의 실종자 사진과 정보도 볼 수 없다
(http://www.missingchild.or.kr)
액티브 엑스 없애기 캠페인 - 아무 대답없는 실종아동 "전문"기관
나는 이미 일련의 글들을 통해서 우리나라 실종아동 찾기의 문제점을 지적해 왔다. 제일 중요한 것은 경찰청과 보건복지부로 이원화되어서 서로 밥그릇 싸움을 하고 있는 것을 당장 중단해야 한다는 것이다. (이 부분에 대해서는 보건복지부의 답변이 오는대로 심층적으로 다시 다루겠다)
그리고 또 하나, 보건복지부에서 위탁 운영하고 있는 (이걸 왜 위탁운영하는지 도저히 알 길이 없다. 이런 것은 국가가 직접 하면 안되나?) "실종아동전문기관"의 홈페이지에 있는 "쓸데없는 액티브 엑스"에 대한 것이다.
나는 그동안 다음 블로거뉴스에 실종아동 글이 실릴때마다 꾸준히 액티브 엑스 반대 캠페인의 링크를 달았고, 그런날마다 적게는 서너개에서 많을때는 수십개의 "액티브 엑스 없애달라"는 글이 실종아동 기관의 게시판에 실렸다.
(이미, 우리나라는 액티브 엑스 걷어내기가 유행처럼 번지고 있으며, 세계적으로도 액티브 엑스를 남발하는 국가로 우리나라가 오명을 쓰고 있다)
하지만, 아무 반응이 없는 것이 대부분이었다. 사실, 아래와 같은 공지사항을 하나 덧붙이긴 했다.
실종아동 기관의 비겁한 변명
ActiveX 설치에 대하여
실종아동 찾기에 관심 가져 주셔서 감사합니다.
실종아동전문기관에서는 실종아동 및 장애인의 실종신고접수 자료를 경찰청과 공유하고 있으며, 또한 전국 시설보호 아동 및 장애인 중 보호자가 확인되지 아니한 대상의 신상카드를 접수받아 DB화하여 홈페이지에 공개하고 있습니다.
실종아동등의 관련 정보의 보호조치 및 공개,열람에 대한 내용은 “실종아동등의 보호 및 지원에 관한 법”률(‘05. 12. 1시행) 시행령 제4조제1항 규정하고 있는데, 그 내용은 “전문기관의 장은 법 제8조의 규정에 의하여 신상카드를 활용한 데이터베이스를 구축,운영함에 있어서 정보 또는 자료를 안전하게 보호하기 위한 정보복구 체계의 구축 및 외부침입 방지장치의 설치 등 정보 또는 자료보호에 필요한 조치를 하여야 한다”. 라고 규정하고 있습니다.
이에 따라 우리 기관에서는 내부 주전산 프로그램을 사용하고 있으며 내부전산 프로그램의 데이터를 웹 인터페이스 통해 홈페이지에 구현되고 있습니다. 따라서 구현하는 개발Tool 자체로서 보안등의 사유로 ActiveX 프로그램을 첫 방문 시에 설치하도록 하고 있습니다.
그러므로 여러분들께서 다소 불편함이 있으시더라도 홈페이지 첫 방문시에만 ActiveX를 설치해 주시면 이후로는 모든 정보를 확인하실 수 있으므로 양해하여 주시기 바랍니다.
다시 한번 여러분들의 넓은 이해 부탁드리며, 실종아동에도 많은 관심 부탁드립니다.
감사합니다.
왜 비겁한 변명인가? - 일곱가지 이유
첫째, 법률의 문구를 오해하고 있다.
위의 문구를 핑계삼아서 "보호하기 위해서" Active-X를 설치하도록 했다고 한다. 그런데, 이 문구는 웬만한 정부기관에는 모두 있는 규정이다. 데이터베이스 내용을 보호해야 한다는 것은 외부의 해킹등에 의해서 데이터가 누출되거나 파괴되어서는 안된다는 지극히 평범한 규정이다. 또한, 거의 대부분의 공공기관은 데이터베이스의 자료를 기반으로 홈페이지를 운영하고 있다.
그렇다면, 모든 공공기관에는 액티브엑스를 사용해서 데이터를 보여줘야 한다는 것일까? 이미 이게 아님은 다들 알것이다.
둘째, 이 액티브엑스는 보안용이 아니고 리포팅용이다
실제로 이 사이트에 사용된 것은 "보안"과는 전혀 상관없는 프로그램이다. '리포팅 툴'이라고 불리는 것인데, 이것은 각종 서식을 쉽고 예쁘게 화면이나 프린터로 전송하기 위한 툴이다. (가격이 꽤 비싸다.) 정부관련 프로젝트에서는 서식을 출력할 일이 무척 많은데, HTML만으로는 그 복잡하고 다양한 서식을 다루기가 힘들다. 따라서, 삼성 SDS나 LG CNS등의 IT 회사에서는 리포팅 툴을 사용하는 것을 당연시 여긴다. 이 리포팅 툴은 자바 기반의 것과 Active-X 기반의 것, 범용 등으로 나눌 수 있는데... 실종아동 기관에서는 Acitve-X기반의 Ezgen이라는 리포팅 툴이다.
즉, 보안과는 아무 상관없고, 화면을 꾸미기 위한 툴이다. 결국, 이걸 깔지 않았을때와 깔았을 때의 차이는, 단지 화면이 보이냐, 안보이냐의 차이 뿐이다.
셋째, 액티브엑스를 깔아도 어차피 모든 데이터는 복제가 가능하다.
위에서 말했듯이, 지금 실종아동 기관에서 자랑스럽게 "데이터의 보안"을 위해서 제공하는 액티브 엑스 프로그램은 원래부터가 보안과는 상관이 없는 것이다. 그걸 깔고나면 보안이 되는가? 아니다. 물론, 마우스 드래그로 쉽게 자료를 가져가지는 못한다. 그렇지만, PrtScr 키 하나면 얼마든지 복사가 가능하다. PrtScr키 누른 다음에 그래픽 프로그램에 붙여넣기만 하면 사진은 얼마든지 추출해 낼 수 있다.
만약, 내가 저 아이들의 사진을 가지고 나쁜 짓을 하려는 사람이라고 치자. 그러면 액티브 엑스를 못깔아서 나쁜짓을 못할까? 아니면, PrtScr키를 몰라서 못할까? 이건 정말 말도 안되는 일이다.
거기에 리포팅툴은 공짜가 아니다. 가격은 그때그때 다르지만 적어도 몇천만원 수준이다. 이 돈은 우리 국민의 혈세 아니던가? (삼성에서 무료로 제공했다는 소리도 들었지만, 이 부분에 대해서는 공식으로 질의할 예정이다. 그렇다고 하더라도, 왜 쓸데없는데다 돈을쓰나?)
그렇다면, 다시 원점으로 되돌아가서, 현재 액티브엑스(리포팅 툴)를 깔아도 보안에는 별다른 차이가 없으므로 실종아동 기관은 현재 심각하게 법률을 위반하고 있는 것인가? 대체, 실종자들의 사진과 그들의 특징을 널리널리 퍼뜨리는 것이 실종아동 기관 본연의 임무가 아닌가?
넷째, 만약 액티브 엑스를 걷어내는 것이 보안에 치명적인 것이라면, 보건복지부의 실종아동 배너부터 걷어내야 한다.
보건복지부 사이트의 메인에 있는 광고는 플래시로 된 광고를 iframe방식으로 보여주고 있다. 이 배너를 보기위해서는 기본적인 '플래시'프로그램만 있으면 된다. 사실 거의 기본적으로 플래시는 다 깔려서 나오기 때문에 (오페라나 파이어폭스도 물론 플래시는 거의 표준이라고 해도 과언이 아니다) 프로그램이 필요없다고 말해도 된다.
그렇다면, 지금 보건복지부 사이트는 법을 어기고 있는 것인가? 액티브 엑스로 보안을 안해서?
다섯째, 액티브엑스를 설치못하는 사람도 있고, 이 세상에는 인터넷 익스플로러 외의 웹 브라우저가 많기도 많다.
그렇다. 모두가 컴퓨터를 잘 사용하리라 생각하지만, 액티브엑스가 뭔지, 그걸 어떻게 까는건지 모르는 사람들이 많다. 그 사람들을 모두 원천봉쇄함으로써, 더 많은 사람들에게 보여야 할 사이트가 보이지 않고 있다.
▲ 파이어폭스의 경우 그냥 공백으로 나타나고 만다. 영원히 사진은 볼 수 없다.
이 부분은 거짓말이다. 이미 파이어폭스 사용자도 많이 늘어나고 있으며, 최근에는 오페라나 사파리(Safari)도 나타나고 있다.(최근 iPhone의 출시와 더불어 MS용 Safari도 다국어 버전으로 출시되어서 관심이 증폭되고 있다. 물론 한글 지원등이 원활하지는 않다) 리눅스를 비롯해서 여러가지 운영체제에서 웹을 사용하는 사람들이 많이 있다. 디자인,출판쪽에는 매킨토시 사용자들도 많다.
이런 사용자들은 "다소 불편을 감수하고 " 첫 방문시에 ActiveX를 설치하고 싶어도 못한다. 이런 사람들에게는 어떻게 이야기 할 것인가? "다소 불편하시더라도 MS윈도우즈가 돌아가는 PC를 구입하셔서 저희 사이트를 봐주십시오" 이럴 것인가?
물론, 우리나라는 MS가 거의 지배하다시피 하고 있어서 큰 문제가 없다고 주장하고 싶겠지만, 그런 환경이 아닌 사람도 분명히 존재하며, 그 숫자는 점점 늘어가고 있다는 점을 가볍게 여겨서는 안된다. 또한, 요즘 실종아동 기관에서는 외국으로 입양된 분들이 한국의 가족을 찾는 사연도 싣고 있는데, 외국은 월등히 비MS 사용자가 높다. 현재, 그 분들이 자기 사진이 실린 모습을 보러 오면 문전박대하고 있지 않는가?
여섯째, 우리보다 시스템이 더 잘 구축된 미국의 NCMEC에서도 일체의 Active X를 사용하지 않고서도 훨씬 더 실종자를 더 찾는다
전 세계적인 네트웍을 보유한 실종아동단체 NCMEC
모든 웹브라우저에서 접속이 가능하다
실종아동 기관의 미국 연수 보고서에서 극찬했으며, 최근 "연령변환 프로그램"을 도입하기로 결정한 미국의 실종아동 단체(실제로는 전세계에 네트웍이 펼쳐져 있다)인 NCMEC (National Center for Missing & Exploited Children)의 홈페이지를 가보자.
제일 첫 부분에 나오는 실종아동 배너에는 어떤 장치도 되어 있지 않다. 이 페이지는 아마 모든 기종의, 모든 웹브라우저에서 정상적으로 나올 것이다. 과연 이들은 보안개념이 철저하지 않아서일까?
아니다. 아마 이들의 데이터베이스 보안은 누구보다 철저할 것이다. 단지, 실종아동을 찾는 배너광고는 널리널리 퍼져야 한다는 근본정신을 이해해서이다.
벤치마킹을 하려면 근본정신부터 벤치마킹을 해야 하지 않을까?
일곱째, 이미 행자부에서 발표한 공공기관 홈페이지 표준화안에 위배된다.
이미 행자부에서는 6월에 이미 아래와 같은 내용을 발표한 바 있다. (사실, 특별한 것은 아니다. 그동안 계속 공공기관의 웹접근성 평가를 실시해 온 바 있다.)
공공기관 홈페이지 2009년 까지 모두 표준화 [전자신문] 2007.6.25
(발췌)
서보람 행자부 표준화팀장은 “현재 다수의 공공기관 홈페이지가 마이크로소프트의 ‘인터넷 익스플로러’ 외의 브라우저는 지원하지 않는 등 표준화 미비에 따른 문제가 많았다”며 “정부가 제정한 국제기준의 표준이 적용되면 정부기관 홈페이지가 OS나 브라우저에 관계 없이 이용할 수 있게 된다”고 말했다.
(중략)
현재 행자부가 작업 중인 공공기관 홈페이지 표준화안은 ‘보편적 접근성 확대’가 핵심으로, 이를 위해 공공기관 홈페이지 스타일 시트를 세계웹표준기구(W3C)가 권장하는 ‘CSS’(Cascading Style Sheet)로 통일하기로 했다. 이와 함께 △OS 다양성 확보 △장애인 접근성 개선 △휴대폰·PDA 등 모바일 기기를 통한 접속 등 웹페이지 보편성 확대와 관련한 방안이 다수 포함됐다.
http://www.etnews.co.kr/news/detail.html?id=200706220239
보건복지부에서 위탁한 외부 단체라서 상관없다고 생각한다면 오산이다. 대체 실종아동 전문기관이 공공기관에 속하지 않는다면, 어느 기관이 공공기관에 속한단 말인가?
액티브 엑스를 없애는 것은 그리 어려운 일이 아니다
아마, 내가 인터넷 프로그래머 출신이 아니라든지, 정부쪽의 프로젝트를 해보지 못했다든지, 현재 정부 프로젝트를 맡고 있는 프로그래머들에게 이것을 걷어내는데 걸리는 시간을 확인해 보지 않았다면, 아마 실종아동 기관의 변명에 수긍을 했을 것이다. 하지만, 나는 이런류의 일을 가장 잘 알고 있는 실무자이다.
좀 심하게 말하자면, 이 쓸모없는 액티브 엑스를 걷어내는데는 한나절이면 충분하다.
솔직히, 장기 실종아동 100여명을 비롯해서 데이터를 모두 합해도 몇천개가 되지 않는 아주 작은 규모의 데이터인데다가 별다른 기능도 제공하지 않기 때문이다. 또한, 화면도 그리 복잡하지 않기 때문에 아주 간단히 해낼 수 있다.
그게 어려워서 못한다면, 얼마든지 봉사해줄 사람들을 모아서 지원해 줄 수 있다.
다시 보안때문에.. 라고 변명을 한다면, 나는 어느 교수님이 공인인증서를 MS윈도우즈 기반이 아니면 안되게 했다는 이유로 담당 공무원을 형사고발한 것처럼, 나도 고발을 할 예정이다.
(관련글 : http://www.openweb.or.kr/ OPENWEB 꽉 막힌 전자정부, 꽁꽁 닫힌 웹페이지)
액티브 엑스가 별것 아니다?
뭐 그렇게 간단한 것을 가지고 난리를 피우느냐는 의견도 있을 수 있겠다. 하지만, 이것은 간단한 문제가 아니다. 기본적인 정신의 문제다. 실종아동 법률이 어렵게 어렵게 국회를 통과한지 몇년이 흘러도, 실종아동 시스템이 아직도 구석기 시대를 못벗어나고 있는 것은 이런 기본적인 것들이 마련되지 못했기 때문이다.
실종아동의 부모님들이 만든 블로그와 사이트를 가보라. 그곳에는 정부가, 경찰청이, 실종아동 기관이 어떤 조치를 취해야 하는지, 경험에서 우러나온 대책이 모두 쓰여 있다. 단지 그것을 보건복지부와 경찰청, 실종아동 기관들이 듣지 않으려 애쓰고 있을 뿐이다.
내년부터 실종아동 기관의 예산은 엄청나게 늘어나서 수십억이 지원된다.
이 국민의 혈세가 이런 기본적인 것도 지켜지지 않는 상황에서 과연 제대로 운영될 수 있을까? 내년에 이 혈세로 진행될 사업들의 선두권을 빼앗기지 않기 위해서 선수를 치는 경찰청의 행태도 그리 아름답지 못하다. (이에 대해서는 곧 글을 쓸 것이다.)
다시 한 번 외친다.
보안과 아무 상관없는 리포팅 툴인 Active-X를 즉시 걷어내어서 모든 이들이 실종아동 사이트의 실종광고를 볼 수 있도록 하라!
(캠페인 방법을 바꿉니다. 실종아동전문기관의 게시판에는 아무런 효과도 없으므로 보건복지부로 민원을 넣기로 했습니다. www.epeople.go.kr 에서 회원가입을 하지 않고도 가능합니다. 무척 번거로운 일이지만, 여러분들의 참여가 세상을 바꿉니다.
www.epeople.go.kr 에 가셔서 "실종아동 사이트의 액티브 엑스를 없애달라"는 간단한 민원을 넣어주시면 됩니다!
실종아동을 모두 찾는 그날까지
계속 외치고 외칠 한글로. 2007.7.22