남정현의 닷넷 블로그

Windows Vista 호환성 문제 바로 알기

호환성과 ActiveX

Windows Vista에서 금융 사이트 등 웹사이트가 운영되지 않는다는 호환성 문제가 제기되고 있습니다. 그러나 정확한 의미에서 이 호환성 문제란 ActiveX 기술에 의존한 특정 웹사이트가 특정 버전의 윈도우와 특정 버전의 브라우저가 아니면 실행되지 않는 상황을 의미하며, 이는 수 년 전부터 기타 운영체제 및 기타 브라우저에서 호환되지 않는 문제와 동일한 맥락에서 해결법을 찾아야 합니다.

ActiveX는 웹 브라우저에서 PC의 모든 기능을 활용할 수 있게 하는 기능으로, 사용자에게 더 많은 가능성을 열어 준 기능입니다. 그러나 그 발표로부터 10년이 지난 지금 인터넷은 당시에는 생각하지 못했던 악성 소프트웨어로 보안 위협을 겪고 있습니다.

이는 마이크로소프트도 기술 개발 당시에는 예측하지 못했던 문제로, 스파이웨어나 바이러스 등 인터넷을 통해 사용자의 PC를 파괴할 위험성을 지닌 프로그램이 이 ActiveX에 의존하고 있습니다.

마이크로소프트는 2002년부터 점차적으로 포괄적인 ActiveX 컨트롤의 권한을 축소해 왔습니다.

인증 받지 못한 ActiveX의 실행을 막았으며, Windows Vista에서는 보호모드를 마련하여 컴퓨터 내의 특정 영역만 사용할 수 있도록 하였고, 관리자 권한도 제약을 두었습니다. 이 제약은 모두 향후 예측할 수 있는 모든 잠재적 보안 위협에 대응하기 위한 방향이고, 더 안전한 OS로 완성하기 위한 마이크로소프트의 노력과 방향성에 관련 업계는 세계적으로 동의를 보내고 있습니다.

따라서 보안 문제와, 호환성 문제를 해소하기 위해, 일반 웹사이트들의 개별적인 ActiveX 활용은 자제되어야 한다는 것이 마이크로소프트의 입장입니다.

환경적으로 볼 때, 한국의 인터넷 시장은 세계 어느 나라보다 먼저 다양한 서비스를 개발하였습니다. 그래서 당시 다양한 가능성을 열어 주었던 ActiveX를 적극 활용한 서비스를 기획했습니다. 그 결과, 세계적으로 ActiveX는 주로 UI의 보완을 위해서 활용되어 온 정도입니다만, 한국은 보안과 같은 시스템 솔루션이 ActiveX 기반으로 마련됩니다. 그러나 10년의 시간이 흐르면서 세계적인 보안 환경은 다양한 변화를 맞이합니다. 당시의 미비점도 해결이 되고, 또 당시 생각지 못했던 부차적인 그러나 더 심각한 보안 위협이 대두됩니다. 이에 효과적으로 대응하기 위한 방안을 마련할 시점에 오게 된 것입니다.

ActiveX 사용에 대한 대안의 제안

ActiveX를 보안과 같이 시스템 레벨에서 사용하는 것은 지양되어야 합니다.

128bit SSL을 비롯한 표준화된 인증 체제, 그리고 암호 발생기 등 다양한 보안 솔루션을 국가적 차원에서 열린 자세로 수용하여, 다양한 플랫폼에서 기 구현되고 검증된 인프라를 활용하도록 하는 것이 바람직합니다. 현재 Internet Explorer는 세계 표준적 보안 기능을 내장하고 있고, 세계 각국의 은행들은 브라우저 내장의 보안 기능을 활용하고 있습니다.

사용자의 다양한 UI 요구 수용을 위한 ActiveX 사용도 상황 별로 분별하는 것이 바람직합니다.

ActiveX를 지금과 같이 애플리케이션 레벨에서 사용자 편의를 위해 제공하는 것은 그대로 활용하실 수 있습니다. 그러나 일반 웹사이트 및 솔루션 벤더를 위한 마이크로소프트의 제안은 잠재적 보안 위험 요소로 구분되고 있는 ActiveX 대신, .NET Frameworks 3.0에 근거한 WPF 및 WPF/E와 같은 안전한 프레젠테이션 솔루션을 활용하여 사용자 체험을 강화하는 것입니다. 또 만약 구축하려는 사이트가 일반 사용자용인 경우는 되도록 웹의 권고안을 준수하여 멀티 플랫폼 멀티 브라우저용으로 만드는 것을 마이크로소프트는 추천하고 있습니다.

출처: 한국 Microsoft - 한글 Windows Vista 홈페이지

Creative Commons License

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

1. 이 글에 첨부된 patch.zip 파일을 다운로드하여 patch.js 파일을 원하는 곳에 저장한다.

2. 패치를 적용할 웹 문서나 웹 어플리케이션의 소스를 연다.

3. 문서의 <HEAD> ~ </HEAD> 섹션 안에 다음과 같이 반영될 수 있도록 편집한다. 보통의 HTML 문서로 말할 것 같으면 다음과 같다고 할 수 있다.

[CODE]
...
<head>
<meta http-equiv="content-type" content="text/html; charset=euc-kr">
<title>제목 없음</title>
<script src="patch.js" language="javascript"></script>
</head>
...
[/CODE]

4. patch.js에는 docWrite 함수 하나만 들어있으며 단지 document.write를 대신 써주는 일 뿐이다. 하지만 이 HTML 페이지에서 직접 document.write를 호출하는 것과는 차이가 있다.

5. 이제 ActiveX 컨트롤이 삽입된 곳으로 가서 <OBJECT> ~ </OBJECT> 섹션의 내용을 모두 복사한다.

6. docWrite 함수를 호출하되 문자열 인수를 넘겨주면된다. 그러나 다음의 사항을 지킬 필요가 있다.

6-1. 편의상 문자열 인수의 시작과 끝을 작은 따옴표로 할 것을 권장한다. Well-Formed XHTML Document의 경우 모든 Property를 쌍 따옴표로 열고 닫는 관습이 있는데 여기에 일일이 Escape Sequence 처리를 하는것은 비효율적이기 때문이다.

6-2. 가독성을 위하여 String Concatenation을 사용할 것을 권장한다. 물론 한 줄로 이어서 쓰더라도 별 문제는 없겠으나 한 번만 쓰고 말 것은 아니지 않겠는가. 잘 모르는 사람들을 위해서 설명하자면 Enter키로 입력한 줄 띄우기 부분이 JavaScript 문자열에서는 자동으로 이어지는 것이 아니기 때문에 곧 이어 나올 예제와 같이 표기하는 방식을 말하는 것이다.

위의 6-1과 6-2에 따라서 내용을 표기한다면 다음과 같다.

[CODE]
<script language="javascript" type="text/javascript">
<!--
docWrite('<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,29,0" namo_flashbutton width="400" height="70">' +
'<param name="movie" value="banner_02.swf">' +
'<param name="play" value="true">' +
'<param name="loop" value="true">' +
'<param name="quality" value="high">' +
'<param name="WMode" value="Window">' +
'<embed width="400" height="70" src="banner_02.swf" play="true" loop="true" quality="high" WMode="Window" pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash">' +
'</object>');
-->
</script>
[/CODE]

완성된 문서/스크립트는 patch.zip 파일 안에 그대로 저장되어있으니 한 번 살펴보기 바란다.

patch.zip

Creative Commons License

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.