HTML5/CSS/jQuery 전자책 뷰어의 보안 위험성

작성자 : 관리자

웹호환성과 관련하여 PC와 스마트폰의 다양한 웹브라우저에서 열람할 수 있는 크로스 브라우징 전자책의 개발을 위해 현재 무분별하게 jQuery 라이브러리에 의존하는 경향이 있는데, 이는 향후 심각한 보안 취약점으로 엄청난 댓가를 치룰 위험성을 내포하고 있다.

관공서의 웹진 또는 전자책 관련 업무을 담당하는 담당자는 단순히 웹표준인 HTML5/CSS만 체크하고 jQuery 라이브러리를 사용하고 있는지 아닌지를 대부분 간과하고 있는 것이 현실이다.

전자정부 웹호환성 준수지침 제5조 4항에서 '웹페이지를 동적으로 구성하고 제어하는 기능은 W3C DOM Level 2 또는 Level 3 ECMA-International ECMA-262 3rd의 표준으로 구현하여야 한다.'라고 규정하고 있지만, 그것이 무엇을 의미하고 있는지 또 jQuery 라이브러리를 사용해도 괜찮은지 아닌지를 알고 있는 담당자는 그리 많지 않다.

전자정부법에서는 웹표준인 ECMAscript ECMA-262 3rd를 사용하라고 준수지침을 고시하였을 뿐, jQuery 라이브러리와 같은 비표준적이고 라이브러리의 일종을 사용하라고 고시하지 않았다.

먼저 ECMAscript ECMA-262 3rd(이후 ECMAscript로 명시함.)과 jQuery 라이브러리의 차이점에 대해 생각해 본다.

ECMAscript는 1999년12월에 릴리스된 3rd판 이후 자바스크립트를 개발한 넷스케이프, 마이크로소프트의 j스크립트 모두 ECMAscript와의 호환을 목표로 표준화된 스크립트 언어이고, 이는 대부분의 웹브라우저에 탑재되어 있다.

반면, jQuery는 ECMAscript로 어떤 하나의 기능을 하는 함수를 개발하기 위해서는 많은 시간과 노력을 필요로 하기 때문에 ECMAscript상에서 구동 될 수 있는 별도의 라이브러리로서 존 레식이 2006년 Alpha판을 소개한 이후 특수효과 및 애니메이션 등을 위해 널리 사용되기에 이르렀다.이러한 자바스크립트 라이브러리는 jQuery외에도 여러 종류가 있다.

jQuery를 사용하기 위해서는 관련된 라이브러리를 서버로 부터 클라이언트로 다운로드되게 한후 이를 클라이언트에서 메모리로 로딩하여 필요한 함수를 이용하게 된다. 이를 위해 확장자가 js인 다수의 화일들을 서버에 업로드하게 되는데, 이들 화일은 http://jquery.com에서 다운로드하여 사용한다. 또한 jQuery 라이브러리는 불필요한 기능들을 포함하고 있는데, 실제 필요한 기능이 10%이면 나머지 90%는 실제로는 불필요한 기능들이 대부분이다.

보안의 위험성은 바로 여기에 있다.

개발자들은 라이브러리의 소스를 전부 분석하고 살펴보지 않고, 100%의 기능중에서 자신에게 필요한 10%의 기능만을 단순히 호출하여 기계적으로 사용하며, 납품할때는 라이브러리를 특정 폴더에 담아서 함께 납품함으로써, 이는 그대로 고객의 서버에 업로드되게 된다.

개발자 자신이 개발한 것이라면 소스코드를 보면 이상하게 변경된 부분이 있으면 금방 알 수 있지만, 다른 사람이 개발한 라이브러리의 소스코드는 대부분 기계적인 사용에 머물게 될 수 밖에 없다.

jQuery라이브러리에 악성 코드가 심어져 있다 하더라도 눈치채지 못하고 그대로 납품할 수 밖에 없게 되고, 서버는 위험에 처하게 된다.전국적으로 디도스 공격이다 금융권의 서버가 해킹당하는 등의 문제는 서버나 PC에 바이러스가 침투하지 못 하도록 바이러스 백신으로 철저히 관리하면 그토록 문제가 될 정도로 심각하지 않게 예방할 수 있는 문제이다.
필자의 경우 PC의 부팅 속도가 느려지고 가격이 비싸지만 Norton 제품을 10년 이상 사용하면서 바이러스 문제는 안심하고 있다. 이는 국산 바이러스 백신으로 스캔했을때 바이러스를 잡지 못 해도 Norton 제품은 잡아낸 경험을 하고 부터 여러가지 불편을 감수하면서 사용하고 있다.

일본 오오츠카쇼우카이는 '타노메일'이라는 일본의 20만개 회원 기업들에게 전자카탈로그 서비스를 브이알포토의 솔루션으로 2005년 부터 서비스하고 있는데 절대로 그 어떤 라이브러리도 서버에 설치되지 못 하도록 철저히 관리하고 있다. 프로그램이 업그레이드 되는 경우에는 개발팀이 투입되어 소스코드를 샅샅이 분석하는 것은 물론이고, 자체적으로 보안인증을 하여 보안인증을 통과한 프로그램만 서버에 업로드하고 있다.

결론적으로 jQuery라이브러리는 많은 잇점을 제공하지만, 그만큼 커다란 리스크를 안고 있다. 즉, jQuery라이브러리를 사용하는 개발자들은 그 라이브러리를 자신이 개발한 것이 아니기 때문에 그 소스코드를 보더라도 그속에 숨겨진 악성코드를 분별할 수 없으며, 만약 자신의 PC가 바이러스에 감염되어 jQuery라이브러리에 악성코드가 심어졌다고 하더라도 눈치채지 못 하고 그대로 납품하게 될 것이며, js화일 형태여서 백신 프로그램의 스캔도 무사히 통과하게 되어 서버에 업로드 되는데 문제가 되지 않을 것이며, 이는 서버에 치명적인 위험을 초래할 수 있다.

따라서 이러한 문제점을 제대로 인식하고 전자정부법에서 '웹페이지를 동적으로 구성하고 제어하는 기능은 W3C DOM Level 2 또는 Level 3 ECMA-International ECMA-262 3rd의 표준으로 구현하여야 한다.'라고 규정한 이유를 다시 한번 곱씹어 볼 필요가 있다. 이러한 이유로 인해 브이알포토는 ECMAscript로 함수 하나 하나 자체적으로 코딩하여 개발하고 있다.

[전체목록]

게시물:330, 쪽번호:1/14 오늘:0


번호	제목	이름	등록날짜	조회

330	구글스토아 iBooks/TTSbook e북 App - 버라이어티 도봉웹진	관리자	2019-01-29	1815
329	Android6 이상에서 Single Finger Drag Gesture on Zooming 지원	관리자	2019-01-29	1866
328	시각장애인을 위한 전자책 본문 음성낭독 - 크롬과 오페라 지원!!	관리자	2018-10-08	1216
327	반가운 소식! 윈도우10의 엣지(Edge)브라우저에서 음성낭독	관리자	2015-09-01	3001
326	서체 개발회사에서 허용하는 전자책의 허용 범위	관리자	2015-06-26	2597
325	서체개발회사의 온라인 라이센스 법무대행 법무법인 제위	관리자	2015-05-10	3225
324	폰트 저작권 관련한 대응 방안 - VR Photo TTSbook으로!	관리자	2015-04-30	3329
323	행정자치부와 미래창조과학부가 나서서 Flash기반 전자책 폐기시킨다!	관리자	2015-04-16	2050
322	2014년12월17일 ＇글로벌소프트웨어공모대전＇에서 동상 수상	관리자	2015-01-13	1816
321	HTML5/CSS/jQuery 전자책 뷰어의 보안 위험성	관리자	2013-08-19	6256
320	한중일 최초로 HTML5/CSS/ECMAscript 기반의 웹접근성(웹호환성 포함)뷰어개발	관리자	2013-07-31	2271
319	웹호환성 대응 전자책 제작 프로그램의 최신 업그레이드 내역	관리자	2012-07-09	3076
318	IE10에서 HTML5 지원 및 ECMAscript5 탑재에 따른 Flash전자북의 도태 예고	관리자	2012-06-03	2753
317	세계최초로 다중해상도기반의 멀티플랫폼 크로스브라우징 전자책개발	관리자	2012-05-07	2725
316	전자정부 웹호환성 준수지침 준수 방안	관리자	2012-04-23	3175
315	VR Photo iBooks 윈도우즈7/IE9 업그레이드 접수	관리자	2012-04-23	2774
314	VR Photo iBooks Mobile Plus 출시	관리자	2011-07-11	4663
313	전자북의 웹 호환성 및 접근성에 대하여	관리자	2009-08-25	6903
312	"우수발명품우선구매 추천" 제품으로 선정	관리자	2008-12-28	7321
311	신라호텔 신라면세점 e-카탈로그 제작 서비스	관리자	2008-12-16	7851
310	국립재활원 전자북 솔루션 도입	관리자	2008-12-16	6417
309	서울시 용산구청 전자북 솔루션 도입 서비스	관리자	2008-12-16	6568
308	언론중재위원회 홍보용 만화책자 전자북 서비스	관리자	2008-12-16	5014
307	한국식품연구원 웹진제작 서비스	관리자	2008-12-16	5147
306	서울 용산고등학교 동창회 소식지 웹진 제작 서비스	관리자	2008-12-16	7287
1 [2][3][4][5]▶▶

본 사이트는 Internet Explorer 5.0 이상에서 최적화되었습니다.
브이알포토주식회사 사업자번호 : 113-81-82189
TEL : 02-3272-2281 FAX : 02-6280-2274 Mail : vrphoto@hanmail.net
서울 영등포구 국제금융로7길 3
Copyright 2003 사보나라 All right reserved.
www.TTSbook.com www.vrphoto.com
VR Photo ZOOM@ASP Service