겐도사마의 재림

별 내용은 없고 메일 하나 보내다가 마지막에 쓴 말을 다시 한번 적어 봅니다.

웹서비스를 개발할 때 보안을 생각하지 않는 것은 사탕에 설탕대신 사카린을 퍼붇는 거랑 같습니다.

설탕가격 비싸죠. 사카린 넣으면 단가 낮출 수 있습니다.
보안 신경 쓰면 속도가 느려지거나 장비를 더 많이 사야 할수도 있습니다.

사카린 넣으면 먹는 사람은 더욱 단맛을 느낄 수 있고 행복해 할지도 모릅니다.
엄격한 보안정책 같은 것은 쓰레기통에 던져 버리고 사용자에게 많은 기능들을 제공해 주면 행복해 할지도 모릅니다.

사실 처음에는 사카린이 몸에 어떤 영향을 주는지 몰랐습니다.
보안홀(Security-hole)이라는 것이 원래 처음에는 잘 안보입니다.

라고.. 적고 있는데...

http://en.wikipedia.org/wiki/Saccharin

사카린과 암과의 관계성에 대해 거의 없다는 쪽으로 기운것 같네요.


음....

예제가 잘못되었;;;;;

다이어트 콜라에 암경고가 있다고 오래전에(90년데쯤) 들었는데 그게 사카린 때문이었고, 그 원리가 설탕보다 적게 넣어도 되서 칼로리가 낮아지는 원리란 것도 방금 알았습니다;;;;

자! 설탕대신 사카린을! -0-

지난 20세기에는 당시 법에 따라 다음과 같은 어이없는 상황도 발생했습니다.

그런 것이었다.

미국과 캐나다이외에는 받지 말라고 하는 사이트에서..
체크를 위해 이메일 주소를 받는데 확실이 kr 꼬리가 붙으니 안되었다.
그래서 netian.com을 사용했더니 된다.

난 방금 새벽을 틈타 미국에서 무기 하나를 몰래 들여 왔다.

난 단지..

PGP 소스가 필요했을 뿐인데... 삽질하다가 엉뚱한거만 실컷 받아왔다.
윈도우용 PGP 5.0 따위는 필요 없단 말이다. 난 소스가 필요했을 뿐이였단
말이다.

만약 겐도가 갑자기 사라지거든 미국 CIA나 국방성에서 잡아갔다고
생각하기를...

이미 5.0용 소스는 다른 곳에서 구했는디. ==;;;;;

(-.- ) ( -.-) ( _._) (_._ ) (-.- ) ( -.-) ( _._) (_._ ) (-.- ) ( -.-) ( _._)

74869 커피우유, 그리고 THIS.

당시 미국법에 따르면 높은 수준의 보안 프로그램도 무기로 간주, 해외로 가져갈 수 없었습니다.

죄송합니다. 그냥 놀러 왔다가 궁금해서...

PGP가 뭐길래 무기라고 하는 거예요??

(난 모르는 게 넘 많은 것 같아...T.T;;;)
===============================================================================
..... 그래, 나에게는 소질이 없다. 내게 필요한 것은 노력과 근성뿐이다.
===============================================================================

PGP =  Pretty Good Privacy ..

무기는 아닙니다.. ^^

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
 * At the blue moon gate ...

PGP는 개인용 데이터 암호화나 그사람이 썼다는 것을 증명하는 데 사용할 수 있는 프로그램이었습니다. 인터넷 뱅킹할 때 사용자 확인을 위해 공인인증서를 사용하는데 그것과 매우 유사합니다.
http://en.wikipedia.org/wiki/Pretty_Good_Privacy

ari님의 글 "Re^2: 무기 밀반입. --;"에서 :
>
> PGP =  Pretty Good Privacy ..
>
> 무기는 아닙니다.. ^^

128bit이상의 PGP는 무기로 취급되고 있지요. (맞던가????)

암호화 기술입니다. 라고 간단히 못박아 버리는 겐도.

규제가 풀린다는 소식도 잇던데..

(-.- ) ( -.-) ( _._) (_._ ) (-.- ) ( -.-) ( _._) (_._ ) (-.- ) ( -.-) ( _._)

74869 커피우유, 그리고 THIS.

PGP의 경우 여러 엔지니어들의 노력으로 미국에서 합법적으로 나올 수 있었습니다.
 http://en.wikipedia.org/wiki/Pretty_Good_Privacy#Criminal_investigation
결론은 제작자가 법에 안걸리게 책으로 소스코드를 출판해 버렸고 유럽의 개발자들이 OCR을 사용해서 이를 다시 코드로 만들어 컴파일 했죠.
물론 지금은 법이 변경되어 미국에서 프로그램 수출이 가능합니다. 다만 북한등 일부 지역의 수출만 제한되어 있습니다.

무기 맞어...

암호론 시간에 한박사님이 소개해주는 관련서적을 찾으러 도서관에 가면

4층 구석의 Z열에서 Cryptography 분야의 책을 찾을 수 있지.

근데 그 곳의 책 분류를 보면

'군사학' 이라고 되어있지... -.-;;

@ from... mypraise...

암호학이 원래 전쟁과 연관성이 높다 보니;;;

보부상(BBS E-Market) 대량 변조 피해 주의 from 헐랭이와 IT보안

라는군요.

해킹 자체나 취약점이야 알아서들 대처하시고 제목이 "지름신 주의보"냐면, 그림의 사이트들 대충 보니 저도 아는 곳이 좀 있군요. 즉 소규모 쇼핑몰중에 위에 언급된 시스템을 사용했다면 다 털릴 가능성이 높습니다. 그나마 착한 곳에서 뚫은 경우 홈페이지 변조로 끝나겠지만 심하면 다 털리는거죠.

결국 소규모 사이트에서 물건 구입하는 것은 한주 정도 딜레이 하는 것을 권장하고 싶네요.

PS.
덕분에 돈이 굳었;;;;

최근 EAS에 잘 피해 다니는 스패머 한명의 케이스를 보니, 엄청난 양의 다른 주소에서 스팸을 보내고 있습니다. 각 페이지를 몇개 조사해 본바, 타인의 페이지를 해킹 한 후 특정 주소로 리다이렉션 하는 파일을 업로드 한 후 해당 페이지를 스팸으로 뿌리고 있습니다.

대상은 윈도우, 리눅스 가리지 않고 하고 있습니다. 뚫는데 시간이 오래 걸려서 뭐 몇몇 XXX에 비해서 스팸양은 적은 편이지만, 그래도 꽤 많은 주소로 스팸이 들어오고 있습니다.

블로그 뿐만이 아니라 방치된 웹서버가 자칫 스팸서버가 되는 일이 없도록 주의해야 할 것입니다.

어제 N사이트에서 모병원 관련 기사 읽다가 걸려버린 백도어임다. Kaspersky를 쓰고 있었는데 이놈은 엉뚱한 짓만 해서 겨우 고쳤네요. iframe 버그를 이용해서 걸렸습니다. 모든 업데이트에 실시간 풀옵션을 쓰고 있는 저도 걸린걸로 봐서 XP SP2급은 적어도 다 뚤리나 봅니다. 백신의 종류에 따라 막을 수도 아닐 수도 있습니다.

증상
Kaspersky는 backdoor.win32.agent.air라는 바이러스가 걸렸다고 system32 폴더의 norton.sys를 지목. 이것은 시스템 마다 다를 수 있을 것 같습니다. 허나 실제로 그 파일은 없습니다.
이것이 부팅할때 마다 혹은 주기적으로 이 경고가 발생.

조사
system32 폴더에 뭐가 있겠지 하고 봤더니 rund1132.exe 파일 발견. (운이 좋았습니다;;) rundll32.exe의 페이크죠. 생성날짜마저 조작되어 있기 때문에 찾기 어려웠습니다.
시작개체중에 avp로 등록. avp는 보통 백신들이 실시간 감시용도로 사용하는 이름입니다. 저의 경우 레지스트리 Run쪽에 있더군요.
아니나 다를까 프로세스 리스트에도 저놈이 있었습니다.

대충 짐작
백신 탐지 회피기술이 적용되어 있는 것 같습니다. 방금 업데이트한 Kaspersky로는 아직도 어쩔 수 없습니다. 백신에게 거짓 정보를 흘리고는 자신은 계속 활동하는 것 같습니다. 전문가는 아니니 더 조사는 못해보겠지만...

처리방법
작업관리자에서 rund1132.exe 종료. 파일 삭제. 시작개체에서도 제거.
현재까진 별 징후 없음.

PS.
역시 대놓고 백신 공격해 버리는 바이러스엔 백신도 어쩔 수 없군요. 금방 패치가 나오려나?

고객정보보안
저 글을 쓸때 china.com에서 검색이 될줄 알았는데 중국어를 잘 못하는 관계로 검색창이 어디야~~ 하다가(이름하여 비직관적인 UI -ㅅ-) 결국 글을 찾았습니다.
중국에서 도용중인 주민번호 검색!
몇년전에 구글 형님이 발로짠 관리자 화면을 샅샅이 훑어 주시어 이름/주민등록번호/연락처등을 쉽게 얻을 수 있었고 정부와 여러 단체에서 난리를 쳐서 겨우 잠재운지 얼마되지 않아, 여러분의 형제 자매의 신상정보를 중국 게시판에서 얻을 수 있습니다. 국내 게임들 가입하는 법 설명한 페이지 아래에 누군가 가입정보가 필요하다고 하니 바로 몇십명의 정보를 턱 붙여주는군요.

일부러 관심끄고 살지만 (안껐다간 우울증 걸려버릴지도 ㄱ-) 실제로 보안사고 꽤 일어나는 것으로 알고 있습니다. 정보가 유출되어도 끝까지 추적해서 원본 파기하는 경우는 거의 없고 다 쉬쉬해 버리죠. 언론에서 떠들기도 국민들 대다수가 이해하기 힘든 주제기도 합니다.

사실 개발자 입장에서, 눈앞에 떨어지는 기획서 어디를 봐도 고객정보보호에 대한 이야기는 단 한줄도 없습니다. 고객 패스워드를 아직도 Plain Text(원문)로 저장하는 곳 아직도 많습니다. 서비스 런칭이 중요하지 아무나 와서 고객정보 다 볼 수 있는 것에 대해서 신경쓰는 사람은 프로젝트 구성원중 아무도 없는 경우가 허다합니다.
전에 "웹의 보안"에서도 비슷한 이야기를 했습니다만 보안요구사항은 저얼대 고객이나 사장 머리에서 바로 튀어나오지 않습니다. 보안의식이 있는 구성원이 한명이라도 없다면 보안사고 터지기 전까지는, 아니 터져도 별 생각 없습니다. 많은 기업들이 보안사고 터져봐야 재발방지 노력보다는 언론 잠재우기부터 시작합니다. 사실 티스토리도 개발 중간에 잠재적인 보안문제가 발견되었는데 하루라도 빨리 런칭해야 하는 시점에 해당 문제가 정확히 확인되지 않고 가능성만 존재하는 상황에서도 올 스탑하고 해당 문제 수정을 했다는 소리를 하면 아마 업계 사람들중 상당수가 머리에 총맞았냐라고 할것입니다. (물론 무결점의 시스템일이 없고 가끔씩 잠수함 패치도 합니다. 외부의 코드가 들어오는 플러그인 업데이트가 느릴 수 밖에 없는게 또 연관된 이유입니다.)

모사 게시판의 사용자 글들이 중국놈들 광고로 변해도 별일 없었다라고 덮어버리고 모사 서비스 고객정보가 바로 검색이 된다고 몇몇 사람들이 지적해도 언론에서는 절대 말 안합니다. 저 회사들만 그런거 아닙니다. 단지 재수없게 저의 현재 기억속에 회자될 뿐입니다. 상당수가 그렇습니다. 자 그덕분에 개인정보가 국제적으로 떠돌게 되었습니다.

사실 국내의 주민등록번호 시스템은 취약합니다. 수십년 전에야 간첩잡는데는 충분했겠지만 이름과 번호 몇자리로 개인이 구분되는 세계에 살 고 있습니다. 너무 구하기 쉽고, 반면 너무 강력합니다. 뭐 이번에도 살살 덮혀서 몇년 더 쓸수 있을지 모르겠지만 또 터지겠죠. 걍 이번에 확 터져서 더 큰일 생기기 전에 이 사회적인 시스템 바껴야 합니다. 쓸데없이 중복 가입 막는다고 민증까라 할꺼면 엄격하게 데이터 보관을 하던지, 아니면 저장하지 말아야 합니다. 민증번호 해시(Hash)만 써서 저장해도 이런 문제 안생기는데 왜 정부기관도 아닌 곳에서 민증버호 차곡 차곡 쌓아서 해커들에게 갖다 바치는지 모르겠습니다.

이번에라도 이 이슈는 공론화 되어서 이참에 해법을 찾았으면 합니다. 각 기업들은 개인의 민감한 정보를 포기하던지 아니면 돈 쏟아 부어서 안전장치 하게 하고, 이름-번호만으로 개인이 구분되는 전반적인 구조도 해결해야 할 것입니다. L게임 해킹사건때, 뭐 인터넷 게임에만 국한된 사건이겠지라거나, 결국은 깔끔하게 덮여버린 상황이 또 재현되어서는 안될 것입니다. 정확히 원인 분석하고 해결책 찾고, 그리고 해결해야 하는 문제입니다.

많이 이슈화가 되기 원하는 의도에서, 이 글은 맘대로 퍼가셔도 됩니다. 상업적인 용도냐 아니냐 상관없습니다. 자신의 것인양 쓰셔도 됩니다. 퍼간거 표시 안하셔도 됩니다.

얼마나 심각하냐구요? 사실 심각하지도 않습니다. 일전의 구글에서 검색되던 것과 거의 비슷합니다. 차이가 있다면 최근 오픈하는 게임들에 이미 가입되어 있다는 것 정도. 열심히 동네검색해서 주소 입력하고 휴대폰 입력한것 옆에 누군가의 주민등록번호와 이름이 나란히 기입 되어 있다는 것 정도. 중국인이든 한국인이든 이미 아는 사람들은 움직였을 거라는 것.

http://search.naver.com/search.naver?where=nexearch&query=viyagra&frm=t1&sm=top_hty

기계는 알 수 없는 Viyagra지만 사람은 알아서 오타 수정을 한다는 것이 문제.

바이러스 검사에 있어서 특정 시그너쳐(Signature)로 디텍팅하면 변종에 약하다라는 것은 이미 정설이고 스팸도 이제 마찬가지인 것 같다.

Viagra 단어를 포함하고 있는 이 글을 트랙백으로 보냈을 때 필터에서 걸러내는 블로그가 얼마나 될까? 참고로 EAS는 한두번쯤은 눈감고 봐준다.

평소에 각 포탈의 인기 검색어를 뒤져보며 사회적 트랜드를 구경하는 짓을 하는데 동영상도 포함된다. 헌데 재미있는 녀석들을 발견.

N사의 대문에 들어가면 화제의 동영상들이 나온다. 그것을 클릭하면 여러곳에 퍼져있는 동영상들을 검색해서 보여주는데 그중 하나를 들어가 봤다.



전형적인 펌 블로그처럼 보인다. "다리미질 동영상"으로 검색된 것이다. 한참 전의 동영상인데 아무튼 다시금 떳나보다. 플레이를 눌러보자.


네이버 동영상 보는데 Active-X 플레이어가 필요했던가. --? 그와중에 도메인도 N사의 정책을 봤을때 도저히 이해할 수 없는 것이다. 표시되는 사이트는 랜덤하고 때에 따라서는 동영상을 보려면 상단의 Active-X를 설치하라고 하기도 한다.

아무튼.. 원래 사이트로 가서 스크롤을 해 봤다.
엥? 동영상이 또 있다. 이건 제대로 플레이 된다.


원리는 간단하다. 본문에 동영상이 포함되어 있는 경우 검색에 자동으로 노출된다. 포함은 아무데나 이다. 100번쯤 엔터를 치고 삽입해도 검색에는 걸린다. 세로해상도가 1만쯤 되지 않는다면 당연히 해당 페이지를 보는 대부분의 사람들은 동영상 플레이어로 보이는 그림을 만나게 된다.(아마 플래쉬로 다른 컨텐트의 스냅샷을 들고 오는 것으로 보인다.) 그리고 플레이 버튼을 누르려고 하지만 실제로는 Anchor link를 클릭하게 되고 동영상 플레이어나 악성코드 제거 프로그램으로 가장한 스파이웨어 설치를 유도하는 사이트로 가게 된다.


명심하라. N사나 D사의 동영상 플레이어는 별도의 Active-X를 요구하지 않는다(일부 외부 링크의 동영상 제외). 다른 링크를 누르면 프로그램 설치 없이 볼 수 있는 경우가 많으니 정말 자신있는 상황이 아니라면 Active-X를 설치하지 말길 바란다.

사실.. 보안쪽에 경험이 많다는 나조차 하마터면 설치할 뻔 했다. 도메인 이름을 보지 않았으면 말이다. 자칫 대형 사고 우려가 보인다.

PS. 눈에 보이는 것이 전부는 아니다.

CentOS팀의 시청홈페이지 해킹사건 from 헐랭이와 IT보안
사건 전말 from Off the hook(English)

대충 사건의 전말은 웹호스팅 업체가 밀고 새로 깔면서  설정을 마저 하지 못해서 웹페이지 첫화면에 CentOS의 초기설정 화면이 떠버린 것을 본 미국의 시청 직원이 CentOS에게 왜 해킹했냐면서 당장 복구하지 않으면 FBI에게 신고하겠다고 난리를 친것.

무려 22년동안 시스템 관리를 하신 전문가 분이;;;;

뭐 여러가지 이야기 거리가 나오겠지만.. 그냥 즐기시라~

표(!)로 정리되었으면 좀더 보기 좋았을 듯한 웹 보안쪽 컨설팅에 대한 짧고 좋은 글입니다.
웹 애플리케이션 취약점 진단 방법 비교 - "헐랭이와IT보안"

이번 글은 위의 글을 좀더 퍼트리고자 하는 목적과 더불어 일반적으로 웹의 보안에 대한 인식에 대해 저의 견해를 적어 보고자 함입니다. 많은 회사들이 자사의 데이터 보호에만 신경을 쓰고 있지만 고객의 자산을 보호하려는 것에 대해서 "보안 요구 사항" 자체가 생각해 내기 어려운 면도 있지만 미필적고의에 의해 간과해 버리는 것이 일반적인 상황일 것입니다.

ID-Password 시스템의 한계
보안이라는 것이 편의성과 반하는 경우가 일반적이라 할 수 있습니다. 가령 패스워드의 강도를 요구사항으로 넣게 되는 경우 안그래도 세상에 외울것도 많은데 전혀 이해할 수 없는 문자열을 머리에 넣게 만들고 있습니다. 질문-답 시스템은 심지어 주관식에 약한 사람들에게는 애시당초 외우는 것을 포기하게 만드는 경우도 존재합니다. 가령 좋아하는 색이 뭔가라는 질문에 대해 1년전과 동일한 상황이란 보장이 없기때문입니다. 그렇다고 부모 이름적기는 개인정보유출되면 끝나는 문제이고 초등학교 이름 적으라는 것은 초등학교를 나오지 않는 사람에게는 불가능한 질문이 되기도 합니다. 아무튼 이런 불편성을 고객에게 요구하고도 얻는 전체적인 보안 강도 향상이 얼마나 되는 것일까요? 패스워드 유출사고에서는 당연히 차이가 없고 패스워드 추측에서는 산술적으로야 100년 걸리는 것이 10000년 걸리는 차이가 있습니다만 실제적으론 둘다 10000년입니다. 단순히 ID와 Password를 동일하게 쓰지만 않게 하는것과 큰 효과차이를 가지기 힘듭니다. 제대로 된 강한 암호입력 방식은 랜덤 제너레이트된 16자리 문자열을 봉투에 넣고 봉인한 후 금고에 보관하면서 일주일마다 그것을 변경하는 정도는 되어야 의미성이 생길것입니다. 어설프게 할바엔 할 필요도 없습니다.

그럼 어떤 방법이 있느냐.. 불안한 ID-Password시스템이라면 아예 깨질것이라고 가정하는 편이 좋습니다. IE의 강력한 자동입력기능에 Cache 파일시스템에 이런 것을 제대로 관리하기에는 무지한 사용자가 있는 이상 적당한 확률로 제 3자가 패스워드를 훔쳐낼 수 있다고 보는 편이 좋습니다. 훔치지 않아도 인정많은 사용자들은 자신의 맞고 계정 패스워드를 애인에게 알려줍니다. 이렇게 포기하고 나면 보안성을 점검하는 데 있어서 길이 보일 것이라고 생각합니다. 취약한 보안 시스템인 ID-Password가 뚫리더라도 문제가 크지 않도록 해야 하는 것입니다. 쇼핑몰에서 가장 핵심적인 피해는 소비자에게 금전적인 문제일것입니다. 헌데 이런 부분은 카드사나 금융사에서 기를 쓰고 막고 있습니다. 쇼핑몰에서 따로 카드정보를 기억만 하고 있지 않으면 됩니다.(만약 한다면 알아서 고민해 보시기 바랍니다.) 나머지 정보들만 이제 보호하면 됩니다. 가장 먼저 할 일은 고객의 정보를 단계별로 나누어야 합니다. ID와 패스워드만 알면 모든 정보를 꺼낼 수 있는 0-depth 디자인은 문제가 있다는 것입니다. multi-depth로 나누고 각 단계마다 접근 방법을 제한 시키면 됩니다. 사실 이런 정보는 변경하는 케이스가 매우 드뭅니다. 회사가 비용을 부담하겠다라고 한다면 그순간 엄청난 방법들이 쏟아져 나옵니다.

Amazon의 사용자 기억 기능이 나름대로 유용할 수 있습니다. 아무런 입력 없이도 페이지 상단에 자신의 이름이 나옵니다. 자신이 주로 가는 카테고리나 본 상품에 의해 추천 상품들이 나옵니다. 반대로 그 상황에서 정보가 유출되어 봐야 Adult Video 상품들을 자주 찾아본다가 전부일 것입니다. 이후 로그인을 해야만 접근할 수 있는 부분과 더불어 최종 결제는 카드사의 인증방식을 사용합니다. 덕분에 결제가 뜨는데만 상당한 시간이 소요되기도 합니다만 이런 식의 다단계 정보 분류는 사용자의 편의성도 좋게 만들면서 적절한 보안성을 노리고 있습니다. (물론 저 시스템의 장점만 이야기 한 것이고 문제점이 없는 것은 아닙니다.)

보안도 투자가 필요하다
조금 위에서도 이야기 했습니다만 회사가 고객을 보호하겠다라고 투자를 시작하면 많은 보안적인 방법들이 생겨납니다. 즉 보안강도는 직/간접적인 비용과 연관이 생길 수 밖에 없습니다. 이런 부분은 의외의 곳에서도 존재하는데 가령 페이지와 컨텐트 접근에 있어 모든 데이터에 대해 사용자 인증을 걸게 되면 보안성은 향상되지만 액션당 컴퓨팅파워 소모량의 증가로 동일 동시사용자를 버티기 위한 서버대수가 증가할 수 밖에 없습니다. 비용 절감을 위해(개발자는 아마 효율적으로 프로그램을 짠거라고 주장하겠지만) 일부의 데이터는 사용자 인증을 거치지 않습니다. 페이지 자체는 이런 경우가 드물지만 컨텐트 즉 멀티미디어 데이터에 대해서는 소흘히 하는 경우가 많습니다. 스와핑을 한 부부가 그때의 사진을 상대방에게 보낼때 게시판을 통하면서 비밀글 설정을 했는데 3자가 위의 방식으로 접근해서 보고는 자신의 XXX 사이트에서 건당 10원에 팔수 있다는 것입니다. 회사에서는 서버 100대의 가격과 유지비를 아끼면서 고객은 평생의 쪽팔림을 얻게 되었습니다.

애시당초 보안컨설팅을 받는 것도 비용이겠습니다만 최초에 디자인단계에서 부터 보안전문분석가를 투입하고(참고글) 개발 단계에서도 지속적으로 코드를 보안적인 리뷰하는 것들이 모두 코스트가 되겠습니다. 최근 N회사에서 패스워드 유출 사고가 터졌을때 강제로 패스워드 변경하라고 시킨것은 좋은데 급하게 사건을 수습하는데만 신경쓰다 기존의 보안강도를 무시한채 임의로 사용자들에게 패스워드를 변경할 수 있게 하거나 일주일 후에 그래도 바꾸지 않은 사람들은 걍 그대로 써라라고 한 처사는 돈을 최대한 아끼면서 보안을 하려다 보니 강도를 급격하게 떨어뜨려 버린 상황이라 할 수 있습니다. (개다가 그 난리를 치고는 고작 1일 이용권이라닛!)

돈없으면 개발도 하지 마란 예기냐라고 하신다면 저도 약간은 가슴아프지만 그렇다라고 할 수 있습니다. 사실 그보다는 돈 많은 회사도 이런 부분에 정말 인색하다라는 점을 지적하고 싶은 것입니다. 만개중 하나의 압력 밥솥이 폭발한다면 전량 리콜을 하듯 소프트웨어나 웹도 마찬가지일 것입니다. 애시당초 폭발가능성을 고려하라는 것이구요. 그렇다고 바닥에 "폭발할 수 있으니 작동시 근처에 있지 말것"이란 스티커를 붙이진 말길 바랍니다. --;