한국인터넷진흥원 침해대응센터는 지난 6월 4일~5일 이틀 연이어 '제큐어웹'과 '엔프로텍트'라는 보안 프로그램의 취약점이 발견되었다고 공지하였다.
이들 프로그램은 공인 인증서를 사용하여 금융 거래를 하거나 민원 신청 등을 할 경우에 은행이나 관공서가 반드시 설치하도록 강요하는 것들이고, 아마도 국내 모든 이용자의 컴퓨터에 예외 없이 깔려있을 것이다. 이들 프로그램이 제대로 설계되지 못하여 악의적 공격자가 원격에서 마음대로 원하는 코드를 실행하여 이용자의 컴퓨터를 장악할 수 있는 심각한 문제가 있다는 것이다.
문제가 드러나도 쉬쉬하면서 숨겨 덮기에 급급하던 종래의 관행과는 달리, 인터넷침해대응센터가 이런 문제를 솔직히 공지하고 이용자들로 하여금 신속하게 대응할 수 있도록 안내하는 결단을 내린 것은 바람직한 모습이고, 개선이다. 이들 프로그램은 '액티브엑스'로 제공되는 플러그인인데, 실은 이런 취약점과 위험은 보통 프로그램에서 일반적으로 나타날 수 있는 것들이어서 보안 측면에서 볼 때는 그렇게 큰 사건으로 보기는 어렵다. 문제는, 이러한 프로그램을 설치하도록 '강제'하는데 있다.
기술을 모르는 대부분의 사람들은 이런 프로그램들이 은행에 접속해 있는 동안에만, 그리고 그 은행만이 동작하게 할 수 있다고 믿기 쉽다. 그러나 액티브엑스 플러그인을 이용자가 자기 컴퓨터에 일단 설치하고 나면, 이용자가 접속하는 어떤 웹서버건 간에 이 프로그램을 실행시킬 수 있다. 이번에 발견된 취약성도 바로 이점을 악용하여 이용자의 컴퓨터를 장악할 수 있다는 것이다.
물론 플러그인 형태가 아니라 독자적 프로그램 형태로 금융 거래 전문 앱을 만들어도 이런 문제는 항상 존재한다. 버그(프로그램 오류)라는 건 프로그램의 복잡도에 비례하여 많아질 수밖에 없는 것이다. 바로 이렇기 때문에 '추가 프로그램'을 설치하면 할수록 이용자의 컴퓨터는 더 허술하게 될 여지도 있는 것이다.
국제적인 보안 기술의 최신 경향은 바로 이런 이유 때문에 프로그램 설치를 최소화하고 있다. 특히 웹브라우저가 할 수 있는 일이라면 가급적 추가 프로그램을 동원하지 않는 것이 원칙이다. 외국에서 이처럼 이용자의 컴퓨터에 추가 프로그램을 설치하지 않는다고 해서 보안을 포기했다고 생각한다면 그건 오해다.
최신 경향의 보안 기술은 서버의 역할과 역량을 총동원하여 해당 교신이 과연 정상적 이용자와 연결된 상태인지, 악의적 공격자가 끼어든 상태인지를 판단하고, 위험성이 높은 거래를 사전에 차단하는데 주안점을 두고 있다.
반면에, '한국식' 보안은 이용자의 컴퓨터에 보안 프로그램을 잔뜩 설치하면 된다고 전제하고 출발하는 경우가 많고, 정작 중요한 서버 측 보안에 대해서는 매우 허술하다. 수천만 명의 회원 정보 유출이나, 은행과 방송사가 보안 참사를 겪는 일이 발생하는 것도 이때문이다.
보안 프로그램을 강제로라도 설치하면 보안성이 높아진다는 생각은 옳지 않다. 보안 프로그램을 '어떻게' 설치하느냐에 따라 그 결과는 달라지기 때문이다. 한국에서 하듯이 "보안을 위해 출처도 분명하지 않은 프로그램을 설치"하고, "컴퓨터 관리자 권한으로 그런 프로그램을 이용하도록 강제"하는 방식은 보안 상식에 정면으로 반한다는 점은 분명하다.
ⓒ프레시안 |
그럼에도 한국의 공무원들은 '보안 프로그램'을 더 설치하면 더 안전해 질 것이라는 근거 없는 확신에 찬 경우가 많다. 보안 업체 또한 공무원의 이러한 발상에 순응하는데 익숙해 있다. 공무원이 이런 발상에 머물고, 보안 업체는 그런 공무원의 요구에 순응해야 하는 악순환의 고리는 공인 인증서에서 시작된다고 할 수 있다.
웹브라우저가 인식할 수 없는 위치와 방법으로 저장되는 '한국형' 유저 인증서라는 불행한 발상을 한국전자통신연구원(ETRI)이 해냈고, 한국인터넷진흥원(KISA)이 그런 독특한 규격을 강제하고 있기 때문에 공인 인증서를 이용하려면 추가 프로그램을 설치하지 않을 수 없다.
게다가 "공인인증서 천만 장 보급"이 무슨 자랑거리인양 조급증을 부리던 공무원들 때문에 마구 복제되는 파일 형태로 공인인증서가 뿌려졌고 지금은 2795만 건의 공인 인증서가 발급되기에 이르렀지만, 가늠할 수도 없는 규모의 공인 인증서(개인키)가 무단 복제되어 유출되고 있다. 이용자들에게 나누어준 단순 파일 형태의 공인 인증서를 어떻게든 보호해 보겠다고 '보안 프로그램'을 이용자의 기기에 설치하는데 총력을 기울인 나머지, 정작 중요한 서버 보안은 아무 생각이 없는 환경을 만들어 냈다.
그렇지만, 클라이언트(즉, 이용자 기기) 보안 역시 참담한 실패라는 평가를 피할 수 없다. 한국은 세계 수준의 클라이언트 발악성 코드 발생국이다. 서버 보안을 도외시 한 채 클라이언트 보안에 올인(all-in)했지만 그것 역시 성적표는 초라하기 그지없는 것이다. '추가 프로그램 설치'라는 악순환의 고리를 이제는 과감히 끊을 때가 왔다.
전체댓글 0