20100120:: 공인인증서를 USB에 저장하라굽쇼?

갈수록 답이 안나오는 한국 인터넷 진흥원

이미 많은 언론 매체나 블로그를 통해 소식이 알려진 이슈인데, 행정안전부와 한국인터넷진흥원에서 공인인증서를 강제로 USB 메모리 장치에 저장하도록 강제한다는 소식입니다. 빠르면 올해 하반기부터 시행된다고 하는데, 너무나 어처구니 없는 처사가 아닐 수 없군요.

현행 공인인증서의 문제점

개인공인인증서는 개인이 소지하여 본인임을 증명하는 용도로 사용하고자 하는 일종의 본인 확인 수단입니다. 따라서 공인 인증서가 사용되는 모든 온라인 통신이나 거래에 대해 자기 스스로를 증명하는 일종의 전자 신분증인 셈이지요. 그런데 문제는 현행 공인인증서는 단순한 파일 형태로 존재하며, 아무 제약 없이 물리적으로 복제가 가능하다는 점입니다. 따라서 악의를 가진 침입자가 개인 PC의 허술한 부분을 뚫은 다음 해당 파일을 복제해 간다면 손 쓸 방법이 없는 것이지요. 물론 PC 내에 들어있는 파일을 맘껏 액세스할 수 있는 정도라면 불행하게도 여러분의 로그인 비밀번호 따위는 이미 그 해커 손에 들어가 있다는 문제입니다.

더 위험한 것은 공인인증서가 저장되는 폴더는 접근에 아무런 제약이 없으며, 심지어 모든 PC에서 그 위치가 동일합니다. 하드 디스크 내에 공인인증서를 저장했다면 C:Program FilesNPKI 폴더가 생성되고 여기에 공인 인증서에 필요한 파일들이 모두 저장됩니다. 윈도 탐색기로 해당 폴더에 접근하는 것이 가능하며, 아무 제약 없이 해당 파일을 USB나 다른 하드디스크, 네트워크 드라이브로 복사하고 심지어 전자우편을 사용하여 외부로 발송하는 것도 가능합니다.

저장 경로가 동일하다는 것은 보안상 굉장히 취약한 것입니다. 만약 불특정 다수의 공인인증서 파일을 수집하고자 하는 목적을 가진 누군가가 있다면 다음의 시나리오를 생각할 수 있을 겁니다.

눈뜨고 속는 곳이 인터넷이다

먼저 가짜 사이트를 하나 만듭니다. 파일 공유 혹은 음악 감상 등의 사이트로 둔갑하면 더욱 용이합니다. 그러면서 필수 플레이어를 ActiveX로 설치하라고 합니다. 물론 그냥 플레이어나 다운로더가 아닙니다. 아무튼 사용자들은 아무 생각없이 ‘교육받은’ 대로 ActiveX를 설치합니다. 설치된 프로그램은 실행되자마자, 곧장 “C:Program FilesNPKI” 폴더가 있는지 탐색해서, 사용자 몰래 해당 폴더의 내용을 압축하여 어딘가 미리 정해놓은 원격 폴더로 업로드합니다. 로그인하라면서 비밀번호 같은 것도 금새 파악해서 같이 저장할 수 있을 겁니다. 물론 이러한 ‘아무 사이트’에서 사용하는 비밀번호가 공인인증서 비밀번호와 일치할 확률은 굉장히 높습니다.

조금 더 억지를 부려보자면 해당 프로그램은 실행되는 동안 샅샅이 사용자 PC의 그림 파일들을 탐색합니다. 모든 그림파일을 업로드할 수는 없기에 해커가 외부에서 그림파일을 확인할 수 있도록 한장씩 한장씩 그림을 원격지로 전송합니다. 그러다보면 은행 보안 카드를 스캔하거나 촬영한 파일을 찾을 지도 모를 일입니다. 아, 물론 공인인증서는 물론이고 보안카드 스캔 파일까지 메일함 같은 곳에 보관하고 있을테니, 해커는 벌써 여러분의 로그인 아이디와 비밀번호를 사용해서 왠만한 포털 사이트를 다 뒤져 봤을런지도 모릅니다.

이쯤되면 공인인증서가 본인 확인을 위한 ‘안전한’ 수단임을 결코 신뢰할 수 없습니다. 물론 이런 시나리오는 제 가정에 불과하지만, 우리 나라 웹 환경이라면 – 그리고 우리 나라의 평균적인 인터넷 사용자의 보안 의식을 생각한다면 충분히 가능한 이야기입니다.

USB에 저장만하면 안전하긴 한거니?

USB에 저장해서 쓰고 계신분들도 많으실 겁니다. 사실 하드 디스크에 공인 인증서를 보관하면 위험하다는 신문 기사는 예전부터 몇 건씩 눈에 띄었거든요. 아 하지만 불행히도 현행 공인인증서는 역시 소용없습니다.

보통, USB 메모리를 PC에 꽂으면 무슨 작업을 할 지 결정하라는 창이 뜹니다. 설정에 따라서는 해당 USB의 파일을 보여주는 탐색기가 바로 실행되기도 하지요. 이는 USB 메모리가 PC에 장착되는 순간 특정한 ‘이벤트’가 발생하여 OS가 이를 감지한다는 의미입니다. 이러한 이벤트를 위에서 언급한 나쁜 프로그램이 놓칠리가 없습니다. 게다가 USB에 저장하는 경우에는 그냥 루트에 NPKI 폴더가 바로 노출됩니다. 덕분에, USB를 꽂는 순간 F:NPKI 라고 손쉽게 해당 폴더를 찾아 바로 업로드 해버릴 수 있습니다.

공인 인증서가 위험에 처한 상황이라는 것은 사실 어제 오늘의 이야기가 아닙니다. 그리고 이러한 문제는 공인 인증서를 취급하는 방법 자체가 잘못되었기 때문입니다. 그 매체가 PC에 붙어있는 하드 디스크이든, CD-RW이든, USB메모리이든, 외장형 하드디스크이든 간에 해당 장치의 액세스를 OS가 직접할 수 있다면 행여 설치되어 있을지 모를 못되먹은 프로그램 입장에서는 이를 입수하는 것이 누워서 떡먹기일 뿐입니다. 그리고 애석하게도 그 나쁜 프로그램이 은행이나 쇼핑몰에서의 필수 ActivX인  NP|*| 같은 프로그램의 이름을 사칭한다해도, 일반적인 인터넷 사용자 입장에서는 이를 확인해 볼 방법이 없기 때문이지요.

설령 본격 안티바이러스 프로그램이나 방화벽을 사용하여 수상한 프로그램이 설치될 때 이를 감지하고 동작하지 못하도록 막아버리면 되지 않느냐구요? 그래서인지 대부분의 ActiveX를 사용하여 브라우저가 제공하는 기능 이상의 기능을 제공하고자 하는 사이트에서는 친절하게 “안티 바이러스의 실시간 감시 기능을 꺼주세요”라고 안내합니다. 덕분에 우리 불쌍한 네티즌들은 은행, 쇼핑몰이 제공하는 빈약하기 그지 없는 보안 ActiveX를 쓰기 위해 그나마 훨씬 더 안전한 보호막을 자기 손으로 벗겨 내고 인터넷을 사용합니다. 정말 미안합니다만, 여러분들이 은행이나 쇼핑몰의 브라우저 창을 닫는 순간-혹은 그 사이트를 떠나 싸이월드로 룰루랄라 일촌 탐방을 떠나는 순간-꺼져버린 본격 안티바이러스 프로그램을 다시 활성화하는 것은 여러분의 책임입니다.

결국 현재의 공인인증서는 아무런 개인 증명도 보호장치도 되지 못하는 상황입니다. 사실은. 그래서 은행에서 인터넷 뱅킹 사고가 터진다면? 은행은 공인인증서를 하드에 보관했는지, USB에 보관했는지, 심지어 웹하드나 이메일로 공유했는지 따위도 신경쓰지 않습니다. (왜? 애초에 신뢰할만한 개인 인증 수단으로 사용될 수 없는 걸 아마 만든 쪽에서도 알고 있을 테니까요. 누군가 훔쳐가기 쉽다는 것을 스스로 인지했을 거에요) 금융기관은 여러분들의 과실을 찾기 위해 오직 한 가지 사실에만 매달립니다. 그것은 바로 여러분들이 보안 카드를 스캔이나 촬영하여 디지털 매체(하드/USB/이메일 등등)에 보관했느냐하는 사실입니다.

보안카드의 내용까지 유출되었다면 (은행이나 보안업체는 이미 여러분들의 별볼일 없는 보안 의식은 간파했기 때문에 여러분의 컴퓨터는 해커의 수중에 들어가서 모든 아이디나 비밀번호 같은 게 다 넘어갔다고 가정합니다.) 손쓸 방법이 없기 때문입니다. 최소한 인터넷 뱅킹에서는 “여러분들만” 알고 있는 정보는 오로지 보안카드의 정보 밖에 없으니까요. (그래서 보안카드 받으면 누구한테 빌려주지 말라고 주의 문구가 써 있습니다. 그런데 촬영이나 스캔하지 말라는 문구는 아직 본 적은 없는 거 같네요)

그럼 어디에 저장하면 되나요?

공인인증서를 저장하는 수단은 크게 두 가지 입니다. 하나는 보안토큰이라는 하드웨어적 보안 장치에 저장하는 방식입니다. 생긴 것은 USB와 비슷하게 생겼으나, 인증서를 저장할 때 하드웨어적으로 내용을 암호화할 수 있습니다. 당연히 액세스하기 위해서는 사용자(주인)가 설정한 암호가 있어야 하지요. 그런데 문제는 이 보안 토큰은 돈주고 사려니 좀 비싸다고 생각될 수 있다는 점입니다. 만약 행안부와 KISA가 조금이라도 의식이 있는 사람들이 모인 집단이라면 USB에 저장할 것이 아니라 보안 토큰에 저장하라고 해야 할 것입니다.

그렇지만 사실 우리는 돈을 안 들이고도, 그것도 하드디스크에 아주 편히 공인 인증서를 저장할 수 있습니다. 파이어폭스나 구글크롬, 사파리, 오페라 등의 브라우저는 이미 브라우저 자체에 소프트웨어적으로 보안 저장 장치를 구현하고 있습니다. IE 계열에서도 이러한 보안 저장소를 지원하는지는 모르겠습니다만, 어쨌든 한가지 확실한 것은 그렇다면 지금의 쓰레기같은 보안 모듈들을 덕지 덕지 ActiveX의 형태로 설치하지 않아도 됩니다.

키보드 보안 프로그램이요? 그래픽으로 처리되는 화상 키보드나 퍼즐조각맞추기 등의 키보드를 사용하지 않는 입력 수단을 사용하면 됩니다. 그러면 제 아무리 키로거라 하더라도 어떤 아이디와 비밀번호를 입력했는지, 입력했는지조차 모를테니까요.

오히려 지금의 방식보다 ‘이미 만들어져있는’ 수단들과 ‘이미 남들이 다 쓰고 있는 아이디어’를 사용하여 구현하는 인터넷 금융 거래 방식이라면 훨씬 더 안전성을 확보할 수 있는 것이 사실입니다.

사람들을 병신으로 교육시키는 보안 전문가님들께

행안부도 그렇고 KISA도 그렇고 여느 보안업체도 그렇고 제발 인정할 것은 인정하고 공익을 위해 조금만 양보했으면 좋겠습니다. 지금 우리 나라 웹 그리고 보안 환경의 현실은 아무것도 모르는 사용자들을 병신으로 교육시키고 있는 꼴과 하나도 다를 게 없습니다. 그리고 이러한 보안 위협 때문에 사회적으로 지출되는 비용은 꽤나 엄청납니다. 모르긴 몰라도 그리하여 기업들은 그만큼 경쟁력을 잃고, 세금도 낭비되고 있겠지요. 얼마전에도 좀비 PC를 통한 DDOS 공격에 온 나라가 발칵 뒤집혀졌지만, 정작 전문가라는 사람들은 너무나 조용합니다. 최소한 저 사태때만큼은 좀비PC를 만든 악성 코드의 감염지가 어딘지, 그리고 방비책은 무엇인지 알려주고 -아니, 최소한 ActiveX는 무조건 설치하지 말라고 뉴스라도 내보내주던가!-  추후에 병신같은 네티즌들이 독인지 똥인지도 모르고 아무거나 집어먹는 사태는 막아야 했던 거 아닌가 싶네요.

부디 보안 전문가 분들도, 보안이라는 것이 단순히 기술적으로 무언가 벽을 쌓고 잠그는 것이 아니라 그 시작점이 ‘사람’이라는 기본에 충실해 주셨으면 하는 바램도 있습니다. 제발 어설픈 기자분 모셔다 놓고 윈도 기본 기능인 원격 지원을 살짝 변형해서 귀신 쇼 같은 거 펼치시지 마시구요. (그건 아이폰이 해킹툴이 된게 아니라 그냥 OS의 기능을 잘 이용하신 거 뿐이라는 거, 본인은 모르셨던 건 아니죠?) 온 나라 대부분의 네티즌은 그 기자분만큼 보안에 대해서는 어리숙합니다. 원격지원으로 PC 안되는 부분 봐주고 있으면 귀신이 붙은 거 같다고 놀라는 친구들이 제 주위에도 많아요. 정말이지 그런 쇼나 펼쳐서 기사로 내보내고 앉아있는 한가한 현실을 보면, 그리고 한 편으로 카드 결제 하나 하려고 하면 PC를 재부팅해야 하는 병신 같은 웹 환경에 이제는 질렸습니다.

  • 답이 없네요…

    • 어디 라디오나 뉴스에서 IT강국이 어쩌고.. 하는 소리가 나오면 이제 얼굴이 벌개질 정도로 부끄럽습니다. 미치겠어요.

  • 여운

    활동적인X가 빨리 우리나라에서 사라졌으면 좋겠습니다.
    USB자동실행 방지 정도는 해놔야 안심이되니…

    • 문제는 액티브엑스 자체가 아니라, 이를 아무 생각없이 설치하게끔 교육시키는 웹사이트들의 자세입니다. 관련해서 포스팅을 조금 더 이어가보도록 하겠습니다.

  • IE + nProtect + XecureWeb+공인인증서+AhnLab Firewall보다 비IE 128bit 보안 + 백신이 더 안전할텐데 안하는걸 보면 우리나라 (자칭) 보안회사들이 로비를 잘하나 봅니다.

    • Aaa

      헐 금융사이트의 nProtect + XecureWeb 당연히 깔아야하고 또 그럼으로써 보안이 확실히 보장된다라는 막연한 믿음이 있었건만 ㄷㄷㄷ 이게 다가 아니었군요..
      금융처리 하나 할려면 도대체 얼마나 많은 ActiveX를 깔아야하는지..
      그런데 그래도 수많은 ActiveX를 깔고나면 왠지 모르게 그래도 안심이 되면서 그게 당연한 절차인 걸로 생각했는데 헐..이럴 수가..

      • 심지어 똑같은 개발사가 만든 보안 모듈이 납품처가 달라지면서 덕지 덕지 “깐 거 또 까는” 문제에도 봉착하게 됩니다. 아마 모르긴 몰라도 저런 보안 모듈 관련해서는 끈적거리는 로비라든지 비리, 유착 그런 게 많이 껴 있을 것으로 보입니다. 그렇지 않고서는 저런 병신 같은 솔루션들을 강제하겠다느니 하는 소리는 안하겠죠. 얼마전 딴데로 옮긴 김희정 위원장은 답변 준다더니 답변도 안주고…

  • 귀국인

    와우….제가 외국 생활 10년하다가 귀국했는 데 한국에서 온라인으로 도대체가 뭘 할 수가 없어 이것 저것 뒤지다가 이 글까지 읽게 되었는 데요…무려 5년전에 쓰인 것이군요…근데 바뀐 것이 거의 없다니….. 똥고집 정부때문에 우리나라 경제가 진도를 못 나가네요.