20090314 :: 인터넷 뱅킹의 보안 약점

당신의 PC는 안전한가요?

몇 일전 하나 은행 고객 예금이 해킹에 의해 2100만원이란 적지 않은 돈이 감쪽 같이 사라진 사건이 있었습니다. 워낙 TV나 뉴스를 잘 안보고 살아서, 얼마나 큰 반향을 불러 일으켰는지는 모르겠군요. 아무튼 은행은 자기네 책임이 아니니 없어진 예금액을 보상할 수 없다는 입장을 취했다고 하는데, 좀 어처구니 없고 약간 많이 화도 나는 군요. 그런데 이 해킹 사건에서 주목해야 할 부분은 누군가가 ‘이미 유출된 정보’를 바탕으로 은행 시스템에 접근했다는 점입니다. 물론 은행 시스템이야 보안 결점등을 통해서 해킹하기가 쉽지 않겠지만, 이런 경우라면 ‘인터넷 뱅킹 시스템 전체의 보안 시스템’은 이미 붕괴되었다고 보아야 할 듯 합니다.

자기네 시스템을 뚫고 들어와서 일어난 해킹이 아니므로 자기 책임이 아니라는 말은 어불성설이지요. 조금만 생각해보면 ‘클라이언트 어플리케이션’에서 일어난 예외 이슈를 제대로 안전하게 처리하지 못했기 때문에 발생한 일이지요. 물론 개발자나 기획자 혹은 정책 담당자 입장이라면 주민등록번호나 아이디 비밀번호와 같은 데이터를 다 알고 접근하는데 어떻게 그걸 본인이 맞는지 아닌지 확인할 수 있느냐고 강하게 항변할 수 있겠지만, 인터넷 뱅킹이 단순히 지금이 몇 시인지 알려주는 그런 서비스와는 맥락이 다르잖아요.

이미, 대한민국 국민의 1/3 가량의 주민등록번호는 활짝 오픈된 네트워크 사이를 지금도 부지런히 떠돌고 있는지 모를 일입니다. 이 모든 일의 책임은 단순히 하나은행 뿐만 아니라 회원의 귀중한 개인정보들을 억지로 요구해 놓고서는 성심 성의껏 책임을 다해 보호하지 않은 많은 웹 서비스 운영/개발자들 때문입니다.

다시 한 번 하나 은행에게 묻고 싶습니다. 당신들이 제공하는 ‘인터넷 뱅킹’ 서비스는 고객들이웹을 통해 은행 업무를 처리하게끔하는 서비스입니다. 이 서비스의 범위는 최종단에 있는 End-User와 기간 시스템 전체를 포함합니다. 이 범위 내에 해커가 침입하여 고객의 돈을 빼 돌렸습니다. 그럼에도 당신들의 ‘보안 시스템’은 여전히 완벽하며, 당신들의 책임은 없는 건가요?

안 같은 소리 하시네요

지금 오픈웹에서는 김기창 교수님이 ‘안일하기 짝이 없어서 양심이 있는지도 의심스러운’ 국내 보안 업체들에 대해 소리 높여 따끔한 소리를 내는 중이십니다. 저 역시 이런 김교수님의 의견에 전적으로 동의합니다.

PC를 포맷하고 윈도우를 재설치 한 다음, 은행 업무를 인터넷으로 하나 처리하려고 하면 얼마나 많은 ActiveX를 깔아야 하는지 모릅니다. 당연히 ActiveX를 깔지 않아도 서비스를 이용할 수 있어야 하는데, 그렇지 못한 서비스가 절반을 넘는 실정입니다. (그리고 이건 명백한 규정 위반입니다.) 그리고 가장 치명적인 것은 이런 ActiveX 설치를 강요하는 서비스들 때문에 이 나라 온 국민이 아무 생각없이 ‘예’만 클릭하고 앉아 있는 상황이 되어버렸다는 것입니다.

그리고 거의 대부분의 인터넷 사용자들은 이런 행위 자체가 얼마나 위험한 일인지 모릅니다. (굳이 말씀 다시 안드리려고 했지만 이들은 ‘인터넷 익스플로러의 파란 아이콘’ = ‘인터넷’ 이라는 생각을 하고 있습니다.)  덕분이 별의 별 양아치 같은 업체들이 ActiveX를 사용해서 못된 짓을 많이 해 왔고, 또 비슷한 부류의 업체들이 그런 식으로 걸레가 되어버린 시스템들을 대상으로 장사를 해왔습니다. 그리고 사용자들이 ActiveX를 별 거부감 없이 설치하는 행위에 익숙해지고 거부감이 없어지게 된 기념비적 업적을 이루어, 한 나라를 보안 위협의 소용돌이 속으로 밀어 넣는 위업을 이루고 말았지요.

설치 프로그램의 위력

ActiveX가 보안에 위협을 준다는 이야기는 아주 오래전부터 나왔던 이야기입니다만, 사실 많은 사람들이 왜 ActiveX가 문제가 되는지는 잘 모릅니다. ‘사용자 몰래 설치된다’는게 가장 널리 알려진 이슈입니다만, 사용자 몰래 시스템에 숨어드는 것은 굳이 ActiveX가 아니어도 가능한 일이지요. 사실 사용자 시스템의 보안이 가장 위험한 수준까지 저하되는 순간은 사용자가 특정 프로그램을 더블클릭하여 실행하는 시점입니다. 아무리 위험한 악성 소프트웨어라도 실행되지 않는다면 아무런 위협이 되지 못하겠지요. 그런데 ActiveX는 웹 기반에서 로컬 시스템에 있는 프로그램을 동작하도록 할 수 있다는 점에서 극히 위험한 부분이 됩니다. 기본적으로 웹에서는 로컬(사용자의 PC를 말합니다)에 있는 리소스를 함부로 액세스하지 못합니다. 그게 된다면 특정 웹 사이트에 접속할 때 중요한 시스템 파일이 삭제되어 버릴지도 모를 일이지요. (그 웹사이트 운영자가 노린 것일 수도 있고, 최악의 경우에는 해커가 믿을 만한 사이트를 해킹하여 그런 코드를 심을 수도 있겠지요) 다행히 웹 브라우저는 그런 행위들을 차단해 줍니다. 문제는 ActiveX는 웹 브라우저(정확히는 웹 사이트에 포함된 코드)에게 그러한 행위를 가능하도록 해주는 가교 역할을 한다는데 있습니다. 많은 온라인 게임 사이트는 ‘런처’라는 명목으로 웹 상에서 PC에 설치된 게임 클라이언트가 실행되도록 하는 마법을 부립니다. 아, 어떤 게임이었는지는 정확히 기억나지 않지만 게임을 설치한 후 바탕화면에 생성되는 바로가기 아이콘은 그 프로그램을 실행하는 바로가기가 아니라, 해당 게임의 홈페이지로 이동하여 런처를 통해 실행되도록 한 게임도 있더군요. 정말이지 기가 찰 노릇입니다.

그럼 다시 설치 프로그램을 생각해보도록 하겠습니다. 많은 데스크톱 어플리케이션 (그냥 프로그램이라고 하지요)들은 통상 설치 파일을 다운로드 받아서 프로그램을 설치하도록 합니다. 대한민국에서 가장 많이 사용되는 메신저 프로그램인 네이트온을 예로 들어 보죠. 어느 순간 부터인가 네이트온 설치 프로그램은 아무 생각없이 ‘예’, ‘다음’을 선택하는 사용자들의 습성을 사용하여 주소창처럼 생긴 검색 툴바를 설치하고 있습니다. ‘설치 프로그램’이라고 되어 있지만 뭘 설치할 것인지는 그 프로그램을 빌드한 개발사만 알고 있는 점입니다. 결국 프로그램이 실행되는 순간, 사용자는 자신의 권한을 프로그램에게 위임하게 됩니다. 그 실행된 프로그램은 만들어진대로 자신의 파일들을 시스템의 특정 폴더 내로 복사해 넣을 수도 있고, 관련된 시스템 설정을 건드릴 수도 있고, 레지스트리를 건드려서 자신이 매번 자동실행되도록 하거나, 스스로를 시스템 서비스로 등록해 버릴 수도 있습니다. 심지어 power promtp 같은 프로그램은 일반 user로 로그온 한 사용자가 시스템의 권한으로 명령창 도구를 실행하도록 할 수 있습니다. 덕분에 제어판 진입이 막혀있는 PC 방에서도 제어판을 열어보거나 시스템 설정을 변경하는 것이 가능한 부분도 있습니다.

결국 ActiveX를 설치한다고 “예”를 누르는 행위는 사실 정확히 어떤 프로그램인지도 알지 못하는 프로그램을 자신의 PC에 설치하는 것입니다. 더군다나 ActiveX 내에 다른 프로그램을 덩달아 설치하도록 코드가 삽입되어 있다면 그야말로 끔찍한 경험을 할 지 모를 일입니다. 오픈웹에서 소개하고 있는 도아님의 포스팅에 링크되어 있는 사이트 같은 곳이라면 그야말로 상상도 하기 싫은 수준의 악성 사이트입니다. 하지만 예상컨데 한 번 진입만 한다면, 그 많은 ActiveX를 모조리 설치하실 분들이 꽤 많을 거라는 말입니다.

제발 부탁드립니다

정말이지 제발 부탁 드립니다. 이런 ActiveX를 설치하기 전에, 그리고 어떤 프로그램을 설치하기 전에 몇 번만 고민해 주시기 바랍니다. 그리고 설령 그것이 ‘보안모듈’등의 이름을 가지고 있다 하더라도, 한 번은 설치하지 않고 그냥 서비스를 이용해 보시기 바랍니다. ActiveX가 국내 웹 환경 및 국민들의 보안을 망치고 있도록 방조하는 가장 큰 원인은 보안 업체의 잇속 챙기기 보다는 생각없이 ‘예’를 클릭하는 사용자들의 잘못된 습성입니다. 그리고 또 하나 공인인증서를 포함해서 개인정보를 담고있는 파일들 (이력서라든지… 연락처를 저장해놓은 엑셀, 텍스트 파일)은 하드 디스크 보다는 이동식 USB 메모리 같은 곳에 저장하시구요.

하나 은행 해킹 건과 같은 금융 사고가 앞으로 더 늘어났으면 더 늘어났지 줄어들지는 않을 것 같군요. 그리고 그런 피해들을 구제 받지 못하고 고스란히 사용자들만 고통을 받는 날이 올까봐 걱정 스럽습니다.

  • T. K.

    그래도 자기 밥그릇밖에 못 보는 자들은 여전히 딴소리나 하고 앉았죠. 휴~

    • T.K. >> 네, 과연 그런 밥그릇이 지켜질 가치가 있는지도 의문스럽구요.