[box type=”note”] 이 글은 윈도우 Vista 이상 이용자에게 해당되는 내용입니다. (편집자) [/box]
우리나라 인터넷 환경에서 가장 귀찮거나 이해하기 어려운 것을 하나 고르라면 액티브엑스의 남용일 것이다. 특히 공인인증서를 쓰는 경우 전 세계에 존재하는 어떤 브라우저도 지원하지 않기 때문에 반드시 액티브엑스 혹은 그에 상응하는 어떤 응용 프로그램을 설치해야 한다.
평범한 인터넷 이용자들은 이러한 액티브엑스 및 응용 프로그램이 우리의 컴퓨터를 지켜줄 것이라고 믿고 있다. 하지만, 적지 않은 이용자들은 무언가가 설치된다는 보안 경고창이 등장할 때마다 습관적으로 “예(Y)” 버튼을 누를 뿐 그게 어떤 프로그램인지 정확히 확인해 보지 않는다. 하지만, 정확하게 확인해 보지 않으면 “예(Y)” 버튼을 누르는 순간 악성 코드에 감영되거나 자신도 모르게 자신의 정보가 빠져나갈 수 있다.
즉, 우리가 위험을 무릎쓰고 이러한 각종 설치 프로그램의 설치 여부에 “예(Y)”를 눌러 설치를 하기 위해서는 그 프로그램들이 안전하다거나 잘 관리되고 있다는 어떤 보장이 있어야 하지 않을까? 정말 그런지 차근차근 살펴보자.
UAC (User Account Control)란?
윈도우 비스타 이상의 버전에는 사용자 계정 콘트롤 (이하 UAC)라는 기능이 있다. 컴퓨터에서 관리자 수준 권한이 필요한 변경 작업이 실행되려고 하는 경우 UAC에서 알림을 표시함으로써 악성 소프트웨어 및 스파이웨어가 컴퓨터에 설치되거나 설정을 변경하는 것을 방지할 수 있다. (참고: 마이크로소프트 윈도우 – 사용자 계정 컨트롤이란?)
쉽게 말하면 웹 서비스를 이용하다가 무언가를 설치하려고 할 때 경고창을 띄우는 것이 바로 UAC이다. 예전에는 관리자 권한을 가진 사용자라면 모든 응용 프로그램이 아무런 제한없이 관리자 권한으로 실행되었지만 윈도우 비스타를 거치면서 관리자 권한을 가졌다 하더라도 일단 한번 확인을 할 수 있는 절차를 가질 수 있게 된 것이다.
그런데 인터넷에서는 이 UAC 알림을 끄는 방법이 유용한 팁으로 공개되는 실정이다. 우리나라에서 웹서비스를 사용하다 보면 액티브엑스 설치를 강요받고, 그 때마다 매번 경고창이 뜨는 것을 번거롭게 여기는 이용자들이 많기 때문이다. 윈도우라는 운영체제는 보안성이 점점 좋아지고 있지만 한국의 인터넷 서비스는 그에 아랑곳하지 않고 위험한 방법으로 관리자 권한을 요구하고 있는 것이다. 하지만 주의할 점은 이 설정을 끄는 순간 각종 바이러스 프로그램이 설치되더라도 전혀 알 수 없게 된다는 것도 알아야 한다는 것이다.
응용 프로그램 인증서란?
우리나라에서 인터넷 서비스를 이용할 때 액티브엑스를 포함한 각종 응용 프로그램을 반드시 설치해야 하는 경우가 있다. 대표적인 예가 금융 거래나 개인정보 인증 서비스이다. 이 때 특정 웹사이트로부터 응용 프로그램 및 애플리케이션을 설치하기 전에 제대로 된 프로그램인지 확인하지 않으면 악성 프로그램에 쉽게 감염된다.
다행히도 이용자가 설치하려는 프로그램이 믿을만 한지 설치하기 전 확인할 수 있는 방법이 있다. 응용 프로그램 인증서 (코드사인 인증서)가 바로 그것이다. 응용 프로그램 인증서는 웹사이트로부터 액티브엑스 콘트롤, 자바 애플릿으로 만들어진 프로그램에 전자서명 (디지털 서명)을 한 것이다. 우리가 흔히 이야기하는 공인인증서가 개인의 신분을 확인하는 것이라고 한다면 응용 프로그램 인증서는 프로그램의 위조/변조 여부를 알 수 있게 하는 것이라고 생각하면 된다.
[box type=”info”]Active X control, Java Applet등을 웹사이트를 통해 배포시 해당 프로그램이 신뢰할 수 있고 안전하다는 것을 국제공인인증기관으로부터 인증받는 디지털 서명을 말합니다. 정식 회사명이 명시되는 응용프로그램 인증서로 서명한 프로그램은 기업 신뢰도를 높이며, Window XP/SP2 에서도 문제없이 배포됩니다. 간혹, 인터넷상에서 배포되는 응용프로그램을 다운 받을 때 보안경고 창이 뜨면서 프로그램의 다운여부를 묻는 경우가 있습니다. 이 때 나타나는 보안경고창의 내용은 배포하는 응용 프로그램에 인증서가 설치되었는지의 여부에 따라 달라지는 것을 알 수 있습니다.
출처: 가비아 호스팅 – 응용 프로그램 인증서란?[/box]
이 응용 프로그램 인증서는 위에서 설명한 UAC의 알림창 (보안 경고창, 사용자 계정 컨트롤창)에서 그 자세한 정보를 확인할 수 있다. UAC의 알림창에서 응용 프로그램 인증서의 유무를 아이콘으로 표시해주기 때문이다.
응용 프로그램 인증서의 용도, 발급대상, 발급자, 유효 기간
UAC의 알림창에서 확인할 수 있는 응용 프로그램 인증서는 웹사이트를 통해 배포되는 프로그램을 설치하기 전에 다음 사항을 알 수 있게 한다.
응용 프로그램을 배포하는 회사명
응용 프로그램의 정확한 이름
응용 프로그램의 위조, 변조 여부
응용 프로그램이 안전하다고 인증한 인증기관
예를 들어 짱짱맨닷컴에서 짱짱백신을 설치하려고 하는데, 설치하기 전 경고창에 회사명 unknown, 프로그램 이름은 알 수 없음, 인증기관의 이름이 honggildong.com 이라고 표시되어 있으면 좀 더 주의를 기울이거나 설치를 멈춰야 한다는 뜻이다.
물론 우리나라에서 이런 프로그램 설치를 요구하는 웹서비스들은 대부분 설치하지 않으면 서비스를 이용조차 할 수 없는 수준으로 만들어져 있기 때문에 이용자들은 무조건 “예(Y)” 버튼을 누르는데 익숙해져 있다. 윈도우가 아니면 작동하지 않는 서비스를 제공하면서도 대부분의 서비스 업체와 보안업체는 이러한 기능과 방법에 대해 적극 알리는 노력은 하고 있지 않은 상황이다.
응용 프로그램 인증서의 관리 상태는 생각보다 양호하지 않다
이 응용 프로그램 인증서는 개인들이 사용하는 공인인증서처럼 주기적으로 갱신을 해야 한다. 한번 인증한다고 해서 영원히 그 응용 프로그램의 안전성이 보장되는 것이 아니기 때문이다. 만약 우리가 전자제품을 구매했는데, 보증기간이 1년 지난 것이라면 안심하고 사용할 수 없을 것이다. 그렇다면 우리나라의 웹사이트들은 이 응용 프로그램 인증을 제대로 받은 후 프로그램을 배포하는 것일까? 유명 웹서비스 중에서 정상적이지 않는 경우를 나열해 본다.
네이버의 네이버 백신
확인날짜: 2013년 9월 30일
응용 프로그램 유효기간: 2009년 10월 5일
추가 특이사항: 분명 본인은 네이버 백신만 설치했을 뿐인데, 프로그램을 업데이트할 때 네이버 업데이트 서비스를 사용할 수 있게 해달라고 한다. 설치한 프로그램과 업데이트하는 프로그램명이 다르다.
잉카인터넷의 nProtect Keycrypt V6.0 (e세로 버전)
확인날짜: 2013년 9월 30일
응용 프로그램 유효기간: 2012년 12월 7일
잉카인터넷의 nProtect KeyCrypt V6.0 (나이스 버전)
확인날짜: 2013년 9월 30일
응용 프로그램 유효기간: 2012년 3월 11일
소프트캠프의 Secure KeyStroke 4.0 (신한은행 버전)
확인날짜: 2013년 9월 30일
응용 프로그램 유효기간: 2010년 8월 21일
소프트캠프의 Security KeyStroke 4.0 (국민건강보험 버전)
확인날짜: 2013년 8월 2일
응용 프로그램 유효기간: 2007년 9월 23일
쉬프트정보통신의 ActiveUpdate 4.0 AU4Installer (전자금융센타(효성FMS) 버전)
확인날짜: 2013년 9월 30일
응용 프로그램 유효기간: 2009년 8월 27일
VP(안전결제 ISP 업체)의 Smart Wizard for ISP Service
확인날짜: 2013년 9월 30일
응용 프로그램 유효기간: 2011년 9월 17일
LG유플러스의 WebHardExplorer (웹하드 버전)
확인날짜: 2013년 9월 30일
응용 프로그램 유효기간: 2012년 1월 1일
추가 특이사항: 회사 이름이 LG유플러스로 기재되어 있지 않고 LG Telecom으로 기재되어 있음
한국전자인증의 공인인증서 이동 Ver.2.0.0.3
확인날짜: 2013년 9월 30일
응용 프로그램 유효기간: 2013년 5월 26일
한국정보인증의 The certificate management software v2,16,0,0 (국민건강보험 버전)
확인날짜: 2013년 9월 30일
응용 프로그램 유효기간: 2008년 1월 18일
포시에스의 ZtransferX Control (신한은행 버전)
확인날짜: 2013년 9월 2일
응용 프로그램 유효기간: 2013년 5월 2일
추가 특이사항: 신한은행은 거래내역을 표로 출력하는 기능을 위해 액티브엑스를 강제함
한국무역정보통신(KTNET)의 TSToolkit ver.2,0,4,4 Setup (대한상공회의소 무역인증서비스 센터 버전)
확인날짜: 2013년 9월 30일
응용 프로그램 유효기간: 2011년 3월 12일
한국정보인증의 관세청 보안설정프로그램 v1.0 (관세청 버전)
확인날짜: 2013년 9월 30일
응용 프로그램 유효기간: 2010년 5월 31일
추가 특이사항: 프로그램 게시자 이름이 Korea Customs Service 이지만 실제 설치 도움말 문서를 보면 SignGATE EWS와 KICA SecureXML Toolkit 등이 관련 프로그램임. 즉, 한국정보인증의 솔루션.
개인에게 책임을 떠넘기는 한국의 인터넷 보안 구조
웹상에서 액티브엑스 등의 응용 프로그램 설치를 강요하는 서비스는 대부분 보안 및 인증과 관련된 것들이다. 또한 위에서 나열한 응용 프로그램 인증서를 제 때에 갱신하지 않는 응용 프로그램의 개발사를 보면 대부분 보안 업체 및 공인인증서 관련 업체이다. 공인인증서와 현행 전자 거래 서명법이 조금이라도 변경되면 우리나라의 인터넷 보안이 하루 아침에 붕괴될 것처럼 난리를 치던 업체의 이름도 보인다.
하지만 이용자 보안을 위협하고, 불편함을 강요하면서 사용하는 각종 설치형 서비스의 핵심 프로그램들은 정작 전자서명을 제때 갱신하지 않고 있다. 위에서 보이는 사이트와 프로그램이 전부가 아니다. 앞서 예시한 것보다 훨씬 더 많은 수의 서비스가 제때 인증서를 갱신하지 않는다. 해당 프로그램들은 공인인증서를 해석하거나 키보드 보안을 위한다면서 설치되는 것들이다. 그런데, 저렇게 인증서의 유효기한 조차 제대로 관리하지 못하면서 해킹의 책임은 이용자들이 악성 코드를 다운로드 받았기 때문이라며 책임을 지울 수 있을까? 국내 유명한 관공서, 은행, 대형 웹서비스의 응용 프로그램 인증서 관리 상황이 이럴 지인데, 이용자가 무엇을 믿고 인터넷에서 프로그램들을 설치할 수 있는가 하는 말이다.
그간의 상황을 떠올려 보자. 서비스 제공자와 보안 업체들은 자신들이 제공하는 프로그램은 디지털 인증을 허술하게 관리/갱신해도 문제가 없고, 오로지 개인 및 기업이 발급받아 이용하는 공인인증서의 효력만 중요하다고 생각하는 걸까? 공인인증서의 유효기간이 단 1초만 지나도 서비스를 이용할 수 없게 서비스를 구성한 것과 비교해 보자면 한국의 인터넷 보안 업계의 생각과 보안 시장의 현실을 가늠케 한다. 혹시 이러한 부실한 관리 역시 보안업체들은 단순히 프로그램을 판매하는 “을”이고 고객사가 “갑”이기 때문에 그들이 조치를 취하지 않으면 어쩔 수 없다는 식의 논리를 펼까?
우리나라의 보안 및 인증 관련 웹서비스는 서비스 제공사나 보안업체들에 의해 더 안전한 보안을 위한다면서 이용자에게 기본적인 시스템 보안 설정을 낮추고 보안 경고창을 무시하라고 강요하는 형태로 유지되고 있다. 전 세계에서 우리나라만큼 곳곳에 액티브엑스 및 응용 프로그램을 남용하는 웹서비스도 보기 힘들다. 그러나 정작 본인들이 책임져야 할 기본적인 보안에 대한 처리에는 별다른 관심을 갖지 않는 것 같아 보인다.
서비스 제공자가 자사의 편의를 위해 이용자들에게 액티브엑스를 강제로 깔게 해서 이용자 컴퓨터를 느려지게 하고 오류를 속출하게 만드는 한이 있더라도, 적어도 정부 당국과 보안업체는 이용자들이 어떤 프로그램이 안전하고 안전하지 않은지 알 수 있도록 서비스 환경을 만들도록 유도를 해야 하지 않을까? 우리나라의 인터넷 환경은 도대체 언제까지 2000년대 중반에 머물러 있어야 하는 걸까.
글 잘 보았습니다. 감사합니다.
https://www.facebook.com/jinsub.moon/posts/619494151444685 이런 의견도 있네요.