현재 위치:   » 테크 » 보안업체 담당자가 본 액티브엑스와 공인인증서 논란

보안업체 담당자가 본 액티브엑스와 공인인증서 논란

내가 고향 집에 갈 때마다 하는 일이 있다. 부모님이 사용하시는 PC에 설치된 수많은 유사 보안솔루션과 툴바를 지우는 일이다. 같은 보안업계 종사하면서도, 대중을 대상으로 “묻지마! 설치” 방식의 보안솔루션들을 보면 답답함과 동시에 개별 솔루션들이 왜 설치되는지 존재 이유를 알다 보니 애증이 교차하는 것이 사실이다.

보안업체 담당자가 바라본 액티브엑스

대부분의 IT 테크니션들이 PC에 무엇인가를 설치하는 것을 싫어한다. PC가 지저분해진다고 느끼는 것은 물론, 설치된 프로그램들이 늘어남에 따라 성능도 느려지고, 프로그램 간 충돌도 빈번해지기 때문이다. 나도 마찬가지다.

하여 2008년 오픈웹이 액티브엑스 기술종속에 대한 화두를 들고 나왔을 때, 누구보다도 지지했었다. 마침 웹표준, Ajax 등의 기술이 붐을 이루며, 포털을 중심으로 웹접근성에 대해 진지한 고찰이 이루어졌고, 더 이상 웹서핑 도중 설치를 강요하는 노란색 툴바를 보지 않아도 될 것만 같았다.

안타깝게도 2013년 현재, 공인인증서 설치프로그램을 비롯한 수많은 보안솔루션들이 웹서핑골목 곳곳에서 버티고 있다. 일부에서는 불필요한 솔루션을 팔기 위해 보안업체 술상무가 영업력을 발휘했다거나, 금융권 IT 담당자와 보안업체가 야합하여 금감원 뒤에 숨어 귀찮은 일에서 피한다고 음모론을 제기한다. (물론 그런 영세 업체도 있을 것이다. 대부분은 아니다.)

출처: NoActiveX.net

출처: NoActiveX.net

하지만 실상은 그렇게 소설 하나로 금융권이나 보안업체를 욕하고 이야기를 덮을 만큼 간단하지는 않다. 업계 이해관계 탓에 불필요하게 유지되는 보안기술도 있겠으나, 대부분 보안솔루션이 존재 이유가 있었고, 아직 그 목적을 상실하지 않았기 때문에 유지되는 상황으로 보는 것이 타당하다.

먼저 생각해야 할 것은 기술적인 측면에서 예전이나 지금이나 다양한 보안취약점들이 존재하고 있고, 이를 관리하는 방안 역시 폭넓게 존재한다는 점이다.

키보드 입력 값을 빼 가는 악성코드(키로거)로 인해 발생한 부정거래를 막는 것이 좋은 예가 될 것 같다. 기술적인 측면에서 키로거의 동작을 방해하기 위해 OS의 더 낮은 레벨로 접근하는 키보드 보안솔루션이 나왔고, 연이어 다른 관점에서 문제를 푼 방식 OTP 솔루션(패스워드를 고정하지 않는 방식)과 가상키보드 솔루션(키보드를 이용하지 않는 방식)이 나왔었다.

또 같은 문제의 위험을 관리적으로 줄이기 위해, 로그인 시마다 SMS를 이용해 이용자에게 통보해주거나, 특정 IP대역이나 특정 PC에서만 접근 가능하도록 통제해주는 보완재성 솔루션들도 등장했다. 다양한 방법이 존재하는 만큼이나 각각 솔루션 역시 장단점이 존재한다.

보안솔루션의 종류와 장단점

기술적 보호

  • 키보드 보안
    • 장점: 이미 확인된 키로거 동작 방식에 대해서는 잘 차단함. 최종사용자에게는 무료.
    • 단점: 새로운 공격 방식에는 취약. 키보드 보안 솔루션 간 충돌.
  • OTP
    • 장점: 현존하는 인증 수단 중 가장 보안성이 높음.
    • 단점: 발급절차가 까다로움. 최종사용자에게는 유료. 소지의 불편함(mOTP 제외). 영구적이지 않음(2~3년마다 교체).
  • 가상키보드
    • 장점: 최종사용자에게는 무료
    • 단점: 키보드에 비해 입력방식이 불편

관리적 보완

  • SMS 통보: 부정접속 방지의 장점이 있으나, SMS 전송 비용이 있어 소극적으로 활용됨.
  • ACL(접근통제): 비용 대비 효과적인 보호 수단이나, PC 사용 지식이 필요해 적용이 더딘 상황.

앞서 말한 인식을 바탕으로 보안솔루션 분야의 주요 문제를 몇 가지 꼽을 수 있다.

첫 번째 문제는 보안취약점에 대한 여러 해결방법 중 “완벽”이라 칭할 만큼 궁극적인 솔루션은 없다는 점이다. 각 솔루션 사용에 따라, 보안 강화 효과의 정도 차이는 분명하지만, 완벽이라는 수식어를 붙일 수 없다 보니, 사고가 두려운 금융권 IT 담당자과 당국의 정책 담당자들이 최종 사용자 편의나 접근성에 대한 고려 없이 이것저것 다 백화점처럼 설치하라는 논리로 발전해왔다.

두 번째 문제는 고객(금융/기관)이 보안솔루션 도입 시, 질적인 검증을 전혀 못 하는 점이다. PC에 설치된 보안프로그램(주로 액티브엑스) 목록을 보면, 유사기능을 하는 프로그램이 여러 개씩 설치되어 있다. 시장점유율이 높은 솔루션을 사용하는 것이 최종사용자 처지에서 추가 설치나 충돌의 이슈가 적기 때문에 더 유익한 길임에도, 기술력이 없는 업체의 솔루션이 기관이나 금융권 사이트에 적용되어 명맥을 이어나가는 현상도 자주 눈에 띈다.

보안솔루션의 설치 필요성에 대해 문제 제기를 종종 받는다. (누구를 위한 솔루션이냐의 논란은 있지만-주요 금융/기관을 위해 필요하다) 하지만 더 고민해야 될 부분은 불필요한 것처럼 느껴지는 보안솔루션들의 존재보다는 액티브엑스조차 제대로 못 만드는 영세업체의 난립 탓에 제대로 된 보안솔루션도 도매급으로 묶여 사용자들의 오해를 사고 있다는 점과 이를 냉정히 구분해야할 시장(금융/기관)이 의외로 무책임하다는 점이다.

일반적으로 혁신적인 기술의 출현 없이, 보안과 사용자 편의성은 양립할 수 없는 경우가 대부분이다. 양쪽 다 잡을 수 없으므로, 보안업체는 사용자의 편리성보다도 이미 밝혀진 보안문제와 이에 대한 솔루션 제시에 좀 더 골몰하는 경향이 있다. 그 와중 상거래 도의가 있다면, “이 솔루션은 이러이러한 장점이 있고, 이러이러한 단점이 있습니다.”라는 기술적 사실을 보안솔루션 이용자인 금융/공공IT부서 실무자들에게 공유하는 것이 필드의 모습이다.

이러한 모습은 최근 논란이 되는 공인인증서에도 마찬가지로 적용된다. 3천만이 사용하는 공인인증서의 장단점, 보안취약점에 대해 부정하거나 인식을 호도하는 보안업체는 없다. 위의 사례와 마찬가지로 보안업체 관점에서는 공인인증서의 현 단점을 보완하기 위해 인증서를 가상공간에 보관한다거나, 공인인증서를 특정 PC에서만 인증되게 하는 등의 솔루션을 제시할 뿐, 이에 대한 사용여부를 판단하는 것은 고객(은행/기관)의 몫이기 때문이다.

다시 말해, 공인인증의 강제사용 여부에 대해, 정책 결정 사안이므로 객관적인 시각을 유지하는 것이 보안업체의 보편적인 시각일 것이다. 다만 근래의 논의 방향 중 공인인증서를 폐지하고 인증수단을 다양화한 후, 각 업체의 자율에 맡기자는 목소리에 대해서는 염려되는 부분이 있다.

오픈웹이나 진보네트워크의 주장처럼 시장이 스스로 최적의 보안 솔루션을 찾아 유동적으로 적용할 수 있을지도 의문이거니와, 다양한 인증수단의 출현 속에서 최종사용자(대중)들은 또다시 혼란에 빠질 것이 그려지기 때문이다. 은행 창구에서 실명 거래를 위해 인증하는 수단을 학생증이나 사원증으로 확대하고 이를 은행 텔러가 판단하게 한다면, 도입 초기 적잖은 금융사고와 시행착오가 발생할 것으로 예상하는 것은 보안업체 실무자만의 지나친 기우는 아닐 것이다.

현재 개정 중인 전자금융거래법 법안이 통과되어도 당장 큰 변화는 없을 것이다. 공인인증서 도입 초기 제도적인 지원이 있었지만, 공인인증서가 3천만 개 이상 발급되어 시장표준화(De Facto Standard)된 상황이고, 오픈웹의 적극적인 문제제기로 접근성 역시 크게 개선된 터라 현존하는 타 인증수단보다도 강력한 시장지배력을 갖고 있기 때문이다. (OTP가 현재의 공인인증서 지위에 오르려면 보조금이나 별도의 제도적 지원정책이 있지 않은 한 오래 걸릴 것 같다.) 하여, 법안이 통과하더라도 내 부모님의 PC에 난립한 공인인증서 플러그인 프로그램들을 한동안 계속 볼 것 같다.

다 같은 보안업체는 아니다

보안업체에 일하지만, 간혹 보안업체의 상식에도 맞지 않게 불필요한 불안감을 조성하거나, 이용자에게 실익 없는 보안솔루션을 저가에 납품하는 약장사 같은 업체들이 보이는 것도 부인할 수는 없다. 하지만 그에 대해 기술적인 검증을 수행하고, 그 와중에 최종사용자(대중)의 편의를 고려하는 것은 솔루션을 사용하는 고객(금융/기관)의 의무이다.

일반적으로 기업에서 신제품을 만들 때, 고려하는 기준이 있다. 명확한 시장이 있거나, 차별화된 기술력이 있거나, 경쟁자의 진입을 막아주는 제도의 존재이다. 차별화된 기술력도 없고, 평판도 떨어지며, 보안을 강화하기는커녕 보안 수준을 낮추라고 가이드하는 업체와 그들의 액티브엑스가 난립하는 까닭은 공부도 안 하고, 최종사용자의 편의가 뒷전인 시장(금융/기관)이 존재하기 때문이다.

슬로우뉴스는 공인인증서와 액티브엑스 문제와 관련한 다양한 목소리를 기다리고 있습니다. 독자 여러분의 적극적인 참여를 부탁드립니다. (편집자)

좋은 기사 공유하고 알리기
슬로우뉴스에 커피 한잔의 여유를 후원해주세요. 필자 원고료와 최소한의 경비로 이용됩니다.

필자 소개

삽질
초대필자, 개발자

IT 8년차, 정확하게 알기위한 삽질이라면 즐김. 보안/개발/시스템관리… 치킨집 창업만 빼고 두루 경험

작성 기사 수 : 1개
필자의 페이스북

©슬로우뉴스 | 개인정보취급방침 | 청소년보호정책 | 슬로우뉴스 안내 | 제보/기고하기 | 제휴/광고문의
(유)슬로우미디어 | 전화: 070-4320-3690 | 등록번호: 경기, 아51089 | 등록일자 : 2014. 10. 27 | 제호: 슬로우뉴스 | 발행인: 김상인 | 편집인: 강성모
발행소: 경기 부천시 소사로 700번길 47 1동 506호 (원종동, 삼신) | 발행일자: 2012. 3. 26 | 개인정보관리/청소년보호책임자: 강성모

Scroll to top