내가 고향 집에 갈 때마다 하는 일이 있다. 부모님이 사용하시는 PC에 설치된 수많은 유사 보안솔루션과 툴바를 지우는 일이다. 같은 보안업계 종사하면서도, 대중을 대상으로 “묻지마! 설치” 방식의 보안솔루션들을 보면 답답함과 동시에 개별 솔루션들이 왜 설치되는지 존재 이유를 알다 보니 애증이 교차하는 것이 사실이다.
보안업체 담당자가 바라본 액티브엑스
대부분의 IT 테크니션들이 PC에 무엇인가를 설치하는 것을 싫어한다. PC가 지저분해진다고 느끼는 것은 물론, 설치된 프로그램들이 늘어남에 따라 성능도 느려지고, 프로그램 간 충돌도 빈번해지기 때문이다. 나도 마찬가지다.
하여 2008년 오픈웹이 액티브엑스 기술종속에 대한 화두를 들고 나왔을 때, 누구보다도 지지했었다. 마침 웹표준, Ajax 등의 기술이 붐을 이루며, 포털을 중심으로 웹접근성에 대해 진지한 고찰이 이루어졌고, 더 이상 웹서핑 도중 설치를 강요하는 노란색 툴바를 보지 않아도 될 것만 같았다.
안타깝게도 2013년 현재, 공인인증서 설치프로그램을 비롯한 수많은 보안솔루션들이 웹서핑골목 곳곳에서 버티고 있다. 일부에서는 불필요한 솔루션을 팔기 위해 보안업체 술상무가 영업력을 발휘했다거나, 금융권 IT 담당자와 보안업체가 야합하여 금감원 뒤에 숨어 귀찮은 일에서 피한다고 음모론을 제기한다. (물론 그런 영세 업체도 있을 것이다. 대부분은 아니다.)
하지만 실상은 그렇게 소설 하나로 금융권이나 보안업체를 욕하고 이야기를 덮을 만큼 간단하지는 않다. 업계 이해관계 탓에 불필요하게 유지되는 보안기술도 있겠으나, 대부분 보안솔루션이 존재 이유가 있었고, 아직 그 목적을 상실하지 않았기 때문에 유지되는 상황으로 보는 것이 타당하다.
먼저 생각해야 할 것은 기술적인 측면에서 예전이나 지금이나 다양한 보안취약점들이 존재하고 있고, 이를 관리하는 방안 역시 폭넓게 존재한다는 점이다.
키보드 입력 값을 빼 가는 악성코드(키로거)로 인해 발생한 부정거래를 막는 것이 좋은 예가 될 것 같다. 기술적인 측면에서 키로거의 동작을 방해하기 위해 OS의 더 낮은 레벨로 접근하는 키보드 보안솔루션이 나왔고, 연이어 다른 관점에서 문제를 푼 방식 OTP 솔루션(패스워드를 고정하지 않는 방식)과 가상키보드 솔루션(키보드를 이용하지 않는 방식)이 나왔었다.
또 같은 문제의 위험을 관리적으로 줄이기 위해, 로그인 시마다 SMS를 이용해 이용자에게 통보해주거나, 특정 IP대역이나 특정 PC에서만 접근 가능하도록 통제해주는 보완재성 솔루션들도 등장했다. 다양한 방법이 존재하는 만큼이나 각각 솔루션 역시 장단점이 존재한다.
[box type=”note” head=”보안솔루션의 종류와 장단점”]
기술적 보호
- 키보드 보안
- 장점: 이미 확인된 키로거 동작 방식에 대해서는 잘 차단함. 최종사용자에게는 무료.
- 단점: 새로운 공격 방식에는 취약. 키보드 보안 솔루션 간 충돌.
- OTP
- 장점: 현존하는 인증 수단 중 가장 보안성이 높음.
- 단점: 발급절차가 까다로움. 최종사용자에게는 유료. 소지의 불편함(mOTP 제외). 영구적이지 않음(2~3년마다 교체).
- 가상키보드
- 장점: 최종사용자에게는 무료
- 단점: 키보드에 비해 입력방식이 불편
관리적 보완
- SMS 통보: 부정접속 방지의 장점이 있으나, SMS 전송 비용이 있어 소극적으로 활용됨.
- ACL(접근통제): 비용 대비 효과적인 보호 수단이나, PC 사용 지식이 필요해 적용이 더딘 상황.
[/box]
앞서 말한 인식을 바탕으로 보안솔루션 분야의 주요 문제를 몇 가지 꼽을 수 있다.
첫 번째 문제는 보안취약점에 대한 여러 해결방법 중 “완벽”이라 칭할 만큼 궁극적인 솔루션은 없다는 점이다. 각 솔루션 사용에 따라, 보안 강화 효과의 정도 차이는 분명하지만, 완벽이라는 수식어를 붙일 수 없다 보니, 사고가 두려운 금융권 IT 담당자과 당국의 정책 담당자들이 최종 사용자 편의나 접근성에 대한 고려 없이 이것저것 다 백화점처럼 설치하라는 논리로 발전해왔다.
두 번째 문제는 고객(금융/기관)이 보안솔루션 도입 시, 질적인 검증을 전혀 못 하는 점이다. PC에 설치된 보안프로그램(주로 액티브엑스) 목록을 보면, 유사기능을 하는 프로그램이 여러 개씩 설치되어 있다. 시장점유율이 높은 솔루션을 사용하는 것이 최종사용자 처지에서 추가 설치나 충돌의 이슈가 적기 때문에 더 유익한 길임에도, 기술력이 없는 업체의 솔루션이 기관이나 금융권 사이트에 적용되어 명맥을 이어나가는 현상도 자주 눈에 띈다.
보안솔루션의 설치 필요성에 대해 문제 제기를 종종 받는다. (누구를 위한 솔루션이냐의 논란은 있지만-주요 금융/기관을 위해 필요하다) 하지만 더 고민해야 될 부분은 불필요한 것처럼 느껴지는 보안솔루션들의 존재보다는 액티브엑스조차 제대로 못 만드는 영세업체의 난립 탓에 제대로 된 보안솔루션도 도매급으로 묶여 사용자들의 오해를 사고 있다는 점과 이를 냉정히 구분해야할 시장(금융/기관)이 의외로 무책임하다는 점이다.
일반적으로 혁신적인 기술의 출현 없이, 보안과 사용자 편의성은 양립할 수 없는 경우가 대부분이다. 양쪽 다 잡을 수 없으므로, 보안업체는 사용자의 편리성보다도 이미 밝혀진 보안문제와 이에 대한 솔루션 제시에 좀 더 골몰하는 경향이 있다. 그 와중 상거래 도의가 있다면, “이 솔루션은 이러이러한 장점이 있고, 이러이러한 단점이 있습니다.”라는 기술적 사실을 보안솔루션 이용자인 금융/공공IT부서 실무자들에게 공유하는 것이 필드의 모습이다.
이러한 모습은 최근 논란이 되는 공인인증서에도 마찬가지로 적용된다. 3천만이 사용하는 공인인증서의 장단점, 보안취약점에 대해 부정하거나 인식을 호도하는 보안업체는 없다. 위의 사례와 마찬가지로 보안업체 관점에서는 공인인증서의 현 단점을 보완하기 위해 인증서를 가상공간에 보관한다거나, 공인인증서를 특정 PC에서만 인증되게 하는 등의 솔루션을 제시할 뿐, 이에 대한 사용여부를 판단하는 것은 고객(은행/기관)의 몫이기 때문이다.
다시 말해, 공인인증의 강제사용 여부에 대해, 정책 결정 사안이므로 객관적인 시각을 유지하는 것이 보안업체의 보편적인 시각일 것이다. 다만 근래의 논의 방향 중 공인인증서를 폐지하고 인증수단을 다양화한 후, 각 업체의 자율에 맡기자는 목소리에 대해서는 염려되는 부분이 있다.
오픈웹이나 진보네트워크의 주장처럼 시장이 스스로 최적의 보안 솔루션을 찾아 유동적으로 적용할 수 있을지도 의문이거니와, 다양한 인증수단의 출현 속에서 최종사용자(대중)들은 또다시 혼란에 빠질 것이 그려지기 때문이다. 은행 창구에서 실명 거래를 위해 인증하는 수단을 학생증이나 사원증으로 확대하고 이를 은행 텔러가 판단하게 한다면, 도입 초기 적잖은 금융사고와 시행착오가 발생할 것으로 예상하는 것은 보안업체 실무자만의 지나친 기우는 아닐 것이다.
현재 개정 중인 전자금융거래법 법안이 통과되어도 당장 큰 변화는 없을 것이다. 공인인증서 도입 초기 제도적인 지원이 있었지만, 공인인증서가 3천만 개 이상 발급되어 시장표준화(De Facto Standard)된 상황이고, 오픈웹의 적극적인 문제제기로 접근성 역시 크게 개선된 터라 현존하는 타 인증수단보다도 강력한 시장지배력을 갖고 있기 때문이다. (OTP가 현재의 공인인증서 지위에 오르려면 보조금이나 별도의 제도적 지원정책이 있지 않은 한 오래 걸릴 것 같다.) 하여, 법안이 통과하더라도 내 부모님의 PC에 난립한 공인인증서 플러그인 프로그램들을 한동안 계속 볼 것 같다.
다 같은 보안업체는 아니다
보안업체에 일하지만, 간혹 보안업체의 상식에도 맞지 않게 불필요한 불안감을 조성하거나, 이용자에게 실익 없는 보안솔루션을 저가에 납품하는 약장사 같은 업체들이 보이는 것도 부인할 수는 없다. 하지만 그에 대해 기술적인 검증을 수행하고, 그 와중에 최종사용자(대중)의 편의를 고려하는 것은 솔루션을 사용하는 고객(금융/기관)의 의무이다.
일반적으로 기업에서 신제품을 만들 때, 고려하는 기준이 있다. 명확한 시장이 있거나, 차별화된 기술력이 있거나, 경쟁자의 진입을 막아주는 제도의 존재이다. 차별화된 기술력도 없고, 평판도 떨어지며, 보안을 강화하기는커녕 보안 수준을 낮추라고 가이드하는 업체와 그들의 액티브엑스가 난립하는 까닭은 공부도 안 하고, 최종사용자의 편의가 뒷전인 시장(금융/기관)이 존재하기 때문이다.
[box type=”note”]
슬로우뉴스는 공인인증서와 액티브엑스 문제와 관련한 다양한 목소리를 기다리고 있습니다. 독자 여러분의 적극적인 참여를 부탁드립니다. (편집자)
[/box]
여기 미국입니다. 인터넷 뱅킹시 가입시 지정한 자신의 세가지 질문에 답변을 하고 마지막에 패스워드를 넣으면 끝입니다. 아이디 – 질문1 – 질문2 – 질문3 – 패스워드 땡 이런식이죠.
철저히 웹 표준을 지키며 당연 액티브액스, 보안카드, 키보드 보안이니 이런거 다 필요없습니다. 주기적으로 질문과 답변, 패스워드만 바꿔주면 끝이지요. 플랫폼과 상관없이 동일하게 작동합니다. 그래서 전 항상 맥으로 이용합니다.
미국애들이 멍청해서 액티브액스를 안쓰고 키보드 보안 프로그램 배포 안할까요? 여기는 금융사고시 한국과 달리 사용자가 아닌 금융사에 책임을 훨씬 더 많이 묻는데도 말이죠.
사용자 프론트엔드에 보안의 핵심이 존재한다는것 자체가 가장 큰 문제며 그만큼 보안수준이 저질이라는 반증입니다. 문제의 핵심을 모르는 글이군요.
이 방식이 해킹에 다 털린다는 것 아시는지요?
백도어 해킹 프로그램 깔고 그사람 금융정보 털면 그 은행 고객 계좌 다털립니다.
이런 해킹 비일비재합니다.
지난 농협 해킹과 같은 공격 당하면 돈 다털립니다.
페이팔,,,해킹에 피해자 엄청 많은거 아시는가요?
우리나라 금융이 그나마 세계에서 제일 안전하고 인터넷뱅킹 세계 최고 1위입니다.
이건 공인인증서를 기반으로 하고 있기 때문입니다.
저 위에 무슨 근거도 없는 선동질인지.
그리고 우리나라 보안업체는 눈에 보이는 보안에만 신경쓰는거 같아요.
꼭 뭘 설치하고 화려하게 보여줘야 보안이 되는 듯한 그런 거.
진짜 안습…
우리나라 금융이 세계에서 제일 안전하다는 얘기는 금시초문입니다.
인터넷 뱅킹 세계 최고 1위요? 말도안돼는 소리입니다.
혹시 다른나라 인터넷 뱅킹은 사용해 보고 말씀하시는건가요?
혹시 꼴찌를 잘못 쓴건 아닌가요?
그러니까 왜 우리나라만 액씨브X 를 사용하냐고?
우리나라는 it 강국입니다!
이유를 모르겠네요. 해외에서 뱅킹을 안써봐서 이해가 안됩니다. sherkhan님 그렇게 입력하고나면 실시간으로 이체 같은게 가능한가요??
지랄병신 빠큐처먹어라
otp훔치면되고문자핸드폰훔쳐서하면되고주민증다시받으면된단다니들바보아냐?나경찰짤림