보안프로그램일까, 악성코드일까

얼마 전 내가 사용하는 모 통신사에서 전화가 왔다.

“요금 고지서를 지로로 받고 계시죠? 이메일 발송으로 전환하시면 혜택을 드리는 이벤트를 하고 있는데요. 요금도 할인되고……”

“관심 없어요. 지로로 받겠습니다.”

‘이메일 고지서’를 못 믿는 이유

귀차니즘 때문에 모두 다는 아니지만 나는 상당수 통신요금 고지서 및 신용카드 고지서를 이메일이 아닌 종이로 받고 있다. 이유는? ‘이메일 고지서’라는 것의 정체를 믿지 못하기 때문이다.

이메일 고지서 = 액티브엑스 첨부한 웹문서

사실은 이메일 고지서는 ‘본인이 아닌 사람은 열어볼 수 없도록 보안을 기한다’면서 이른바 ‘보안 메일’ 형태의 첨부파일을 보낸다. 이 첨부파일은 사실은 액티브엑스를 첨부한 웹문서(html)이다. 인터넷 익스플로러에서만 내용을 확인할 수 있는 파일이다. 그리고 이 파일을 열면 ‘주민등록번호 뒷자리’를 입력하라고 한다. 빈칸에 주민등록번호 뒷자리를 입력하면 고지서 내역을 보여준다.

하지만 이 이메일을 보낸 사람이 만약 진짜 통신사, 진짜 카드사가 아니라면? 어떤 해커가 고지서를 가장해 악성코드를 첨부파일로 보내고 이 파일을 실행한 후 주민등록번호 뒷자리를 입력하는 순간, 나도 모르는 사이에 내 컴퓨터에 악성 프로그램이 깔리며 ‘좀비 PC’가 돼 버린다면?

내가 나쁜 마음을 먹은 해커라면 반드시 그렇게 한다. 왜냐고? 정말로 특이하게, 한국의 은행이나 카드사들은 파일 자체의 형식으로는 악성코드와 전혀 다를 바 없는 프로그램들을 ‘고지서 첨부파일’로 보내고 있으니까. 그래서 한국 사람들은 그런 첨부파일이 도착했을 때 아무런 의심도 안 하고 클릭하니까.

해커들이 이메일 고지서를 해킹에 이용한다면?

내가 이 생각을 한 게 벌써 오래전부터인데, 이제야 기사가 나왔다.

이번에 발견된 악성코드는 ‘3월 카드거래내역’이라는 제목의 메일에 첨부파일 형태로 포함되어 있다. 메일은 실제 각각 신용카드회사의 명세서와 구분이 어려울 정도로 유사한 화면으로 악성코드가 포함된 첨부파일을 열도록 유도하고 있다.

이번 악성코드는 특이하게 첨부파일을 열면 특정 정상 보안 프로그램과 함께 설치 및 실행된다. 이는 사용자를 안심시키기 위한 절차로 추정된다.

해당 보안프로그램과 악성코드의 설치가 완료되면 사용자의 개인정보를 입력하도록 유도하는 화면이 등장한다. 분석 당시에는 작동하지 않았지만, 개인정보는 해커에게 전송될 것으로 예상되며, 추가로 중국에 위치한 특정 IP와 통신하며 악성코드 제작자가 내린 임의의 명령을 수행할 수 있는 것으로 확인됐다.

출처: 보안뉴스 – 카드 거래내역 사칭한 악성코드 첨부 스팸메일 주의

1일 카드업계에 따르면 KB국민카드는 최근 국민카드로 속여 악성코드 유포 메일로 의심되는 피싱 메일이 발송된 것을 확인하고서 고객에게 주의하라고 긴급 공지했다.
‘3월 카드 거래내역’이란 제목이 달린 문제의 이메일은 ‘고객님의 3월 국민카드 거래 내역을 알려 드립니다. 자세한 내용은 첨부 파일에서 확인해주세요. 첨부파일:card.jpg, KB_20130326.rar’로 돼 있다.

출처: 연합뉴스 – “카드내역 알려드립니다” 이메일 열면 전산마비

아마 그동안에도 여러 번의 시도가 있었겠지만, 최근 사이버 대란 때문에 기사화되었을 것으로 보인다. 호들갑스러운 기사지만 전혀 호들갑 떨 일이 아니다. 앞서 말했듯, 내가 해커라도 이렇게 한다. 내 부족한 포토샵 실력으로도 카드사에서 보낸 것과 똑같아 보이는 이메일 하나쯤 만드는 것은 일도 아니다. 요즘 해커에게 가장 손쉬운 악성코드 설치 방법은 ‘낚시’인데 한국에서는 그게 매우 쉽다. 특히 카드사와 은행을 사칭한 낚시는 고급 개인정보, 잘만 하면 금전적 이득까지 얻을 수 있는 최고의 방법이다.

그럼 왜 은행과 카드사는 ‘이메일 고지서’를 고집할까?

이유는 비용절감과 액티브엑스 때문

그럼 도대체 은행이나 카드사는 왜 아무런 의식 없이 자칭 ‘보안메일’을 보내는 것일까? 심지어 종이로 DM을 받지 말고 이메일로 보내라고 친히 전화까지 걸고 마케팅까지 할까? 물론 가장 큰 이유는 DM 발송에 드는 우편 및 종이, 인쇄 비용 절약이다. 하지만 더 근본적인 이유는 우리나라가 악성코드와 본질적으로 다르지 않은 액티브엑스 설치를 당연시하는 나라이기 때문이다.

[box type=”info” head=”액티브엑스란?”]

액티브엑스(ActiveX)는 기본적으로 웹브라우저가 할 수 없는 일들을 할 수 있게 한다. 원래 웹브라우저는 기본적으로 웹문서(html)를 보여주는 일 이상을 할 수 없다. 하지만 액티브엑스를 이용해 동적으로 표를 변경하기, 고화질/저용량 동영상 감상하기, 내 컴퓨터 속의 파일을 마음대로 추가/수정/삭제하기 같은 일들을 할 수 있다.

하지만 액티브엑스는 보안에 취약하고, 모바일 환경을 지원하지 않으며, 호환성이 떨어지는 등 많은 단점이 대두되었고, 제작사인 마이크로소프트도 2004년 윈도우 XP sp2 때부터 꾸준히 지원을 축소하고 있다.  참고로 액티브엑스는 썬 마이크로시스템즈의 자바 기술에 대항하기 위해 마이크로소프트가 1996년 내놓은 전략적 객체지향 프로그래밍 도구 및 기술이다.

[/box]

만약 그렇지 않고 보안 의식이 철저한 나라, 악성코드에 적극 사용되는 ‘실행파일’이나 ‘이미지파일’을 첨부파일로 보내는 것을 꺼리는 나라라면 애초부터 이메일로 고지서 같은 중요한 정보를 보내며 고객의 ‘주민등록번호 뒷자리’를 입력하도록 하는 짓을 할 리가 없다.

세종대왕에게 고마워해야 할 판

아마 우리나라가 영어권이나 중국어권 국가였다면 훨씬 전부터 카드사나 은행을 사칭한 정교한 이메일 피싱이 엄청나게 성행하고 있을 것이다. 다행히 우리나라는 중국어도 쓰지 않고 영어도 쓰지 않고 한국어/한글을 사용하기 때문에 전세계의 해커들에게는 너무 작은 시장이다. 이메일 낚시가 예상보다 적은 것은 이런 언어 덕택이라고 본다.

물론 우리나라 정부와 금융당국의 ‘보안에 대한 열망’이나 ‘공무원으로서의 사명감’은 대단하다. 혹시라도 PC에 백신이나 보안프로그램을 깔지 않은 사용자가 인터넷뱅킹을 사용하다가 해킹을 당할까봐 친절하게 모든 사용자가 로그인할 때마다 백신+키보드보안+방화벽 보안3종세트 등 다양한 프로그램을 설치하도록 강제한다. 물론 이 프로그램끼리 충돌한다거나 이상한 문자가 입력된다거나 하는 문제들이 발생하기도 하지만 그런 것은 부수적인 피해일 뿐, 전국민을 해킹으로부터 보호해야 한다는 훨씬 중대한 그 분들의 사명을 생각하면 무시해도 좋은 것들이다

관성화된 액티브엑스, 보안수준 오히려 낮아지는 현실  

하지만 정부나 금융권 사이트만 들어가면 ‘보안을 위해'(?) 설치해야 하는 수많은 액티브엑스 파일 때문에 역설적으로 전국민의 ‘보안수준이 낮아지는'(!) 상황이 발생한다. 특히 정체 모를 웹하드 사이트에서도 파일 업/다운로드를 위해 아무런 경계심 없이 액티브엑스 파일을 설치할 정도로 국민들의 보안의식 수준이 처절하게 떨어진 데는 정부와 금융권 사이트의 보안 명목 액티브엑스 강제 설치가 큰 몫을 했다. 이런 상황이다 보니 은행이나 카드사들이 고객에게 이메일로 액티브엑스 첨부파일을 보내는 상황에 이르렀고, 해커들의 ‘낚시’ 본능을 일깨우는 상황까지 다다른 것이다.

알고 지내는 한 프로그래머는 과거 한 외국계 금융회사에 프리젠테이션을 하러 간 적이 있는데, 그 PT용 파일이 자사 시스템에 해를 끼치는 파일은 아닌지부터 증명하라고 했다고 한다. 프로그램 납품은 당연히 엄청나게 까다롭게 이뤄졌다. 반면 국내 금융사와 일할 때는 그런 보안의식이 전혀 없었다고 말했다.

최근 발생한 해킹 사태는 심지어 ‘보안회사가 직접 설치하라고 보낸 파일’조차 진짜인지 악성코드인지 의심스러운 상황을 보여준다. 지난 달 해킹사태 당시, 나는 안랩과 하우리에게 보안 솔루션을 납품 받은 업체들이 피해를 입었다는 사실이 이상했다. 동시다발적으로 방송사와 금융회사가 피해를 입었는데, 피해를 본 업체들이 모두 비슷한 업체로부터 납품 받은 중앙관제서버를 사용하고 있다면 악성코드의 유포 경로로 이 서버가 이용됐을 가능성이 높다고 본 것이다.

최근 해킹 사태의 사례를 보라

실제로 안랩은 최근 해킹 사태 중 농협 건에 대해 자사가 납품한 APC서버(자산 및 중앙관리 서버)의 취약점 때문에 해커가 악성코드를 농협 내부 컴퓨터에 배포할 수 있었다고 인정했다. 농협의 내부망 중 한 컴퓨터가 먼저 해커의 악성코드에 감염됐고, 해커는 이를 바탕으로 농협 내부의 취약점을 찾아다니던 중 안랩이 납품한 APC서버가 관리자 아이디와 패스워드가 없이도 파일 업로드가 가능하다는 사실을 알아냈다. 이를 통해 해커는 아무도 모르는 사이에 농협 내부 컴퓨터에 마치 백신 새 버전 파일처럼 악성코드를 쉽게 설치할 수 있었다.

하우리 역시 사건 초창기에 자사 제품의 무결성 검사 문제를 인정하는 듯한 발언을 했다.

하우리는 이날 밤 보도자료를 통해 “장애 증상 PC에서 샘플 파일을 수집해 분석한 결과, 악성코드가 하우리 백신 프로그램의 구성모듈 파일(파일명: othdown.exe)로 위장했다”며 “타 백신 프로그램(안랩) 역시 서버 구성모듈로 악성코드가 위장한 것”이라고 밝혔다.

김희천 하우리 대표는 “엔진 업데이트 서버가 해킹된 것은 아니다”라며 “이번 취약점의 대처 방안으로 othdown.exe 실행 전 파일의 무결성을 검사해 본래의 파일이 맞는 경우에만 실행하도록 보완하여 같은 사례가 재발되지 않게 조치했다”고 말했다.

출처: 머니투데이 – 안랩·하우리 “백신 업데이트 모듈로 위장했을 뿐, 해킹 아냐”

악성코드가 하우리 백신 프로그램으로 위장했는데, 이를 발견하는 무결성 검사를 사전에 하지 않았다는 뉘앙스의 발언이다. 바이러스가 백신 파일로 위장하는 경우는 허다한데, 자사 제품으로 위장했는지 조차 검사하지 않았다니 놀랍다.

이런 상황에서 과연 은행이나 정부 사이트에서 ‘강제 설치’되는 한국 보안업체들의 이른바 ‘보안프로그램’이 과연 ‘보안프로그램’인지, ‘악성코드’ 기능이 혹시 숨어 있는 것은 아닌지 알 수 있는 방법이 과연 있을까? 사실상 수많은 보안프로그램들의 정체가 내 PC에 설치된 프로그램이 무엇인지 검사하고 들락날락하는 정보를 감시하는 것 아닌가.

최악의 보안 갈라파고스 대한민국… 탈출길 어서 터야 

정부는 북한의 사이버 전사들의 능력을 굉장히 높이 평가하고 있는 것 같던데, 만약 그 대단한 사이버 전사들이 국내 보안회사 제품의 허점을 파악, 보안프로그램을 가장한 악성코드를 사방에 뿌려댄다면 과연 배겨낼 수 있을까? (실제 현실은 이런 것 같지만 말이다.)

결국 근본 문제는 악성코드에 너무 쉽게 내 컴퓨터를 자발적으로 내 주도록 돼 있는 현재의 취약한 보안의식, 그리고 그 보안의식을 사실상 조장한 정부의 액티브엑스 보안프로그램 의무설치에 있다. 여기서 탈피하는 것이 최악의 보안 갈라파고스를 탈출하기 위한 가장 최우선 과제다.

다행히 최문기 미래창조과학부 장관 내정자가 액티브엑스 폐지에 공감했다고 한다. 물론 최 장관이 추진하려고 해도 안전행정부, 금융위원회, 금융감독원 등등 수많은 부처와의 조율 과정에서 부딪칠 것이고 좌절도 겪겠지만, 부디 합리적인 토론과 설득을 통해 이 과제를 달성하였으면 한다.