노액티브엑스 셀프 인터뷰 2: 최소한의 안전을 위해 SSL을 확인할 것

Q: 지난 번에 윈도우와 인터넷 익스플로러(IE)를 쓰지 않으면 들어가봐야 무용지물인 정부 사이트가 많다는 얘기 잘 들었다.
A: 이게 진짜 문제인 이유는 그런 사이트가 정부 뿐만이 아니라는 거다.

Q: 솔직히 나는 관공서가 시대에 좀 뒤처지는 게 당연하다고 생각한다. 뭐든지 도입에 시간도 오래 걸리기도 하고. 원래 관공서들이 좀 느리지 않나. 그리고, 빠른 도입이 항상 맞는 것도 아니고.
A: 맞다. 관공서는 원래 느리다. 예를 들어 민간에서 USB 드라이브 쓸 때, 관공서는 소형 하드 드라이브 들고 다니고, 밖에서 SSD 사용할 때 하드 드라이브 용량 크면 좋아한다.

Q: 민간에서 OHP로 발표할 때 관공서는 괘도를 걸고 발표를 했고……
A: 밖에서 파워포인트 쓸 때, 관공서는 OHP로 발표했다.

Q: 잘 아네. 근데 뭐가 그렇게 불만인가.
A: 관공서가 느린 것과는 별개로 대국민 서비스를 차별적으로 운영하는 건 잘못된 것 아닌가. 또 편리한 기능을 지원하는 것도 중요하지만 그만큼 보편적이고 안전해야 하는 것 아닌가.

Q: 맞다. 이 이야기는 느리지만 한 번 더 생각하는 슬로우뉴스와도 맞닿아있는 것 같다.
A: 광고해줘서 고맙다. 어쨌든 더 큰 문제는 그렇게 뒤늦게 따라 오는 관공서가 민간에서 빠르게 발전하는 분야에 대해 특정 기술을 강제하면서 다른 부작용들이 만들어진다는 데에 있는 것 같다.

Q: 무슨 기술을 강제한다는 건가?
A: 대표적인 것이 공인인증제도다.

공인인증서 제도의 무리한 도입과 적용 확대로 문제 가중

Q: 솔직히 공인인증서를 맨날 사용하지만 그게 정확히 무슨 뜻인지 모른다. 완전 쉽게 설명해봐라.
A: 기술적인 부분을 배제하고 최대한 쉽게 설명하겠다.

• 컴퓨터로 문서를 작성하거나 수정할 때 누가 했는지 확인할 용도로 ‘전자(디지털)적으로 서명’한다.
• 이 때 정말 본인이 했는지 검사하는 것을 인증이라 한다.
• 이 인증(검사)은 정부에서 지정한 기관에서만 할 수 있어서 ‘공인’인증이라 한다.
• 사용자들은 이 때 사용되는 자신의 공인인증서 파일을 각자 보관하고 있다가 필요할 때 전자서명 용도로 사용한다.

Q: 그럼 공인인증서는 내가 공인인증을 받기 위해 사용하는 어떤 파일이나 열쇠, 도장 같은 거네?
A: 그렇다. 더 쉽게 이해하려면 ‘디지털 인감 도장’이라 생각하면 된다.

Q: 그렇다면 그게 뭐가 나쁜가. 예를 들어 내가 은행 거래를 할 때 내가 누구인지 알아야 하는 건 당연한 것 아닌가.
A: 은행 거래는 그렇다 치자. 대리점 가서 냉장고 살 때 인감 도장 제출하나?

Q: 아…… 아니지.
A: 그럼, 병원가서 접수할 때 인감 도장 챙겨가나?

Q: 그것도 물론 아니다.
A: 현재 우리나라 인터넷의 가장 큰 문제 중 하나는 공인인증서 남용이라고 생각한다. 다시 설명하겠지만, 공인인증이라는 개념이 대단히 안전하고 좋다고 생각한 나머지 굳이 공인인증이 필요없는 곳까지 여기저기 사용하고 있다. 기본적으로 SSL 정도로 충분한 정도의 사이트에서도 남용한달까?

Q: 그게 왜 문제가 되나?
A: 아마존이나 이베이, 애플 사이트에서 물건 살 때 사용자 컴퓨터에 이것저것 설치하는 거 봤나?

Q: 내가 해외구매 많이 해봐서 아는데, 그런 곳은 단 한 곳도 없었다.
A: 공인인증을 하기 위해서는 액티브엑스나 플러그인 등을 설치할 수 밖에 없다. 그리고, 생각해 봐라. 불과 얼마 전까지만 해도 회원가입을 위해 주민등록번호 입력이 필수였던 게 바로 한국의 상황이다.

Q: 맞다. 너도 나도 다 하다가 이제 또 갑자기 대대적으로 수집을 금지하고 있지.
A: 그렇다. 개인 정보를 너무 쉽게 여기는 풍조가 있는 거다. 웬만한 기능은 SSL 등 웹 브라우저에서 기본적으로 지원되는 기능으로 구현하고 다양한 인증 방법을 사용한 후 나머지는 다양한 방법을 동원해서 보완, 처리하면 되는데 이건 무조건 인감 도장을 달라고 하는 거다. 주민등록번호를 마구 요구했던 것과 무엇이 다른가.

Q: 그런데, SSL이라는 게 정확히 뭔가?
A: 이것 역시 일반인들이 이해하기에 기술적으로 복잡하고 길다. 만화로 설명하는 링크를 소개해 주겠다.

[box type=”info” head=”SSL이란 무엇인가?”]

• 미닉스의 작은 이야기들 – [웹툰03] SSL이란 무엇인가? 1/2
• 미닉스의 작은 이야기들 – [웹툰03] SSL이란 무엇인가? 2/2

[/box]

브라우저에 자물쇠 표시가 없으면 의심이 기본이다!

A: 아주 쉽게 말해 SSL (Secure Socket Layer)은 안전한 인터넷 연결을 의미한다. 일반 웹사이트에서 우리가 입력하고 받아보는 정보는 원하기만 한다면 엿보거나 조작할 수 있다. 쉽게 말해 도청 및 피싱을 할 수 있다. 하지만 SSL은 보안 연결이어서 기본적으로 도청 및 피싱이 힘들다고 보면 된다.

Q: 불가능한 게 아니라 힘들다고?
A: 보안에 있어 100%라는 건 없다. 해킹 기술과 보안 기술이 워낙 빠르게 발전하고 있기도 하고. 또 지키는 데에는 모든 곳을 다 지켜야 하니 비용과 노력이 많이 들어가지만 공격은 그 중에서 약한 곳만 집중 공략하면 되는 거니까.

Q: 창과 방패의 싸움인데 기본적으로 일단 뚫려야 막을 수 있다는 이야기인가?
A: 그렇다. 어쨌든 사용자가 이걸 확인하려면 브라우저에 자물쇠 표시가 되어 있는지를 확인하면 된다.

Q: 자물쇠? 아…… 본 것 같기도 한데 잘 모르겠다.
A: 앞으로 인터넷에서 중요한 정보를 입력하거나 선택할 때, 무언가를 다운로드 받을 때는 브라우저에 자물쇠 표시가 있는지를 먼저 확인해라. 자물쇠가 보이는 않는 곳에서는 개인 정보 등 중요한 정보를 넣지 마라. 그리고 일단 피싱 사이트인지 의심해라. (단, 맥용 파이어폭스 현재 버전은 색깔판 파란색으로 달라지니 주의 필요)

Q: 엥? 지금 보니 다음이나 네이버에 처음 접속했을 때 자물쇠 표시 안뜨는데…… 그럼 그것도 의심해야 하나?
A: 기본적으로 그렇다. 의심하는 게 맞다. 만약 니가 나름대로 잘 관리한 네 컴퓨터가 아니라면 더욱 조심해야 한다. 그런데, 어차피 너는 포털의 첫 화면에서 뭘 입력 안하잖아. 그냥 마우스로 틱틱 클릭만 하잖아. 그러니 크게 걱정할 건 없는 거 아닌가?

Q: 그게 무슨 헛소린가!! 녹색, 파란색 네모 상자에 검색어도 입력하잖아!
A: 그건 네 개인정보가 아니잖아. 혹시 검색창에 무슨 네 주민등록번호랑 이름 같은 거 함께 넣어 검색해 보는 건가? 그런 거 아니면 누가 좀 훔쳐보거나 정보를 가로채도 치명적인 문제는 없는 거 아닌가. 혹시 당신, 이상한 키워드라도 입력하는 건가?

[box type=”note” head=”검색 결과 바꿔치기 실제 사례”]

악성 프로그램 배포 1건당 50∼70원씩 받기로 ㄱ업체 측과 약정을 맺은 전문업체는 웹하드나 제휴사이트를 통해 프로그램에 대한 별다른 설명 없이 PC 사용자의 형식적인 동의만 받고 이를 퍼뜨렸다.

이를 내려받은 컴퓨터는 현재까지 확인된 것만 266만건에 이른다. 이렇게 감염된 이후 인터넷 창에 나타나는 불법 광고는 해당 포털의 디자인과 흡사하기 때문에 일반 네티즌이 감쪽같이 속아 넘어갈 수밖에 없었다고 검찰은 설명했다.

출처: 경향신문 – 네이버 광고 바꿔치기로 수십억 챙긴 일당 검거

[/box]

Q: 무……무슨 소리! 그럼 자물쇠 표시가 없는 곳에서 입력하는 건 언제든 누군가 훔쳐보거나 가로챌 수 있다는 건가? 노액티브엑스 사이트도 서명할 때 자물쇠 표시가 없잖아!
A: 기본적으로 자물쇠가 없는 곳은 의심해야 한다. 누구나 훔쳐보거나 조작할 수 있는 건 아니고, 네트워크 지식이 있고 의도가 있는 애들이 훔쳐보고 조작하는 거지 거지. 그리고 노액티브엑스 사이트에는 주민번호나 나이, 비밀번호, 통장 정보 이런 건 안 물어본다. 그리고 ‘페이스북으로 서명하기’, ‘트위터로 서명하기는 서명하기’를 선택하면 자물쇠가 달린 사이트로 이동한다.

Q: 무섭네……
A: 그걸 이제야 알았나?

Q: 보안을 위해 무조건 보안 프로그램을 설치하라고만 했지 누가 그런 걸 알려준 적이 있어야지…… 어라? 잠깐! 근데, 다음이나 네이버 첫화면에 로그인 창도 있잖아. 거기엔 아이디와 비밀번호도 넣는데? 그럼 그건 어떻게 되는 건가?
A: 말했잖나. 자물쇠 표시가 없는데서 입력하면 문제가 생길 수 있다니깐?

Q: 왜 그러는데? 입력한 결과를 SSL로 보내면 안전한 것 아닌가?
A: 만약 네 PC가 악성코드에 감염되어 있으면 SSL이 적용되지 않은 웹 페이지의 로그인 창을 엉뚱한 곳에 접속하는 가짜 로그인 창으로 바꿀 수 있기 때문이다.

Q: 아, SSL로 연결되기 전에 미리 바꿔치기 당할 수 있다?
A: 맞다. 많은 사용자를 가진 해외 사이트를 예로 들어주겠다. 로그인할 수 있는 시작 화면부터 SSL을 적용했다. 심지어 각종 정보가 뒤섞여 올라오는 타임라인 형 서비스나 무수한 링크가 한 페이지에 보이는 검색 서비스의 경우는 아예 서비스 전체를 SSL 적용한 곳들도 있다.

• 트위터 (https)
• 페이스북 (https)
• 구글 (https)
• 드랍박스 (https)
• 라이브닷컴 (https)
• 핀터레스트 로그인 (https)

Q: 와- 아예 사이트에 통째로 적용했네? 그럼 이렇게 안하는 곳들은 뭔가?
A: 서버 운영에 추가 비용이 들고, 또 보안 관련 데이터량이 추가되니 느려질 수 있기 때문이다. 하지만, 이렇게 통째로 적용하면 그만큼 정보에 자사 사이트를 통해 유통되는 정보에 대해 안전하다는 메시지를 전달하는 효과도 있고, 사람들도 그 서비스를 사용하면서 불안해 하지 않을 수 있다.

Q: 무슨 보안 프로그램, 액티브엑스, 공인인증서 이런 거 안깔아도 안전하다는 건가?
A: 최소한의 안전은 보장이 된다고 생각하면 된다. 그리고, 공인인증서는 네가 접속한 사이트가 안전하다는 걸 보장해주는 게 아니라 네가 본인이 맞는지를 확인하는 거다.

Q: 하긴, 인감 도장 요구한다고 모두 세콤 설치한 건 아니지.
A: 비유가 적절한데?

Q: 그런데, 왜 아무 것도 설치안해도 되는 건가. 뭔가 덕지덕지 설치해야 안전해 지는 것 아닌가.
A: 이게 웹 표준이라서 그렇다. 즉, 웹 브라우저가 과거와는 달리 많이 발전해서 자체에 SSL 접속 기능, 서버 인증서 기능도 내장하고 있어서 그런 거다.

Q: 잘 알았다. 근데 왜 아무도 이런 걸 제대로 알려주지 않는 건가!
A: 나도 잘 모르겠다. 누구의 책임일까? 정부? 정부의 보안 관련 부서? 보안업체? 요즘은 어려서 부터 인터넷에 접속하니까 집? 학교? 어쨌든 많은 웹 사이트와 보안 업체들은 이런 안내 보다는 맨날 액티브엑스나 플러그인을 묻지도 따지지도 말고 깔라는 이야기만 하고 있는 건 사실이다.

Q: 잠깐! 지난 시간에 알려줬던 명의도용 방지서비스는 액티브엑스 설치하라고 하는 페이지 자체에 자물쇠 표시가 없네?
A: 오오오…… 이제야 조금씩 눈을 뜨는구나. 맞다. 저게 피싱 사이트인지, 악성코드 배포 사이트인지, 해킹 당했는지 도용됐는지도 모르는데 어떻게 저기서 요구하는 액티브엑스를 설치할 수 있나.

그래도 100% 안전함이란 없다

Q: 듣고 보니 이런 건 좀 심하다. 게다가 한국정보통신진흥협회이란 곳인데.
A: 저런 곳이 적지 않다. 참, 자물쇠만 뜬다고 무조건 안심할 수 있는 건 아니고, 그래도 뭔가 의심이 가면 원하는 사이트인지 자물쇠를 한번 더 눌러봐서 확인을 하면 좋다.

Q: 자물쇠로도 안된다고?
A: 그렇다기 보다는 네 PC가 이미 악성코드에 장악되어 있다면 자물쇠 표시는 되지만, 내용은 엉뚱한 사이트로 연결시킬 수도 있다는 뜻이다. 즉, 해커가 자물쇠 표시 인증을 A 사이트로 받아놓고 네가 PC에서 B 사이트를 입력하면 A 사이트를 보여줘서 안전한 것처럼 보이게 하는 거다.

Q: 알았다. 어라? 인증서라고 써 있네? 공인인증서 같은 건가?
A: 아주 간략하게 말하면 같은 기술이라 할 수 있다. 그런데, 저 인증서는 서버에 발급된 인증서이다. 즉, 서버가 진짜인지 가짜인지 인증기관이 인증을 해줬다는 뜻이다.

Q: 아하- 그럼 내가 은행 등에서 발급받은 공인인증서라는 건 나를 인증하는 거고?
A: 그렇다고 보면 된다.

Q: 공인인증은 디지털 인감 시스템이고, SSL은 안전한 연결이라고 했으니 서로 목적이 다른 거라고 했지?
A: 맞다. 유사한 기술을 쓰고 비슷한 결과를 내지만 무엇보다 목적이 다르다. 공인인증은 접속하는 사람이 본인인지를 검증하는 것이고, SSL은 접속되는 웹 사이트가 진짜 그 웹 사이트가 맞는지를 검증하는 거라고 봐도 된다.

Q: 그러고 보니 아직 공인인증서 이야기를 안했네?
A: 미안하다. 이야기가 딴 곳으로 샜다. 다음 편에서 해보자.

다음 편에 이어집니다. (편집자)