실시간 뉴스



[김기창의 오픈웹]안전한 온라인 뱅킹을 위해-②키보드 해킹방지 프로그램


자신의 컴퓨터가 악의적 공격자에게 이미 장악된 이용자가 그런 사실을 모른 채 어떤 웹사이트에 로그인하고자 아이디와 비밀번호 등을 키보드로 입력하면, 그 입력값은 공격자에게 노출될 수 있다.

키보드 해킹 방지 프로그램은 이용자가 키보드로 입력한 값을 자신이 먼저 가로채서 이것을 암호화한 다음 이 값이 최종적으로 네트워크로 내보내지기 직전 복호화해 내보냄으로써 이용자의 컴퓨터 내에서 이 값이 처리되는 동안에는 악의적 공격자가 설사 그 값을 가로채더라도 내용을 알기 어렵게 하는 기능을 수행한다.

이 프로그램은 평소 자신의 컴퓨터를 제대로 관리하고, 웹서핑 중 정체불명의 프로그램을 컴퓨터에 설치하지 않은 이용자에게는 아무 필요도, 소용도 없다. 자신의 컴퓨터를 제대로 관리한 자라면, 공격자가 그 컴퓨터를 애초에 장악하지 못한다. 따라서 키보드 입력값을 가로챔 당할 이유가 없다. 해킹 위험에 대비하고, 보안 의식을 높이는 것은 좋으나, 그 위험을 과장하는 것도 피해야 한다. 보안 프로그램은 무조건 많이 설치하면 좋은 것이 아니다. 소프트웨어를 제대로 관리한 멀쩡한 컴퓨터에까지 ‘보안 프로그램’ 설치를 강요하는 순간, 엄청난 보안 위험을 제도적으로 초래하게 된다.

물론 윈도 운영체제를 이용하는 많은 국내 이용자들은 운영체제 소프트웨어를 제때 업데이트하지 않아 공격자의 침입에 무방비 상태로 있을 뿐 아니라(특히 불법 복제된 윈도는 ‘중요’ 보안 업데이트를 전혀 받을 수 없어 전세계 공격자에게 자신의 컴퓨터를 상시 제공하고 있는 셈이다), 이미 무수한 액티브X 설치 경고창에 대해 “반드시 ‘예’를 누르라”고 안내받고, 사실상 무조건 ‘예’를 눌러왔다. 따라서 국내 이용자들의 컴퓨터는 이미 거덜날 대로 거덜난 것으로 전제하고, 금융감독원은 키보드 해킹 방지 프로그램 설치를 강제 적용하고 있는 것이다.

파이어폭스 웹브라우저로 금융감독원 홈페이지(http://www.fss.or.kr/)에 접속하면, 불문곡직하고 키보드 해킹 방지 프로그램 설치부터 강요하는 것을 확인할 수 있다. 그동안 무수한 액티브X 플러그인 설치를 앞장서서 강요해 온 ‘원죄’를 누구보다도 잘 아는 금감원이 이렇게 ‘도둑이 제발 저리듯’ 키보드 해킹 방지 프로그램 설치를 홈페이지 ‘열람’ 단계부터 강요하는 행태에 측은한 심정마저 든다.

금감원 홈페이지에는 이용자가 로그인하지 않고 그저 읽어보기만 할 내용이 대부분이다. 이용자가 아무런 정보도 입력하지 않고 그저 웹페이지에 제공된 내용을 ‘둘러보는’ 단계에서는 키보드 해킹이 있을래야 있을 수 없다. 그럼에도 금감원의 홈페이지는 시작부터 키보드 해킹 방지 프로그램을 설치하도록 강요하고 있으므로, 그 프로그램을 설치하지 않은 이용자는 내용을 아예 열람할 수조차 없도록 만들어 버렸다.

자신의 컴퓨터가 악의적 공격자에 의해 이미 장악된 이용자라 할지라도, 웹서버가 일회용 비밀번호(one time password)를 이용하는 경우에는 키보드 해킹을 해 본들 별 소용이 없다.

일회용 비밀번호는 다양한 방법으로 구현 가능하다. 로그인할 때마다 비밀번호 전부를 입력하도록 요구하는 대신, 비밀번호 중 매번 무작위로 선택된 일부를 요구하는 방법(예를 들어 처음 로그인 때는 두번째, 네번째, 다섯번째 값을 요구하고, 그 다음 로그인에서는 첫번째, 네번째, 여섯번째 값을 요구하는 등 무작위로 요구값을 바꿔 제시하는 방법)이 있고, 시중 은행이 이미 사용하는 보안카드 방식도 있으며, 일회용 비밀 번호 생성기(OTP)를 사용해도 된다. 자바스크립트에 기반한 화상 키보드(on-screen keyboard) 방식으로 비밀번호 입력을 받을 경우에도 기존 키보드 해킹으로는 별다른 타격을 가하기 어렵게 된다.

일회용 비밀번호 생성기를 인터넷 뱅킹에 도입하는 문제와 관련해 금감원의 김인석 부국장은 “OTP의 사용을 인터넷 뱅킹에 의무 사용하도록 규정을 바꿀 계획은 없다”며 “만일 OTP의 사용을 의무화하면 인터넷 뱅킹 고객에게 부담으로 작용할 수 있다”고 말했다. 그는 이어 “업체들로부터 금감원이 특정 솔루션을 밀어준다는 오해를 받을 수 있다”고 덧붙였다.

‘의무화 규정을 도입하지 않겠다’는 태도는 지극히 바람직하다. 인터넷 뱅킹 보안과 관련해 행정관청이 법 규정을 동원해 특정 기술의 사용을 ‘의무화’하는 태도는 취하지 말아야 한다. 인터넷 보안 기술은 매우 빠르게 진화하고, 새로운 문제점과 해법이 끊임없이 등장하는 분야기 때문이다.

특정 기술의 사용을 ‘의무화’하는 순간, 그보다 우월한 신기술이 등장하고, 확산될 토양이 원천적으로 말살되는 심각한 문제에 직면한다. 그러나 지금껏 키보드 해킹 방지 프로그램 설치를 ‘의무화’하고 억지로 강요하는 데 누구보다 열을 올려온 금감원이 OTP 사용과 관련해서는 갑자기 “의무화하면 곤란하다”는 주장을 펴는 것은 좀 이상하다.

“고객에게 부담으로 작용할 수 있으므로 의무화해서는 안된다”는 태도는 원론적으로 지극히 타당하다. 그렇다면 키보드 해킹 방지 프로그램 설치를 강요하는 것은 고객에게 ‘부담’이 되지 않는다는 것일까? 인터넷은 마이크로소프트(MS)의 인터넷익스플로러(IE)로만 하는 줄 착각하는 이용자라면, 그깟 프로그램 하나 설치하는 것이 무슨 ‘부담’이 될까 의아하게 생각할 지 모르겠으나, MS IE 외의 웹브라우저 이용자에게 있어 지금까지 금감원이 강요해 왔던 키보드 해킹 방지 프로그램 설치 의무는 엄청난 부담으로 작용해 온 게 사실이다.

더 심각하고 치명적인 이유는 키보드 해킹 방지 프로그램을 설치하려면 관리자(Administrator) 권한으로 컴퓨터를 사용하도록 강요당한다는 점이다. 자신이 여태껏 관리자 권한으로 컴퓨터를 사용해 왔는지조차 이해하지 못하는 이용자라면 관리자 권한으로 컴퓨터를 사용하는 것이 무슨 ‘부담’이 되는 지 이해하지 못할 수 있다. 하지만 컴퓨터 보안과 다중 사용 환경이 수반하는 문제에 대한 기초지식이 있는 자라면 관리자 권한으로 인터넷 뱅킹을 하도록 강요당하는 것이 상식적으로 도저히 납득할 수 없는 치명적 부담이라는 것은 당장 이해할 수 있다.

금감원이 “특정 솔루션을 밀어준다”는 오해를 받아서는 물론 안된다. 그러나 금감원이 지금까지 특정 솔루션을 지지했다는 것은 오해가 아니라 사실이다. 파이어폭스 이용자를 위한 키보드 해킹 방지 프로그램이 최근에 와서야 비로소 배포되기 시작했을 뿐, 지난 수년간 키보드 해킹 방지 프로그램은 액티브X로만 설치하도록 금감원이 강제해 왔다.

액티브X 사용을 강제하면 MS IE만을 밀어주게 된다는 것은 상식에 속한다. MS IE는 ‘솔루션’이 아니라, 웹브라우저 ‘애플리케이션’이므로 금감원이 총력을 다해 밀어주고, 다른 웹브라우저는 한국에 아예 발을 붙이지 못하도록 틀어막아도 괜찮다는 것인지 납득하기 힘들다. 아니면 MS IE는 ‘특정’ 업체의 프로그램이 아니라, ‘보편적’ 프로그램으로 받아들여야 한다는 것인 지 혼란스럽다.

그리고 하드웨어에 불과한 일회용 비밀번호 생성기가 ‘솔루션’이라는 말은 처음 들어 본다. 현재 OTP를 생산하는 업체는 여럿 있고, 이들은 자유롭게 경쟁하고 있다.

“특정 솔루션을 밀어주는” 문제가 나왔으니 한 마디 더하지 않을 수 없다. 키보드 해킹 방지 프로그램은 이제라도 파이어폭스 등에서도 구동이 가능한 프로그램들이 배포되기 시작했지만, 전자서명 기능을 수행하는 플러그인은 여전히 액티브X로만 배포되고 있다. 시중 은행이 배포하는 전자서명용 플러그인은 공인인증기관이 배포하는 것이 아니며, 감독 관청의 심사를 받은 적도 없을 뿐 아니라, 공인인증기관인 금융결제원은 오히려 이 프로그램이 자신과는 완전히 무관하게 시중 은행이 독자적으로 배포, 사용하는 것이라고 법원에서 진술한 바 있다.

따라서 금감원은 시중 은행들이 자체적으로 배포, 사용하는 전자서명 플러그인에 대한 감독 책임을 공인인증기관에게 떠 넘길 수는 없다. 공인인증기관이 이미 그것에 대한 발뺌을 하고, 책임을 부인해 버렸기 때문이다. 공인인증기관과는 무관하게 시중 은행이 순전히 독자적으로 배포, 이용하는 전자서명 플러그인이 액티브X로만 돼 있음에도, 금감원이 이 플러그인의 사용을 강제하는 현 사태는 ‘특정 솔루션을 밀어주는’ 것이 아니란 말인가?

파이어폭스 등에서도 전자서명이 가능한 범용성있는 플러그인을 은행들이 제공하는 것이 ‘고객의 부담’으로 작용할 수 있다는 말은 설마 아닐 것으로 생각한다. 그렇지 않다면, 금감원이 애지중지 떠받드는 ‘고객’은 알고 보면 소비자가 아니라 은행이란 얘기로 받아들일 수밖에 없다.

기존 법규정에 따르면 보안 프로그램은 이용자가 원하지 않으면 그 사용을 강제할 수 없도록 돼 있다. 전자금융감독규정 시행세칙 제29조 제2항 제3호는 다음과 같다 : 이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자PC에 개인용 침입차단시스템, 키보드 해킹 방지 프로그램 등의 보안프로그램을 설치할 것.(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능)

고객이 원하지 않는데, ‘억지로’ 키보드 해킹 방지 프로그램의 설치, 사용을 강요하는 금감원의 처사는 현행 규정에 정면으로 어긋난다. 도대체 규정집을 읽어보기라도 했는지 의문이 들지 않을 수 없다.

금감원은 키보드 해킹 방지 프로그램 설치를 강요하는 처사를 지금 당장 중단해야 한다. 일회용 비밀번호 생성기를 사용하는 자에게는 키보드 해킹 방지 프로그램 설치를 아예 요구해서도 안되며, 웹서버가 스스로 제공할 수 있는(위에 설명한 여타의) 일회용 비밀 번호 구현 방식이나, 자바스크립트 기반의 화상 키보드 사용을 권장(‘의무화’가 아니라)해야 한다.

설사 키보드 해킹 방지 프로그램 설치를 하는 경우에도 이 프로그램을 액티브X형태로 배포할 이유는 전혀 없다. 해당 프로그램 설치 파일의 다운로드 링크를 제공하고, 고객이 자발적으로 판단해 내려받아 설치하도록 하면, 웹서핑 중 웹서버가 난데 없이 내려 주는 프로그램을 이용자가 영문도 모른채 “OK”를 눌러야 하는 위험천만한 구조(構造)를 피할 수 있다. 인터넷 뱅킹에서 액티브X는 원천적으로 기피되거나, 최소화돼야 할 기술이다.

컴퓨터 보안이 마치 무슨 프로그램만 많이 설치하면 ‘자동으로’ 구현될 수 있을 것이라고 착각하는 것부터가 근본적인 오류이다. 기를 쓰고 액티브X를 고집하려는 딱한 발상은 바로 이렇게 보안이 ‘자동으로’ 구현되는 상태가 가능하리라는 망상에 근거해 있다.

모든 이용자를 바보 취급한 다음, 이른바 보안 프로그램이라는 것을 액티브X로 ‘자동’ 설치하도록 ‘강제’함으로써 보안을 구현하겠다는 대한민국 공무원의 딱한 발상은 전세계 보안 전문가의 웃음거리가 될 뿐이다. 왜냐하면 이 정책은 다른 한편으로는 모든 이용자가 ‘악성 액티브X’ 와 ‘보안 액티브X’를 게시자 이름만 보고도 기가 막히게 알아채고, ‘예’와 ‘아니오’를 매번 100% 정확하게 선택해야만 그 정책 목표를 달성할 수 있기 때문이다.

액티브X 형태의 ‘보안 프로그램’ 설치를 강제하려면 위에서 보았듯 웹서버가 이용자에게 “보안경고창이 보일 경우 반드시 ‘예’를 누르라”는 황당하기 그지없는 ‘보안 자살골’ 행각을 거듭할 수밖에 없게 된다. 지금이라도 이용자의 선택을 말살하려 들 것이 아니라, 액티브X 플러그인 방식으로 프로그램을 자동 배포하는 정책을 즉시 폐기해야 한다.

그 대신 프로그램 내려받기 링크를 제공하고, 이용자들에게 정확한 안내와 유용한 정보를 알려줌으로써 이용자가 주체적 선택과 판단을 할 수 있도록 해야 한다. 그래야만 이 암울하고 비참한 보안 위협 터널에서 빠져나올 수 있다.

/김기창 고려대 법대 교수 column_keechang@inews24.com







alert

댓글 쓰기 제목 [김기창의 오픈웹]안전한 온라인 뱅킹을 위해-②키보드 해킹방지 프로그램

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스