[칼럼]빗나간 공인인증서 논란-1

일반입력 :2010/04/01 14:21

전상훈
전상훈

스마트폰이 대중화되면서 많은 서비스 분야들은 체질적인 변화를 맞이 할 수 밖에 없는 상황에 직면했다. 그 과정에서 오랜 시간 동안 논쟁의 중심에 있었던 운영체제 편향적인 부분과 액티브X 활용, 웹에 대한 접근성, 공인인증 서비스 체계에 대해 다양한 이슈들이 직접 나타나고 있다.

개인적으로는 특정 OS에 편향되고 종속된 기술을 계속 유지 하는 것은 바람 직하지 않다고 생각한다. 접근성 확대 의견에 대해서도 상당 부분 동의한다. 단 기본적인 상황인식과 전제는 반드시 필요하다. 상황의 악화에 대해 책임을 질 수 없을 바에야 현실에 대한 분명한 인식이 되어야 함은 당연하다. 그러나 지금의 공인인증서 논란은 본질에서 벗어나 있다.

상황인식을 위해서는 접근성을 해치는 시스템과 체계들이 왜 나오게 됐으며 어떤 필요에 의해 도입이 될 수밖에 없었는지에 대해서 파악하는게 필요하다. 현재 어떤 문제들이 있는지에 대해 명확한 인식을 한 뒤 문제를 보완 할 수 있는 대안을 제시해야만 한다. 그러나 현재는 명분에 앞서 정확한 현실 인식에는 많은 문제가 있는 것으로 보인다.

필자가 보는 관점에서는 현재 액티브X로 설치되는 보안도구와 공인인증서의 역할은 지금껏 대형 금융사고가 터지는 것을 막을 수 있었던 하나의 보조적이고 유효한 수단 이었다고 할 수 있다. 지금껏 국내에서 발생된 인터넷 뱅킹 및 금융관련 사고로 발생된 피해 금액은 해외와 비교하기 어려운 수준이다. 인터넷 뱅킹 및 금융거래 모델과 활용 방법에 있어서도 해외와 큰 차이를 보인다.

하루 인터넷 뱅킹 거래 금액은 29조원이고 상거래에 이용되는 금액은 5조원 남짓이라고 한다. 엄청난 규모다. 그렇다면 실거래 금액 대비해 지금까지 금융사고가 터져 피해가 발생된 규모는 얼마나 될까? 사용자 부주의에 의한 것을 포함하더라도 직접적인 침해로 인해 발생된 사고 비율은 상당히 낮은 비율을 유지하고 있다. 이 것은 분명한 사실이다.

금융보안 연구원에서 작성한 ‘해외 인터넷뱅킹 보안현황 조사 보고서’를 필자도 읽어 보았다. 그러나 중요한 기반 설명들이 빠졌음은 지적하고 싶다. 각 국가별 현황에서 한국과 비슷한 보안 강도를 갖고 인터넷 뱅킹을 운영하는 국가는 중국을 꼽을 수 있다. 다른 국가들은 보안 강도가 상대적으로 낮다.

그러나 활용도는 어떻게 될까? 각 국가별 활용도를 살펴 보고 위험 수준을 살펴 보는 자료들을 넣었다면 보다 신뢰 받을 수 있는 자료가 되었을 것이라고 생각한다. 해외 인터넷 뱅킹은 제약이 많으며 실시간으로 금전거래가 일어나기에는 상당히 많은 제약들이 존재한다. 정체 불명의 타인에게 직접적인 금전 이체가 가능한 국가는 많지 않다. 또 금전 이체를 떠나 은행 계좌를 이용해 쇼핑몰에서 물건을 구매하는 것조차도 불가능하다. 해외는 대부분 신용카드를 이용한 거래를 사용한다. 따라서 신용카드에 대한 부정 사용을 감시하기 위한 사기(Fraud) 판별 시스템은 상당히 발전돼 있음을 알 수 있다.

중국과 한국 인터넷 환경은 해외보다 더 직접적인 위험에 노출되어 있다. 온라인 주식거래 및 상거래가 일반적이고 온라인 계좌이체가 자유롭다. 이 상황에서 공격자들이 금융분야를 노리는 것은 당연하다. 경제활동 인구 대부분의 주민번호와 거주 정보, 신상정보들도 유출되어 거래되고 있는 것이 현실이며 다양한 악성코드들과 백도어로부터도 직접적인 침입을 받고 있다.

이런 현실에서 금융거래를 보호하기 위한 다양한 도구들은 필요악이 될 수 밖에 없다. 금융거래에 있어 가장 최우선은 안전성이다. 편리성은 뒤로 밀릴 수 밖에 없다. 편리하게 사용 하는 정도만큼 공격자들의 공격 편리성도 높아진다. 당연한 진리다.

정책 당국을 옹호하고 싶은 생각은 없지만 지금까지 유지해온 보호 정책과 기본적인 보안 모델은 현재 안정적인 상태를 유지하고 있다고 본다. 다만 새로운 시대 변화에 따라 다양한 가능성을 열고 보안성을 유지한 상태에서 여러 위험들로부터 보호할 수 있는 방안을 만들고 접근 할 수 있는 접근성을 확대 시켰다면 지금과 같은 논란은 발생 하지도 않았을 것이다. 또한 현재 조사되거나 분석된 위험들에 대해 정확한 사실들을 알리고 협조를 당부 하였다면 보다 무리 없고 발전적인 방향의 논의가 가능했을 것이다.

접근성 확대의 가장 큰 장애물로 액티브X를 예로 든다. 특정 브라우저에 한정된 설치 도구를 통해 타 OS 및 여러 브라우저에서 접근을 못한다는 점이 가장 큰 이슈다. 보안 도구들에 대한 무용론과 기능적인 결함까지도 언급되고 잇다.

필자가 보기에 그나마 전자상거래라고 할 수 있는 환경을 유지 할 수 있게 해준 공인인증서 마저 족쇄를 풀고자 한다. 문제에 대한 심각한 고려 없이 단편적인 생각만으로 논의를 하고 있다는 생각을 지울 수가 없다. (이같은 의견은 2007년에 작성한 비스타와 액티브X 관련 글에서도 동일한 언급을 하였다. )

-Vista와 ActiveX 그리고 보안-1

-Vista와 ActiveX 그리고 보안 -2

-Online Game의 Vista이슈와 보안이슈 –하편

비스타와 액티브X 관련해 많은 언급을 했고 기본적인 개념 설명만으로는 제대로 전달 되지 않는 듯 하여 온라인 게임상에서 위험요소들이 어떻게 나타나고 있는 지에 대해서 논문으로 작성해 정보보호학회에 기고하기도 했다. 실제 위험은 일반인들 또는 IT전문가라 불리는 사람들이 생각하는 범주를 2007년에도 휠씬 넘어서 있는 상황이고 지금은 더 악화된 상황이다.

일례로 온라인 게임에서는 안정적인 상태를 유지하기 위해 다양한 보안도구들을 사용하고 접근성을 극도로 제약한다. (특정 브라우저에서만 실행 되거나 특정 OS에서만 실행 되는 것도 당연하다. ) 극도의 제약이 존재하는 상황에서도 공격은 항상 발견되고 집중되고 있다.

인터넷 뱅킹에서 사용되는 보안도구들을 거의 대부분 사용함에도 불구하고 문제는 항상 발견됐다. 현재 공격 기술 발전은 더 빠르고 깊이 진행됐을 것으로 예상된다. 각종 보안도구들로 도배가 되었음에도 불구하고 공격은 난이도가 높게 진행되고 있다. 계정유출을 위한 새로운 시도는 끊임없이 나오고 있고 매번 대응책을 마련할 수 밖에 없는 상황이다. 2007년에도 심각성에 대해서 언급하고 공개적으로 논의했으나 4년이 지난 지금에 이르러 문제는 더 심각해졌다. 이런 상황에서 무장해제를 논의 하는 것은 상상 밖의 일이다. 그만큼 보안 전문가들에 의해 현실적인 문제들과 위험상황이 많이 알려 지지 못했기 때문이라는 자책도 할 수 있는 상황이다. 무엇보다도 피해에 둔감하며 사건 사고로부터 교훈을 얻고 개선 하지 못한 체계의 문제가 가장 크다고 본다.

사건과 사고는 덮는다고 묻혀지는 것이 아니다. 눈덩이처럼 불어나 다음 번에는 더 감당하기 어려운 이슈로 다가오는 것이 지금껏 겪은 일반적인 상황이다. 경험에서 배운 뒤 개선해 나가야 하는데 지금껏 개선에 대한 논의는 지지부진 했고 발전도 미약했다고 본다.

인터넷 뱅킹 및 온라인 거래에 있어 공인인증서와 액티브X는 단지 도구다. 사고를 방지 하기 위한 도구로서 활용된 것이고 도구로서의 역할은 부족한 점이 있지만 충분한 역할을 지금껏 수행해 왔다고 생각한다. 도구는 목적을 달성하기 위해 도입된 것이다. 도구에 대해 대안을 제시 할 때는 근본적인 목적을 충분히 달성 할 수 있는지가 핵심이 되어야 한다. 지금의 논란은 목적과는 동떨어진 방향으로 진행되고 있어 심각한 우려를 자아내게 한다.

액티브X로 설치되고 실행성을 가지는 보안도구들과 공인인증서의 역할들을 앞으로 간단하게 살펴 보고 공인인증서 무용론을 주장하는 측에서 주장하는 SSL+OTP 모델의 문제점도 살펴 보도록 하자. 과연 지금 현실 속에서의 문제를 해결 할 수 있는지도 포함해서…

인터넷 접근과 보안

일반적인 인터넷 액세스는 개인 PC에서 브라우저를 활성화 한 이후 URL을 입력해 웹서비스에 접근한다. 이후 웹 서비스에서 HTML 콘텐츠를 브라우저로 가져온 이후 사용자가 보는 브라우저에 보여주게 된다.위의 이미지는 일반적인 접근 모델을 의미한다. 네트워크적인 구성을 제외하고 개인PC에서 보여지는 상관관계를 나타내고 있고 개인PC에서는 보안모델 설명을 위해 키보드까지 표시되어 있다. 이제 문제가 발생 되는 부분들을 살펴 보자

주요 문제 발생 부분은 표시된 1,2,3,4와 같은 부분으로 나눠진다. 문제의 각 부분은 간략하게 다음과 같이 설명할 수 있다.

1. 키 입력을 가로채는 키보드 해킹 – 후킹 방식을 이용하여 키보드 시그널을 가로챈다.

2. 익스플로러 브라우저에 플러그인 형식으로 탑재된 BHO (Browser Helper Object) 영역 값을 가로채는 악성코드

3. 전송 단계에서 평문으로 전송되는 내용을 가로채는 스니퍼 형태 악성코드

4. 개인 PC를 조종할 수 있는 백도어 권한을 가진 공격자에 의해 콘텐츠가 조종되는 유형의 백도어형 악성코드 ( 이 형태는 HTML 페이지 조작 및 화면 보기, 특정 키입력 가로채기, DDos 공격용 에이전트로 활용하기 등 다양한 형태로 활용이 가능하다. 일반적으로 봇넷 에이전트도 여기에 속한다. )

크게 분류하면 네 단계의 위험요소들이 존재한다. 각 부분별로 들어가면 더 많은 소분류가 가능하겠으나 개념적인 차원에서 현재 존재하는 위험들은 크게 4가지 정도의 위험요소를 가지고 있다고 임의적으로 정리한다.

입력단계 –> PC내 실행단계 -> 어플리케이션 탑재 단계 -> 전송 단계 별 문제

네단계 정도로 사용자 입력이 실제 서비스로 전송 될 때 위험을 가진 부분이 있으며 실제로 심각한 피해를 일으키고 있다. 2009년까지 악성코드 유형은 4번과 같이 백도어 형태를 가지고 있는 악성코드가 3~40%의 비율을 차지했다. 2번 단계의 BHO 영역 입력 값을 가로채는 유형의 악성코드도 맹위를 떨치고 있다. (참고자료 보기)

BHO 영역 값은 키보드에 입력된 값이 전송 되기 직전에는 브라우저에 정상적인 값을 넘겨 주어야 하므로 암호화된 키보드 입력을 정상으로 되돌려 브라우저에 탑재하고 브라우저는 이 값을 BHO 영역에 평문으로 넣어서 SSL 및 암호화 통신을 활용해 전달한다.

공격자들은 2005년 무렵부터 BHO 유형의 악성코드들을 유포하기 시작했고 세계적으로도 가장 처음이자 가장 많은 사례가 유포된 곳이 한국이고 그 다음이 중국이다. 전 세계적으로도 확산 비율은 높을 것으로 예상된다. 이 BHO 유형의 악성코드가 일반적이게 된 것은 키보드 보안 프로그램들이 금융거래 서비스나 온라인 게임등에 일반적으로 사용됨에 따라 일반적인 키보드 입력을 가로채는 악성코드로는 정보유출이 불가능해 지자 BHO 영역의 값을 탈취하는 형태의 악성코드가 개발되고 확산된 것으로 보인다. BHO 영역 값을 탈취하는 악성코드 유형의 등장과 국내 키보드 보안 프로그램 도입과 활성화를 맞물려 생각해보면 유사한 결과를 얻을 수 있을 것이다.

악성코드들은 대부분 온라인 게임의 계정을 탈취하기 위한 목적으로 사용됐고 국내 온라인 게임사들 대부분에 점진적으로 키보드 보안 솔루션 외에도 부수적인 보안도구 및 기능들이 설치되고 확대되는 동향도 살펴 볼 수 있다. 사용자 계정정보를 보호하기 위해 다양한 도구를 활용해야만 피해를 줄일 수 있기 때문이다.

키보드 입력을 가로채는 악성코드는 90년대부터 계속 있어 왔던 내용이며 현재 안티바이러스 업체들에서도 대부분 탐지하고 있는 부분들이다. 키보드 입력을 가로채는 악성코드가 일반화 됨에 따라 마우스로 화면 키패드를 누르는 형태로 변경하기도 했으나 그 즉시 마우스 이벤트와 좌표값을 계산한 악성코드에 의해 무력화 된 케이스가 있다.

브라우저영역에 해당하는 BHO 영역 악성코드는 개별 악성코드를 백신에서 제거하는 방안들 외에는 대안이 없는 상태다. IE외에 다른 브라우저를 사용한다면 BHO 영역으로 인한 문제는 해결 될 수 있으나 또 다른 문제들은 금새 등장할 것이다.

네트워크 전송영역에서 스니핑 되는 이슈들은 다양한 방안으로 해결이 가능하며 단편적인 이슈로만 보면 SSL로도 충분히 해결이 가능하다고 본다. 다만 복잡화된 공격이 일반화된 지금의 상황에서는 좀 더 다른 시각이 요구된다.

백도어 관련 항목은 너무 많은 이슈들이 존재하고 있고 봇넷 및 개인 PC에 대한 완벽한 제어외에 IT서비스에 치명적인 영향을 주는 이슈들이 많이 존재한다. 현재 발견되는 백도어 기능에는 PC로 다운로드 되어 브라우저에 보여지는 HTML 내용까지도 변경해 보안도구들을 회피하고 사용자 정보를 유출 하는 기능들도 종종 발견되고 있다.

심각성은 날이 갈수록 더해가고 있으며 백도어들에 의해 조정되는 개인 PC 수치는 계속 증가하고 있다. 앞으로는 스마트폰도 예외일 수는 없다. 지금의 시기는 제거 및 확산 방지, 근본적인 문제 제거등에 혁신적인 대책이 필요한 시기이고 안정성을 확보한 이후 편리성을 추구해야 하는 것이지 순서가 바뀔 경우 지금까지의 금융거래 피해를 단기간에 넘어 설 수 있을 것이다.

현재 인터넷 뱅킹이나 금융거래 모델이 문제점을 가지고 있는 것은 사실이나 문제점을 개선하고 발전 시켜야할 부분이지 없애야 하는 수준은 절대로 아니라고 본다. 당연히 장점을 발전 시켜서 수출을 하거나 전 세계 전자 상거래의 활성화를 위해 기여할 부분이 매우 많은 모델임에도 불구하고 하향평준화를 요구 받고 있는 현실은 어리둥절 하기만 하다.

현재 보안도구들도 통일된 도구들이나 공통적인 규약을 가지고 있지 않은 것은 문제라고 할 수 있다. 공통적인 모듈을 활용해 다른 사이트를 가더라도 공통적인 기준에 근거해 추가적인 설치를 최소화 하거나 비슷한 기능을 다른 브라우저나 운영체제에서도 할 수 있도록 노력을 해야 할 것이다.

그만큼의 투자는 필요하고 충분한 비용이 지급 되어야 할 것이다. 공인인증서 체계의 접근성을 확대하는 것은 지속적으로 노력을 해야 시대의 변화를 따라 갈 수 있다고 본다. 점진적인 발전 모델이 되어야 가치를 갖는 것이지 현상 유지가 정답은 아닐 것이다.

다음편에선 이와 관련한 내용을 좀더 구체적으로 다룰 것이다. 공인인증서 사용 의무화 폐지를 주장하면서 대안으로 대두된 SSL +OTP 조합이 갖는 한계에 대해서도 짚어보기로 한다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.

전상훈 IT컬럼니스트

보안컬럼니스트, 빛스캔 기술이사, 시큐리티 기반한 미래 예측과 전략, 근본적인 문제해결을 위한 방안.