정부 국정과제인 노플러그인 정책이 추진되기 한참 전부터 액티브X 플러그인을 걷어내는 프로그램으로 사람들의 마음을 사로잡은 개발자가 있다.
그는 온라인에서 블루앤라이브(BLUEnLIVE)라는 가명으로 활동한다. 사람들에게는 ‘구라제거기’ 개발자로 더 유명하다. 이름에서 장난스러움이 느껴지는 구라제거기 프로그램은 입소문만으로 블루앤라이브를 온라인 유명인으로 만들어줬다.
지금도 왕성히 개발 활동을 하고 있는 그를 지디넷코리아가 주요 미디어로는 처음으로 대면 인터뷰를 했다. 그의 요구대로 인터뷰는 익명으로 진행했다.
=구라제거기는 어떤 프로그램인가.
“인터넷 뱅킹을 이용하다 보면 여러 보안 프로그램이 깔리는데 그러다 보면 컴퓨터 속도가 매우 느려진다. 키보드 보안 프로그램도 그 중 하나다. 구라제거기는 컴퓨터에 설치된 프로그램들 중에 제거해야 될 프로그램들을 쭉 모아 목록을 띄워줘, 사용자가 한번에 쉽게 제거할 수 있도록 도와준다.”
=키보드 보안 프로그램을 삭제해도 보안이 유지가 되는건가.
“키보드 보안 프로그램이 퍼지기 시작한 건 십여년전 인터넷 뱅킹을 하던 도중 키보드 후킹을 통해 정보를 빼내가는 사고가 발생한 때부터다. 근본적으로 키보드 보안 프로그램과 보안은 아무 상관이 없다. 인터넷 뱅킹을 할 땐 어쩔 수 없이 실행할 뿐이다.
키보드 후킹이 될 걸 걱정해서 (키보드 보안 프로그램을) 설치한다는 건 그냥 평상시 개인이 컴퓨터 관리를 못한 거다. 그런 위험은 평소에 관리를 잘 해야 된다. 윈도7부터 마이크로소프트가 시큐리티에센셜이라는 백신을 그냥 배포해 왔고, 윈도10에는 윈도디펜더라는 내장 백신이 있다.
(이런 것 쓰면서) 윈도업데이트만 잘 해도 된다. 이런 업데이트를 하지 않으면 시스템 보안취약점을 악용해 침입할 수 있는 게 많다. 그런 건 패치해 막을 수밖에 없다.”
=이름은 왜 구라제거기인가.
“키보드 보안 프로그램만이 아니고 인터넷 뱅킹 과정에 깔리는 건 전부 보안 프로그램이 아니다. 구라다. 이런 의미에서 ‘구라제거기’라고 지었다. ‘구라제거기’의 영어 이름은 ‘hoax eliminator’다.
처음부터 ‘구라제거기’라는 이름을 쓴 건 아니다. 처음에는 내가 블로그에 ‘키보드 보안 프로그램을 제거시켜주는 프로그램 공개’라고 썼더라. 그렇게 쓰니 처음에는 사람들이 아무도 안 보더라. 구라제거기라는 이름을 쓰기 시작한 후로, 조금 더 프로그램이 퍼진 건 있는 것 같다.
반대로 구라제거기 이름이 장난 같아서 가짜인줄 알았다는 말도 들었다. 사실 성의있게 지은 이름은 아니다. 하지만 이제 와서 새로 짓기도 그렇지 않나.”
=처음 만들었을 때 지금처럼 반응이 좋을 줄 알았나.
“전혀 몰랐다. 항상 제 프로그램을 써주시는 분들한테 감사하게 생각한다. 피드백도 잘 해주신다.”
=구라제거기를 개발하고 배포한 동기는.
“프로그램을 만들 때는 원칙이 있다. 하나의 프로그램이 실행될 때, 옆에 실행되는 프로그램을 절대 간섭해서는 안된다. 모든 프로그램이 막혀서 개별적으로 돌아가야 한다. 그런데 액티브X는 그게 안 된다. 여러 액티브X 보안 프로그램이 동시에 돌아가면 모든 자원이 충돌해 서로를 감시하게 되면서 컴퓨터가 느려진다.
내가 집에서 쓰는 PC가 그런 일반 사람들 PC와 상황이 똑같았다. 내가 답답해서 짠 거다. (충돌을 피하려면 액티브X 프로그램을 지워야 하기때문에) 애들한테도 매번 뭘 지워야 하는지 설명을 해 준다. 매번 하긴 힘들어서 그냥 내가 자동으로 지워 주는 프로그램을 만들었다. 마치 목마른 사람이 우물을 파듯이.
‘구라제거기’말고도 블로그에 올린 다른 프로그램도 다 똑같다. 어떤 목적을 갖고 만든건 하나도 없다. 만들어 놓고 나니 이 정도면 쓸만하다고 느껴 남들도 썼으면 좋겠어서 올린거다.”
=만드는데 어려운 점은 없었나.
“직업이 프로그램 개발하는 사람이니까 힘든 건 없었다. 언어프로그램은 MS에서 무료로 공개하는 비주얼C를 사용했다.”
=정부는 2022년까지 공공기관 웹사이트 플러그인 제거를 주요 정책으로 내걸고 있다. 만족하나.
“정부가 가야 할 방향을 정확히 알고 있기 때문에 희망을 갖고 보고 있다. 하지만 그 다음은 의지의 싸움이다. 혹시 실패를 하더라도 그건 정부를 탓할 문제는 아니라고 본다. 정책이 아쉬울 순 있겠지만, 그렇다고 방향도 맞고 노력도 했는데 실패했다고 비난하는건 너무 무책임한 것 같다. 정부 정책에 많이 따라줬으면 좋겠다.
지난 번 공약 때도 가장 환호했던 게 액티브X폐지다. 지금 없애는 방향으로 가고 있긴 한데, 거기에도 수많은 적폐가 있으니 쉽진 않을거다. 쉽게 못 없애는 이유도 이미 그걸 가지고 보안 프로그램을 납품하는 기업들이 있기 때문이다. 그저 잘 되기를 바랄 뿐이다.”
=다른 나라도 우리처럼 컴퓨터에 이것저것 설치하게 유도하나.
“독일을 가봤는데, 이렇게 돌아가는 것은 아무것도 없다. 우리나라는 회사에서 출장용 PC를 줄 때, 사용자가 관리자 권한을 다 가지고 있다. 독일은 권한을 하나도 주지 않는다. 내 사용자 계정 하나로는 프로그램 설치도 안 되고 아무것도 못 쓴다.
하지만 그런 환경에서도 뱅킹은 다 된다. 왜냐면 사이트에 들어가서 아무것도 안 했기 때문이다. 아이디와 패스워드를 입력해 처리하고, 필요한 게 있으면 프린트를 해서 QR코드를 찍어서 이용한다. 추가로 프로그램을 깔 필요가 없다. 그게 맞다고 생각한다.
우리나라는 시스템 자체가 잘못됐다. 개발자는 몇 명 없는데 모두에게 개발자 수준으로 PC 제어 권한을 준다. 그래서 다 사람들이 뭔가 설치하겠냐고 묻는 창이 뜨면 모두 ‘YES’ 버튼을 눌러버린다. 컴퓨터를 잘 모르는 일반인들은 아무것도 한 것이 없는데 PC가 이렇게 됐다는 말이 나오는 거다. 결정을 할 수 없는 사람, 잘 모르는 사람이라면 그런 걸 결정할 권한을 안 주는게 맞다.”
=올해 안에 공인인증서도 폐지될 예정이다. 이에 대해서는 어떻게 생각하나.
“공인의 개념은 거래과정에 제3자가 있어야 한다. 제3자인 공인기관이 거래당사자를 인증해주는 게 원래 개념이다.
나와 은행이 통신하는데 각자 이용자고 은행이라고 주장만 하면 서로 믿을 수 있겠나. 그래서 제3기관이 필요하다. 인증서를 제3기관에 보관하고 접속했을 때 이 사이트가 내가 접속할 사이트 맞다, 방문자가 뱅킹 이용자 맞다, 이렇게 해주는 거다. 이 방식으로는 커버로스(Kerberos)가 제일 유명하다. 이 기술로 쓰는 인증서는 파이어폭스나 크롬 웹브라우저에 설치하고 관리하는 저장소가 존재한다.
우리가 쓰는 공인인증서는 이런 식으로 관리하지 않는다. 인증서를 PC에 보관하게 준다. 그걸로 전자서명까진 괜찮은데 신분증 역할까지 하게 돼 있다. (기능이) 너무 강력한데 복사까지 되니 문제가 너무 많다. 폐지되는 게 맞다.”
=한국 보안시장에 대해 어떻게 생각하는가.
“한국 보안시장이 많이 비틀려 있다고 생각한다. 사실 아마추어 프로그램인 구라제거기가 인기있다는 얘기 자체가 이상하지 않나. 프로그램에는 현재보다 더 나아지려고 만드는 프로그램이 있고, 뒤처진 걸 끌어오기 위한 프로그램이 있다. 전자가 아니라 후자, 나쁜걸 정상화하는 프로그램이 인기 있다는 것은 한국 보안 시장이 많이 비틀려 있다는 얘기다.”
관련기사
- 내년초 연말정산부터 액티브X 사라진다2018.06.09
- 공인인증서·액티브X, 확실히 폐기하라2018.06.09
- 네이버 웨일, 한국서 액티브X 쫓아낼까2018.06.09
- 월드 랠리서 만난 현대차 vs 토요타…"여기선 빠른 제조사가 1위"2024.11.22
=컴퓨터 사용자들에게 조언을 해준다면.
“모르는 프로그램은 깔지 말고 윈도 업데이트를 잘하자. 비정상적인 프로그램은 설치부터 정상적인 프로그램과 다르다. 믿을만한 사이트에서만 다운받고, 정품을 사서 쓰는 걸 추천한다. 개인 홈페이지에 ‘여러분 몰래 쓰세요’ 이런 식으로 올라와 있는 파일은 다운 받지 말아라. 이런 파일은 어떤 백신도 못 잡는다.”