안전한 온라인 뱅킹을 위하여 [제2부]

2009.02.18 글쓴이 youknowit

[제1부: 보안접속 프로그램]

[제2부: 키보드 해킹방지 프로그램]

자신의 컴퓨터가 악의적 공격자에게 이미 장악된 이용자가 그런 사실을 모른채 어떤 웹사이트에 로그인하고자 자신의 아이디와 비밀번호 등을 키보드로 입력하면, 그 입력값이 공격자에게 노출될 수 있다. 키보드 해킹방지 프로그램은 이용자가 키보드로 입력한 값을 자신이 먼저 가로채서 이것을 암호화한 다음 이 값이 최종적으로 네트워크 상에 내보내지기 직전에 복호화하여 내보냄으로써 이용자의 컴퓨터 내에서 이 값이 처리되는 동안에는 악의적 공격자가 설사 그 값을 가로채더라도 내용을 알기 어렵게 하는 기능을 수행한다.

따라서, 이 프로그램은 다음과 같은 경우에는 아무 소용이 없고, 필요도 없다.

첫째, 이용자가 평소에 자신의 컴퓨터를 제대로 관리하고 웹서핑 중 정체불명의 프로그램을 자기 컴퓨터에 설치하지 않았다면, 공격자가 자기 컴퓨터를 애초에 장악하지 못한다. 따라서 키보드 입력값을 가로챔 당할 이유가 없다. 물론 윈도우 운영체제를 이용하는 대부분의 국내 이용자들은 자신이 사용하는 운영체제 소프트웨어를 제때 업데이트 하지 않아 공격자의 침입에 무방비 상태로 있을 뿐 아니라(특히, 불법 복제된 윈도우는 업데이트가 불가능하므로 그것을 사용하는 자는 전세계 공격자들의 놀이터로 자기 컴퓨터를 상시로 제공하고 있는 셈이다), 이미 무수한 ActiveX 설치 경고창에 대하여 “무조건 OK”를 눌러왔다. 따라서 국내 이용자들의 컴퓨터는 이미 거덜날 대로 거덜난 것으로 전제하고, 금융감독원은 키보드 해킹방지 프로그램 설치를 강제하고 있는 것이다. 금융감독원 홈페이지(http://www.fss.or.kr/)에 접속해 보면, 불문곡직하고 키보드해킹 방지 프로그램 설치부터 강요하는 것을 확인할 수 있다. 그동안 무수한 ActiveX 플러그인 설치를 앞장서서 강요해 온 ‘원죄’를 누구보다도 잘 아는 금감원이 이렇게 ‘도둑이 제발 저리듯’ 키보드 해킹방지 프로그램 설치를 홈페이지 ‘열람’단계부터 강요하는데 열을 올리는 행태를 보이는 것은 측은한 심정이 들긴하지만, 기술적으로는 가소롭기 그지없다. 금융감독원 홈페이지에는 이용자가 로그인을 하지 않고 그저 읽어보기만 할 내용이 대부분이다. 이용자가 아무런 정보도 입력하지 않고 그저 해당 웹페이지에 제공된 내용을 둘러보는(navigate하는) 단계에서는 키보드 해킹이 있을래야 있을 수도 없다. 그럼에도 금감원의 홈페이지는 시작부터 키보드 해킹 방지 프로그램을 설치하도록 강요하고 있고, 파이어폭스 사용자의 경우, 그 프로그램을 설치하지 않으면 내용을 아예 ‘열람’할 수조차 없도록 만들어 버렸다. 기술에 대한 무지도 이 수준에 이르면 감탄하지 않을 수 없다.

둘째, 비록 자신의 컴퓨터가 자신도 모르는 사이에 악의적 공격자에 의하여 이미 장악된 이용자라 할지라도, 웹서버가 일회용 비밀번호를 이용하는 경우에는 키보드 해킹을 해 본들 별 소용이 없다. 일회용 비밀번호는 다양한 방법으로 구현 가능하다. 로그인 할때 마다 비밀번호의 전부를 입력하도록 요구하는 대신, 비밀번호 중 매번 무작위로 선택된 일부를 요구하는 방법(예를 들어, 처음 로그인 때는 두번째, 네번째, 다섯번째 값을 요구하고, 그 다음 로그인에서는 첫번째, 네번째, 여섯번째 값을 요구하는 등, 무작위로 요구값을 바꾸어 제시하는 방법)도 있고, 시중 은행이 이미 사용하는 보안카드 방식도 있으며, 일회용 비밀 번호 생성기(OTP)를 사용하는 방법도 있다. 그리고, 자바스크립트에 기반한 화상 키보드(on-screen keyboard) 방식으로 비밀번호 입력을 받을 경우에도 기존의 키보드 해킹으로는 별다른 타격을 가하기 어렵게 된다.

일회용 비밀번호 생성기를 온라인 뱅킹에 도입하는 문제와 관련하여 금융감독원의 김인석 부국장께서는 OTP의 사용을 온라인 뱅킹에 의무적으로 사용하도록 “규정을 바꿀 계획은 없다”고 하시며, 만일 OTP의 사용을 의무화하면 온라인 뱅킹 “고객에게 부담으로 작용할 수 있다. 아울러 업체들로부터 ‘금감원이 특정 솔루션을 밀어준다’는 오해를 받을 수 있기도 하다”고 말씀하신 것으로 보도되고 있다. 여기 참조.

“의무화 규정을 도입하지 않겠다”는 태도는 원론적으로 지극히 바람직하다. 진작부터 인터넷 뱅킹 보안과 관련하여 행정관청이 법 규정을 동원하여 특정 기술의 사용을 “의무화”하려는 태도는 취하지 말았어야 했다. 인터넷 보안 관련 기술은 매우 빠르게 진화하고, 새로운 문제점과 새로운 해법이 끊임없이 등장하는 분야이기 때문이다. 특정 기술의 사용을 ‘의무화’하는 순간, 그 보다 우월한 신기술이 등장하고, 확산될 토양이 원천적으로 말살되는 심각한 문제가 있다. 그러나, 지금껏 키보드해킹 방지 프로그램 설치를 “의무화”하고 억지로 강요하는데 누구보다도 열을 올려온 금감원이 OTP 사용과 관련해서는 갑자기 “의무화하면 곤란하다”는 주장을 펴는 것은 좀 이상하다.

“고객에게 부담으로 작용할 수 있으므로 의무화해서는 안된다”는 태도 또한 원론적으로 지극히 타당하다. 그러나, 키보드 해킹방지 프로그램 설치를 강요 당하는 것은 고객에게 과연 ‘부담’이 되지 않았던가? 인터넷은 MS IE로만 하는 줄 아시는 분들이야, 그깟 프로그램 하나 설치하는 것이 무슨 부담이 될까 의아하게 생각할지 모르겠으나, MS IE 외의 웹브라우저를 사용하는 분들에게 지금까지 금감원이 강요해 왔던 키보드 해킹방지 프로그램 설치 의무는 엄청난 부담으로 작용해 왔다. 더 심각하고 치명적인 기술적 부담은 이 프로그램을 설치하려면 관리자(Administrator) 권한으로 컴퓨터를 사용하도록 강요당한다는 점이다. 자신이 여태껏 관리자 권한으로 자기 컴퓨터를 사용해 왔는지조차 이해하지 못하는 어르신 들이야, 관리자 권한으로 컴퓨터를 사용하는 것이 무슨 ‘부담’이 되는지를 아예 이해하실 수도 없겠지만, 컴퓨터 보안과 다중 사용환경이 수반하는 문제에 대한 기초지식이 있는 자라면 관리자 권한으로 온라인 뱅킹을 하도록 강요당한다는 것이 상식적으로 도저히 납득할 수 없는 치명적 부담이라는 것은 당장 이해할 것이다.

금감원이 ‘특정 솔루션을 밀어준다’는 오해를 받아서는 물론 안된다. 그러나, 금감원이 지금까지 특정 솔루션을 밀어줘 왔다는 것은 오해가 아니라, 사실이다. 파이어폭스 이용자를 위한 키보드 해킹방지 프로그램은 최근에 와서야 비로소 배포되기 시작했을 뿐, 그동안 수년간 키보드 해킹방지 프로그램은 ActiveX로만 설치하도록 강제해 왔었다. ActiveX 사용을 강제하면, MS IE 만을 밀어주게 된다는 것은 상식에 속한다. MS IE는 ‘솔루션’이 아니라, 웹브라우저 애플리케이션이므로 금감원이 총력을 다해서 밀어주고, 다른 웹브라우저는 한국에서 아예 발을 붙이지 못하도록 틀어막아도 괜찮다는 말씀이신지? 그리고, 하드웨어에 불과한 일회용 비밀번호 생성기가 ‘솔루션’이라는 말은 처음 들어 본다. 현재 OTP를 생산하는 업체는 여럿 있고, 이들은 자유롭게 경쟁하고 있다.

‘특정 솔루션을 밀어주는’ 문제가 나왔으니 한마디 더하지 않을 수 없다. 키보드 해킹 방지 프로그램은 이제라도 파이어폭스 등에서도 구동이 가능한 프로그램들이 배포되기 시작했지만, 전자서명 기능을 수행하는 플러그인은 여전히 ActiveX 로만 배포되고 있다. 시중 은행들이 배포하는 전자서명용 플러그인은 공인인증기관이 배포하는 것도 아니고, 감독 관청의 심사를 받은 적도 없을 뿐 아니라, 공인인증기관인 금융결제원은 오히려 이 프로그램들이 자신들과는 완전히 무관하게 시중 은행이 독자적으로 배포, 사용하는 것이라고 법원에서까지 진술한 바 있다. 따라서, 금융감독원은 시중 은행들이 자체적으로 배포, 사용하는 전자서명 플러그인에 대한 감독 책임을 공인인증기관에게 떠 넘길 수는 없다. 공인인증기관이 이미 그것에 대한 발뺌을 하고, 책임을 부인해 버렸기 때문이다. 공인인증기관과는 무관하게 시중 은행이 순전히 독자적으로 배포, 이용하는 전자서명 플러그인이 ActiveX로만 되어 있음에도, 금감원이 이 플러그인의 사용을 강제하는 현 사태는 ‘특정 솔루션을 밀어주는’ 것이 아니란 말인가? 파이어폭스 등에서도 전자서명이 가능한 범용성있는 플러그인을 사용하는 것이 고객에게 무슨 “부담으로 작용할 수 있다”는 말은 설마 아닐 것으로 생각한다. 그렇지 않다면, 금감원이 애지중지 떠받드는 “고객”은 알고 보니 소비자가 아니라 은행이란 말인가?

기존 법규정에 의하더라도, 보안 프로그램은 이용자가 원하지 않으면 그 사용을 강제할 수 없도록 되어 있다. 전자금융감독규정 시행세칙 제29조 제2항 제3호는 다음과 같다:

이용자PC에서의 정보유출을 방지하기 위해 이용자의 접속 시 우선적으로 이용자PC에 개인용 침입차단시스템, 키보드해킹방지 프로그램 등의 보안프로그램을 설치할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램 해제 가능)

고객이 원하지도 않는데, ‘억지로’ 키보드 해킹방지 프로그램 설치, 사용을 강요하는 금감원의 처사는 현행 규정에도 정면으로 어긋난다. 도대체 규정집을 읽어보기라도 했는지 의문이 들지 않을 수 없다.

금융감독원은 키보드 해킹방지 프로그램 설치를 강요하는 처사를 지금 당장 중단해야 한다. 일회용 비밀번호 생성기를 사용하는 이용자에게는 키보드 해킹방지 프로그램 설치를 아예 요구해서도 안되며, 웹서버가 스스로 제공할 수 있는 (위에 설명한 여타의) 일회용 비밀 번호 구현 방식이나, 자바스크립트 기반의 화상 키보드 사용을 권장(‘의무화’가 아니라)해야 한다. 설사 키보드 해킹 방지 프로그램 설치를 하는 경우에도 이 프로그램을 ActiveX형태로 배포할 이유는 전혀 없다. 해당 프로그램 설치 파일의 다운로드 링크를 제공하고, 고객이 자발적으로 판단하여 내려받아 설치하도록 하면, 웹서핑 중에 웹서버가 난데 없이 내려 주는 프로그램을 이용자가 영문도 모른채 “OK”를 눌러야 하는 위험 천만한 (보안 위협) 구조(構造)를 피할 수 있다. 인터넷 뱅킹에서 ActiveX는 원천적으로 기피되거나, 최소화되어야 할 기술이다.

컴퓨터 보안이 마치 무슨 프로그램만 (많이) 설치하면 ‘자동으로’ 구현될 수 있을 것이라고 착각하는 것부터가 근본적인 오류이다. 기를 쓰고, ActiveX를 고집하려는 딱한 발상은 바로 이렇게 보안이 ‘자동으로’ 구현되는 상태가 가능하리라는 망상에 근거해 있다. 모든 이용자를 바보 취급한 다음, 이른바 보안 프로그램이라는 것을 ActiveX로 자동설치하도록 ‘일률적으로 강제’함으로써 보안을 구현하겠다는 대한민국 공무원의 딱한 발상은 전세계 보안 전문가의 웃음거리가 될 뿐이다. 지금이라도 이용자의 선택을 말살하려 들 것이 아니라, 이용자들에게 정확한 안내와 유용한 정보를 제공함으로써 이용자의 선택 능력판단 능력을 기르는데 노력해야 언젠가는 이 암울하고 비참한 터널에서 빠져나올 수 있다는 엄연한 사실을 깨달았으면 한다.

개인 방화벽, 안티 바이러스 프로그램 [제3편]

Categories: 인터넷 뱅킹, 정책제안 | 8 comments  오픈웹 구독 메일로 받기

  • Palsuet

    금감원에서 “특정 솔루션을 밀어준다는 오해를 받고싶지 않다”라는 주옥같은 말을 했다니, 참 어이가 없군요. 저 말을 한 사람 눈에는 윈도우나 ActiveX는 “특정” 솔루션이 아니라 “보편적인” 솔루션인 모양입니다.

    • 김형중

      문제제기 >
      이미 장악된 pc의 경우. ID,Password가 유츌된상태라면 OTL방식도 소용 없는것은 아닌지.. 궁금 합니다.
      물론 컴퓨터 관리를 철저하게 하는 사람들기준이라면 상관없지만…. 하지만 웹접근성 측면을 고려하면, 철저하게 관리를 못한다라는 전제하에 나아갈방향성을 제시해야 하는것은 아닌지요..

  • 우분투

    OTP도 의무화되면 어떤 문제가 있을 수도 있으니까 권장 사항 정도가 낫겠죠.

  • 박영진

    Active X 프로그램을 강요한 악습은 너무나 오래 되어 이젠 무감각 상태가 된 사람이 대부분일 것입니다. 포기하고 살았지요. 정말 너무도 늦었지만, 이런 잘못된 한심한 금감원의 행태는 고쳐져야 합니다. 금감원 사람들에게, 아주 작은 책임감이라도 있는지 묻고 싶습니다. 국민들이 보기에, 정말 너무도 무책임해 보이니까요…

  • http://www.facebook.com/people/정원호/100001271737495 정원호

  • http://www.facebook.com/people/정원호/100001271737495 정원호

    대단하십니다.. 윈도우가 무조건 관리자권한을 획득해야 되기에 악성코드에서 벗어날 수 없는 것이겠죠. ActiveX의 짬뽕
    권한체계에 일침이네요. 이러면서 정부는 애플의 클라우드에 대응할 수 없어서 쇼크를 걱정한다는게 아이러니네요.

  • http://thetvtopc.com/Reverse_Cell_Phone_Lookup_Number phone number lookup

    한국 알라딘서점은 

  • http://twitter.com/kimys0202 Kim Yoonsik

    “특정 솔루션을 강제하면 안된다.” 재미있네요ㅋㅋ 한국 금감원 공무원들은 유체이탈 화법을 잘 구사하시는 듯

«

»