안전한 온라인 뱅킹을 위하여 [제3부]

2009.02.19 글쓴이 youknowit

[제1부: 보안접속 프로그램]

[제2부: 키보드 해킹방지 프로그램]

[제3부: 개인 방화벽, 안티 바이러스 프로그램]

컴퓨터 기술에서 말하는 방화벽(firewall)은 해당 네트워크와 인터넷을 연결하는 통로(gateway)에 설치되어, 내부 사용자의 외부 접속, 외부 사용자의 내부 접속에 관한 허용/불허 조건에 따라 정보의 통과를 차단하거나 허용하는 역할을 한다. 외부에 있는 자가 회사의 인트라넷에 접속하지 못하게 하는 역할, 회사 컴퓨터로는 싸이월드나 MSN 메신저 등에 접속할 수 없게 하는 등의 초보적 기능에서부터 매우 고도의 정교한 작업을 수행하는 것까지 방화벽의 종류와 수준은 다양하다.

그러나 국내 온라인 뱅킹을 이용할 때 설치하도록 강제되는 “개인 방화벽(personal firewall)”은 이와는 달리, 이용자 개인의 컴퓨터에 설치되는 소프트웨어로서, 그 컴퓨터에서 실행되는 어떤 프로세스가 네트워크로 정보를 내보내려 할때 이것을 허용할지 여부를 이용자가 판단할 수 있도록 알려주는 역할을 주로 수행한다. 컴퓨터가 네트워크로 정보를 주고받을 때 사용하는 관문(port)들은 여럿 있는데, 웹브라우저가 사용하는 80번(http), 443번(https) 관문으로 오가는 정보는 물론 언제나 허용할 수 밖에 없다. 그러나, 다른 프로그램이 어떤 관문들(예를 들어 22번, 25번, 또는 10000번 이상의 관문)을 통하여 이용자 컴퓨터로부터 정보를 내보내려 시도할 때, 이 상황은 개인 방화벽이 포착할 수 있다. 따라서 이용자는 무슨 프로그램이 네크워크로 정보를 내보내려 하는지를 확인하고 허용/불허 결정을 할 수 있게 된다.

얼핏 들으면 그럴 듯하지만(그랬으니, 이런 프로그램을 설치하도록 강제하는 규정을 공무원들이 만들었겠지만), 실제로는 쓸모가 없는 프로그램이다. 악성 프로그램이 이용자 모르게 어떤 프로세스를 시작하여 네트워크로 이용자 컴퓨터의 정보를 내보내는 상황은 물론 끔찍하지만, 그런 일은 어떤 악의적 웹사이트에 접속하고 있는 동안 일어날 가능성이 큰 것이지, 인터넷 뱅킹 사이트에 접속하고 있는 동안에 일어날 이유는 없다(우연히 하필 그 시간에 침입공격이 이루어지는 경우를 제외하면). 그러나, ActiveX로 제공되는 개인방화벽 프로그램은 뱅킹 접속 세션이 끝나면 동시에 종료된다.

그뿐 아니라, 키보드 해킹방지 프로그램 설치에 더해서 개인 방화벽 프로그램까지 설치하도록 강제하는 것은 논리적으로 모순이다. 키보드로 입력되는 로그인 아이디와 비밀번호가 제대로 암호화된다면 그 정보가 외부로 전달되어 본들 그 암호화를 깨기는 어려울 것이다. 따라서 개인방화벽 프로그램은 키보드 입력값 외의 정보(이용자 컴퓨터에 저장된 파일 등)가 외부로 유출되는 것을 막아보자는 것 같다. 그러나 컴퓨터에 저장된 개인 파일이 술술 새 나가는 사태는 금융감독원이 개입할 성질의 것이 아니다. 이 상황은 전자금융거래와는 아무런 필연적 관련이 없는 정보에 관한 것이기 때문이다. 자신의 로그인 아이디나 비밀번호를 굳이 파일로 만들어 자기 컴퓨터에 저장해 두는 황당한 이용자가 “혹시라도 있을지 모르니” 모든 이용자에게 개인방화벽 프로그램 설치를 강제하고, 그것을 설치하지 않으면 온라인 뱅킹을 아예 못하게 하겠다는 발상은 상식을 벗어난 망상이다. 이는 마치 외출을 할 때 대문을 활짝 열어두는 사람이 “혹시라도 있을지 모르니” 모든 사람이 아예 외출하지 못하도록 금지하려는 발상이나 같다.

인증서 개인키가 혹시 유출될 위험이 있으니, 개인방화벽 프로그램이 필요하다는 주장도 논리적으로 근거가 없다. 인증서 개인키가 유출되어서는 물론 안되겠지만, 개인키는 반드시 암호화되어 보관된다. 따라서 개인키 파일 자체가 유출되어 본들, 암호화를 깨지 못하는 이상 그 파일을 공격자가 실제로 사용할 수는 없다. 국내 공인인증서 개인키 암호화 알고리즘이 깨졌다는 보고는 아직 필자가 접해 본 바 없다.

개인방화벽 프로그램은 흔히 안티 바이러스 프로그램 기능까지를 통합하여 제공하는 경우가 많다. 통합 제공되건, 단독으로 제공되건, 안티 바이러스 프로그램의 설치를 정부가 모든 이용자에게 “강제”하려는 나라는 지구상에 한국을 제외하고는 없다. 한국은 세계에 유례가 없는 “인터넷 강국”이므로 이런 “엽기적 사태”가 벌어진다고 씁쓸한 위안을 삼기에는 이 사태가 초래하는 폐해가 너무 심각하다. 안티 바이러스 프로그램은 침입 공격을 “예방”하는 것이 아니라, 이미 공격 당한 컴퓨터로부터 악성 코드(그것도 알려진 것에 한하여)를 일정 수준 제거하는 역할을 할 수 있을 뿐이다. 물론, 그것도 “없는 것 보다는 낫다”고 생각하는 분들도 있을 것이다. 그러나, 과연 그럴까? 문제는 1) 국가가 특정 안티 바이러스 프로그램들의 설치를 강제하는 것이 바람직 한가? 그리고 2) 굳이 ActiveX 형태로 배포해야 하는가 이다.

시중 은행들이 안티바이러스 프로그램을 “서비스 차원에서” 무료로 나눠주겠다는데, 무슨 시비냐? 라고 의아해 하시는 분이 계실 것이다. 그러나 “서비스 차원”에서 제공하는 것이라면, 그것을 거절 할 수 있어야 마땅하다. ‘억지로’ 설치를 강요하는 행위는 이미 “서비스”가 아니다. 특히, 몇몇 회사의 특정 프로그램이 이렇게 강제 배포되기 시작하면, 자유로운 경쟁이 완전히 말살 되므로, 더욱 우월한 제품이 개발되거나, 보다 나은 경쟁 제품을 소비자들이 선택할 기회가 원천적으로 박탈된다. 외국의 유수 회사들이 한국 시장에서 버티지 못하고 철수한 이유는 몇몇 국내 업체들이 공무원들을 설득하여 자신들의 제품이 국내 이용자들에게 강제 배포되도록 하는데 성공하였기 때문이다. 특히, “안철수 연구소”가 강제로 이용자의 컴퓨터에 심는 프로그램은 아예 이용자가 제거(uninstall)하지도 못하게 설계되어 있는 특이한 프로그램이다(말그대로 “ 철수” 하는 프로그램이다). 이런 프로그램이 과연 좋은 것인지는 소비자가 선택할 수 있어야 하는 것이지, 특정 업체가 공권력의 힘을 빌어 강제로 소비자에게 사용을 강요하는 것은 부도덕하다.

안티바이러스 프로그램을 굳이 ActiveX로 배포하는 것은 도저히 납득이 가지 않는다. 웹서버가 “자동으로” 프로그램을 내려주는 상황은 그 자체로 매우 위험하다. 악성 바이러스가 전파되는 가장 흔한 경로가 바로 이런 구조를 취하고 있기 때문이다. 안티 바이러스 프로그램이랍시고 주는 프로그램의 “배포 방식” 자체가 바로 바이러스 프로그램 전파를 가장 심하게 조장하는 방식을 취하고 있다는 우리의 현 상황은 그 자체로 초현실 주의 코메디라고 밖에 달리 묘사하기 어렵다.

웹사이트에 접속하면 (이용자도 모르는 사이에) 어떤 프로그램이 자동으로 내려받아 지고, “이 프로그램을 설치하시겠습니까?” 라는 보안 경고창이 난데 없이 뜨는 상황. 바로 이런 상황에 직면 했을 때, 일단은 “무조건 NO”하라고 안내하는 것이야 말로 바이러스 전파를 막는데 가장 중요하고 필요한 것임에도 불구하고, 우리의 현 상황은 이럴때 “무조건 YES”하라고 세뇌하고 있으니, 그 뒷감당을 도대체 어떻게 하려는지 짐작이 가지 않는다.

안티 바이러스 프로그램이 일정한 유용성이 있음을 부인하는 것은 아니지만, 국가가 나서서 특정 업체의 제품 설치를 강요해대는 것은 상식에 어긋나며, 그 프로그램을 ActiveX 형태로 배포하는 것은 웃어 넘기기에는 너무나 심각한 결과를 초래하는 것이다.

금융감독원은 각 은행이 자신의 고객들에게 안티 바이러스 프로그램에 대한 정확한 안내를 제공하고, 다양한 유료 또는 무료 프로그램을 이용자들이 스스로의 판단으로 선택하여 내려받아 설치할 수 있도록 프로그램 다운로드 링크를 제공함으로써, 그 사용을 권장(“의무화”가 아니라)하는 수준에 머물러야 한다고 생각한다.

안전한 온라인 뱅킹을 위하여 [결론 및 제안]

Categories: 인터넷 뱅킹, 정책제안 | 2 comments  오픈웹 구독 메일로 받기

  • 우분투

    예전에는 무료 백신이 없었지만 이제는 무료 백신 프로그램이 많으니 더 이상 은행에서 그런 프로그램을 의무적으로 깔게 할 필요 자체가 없어졌다고 봅니다.

  • 박영진

    더구나 이미 XP에는 방화벽이 내장되어 있습니다. 여기에 또다른 방화벽을 강제로 깔게 하는 것은 정말 이해되지 않는 짓거리입니다. 본문에서 말한대로, 더구나 이것을 active X 로 깔기 때문에, 컴을 잘 모르는 가족들에게 active X를 거부하라는 말을 할 수도 없게 만들었습니다. 이렇게 해서, 정부가 보안의 구멍을 크게 뚫어 놓았다고 해도, 할 말이 없을 겁니다. 이렇게 보안에 대해 철저히 무지한 사람들이 정부에서 일하며 국민을 책임지겠다니, 정말 가슴이 답답하고 딱합니다.

«

»