소프트포럼의 ‘신뢰성’?

2010.04.18 글쓴이 youknowit

그동안 좀 바빠서 자주 글을 쓰지 못하였습니다.

오늘 보도에 의하면, 소프트포럼이 국내 금융권에 판매하고 은행이 고객들에게 배포한 ‘클라이언트 키퍼’라는 프로그램이 악성 코드를 몰래 포함하고 있었다고 하네요. 고객은 그 플러그인이 무슨 짓을 하는지 알 수 없으므로 은행을 전적으로 믿을 수 밖에 없고, 은행은 납품한 보안 업체를 믿고 비싼 돈을 주고 플러그인을 구입해서 고객에게 뿌리는 구조인데, 이것을 악용한 대표적인 경우입니다.

소프트포럼이 납품한 이 플러그인은 고객 의사와는 무관하게 고객의 접속이 특정 사이트로 연결되도록 해서 그 사이트의 광고 수익을 올리도록 만들고, 그 수익의 일부를 나누어가지는 용도로 사용되었다고 합니다. 고객은 컴퓨터 성능 저하 등의 불편을 겪어 왔다는 군요. 이 정도로 그쳤으니 ‘다행’인가요?

보안 업체의 도덕성에 모든 것을 의존하는 국내 전자금융거래 설계 구조는 근본적으로 재평가 되어야 할 것입니다. 무조건 업체를 믿고 그 업체가 만든 플러그인을 설치하라는 식의 ‘보안’은 문제가 있습니다.

소프트포럼은 공식적인 사과가 있어야 할 것입니다. 충분한 해명과 납득할 만한 재발 방지 대책이 제시되고 준수되지 않는다면 이런 업체를 믿기는 어려울 것입니다. 소프트포럼의 솔루션을 사용하고 있는 은행들도 고객에게 믿을 만한 설명과 재발 방지 대책을 내놓아야 할 것입니다.

HTTP 로 접속한 상태에서 고객이 액티브액스를 설치하도록 강요하는 국내의 보안 설계 관행은 상식 밖이라고 생각합니다. 액티브액스 설치 여부를 묻는 경고창이 떳을 때, 고객은 무슨 근거로 그것이 안전한지를 판단합니까? 그것을 제공하는 웹사이트가 믿을 만한지를 근거로 판단할 수 밖에 없습니다. 은행 사이트가 설마 나쁜 프로그램을 나에게 주랴? 는 것이지요. 그런데, 그 은행사이트라는 것이 HTTP로 접속해 있는 상황이므로 실제로는 은행사이트인지 공격자가 은행을 가장하고 있는지를 판단할 어떤 수단도 없습니다.

그냥 믿으라는 것이지요. 누구인지도 모르지만. 믿는 자에게 복이 있나니?

Categories: 보안 | Tags: , , | 22 comments  오픈웹 구독 메일로 받기

  • plzsayok

    그간 그렇게 부르짖던 분들 묻고싶습니다.

    플러그인 기반 보안이 안전합니까?

  • bew

    교수님이 그간 얘기하셨던 것들이 현실로 나타나네요.

    이런 사례가 나왔으니 알고리즘, 소스공개 안되야 더 안전하다는 말은 이젠 안먹히겠군요.

  • http://pamsoo.tistory.com/ pamsoo

    클라이언트키퍼… 어쩐지… 뭔가 이상하다 생각하면서도 설마 소프트포럼같은 회사에서 그런 짓을 할까라고 생각했는데, 믿는 도끼에 발등 찍힌 꼴이고, 설마가 사람 잡은 꼴이네요.

  • pighair

    그간 교수님하고 배틀하던 보안 관계자 분들이 무슨 말씀 하실지 매우 궁금합니다.

  • freetbet

    자~~~ 그동안 자칭 전문가였던 분들… 닥치고 있을건지, 어떤 논리를 들고 와서 또 키보드 배틀을 벌일건지 궁금해집니다.

  • parjong

    기소 단계에서부터 벌써 죄가 확정된 것처럼 이야기 하시는 건 매우 위험하다고 생각됩니다.

    아직 이 사건은 기소 단계이며 소프트포럼에서 주장하는 것 처럼 피싱 방지 소프트웨어의 한 기능일 가능성도 있으며, 아니면 검찰이 기소한대로 악성 소프트웨어(악성 소프트웨어의 정의가 무엇인지 모르겠지만 말입니다.)일 수 도 있습니다.

    단순하게 검색어를 리다이렉션 한 것만으로 악성 소프트웨어라고 말한다면 널리 쓰이는 구글 크롬 브라우저나 기타 브라우저들이 제공하는 기본 검색 기능들 모두다 불법 행위라고 생각할 수 있습니다.

    그리고 악성 소프트웨어를 무엇이라고 정의하는지 모르겠지만 현재 상황에서 해당 기능이 무조건 악성 소프트웨어라고 몰아 붙이는 건 굉장히 위험해 보입니다. 예를 들어 윈도우 드라이버에 버그가 있어서 종종 시스템이 다운되는 경우(커널 패닉)이 발생한다고 했을 때 과연 그 드라이버가 악성 소프트웨어인가요? 그래서 해당 드라이버 배포사에 피해를 청구할 수 있나요?

    클라이언트 키퍼로 인해서 성능이 저하되었다는 여러 가지 민원이 있었다고 하지만, 실제로 클라이언트 키퍼로 인해서 성능이 저하되었는지, 혹여 성능이 저하되었더라도 현재 문제가 되는 기능으로 인해서 성능이 저하되었는지, 그리고 그로 인해서 실질적인 사용자의 피해가 있었는지(트래픽을 통해서 얻은 수익이 사용자의 피해라고 주장하시는 건 아니겠지요?) 등등 이 사건과 관련한 많은 이슈가 존재하며 아직 그 이슈들이 정리된 것은 아닙니다.

    위의 논의는 이와 같은 이슈들이 정리되고 나서 시작해도 늦지 않다고 생각합니다.

  • http://openweb.or.kr youknowit

    좋은 지적이십니다. 그러나 유무죄가 확정될 때까지 소요되는 기간 동안 잠정적으로 어떤 조치를 취하는 것이 적절할지는 조금 다른 이슈라고 생각합니다.

    유죄 판결이 나기 전에는 무죄로 추정된다는 형사법의 ‘법리’가 있다고 해서, 이 소프트웨어가 “아무 문제 없다”는 태도를 취한다면, 그것이 과연 사업적/기술적으로 옳을까요?

    • r2n

      놀랍네요. 이것이 법대교수님이 하실 말씀인가요? 그렇다면 무죄추정의 원칙이 왜 있습니까?

      • r2n

        무죄추정원칙은 논리적으로 유죄의 입증보다 무죄의 입증이 어렵기 때문에 존재하는 것이지 않습니까? ‘아무 문제 없다’는 태도는 옳지 않다.는 얘기는 유죄를 추정한다는 것인가요? 법리가 무죄를 추정하는데, 법대교수님은 유죄를 추정하는 상황인가요?

  • parjong

    소프트포럼의 태도가 “이에 대해서 아무 문제 없다”는 태도를 취하고 있지 않다고 생각합니다.

    http://tinyurl.com/y645oda 다음 링크에서 보시면 “소프트포럼과 소프트씨큐리티는 필요한 책임을 다할 것입니다”라고 하고 있습니다. 이러한 입장이 “법리적으로 무죄”이므로 “아무 문제 없다”라는 입장이기 보다는 이에 대해서 적극적으로 대응하겠다는 것으로 보입니다.

    이런 상황에서 소프트포럼 측에 대한 무조건적인 비난은 관련된 이슈를 위한 토론에서 바람직하지 않다고 생각합니다.

    • http://openweb.or.kr youknowit

      저는 이번 사태에 대하여 소프트포럼이 분명히 비난받아야 한다고 생각합니다.

      “보안 업체”와 관련하여 이런 사태가 발생하였는데 비난하지 말라는 것은 보안을 포기한 “맹목적 감싸기”에 가깝게 보이는 군요.

      • parjong

        그 말씀은 모순이라고 생각합니다.

        소프트포럼이 비난받아야 한다면 해당 소프트웨어에 포함된 기능(검색어 리다이렉션)이 정말로 문제가 되는 기능이라는 점에 대해서 공감이 있어야 된다고 생각합니다.

        제가 지금 말씀드리는 것은 지금까지 그런 기능에 대해서 그것이 과연 올바른가/올바르지 않은가에 대해서는 전혀 논의가 없이 검찰이 기소하였으므로 그 기능은 올바르지 않다. 고로 소프트포럼은 비난 받아야 한다는 식으로 논의가 진행되는 것은 부적절하다는 것입니다.

        정확한 건 아니나 제가 아는 바로는 이번 검찰이 문제 삼은 부분은 저 소프트웨어를 사용하는 소비자의 피해가 아니라 검색어 기반의 서비스를 제공하는 동종 업체의 영업을 방해한 행위에 대한 기소로 알고 있습니다. 이게 사실이라면 검찰의 기소가 해당 기능이 (소비자의 입장에서) 올바르다/올바르지 않다의 논의에 근거가 되지 않습니다.(소프트포럼의 주장은 해당 기능-검색어 리다이렉션-은 피싱 방지를 위한 기능을 좀더 사용자 편의를 위하여 발전시킨 기능이라는 것입니다.)

        다시 한번 말씀드리지만 저의 주장은 소프트포럼에 대해서 절대적으로 비난을 하지 말아야한다는 것이 아닙니다. 제가 주장하는 것은 소프트포럼에 대한 비난을 하기에 앞서서 정말로 이번 문제가 비난을 받을 행위인지에 대한 많은 논의가 필요하다는 것입니다.

        제가 우려하는 바는 현재 진행되는 논의는 이러한 과정이 없이 갑작스럽게 이번 행위를 비난 받아야 하는 행위다라고 단정지으시고 있다는 점입니다.

        이런 우려에 대해서 “맹목적 감싸기”라고 지칭하시는 것은 상당히 유감입니다.

      • http://openweb.or.kr youknowit

        아, 이제 조금 더 이해하겠습니다. 저는 고객이 예상하는 기능을 벗어난 어떤 숨은 기능을 고객에게 미리 설명하지 않고 포함시켜두는 행위는 부도덕하다고 생각합니다.

        고객에게 영향을 미칠만한 내용이라면, 슬그머니 약관 어느 한 구석에 적어놓아서는 안됩니다(그런 약관 조항은 어차피 무효입니다). 고객이 분명히 알 수 있도록 별도로 설명하고 동의를 구해야 합니다.

        약관에 포함시켜놓고, 고객이 ‘동의’를 클릭하기만 하면 동의한 것이다라고 흔히 오해하시는 분들이 많지만(심지어 법학과 저학년 학생들마저 그렇습니다), 법이 그런 행위를 옹호, 용납하지는 않습니다.

        • parjong

          그렇게 생각하신다면 이 문제에 대해서 논의해야 할 점은 고객이 예상하는 기능이 어디까지이며, 또 어느정도 까지의 영향에 대해서 그런 고지가 있어야 하냐는 문제가 아닐까 생각합니다.

          첫째로 “고객이 예상하는 기능”이라는 부분에서, 소프트포럼 측은(제가 이해한 바로는) 문제가 된 기능은 피싱 방지 기능의 일부라고 주장하고 있습니다. 다시 말해서 고객이 예상하는 추상적인 “피싱 방지” 기능에 이러한 기능이 포함된다는 주장이라고 생각됩니다. 그렇다면 첫번째 지적하신 “고객이 예상하는 기능을 벗어난 어떤 숨은 기능”이라는 점에서 비난하기 어렵지 않을까 합니다.

          두번째로 “고객에게 영향을 미칠만한 내용이라면” 이라는 부분인데, 이 부분에서는 위의 리다이렉션 기능이 “고객에게 큰 영향을 미치는 부분”인가에 대해서 예상할 수 있었냐 하는 점이 문제가 아닐까 합니다. 많은 브라우저에서 이미 지원하고 있는 기능이었기 때문에 이러한 기능을 추가하는 것이 고객에게 크게 영향을 미치지 않는다고 판단하지 않았을까 합니다. 어느 정도의 영향에 대해서 ‘동의’가 필요한지 그 기준이 명확하지 않은 것 같습니다. (혹시 이런 부분이 이미 법적으로 정해져 있는지는 잘 모르겠습니다만 ^^;)

          물론 보안 소프트웨어는 높은 신뢰성이 필요합니다만, 그 신뢰성을 담보하기 위해서 어느 정도 수준에서 어느 정도 엄격한 절차에 따라야 할지에 대해서 아직 명확한 기준이 없다고 생각합니다. 이번 기회를 통해서 이런 기준이 만들어 진다면 매우 긍정적일 것 같습니다.

  • bew

    3억벌고 1천만원 벌금내는 수준에서 끝난다면 앞으로 한국에서 배포되는 대부분의 프로그램들이 동의 없이 홈페이지나 검색페이지 교체 후 광고수익 창출이 당연한 룰이 될것 같군요.

    “해당 제품 기능 자체가 고객사나 개인이용자 피해를 유발하는 것은 아닙니다.”

    이 한마디면 끝나니까요.

    • r2n

      낮은 납품 단가로, 국내업체들이 광고같은 보조수익으로 연명할 수 밖에 없는 현실을 생각해보시기 바랍니다.

      • pighair

        무식하고 위험하기 짝이 없는 댓글이군요.
        낮은 납품 단가는 고객 은행과 납품사가 풀어야 할 문제입니다. 납품 단가가 낮다고 해서 보안 업체와 직접 계약을 맺는 것도 아닌 사용자에게 검색 리다이렉션이나 광고 등을 강제하여 수익을 창출할 권리가 있다고 생각하신다면 정말 위험합니다.
        브라우저의 검색 리다이렉션은 브라우저가 제공하는 알려진 기능이고, 리다이렉션할 검색 엔진을 사용자가 선택할 수 있습니다.
        피싱방지를 위한 선택이었다면, 피싱 방지를 위해 이러저러한 조치를 취하고 있다고 사용자에게 명백히 알리고 해야 합니다.
        그리고 결과적으로 피싱방지든 뭐든 리다이렉션을 통해 광고 수익을 벌어들였죠.

        브라우저의 리다이렉션과 이번 소프트포럼 건을 같게 생각하시는 수준이라면 뭐 제가 이런 댓글 쓰는 행위 자체가 무의미한 짓이겠지만요.

        • parjong

          저한테 하신 말씀이신 것 같아서 답합니다.

          소프트포럼에서 제공하는 소프트웨어도 사용자가 검색 엔진을 선택할 수 있는 기능이 있는 것으로 알고있습니다. 단지 기본이 특정 포탈인거지요. (물론 피싱 방지라는 원래 목적상 임의의 사이트를 선택하는 건 불가능하고 소프트포럼에서 지정한 사이트만 선택할 수 있는 문제점이 있으나 이는 피싱 방지라는 목적상 화이트 리스트를 제공해주는 방식이라고 볼 수 있습니다.)

          그리고 피싱 방지를 위한 선택이었다면, 피싱 방지를 위해 이러저러한 조치를 취하고 있다고 사용자에게 명백히 알리고 해야한다고 하셨는데 어느 정도 수준까지 그것이 필요하다는 데에 대한 정확한 기준이 있었나요?

          소프트웨어에서 어떤 기능을 제공할 때 그 기능에 대한 설명은 어느 정도 추상화될 수 밖에 없습니다. 그 추상화 정도가 어느정도인지가 중요한 문제인데 이에 대해서 기준이 없었다는게 제 생각입니다.

          그리고 광고 수익을 벌어드린 것을 언급하시면서 굉장히 부정적으로 보시는 것 같습니다만, 해당 광고 수익은 소프트웨어 사용자가 지불한게 아니라, 검색 업체로부터 받은 것입니다. 검색 업체의 지불 = 사용자의 피해라고 주장하시는 게 아니라면 이를 통해서 광고 수익을 얻은 것 자체를 비난하시면 안될 것 같습니다.

          그리고 토론/논의를 하고 싶으신 거라면 첫 문장에서 처럼 “무식”이라는 단어를 사용하시거나, 마지만 문장 같이 “수준”을 언급하시는 건 좀 부적절한 것으로 보이네요.

        • r2n

          IT버블이 이후로 무수히 양산된 개발사들과 넘쳐나는 엔지니어들로, 10여년이 지난 지금 대부분의 IT인력이 낮은 임금과 혹독한 야근에 시달리는 것이 현실입니다. 중소기업들은 어쩔 수 없이 출혈경쟁을 하고 있고, 기관과 정부에 납품되는 제품의 단가는 바닥으로 치닫고 있지요.
          이 같이 열악한 상황에서 광고같은 부수익에 의존하는 업체가 부지기수였습니다. 썩어빠진 대한민국 IT 산업의 고질적인 병폐를 바로보지 못하고, 몇몇 기업의 양심탓으로 여기는 무식한 주장은 그만하시기 바랍니다.
          편하게 키보드나 두드리고 있지 마시고, 소프트포럼이 클라이언트 키퍼를 얼마씩 납품했는지 정도는 직접 발로뛰어서 알아보시기 바랍니다.

          • r2n

            이러한 상황에서 산업 현장을 모르는 모교수님은 유료소프트웨어대신 무료를 써야한다고 주장할 뿐이고,근거없이 보안회사의 로비 음모론만 양산해내고 있을 뿐이고, 얼마나 지독하게 우겨댔는지 국민 대부분은 그게 진짜인줄 알고 있을 뿐이고,, 현장에 있는 사람들은 그저 울고만 있을 뿐이죠. 보안이란 기술이 특수하여, 일반인들의 이해가 떨어지고, 실무종사자들이 적다보니, 사람 선동질해서 싸우는데 당해내질 못하고 있는 것이 지금 대한민국의 현실이라 하겠습니다.

  • http://openweb.or.kr youknowit

    유저가 예상하지 못한 사이트로 리디렉트하는 것이 피싱방지책이라는 주장을 만일 소포가 하였다면, 독특하군요.

  • Richard Im

    “클라이언트 키퍼”와 http는 좀 다른 이야기인데 함께 붙여 놓으셨네요.

    SSL이 아닌 말씀하신 비표준방식 국내 보안 방식도
    서버인증서를 사용하기 때문에 https 처럼 피싱방지를 위해서 서버인증서 검증이 가능합니다. 인증서 발행기관, 해당 도메인네임 모두 사용자가 볼 수 있습니다. 다만, 국내인증기관이 발행한 것이므로 차이는 좀 있습니다. 사용자들 중에 서버인증서 확인을 하고 도메인네인하는 확인 하는 사람 별로 없겠지요. 그건 https(ssl)도 비슷합니다.

    다만 국내의 인증기관에서 발행한 것이다 보니 경고창이 뜨는게 문제이지만요.

    이건 클라이언트 키퍼 문제와는 다른 문제라고 생각 됩니다.

«

»