보안업체의 임무

미국의 은행 중 하나인, Bank of America (“BoA”)가 고객들에게 제공하는 인터넷 뱅킹 보안 안내입니다. BoA가 고객에게 안내하는 내용과 한국의 금융기관이 고객에게 안내하는 내용을 비교해 보겠습니다.

BoA는 이렇게 안내합니다.

• 최신판 웹브라우저를 사용하십시오. 새 버전의 웹브라우저는 여러분의 안전을 염두에 두고 제작되었습니다. 우리가 권하는 웹브라우저의 리스트는 여기 있습니다.
• 소프트웨어 공급자가 제공하는 보안 업데이트를 모두 하십시오.

한편, 2009.3.12 현재, 한국에서는

어떤 곳은 노골적으로 MS IE 6.0 만을 설치하라고 안내하기도 합니다. 거의 10년 전에 개발된 IE 6.0은 플러그인을 마구 설치/실행하도록 하는데 편하기 때문입니다. 이렇게 까지 안내하는 곳도 있습니다. MS IE 7.0 (2006년 출시)부터는 플러그인 설치/실행이 대폭 제약되었습니다. 그리고 보안 성능을 더욱 향상시킨 MS IE 8.0이 이제 곧 공식 배포될 예정입니다(배포 예정판을 MS사가 이미 전세계에 제공하고 있습니다).

그리고, Vista 운영체제는 은근히 좀 안써 줬으면 좋겠다는(2009.3.12. 현재, 안내되는 내용입니다)…

윈도우 Vista 는 종전 버전의 윈도우보다는 탁월한 보안 성능을 구비하고 있는 훌륭한 운영체제입니다. 전세계에서, 정부가 자기 국민들에게 Vista 운영체제 사용을 늦추고, XP를 계속 좀 써달라고 안내한 곳은 대~한민국이 유일합니다. 이 덕분에 “IT 강국”이라던 한국 실상이 졸지에 “웃기는 해외 토픽” 수준으로 급변하였습니다. 실제로 기술력 있는 소프트웨어 업체(모바일 디바이스용 소프트웨어 등을 전세계를 상대로 판매하는, 언론에 전혀 알려지지 않은, 한국 업체들이 있습니다)들이 외국에서 장사하기 위해서는 이처럼 보안으로 망가진 위상때문에 적지 않은 어려움이 생기는 것입니다.

Vista 의 출시는 그동안의 과오를 바로잡고 한국의 보안 상황을 개선시킬 수 있었던 기회였습니다. 2년전의 이 글 참조. 그러나, 아무 변화도 없었습니다. 오히려, 기술을 모르는 공무원들이 전 국민을 상대로 XP를 계속 사용하라고 권하는 “기도 안차는”상황을, (국내 언론이 화려하게 조명하는) 안철수 연구소를 포함한 보안업체들은 잠잠히 지켜보고 있었습니다. 기술전문가의 양심에 관한 문제입니다.

BoA는 이렇게 안내합니다.

• 개인 방화벽 프로그램을 하나 설치하십시오.
• 안티 바이러스 프로그램, 안티 스파이웨어 프로그램을 사용하여 바이러스나 스파이웨어로 부터 자신의 컴퓨터를 보호하고, 자동 업데이트 기능을 사용하십시오 [바이러스 검색엔진을 최신 상태로 유지하라는 뜻].
• 자기 컴퓨터에 대하여 정기적으로 바이러스/스파이웨어가 있는지 스캔을 하십시오.

영어 문장에 사용되는 “a” 와 “the”는 매우 큰 차이가 있습니다. 유저가 선택하여, 개인 방화벽 프로그램을 하나 쯤 설치하는 것이 좋다는 것이지, 웹사이트가 마구잡이로 설치를 강제하는 개인 방화벽 프로그램/바이러스 스캔 프로그램을 사용하지 않으면 아예 온라인 뱅킹을 못하게 하겠다는 국내은행의 “보안 협박” 행위와는 그 차원이 다릅니다.

그리고, 바이러스 스캔을 정기적으로 하라는 BoA의 안내와, 은행 거래 사이트에 접속되어 있는 동안만 작동하고, 그 사이트를 벗어나는 즉시 종료되는 (국내보안 업체가 은행을 통하여 “강제 설치”하는) 바이러스/방화벽 “시늉 프로그램”은 기술적으로 그 의미가 완전히 다릅니다. 그 짧은 시간에 제대로 된 스캔이 가능한지 저는 잘 모르겠습니다. 몇 달이 가도록 뱅킹을 안 하는 분은 아예 스캔이 될 리도 없겠지요. 은행 사이트에 접속하면 몇 초도 안되어 “알려진 해킹툴이 없는 것을 확인하였습니다”라고 안철수 연구소는 유저에게 자신 있게 말하지만, 어디까지 스캔하였는지는 말하지 않고 있습니다. 아주 조금만 스캔하면, 바이러스를 “찾지 못한” 것이 당연하겠지요.

BoA는 이렇게 안내합니다.

• 알지 못하는 곳으로부터 프로그램을 다운로드 하지 마십시오. 어떤 곳에서 주는 프로그램은 스파이웨어나 바이러스가 숨겨져 있어서 당신 컴퓨터의 보안을 허물어 뜨립니다.

프로그램을 ‘다운로드’하지도 말라고 안내하므로, 프로그램을 함부로 자기 컴퓨터에 “설치하지 말라“는 내용은 당연히 포함되어 있습니다. 한국의 보안업체는 완전히 정반대로 전국민에게 안내해 왔습니다.

한두번도 아니고, 이건 좀 너무하지 않나요? 정말로 플러그인 방식의 배포가 그렇게도 좋다면, 이 프로그램들을 모두 통합해서, 하나의 패키지로 배포하면 안되나요? 집요한 “반복 학습”의 효과를 노리는 것 같아서 좀 안됐습니다.

온 국민은 ‘파블로프의 개’가 되었습니다.

BoA는 이렇게 안내합니다.

• 웹브라우저 하단에 나타나는 자물쇠 아이콘을 더블클릭하면 나타나는 박스에 안내된 사이트 정보를 읽어보시면 안전한 웹사이트인지 여부를 확인하실 수 있습니다.

외국의 은행들은 “보안접속”을 모두 https 로 수행합니다. 그렇게 교신하려면, 웹서버가 국제적으로 신망있는 인증기관으로부터 ‘서버인증서’를 발급받아야 합니다. 이 발급 과정에서, 서버는 자기 신원(어디에 있는 어떤 회사인지 등)을 증빙하는 자료를 제출해야 합니다. 우리같은 이용자는 웹브라우저에 나타나는 자물쇠 아이콘을 클릭하면, 바로 이렇게 검증된 서버의 정체를 분명히 알 수 있습니다.

이렇게 보안 서버(SSL 서버)를 운영하면, 퓌싱 공격을 획기적으로 줄일 수 있습니다. 물론 “보안 접속용 플러그인”을 일일이 모든 이용자의 컴퓨터에 별도로 설치할 필요도 없지요.

그러나, 한국의 금융기관은 모두 http 접속을 합니다. 서버가 누구인지를 고객이 손쉽게 확인할 길은 없습니다. 죽으나 사나, 오직 고객에게만 거듭해서 “인증서를 내놔라”, “민증을 까라”고 요구할 뿐, 서버는 자신의 신원을 밝히지 않습니다. 한꾹의 금융고객은 언제나 “정체불명의 http 서버”에게 자신의 모든 것을 까발리고 인증서까지 내놓도록 강요당합니다. 고객으로부터 인증서를 요구하려면, 적어도 서버스스로가 먼저 자신의 신분증(SSL 서버인증서)을 고객에게 제시하는 것이 “예의”가 아니겠습니까?

나머지 내용은 일반적인 것이어서 일일이 거론할 필요는 없겠습니다.

보안 업체가 존재하는 이유가 무엇인지, 이제는 한번 쯤 자신을 돌아 볼 때가 되지 않았나 생각합니다.

p.s. 여기를 보시면, http://www.citibank.co.kr/kor/popup/ib/us/guide_banking03.jsp 안철수 연구소가 배포하는 플러그인은 “마치 보안 경고창이 뜨지 않고” 설치되는 것처럼 안내되어 있습니다. 안철수 연구소도 자신이 하는 일이 떳떳하지 않다는 점을 알고는 있는 듯 합니다. 그렇지 않고서야, 왜 다른 플러그인 설치과정을 설명하는 곳에서는 모두 보안경고창 견본이 제시되는데, 유독, 안철수 연구소 플러그인 설치과정에서는 그 그림이 쏙 빠져 있을 까요?

실제로는 이런 보안경고창이 이용자의 화면에 뜹니다. 국내 정상급 보안 업체가 가지는 “영향력”으로 하시는 일이 고작 이 수준이라면, 좀 안타깝습니다.

공개질의에 대한 공개 답변을 기다리고 있습니다.