안철수연구소는 작년 설 연휴를 맞이하여 “24시간 비상근무” 체제에 돌입했다고 언론에 대대적으로 보도되었습니다. 컴퓨터 보안 업체가 어째서 설 연휴에 비상근무를 해야하는지 그 심오한 내막이야 저는 잘 모르겠습니다만(방범 순찰?), 그때 안연구소가 전국민에게 교시(敎示)한 보안 수칙에는 “인터넷 로그인 계정의 패스워드를 자주 변경하라”는 것이 있습니다.

비밀번호를 이따금씩 변경하는 것이 보안에 도움이 되는 것은 맞습니다. 그러나, 안철수 연구소 홈페이지 같은 곳에서는 비밀번호를 바꾸지 않는 것이 좋다고 생각합니다.

안 연구소의 비밀변호 변경 페이지는 이렇게 생겼습니다.

현재 비밀번호를 입력하고, 새 비밀번호를 두번 입력하도록 되어 있습니다. 그리고 나서 이용자가 “확인”을 누르면, 새 비밀번호는 고객의 컴퓨터를 나와서 온세상 사람들이 모두 볼 수 있도록 평문(clear text)으로 네트워크로 내보내져서 안철수 연구소 웹사이트로 전달됩니다.

도저히 믿기 어렵지만, 해당 페이지 소스의 제168행을 보시면, method=”post” onsubmit=”return formAction(document.form1)” 라는 부분이 있습니다. 즉, 이용자가 비밀번호 변경 페이지에 있는 빈칸에 해당 내용을 기입하고 “확인”을 누르면, formAction 이라는 함수에 정의된 바에 따라 그 결과값을 웹서버로 보내게(“post”) 됩니다.

formAction 이라는 함수는 웹페이지 소스 제60행-120행에 정의되어 있습니다. 그 내용은 비밀번호들이 모두 입력되었는지, 영문과 숫자만을 사용하였는지, 두번 입력한 새 비밀번호가 일치하는지 등 만을 검사하고, 이상이 없으면, 새 비밀번호 값을 그대로 웹서버에게 날려 보내도록 되어있습니다.

이 모든 일이 벌어지는 웹주소창을 보시면, http://kr.ahnlab.com/ 으로 시작하는 비보안 접속(clear channel)임을 알 수 있습니다.

안철수 연구소는 고객의 안전을 이런식으로 관리합니다.

제가 생각하기에는, 안철수 연구소는 “보안 업체”가 아닙니다. 바이러스 장사는 잘하시는지 모르겠으나, “보안 의식”은 아예 없습니다. 이런 회사로부터 “보안 솔루션”을 구입해야 하는 은행들이 딱할 뿐입니다.

법률가에 불과한 제가 보안 기술과 보안 업체의 영업에 주목하게 된 것은 2007.1.경 부터 입니다. 온 세계 컴퓨터 전문가들이 윈도우 비스타의 개선된 보안 성능을 긍정적으로 평가하고 있는데, 난데 없이 한국의 정보통신부는 엉뚱하게도 국민들을 상대로 “비스타를 이용하지 말라”는 공식권고를 하는 황당 코메디를 접하고, 과연 그 내막이 무엇인지가 궁금했습니다. 그후 점점 더 “상식에 어긋나는” 전자금융 보안 대책이 거듭 등장하여 무모하게 강행되는 우리나라의 사태는 제가 보안의 기본 원리들을 공부하면서는 도저히 납득이 가지 않았습니다.

지난 여러해 동안 국내 보안업체들은 “위험한 칼춤”을 춰왔다고 생각합니다. 괴상하기 짝이 없는 감독규정 시행세칙 조항을 도입하도록 공무원을 꼬드겨, 세계 수준의 보안업체들을 국내 시장에서 밀어낸 다음, 전 국민의 컴퓨터 이용 행태 자체를 바이러스 확산에 최적화시키는(“반드시 ‘예‘를 누르기 바랍니다”), 영혼과 양심을 파는 행위를 공공연히 해 왔다고 생각합니다.

이제 조속히 입장을 정리하시기 바랍니다. 아무것도 모르는 공무원과 은행을 앞잡이로 내세워 “보안”이라는 명목으로 플러그인을 뿌려댄 다음, “반드시 예”하도록 하는 것이 보안에 도움이 되는지? 앞으로도 계속 그렇게 하실 것인지?

조만간 출시될, 더욱 안전한 MS IE 8.0 에 대해서도 금감원 공무원을 앞잡이로 내세워 “사용을 늦추라”고 권고하도록 만들 예정이신지?

한 며칠 그저 잠잠히 계시면 사그라질 것으로 생각하셨다면, 오해입니다. 저는 지난 2년간 준비했습니다.