실시간 뉴스



[김기창의 오픈웹]안전한 온라인 뱅킹을 위해-①보안접속 프로그램


전자금융 거래와 관련된 보안 대책은 근본적 반성이 필요하다. 소관 부처인 금융감독원은 이용자 개인에게 이른바 ‘보안 프로그램’을 추가로 설치하라고 강요하는 것에만 목을 매고 있다고 해도 과언은 아니다. 일부 금융 당국 관계자는 보안접속 프로그램, 키보드 해킹 방지 프로그램, 개인 방화벽 프로그램, 안티 바이러스 프로그램 등의 보안 프로그램을 설치하면 전자금융거래가 안전해 질 것이라고 막연히 믿고 있는 것 같다.

3부로 나눠 연재될 이 글에서는 전자금융 거래 보안에 대한 금융감독원의 정책이 안고 있는 문제점을 진단하고, 해법을 제시하고자 한다. 제1부는 보안접속 프로그램에 관한 것이고, 제2부는 키보드 해킹방지 프로그램, 제3부는 개인 방화벽 및 안티 바이러스 프로그램에 관한 것이다.

보안접속(secure connection)을 위한 프로그램은 고객과 웹서버 간의 교신 내용이 네트워크 상에 오갈 때 악의적 공격자가 그 내용을 가로채 읽어보지 못하게 하는 기능을 수행한다. 예를 들어 로그인 아이디와 비밀번호가 고객과 웹서버 간에 오갈 때 제3자가 그 내용을 엿보지 못하게 할 필요가 있음은 당연하다. 대부분의 시중 은행들은 별도의 암호화 플러그인을 사용해 보안접속 기능을 구현하고 있다. 구체적인 방법은 교신채널 자체를 암호화 하거나, 전송되는 메시지 내용을 암호화하는 두가지로 나눌 수 있다. 그러나 컴퓨터 보안에 대한 기초지식이 있는 자라면 보안접속을 굳이 이렇게 별도의 플러그인으로 구현하는 것에 대해 의아하게 생각할 것이다.

웹브라우저에는 이미 보안접속 기능이 내장돼 있다. 그러나 2000년까지 미국 정부가 미국 내 마이크로소프트(MS) 인터넷익스플로러(IE) 웹브라우저는 128비트 수준의 보안접속을 허용했으나, 미국 외로 수출되는 MS IE 웹브라우저는 40비트 이상의 보안접속을 하지 못하도록 금지해 왔다. 40비트 수준의 암호화는 1997년경 연산능력으로도 이미 3.5시간 만에 깨지는 무용지물이었다. 바로 그렇기 때문에 국내의 보안업체는 128비트 보안접속을 위한 별도 프로그램을 개발하는 데 열을 올렸으며, 그렇게 개발된 보안접속 프로그램이 웹브라우저 플러그인(부가 프로그램)으로 배포돼 국내 온라인 뱅킹에 사용되기 시작한 것이다.

지금은 2009년이다. 한국 내 사용되는 MS IE 조차도 이제는 128비트 보안접속 기능을 기본으로 장착하고 있다. 파이어폭스, 사파리, 오페라 등의 웹브라우저는 256비트 보안접속을 기본으로 적용하고 있다. 웹브라우저로 https://www.fortify.net/sslcheck.html 에 접속하면, 자신이 사용하는 웹브라우저가 현재 어느 수준까지의 보안접속을 수행할 능력이 있는 지를 당장 확인할 수 있다. MS IE나 구글 크롬 웹브라우저가 수행하는 보안접속(RC4 cipher를 이용한 128비트 암호화)과 파이어폭스•오페라 등의 웹브라우저가 수행하는 보안접속(AES cipher를 이용한 256비트 암호화)이 국내 보안접속 프로그램들이 제공하는 보안접속보다 허술하다거나, 해킹 위험에 더 노출돼 있다는 주장은 터무니 없다.

128비트 보안접속을 위해 별도 보안프로그램을 설치해야 된다는 주장은 90년대 후반에 개발한 구식 소프트웨어를 아무 기술지식도 없는 고객(웹사이트 발주자)이나 공무원들에게 2009년에 와서까지 마케팅 해보겠다는 상술일 뿐 아니라, 보안 프로그램이라는 미명 하에 엄청난 보안 위험을 국가적으로 초래하는 사기극에 가깝다.

국내의 보안 업체들은 128비트 보안접속 프로그램을 액티브엑스(ActiveX) 플러그인 형태로 배포하고 있다. 2000년 전까지는 외국의 보안 업체들도 미국 외의 고객을 위해 보안접속 프로그램 개발에 열중했고, 이들도 128비트 보안접속을 가능하게 하는 프로그램을 개발했지만, 액티브엑스 형태로 배포하기 보다는 이용자가 자발적•주체적으로 내려받아 설치하면 아예 웹브라우저 자체가 128비트 보안접속을 수행하도록 하는 방식이 오히려 일반적이었다.

따라서 웹서핑 중에 이용자가 요청하지도 않았는데 웹서버가 난데 없이 제시하는 정체불명의 프로그램을 이용자 컴퓨터에 설치해야 하는 상황에 직면하지 않게 된다. 그러나 국내 보안업체는 온 국민이 무조건 해당 보안업체를 믿고, 보안 경고창이 나타나면, ‘반드시 OK’ 하도록 세뇌하는 납득할 수 없는 전략을 선택했다.

이 프로그램을 믿어도 좋을 지를 이용자들이 어떻게 판단할 것인가? MS가 친절하게 설명하는 ‘위험성’에 대한 안내 링크를 실제로 클릭해 그 내용을 꼼꼼히 읽고 액티브엑스의 위험성을 정확히 이해하는 이용자가 과연 얼마나 될까? 위험한지 여부를 판단하는 유일한 근거는 MS 스스로가 고백하듯, 오직 게시자(이 프로그램을 코드 사인해 배포하는 자)를 신뢰할 수 있는지 여부(게시자의 명칭) 외에는 없다. 보안 경고창이 떴을 때, ‘설치’를 클릭하기 전에 ‘Initech, Inc.’ 등으로 표시되는 게시자가 도대체 누구인지, 믿을만 한지를 확인하는 이용자가 과연 몇명이나 될까.

“뭘 그리 꼬치꼬치 따지나? 그냥 믿고 설치하면 되지”라고 말하는 자는 보안을 논할 자격이 없다. 현재 국내 전자금융거래의 안전을 저해하는 가장 심각한 위험 요인은 웹서버가 내려 주는 액티브엑스를 이용자들이 그냥 믿고 OK를 누르는 행태로부터 초래되기 때문이다. 아무려면 믿을 만한 웹서버에 접속했는데, 그 웹서버가 설마 나쁜 프로그램을 이용자에게 배포하겠냐고 물을 수 있다.

그러나 문제는 이용자들이 웹서버를 믿고 민감한 정보를 내보내야 할 때 처음부터 ssl접속이 아니라 비보안접속(http 접속)을 하도록 강요당한다는 데 있다. 악의적 공격 사이트가 ‘믿을 만한 사이트’인 것처럼 위장하는 일은 고객이 http로 접속할 경우 비교할 수 없으리 만큼 훨씬 쉬워진다.

따라서 어떤 사이트에 http로(비보안) 접속한 다음, 그 사이트가 내려 주는 액티브엑스 플러그인을 무조건 믿고 설치함으로써 비로소 구현되는 국내 업체의 ‘보안접속’은 구조적•원천적으로 위험하다. 이 모든 위험을 도대체 무엇 때문에 전 국민이 감수하라는 것인지 도저히 상식으로는 납득할 수 없다. 보안 서버(ssl 접속 서버)를 채용하기만 하면 구현될(그것도 지금 보다 훨씬 강력한 수준의) 보안접속을 마다하고, 기술적으로 위험 천만한 별도 보안접속 액티브엑스 프로그램 방식이 2009년에까지 국내에서 판을 치는 이 상황을 금감원 및 금융당국이 방치한다는 것은 직무유기임에 틀림없다.

더 이상 아무 소용도 없는 보안접속 프로그램을 계속 팔아보겠다는 국내 보안 업체들의 파렴치함도 이제는 공식적으로 문제삼을 때가 됐다고 생각한다. 미국 외로 수출되는 MS IE 웹브라우저의 암호화 수준을 인위적으로 허술하게 유지하려던 미국 정부의 정책이 폐기된 2000년 이후에는 128비트 보안 접속 프로그램을 팔아보겠다는 외국 업체는 없다.

이쯤 되면 컴퓨터에 대한 지식이 조금 있는 사람은 SEED 암호화 알고리즘이 어떻다느니, 국가정보원이 SEED 알고리즘 사용을 사실상 강제한다느니 하는 어려운 말을 꺼내면서, 국내에서는 별도의 보안접속 프로그램 사용이 제도적으로 강제되므로 개발자로서는 어쩔 수 없다는 말을 한다. 하지만 다시는 이런 근거 없는 주장이 반복되지 않았으면 한다. SEED 암호화 알고리즘은 1999년(미국이 수출용 MS IE의 보안접속 기능 제약을 해제하기 직전)에 한국 정보보호진흥원 기술진들이 개발한 128비트 블록 사이퍼 알고리즘이다. 그러나 SEED 알고리즘의 사용을 강제하는 어떤 규정도 없다. SEED 알고리즘이 ‘언급’된 곳은 전자서명법 하위 규정 중 하나인 ‘전자서명인증체계 기술규격2.3’이다.

그러나 이 규정은 보안접속과는 아무런 관련도 없다. 인증서는 그에 상응하는 개인키가 있게 마련인데, 이 개인키 파일은 반드시 암호화해서 보관해야 한다. 그래야 다른 사람이 그 개인키 파일을 무단 입수하더라도 비밀번호를 모르면 함부로 전자서명을 할 수 없게 되므로 덜 위험해지는 것이다. 전자서명관련 규정에서 말하는 ‘암호 알고리즘’은 개인키 파일 보호를 위한 것일 뿐(기술 규격2.3은 SEED 또는 TDES를 사용해서 개인키 암호화를 하도록 규정하고 있다), 보안접속과는 전혀 상관이 없다는 점은 한국정보보호진흥원의 기술 책임자가 직접 밝힌 부분이다.

국정원이 SEED 사용을 강제할 이유도 없을 뿐 아니라, 국정원은 공공기관이 사용하는 보안 프로그램의 모듈에 대한 심의권한 만을 갖고 있을 뿐이다. 법규정은 전혀 모르고, 보안 기술 마저 모르는 ‘얼치기 전문가’들이 퍼뜨리고 다닌 ‘SEED-국정원’ 유언비어는 이제 그만 들었으면 한다. 이제 보안접속은 해괴 망측한 별도 프로그램 방식이 아니라, 보안 서버(ssl 서버)를 채용함으로써 안전하게 구현돼야 한다. 그동안 보안을 빙자해 막대한 보안 위험을 초래해 온 이른바 ‘보안접속용 별도 프로그램’은 당장 걷어내야 한다.

/김기창 고려대 법대 교수 column_keechang@inews24.com







alert

댓글 쓰기 제목 [김기창의 오픈웹]안전한 온라인 뱅킹을 위해-①보안접속 프로그램

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스