인터넷뱅킹을 애용하는 김 씨는 계좌 이체를 위해 평소 거래하는 은행사이트에 들렀다. 김 씨가 사이트에 방문하자마자 낯익은 메시지가 뜬다.
"보안을 위해 인터넷 익스플로러가 이 사이트에서 사용자의 컴퓨터로 액티브X 컨트롤을 설치하는 것을 차단했습니다. 옵션을 보려면 여기를 클릭하십시오."
김 씨가 옵션을 보기 위해 클릭하자 "이 소프트웨어를 설치하겠습니까?"라는 팝업창이 뜬다. 김 씨는 습관처럼 '설치'에 마우스를 댔다. 설치하지 않으면 인터넷 뱅킹을 할 수 없기 때문에 설치 외에는 선택의 여지가 없다는 것쯤은 경험을 통해 익히 알고 있는 터였다.
인터넷 거래를 시작하기 전 시작된 액티브X 폭탄은 이후 계속된다. 암호화 프로그램, 키보드 해킹 방지 프로그램, 인쇄 프로그램 등 이름과 게시자를 알 수 없는 프로그램은 액티브X 방식으로 김 씨 PC에 설치된다.
김 씨는 조금은 번거롭지만, 이 모든 과정이 팝업창의 '보안경고'처럼 PC를 보호하기 위한 수단이라 여기고, 의심 없이 인터넷뱅킹을 시작했다.
인터넷 뱅킹 뿐만이 아니다. 김 씨는 유행하는 동영상을 보거나 상당수 웹페이지를 이용하기 위해 오늘도 액티브X를 설치하고 있다.
그렇다면 김 씨는 액티브X 설치를 통해 보안 위협으로부터 PC를 보호할 수 있을까.
결론부터 말하면 '아니다'. 보안전문가들은 김 씨가 오히려 보안위협에 전면 노출돼 있는 것과 다름없다고 경고했다.
◆"무조건 "예"보다는 꼼꼼히 살펴야"
액티브X가 금융권, 동영상 사이트 등을 이용하기 위한 필수 코스라는 인식이 굳어져버리면서, 악의적인 목적을 가진 해커가 이를 악성코드 배포 수단으로 이용하고 있다.
특히 해커가 설계한 액티브X를 자신의 PC에 무심코 설치했다가는 큰 낭패를 보기 십상. 해커가 바이러스, 스파이웨어 등의 악성코드를 PC에 심어 공인인증서, 사진, 민감한 파일 등을 빼내갈 위험이 높기 때문이다.
실제 7월 초 국정원(국가사이버안전센터), 청와대 등 국내 주요 사이트를 마비시킨 분산서비스거부(DDoS) 공격이 액티브X 취약점을 악용한 것이라는 의견도 나오고 있는 상황이다.
또 키보드 해킹 프로그램을 몰래 설치해 내가 주로 이용하는 사이트의 아이디(ID)와 비밀번호는 물론 계좌번호 등을 가로채기도 한다. PC방과 같이 공용으로 사용하는 컴퓨터는 보안패치가 되지 않은 데다 키로거 등 악성프로그램이 설치될 가능성이 높아 더욱 주의가 필요하다.
실제 지난 2007년, 19세 고등학생 해커는 포털 사이트와 인터넷 카페 게시판 등에 키로거(키 입력 가로채기)프로그램을 '게임을 위한 테스트 버전' 등으로 위장 유포한 뒤 사용자 PC에 몰래 설치, 1천여명의 개인정보를 수집했다. 또 이를 활용해 800만원 상당의 게임 아이템을 가로채 충격을 줬다.
금융보안연구원 성재모 팀장은 "많은 웹페이지에서 액티브X를 사용하기 때문에 이용자들이 별다른 의심없이 액티브X 프로그램을 설치한다는 것을 해커가 이용한 것"이라며 "이용자들은 액티브X를 무조건 설치하지 말고, 보안경고창을 유심히 살펴 소프트웨어의 이름과 게시자가 믿을 만한 경우에만 설치해야 한다"고 강조했다.
하지만 이용자가 이처럼 보안에 심각한 위협을 초래하는 액티브X를 습관처럼 받아들이는 데에는 정부 정책이 한 몫했다는 비판의 목소리가 커지고 있다.
전자금융거래의 안전의 총 책임을 맡고 있는 금융감독원이 액티브X 방식을 고수하는 한 '액티브X 공화국'이라는 오명을 벗을 수 없다는 지적이다.
또 이용자가 보안경고창을 유심히 살펴 소프트웨어의 이름과 게시자를 확인하더라도, 해당 프로그램의 신뢰성 여부를 확신하기 어렵다. 보안전문가는 이런 상황에서 이용자에게 무조건 '신중히' 설치하라는 교과서적인 답변을 내놓는 것은 해결책이 될 수 없다고 주장한다.
특히 키보드 보안, 안티 바이러스 프로그램 등 국내 대부분의 보안업체가 자사 프로그램을 액티브X 방식으로 배포하고 있어 이용자의 혼란만 더욱 가중시키고 있는 상황이다.
이에 대해 고려대 법대 김기창 교수는 "바이러스 유포를 가장 많이 조장하는 배포 방식인 액티브X로 보안접속·안티 바이러스·키보드 해킹·개인 방화벽·안티 바이러스 프로그램 등을 배포하는 것은 어불성설"이라고 꼬집었다.
그는 이어 "웹브라우저에 기본 탑재된 보안접속 기능(SSL 접속기능)을 사용하면, 어떤 '부가 프로그램'을 설치할 필요 없이 보안접속이 가능하다"며 "보다 근본적인 해결책을 찾지 않고, 국내 금융권이 특정 회사인 마이크로소프트(MS)의 액티브X 방식을 고수하는 것은 MS 종속성을 심화시킬 뿐만 아니라 국민의 보안을 담보로 한 직무유기라고 볼 수밖에 없다"고 지적했다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기