보안업체, 온실 속의 화초일 뿐…

많은 사람들이 관심을 기울 이는 바대로 3월 25일에 오픈 웹 소송 2심 결과가 나온다.

그 와중에 김기창 교수님이 안철수 연구소에 대한 공개 질의라는 글을 올려 이게 기사화 되었다. (KLDP에서도 토론 중) 기사 중에 안철수 연구소쪽에서 낸 답변이 있다.

안연구소쪽은 “국내 거래 환경에서 ‘을’인 보안업체로선 금융권 ‘갑’이 주문하는 사양에 맞출 수 밖에 없다”며 “이 환경을 무시하고 힘 없는 보안업체, 특히 안철수연구소만 찍어 문제삼는 건 이해하기 어렵다”고 밝혔다.

또한 “외국에선 아예 인터넷금융 보안 대책이 없는 상황인데, 우리나라는 IE만이라도 인터넷뱅킹 안정성을 보안해주는 점에서 그나마 나은 편”이라며 “결국 문제는 IE 환경에만 맞춰져 있는 인터넷뱅킹 환경”이라고 제도 개선이 먼저임을 지적했다.

오히려 안랩쪽에서 헛다리를 짚었다. 김교수님이 제기한 사항은 사용자 PC 보안에 큰 문제가 있는 방식임에도 불구하고 Active X 방식으로 보안 프로그램을 제공하는 이유가 뭔지를 묻고 있는데 동문서답을 하고 있는 것이다.

사용자 삽입 이미지

최고의 국내 보안 업체가 해외에 OTP 및 금융 보험이 엄청 발달해 있는데도 인터넷 금융 보안 대책이 없다는 황당한 이야기를 할 정도이다. (최근 국내에도 OTP를 도입하기 시작했다. 해외 금융기관은 인터넷 금융 사고를 대비해 보험을 들고 사고가 터지면 사용자에게 바로 돈을 준다. 한국에서는 깔라는 보안 프로그램 다깔고도 사고 나면 발뺌한다. 이게 선진 금융 서비스…)

안랩 뿐만 아니라 대부분의 국내 보안 업체들이 사용자들에게 ActiveX 설치를 용이하게 하기 위해 보안 설정을 무력화 시키고 가망 공격에 노출 시키는 행위를 하면서 영업을 하는 이유를 묻은 것이다.

자신들이 가슴에 손을 얹고 진정한 사용자들의 PC 보안을 위해 움직였는지 아니면 ‘갑’의 주문 사항에 맞추었는지 한번쯤 생각해 볼 문제이다. 이건 정말 기업 철학의 문제가 아닐까?

공인 인증은 국내 내수용
1990년대 중반 공인 인증에 대한 기초가 마련될 무렵 사설 인증 영업을 하던 PKI 업체들이 백 여개(?) 있었다. 당시 40비트 웹 브라우저 보안 등급을 문제 삼아 128비트 SEED가 마련되고 이를 구현하기 위해 플러그인 방식을 채택하는 과정에도 석연찮은 점이 많다.

국제적인 사설 인증 사업을 하던 베리사인(VeriSign)이나 엔트러스트(Entrust) 같은 업체들은 자사의 SSL 인증서로 충분히 128비트 SSL 통신을 할 수 있었고, 양질의 PKI 서비스를 제공하고 있었다. 뿐만 아니라 2000년에 128비트 웹 브라우저가 이미 전 세계에 배포되고 시작했다.

이 와중에서 베리사인이나 엔트러스트 같은 업체들은 공인 인증 시장에 진입조차 하지 못했다. 전자 서명법에는 규정하지 않았지만 한국정보보호진흥원(KISA)와 국정원이 만든 세부 기술 스펙을 도저히 수용하지 못했기 때문이다.

국내 PKI 업체들은 결과적으로 산업 보호를 해 준다니 뭐든지 시키는 대로 해 주는 꼴이 되었다. 만약 그때 국제적인 기준으로 외국 사설 기관도 공인 인증 시장에 참여하게 해 주었다면 국내 인증 시장은 완전히 다른 양상을 띄고 있을 것 있다. (일본은 베리사인 저팬의 점유율이 80% 이상이었고, 포스코 등 상당한 유력 기업들이 베리사인의 시스템을 도입했었다.)

하지만, 2000년대 중반에 오면서 그렇게 의기양양하고 뭐든지 해낼 것 같던 PKI 업체들은 하나둘씩 문을 닫기 시작하고 지금은 한 두개가 그나마 금융 SI를 하면서 명맥을 유지하고 있다. 꿈 같았던 해외 진출과 사업 확장은 물거품이 되버렸다.

바이러스 같은 백신들
PKI 업체들은 그렇다치고  PC 보안 업체들은 또 무슨 일인가? ActiveX로 인한 바이러스나 웜 등이 창궐하던 2000년대 중반 KISA를 비롯한 정부 기관 및 금융권에서 ActiveX가 문제라는 점을 깨닫고 바로 시정을 해서 다른 기술적 규격을 제시해야 했었다.

그리고 국민들에게는 현재 열려진 보안 구멍을 막기 위해 관리자(Administrator)가 아닌 일반 사용자(Users)로 로그인 하도록 하는 등 충분한 홍보를 했어야 했다. 이게 바로 자신들로 인해 ActiveX로 길들어져 보안 경고창에 “예”를  꺼리낌 없이 누르는 교육을 받은 인터넷 사용자를 위한 서비스 아닌가?

하지만, PC 보안 업체들은 자신들의 제품을 팔기 위해서라면 사용자 PC가 더러워지든 공격 당할 소지가 많든 키보드 해킹 방지, 개인 방화벽, 바이러스 백신 등을 ActiveX로 아무런 가책없이 끼워팔기를 하기 시작한다.  처음에야 작은 업체들이 그렇다치자. 지금은 안랩도 하고 있는 일 아닌가?

XP, 비스타를 거쳐 자신들의 운영체제의 문제점을 파악하고 보안 강도를 점점 높여온 마이크로소프트로서는 어떻게든 과거의 레거시를 유지할 방법을 해킹 수준으로 찾아내는 이들이 정말 보안 업체인지 크래커인지 모를 일이다.

최근 이들 보안 업체들 중 어떤 곳은 ‘갑’의 요청에 따라 리눅스용 키보드 해킹 방지 프로그램도 만들고, 맥에서도 만들려고 한단다. “root”로 권한을 올려 리눅스 사용자까지도 공격에 노출되게 할 심산이다.

ActiveX 문제를 풀기 위해 정부-금융권 회의에 나오는 보안 업체들은 한결같이 아무런 철학 없이 시키면 다 해줄께요라고 한다.

PC 보안 업체들 다들 힘들다고 한다. 하나둘씩 문닫는 날이 오게 될 것이다. 바로 PKI 업체들의 전철을 밟게 될 것이다. 그 이유가 무엇인지 아나?

당신들은 온실 속의 화초로 컷기 때문이다. 그게 경쟁력을 갖추지 못한 이유이다.

더 읽어 볼 글들

여러분의 생각

  1. 안랩과 한컴이 비슷한 느낌입니다.

  2. 글 잘 읽었습니다. 🙂 “철학이 없다”는 말 많이 와닿네요. 한국 사회 많은 부분 원리 원칙 없이 앞만 보고 달리는게 아닌가? 하는 생각이듭니다. 세계적인 기업을 꿈 꾼다면 한번 자신을 돌아보며 반성하는 시간이 필요할 것 같습니다.

  3. 안랩의 답변이 동문서답이라고 할 정도인가요? “Active X 방식으로 보안 프로그램을 제공하는 이유가 뭔지를 묻고” 있기 때문에, “금융권 ‘갑’이 주문하는 사양에 맞출 수 밖에 없다”라는게 충분히 답이 되지 않습니까?

    문제를 제기한다면, 안랩이 아니라 오히려 더 악질 nProtect 의 개발사 잉카인터넷(INCA Internet)이나 국내 PKI 시장의 대부분을 장악하고 있는 소프트포럼(Softforum/ XecureWeb의 개발사)을 대상으로 했어야 하지 않나 싶습니다. 왠지 그 중에 제일 만만한 안랩만 짚어서 질의라니, 왜 우리만 갖고 그러냐는 답변이 나올법도 하네요.

    업체들이 철학없이 시키는대로 다 해드릴게요라고 하는게 문제라구요? 되묻고 싶습니다. 어느 ‘을’이 ‘(슈퍼)갑’에게 ‘우리 철학에는 맞지 않으니 요구사항을 바꾸시든가 다른데 알아보십시오’하고 계약건을 내팽개칩니까? 오히려 그런 사례가 있으면 들어보고 싶은데요.

    갑의 지위에 앉아 개념없는 요구사항으로 보안업체를 휘두르는 금융권, 또 그걸 시장원리상 당연한것 아니냐고 말하는 정부의 정책과 제도를 개선하고 고쳐나가는게 우선이지, 보안업체더러 철학도 없냐느니 니들이 그러니까 고생하는거라느니 하는 소리를 하는 저의가 무엇인지 참으로 궁금합니다.

  4. 다른 데도 아니고 하필 안랩에 철학을 물은 이유는 아마 그나마 철학 내지는 영혼 비슷한 건덕지라도 남아 있는 회사는 안랩 정도 뿐일 거라는 생각 때문 아니었을까요? 잉카나 소프트포럼에 저런 질문 던져 봐야 콧방귀나 뀌겠습니까.

  5. 김기창 교수님의 답변을 여기에 답니다.
    http://openweb.or.kr/?p=572#comment-22923
    —–
    은행과 보안업체 간의 관계를 “갑”과 “을”로 설명하고, 보안업체는 은행이 지시하는대로 할 수밖에 없다고 말하는 것은, 저는 동의하기 어렵습니다. 서비스 제공자인 은행은 보안에 관한 전문 지식이 없습니다. 은행이 보안업체에게 돈을 주는 이유는 서비스 설계를 어떻게 하면 보안에 도움이 되는지에 대한 전문적 조력을 받기 위해서 입니다.

    자칭 보안업체들이 지금까지 은행이 하라는 대로 그냥 해 왔다면, 국내에는 제대로 된 “보안업체”는 없었던 셈입니다. 서비스제공자가 보안을 설계하고, 안철수연구소 등의 업체는 은행의 “하청업자”에 불과하다면, 보안업체라는 간판은 내려야 합니다.

    실제로 “갑”(은행)이 “을”에게 요구한 사항은 안전하게, 그리고 효율적으로 서비스를 제공하려면 보안부분에 대한 설계와 서비스 구현을 어떻게 하면 되는지에 대한 솔루션을 구축해 달라는 것입니다.

    이 요구에 대하여 “을”이 지금까지 해온 일은, 보안 프로그램을 플러그인 방식으로 “배포”하도록 설계한 다음, 모든 고객에게 “반드시 예”하라고 지시하는 것이었습니다.

    “을”이 이렇게 하면, “갑”은 두고 두고 고객의 문의 전화와 지원(customer support) 요청에 시달리고(activeX 설치가 안된다는 문의가 은행 전산부 고객지원요청의 대부분입니다), 온 국민은 보안경고창에 무감각하게 되어, 인터넷 이용 중에 아무생각 없이 “예”를 눌러대게 됩니다.

    그 결과는 무엇입니까? 한국 인터넷 전체가 거대한 바이러스 향연장으로 변하게 되고, 전 국민이 안티바이러스 프로그램에 의존할 수 밖에 없습니다. 공무원들이 보안업체에 “매달리게” 되는 상황이 오는 것입니다. 공무원들은 지금 보안 프로그램을 걷어낼 수 없다고 생각하고 있습니다. 바이러스 유포가 심각한 지경에 이르렀다고 보기 때문입니다.

    이러한 “의존성”을 누가 만들어 냈습니까?

    “보안경고창이 나타나면 반드시 ‘예’를 선택하시기 바랍니다”라는 말을 퍼뜨린 자들이 이제 책임을 져야 합니다.

    저의 요구는 간단합니다. “보안경고창이 나타나지 않도록 서비스 구조를 설계하라”는 것입니다. 보안경고창이 뜨도록 만든 다음, 경고창이 나타나면 반드시 “예”를 누르라고 안내하는 것은, 양심과 상식이 있는 보안업체라면 도저히 해서는 안될 짓입니다.

  6. 당신들은 온실 속의 화초로 컷기 때문이다. 그게 경쟁력을 갖추지 못한 이유이다. –> 100% 공감입니다.
    결국 부메랑이 되어 돌아왔군요…

  7. 지나가다... 2009 3월 12 8:16 오전

    글 잘 읽었습니다.

    저도 원론적으로는 포스팅 내용에 동의합니다만, 현실적으로는 동의할 수가 없네요. 아니 동의 못하는 수준을 넘어서 오히려 차니님이 온실속에서 머물러 계신것 같습니다.

    물론 제 개인적인 경험에 국한될 수 밖에 없겠지만, 저는 오히려 Mr.Lee 님의 의견이 더 공감이 갑니다.

    갑의 요구를 거절하는 것이 그리 쉽게 이루어진다고 믿어지지 않습니다. 철학을 내세우다가는 당장 사장 불러오라는 소리나 듣지 않으면 다행이랄까요?

    투입 첫 날 부서장에게 들은 첫 소리가, “뭐 그런 시스템 만드는데 4 달이나 필요한가? 그냥 3달에 끝내. 알았지?” 뭐 이런 식인 상황에서 철학 운운이나 할 수 있을까요? 허나 그 “그런 시스템”은 사용자의 클릭 한 번에 영문과 국문이 완벽히 전환되며, 암호화와 전자서명이 이루어져야 하는 지금 이 포스팅에서 다루고 있는 인증서 툴킷으로 도배가 되어야 하는 그런 시스템입니다. 4 달이 아니라 12 달도 부족하고 실제로도 지금 8 개월째 작업중입니다. 요즘 재취업하기도 힘든데 그런 자리에서 저희는 개발 철학상 어쩌고 저쩌고 했다간 당장짤리기나 하겠죠…

    특정부분에 전자결재 연동을 할 것인지 말것인지를 결정하는데만 무려 6 개월이 걸리는 갑사의 업무협의 구조… 모두들 자신이 책임을 지게 될까봐 메일에 쓰는 단어 하나하나 조사 하나하나를 되세김질 한 이후에야 메일을 전송하는 그런 업무 분위기…

    과연 이런 분위기 속에 웹 표준과 공인인증서의 문제점과 개발 업체의 철학을 내세울 수 있겠습니까? 과연 의심스럽습니다.

    다시 한 번 말씀드리지만, 원론적으로는 저도 차니님의 의견에 동의합니다. 그리고 이러한 노력과 계몽(?)적인 시도들이 끊임없이 이루어져야 한다고 믿기도 하고요.

    그러나, 현실의 벽은 제겐 너무나도 높게만 느껴집니다.

    잡설이 길었지만 결론은 이겁니다.

    “공인인증서를 사용하지 않고, 웹 표준도 지키며, 가격을 떨어뜨리면서 개발 기간도 단축되는 대안을 좀 알려주십시요.”

    그러면, 누가 뭐라고 해도 저부터 그 대안을 사용하겠습니다. 아니면 최소한 동급의 기간과 비용으로 사용할 수 있는 대안이라도 말입니다.

    ActiveX 말고 exe 설치파일로 대체하라는 의견은 바로 그 “갑” 사에서 인정하지 않으니 그 대안은 말씀안하셔도 됩니다.

    여기서 그 “갑” 사는 MB 가카와도 무관하지 않은 회사며, 그래서 그런지 정말 스타일도 비슷하더군요. 그, “갑” 사의 의사결정권자가 인정을 안합니다.

  8. 음.. 뭐랄까..계속 보안업체가 지금처럼 해 나간다면, 아마 몇년 후에는 국내 보안업체는 정말 씨가 마르게 될겁니다.

    제가 보기엔 이미 문제는 생겼고, 이 포스팅은 그 문제를 지적하고 해결을 촉구하고 있는 것이라고 생각되네요.

    ‘갑의 요구 때문에 어쩔수 없다’ 라는 변명은 본문에도, 오픈웹 홈페이지의 글에도 이미 지적되어 있구요..^^

    어쩔수 없다. 라면서 이대로 가다가 망하기 보다는, 차근히 대안을 생각하는게 더 낫지 않을까 합니다…^^

    그래서 오픈웹 프로젝트가 있는거 아닐까요..^^

  9. 저도 오픈웹을 지지합니다. 특정 웹브라우저에 치중되는 것은 분명 문제이니까요?
    하지만, 샤니님이나, 김기창 교수님이나 오픈웹 오픈웹 외치면서 뭔가 헛다리를 짚고 있는 듯 합니다.
    ActiveX는 IE의 Plugin일 뿐입니다. 한때 IE가 국내 웹브라우저 점유율이 98%이상(지금은 낮아졌지만)되었기 때문에 ActiveX가 이슈가 되고 문제가 되고 있는 겁니다.
    그렇다면 파폭이나 사파리에서 쓰이는 Plugin으로 만들면 안전할까요? 절대 안전하지 않습니다.
    즉, 오픈웹이라고 구호를 외치려면 ActiveX를 왜 고집하느냐가 문제가 아니라, 다양한 웹브라우저와 OS를 지원하지 않은 이유가 무엇인지가 질문에 초점이 되어야 하지 않을까요?

  10. 국내 IE사용율이 낮아졌다고요? 국내는 IE사용율이 낮아질수가없는 구조입니다.. IE아니면 정상적인 웹서핑도 힘들고 뱅킹,결제는 불가능합니다..
    2009년 2월까진 아직도 IE는 98.65%를 자랑하고있습니다.. 한국내 절대 무적..
    ActiveX를 고집하는 이유라면 다른해결책 만드는게 귀찮고 돈쓰기 싫어서겠죠.. 자신들 입장에선 지금도 잘돌아가니까요.. 다른 이유를 찾는게 더 이상할듯..

  11. 해결법은 의외루 간단합니다.
    그분께서 한마디만 해주시면…..
    당장 내일이라도 모든 정책 법규가 바뀔수 있습니다…

  12. 댓글에서도 토론이 많네요 ^^
    역시 민감한 문제인 것 같습니다.

    개인적으로는… 인터넷 뱅킹 등에서 ActiveX 등 안 썼으면 좋겠는데요…
    아무래도 모두가 바뀌어야 할 것 같습니다. (딱히 보안업체만의 잘못은 아닐 것 같아요. 하지만 웬지 보안업체가 좀 쉬운 길을 택하지 않았나 하는 생각은 많이 합니다.)
    IE와 ActiveX에 종속적인 부분은 이제는 정말 바뀌어야 할 것 같아요.

  13. 컴퓨터·IT·게임 관련해서 포탈검색해서 사전인데요… http://x-dic.com

  14. opensource-sf 2009 3월 13 5:34 오전

    블로터닷넷이랑,
    http://news.naver.com/main/read.nhn?mode=LSD&oid=293&aid=0000002563
    ,
    디지털데일리,
    http://news.naver.com/main/read.nhn?mode=LSD&oid=138&aid=0001951260
    에 뜨셨네요.
    .
    액티브-x는,
    정부 사이트랑, 은행, 쇼핑몰 등이,
    주축이죠.
    .
    1.정부 사이트부터 바꾸면, 은행도 점차적으로 바뀌겠죠.
    .
    Mac, 리눅스에서도,
    정부 사이트랑, 전자거래할 수 있는 날이 오려면,
    좀 더 기다려야겠죠.
    .
    2.금감원이던가, 금융위던가,
    공인인증서 관련 문제부터 해결하셔야 할 듯.
    http://news.naver.com/main/read.nhn?mode=LSD&oid=030&aid=0000195649
    .
    프로그램의 문제가 아니라,
    정책 상의 문제겠죠.
    .
    3.학교 컴퓨터부터, 리눅스랑 맥으로 바꿔야죠.
    .
    대다수의 국민들은,
    ms 윈도우 밖에 쓸 줄 모릅니다.

  15. opensource-sf 2009 3월 13 5:35 오전

    그리고, 우리나라,
    보이스피싱에, 각 나라 범죄 조직으로,
    유출된 자산이,
    수십조인데도,
    고작 atm에 페이지문구 하나 넣고 말다니요.
    .
    게다가, 범죄 조직은,
    온갖 기관(검찰,경찰,우체국 등) 사칭하고 당기구요.
    ,
    개인정보는 어떻게 알았는지,
    전화해서, 부녀자,노약자들 돈을 훔쳐가다니요.
    .
    정치인부터, 사기꾼까지,
    나라는 땅이나 파고, 쩝.

  16. opensource-sf 2009 3월 13 5:49 오전

    웬만한,
    정부 사이트나, 쇼핑몰 등은,
    결제든,인증이든,
    액티브x를 요구하지요.

  17. 그외에도 정말 바이러스 같이 쓰레기 백신들은 검사하고 결제를 하라니 하면서 귀찮게 굴죠.. 그 덕분에 백신이라 하면 먼저 “그 쓰레기, 돈 내라고 하는거?”라면서 하는 사람들도 있고..그래서 무료 백신이라 해도 그 바이러스 잘 잡지도 못하는 프로그램이라 생각하니까 백신을 꺼려하는 경향이 있더라구요..

    그래서 보안 의식이 바뀌지 않는 한.. 힘들겠죠

  18. 오픈웹이라면 남을 비방하기 보다는 다 같이 어떻게 하면 잘 할 수 있을까를 고민해야 하지 않을까요?

    위 문제의 잘잘못을 짚고 가려면 왜 저렇게 적용되었는지 실제 업체 간에 계약을 맺을 때 어떻게 하는지 옆에서 봐야 합니다. 그리고 다음과 같은 맥락에서 살펴봐야 한다고 생각합니다.

    ActiveX Contorl을 사용하게 된 역사.
    그리고 “갑”과 “을”의 관계. 그 관계가 생긴 이유.
    현재 보안 산업에 대한 이해 등이 선행되어야 한다고 생각합니다.
    위와 같은 일은 현업에 종사하시는 분들이 더 잘 대답해 주실꺼라 생각합니다.
    마지막으로 오픈웹에서 해야 할 일은 다음과 같은게 아닐까 합니다.

    “지나가다….” 님이 했던 말
    “공인인증서를 사용하지 않고, 웹 표준도 지키며, 가격을 떨어뜨리면서 개발 기간도 단축되는 대안을 좀 알려주십시요.”

    정확하게 사건 발달에 대해서 짚어 보지 않고, 어느 부분만 집중적으로 분석하고 비방하고 동조하는 것 보다는 좋은 대안을 함께 연구하고, 토론해야 하지 않을까 합니다.

    제 생각에는 먼저 법이 바뀌어야 합니다. 항상 법을 기초로 진행을 하기에 먼저 바꾸어야 다른 일을 진행할 수 있습니다.
    기술 적으로 위에서 말한 대로 실버라이트나 Flex로 보안 제품의 플랫폼을 옮겨야 합니다. 그렇다면 IE 뿐만이 아닌 다른 브라우저도 지원하게 되어 IE에 편중되어 있는 국내 상황을 어느 정도는 바꿀 수 있고, 외국에도 수출을 할 수 있을 것입니다.
    당연히 인터넷 뱅킹도 새로 개편해야 할 테고, 보안 업체에서도 새로 개발하는데 시간이 오래 걸리고, “갑” 쪽에서 빨리 해 달라고 압박을 가할테지만 다 함께 멀리 내다보고 준비해야 한다고 생각합니다.

  19. 애초에 IE가 아니면 서비스를 이용하지 못하게 만들어 놓고서, IE 사용자가 절대 다수이니 다른 브라우저는 지원할 필요성을 못 느낀다고 말하는 정부와 기업들입니다. 어처구니가 없죠. 이제 곧 IE8이 나오면 또 MS에 쪼르르 달려가서 이것좀 되게 해달라고 떼쓰는 모습을 보게될까봐 걱정입니다.

  20. 문제는 떼쓰면 거의 다 해결해 놓는다는거임 M$에서 무시하는일은 거의 없었으니 불안합니다

의견 쓰기

이름* 이메일* 홈페이지(선택)