액티브X 남용과 사회적 비용 (2) – 브라질 사례

지난 액티브X 남용과 사회적 비용(1)에서는 전 세계 경향과 비교해 국내 PC 보안 환경의 상황과 그것이 다른 이유에 대해 살펴 보았다.

각국의 지역적 상황이 많이 다르겠지만, 통계로만 본다면 우리와 매우 비슷한 상황이라 할 수 있는 ‘브라질’에 대해 알아 보고자 한다.

브라질은 총 인구 1억 8천만명에 인터넷 사용자수 6천 7백만명이지만 초고속 인터넷 가입자 수는 천만명 안팎으로 네트웍 인프라가 열악하다. 물론 직장이나 인터넷 카페(LAN 센터) 등을 합치면 우리 보다 훨씬 웃돌 것이다.

우리가 비슷한 점 중에 하나가 인터넷 뱅킹 서비스가 매우 활성화 되어 있다는 점이다.

2008년에 4천만명의 인터넷 사용자 중 2천 5백만명이 이를 사용하고 있고, 90%가 비창구 온라인 혹은 ATM 거래라고 한다. 따라서,이를 이용한 세계 최고의 인터넷 뱅킹 악성 코드 공격 (영문 분석글)이 이루어지는 국가이다.

세계 최대 인터넷 뱅킹 공격 국가
브라질은 빈부의 격차가 심해서 가난한 청년들이 컴퓨터 기술을 익히고 러시아에서 악성 코드를 구매해와서 유포하고 이를 통해 금전적 이득을 얻는다고 한다.  이들 악성 코드는 우선 오컷(Orkut) 같은 곳에서 개인 정보와 암호를 절취하고 이를 은행에 이용하는 형식으로 이루어진다.

그 이유는 브라질의 인터넷 뱅킹 보안은 두 가지 암호를 병행 하고, 이를 가상 키보드로 입력하는 것이 대부분이기 때문이다. 로그인시 암호와 이체 시 서명 암호이다. 최근 들어 별도 보안 카드를 발급하기도 하고, 인증서 토큰을 제공 하는 은행도 있다고 한다. 사실상 우리 나라에서 보기에는 엄청난 피해가 날 것처럼 보이는 시스템이다.

그런데, 이런 최악의 상황에서도 브라질의 인터넷 뱅킹은 꿋꿋히 진행 되고 있다는 점이다. 2008년 RSA 컨퍼런스에서 브라질 대표 은행인 Banco Do Brasil은 사례 발표를 했는데, 발표의 핵심은 간편한 사용자 경험을 제공하면서도 보안을 지키는 방법은 바로 “사용자를 끊임없이 교육”시키는 것이다.

각종 보안 위협에도 꿋꿋히 간편한 서비스를 지향 하면서 범국가적으로 해킹 방법을 끊임 없이 고지하고 사용자를 교육 시킴과 아울러 정부 당국이 악성 코드 유포자를 체계적으로 막는 길을 병행하고 있다. 사용자를 각종 기술적 방법에 매이게 하기 보다는 전반적인 의식에 대한 상향 평준화와 중요하다는 점을 보여 준다.

플러그인 방식 보안 찬반양론 뜨거워
금융 거래에 공격 성공이 쉽다 보니 암호 탈취를 악성 코드 공격으로 인한 사용자 PC 보안은 위협받고 있다. 이를 해결하고자 은행권에서는 악성 코드를 탐지하는 플러그인 프로그램을 고객들에게 제공하고 있다.

2002년 부터 인터넷 뱅킹 앞단에 액티브X 혹은 파이어폭스 플러그인으로 설치하는 G-Buster라고 부르는 이 프로그램은 우리 나라 은행들이 하는 보안 프로그램 방식과 유사해 커널 기반에서 악성코드를 차단하는 역할을 한다.

이에 대한 효용성에 대한 찬반 양론이 아주 뜨겁다. 악성 코드와 안티바이러스가 같은 수준에서 설치 될 수 있으니, 실제로 뱅킹용 악성 코드(banker1,2)가 G-Buster를 무력화 시키는 anti-rootkit 공격을 한다.

브라질이 웜 바이러스와 개인 정보 및 암호 절취, 바이러스 등의 감염 비율에서 우리 나라와 거의 비슷한 통계를 보이는 것도 이런 이유이지 않을까 조심스럽게 추측해 본다. 앞글에서 언급한 대로 대다수 국민들이 쓰는 공공 서비스에서 액티브X 콘트롤의 남용은 결국 사용자 PC의 보안 수준을 크게 낮추는 영향을 끼칠 것으로 예상되기 때문이다. 아마도 이 때문에 브라질의 윈도우 XP 비율이 서구 유럽 국가와 비교해 상대적으로 높지 않을까.

스마트카드 방식 공인 인증 채택
엄청난 공격에도 불구하고 브라질은 편의성과 보안성의 절묘한 조화를 위해 최대한 노력하고 있고, 이를 은행, 보안 업체, 국가가
모두 노력하고 있다.

브라질의 또 다른 선택은 바로 우리 나라와 같은 국가 공인 인증 체계를 도입하는 것이다. 브라질 NPKI 사업은 2007년 부터 시작되어 현재 전자정부 및 민원 서비스에 광범위하게 제공되고 있다. (아직 은행권에는 사용되고 있지 않지만 앞으로 사용될 가능성이 있다.)

그런데, 우리 나라와 큰 차이점은 바로 표준 SSL 기반 서버 인증서 및 개인용 스마트 카드 기반 공인 인증서만을 발급한다는 것이다. (현재 우리 나라 공인 인증기관들도 SSL 서버 인증서 발급 및 HSM과 스마트카드 방식이 필요하다고 인지하고 있다.)

파이어폭스에서 루트 인증서 탑재 작업이 더디게 이루어 지고 있어 사용자 불편이 가중되고 있으나, 웹 브라우저에 플러그인을 덕지덕지 바르는 게 아니라 오프라인과 온라인이 연계된 이중 보안 시스템을 제공하여, 부인 방지 기술인 전자 서명에 얽매이고 있지 않고도 유사한 효과를 거두고 있다. 실제로 은행에서도 두번째 암호를 서명용이라고 부르고 있다.

편의성과 보안 의식 함께 올려야
브라질 인터넷 뱅킹과 보안 상황에서 우리가 얻을 수 있는 시사점은 우선 사용자 편의성을 중시한다는 점이다.

200년이 넘은 브라질 은행들에 비해 사실상 1998년 IMF를 통해 이제 갓 서비스 마인드를 가지게 된 국내 은행과 비교하기는 어려울 것이다. (공인 인증이란게 사실상 국가 계획하에 만들어졌고, 우리 나라 금융 시스템이 관 주도이었다 보니 사고 책임 회피를 사용자의 불편함에 모두 지우는 현실은 새삼스럽지 않다.)

플러그인 기반 보안 프로그램이 금융 거래에 대한 보안을 크게 올리고 진입 장벽이 되는 것은 사실이지만, 브라질의 경우 처럼 안티루트킷에 의해 쉽게 무력화 된다는 점도 시사점이 크다. (우리 나라가 해킹 공격을 안 받는 큰 원인 중 하나가 한국어라는 말이 있을 정도이고, 지금은 해킹이 온라인 게임 정보 탈취나 스팸 메일 발송이 ROI가 높지만, 언제든지 금융권 공격 시도 가능성은 상존하고 있다.)

공인 인증의 경우, 국가 차원에서 인프라를 이끌고 가고 있다는 점도 그렇다. 2006년 부터 OTP시장 활성화를 위해 금융보안연구원에서 OTP 통합 인증센터를 만들고, 은행과 OTP 업체들이 엄청난 투자를 했지만 현재 고사 직전에 있다.

1억원 이상 이체 고객에게만 OTP가 의무화 되어 있어서 보안성이 높지만 필요성이 없는 이유이다. HSM 방식 인증서 이용이나 OTP 같은 보안 산업도 활성화 되려면, PC 기반 공인 인증에 묶여 있는 현재 상황에서 다변화를 이끌 국가 차원의 유연성이 필요하다.

우리 나라 2009년 국가 정보 보호 실태를 보면 개인 사용자 백신 보급률이 95.7%, 윈도우즈 업데이트 같은 패치 보급률이 86.8%, 공인 인증서 보급률은 59.9%에 달한다.

이런데도 늘 우리 나라가 악성 코드 감염 오명국이 되는 이유는 무엇일까? 결국 사용자의 전반적 보안 의식을 올려야 하는데 지난 글에서도 언급한대로 운영 체제 자체에서 공격을 방어할 수 있도록 PC를 제한적으로 사용하는 분위기가 만들어져야 한다.

보안에 취약한 공용 PC 부터 사용자 PC 권한을 낮추고 그래도 편하게 이용할 수 있는 서비스가 제공되어야 한다. 가정에서도 부모들이 아이들의 PC 사용 권한을 제어할 수 있도록 편의성이 제공되어야 한다. 이러한 편의성은 꼭 PC를 관리자 권한이 아니어도 사용할 수 있도록 해 주는 것을 말한다.

과거에 포털 접속시 액티브X 기반 백신 프로그램을 의무적으로 설치하도록 하는 망측한 계획을 했던 KISA에서 최근 전 국민에게 백신을 무료(?)로 배포할 준비를 하고 있다고 한다. 좋은 계획이다. 이 계획과 더불어 백신을 설치한 후, 웬만한 악성 코드나 취약점에서 안전한 사용자 권한을 가지고 이용할 수 있도록 서비스상 편의성 계도도 함께 해 주면 좋겠다.

다음 액티브X 남용과 사회적 비용 (3)에서는 국내 보안 상황과 편의성을 함께 취할 수 있는 연착륙 로드맵에 대한 생각을 정리해 보고자 한다.

- Channy Yun (윤석찬);

※ Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. 본 채널은 광고를 비롯 어떠한 수익도 창출하지 않습니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on checking facts for your investments and prohibit your citations as commercial content or news sources. This channel does not monetize via any advertising.)