[웹진ActOn] Trust No One : 인터넷 보안 프로그램

아시는 분은 아시겠지만, 11월에 결혼을 하게 되었습니다. 아무래도 큰 이벤트인만큼 돈 드는 일이 많이 생기는데, 그 중 비중이 큰 신혼여행을 조금이라도 싸게 갔다 오려고 여행사를 통하지 않고 직접 알아보는 중입니다. 그 때문에 요즘 해외 사이트에서 결제할 일이 많이 생겼는데요, 외국의 사이트에서는 일단 파폭에서 결제가 된다는 점이 너무나 편리한 것이었습니다. 하지만 국내 사이트에서 결제하는데 필요한 겹겹히 쌓인 방어막이 없으니 살짝 불안해 지는 것도 사실이더군요.

국내 사이트에서 금융 거래를 하기 위해서는 갖춰야 할 것이 많습니다. 일단 보안 프로그램들을 깔고 실행을 시켜야만 금융 거래가 가능하도록 되어 있는 것이 대부분이죠. 이 보안 프로그램들이라는 것은 거의 (전에 네트워커에서 설명드린 바 있는) ActiveX로 만들어져 있습니다. 윈도우 플랫폼과 IE에서만 동작이 보장되는 ActiveX를 깔아야만 다음 단계를 진행시킬 수가 있기에, 비(非)윈도우 OS나 비IE 브라우저 사용자들은 온라인으로 결제나 인터넷 뱅킹을 하기가 쉽지 않은 환경이지요. (물론 IE탭이나 플러그인 설정을 통해 파이어폭스에서 인터넷 뱅킹을 할 수 있는 방법은 소개된 바가 있습니다만, 비윈도우 플랫폼에선 여전히 ActiveX의 한계를 넘기가 힘듭니다)

그럼 인터넷 뱅킹 등 금융 거래를 하기 위해 필요한 보안 프로그램들은 어떤 일을 하고 있을까요? 저의 주거래은행인 H모 은행의 인터넷 뱅킹 사이트에 한 번 접근해 보겠습니다. 인터넷 뱅킹 페이지로 들어가면 암호화 모듈을 확인한다는 메시지와 함께 현재 필요한 ActiveX가 설치되어 있는지 확인하는 창이 나옵니다. ActiveX가 설치되어 있지 않은 사용자는 이 페이지에서 보안 프로그램 설치를 마치도록 되어 있습니다. 보안 프로그램을 설치하거나 이미 깔려 있는 사용자는 인터넷 뱅킹 로그인 페이지로 이동합니다. 로그인 페이지로 이동했다면 이 시점에선 이미 보안 프로그램이 작동하는 중일 것입니다.


현재 페이지에서 사용하는 ActiveX 컨트롤의 목록을 보면, 꽤 많은 ActiveX가 브라우저에서 실행되고 있음을 알 수 있습니다. 여기서 보안과 연관된 컨트롤은 크게 세 종류로서 각각 I***사와 A***사, S***사에서 제공하는 것입니다. 이들은 서로 다른 영역을 분담하여 담당하고 있습니다. 하나는 HTTP 통신과 인증서 통신 등의 암호화를 담당하고 있으며, 다른 하나는 개인 방화벽을 지원하고 있고, 또 하나는 키보드 해킹을 방지하는 역할을 하고 있죠. 대부분의 보안 솔루션들은 이렇게 각자의 전문화된 영역을 가지고 있기 때문에, 은행 등의 사이트는 필요하다 싶은 보안 솔루션 여러 개를 조합해서 사용하고 있습니다. 덕분에 깔아야 할 프로그램의 수가 많을 수밖에 없는 것이죠.

일단 이 프로그램들은 나름 존재의 이유를 갖추고 있습니다. 데이터 통신을 암호화하는 프로그램은 패킷을 중간에서 가로채는 패킷 스나이핑Packet Sniffing에 대비한 프로그램입니다. 패킷 스나이핑이란 네트워크로 보내고 받는 데이터를 중간에서 가로채는 해킹 방법으로, 네트워크로 나가는 중요한 개인 정보 등이 이를 통해 노출될 수 있습니다. 이 데이터를 암호화하여 누군가 가로채더라도 쉽게 내용을 알아볼 수 없도록 하는 것이 데이터 통신 암호화 프로그램이죠.

키보드 보안 프로그램은 키로거(Key Logger)를 막기 위한 프로그램입니다. 키로거란 키보드로 입력한 내용을 다른 어딘가에 저장하거나 전송하여 다른 사람이 볼 수 있도록 하는 일종의 해킹툴입니다. 키보드로 입력하는 아이디, 비밀번호 등의 개인정보를 보호한다는 측면에서 이 프로그램은 꽤 중요한 역할을 담당하지만, 키로거 같은 백도어(Backdoor)가 깔린 상황이라면 이미 그 컴퓨터는 심각하게 크랙되어 있는 상황이기에, 어떻게 보면 키보드 보안 프로그램 하나만으론 역부족인 단계가 아닐까...라는 생각이 듭니다.

각 보안 프로그램의 유용성은 분명 인정할 만한 부분이 있습니다. 하지만 이런 식으로 여러 프로그램이 복잡하게 얽혀 보안 체계를 구축하는 체계는 여러 문제점을 야기합니다. 일단 모든 보안 프로그램을 깔지 않으면 금융 거래를 할 수 없기 때문에 사용자의 선택의 여지를 제한하고 있습니다. 예를 들면 키보드 보안 프로그램은 사용자가 정상적으로 사용하는 다른 프로그램들의 키입력과 충돌하여 여러가지 귀찮은 문제를 야기하는 경우가 많습니다. 키를 눌렀는데 입력이 안된다던지 한 번 누른 키가 여러 번 입력 된다던지 하는 문제는 비교적 빈번하게 발생하는 부작용이죠. 하지만 인터넷 뱅킹 등을 하려면 선택의 여지가 없기 때문에 불편함을 감수하고서라도 반드시 이 프로그램을 깔아야만 합니다.

또한 모든 보안 프로그램이 다양한 플랫폼을 지원하지 못하기 때문에, 사용자의 시스템 환경을 모든 보안 프로그램이 지원하는 플랫폼의 최소공배수로 맞춰야 하는 문제도 있습니다. 어떤 똑똑한 보안 프로그램이 맥과 리눅스를 지원한다고 하더라도 다른 보안 프로그램들이 맞춰주지 못한다면, 인터넷 뱅킹 사이트에 접근하려면 어쩔 수 없이 윈도우 플랫폼에서 사용할 수 밖에 없는 것이죠.

그리고 보안 프로그램을 사용한다는 것은 본래의 목적인 인터넷 통신 이외의 부가적인 작업을 한다는 의미입니다. 이 작업이 결코 만만한 것이 아닐 뿐더러 시스템 리소스도 꽤 많이 사용하기 때문에 결과적으로 시스템 성능을 저하시키는 경우가 종종 있습니다. 인터넷 뱅킹을 하다 보면 컴퓨터가 느려진다는 느낌을 받는 경우가 많을텐데요, 물론 사이트 자체가 플래시 덩어리라서 느린 것도 있겠지만, 보안 프로그램도 여기에 한 몫 한다는 점을 부인할 수 없겠습니다.

물론 인터넷 금융 거래에서 보안은 이런 프로그램들만으로 이루어지지는 않으며, 오히려 이런 프로그램은 보안카드, 공인인증서 등의 온/오프라인의 보안 시스템을 보완해 주는 역할과 함께 사용자에게 "당신은 보호받고 있습니다"라는 심리적인 안정감을 주는 역할을 한다고 보입니다. 이런 2중 3중의 자물쇠를 채운다 하더라도 스스로가 개인 정보 보호와 보안에 소홀히 하거나 이를 관리하는 주체가 허술하게 한다면 언제든지 파고들 여지가 생기기 마련입니다. 기업이나 공공기관에서 빈번하게 발생하는 개인 정보 누출 사고를 보면, 결국 개인 정보는 스스로 지켜야 하고 가장 좋은 것은 최소한의 개인 정보만을 제공하는 것이 아닐까하는 생각입니다.

왠지 엑스파일에 나오는 "Trust No One"이라는 말이 생각나는군요. :)



출처: 웹진ActOn
덧붙이는 말

레니 : 진보네트워크센터 기술국 자원활동가. http://blog.jinbo.net/renegade/

태그

보안 , ActiveX , 보안프로그램 , 인터넷뱅킹

로그인하시면 태그를 입력하실 수 있습니다.
레니의 다른 기사
관련기사
  • 관련기사가 없습니다.
많이본기사

의견 쓰기

덧글 목록