해킹 차단은커녕 공격 통로로
국정원, 6개 프로그램 긴급 패치
은행과 공공기관에 접속할 때 필수적으로 설치해야 하는 ‘이니세이프’에 이어 ‘베스트서트’ 등 6개 프로그램에서도 보안상 허점이 확인됐다. 이니세이프는 북한 해커가 국내외 기관 60여 곳을 공격할 때 활용한 프로그램이다. 사용자가 의무적으로 내려받아야 하는 보안 프로그램이 해킹 통로가 됐다는 우려의 목소리가 나온다.
국가정보원은 5일 경기 성남시 사이버안보협력센터에서 과학기술정보통신부, 한국인터넷진흥원(KISA) 등과 긴급회의를 열었다.
이니세이프 보안 문제를 확인하는 과정에서 인증서 관리 프로그램 베스트서트의 보안 취약점을 발견했기 때문이다. KISA 등은 이 밖에 △터치엔키(키보드 보안) △케이에스서트(인증서 복사) △아이피인사이드(IP 추적) △베라포트(패키지 관리) △AOS(방화벽)에 대한 긴급 패치 작업도 했다.
업계에서는 “올 것이 왔다”는 반응이 나온다. 보안 프로그램을 내려받는 전통적인 방식으로는 첨단화하는 해킹 공격을 막을 수 없다는 지적이다. 정부는 2020년 공인인증서 제도를 폐지했지만, 보안 프로그램과 민간인증서 제도는 계속 유지하고 있다. 금융회사와 공공기관의 암묵적인 요청 때문이다. 정부 지침만 준수하면 해킹 등 보안 사고가 발생해도 책임을 보안업체에 미룰 수 있다. 문제는 외주 보안업체의 기술 수준이다. 소프트웨어 단가를 낮추기 위해 수십 년 된 프로그램을 땜질하는 사례가 비일비재해 첨단화한 해킹 수법에 속수무책으로 뚫리고 있다.
KISA 등에 보안 프로그램의 허점을 제보한 광고 차단 프로그램 ‘애드블록’ 개발자 블라디미르 팔란트는 “한국의 보안 시스템이 막다른 골목(dead end)에 다다랐다”고 지적했다. 보안업계에서는 미국 등 주요국처럼 기업과 기관이 자체적으로 보안 문제를 책임지게 해야 한다는 목소리가 나온다.
은행은 싼값에 책임 떠넘기고…보안업체는 프로그램 땜질만 반복
국가정보원과 한국인터넷진흥원(KISA)이 보안 취약점을 확인한 ‘베스트서트’는 은행에 접속할 때 사용하는 인증서 프로그램이다. 설치가 끝나면 윈도 시작 프로그램에 등록된다. 인터넷 뱅킹을 마쳐도 시스템에 남아 메모리를 차지한다. 북한 해킹그룹 ‘라자루스’는 이런 특성을 지닌 프로그램을 활용해 사용자 몰래 PC에 ‘뒷문 악성코드’를 설치하고 있다.
5일 업계에 따르면 사용자의 컴퓨터로 내려받는 방식의 보안 프로그램이 처음 등장한 것은 10여 년 전이다. 2005년 5월 외환은행 고객 중 한 명의 계좌에서 5000만원이 사라진 것이 시작이었다. PC에 심은 악성코드가 키보드로 입력된 인터넷 뱅킹 아이디와 비밀번호를 해커에게 몰래 전송했다. 이후 2007년 외환은행 800만원·국민은행 1700만원, 2008년 국민은행 3700만원 해킹 사건이 이어졌다.
은행은 약관을 근거로 해커가 입력한 아이디와 비밀번호가 은행에 신고된 것과 같다는 이유로 과실이 없다고 주장했다. 정부는 2010년 공인인증서 제도를 도입하고 사용자 PC에 보안 프로그램 설치를 의무화하는 대책을 내놨다. 은행과 공공기관은 사용자가 PC에 보안 프로그램 설치 절차를 다하도록 안내하면 책임을 면할 수 있게 했다.
인증서와 보안 프로그램을 조합한 체제가 10년 넘게 이어지면서 곳곳에서 허점이 드러나기 시작했다. 독일 보안 개발자 블라디미르 팔란트는 최근 70문장 정도의 짧은 코드만으로 키보드 보안프로그램 ‘터치엔키’ 비밀번호를 가로챌 수 있다고 KISA에 제보했다. 팔란트는 세계 1위 광고차단 프로그램 애드블록 개발자다.
패치를 해도 은행에서 업데이트를 서두르지 않는 구조적 문제도 있다. 한국씨티은행은 지난 1월까지 2015년 버전의 보안 프로그램을 홈페이지를 통해 배포했다.
보안 프로그램 관리를 위한 프로그램 ‘베라포트’가 더해졌지만, 이 역시 해커들의 공격 수단이 됐다. 공공 와이파이 환경에서 베라포트를 속이는 코드가 설치되면 은행 홈페이지가 아닌 곳으로 이어지며 보안 프로그램 패치로 위장한 악성코드가 설치된다.
업계에서는 국내 금융회사와 공공기관의 보안을 맡는 업체들이 보안 신기술을 개발할 만한 역량이 없다고 설명한다. 최근 북한 해커에게 공격당한 보안 프로그램 ‘이니세이프’를 관리하는 이니텍은 지난해 매출 538억원에 25억원의 영업적자를 기록했다. 터치엔키 개발사 라온시큐어, 베라포트를 관리하는 위즈베라도 간신히 적자를 면한 수준이다. 이 두 회사의 지난해 영업이익은 각각 43억원과 21억원에 그쳤다. 이들 기업 중 상당수는 보안 취약점을 신고하는 센터조차 운영하지 않고 있다.
전문가들은 사이버 보안 체계를 근본적으로 바꾸고 보안 투자를 늘려야 한다고 입을 모으고 있다. 국정원 사이버안보협력센터에 참여하는 한 보안 전문가는 “매년 수조원의 영업이익을 내는 은행 등이 보안 역량 강화에 투자하도록 유도해 사이버 보안산업을 키워야 한다”고 지적했다.
한국경제
김진원 기자 jin1@hankyung.com
첫댓글 챗GPT도 해킹 위험이 높다고 하던데...보안이 생명이네요.
주먹구구식 처방은 더 큰 문제를 야기합니다.