빗나간 공인인증서 논란 -상

지디넷 컬럼 입니다. 문맥들은 일부 수정 될 수 있습니다.

하나의 컬럼으로 썼는데 기술적인 내용들이 들어가다 보니 내용이 좀 길어 졌습니다.

두편 정도로 게재 될 예정입니다.

 

 

현재의 공인인증서 논란이 근본적인 환경 변화에 대한 고려가 없이 졸속 진행 되고 방향성을 못잡는듯 하여 심히 우려 스럽습니다.

앞으로도 이런 방식이라면 정말 근본적인 체계가 흔들릴 수도 있다고 봅니다.

 

누가 전문가이고 누가 현실을 아는지 헷갈릴때가 있습니다.

자신만이 보는 것이 전부인 것으로 아는 것이 가장 큰 문제를 일으킵니다.

이제 피해는 모두가 보게 되겠죠. 두편다 작성은 하였으나 컬럼 게재 시기에 맞추어 하편을 올리도록 하겠습니다.

여기에는 컬럼에 정제된 것이 아닌 제가 쓴 원본을 게재 합니다.

 

그럼

 

-------------

 

빗나간 공인인증서 논란 –  바다란 2010.3.31

 

 

스마트폰이 대중화의 길을 걸으며 사용자가 급증하고 있는 현실에서 많은 서비스 분야들은 체질적인 변화를 맞이 할 수 밖에 없는 상황에 직면했다. 그 과정에서 오랜 시간 동안 논쟁의 중심에 있었던 운영체제 편향적인 부분과 ActiveX에 대한 활용, 웹에 대한 접근성, 공인인증 서비스 체계에 대해 다양한 이슈들이 직접 나타나고 있다.

 

개인적으로는 특정 OS에 편향되고 종속된 기술을 계속 유지 하는 것은 바람 직하지 않다고 생각한다. 접근성 확대 의견에 대해서도 상당부분 동의한다. 단 기본적인 상황인식과 전제는 반드시 필요하다.  상황의 악화에 대해 책임을 질 수 없을 바에야 현실에 대한 분명한 인식이 되어야 함은 당연하다. 그러나 지금의 공인인증서 논란은 많이 벗어나 있다.

 

상황인식에는 접근성을 해치는 시스템과 체계들이 왜 출현 하게 되었으며 어떤 필요에 의해서 도입이 될 수밖에 없었는지에 대해서 인식하는 것이 가장 먼저이다. 현재 어떤 문제들이 있는가에 대해서 명확한 인식이 있은 후에 문제를 보완 할 수 있는 대안을 제시해야만 한다. 그러나 현재는 명분에 앞서서 정확한 현실의 인식에는 많은 문제가 있는 것으로 보인다.

 

필자가 보는 관점에서는 현재의 ActiveX로 설치되는 보안도구와 공인인증서의 역할은 지금껏 대형 금융사고의 발발을 막을 수 있었던 하나의 보조적이고 유효한 수단 이였다고 할 수 있다. 지금껏 국내에서 발생된 인터넷 뱅킹 및 금융관련 사고로 발생된 피해 금액은 해외와 비교하기가 어려운 수준이다. 또한 인터넷 뱅킹 및 금융거래 모델과 활용 방법에 있어서도 해외와는 큰 차이를 보이는데 해외의 금융거래 모델을 기준으로 평가를 한다는 것조차 말이 되지 않는다.

 

일일 인터넷 뱅킹 거래 금액은 29조원이고 상거래에 이용되는 금액은 5조원 남짓이라고 한다. 엄청난 규모라고 할 수 있다. 그렇다면 실 거래 금액 대비하여 지금까지의 금융사고가 발생되어 피해가 발생된 규모는 얼마나 될까?  사용자의 부주의에 의한 것을 포함하더라도 직접적인 침해로 인해 발생된 사고 비율은 상당히 낮은 비율을 유지하고 있다. 이 것은 분명한 사실이다.

 

금융보안 연구원에서 작성한 ‘해외 인터넷뱅킹 보안현황 조사 보고서’를 필자도 읽어 보았다. 그러나 중요한 기반 설명들이 빠졌음은 지적하고 싶다. 각 국가별 현황에서 한국에서의 보안 강도와도 같은 레벨을 가지고 있는 국가는 중국을 꼽을 수 있다. 다른 국가들은 상당히 가벼운 모델을 가지고 인터넷 뱅킹을 운영하고 있는 것을 볼 수 있다.

 

그러나 활용도는 어떻게 될까? 각 국가별 활용도를 살펴 보고 위험레벨을 살펴 보는 자료들을 넣었다면 보다 신뢰 받을 수 있는 자료가 되었을 것이라고 생각한다.  해외의 인터넷 뱅킹은 제약이 많으며 실시간으로 금전거래가 일어나기에는 상당히 많은 제약들이 존재한다.  정체 불명의 타인에게 직접적인 금전 이체가 가능한 국가는 많지 않다. 또한 금전 이체를 떠나서 은행의 계좌를 이용해 쇼핑몰에서 물건을 구매하는 것조차도 불가능하다. 해외는 대부분 신용카드를 이용한 거래를 사용한다. 따라서 신용카드에 대한 부정 사용을 감시하기 위한 Fraud 판별 시스템은 상당히 발전되어 있음을 알 수 있다.

 

중국과 한국의 인터넷 환경은 해외의 환경보다 더 직접적인 위험에 노출이 되어 있다. 온라인 주식거래 및 상거래가 일반적이고 온라인 계좌이체가 자유롭다.  이 상황에서 공격자들의 목표는 금융분야가 되는 것은 당연하다. 경제활동 인구 대부분의 주민번호와 거주 정보, 신상정보들도 유출되어 거래가 되고 있는 것이 현실이며 다양한 악성코드들과 백도어로부터의 직접적인 침입을 받고 있는 현실에서 금융거래를 보호하기 위한 다양한 도구들은 필요악이 될 수 밖에 없다. 금융거래에 있어서 가장 최우선은 안전성이다. 편리성은 뒤로 밀릴 수 밖에 없다. 편리하게 사용 하는 정도만큼 공격자들의 공격 편리성도 높아진다. 당연한 진리이다.

 

 

정책 당국을 옹호하고 싶은 생각은 없지만 지금까지 유지해온 보호 정책과 기본적인 보안 모델은 현재 안정적인 상태를 유지하고 있다고 본다. 다만 새로운 시대 변화에 따라 다양한 가능성을 열고 보안성을 유지한 상태에서 여러 위험들로부터 보호할 수 있는 방안을 만들고 접근 할 수 있는 접근성을 확대 시켰다면 지금과 같은 논란은 발생 하지도 않았을 것이다. 또한 현재 조사되거나 분석된 위험들에 대해 정확한 사실들을 알리고 협조를 당부 하였다면 보다 무리 없고 발전적인 방향의 논의가 가능했을 것이다.

 

접근성 확대의 가장 큰 장애물로 ActiveX를 예로 든다. 특정 브라우저에 한정된 설치 도구를 통해 타 OS 및 여러 브라우저에서 접근을 못한다는 점이 가장 큰 이슈이며 그 이후로는 더 나아가 보안 도구들의 무용론과 기능적인 결함까지도 언급을 하고 있다.  이제는 필자가 보기에 그나마 전자상거래라고 할 수 있는 환경을 유지 할 수 있게 해준 공인인증서 마저 족쇄를 풀고자 한다. 문제에 대한 심각한 고려 없이 단편적인 생각만으로 논의를 하고 있다는 생각을 지울 수가 없다.  (본 의견은 2007년에 작성한 Vista와 ActiveX 관련 글에서도 동일한 언급을 하였다. )

http://blog.naver.com/p4ssion/50013835648  - Vista와 ActiveX 그리고 보안-1

http://blog.naver.com/p4ssion/50013870250  - Vista와 ActiveX 그리고 보안 -2

http://blog.naver.com/p4ssion/50016331817  - Online Game의 Vista이슈와 보안이슈 –하편

 

Vista와 ActiveX관련 하여 언급들을 많이 하였었고 기본적인 개념 설명만으로는 제대로 전달 되지 않는 듯 하여 온라인 게임상에서 위험요소들이 어떻게 나타나고 있는 지에 대해서 논문으로 작성하여 정보보호학회에 기고하기도 하였다. 실제 위험은 일반인들 또는 IT전문가라 불리는 사람들이 생각하는 범주를 2007년에도 휠씬 넘어서 있는 상황이고 지금은 더 악화된 상황이다.

 

일례로 온라인 게임에서는 안정적인 상태를 유지하기 위해 다양한 보안도구들을 사용하고 접근성을 극도로 제약한다. (특정 브라우저에서만 실행 되거나 특정 OS에서만 실행 되는 것도 당연하다. ) 극도의 제약이 존재하는 상황에서도 공격은 항상 발견되고 집중이 되고 있다. 인터넷 뱅킹에서 사용되는 보안도구들을 거의 대부분 사용함에도 불구하고 문제는 항상 발견이 되었다. 2007년에 분석된 온라인 게임에서의 보안이슈들과 대응역량을 주관적으로 표시한 내용이나 현재 공격 기술의 발전은 더 빠르고 깊게 진행이 되었을 것으로 예측된다. 각종 보안도구들로 도배가 되었음에도 불구하고 공격은 난이도가 높게 진행이 되고 있다. 계정유출을 위한 새로운 시도는 끊임없이 출현을 하고 있으며 매번 대응책을 마련할 수 밖에 없는 상황이다.

 

 

2007년에도 심각성에 대해서 언급을 하고 공개적으로 논의를 하였으나 그로부터 4년이 지난 지금에 이르러 문제는 더 심각해 진 상황에서 무장해제를 논의 하는 것은 상상 밖의 일이다. 그만큼 보안 전문가들에 의해 현실적인 문제들과 위험상황이 많이 알려 지지 못했기 때문이라는 자책도 할 수 있는 상황이다. 무엇보다도 피해에 둔감하며 사건 사고로부터 교훈을 얻고 개선 하지 못한 체계의 문제가 가장 크다고 본다.

 

사건과 사고는 덮는다고 묻혀지는 것이 아니다. 눈덩이처럼 불어나 다음 번에는 더 감당하기 어려운 이슈로 다가오는 것이 지금껏 겪은 일반적인 상황이다. 경험에서 배우고 개선을 하여 나아가야 하는데 지금껏 개선에 대한 논의는 지지부진 했고 발전도 미약했다고 본다.

 

인터넷 뱅킹 및 온라인 거래에 있어서 공인인증서와 ActiveX는 단지 도구이다. 사고를 방지 하기 위한 도구로서 활용이 된 것이고 도구로서의 역할은 부족한 점이 있지만 충분한 역할을 지금껏 수행해 왔다고 생각한다. 도구는 목적을 달성하기 위해 도입된 것이다. 도구에 대해 대안을 제시 할 때는 근본적인 목적을 충분히 달성 할 수 있는지가 핵심이 되어야 한다. 지금의 논란은 목적과는 동떨어진 방향으로 진행 하고 있어서 심각한 우려를 자아내게 한다.

 

ActiveX로 설치되고 실행성을 가지는 보안도구들과 공인인증서의 역할들을 앞으로 간단하게 살펴 보고 공인인증서의 무용론을 주장하는 측에서 주장하는 SSL+OTP 모델의 문제점도 살펴 보도록 하자. 과연 지금 현실 속에서의 문제를 해결 할 수 있는지도 포함해서…

 

인터넷 접근과 보안

 

일반적인 인터넷 액세스는 개인 PC에서 브라우저를 활성화 한 이후 URL을 입력하여 웹서비스에 접근을 한다. 이후 웹 서비스에서 HTML 컨텐츠를 브라우저로 가져온 이후 사용자가 보는 브라우저에 보여주는 형태를 가지게 된다.

 

 

위의 이미지는 일반적인 접근 모델을 의미한다. 네트워크적인 구성을 제외하고 개인PC에서 보여지는 상관관계를 나타내고 있고 개인PC에서는 보안모델 설명을 위해 키보드까지 표시가 되어 있다. 이제 문제가 발생 되는 부분들을 살펴 보자

 

 

주요 문제 발생 부분은 표시된 1,2,3,4와 같은 부분으로 나뉘어 진다. 각 문제 부분은 간략하게 다음과 같이 설명이 된다.

 

1. 키 입력을 가로채는 키보드 해킹 – 후킹 방식을 이용하여 키보드 시그널을 가로챈다.

2. 익스플러러 브라우저에 플러그인 형식으로 탑재된 BHO (Browser Helper Object) 영역의 값을 가로채는 악성코드

3. 전송 단계에서 평문으로 전송되는 내용을 가로채는 스니퍼 형태의 악성코드

4. 개인 PC를 조정 할 수 있는 백도어 권한을 가진 공격자에 의해 컨텐츠가 조정되는 유형의 백도어형 악성코드 ( 이 형태는 HTML 페이지 조작 및 화면 보기, 특정 키입력 가로채기, DDos 공격용 Agent로 활용하기 등 다양한 형태로 활용이 가능하다. 일반적으로 봇넷 에이전트도 여기에 속한다. )

 

자 크게 분류하여 네 단계의 위험요소들이 존재한다. 각 부분별로 들어가면 더 많은 소분류가 가능하겠으나 개념적인 차원에서 현재 존재하는 위험들은 크게 4가지 정도의 위험요소를 가지고 있다고 임의적으로 정리 했다.

 

 

입력단계 –> PC내 실행단계 -> 어플리케이션 탑재 단계 -> 전송 단계 별 문제

 

네 단계 정도로 사용자 입력이 실제 서비스로 전송 될 때 위험을 가지고 있는 부분이 있으며 실제로 심각한 피해를 일으키고 있다. 2009년까지의 악성코드 유형은 4번과 같이 백도어 형태를 가지고 있는 악성코드가 3~40%의 비율을 나타내고 있으며 2번 단계의 BHO 영역의 입력 값을 가로채는 유형의 악성코드 기능도 전체 악성코드에서 60% 가량은 탈취기능을 가지고 있는 것으로 판단된다.  (참고 http://download.ahnlab.com/asecReport/ASEC_Report_200912.pdf )

 

BHO 영역의 값은 키보드 입력된 값이 전송 되기 직전에는 브라우저에 정상적인 값을 넘겨 주어야 하므로 암호화된 키보드 입력을 정상으로 되돌려 브라우저에 탑재를 하고 브라우저는 이 값을 BHO 영역에 평문으로 넣어서 SSL 및 암호화 통신을 활용하여 암호화한 형태로 전달을 한다.

 

공격자들은 2005년 무렵부터 BHO 유형의 악성코드들을 유포하기 시작 하였으며 세계적으로도 가장 처음이자 가장 많은 사례가 유포된 곳이 한국이고 그 다음이 중국이다. 현재는 전 세계적으로도 확산 비율은 높을 것으로 예상된다. 이 BHO 유형의 악성코드가 일반적이게 된 것은 키보드 보안 프로그램들이 금융거래 서비스나 온라인 게임등에 일반적으로 사용됨에 따라 일반적인 키보드 입력을 가로채는 악성코드로는 정보유출이 불가능해 지자 BHO 영역의 값을 탈취하는 형태의 악성코드가 개발이 되고 확산이 된 것으로 보고 있다. BHO 영역의 값을 탈취하는 악성코드 유형의 출현과 국내 키보드 보안 프로그램의 도입과 활성화를 매치 시켜 보면 유사한 결과를 얻을 수 있을 것이다.

 

악성코드들은 대부분 온라인 게임의 계정을 탈취하기 위한 목적으로 사용이 되었으며 이 시기를 기점으로 하여 국내의 온라인 게임사들 대부분에 점진적으로 키보드 보안 솔루션 외에도 부수적인 보안도구 및 기능들이 설치되고 확대되는 동향도 살펴 볼 수 있다. 사용자의 계정정보를 보호하기 위해서 다양한 도구를 활용해야만 피해를 줄일 수 있기 때문이다.

(BHO 영역에 대한 악성코드 내용은 여기를 참고  - http://blog.naver.com/p4ssion/50023916686 )

 

 

키보드 입력을 가로채는 악성코드는 90년대부터 계속 있어 왔던 내용이며 현재 안티바이러스 업체들에서도 대부분 탐지를 하고 있는 부분들이다.  키보드 입력을 가로채는 악성코드가 일반화 됨에 따라 마우스로 화면상의 키패드를 누르는 형태로 변경 하기도 하였으나 그 즉시 마우스 이벤트와 좌표값을 계산한 악성코드에 의해 무력화 된 케이스가 있다.

 

브라우저영역에 해당하는 BHO 영역의 악성코드는 개별 악성코드를 백신에서 제거하는 방안들 외에는 대안이 없는 상태이다. IE외에 다른 브라우저를 사용한다면 BHO 영역으로 인한 문제는 해결 될 수 있으나 또 다른 문제들은 금새 출현 한다.

 

네트워크 전송영역에서의 스니핑 되는 이슈들은 다양한 방안으로 해결이 가능하며 단편적인 이슈로만 보면 SSL로도 충분히 해결이 가능하다고 본다. 다만 복잡화된 공격이 일반화된 지금의 상황에서는 좀 더 다른 시각이 요구된다.

 

백도어 관련 항목은 현재 너무 많은 이슈들이 존재하고 있고 봇넷 및 개인 PC에 대한 완벽한 제어를 차지하고라도 IT서비스에 치명적인 영향을 주는 이슈들이 많이 존재한다. 현재 발견되는 백도어의 기능에는 pc로 다운로드 되어 브라우저에 보여지는 html 내용까지도 변경하여 보안도구들을 회피하고 사용자 정보를 유출 하는 기능들도 종종 발견되고 있다.

 

심각성은 날이 갈수록 더해가고 있으며 백도어들에 의해 조정되는 개인 PC의 수치는 계속 증가하고 있다. 앞으로는 스마트폰도 예외일 수는 없다. 지금의 시기는 제거 및 확산 방지, 근본적인 문제 제거등에 혁신적인 대책이 필요한 시기이고 안정성을 확보한 이후 편리성을 추구해야 하는 것이지 순서가 바뀔 경우 지금까지의 금융거래 피해를 단기간에 넘어 설 수 있을 것이다.

 

글이 길어져서 다음편으로  넘깁니다. -