MS도 안 쓰는 보안 시스템 … 외국 가면 은행 업무도 못 봐

통신 부품을 개발하는 엔지니어인 임형준씨는 지난해 말 미국 캘리포니아 출장길에서 낭패를 당했다. 깜박하고 못 낸 공과금을 내기 위해 노트북으로 온라인 뱅킹을 시도했다. 30여 분간 보안 프로그램을 설치하느라 진땀을 뺐으나 실패했다. 암호 입력 단계에서 몇 차례 브라우저가 멈춰 버리더니 끝내는 노트북이 먹통이 됐다. 부랴부랴 지사 사무실의 PC로 다시 접속했지만 ‘비밀번호 3회 오류로 계정이 잠겼다’는 안내문만 나왔다. 일주일 후 귀국해 은행에 가서야 동결된 계좌를 풀 수 있었다. 그는 “이번에는 연체 과태료 몇만 원 내는 정도의 손해에 그쳤지만 거래처 대금 이체라도 막혔으면 어쩔 뻔 했는지 아찔하다”고 말했다.

1990년대 일본 정보기술(IT) 업체들은 국내 시장에만 맞춘 제품을 고집한 결과 세계 시장에서 고립됐다. 이를 두고 업계에선 ‘갈라파고스 일본’이라고 비아냥거렸다. 남태평양에 자리 잡은 갈라파고스 섬이 대륙과 동떨어져 별도의 생태계가 만들어졌던 것에 빗댄 얘기다. 최근엔 한국의 온라인 시장이 갈라파고스화되고 있다는 비판이 나온다. 문제의 핵심에 액티브X가 있다.

한국은 액티브X 공화국
액티브X는 웹브라우저에 다양한 부가 기능을 얹을 수 있게 해주는 소프트웨어 도구다. 마이크로소프트(MS)가 윈도에 내장되는 브라우저인 인터넷익스플로러(IE)용으로 개발했다. 액티브X를 통하면 웹브라우저상에서 각종 프로그램을 설치하고, 음악이나 동영상을 재생하고, 간단한 게임까지 돌릴 수 있다. 한국에서는 인터넷 보안을 위해 많이 쓴다.

실제로 은행 사이트에 접속해 보자. IE8로 외환은행 사이트(www.keb.co.kr)에 접속하자 ‘액티브X 컨트롤을 설치하라’는 화면부터 나온다. 사용자 PC에 각종 소프트웨어를 깔려고 하니 허가해 달라는 요청이다. 설치를 허용하자 암호화 프로그램인 제큐어웹에서 공인인증서 보관 프로그램까지 7개의 소프트웨어를 설치한다. 계좌이체 등의 추가 작업을 하려면 공인인증서와 보안카드(또는 일회용 비밀번호 생성기)가 필요하다.

처음 은행이나 쇼핑몰에 접속해 이런 프로그램을 모두 설치하려면 심할 경우 웹브라우저 재시작·PC 재부팅 등을 포함해 5~10분이 걸린다. 네트워크 사정이 좋지 않으면 시간은 한없이 늘어난다. 잉카인터넷의 엔프로텍트를 비롯한 대부분의 보안 프로그램은 은행·카드사별로 버전이 달라 사이트마다 따로 설치해 줘야 한다. 몇 군데를 연속으로 드나들다 보면 자기들끼리 충돌해 PC가 다운되는 경우도 있다. 프로그램 자체를 액티브X를 통해 설치하기 때문에 IE를 제외한 다른 브라우저로는 수동설치 등의 방법을 동원하지 않으면 인터넷 뱅킹이 불가능하다.

액티브X 보안프로그램을 까는 데 허비하는 시간만 따져도 경제적 손실이 만만치 않다. 보급된 전체 PC의 절반인 1000만 대에서 연간 한 번씩만 이런 프로그램을 깐다고 쳐도 100만 시간이 걸린다. 시간당 4000원인 최저임금을 곱하면 연간 40억원의 손실이 생기는 셈이다. 실제로는 다른 은행이나 쇼핑몰을 방문해 결제하는 경우가 꽤 된다. 연간 10번만 설치한다면 시간 손실 비용은 400억원으로 늘어난다.

이처럼 액티브X로 떡칠을 하다 보니 한국에서는 IE 이외의 브라우저는 정상적인 사용 자체가 어렵다. 세계 브라우저 시장의 20% 이상을 차지하는 모질라재단의 파이어폭스로 온라인 쇼핑을 해봤다. 옥션(www.auction.co.kr)에서 물건을 고르자 제품 내용을 설명하는 사진이나 그림이 나타나지 않는다. 어찌 어찌해 물건을 골라 결제를 눌러도 카드 정보를 입력하는 창이 뜨지 않는다. 공인인증서를 통한 본인 인증이나 카드결제 시스템을 액티브X로 만든 탓이다. 이 정도는 양반이다. 하나은행(www.hanabank.com)에 접속하자 ‘마이크로소프트(MS)의 인터넷익스플로러(IE)만 이용이 가능하다’는 메시지만 나온다. 사정이 이렇다 보니 국내 웹에서 IE의 점유율은 98%에 달한다. 특히 IE6의 비중이 아직도 절반을 넘는다. IE6은 표준을 지키지 않아 2006년 미국 IT 전문지인 PC월드가 ‘전대 미문의 최악의 기술’ 가운데 8위로 선정했던 프로그램이다. 액티브X에 의존하다 보니 IE만 쓰게 되고, IE의 비중이 높다 보니 다시 액티브X를 찾게 되는 악순환이 벌어지는 것이다.

국내 PC를 점령한 액티브X는 모바일까지 영역을 확장할 기세다. 지난해 말부터 애플의 아이폰과 삼성전자의 옴니아 2 등이 인기를 끌면서 국내 스마트폰 사용자가 100만 명에 육박하고 있다. 그렇지만 이들은 모바일뱅킹이나 쇼핑에 어려움을 겪고 있다. 스마트폰에 쓰이는 모바일용 브라우저에는 액티브X 자체가 돌아가지 않는다. 최시중 방송통신위원장은 22일 국회에서 “스마트폰을 이용한 전자상거래 제한 문제를 해결하기 위해 금융감독원과 액티브X가 적절한지 여부를 협의하고 있다”고 말했다.

하지만 전향적인 결론을 기대하기는 어렵다. 최근 인터넷서점 알라딘과 예스24는 스마트폰용으로 액티브X 없는 결제 방식을 도입했으나 신용카드사들이 금감원의 지침에 따라 결제를 거부하자 일주일 만에 서비스를 중단했다. 정부는 PC용 액티브X를 통해 모바일 백신 등을 스마트폰에 설치하는 것 같은 ‘보완장치’를 마련하고 있다. 이런 방식은 잘못하면 모바일 백신을 가장한 악성 프로그램이 스마트폰에 설치돼 주소록을 비롯한 개인 정보를 모두 빼가는 통로를 열어 주는 최악의 결과를 낳을 수도 있다.

최시중 “액티브X 문제 협의 중”
외국은 어떤가. 영국의 HSBC 사이트는 보안 프로그램을 깔거나 공인인증서를 요구하지 않는다. 브라우저에 내장된 보안 기능을 활용한다. 12자리의 아이디를 입력하면 보안 사이트로 접속이 된다. 여기에 생년월일 6자리 숫자를 입력하고, 미리 등록한 비밀번호 6자리 숫자 가운데 은행이 요구하는 숫자 세 개를 입력하면 로그인된다. 그 다음에는 아무런 추가 인증 없이 조회·계좌이체 등의 모든 서비스를 이용할 수 있다. 액티브X를 쓰지 않으니 파이어폭스나 크롬 등의 브라우저는 물론 오페라모바일 같은 스마트폰용 브라우저로도 아무 문제없이 인터넷 뱅킹을 할 수 있다. 아마존이나 이베이 같은 해외 온라인 사이트를 이용해보면 아이디·비밀번호·신용카드 정보만으로도 거래가 가능하다.

이는 웹브라우저의 강력한 보안 기능 때문에 가능한 일이다. 익명을 요청한 전직 해커는 “노트북으로 클릭 몇 번 하면 은행 계좌가 좍 나타나는 영화나 드라마의 해킹 장면은 현실적으로 거의 불가능에 가깝다”고 단언했다. 암호화된 데이터를 중간에 가로채 비밀번호 등을 알아내거나 이중, 삼중의 방어망을 뚫고 서버에 저장된 개인 정보를 빼내는 것은 말 그대로 영화에서나 가능한 일이라는 것이다. 해킹의 99% 이상은 내부 관계자가 정보를 빼돌리거나 사용자 PC에 악성 코드를 심어 원하는 정보를 알아내는 방식이다. 그는 “암호 해독이나 서버 해킹이 쉽다면 국내 인터넷 뱅킹 규모가 하루 30조원에 달하는데 해커들이 가만 있겠느냐”고 반문했다.

액티브X를 통해 보안을 강화한다는 의도 자체가 나빴던 것은 아니다. 1990년대까지 미국은 수출용 브라우저에는 40비트 암호화 기술만 넣도록 했다. 미국보다 초고속인터넷 망이 빨리 보급된 한국은 자체적으로 128비트 암호화 프로그램을 개발했다. 아울러 해커들이 아이디나 패스워드를 훔치기 위해 설치하는 키보드로거 등의 해킹 툴을 방어하기 위한 보안 프로그램도 내놨다. 이런 암호화·보안 프로그램은 온라인 뱅킹이나 쇼핑을 할 때마다 액티브X를 통해 PC에 설치된다. 결국 더 튼튼한 자물쇠를 설치하기 위해 아파트 문을 마음대로 열 수 있는 만능 열쇠 액티브X를 사용하는 셈이다.

하지만 2000년 이후 브라우저 자체에 128비트 암호화된 기능(https)을 내장하면서 액티브X를 통한 보안 프로그램 설치를 고집할 이유가 사라졌다. 최근에는 주요 웹브라우저가 예전보다 훨씬 강화된 256비트 보안 접속을 기본으로 채택했는데도 전 세계에서 오직 한국만 10년 전에 개발한 128비트 보안 접속 액티브X 플러그인을 설치하는 형국이다.

사용자에게 선택권 돌려줘야
액티브X는 해커들도 즐겨 쓴다. 무료 성인 동영상이나 게임 등으로 위장한 악성 코드를 내려받으면 ‘이 프로그램을 설치하시겠습니까?’라는 질문이 뜬다. ‘예스’를 누르면 끝이다. 해킹 프로그램이 하드디스크 한구석에 잠복해 있다가 때가 되면 깨어나 공인인증서를 훔치고 키보드로 입력하는 신용카드 번호, 아이디와 패스워드를 해커에게 전송한다.

더 큰 문제는 보안 프로그램을 의무적으로 설치해야 하는 한국에서는 사용자들이 악성 코드의 경우에도 무의식적으로 설치를 승인하기 쉽다는 점이다. 심지어 은행 등에서는 액티브X 보안 프로그램이 제대로 설치되지 않을 경우 PC의 보안 항목을 끄라고 조언하기도 한다. 씨티은행의 경우 브라우저에서 ‘현재 보안 설정으로는 액티브X 컨트롤을 실행할 수 없습니다’는 메시지가 나오면 ‘IE 도구에서 액티브X 관련 5개 항목을 모두 ‘사용’으로 전환하라’고 설명한다. 관련 항목은 ▶서명 안 된 액티브X 컨트롤 다운로드 ▶안전하지 않은 것으로 표시된 액티브X 컨트롤 초기화 및 스크립트 등이다. 집 안의 경보 시스템을 모두 끄고 아무나 집 문을 두드리면 무조건 열어주라고 조언하는 셈이다. 은행 측은 “한국에서는 온라인 뱅킹 서비스에 의무적으로 보안 프로그램을 설치해야 하기 때문에 어쩔 수 없다”는 입장이다.

IE 이외의 브라우저로도 편리하게 쓸 수 있는 인터넷 환경을 구축하자는 오픈웹 운동을 주도하는 고려대 법학전문대학원의 김기창 교수는 “액티브X를 통한 보안 프로그램 설치는 불편할 뿐 아니라 효과도 거의 없다”고 단언했다. 보안 프로그램은 쇼핑몰이나 은행 사이트에 접속했을 때만 작동한다. 해커들이 트로이 목마를 통해 평소 사용하는 아이디와 패스워드 등을 다 빼내간 후에야 작동한다는 얘기다. 평소에 백신 등으로 실시간 감시를 하는 등 관리를 한다면 추가로 보안 프로그램을 설치할 필요가 없다. 가톨릭대 서효중(컴퓨터정보공학부) 교수는 “보안 프로그램 설치 의무화는 심하게 말하면 정부·업체에서 ‘할 만큼 했다’고 ‘면피(책임회피)’를 하기 위한 것”이라고 말했다.

이에 대해 안철수연구소 관계자는 “평소 사용하는 암호와 공인인증서 암호를 다르게 설정한 ‘스마트유저’가 전체의 10%도 안 되고, 국내 인터넷 사용자의 절반 이상이 무료 백신조차 돌리지 않는 상황에서 강제 보안프로그램 설치가 불가피한 측면이 없지 않다”고 말했다. 특히 사용자의 부주의로 PC가 해킹당한 경우라도 금융업체나 쇼핑몰의 책임을 묻는 국내 정서를 감안해야 한다는 것이다. 보안 프로그램을 설치하지 않을 경우 사고가 나도 해당 금융업체나 쇼핑몰의 책임을 면제해주는 등의 대안을 먼저 마련해야 한다는 것이다. 가시적인 성과도 있다. 그는 “지난해 영국의 인터넷 뱅킹 사고 금액이 1000억원에 달했지만 국내는 3억원 미만에 그쳤다”며 “한국 방식이 효과가 없지 않다는 방증”이라고 말했다.

전문가들은 사용자에게 선택권을 주는 대안을 제시한다. 영국 케임브리지대학 김형식 박사 연구팀은 최근 발표한 ‘한국의 인터넷 뱅킹 보안’이라는 논문을 통해 “사용자의 소프트웨어 선택권을 존중해 프로그램 설치 여부를 판단할 수 있게 해야 한다”고 제안했다. 그는 “웹브라우저의 보안 접속 방식이 안전성에서 별로 떨어지지 않는데다 피싱 공격에 대한 방어도 가능하다”고 밝혔다. 김 박사는 “게다가 액티브X는 상시 보안 기능이 없기 때문에 차라리 운영체제(OS)에 탑재된 방화벽을 상시 가동하고 안티바이러스 프로그램 설치를 권장하는 편이 낫다”고 덧붙였다.