요즈음 인터넷뱅킹 관련한 뉴스를 보고 있다면, 한가지 특징이 있다. 예로 든 방송 꼭지는 개중 하나로, 최근 들어서 나타나는 패턴을 잘 말해주고 있다. 요컨데 '한번의 실수도 없이 이체를 해가더라' 라는것이다. 그리고 그 이유를 들어서 악성 사이트 접속을 통한 악성 프로그램의 다운로드, 그리고 그로 인한 키 유출이라는 것인데.
이전에 썼었던 글
인터넷에서 자유방임주의를 외치다.
차라리 모든 국민에게 공짜 백신을 줘라
윗글에서 내가 공통적으로 주장하는 것은 ASP 형식의 이러한 보안 프로그램이 보안 능력이 의심스럽고, 또 시스템에 문제를 일으킨다는 점이다. 차라리 설치형(standalone) 제품이 문제를 덜 일으키고 문제가 일어날 경우 통제가 가능하며, 무엇보다도 보안적으로도 안전하다는 것을 강조하고 있다.
왜 그런가? 첫째, 현행 인터넷 뱅킹의 보안 제품은 수동적이다(passive). 위의 예처럼 악성 사이트에 접속해서 다운 받는 것을 막는 적극적인 보호가 아니라, 일단 악성코드에 노출되고 나서 정보가 빠져나가는 '알려진 통로'에 대한 차단을 하는 것이다. 둘째, 그런 상황에서 방화벽이 완전히 외부로 나가는 포트에 대하여 제어를 하지 않기 때문에(이것을 완전히 이루기 위해서는 OS(정확히 말하면 네트워크 드라이버) 레벨까지 방화벽 소프트웨어가 통제를 하여야 하는데 그렇지도 못하고, 그렇다고 모든 나가는 패킷에 대해서 허락을 묻는것 또한 아니다. 따라서 얼마든지 보안 헛점이 생긴다. 보안 검색 기능이 있어도 역시 '알려진 키로거 등에 대한 프로세스 차원의 검색'이다. 따라서 어디까지나 사후약방문일 수밖에 없다.어디에서 일이 터지던, 아니면 운좋게도 보안업체가 발견하기 전에는 무방비나 다름없다. 셋째, 인터넷 뱅킹을 접속하지 않으면 보안기능이 작동하지 않는다. 고로 인터넷 뱅킹에만 접속하지 않으면 허술하게나마 있던 모든 아웃바운드 보안이 꺼지므로,
1) 알려지지 않은 신종 패턴을 통해서 키를 가로 채는 프로그램을 설치하고
2) 알려지지 않은 신종 키로거를 실행해서 인터넷 뱅킹에서 입력하는 키 정보를 수집했다가
3) 인터넷뱅킹을 종료한 이후 언제든지 해커의 호스트로 전송하는
일련의 보안의 디폴트 상태가 형성 되는 것이다.
이런 상황에서는 절대 보안이 이뤄질 수 없다. 이런 구조하에서 보안을 외치는게 야무지기까지 하다. 독립형의 방화벽/안티바이러스 프로그램은 상당한 수준의 악성 코드 대응이 가능할 뿐 아니라, 드라이버레벨에서 모든 포트와 어플리케이션(MD5값이나 용량등의 검증을 통한) 단위의 입출력을 통제할 수 있다. 또, 악성 홈페이지로 의심되는 사이트나 메일에 대한 필터 기능을 갖춘 제품 또한 있다.
이러한 제품을 갖추어야만 안전하다면 안전한 인터넷 뱅킹이 가능한것이다. 현재 시점에서 금융권은 이러한 제품을 제공하지 않고 있으며(나는 앞서도 말했지만 차라리 공짜로 뿌리면 안되냐고 읍소했지만), 돈주고 사는 수밖에 없다. 보안 업체는 잘 알고 있으리라고 생각한다. 특히 업계 1위 업체인 모 회사는 냄새가 난다. 마지못해 공짜로 백신을 뿌렸지만, 결과적으로 안전함을 위해서는 방화벽을 가지고 있어야 한다. 방화벽은 유료이다.
아무튼 이미 시중에 풀리고 있는 보안 프로그램은 1) 수상한 웹사이트 접속을 막고 2) 수상한 프로그램 다운을 막으며 3) 수상한 프로그램의 실행을 막고 4) 수상한 프로그램의 동작을 감시하고 5) 수상한 프로그램의 자료 송수신을 막는다. 6) 마지막으로 수상한 프로그램은 제거한다. 이 이상의 보안 대책은 있을래야 있을 수 없다. 설령, OS의 헛점을 이용하던 위험 투성이인 IE의 헛점을 이용하던 깔아 놓던, 아니면 이용자가 평소 버릇대로 이것저것 막깔다가 묻었는지는 몰라도. 어떤 헛점을 이용해서 어떤 알려지지 않은 해킹 프로그램이 깔려도 3,4,5,6 단계까지 뚫기는 매우 극히 아주 어려운것이다. 결론은 나온것이다. 완전한 보안은 없으니 장담은 못해도 적어도 현상보다는 훨씬 안전하다.
자랑은 아니지만 CIH가 전국민의 PC를 아작내고, 블래스터인가 하는 웜이 전국의 PC를 셧다운 시키는 등 오만가지 온 나라가 대란에 가까운 '난리'를 겪는 와중에서도 단 한번도 위해를 입지 않은 것은 간단한 이유이다.
1) 되도록 정품 소프트웨어 쓸것 (크랙 프로그램이나 크랙된 버전, 크랙 사이트 등 홈페이지에 악성코드가 묻는건 이젠 새삼스럽지도 않다)
2) 백신, 보안프로그램 사서 깔아놓고 업데이트 자주하고, 검사 자주 할것(어디 사서 쓰라고는 안한다. 보안 프로그램 홍보가 아니니까).
3) 윈도우와 브라우저 패치 부지런히 깔것(귀찮다고 안깔면 본인 손해일 뿐이다, 레드몬드에 있는 MS에 소송걸텐가?)
4) 쓰잘데기 없는것 깔지 말것, 특히 ActiveX는 정체나 쓸모가 뭔지 모르겠으면 무조건 아니오 누르고 문제가 발생하기 전까지 깔지 말것. 영문이면 더 조심할것.
5) 안전한 사이트만 들어갈것(냄새나는 사이트를 가지 말라는것이다)
6) IE 이외의 브라우저도 써볼것
7) 자신이 관리하는 컴퓨터가 아니면 보안에 민감한 작업을 하지 않을 것.
8) 암호 유추안가게 잘 만들고, 간수 잘할것. 민감한 작업에 사용되는 암호와 통상적인 웹서핑이나 이메일에 사용되는 비밀번호는 당연히 다르게 해야 안전하다.
구글은 사이트를 수집하면서 악성코드가 있을 확률이 있는지를 점검한다. 이 정보를 이용해서 Firefox나 Chrome, 혹은 구글 검색을 통해서 접속하는 경우 위험한 홈페이지라고 경고가 뜨고 접속의 '재고'를 요구한다. 한심한 노릇이지만 한국의 홈페이지를 들어가보면 악성코드가 깔릴 위험이 있다고 들어가지 말라고 하는 경우가 왕왕있다. 그게 문제는 중앙일간지나 경제지 같은 유명한 사이트를 포함해서 이름 얘기하면 거기가 그럴까 싶을 정도로 큰데도 그모양이고 자그마한 사이트는 관리 부족으로 인해 왕왕 노출된다. 그러니 웹사이트 접속도 조심하는게 좋다.
중요한 것은 어찌됐던간에 본인이 조심하는것이다. 지갑 간수 허투로 해놓고 지갑을 누가 외투에서 치기해서 훔쳐갔다고 지갑이나 외투 주머니에 보안을 걸지 않았다고 지갑이나 옷 회사에 소송걸지 않듯이. 돈도 오가는 만큼 컴퓨터에 대해서 상식적인 관리는 필요하다. 공짜 너무 좋아하지 말고, 일년에 2~3만원 하는 보안 프로그램 하나 깔아두는건 해둘만하다. 몇 백만원 몇 천만원 날려버리고 후회하면 늦을 뿐이다. 다른 나라 사람들은 상식적으로 다 하는 문제다. 그런 걸 안하고 거저 해주길 바라는 심보가 nProtect 류의 쓰레기 프로그램은 양산시키고, 돈은 돈대로 날려서 중국의 왕서방 좋은 짓거리만 시키는것이다.
Posted by 푸른곰
