우리나라 보안체계의 문제점.

이용자의 현재 상태 : 비밀번호 자꾸 까먹으니까 귀찮아.

0. 대부분의 사람들은 컴맹이다.
1. 사람들이 컴퓨터 보안에 별 관심이 없다. (비밀번호를 컴퓨터에 저장한다거나...너무 쉬운걸로 한다거나.)
2. 그런데 은행 온라인 계좌번호 해킹을 당했다?
3. 해킹 피해자가 자기 잘못은 모르고 은행탓을 한다.
4. 은행은 뒤집어 쓰기 전에 뭔가 해야 한다. 책임을 회피하자.
5. 사람들이 보안 설정을 하게 해야 하는데 교육이 안된다. 어쩌지?
6. 컴퓨터를 은행에서 조작하여 보안 설정을 하게 하면 된다.
7. 근데 그건 이용자의 허락이 있어야 한다. 어쩌지?
8. 허락 하라고 안내해야지 뭐. "ActiveX 경고창이 뜨면 '허용'을 누르세요. 안하면 안돼요"
9. 자, 이제 은행은 사용자의 컴퓨터를 조작하여 보안 설정을 할 수 있게 되었다.

이용자의 현재 상태 : ActiveX 경고창이 뜨면 무조건 "허용"을 눌러야 하는구나. (뭔진 모르지만.)

10. 범죄를 저지르려는 자들은 생각했다. 어떻게 하면 저 비밀번호를 알아내지?
11. ActiveX를 쓰면 사용자 컴퓨터를 제어할 수 있으니까 비밀번호를 알아낼 수 있다.
12. 적당한 웹 사이트를 해킹하여 직접 만든 ActiveX를 설치하게 조작한다. 한국의 웹 사이트는 의외로 해킹이 쉽다.
13. 사람들은 그냥 게임이나 한판 하려고, 정보나 좀 얻으려고, 들어간 웹 사이트에서 ActiveX를 설치할거냐는 질문을 받는다.
14. "이건 뭐야?"라는 생각조차 하지 않은 채 "네(YES)"를 클릭한다.
15. 범죄를 저지르려는 자들은 기뻐했다. 아싸.
16. 다시 해킹은 일어난다.

이용자의 현재 상태 : 은행이 잘못한거 아냐? 내돈 내놔!

은행 : 우린 잘못 없다. 비밀번호 관리 못한 이용자 잘못이다. 못준다.
여기서 잠깐, 위의 8번 단계에서 뭔가 찝찝함을 느낀 후에 계속하자.

17. 해킹을 막아야 한다.
18. 보안 프로그램을 더 많이 설치하자.
19. ActiveX 경고창이 뜨면 어쨌든 "허용"을 하세요.
20. 바이러스도 잡아야 한다.
21. ActiveX 경고창이 뜨면 어쨌든 "허용"을 하세요.

다시한번 잠깐. 18번부터 21번이, 인터넷을 사용하면서 단 한번만 설치하면 되는 거라면 문제는 없지만, 웹 서비스마다 독자적인(이라고 하지만 사실 같은 회사에서 납품받은) 보안/백신 프로그램을 설치한다. 똑같은 프로그램인데 배포자 서명만 다른 프로그램이 수십개가 설치된다.

22. 컴퓨터가 느려진다.
23. 인터넷이 느려요.
24. 포맷하세요.

이 상황이 무한반복이다.

물론, 이렇게 까지 진행되는동안 리눅스, 맥OS, 솔라리스 등의 윈도우즈 계열이 아닌 운영체제를 쓰는 사람들은 "Active X가 뭐임? 먹는거?" 냐고 반문하며 한국은 인터넷 뱅킹이 안되는 후진국이라 생각하고 있었다.

문제의 원인은 문화다. 컴퓨터 환경이 워낙에 빠르게 성장했기 때문에, 사람들은 비밀번호를 입력하면 된다고 생각했을 뿐, 그 비밀번호를 지켜야 한다는 생각은 하지 못한다. 컴퓨터에 있는 모든 정보는 프로그램을 이용해서 조작하고 알아낼 수 있다. 즉, 프로그램 설치만 막아낸다면 대부분의 보안은 완벽하다. 하지만 은행이나 다른 웹 사이트에서 설치하는 프로그램은 프로그램의 설치를 막아주지는 않는다. 그것이 실행되는 동안에 일어나는 후킹(정보 가로채기)이나 피싱(낚시)같은 것들을 감지하여 막아낼 뿐이다. 더군다나 인터넷에서 Active X를 설치할거냐고 물어보면 "무조건 YES"라고 대답해 버리는 나쁜 습관을 모든 국민들에게 심어 주었다. Active X같은 프로그램을 설치할 거냐고 묻는다면, 일단 누가 보낸 프로그램인지 알아야 하고 그 배포자가 믿을만한 사람인지 확인해야 한다. (배포자 서명) 그리고 그 프로그램이 믿을 수 있는 프로그램인지 알아야 한다. (소스코드 검증) 하지만 그런 것들은 불가능하다. 아무도 확인하지 않고 아무도 확인할 수 없다. 무조건 설치해야만 하기 때문이다. 우리나라는 문화적으로 컴퓨터 화면에서 대화창이 뜨면 뭔지 확인하지 않고 빨리 내가 하고싶은 게임을 실행시켜야 하기 때문에 무조건 YES를 누른다. 그 순간 해킹이 시작된 것이다. 해킹에서 가장 어려운 단계는 컴퓨터의 정보를 알아내는 것이 아니라 그 컴퓨터를 이용하는 사용자의 마음을 열게 만드는 것이다.

가령, 악성 프로그램이 백신인척 위장하고 "너네 컴퓨터 검색해보니까 바이러스 많이 걸렸더라? 그거 고치려면 한달에 단돈 1000원이면 되는데, 할거야?" 라고 물어본다. 바이러스 걸린것도 거짓말이고 고칠 필요도 없다. 단, 매달 1000원이 결제되는건 사실이다. -_-; 어디서 보낸건지 확인하지 않으니 이런 사기에 당한다. 물론, 나쁜놈은 사기꾼이고 당한사람은 고스란히 피해자인데, 이 피해를 보상받기 위한 노력은 또한 고스란히 피해자가 해야 한다. 하지만 매월 천원 나가는걸 되돌려 받기 위해서 소송을 걸기엔 우리나라의 재판 과정은 길고 험하며 비싸다는 점. (그래서 나는 부모님께 인터넷에서 뭔가 돈을 내야 서비스를 받는 거라고 한다면, 일단 "아니오"를 선택한 후 나에게 연락하여 확인한 후에 사용해 달라고 여러번 강조해서 말씀드렸다. 정당한 서비스라면 얼마를 내든 합당한 요금을 내고 쓸 수 있지만, 사기는 당하면 안되니까.)

애초에 ActiveX라는 것을 사용하지 않고, "비밀번호는 반드시 암기하고, 다른데 적어두지 말 것이며, 누구에게 알려주지 말아야 한다"는 것을 강요했다면 Active X는 욕을 먹을 이유조차 없는 쓸만한 기술이다. 중간에 누군가 정보를 가로채는 것을 막기 위해서는 공인인증서를 이용한 보안http나 ssl정도의 기술이면 충분하다. 이미 뚫려버린 컴퓨터에 백만개의 백신과 천만개의 보안 프로그램을 설치한들, 컴퓨터가 느려지기만 할 뿐 해킹 방지에는 전혀 도움이 되지 않는다.

이 문제가 해결되지 않는 이유는, 앞서 분명히 은행이나 다른 웹 사이트 등이 ActiveX 설치에 대해 무조건 "네"를 대답하도록 만든 문화적 조작을 해 놓고서도 보안 프로그램과 적당한 기술적 요건을 갖추어서 이 문제에 대해 더이상 책임질 필요가 없기 때문이다. 즉, 이제 사람들은 해킹 당한건 전적으로 개인의 잘못이 되었다. 사업자들이 너무나 발견하기 어려운 곳에서 잘못을 저질러 놓았기 때문이다. 뭐라 책임을 묻기도 어려운 바로 그곳에.

최근, 오픈웹 운동이 최종적으로 대법원에서 패소 판결을 받았다. 인터넷 뱅킹은 윈도우즈에서만 되도록 제공해도 법적으로 아무런 하자가 없다. (이 판결대로라면, 은행은 맥OS에서만 인터넷 뱅킹이 되도록 제공해도 되고, 리눅스에서만 인터넷 뱅킹이 되도록 제공해도 되며, 원한다면 DOS에서만 인터넷 뱅킹이 되도록 제공해도 된다.) 그럼, 그것으로 끝인가?

여전히 보안 후진국으로 남을 뿐이다. 문화가 바뀌지 않는 한, 보안 프로그램의 버전이 100.0까지 올라가더라도 해킹은 막을 수 없다.

주민등록번호를 입력해서 인증을 받은 다음에 무선랜을 쓰도록 하자는 아이디어를 낸 어떤 한심한 국회의원이 있어서 답답하여 그런다. 만약 그렇게 된다면, 까페에서 무선랜 신호 붙잡아서 주민등록번호를 알아내는건 의외로 쉽다. -_-;

by snowall 2009.10.28 18:24
  • 후레드군 2009.10.29 01:08 신고 ADDR EDIT/DEL REPLY

    보안 제품에 10원 한푼도 투자하지 않으려는 마인드가 또 큰 몫을 하죠- 당연히 무료여야 한다는 생각- 뭐 운영체제부터 뭐 하나 정품을 돈 주고 사지 않는 사람들이고 그걸 너무나 당연하게 생각하니 더 많이 당해보고 더 많이 털려봐야 한다고 생각합니다-

    시만텍에서 이번에 노턴 안티 바이러스 / 인터넷 시큐리티 가격을 크게 낮췄는데도 비싸다고 하는걸 보면 그저 한심합니다- 기존에 7~9만원대를 기준으로 생각해 봐도 1년간 보호 받는 건데 365로 나눠 보면 9만원 기준으로 하루에 250원이 채 안되는 가격이었고 한달에 고작 7500원 가량 하는 거였습니다- 요즘 커피 두어잔만 안마셔도 되는 가격인데 참.....

    윈도우도 복제품 쓰는 주제에 정품 단속한다고 마이크로소프트 욕하는 것도 보면 참 어이없죠- 그냥 답이 없습니다. 아예 보안 업데이트도 전부 정품 유저들한테만 해주거나 하지 않으면 영원히 잘못을 모르고 살 것 같네요-

    • snowall 2009.10.29 09:08 신고 EDIT/DEL

      저도 웬만하면 정품을 쓰려고 합니다.
      지금 작업중인 PC에는 딱 2개 빼고는 정품밖에 없네요.
      그 2개는, 너무 비싸서 살 수가 없어요 -_-;
      (수십~수백만원대...)
      업무에만 쓰는데 직장에서 안사주면 어쩔 수 없죠. 사달라고 떼쓴다고 예산이 나오는 것도 아니구요.

    • 고양이처럼 2009.11.02 13:11 신고 EDIT/DEL

      윈도우즈 보안이 취약한 걸 왜 사용자 한테 덮어 씌우나요? O/S를 돈 주고 샀으면 보안 관리를 받을 권리가 있습니다. 돈이 문제가 아니라 O/S 팔아먹고 보안, 호환성등은 다른 응용프로그램으로 땜빵하라는 건가요? 가령 TV를 샀는데 껍데기 뿐이고 수신기나 영상재생하는 부품등을 별도로 구입해서 달아라 하면 몇푼 안한다고 불만없이 추가 구입하시겠습니까? 하드웨어 따로 보안프로그램 따로 신경도 안쓰는 ms 정책이 욕을 먹는겁니다.

    • snowall 2009.11.02 13:22 신고 EDIT/DEL

      진정하세요.

  • 자그니 2009.10.29 01:17 ADDR EDIT/DEL REPLY

    전체 논의에 동의하지만, 액티브x가 쓸만한 기술이라는 것에는 좀... (모바일로 인터넷 이용하려는 사람들에겐 거의 적과 비슷해서요)

    외국 상거래 사이트 돌아다니다가, 한국에서 뭐 하나 살려면 느끼는 것이 저 액티브 엑스와 보안...인것 같아요. 거래가 일어나도 외국이 더 많이 일어날텐데 왜 한국만 이렇게 자주 클릭 클릭을 해야하는지.

    • snowall 2009.10.29 09:07 신고 EDIT/DEL

      Active X를 그냥 컴퓨터 프로그램을 뭔가 실행시켜서 좀 더 재미있는 Windows Desktop 환경을 만드는 부가 기능 정도로만 쓴다면 쓸만하죠.
      지금은 그 정도가 너무 심할 정도로 도배되어 있기 때문에 문제인 것이구요.
      창문에 2중 방범창과 강화유리로 세팅하면 뭐하나요. 정문이 열려있는데 -_-;