제큐어웹(XecureWeb)과 초토화된 한국 보안

3.20 방송국, 금융권 해킹의 경로가 된 제큐어웹(XecureWeb)은 한국식 공인인증서 처리를 위한 프로그램입니다.

 

한마디로 말해서 한국의 보안 체계가 완전히 초토화되었다는 뜻입니다.

 

 

국제 표준 공인인증체계와 한국식 공인인증체계의 차이점

 

 

현재 인터넷에서 사용되고 있는 "국제 표준 공인인증 방식"은 보안 처리에 필요한 기능을 미리 웹브라우저에 내장시켜 놓기 때문에 접속 과정에서 프로그램을 강제로 다운로드 할 필요가 없습니다.

 

1.     웹 사이트는 국제 표준 인증 기관에게 자신의 신원을 신고하여 인증서를 발급 받습니다.

 

2.     국제 표준 인증 기관은 웹 브라우저 업체에게 인증서 해독용 키를 알려 줍니다.

 

3.     웹브라우저는 표준 인증서 해독 기능을 미리 내장한 상태에서 동작합니다.

 

이렇게 국제 표준 공인인증체계는 웹사이트, 표준 인증 기관, 웹 브라우저가 안전을 위해 한 몸처럼 움직입니다.

 

하지만 한국식 공인인증 체계는 이들이 각기 따로 노는 등 국제 표준과 다른 "비공인 사설 인증방식"으로 동작합니다.

 

뿐만 아니라 웹브라우저의 표준 보안 기능을 무시하고 독자적인 방식을 사용하기 때문에 보안이 필요할 때마다 제큐어웹과 같은 사설 업체의 프로그램을 다운로드 해야 합니다.

 

 

한국식 공인인증체계의 진실

 

 

한국식 공인인증체계는 국제 표준 공인인증체계의 보안 방식을 그대로 흉내 내고 있을 뿐이며 보안성은 오히려 더 떨어집니다. 

 

제큐어웹과 같이 특정 업체가 만든 프로그램은 웹브라우저에 내장된 국제 표준 공인인증 기능을 그대로 흉내 내는 프로그램일 뿐입니다.

 

따라서 한국식 공인인증체계가 국제 표준과 다른 것처럼 말하거나 한국식이 더 우수하다는 주장은 사기에 불과합니다.

 

사용이 편리하고 안전하며 비용까지 저렴한 국제 표준을 무시하고 사용이 불편하고 보안에 취약하며 유지 비용도 비싼 한국식 보안방식이 유지되는 이유는 금융감독원 등 규제권한을 놓지 않으려는 국가 기관, 공인인증서로 매출을 올리는 인증 업체, 전용 보안 프로그램으로 수익을 독점하려는 몇 몇 보안 업체의 이해가 일치하기 때문입니다.

 

 

한국식 공인인증체계의 문제점

 

 

한국식 인증서는 웹브라우저 프로그램에게 조차 인정 받지 못하는 사설 인증서이기 때문에 인증서 처리를 위해서는 반드시 전용 보안 프로그램을 다운로드 해야 합니다.

 

하지만 이 과정은 허점 투성이입니다.

 

우선 보안 프로그램이 다운로드 되는 순간에 전혀 보안이 되지 않는 치명적인 문제가 있습니다.

 

1. 내가 접속한 사이트가 정말 내가 접속하려는 사이트인지 확인이 어렵습니다. 이 때문에 각종 가짜 사이트 주의보가 내려지지만 그 확인은 개인의 책임입니다.

 

2. 내려 받는 프로그램의 안전을 확인하기 어렵습니다. 국제 표준 공인인증 방식은 미리 검사한 프로그램을 웹브라우저에 내장하기 때문에 안전하지만 한국식 사설 인증 방식은 뭔지 모를 프로그램을 다운로드 받아야 하는데 그것이 정말 보안 프로그램인지 알 수가 없습니다.

 

지금과 같이 한국식 공인인증서 처리를 위해 사용되는 제큐어웹이 해킹 당했을 경우 보안을 위해 내려 받는 프로그램이 바로 해킹 프로그램이라도 사용자는 이를 확인하기가 불가능합니다.

 

 

강제 다운로드 방식은 한국의 보안 상황을 완벽하게 무력화 시켰습니다. 강제 다운로드 때문에 개인들이 보안을 위해 할 수 있는 것이 아무것도 없습니다. 뭔가를 강제로 내려 받도록 하는 현재의 보안 체계를 개선하지 않는다면 전국민의 컴퓨터가 좀비가 된 현재의 상황과 같은 일이 계속 될 것입니다.

 

 

관계 당국의 불성실한 대처

 

보안 업체 관계자의 말에 따르면 제큐어웹의 취약점은 지난 6월부터 알려져 있었지만 관계 당국은 이를 쉬쉬하고 있었습니다. 개인 PC까지 해킹을 당하고 알 수 없는 금융 사고가 나고 있었는데도 이를 알리지 않았습니다. 공인인증모듈 처리 프로그램이 해킹당했다는 사실을 알릴 경우 한국식 공인인증체계가 곧바로 무너질 것이기 때문입니다.

 

당국이 공인인증서를 처리하는 프로그램에 문제가 생겼음을 숨긴 채 은밀하게 문제를 해결해 보려고 시간을 끄는 동안 해커들은 이 취약점을 이용하여 한국의 거의 모든 금융권과 전자상거래 업체의 보안 서버를 해킹했습니다.

 

해커들이 이미 각 업체의 보안 서버를 탈취하여 다양한 접근 경로를 확보한 상태이기 때문에 이제야 제큐어웹의 취약점을 알리고 프로그램을 개선하더라도 아무런 소용이 없습니다. 

 

 

해커들 손에 장악된 한국 보안

 

 

공인인증서를 이용하여 금융 거래를 한 개인, 온라인 쇼핑 등 전자상거래를 한 사람들의 컴퓨터는 이미 좀비가 되어 있는 상태라고 판단해도 틀리지 않습니다.

 

해커들이 마음만 먹는다면 지금 당장이라도 대한민국의 모든 컴퓨터에게 자살 명령을 내릴 수 있습니다.

 

다행히 자비로우신 해커님들께서 은행, 방송국 등 대규모 업체를 주 타깃으로 해주셨기 때문에 개인들이 아직 살아 있는 상태입니다.

 

이미 공인인증체계의 허점이 악용된 이상 앞으로 어떤 업체, 어떤 개인이 어떤 식으로 피해를 입을 지 알 수 없는 상태입니다.

 

이 문제를 해결하려면 하루 빨리 마이크로소프트-윈도우-인터넷 익스플로러-액티브엑스-제큐어웹으로 연결되는 한국식 공인인증체계를 폐지하고 국제 표준 공인인증체계(SSL+OTP)를 도입해야 합니다.

 

관계 당국과 보안 업체 관련자들은 또 다시 부인방지 등 황당한 사기에 속하는 기술을 근거로 들며 지루한 논쟁을 계속함으로써 논점을 뭉개어 문제가 뭔지도 알 수 없게 만들려고 할 것입니다.

 

이런 것에 현혹되지 마시고 아래 내용만 기억하시기 바랍니다.

 

“국제표준 공인인증체계는 사용이 간편하고 보안성이 높으며 비용 절감도 가능할 뿐만 아니라 아무런 설정 없이도 다양한 기기에서 사용이 가능합니다. 한국식 공인인증체계는 근본적인 보안 허점이 있기 때문에 하루빨리 폐지해야 합니다."

 

모바일 시대에 PC 종속적인 한국식 사설 인증 방식은 결국 폐기될 것입니다. 하지만 그날이 언제일지는 아무도 모릅니다.

 

여러분 모두 그 날이 올 때까지 이 환란에 부디 몸 성히 살아남을 수 있기를 기원합니다.

 

김인성.

 

 

( 한국의 보안 상황에 대해 좀 더 알고 싶으시면 아래 링크를 참조하시기 바랍니다.)

 IT 이야기 시즌2 

오픈넷