경향신문

액티브X 대신 exe 실행파일 설치 해법은 '꼼수'?… 소비자 선택권은 없어

"솔직히 우리 입장에서도 답답합니다." 정부 관계자의 말이다. "…올해 여름쯤엔 개발사였던 마이크로소프트도 액티브X를 차단하겠다고 발표한 상태인데 여전히 쓰고 있으니까 말입니다. 지금처럼 버티다가 막상 그때가 오면 대혼란이 올 것 아닙니까."

사전설치 없는 간편결제, 맞나

누구를 겨냥한 말일까. '액티브X에 미련을 버리지 못하는' 카드사 등 관련 업계다. 계속되는 이 관계자의 말. "비판만 하지 말고 대안을 말해야 하는데 솔직히 말해 우리로선 방법을 찾을 수 없습니다. 업계의 의견을 수렴해 추진하는 것 이외에 방법이 없기 때문이에요. 보도를 보면 FDS(이상거래탐지시스템)이 대안인 것처럼 이야기하지만 그것도 만능이 아닙니다. 빅데이터로 거래패턴의 이상징후를 찾아내는 시스템인데, 적어도 1년 이상 축적된 자료가 있어야 가능하고, 또 분석 노하우가 있어야 하기 때문이에요. '.exe'가 틀렸다면 다른 대안을 제시해야 하는데, 비판만 하고 있으니…."

<주간경향>은 지난해 8월, "액티브X를 사용하지 않는 공인인증서를 9월까지 보급·확산시키겠다"는 미래부·금융위원회 등 정부 관계부처 합동방안이 사실상 실행 불가능하다는 지적을 한 바 있다.(1088호 관련기사 참조) 취재를 통해 일반 국민의 입장에서 '액티브X가 퇴출된 대체결제방식'을 이용할 수 있는 것은 지난해 연말쯤에야 가능하게 될 것이라는 '희망 섞인 전망'을 얻어냈다. 그리고 2014년 연말. 머니투데이는 정부 관계자의 말을 빌려 "업계 사람들을 만나 일단 액티브X만 아니면 되니 보안프로그램을 다 바꾸라고 지시하고 있다"는 보도를 내놨다. 이 보도 등에 대해 정부가 내놓은 '해명자료'를 보면 "non-액티브X 방식의 경우 플러그인을 사용하지 않는 범용프로그램으로 구성되어 간편하게 설치되며, 자동 업데이트가 가능해 이용자 편의가 향상될 예정"이라며 "카드사 등과 협의해 아이디와 패스워드만으로 결제하는 간편결제의 경우에는 아무런 사전설치 없이 인터넷 쇼핑을 할 수 있도록 준비 중"이라고 되어 있다. 연말까지 예정되었던 '액티브X가 퇴출된 결제방식'은 다시 2015년 2월 말, 3월 말로 시한이 늘어나다가 결국 공개되었다. "액티브X 대신 실행파일(.exe) 방식의 보안프로그램 설치"라는 해법은 논란을 일으켰다. 강정수 연세대 커뮤니케이션연구소 전문위원이며 미디어경영학 박사는 "액티브X의 문제를 제기했을 때 가장 큰 문제는 이용자의 컴퓨터에다가 자꾸 비정상적인 솔루션을 깔게 했다는 점인데, 또다시 실행파일로 대체한다는 것은 결국 '눈 가리고 아웅'이라는 비판을 피할 수 없게 된 것"이라고 말했다.

과연 무엇이 달라졌을까. 기자는 4월 1일부터 3일까지 '액티브X가 퇴출된 간편결제와 공인인증서'를 테스트해봤다. MS사의 인터넷 익스플로러가 아닌 구글의 크롬을 통해 쇼핑몰과 은행 사이트를 접속해봤다.

먼저 전자상거래. 옥션사이트에 접속하니 '스마일페이'라는 이름의 간편결제 항목이 눈에 띈다. 간편결제를 선택하니 보안프로그램 설치 안내 문구가 나온다. 키보드 보안프로그램이다. 이 프로그램을 설치하지 않으면 다음 단계로 넘어갈 수 없다. 설치를 클릭하니 '보안경고'가 뜬다. "이 형식의 파일은 사용자의 컴퓨터에 피해를 줄 수 있습니다. 신뢰할 수 있는 게시자로부터의 소프트웨어만 실행하십시오." 링크되어 있는 윈도 도움말에는 다음과 같은 설명이 있다. "일부 파일 유형은 바이러스를 옮길 수 있으므로 덜 안전합니다. 피해야 할 주 파일 유형은 .exe, .scr, .bat, .com 또는 .pif와 같은 확장자를 가지는 프로그램 파일입니다."

설치 후에는 주민번호를 넣게 되어 있다. 개인정보보호법이 강화되면서 최근 들어 웹에 주민번호 전체를 받는 경우는 거의 없는데, 아직 보안프로그램이 인스톨되지 않은 상황에서 주민번호 전체를 입력하라고 하는 것이 과연 맞을지 확신할 수 없었다. 카드 뒷면 세 자리뿐만 아니라 비밀번호도 전체 4자리를 다 넣어야 한다. 이 과정을 다 거친 후에도 휴대폰 인증이 아닌 공인인증을 선택하면 다시 delfino.exe라는 프로그램을 다운받아야 한다.

기자가 직접 사용해보니….

delfino.exe가 무슨 프로그램인지 확인하기 위해 검색해보면 위즈베라(Wizbera)라는 회사에서 개발했다는 정보 이외에는 대부분 바이러스 프로그램인지 묻는 질문이라든지, 변형 손상 공격에 대한 전문문서가 나올 뿐이다. 기자의 컴퓨터에서는 네트워크 오류로 설치가 되지 않는다는 메시지만 반복해 나온다. 결국 휴대폰 인증을 통해 간편결제 설치를 완료했다.

은행도 마찬가지였다. 크롬과 같은 다른 브라우저에서 공인인증서를 띄우기 위해서는 부단한 인고의 과정을 거쳐야 했다. 여러 번 시도를 해도 설치가 되지 않아 고객센터에 도움을 요청했다. "…혹시 윈도 버전이 어떻게 되는지 확인해보시겠습니까. 64비트 운영체제에서는 간혹 안 되는 경우가 있는데요." 결국 웹브라우저를 7~8차례 껐다 켰다를 반복한 끝에 설치할 수 있었다. 그나마 완전한 것도 아니다. 기자가 거래하는 모 은행의 경우, 공인인증서와 같이 사용되는 이른바 보안 3종세트 중 키보드 보안이 아직 완성되지 않아 크롬에서는 아직 완벽하게 작동되지 않는다는 결론이다. 은행 상담원의 말. "키보드 프로그램은 당분간은 추가적으로 지원이 안 됩니다. (언제까지 개발이 완료되느냐는 질문에) 전산 관련해서 진행되는 부분은 정확하게 말하기 어렵네요."

"은행이나 증권 쪽은 올해 말까지 다른 대체기술로 대체하겠다는 것이고, 쇼핑몰은 이제 간편결제가 가능한 환경을 만들었다고 할 수 있습니다." 금융위원회 관계자의 말이다. 그럴까.

정부가 말하는 간편결제의 개념을 다시 정리해볼 필요가 있다. 앞서의 해명자료에 따르면 간편결제는 '아이디와 패스워드만으로 결제한다'고 되어 있다. 해명자료에는 "소비자가 원할 경우에만 보안프로그램을 실행파일로 설치할 수 있도록 선택권을 부여할 계획"이라는 부연이 붙어 있다. 정확히 반대다. 소비자의 선택권은 없다. 기자가 직접 테스트해본 결과 "보안프로그램의 실행파일(.exe) 설치"가 이뤄져야지만 '간편결제'가 가능하다. 게다가 주민번호와 비밀번호 전체를 넣게 하는 등 불안요소가 상당하다. 끊임없이 이전의 방식, 간편결제가 아닌 공인인증서 방식으로 돌아가도록 유도하게 되어 있다.

이건 기자가 테스트한 쇼핑몰 문제일 수도 있다. 쇼핑몰 측에 연락해봤다. 돌아온 대답은 간단했다. "지금도 결제는 카드사가 관장하고 있습니다." 무슨 말일까. 설명을 부탁했다. "간편결제라고 하는 것이 다른 것이 아닙니다. 카드사와 연결되어 있는 것을 간편하게 만든다는 것이죠. 그 안에서 실행파일을 설치하는 등의 일은 카드사 정책에 따른 것입니다. 쇼핑몰로서 간여할 수 없는 부분이에요."

카드사에 연락해봤다. "소비자 입장에서는 뭔가 엄청난 변화가 이뤄진 것처럼 느껴질지 모르지만, 사실상 액티브X를 쓸 때와 거의 유사한 구조입니다. 플러그인 방식이라는 것도 마찬가지입니다. 실행파일(exe)로 하는 것은 인터넷 익스플로러 이외에 다른 브라우저에서도 작동할 수 있게 했다는 것이죠. 사용자 접근성을 높였다고 할 수 있습니다."

당장 떠오르는 의문. 만약 해커가 파밍사이트, 즉 은행과 똑같은 사이트를 만들어 정보를 빼돌린다고 하면? 간단한 해킹기술로 포털 검색을 통해 해당 은행 사이트에 접속한다고 하더라도 파밍사이트로 유도해 가짜 실행파일을 설치하게 한다면 무방비 상태에 놓이는 것 아닐까. 앞의 카드사 관계자는 "파밍사이트와 실행파일 문제는 별개 이슈다"라고 설명했다. 정부 관계자는 기술적인 문제와 관련해서는 "보안업체 측과 논의해보라"며 보안업체 연구소 소장을 소개시켜줬다. "사용자가 기망당해 직접 설치하는 것은 보이스피싱이 되었을 때 사용자가 직접 송금하는 것과 똑같다. exe 실행파일 설치와는 무관한 일이다." 정부 관계자는 "웹표준이라고 해서 보안문제에 대한 완벽한 해결책은 나올 수 없다. 10~20%는 별도의 프로그램을 설치할 수밖에 없다"며 이렇게 덧붙였다. "결국 보안성과 편리성 중 선택의 문제다. 이용자의 편리성을 추구하면 보안문제는 취약해질 수밖에 없다. 편리 위주로 해서 사용자가 보안프로그램을 안 깔겠다고 하면 결국 대문을 열어놓고 자는 것과 다를 바가 없는 것이다."

또 하나의 갈라파고스적 진화

맞는 설명일까. 김인성 전 한양대 교수는 지난 2011년에 낸 책 <한국 IT산업의 멸망>에서 액티브X와 공인인증서를 한국 전자상거래의 갈라파고스적 진화의 원인으로 지적했었다. 김 교수는 '액티브X 대신 실행파일'은 보안의 관점에서도 거꾸로 가는 정책이라고 지적했다. "액티브X를 다운받기 위해서는 개발사인 마이크로소프트사로부터 안전하다는 인증이라도 받을 수 있는데, 실행파일은 최소한의 인증절차도 없이 만들어질 수도 있기 때문에 더 위험하다. 실행파일로 설치되었을 때 문제점은 일반 정상적인 사이트에서도 누군가 해킹해서 파일을 살짝 바꿔 놓는다면 웹브라우저가 확인할 길이 없다는 것이다."

문제는 한 번 설치하면 다시 설치할 필요 없이 간편결제를 이용할 수 있다고 하지만, 애초 웹표준으로 가는 로드맵 상 과도기로 설정되었던 '액티브X 대신 실행파일'이 상당히 오래갈 것이라는 전망이다. 앞의 정부 관계자는 "우리로서는 강제할 수 있는 권한이 없고 업계 입장을 들을 수밖에 없는데, 웹표준만으로는 보안문제를 완벽하게 해결할 수 없다는 업계 입장을 듣지 않을 수 없다"고 말했다.

김인성 교수는 단지 기술적 문제가 아니라 금산분리법 등 법적 문제가 얽혀 있어서 온라인 결제시스템의 근본 전환이 어려울 것으로 예상했다. "일반적으로 기술은 두 단계를 건너뛰어 발전한다. 사실 LCD산업은 지금도 색이 제대로 안 나온다. MP3도 사실 음질을 떨어뜨리는 압축기술이다. 우리나라가 LCD산업에 뛰어들었을 때 일본은 아날로그 브라운관 모니터에서 완벽한 화질을 구현했었다. 소니가 MP3에 뛰어든 것이 2010년이다. 일본이 아날로그 영상과 음악의 완벽함에 취했기 때문에 산업의 변화를 따라오지 못한 것이다."

김 교수가 내놓은 전망은 어둡다. 과거 아날로그에 취한 일본이 겪은 정체와 똑같은 길을 지금 대한민국의 IT산업이 걷고 있다는 것이다. "중국에서 빠르게 알리페이가 대세가 되었는데, 과거 우리보다 한 단계 늦었기 때문에 두 단계 넘어가는 것이다. 일본은 아날로그에서 스톱하고 한국은 IT제조업에서 멈춘 것이다. 앞으로 아마존이나 알리페이가 들어오면? 국내 전자상거래는 그냥 끝나는 것이다. 공인인증서 매출로 이익을 본 기득권 세력들이 결코 놓지 않고 있기 때문이다. 공인인증서 매출은 점점 가라앉고 있는데 여전히 거기에 집착하고 있으니… 희망이 없다는 것을 알면서도 죽을 수밖에 없는 것이다. 이건 세월호 상황과 똑같지 않나." 진정 갈라파고스적 진화를 거듭해온 한국 IT산업 앞에 놓인 미래는 '멸망'밖에 없는 것일까.

'주민번호 대신 아이핀' 파탄 드러낸 공공아이핀 유출사태

"공공아이핀 부정발급 사고 발생, 피해는 거의 없어!" 지난 3월 2일 행정자치부가 낸 보도자료 제목이다. 사고가 일어난 시간은 2월 28일 0시30분부터. 이때부터 3월 2일 오전 9시까지 부정발급된 아이핀은 75만건이었다. 사고는 지역정보개발원이 관리하던 공공아이핀 시스템에서 일어났다. 부정발급된 아이핀 중 12만건은 3개 게임회사에서 신규 회원 가입 및 기존 이용자 계정 수정, 변경에 이용된 것으로 파악되었다. 정말 피해는 거의 없다는 '해석'은 맞을까.

해킹에 동원된 기술은 파라미터 위·변조라는 초보적인 수법이었다. 아이핀 발급에 필요한 사용자 인증을 하기 위해서는 몇 단계의 절차를 거쳐야 한다. 해킹은 이 절차들을 이미 거쳐간 것처럼 신호를 조작해 인증단계를 통과, 부정발급에 성공한 것이다.

범인은 누구였을까. 행자부는 관련 기관들을 모아 TF를 구성하는 한편 경찰에 수사의뢰했다. 행정자치부는 "부정발급에는 2000여개의 국내 IP가 동원되었으며 중국어 버전의 소프트웨어가 사용된 것으로 파악되었다"고 밝혔다. 중국발 해킹 가능성을 암시하는 대목이다.

아이핀 발급은 공공기관에서만 가능한 것이 아니다. 현재 3개의 민간신용평가 회사에서도 아이핀 발급이 가능하다. 지역정보개발원과 같은 공공기관이 발행한 공공아이핀은 총 300만개. 당시 언론들은 "단 3일간 20%에 해당하는 공공아이핀 발급이 급증했는데도 몰랐다는 것은 납득하기 어렵다"며 해킹 은폐의혹을 제기했다. 행자부 관계자는 "솔직히 말해 담당자가 월요일 출근 이후에야 해킹 사실을 알게 됐다"고 말했다. 이 관계자는 "해킹 사실을 은폐한 것이 아니라 행동 개시 이전부터 내부망에 들어와 주의 깊게 패턴을 관찰하던 해커가 금요일 퇴근 직후부터 작전을 개시했던 것"이라며 "밖에서 보기에는 초보적 기술에 의해 어이없이 뚫린 케이스로 평가할지 모르겠지만, 수많은 과정 중 취약점을 사전에 발견하기는 쉽지 않다"고 덧붙였다.

이번 사건에서 '기시감'이 드는 이유는 왜일까. 공인인증서와 마찬가지로 2006년부터 주민번호의 대체인증수단으로 도입된 아이핀이 '개인정보보안'의 대책이 될 수 없다는 점은 도입 추진단계에서부터 정보보호 및 프라이버시권 침해문제를 감시해온 시민단체들로부터 줄기차게 제기되어 왔다. '주민번호 대신 아이핀'이 만연한 개인정보 유출사건의 대책이 아니라는 지적이었다. 그리고 언젠가 발생할 것으로 우려되었던 사태의 현실화다. 행자부 TF팀 조사에서 또한 밝혀진 것이 2008년 이후 프로그램 업그레이드와 보안투자가 거의 이뤄지지 않았다는 것이다. 결국 비판 목소리는 '쇠 귀에 경 읽기'에 불과했을까.

3월 25일, 행자부는 '공공아이핀 부정발급 재발방지 종합대책'을 발표했다. 추가인증 수단 도입과 부정사용방지시스템(FDS) 도입 등과 함께 공공아이핀 유효기간을 1년으로 제한하는 한편, '3개월에 한 번씩 비밀번호를 변경하게 하는 캠페인을 벌이겠다'는 내용이다. 앞의 행자부 관계자는 "본인확인 수단인 아이핀이 주민번호를 대체해 과도하게 사용되고 있다는 지적은 원칙적으로 맞다"며 "앞으로는 공공기관 웹사이트에서 가급적 회원가입 없이 이용가능하게 하는 한편, 연령 확인 등 본인 확인이 꼭 필요한 서비스에서만 최소한의 범위에서 공공아이핀이 사용되도록 관련 지침을 개정할 것"이라고 덧붙였다.

<정용인 기자 inqbus@kyunghyang.com>