과거 한국의 인터넷뱅킹은 액티브엑스로 뒤덮인 제대로 걷기 힘든 길을 어떻게든 뚫고 가야 하는 일이었다. 하지만 다행인지 불행인지 이제는 스마트폰의 시대다. 대부분의 업무는 스마트폰을 통해 별도의 플러그인 필요 없이 그럭저럭 가볍게 처리할 수 있게 되었다. 아 설마 아이폰만의 이야기일까? 안드로이드는 뭔가 추가로 설치해야 한다던데 잘은 모르겠다.
하여간 이렇게 스마트폰을 통한 모바일 인터넷뱅킹이 일반화된 시점이지만 그럼에도 여전히 PC 등에서의 인터넷뱅킹 이용이 필요할 때가 있다. 특히 아직도 살아남아있는 공인인증서의 아류인 공동인증서 발행이나 갱신이 유명하다. 아직도 이 한국만의 이상한 외부 인증서 시스템은 여전히 스마트폰에서 순수하게 사용하기가 거의 불가능에 가깝다.
이런 사유로 어쩔 수 없이 PC나 맥에서 인터넷뱅킹을 해야 할 땐 다시금 과거의 악몽이 떠오른다. 아니 악몽이 아니라 현실이지만 말이다. 지금도 PC나 맥에서는 플러그인을 잔뜩 깔아야 겨우겨우 인터넷뱅킹을 쓸 수 있으니 말이다.
개인적으로 이런 플러그인 기반의 보안 시스템을 굉장히 반대하는 편인데 주된 이유로는 불편함이나 접근성과 함께 보안을 문제 삼는다. 보안 플러그인인데 보안이 문제라니 도대체 뭔 소리인가 싶을 거다.
다짜고짜 예부터 보자. 이런 기사가 최근에도 나오고 있다.
국내 금융 서비스 이용 시 의무 설치되는 보안 소프트웨어가 오히려 해킹 공격에 취약하다는 연구 결과가 나왔다. KAIST 연구진은 기존 금융 보안 체계의 근본적인 구조적 한계를 지적하며 웹 표준 기반 보안 체계로의 전환이 시급하다고 강조했다. (출처)
쉽게 말해서 보안 플러그인이 해킹되는 것의 위험성에 관한 기사다. 보안 도구라면 더욱 철저히 지킬 것 같은데 그게 아니라는 말이다. 오히려 보안 플러그인의 보안이 뚫려서 더 심각하고 빠르게 위험에 노출될 수 있다니 정말 끔찍한 이야기다.
사실 이 문제는 공인인증서 때부터 이어져 오던 예견된 보안 문제다. 한국의 인터넷뱅킹은 의무적으로 보안 플러그인을 설치해야만 했다. 그렇다면 이 플러그인은 해커의 공격 대상으로 딱 적당하다. 이것만 해킹하면 수많은 사용자들의 개인정보를 손쉽게 빼내거나 도둑질을 할 수 있을 테니 말이다. 아무리 보안 플러그인 개발사의 실력이 좋다 한들 이런 집중 공격에는 취약해질 수밖에 없다.
키보드 보안도 유명한 뱅킹 플러그인 중 하나다. 해커가 사용자의 키 입력을 가로채지 못하게 하는 것이 그 목적인 플러그인이다. 그런데 만약 이 플러그인이 뚫려서 입력하는 모든 키 입력을 전송하는 도구가 된다면 어떻게 될까? 이도 정말 끔찍한 이야기다. 하지만 현실이 될 수 있다. 앞서 이야기한 대로 보안 플러그인은 오히려 해커의 공격 대상이 되기 더 쉬운 법이다.
이 외의 모든 플러그인은 당연하게도 공격 루트가 될 수 있다. 인터넷뱅킹을 위해 플러그인을 설치하는 게 여전히 강제되고 있는데 아주 대놓고 '중요한 문'이라고 써놓고 뚫으라고 도발하는 셈이나 다름없는 일이다. 사실상 보안 플러그인이 피싱이나 스니핑 등의 사기를 제외하면 한국 금융 해킹 공격 최우선 목표인 셈이다.
물론 이런 이야기가 나온 지 하루이틀 된 것도 아니다. 아주 오래전에 액티브X를 통해 보안 플러그인이 강제로 설치되던 때조차도 나오던 이야기다. 그저 '누군가의 이권'이 걸린 건지 정부나 민간 금융사 모두에서 그 비판을 전혀 듣지 않았으니 말이다. 더구나 해당 보안 시스템은 사용자에게 모든 보안 책임을 떠넘기는데 혈안이 된 시스템이기도 했다.
어쨌거나 해법은 그때도 지금도 똑같다. 바로 해킹의 집중 타깃이 되는 보안 플러그인을 쓰는 게 아닌 웹 표준 기반의 보안 체계를 사용하는 것이다. 바로 HTTPS를 기본적으로 사용하고, 공인(공동)인증서 대신 표준 인증 시스템을 써도 별 문제는 없을 것이다. 그리고 여기에 서버사이드 불법 행위 사전 파악 시스템의 구축을 강제해야 할 것이다. 기존의 사용자에게 모든 책임을 떠넘기던 제도에서 이제는 금융업계에도 책임을 분산시켜야 한다는 말이다.
보안 플러그인은 이 외에도 여러 불편 요소가 될 수 있다. 앞서 강제 설치 이야기가 나왔는데 그렇다면 강제 실행도 문제가 된다. 심지어 해당 인터넷뱅킹을 쓰지 않을 때도 일부 보안 플러그인은 상시 기동되며 사용자의 컴퓨터를 감시한다.
그리고 그런 상시 감시로 인한 불편함은 현실로 존재한다. 개인적으로는 키보드 보안 플러그인이 시스템을 불안정하게 만든 사례를 겪었다. 거기다 여러 종의 키보드 보안 프로그램이 설치되었다 시스템을 거의 쓸 수 없게 되었던 사례도 있다.
간혹 해당 플러그인의 버그로 제대로 실행되지 않아서 인터넷뱅킹을 쓸 수 없던 문제를 겪었던 것도 한두 번이 아니다.
사실 이 기록을 남기게 된 건 보안 문제도 있지만 이 불편했던 기억이 다시 떠올라서다. 부디 이제는 완전히 사라져서 맥에서도 리눅스에서도 모바일에서도 편하고 빠르고 가볍고 차별 없는 금융 서비스를 이용할 수 있으면 좋겠다.
내 맥을 망가뜨리는 망할 플러그인들
언제부터인가 맥북의 키보드가 이상해졌다. 특정 키 조합을 누르면 반응이 한참 걸렸다. 키를 누르면 랙이 걸린다는 표현이 딱 적절한 것 같다. 그것도 시간이 지나면 지날수록 더더욱 심해졌다
seorenn.tistory.com
'기술적인 이야기 > 잡다한 기술적인 이야기' 카테고리의 다른 글
| 크롬에서 별도의 도구 없이 웹페이지 전체 캡처하기 (한국어 버전) (3) | 2024.10.08 |
|---|---|
| iCloud 저장 공간의 50% 이상을 사용했습니다? (0) | 2024.02.13 |
| GDPR 메시지를 만들라는 애드센스의 압력에 굴복하기 (0) | 2023.08.18 |
| Apple ID 국가 변경을 위한 고난의 여정 (1) | 2023.04.15 |
| 개인적으로 느끼는 티스토리의 문제 (0) | 2023.03.20 |
댓글