북한이 한국 은행 보안 프로그램, 농협 해킹? 가상머신 씁시다.

방문자분께서 최근 문제가 됐던 보안 프로그램 ‘이니세이프’에 대해서 문의를 주셨습니다. 우리의 안전을 위해 만든 ‘보안 프로그램’을 안전하게 써야하는 것을 신경쓰는 사람이 생긴다는 자체가 진짜 씁쓸합니다. 얼마전 언론에서 크게 이슈가 됐던것이 ‘이니세이프(INISAFE)’라는 인증서 관련 프로그램 입니다. 국내외 무려 1천만대 이상의 컴퓨터에 설치되어있는 것으로 추정한다고 하네요.

북한 핑계는 적당히 좀 하자

이명박 시절 농협사건도 그렇고 북한을 자기들 오점과 허점 덮는데 너무 이용해먹습니다. 한국 보안 프로그램 헛점은 예전부터 지속적으로 지적되어왔습니다. 뭐만하면 “어! 북한이 그랬어요!” 해버리는게 일종의 면죄부가 되어버린 느낌입니다. 노인네들이야 “어 그려? 빨갱이 간첩이 했나부네~”하고 넘어가겠지만 젊은 층들은 워낙 정보에 많이 노출이 되어있고 검색도 잘 하기 때문에 눈가리기식 변명과 보도에 쉽게 속지 않습니다.

“사기 당한놈이 잘못 아님?”이런 류의 논리가 아닙니다. 고여서 썩어가지 않게 경쟁과 평가를 제대로해서 철밥통급 먹거리를 확보한 회사가 안주하지 못하게 해야 합니다. 특히나 보안은 방산과 같다고 생각하기 때문에 더더욱 그래야한다고 봅니다.

다른 국가는 이렇게 컴퓨터 더럽히는 것들을 이중삼중으로 설치하지 않아도 금융 거래 잘 됩니다. 설치한 사람의 컴퓨터를 몇세대 구형으로 만들어버리고, 뭐가 꼬이면 하루의 절반은 그냥 날아가버리게 만드는 이런 구조는 이제 바꿔야 합니다.

아래 글을 보면 아시겠지만 북한 찌끄래기들이 본질적인 문제가 아닙니다.

한국 보안 프로그램은 삭제 대상

제가 과거에 안랩 세이프 트랜젝션 글을 읽어보시면 어떤 느낌인지 알 수 있습니다. 필요 이상의 영역을 침범하고 선을 꽤나 넘습니다.

최근 독일 보안 전문가는 대놓고 Veraport 등의 취약점을 지적하기도 했습니다. 자세한 것은 블라디미르 팔란트의 글 번역본을 읽어주세요. 후속타로 IPinside는 대한민국 필수 설치 스파이웨어라고 부르기도 했어요. 그리고 라온시큐어의 TouchEn nxKey 글도 있습니다.

국제적 망신을 당한 이 보안 어플들 업데이트가 언제 올라오나 보고있었는데.. 역시나 돌아오는 것은 실망 뿐, 지금까지도 피해왔지만 앞으로 더더욱 적극적으로 피할 생각입니다. 불가피한 상황을 제외하고 컴퓨터에서는 한국 보안 플러그인 쓸 일을 만들지 않기로 했습니다.

참고로 Wizvera VeraPort는 2020년에 이미 Lazarus Group(북한 정찰총국의 사이버 공격 부대)으로부터 한번 유린당한적이 있습니다. 팔란트의 글을 읽어보면 단순 보안 업데이트 패치 문제가 아니라 본질적인 위험성을 가지고 있다고 밝히고 있습니다.

한국 보안 앱은 마치 패딩 갑옷같은 느낌이랄까요..?

그리고 은행 보안 프로그램의 경우 문제점이 각각의 은행에서 직접 보안 프로그램을 배포하는데 은행별로 보안 애플리케이션 버전이 다른 것도 지적하고 있습니다. 보안 업데이트는 시간이 생명인데 각 보안 앱들이 실시간으로 업데이트되는게 아니라 내가 사용하는 은행에서 업로드 및 업데이트 요구를 하지않으면 한참 뒤쳐진 버전을 사용할 수 있다는 것 입니다.

참고로 해당 글을 보면 한국시티은행 웹페이지에서는 글 작성 시점보다 3년이나 이전 버전인 TouchEn nxKey 1.0.0.75버전이 배포되고 있었다고 합니다. 실수로 잘못된 다운로드 페이지로 들어가면 2015년 버전을 받을 수도 있다고..

저의 짧은 식견으로 판단하기엔 한국의 보안 프로그램들은 ‘기술력’이 아닌 ‘영업력’으로 살아남았다고 봅니다.

위의 보안 전문가가 취약점에 대해서 알려주려고해도 연락이 닿지 않았다고 이야기하는 부분은 정말 가관입니다.

과연 문제가 수정될까?

일반적으로 내가 취약점을 공개할 때는 문제가 이미 수정된 후이다. 그러나 이번에는 안타깝게도 그렇지 않다. 내가 알기로는 지금까지 해결된 문제가 하나도 없다. 제품 공급업체가 언제 이 문제를 고칠 계획인지도 모른다. 특히 은행이 현재 릴리스보다 최소 세 버전 이상 뒤처진 빌드를 배포하고 있다는 점을 고려할 때, 업데이트된 제품을 사용자에게 어떻게 배포할 계획인지도 알 수 없다. 기억하고 있겠지만, 자동 업데이트 기능은 없다.

이러한 문제를 신고하는 것조차 복잡했다. 라온시큐어는 보안 전문 기업임에도 불구하고 보안 관련 연락처를 전혀 기재하고 있지 않았다. 사실 라온시큐어는 서울에 있는 전화번호 하나를 제외하고는 어떠한 종류의 연락처도 공개하고 있지 않다. 나는 한국에 직접 전화해서 거기 영어 할 줄 아는 사람이 있는지 물어볼 생각은 없다.

다행히도 KrCERT는 외국인이 사용할 수 있는 취약점 신고 양식을 제공한다. 이 양식은 종종 오류가 발생하여 모든 내용을 다시 입력해야 하기도 하고, 일부 신고는 명백한 이유 없이 웹 방화벽에 걸리기도 하지만, 적어도 보안 관련 연락처를 찾는 부담은 다른 사람이 떠안게 된다.

내가 찾은 모든 취약점을 2022년 10월 4일에 KrCERT에 신고했다. 그 뒤에도 라온시큐어 경영진에게 직접 연락을 시도했지만, 아무런 답변도 받지 못했다. 일단 KrCERT는 약 2주 후에 내 신고 내용을 라온시큐어에 전달했다고 회신해 줬다. 또한 라온시큐어에서 나에게 연락하기 위해 내 이메일 주소를 물어봤다고도 전해줬다. 하지만 나는 연락받은 적이 없다.

이것이 전부이다. 취약점 신고 후 90일간의 공개 유예 마감일은 이미 일주일 전에 지났다. TouchEn nxKey 1.0.0.78은 내가 취약점을 보고한 날인 2022년 10월 4일에 릴리스된 것으로 보인다. 이 글을 쓰는 현시점에서 가장 최신 버전이지만, 여기에 설명된 모든 취약점이 여전히 존재한다. 수많은 사람이 사용하는 TouchEn 브라우저 확장 프로그램의 최신 버전은 여전히 5년 전 2018년 1월에 출시된 버전 그대로이다.

업데이트 (2023-01-10): 라온시큐어는 한국 언론에 해당 취약점을 수정했으며, 고객에게 업데이트를 배포했다고 주장했다. 그러나 현 시점에서 이 주장이 사실인지 확인할 수가 없다. 이 회사의 자체 다운로드 서버는 여전히 TouchEn nxKey 1.0.0.78을 배포하고 있다.

그리고 또 하나 웃지못할.. KrCERT(*사이버위협으로부터 국가와 국민의 안전을 지키겠다고 말하는 인터넷침해사고대응지원센터)에 관한 썰

2023년 1월 5일에 KrCERT는 취약성 양식을 통해 제출된 최소 4개의 신고서를 위즈베라에 전달했을을 통보하였다. 이메일로 제출된 신고서에 관해서는 한동안 연락을 받지 못해 위즈베라가 해당 보고서를 받았는지에 대한 확신이 없었다.

그러나 이것이 내가 KrCERT로부터 들은 마지막이 아니었다. 2월 6일에 그들로부터 버그 바운티 프로그램에 나를 초대하는 요청하지도 않은 이메일을 받았다.

그렇다, 모든 수신자의 이메일 주소가 "받는 사람" 필드에 나열되었다. 그들은 이메일을 통해 보안 연구원 740명의 이메일 주소를 유출했다.

2시간 후에 온 사과 이메일에 따르면 그들은 실제로 두 번째 이메일에서도 같은 실수를 저질러 총 1,490명이 영향을 받았다. 이 이메일은 또한 완화 조치를 제안했는데 KrCERT가 속한 정부 기관인 KISA에 사건을 보고하는 것이다.

각자도생의 시대 입니다.

우리가 해야할 일은?

덤벼봐

첫 번째. 보안 프로그램 즉시 업데이트

거지같은게 은행 및 관공서 사이트를 사용하려면 어쩔 수 없이 써야한다는거죠. 일단은 무조건 빨리 업데이트를 해야 합니다. 물론 해당 사이트에서 제대로 업데이트를 해줘야 가능하겠지만요.. 보안 앱 뿐 아니라 평소 윈도우 업데이트가 뜨는 것도 즉시즉시 해주는 습관은 정~~~말 중요합니다.

두 번째. 구라제거기로 싹 한번 치우자

구라제거기는 유명한 쓰… 보안 플러그인 제거 앱 입니다. 만약 내가 은행, 관공서 등의 사이트를 자주 쓰지 않는다면 이런걸로 청소한번 해주시는 것을 추천드립니다.(매일 컴퓨터로 은행, 관공서 사이트를 쓰셔야 한다면 설치하지 마세요. ㅜㅜ)

세 번째. 은행, 관공서 전용 가상컴퓨터를 따로 사용

이 부분은 컴퓨터에 익숙한 사람에겐 어렵진 않지만 그래도 컴맹, 초보분들이 하기에는 너무 복잡할 수 있습니다. 하지만!! 길게 봤을 때 이참에 배워두면 앞으로 두고두고 유용하게 써먹을 수 있고, 훠~얼씬 더 안전하고 깨끗하게 컴퓨터를 유지할 수 있습니다.

vmware, 버추얼박스(VirtualBox), Hyper-V(윈도우 프로 이상 유저만 사용 가능)을 쓰시는게 좋습니다. 저는 vmware workstation 유료 버전을 사용하고 있습니다.

해당 사용법은 따로 검색하시면 엄청나게 많이 나옵니다. 별로 어렵지 않습니다! 윈도우 프로 이상 사용중이시면 하이퍼V 쓰시고, 아니면 버추얼박스 / Vmware 아래 무료 버전(개인 비상업용)을 쓰시면 됩니다.

마이크로소프트에서 제공하는 윈도우 ISO 파일 구해서(불법 아님) 가상머신에 설치한 후에 실컷 설치해서 사용하시면 됩니다. 그럼 메인 컴퓨터는 더럽혀(?)지지 않은 깨끗한 상태로 쓸 수 있습니다.(매우 중요!)

가상머신에는 ‘스냅샷’이라고 현재 상태를 저장해서 언제든 되돌릴 수 있는 기능이 있는데, 처음 윈도우 깔고 웹브라우저 등 본인이 원하는 세팅을 해놓은 뒤 스냅샷1로 저장해놓고 쓰시다가 언제든 되돌려도되고, 중간 중간 원할때마다 이름을 지정해놓고 쓰시면 됩니다.

저는 스냅샷1(기본세팅 끝낸 후), 스냅샷2(주거래은행 및 자주 사용해야할 정부 사이트 관련 보안 앱 설치 후) 이렇게 두개를 떠놓습니다.

아쉽게도 무료 버전에서는 스냅샷 같은 기능이 제한되는 경우가 있습니다.

네 번째. 이왕이면 스마트폰 앱으로

컴퓨터로 많은 은행 업무를 봐야하시는 분들은 제외지만, 될 수 있으면 스마트폰 앱으로 해결하세요. 요즘 토스, 카카오뱅크 등 쓰기 쉽잖아요. 서류 업무도 폰으로 되는건 최대한하고, 그 다음은 고객센터 전화로 요청, 그리고 따로 검색 및 지정해서 받아야할 데이터는 가상머신으로 들어가서 해결합니다. 그리고 관공서 또한 조금씩 나아지고는 있더군요.

결론

보안 강국으로 가려면 근본적으로 현재의 썩은 판을 싹 갈아엎어야 하는데 사실상 어렵습니다.

Ahnlab만 하더라도 안철수가 정치판에서 이리저리 자리 옮기면서 계속 한자리 해먹고있는데, 누가 안랩을 털겠습니까.. 다른 보안 프로그램 업체들도 다들 뿌리를 깊게 내려놨으니 어려울 따름입니다.

결론은 우리가 알아서 잘 해야 합니다. 그리고 문제가 자주 생기는 농협은 피합시다. 보안관련 문제가 터졌다하면 농협이라 저는 안씁니다.

2 Comments

  1. 개인정보가 오픈소스가 되어가는 요즘 가몸의 비 같은 글이네요 몰랐던 프로그램도 있었고 구라제거기도 편하더군요 글 잘봤습니다

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다