금융보안 모듈의 데몬 방식, 낮은 버전 SSL 사용하면 중간자 공격 위협에 노출

[보안뉴스 김경애] 액티브X 방식을 대체할 목적으로 출시된 금융보안 모듈의 데몬 방식에서 낮은 버전의 SSL(Secure Sockets Layer)이 취약점에 노출돼 문제가 되고 있다.


데몬 방식은 보통 부팅시 동작하는 프로그램을 지칭한다. 한번 설치하면 일일이 설치할 필요가 없고, 액티브X처럼 공격자에게 속아 모르고 설치할 위험성이 적다. 뿐만 아니라 IE 브라우저에서만 호환되는 액티브X와 달리 여러 브라우저에서 호환돼 주목받아 왔다.

하지만 최근 해당 방식의 중간자 공격 가능성이 제기된 것. 이를 본지에 알려온 한 제보자는 “2개의 보안업체에서 제공하는 금융보안 모듈 소프트웨어의 경우 PC 내에서 통신포트(Port) 접속을 허용하고 있어 외부 공격에 노출된다”며 “이는 액티브X 대체로 등장한 데몬 방식에서 사용되는 SSL 프로토콜 버전에 취약점이 있어 안정성 문제가 제기된 것”이라고 지적했다.


해당 방식의 경우 부팅시 동작을 지속해야 하기 때문에 리소스(메모리, CPU)를 사용하고 데이터 통신을 위해 포트를 계속 열어둬야 하는데, 알려진 포트가 공격의 빌미를 제공할 수 있다. 만약 SSL 취약점과 함께 결합하면 클라이언트(Client)와 서버의 중간지점에서 데이터를 노출시킬 가능성이 있다. 즉, 낮은 버전의 SSL을 사용하면 중간자 공격을 받을 가능성이 있다는 얘기다.

이 외에도 △네트워크를 통해 원격지 다른 PC에서 인증서 조회 가능 △암호 알고리즘의 키 길이값 짧음(128비트 미만) △HTTPS 재협상 허용 △웹브라우저로 서비스 이용시 숨겨진 프로그램(악성코드)이 동일하게 서비스를 이용할 수 있는 불편함과 문제점 등이 제기됐다.

이러한 문제점에 대해 해당 보안업체 관계자는 “다른 PC에서 인증서 조회가 가능한 부분에 대해서는 로컬만 접속되도록 조치를 취했으며, Open SSL 라이브러리는 신규 적용을 위해 대기 중에 있다. 하지만 윈도우XP와 IE7 등 하위 브라우저 영향도는 확인 중에 있어 확인되는 즉시 낮은 브라우저 버전에도 적용할 예정”이라고 해명했다.

또한, 나머지 문제점에 대해서도 조치할 수 있도록 대기 중에 있으며, 하위 브라우저 영향도를 확인한 후 전체적으로 적용 조치할 방침이라고 덧붙였다.

이에 대해 노브레이크 박찬주 수석은 “보안업체는 취약점에 대한 보다 발 빠른 대처로 높은 버전의 SSL을 보안 프로그램에 적용해야 한다”며 “높은 버전만 허용하는 방식으로 바꾸도록 하거나 데몬 배포시 버전 체크를 하는 로직을 넣어야 한다”고 설명했다.

이어 그는 “안전한 버전의 SSL을 적용해 데몬을 재배포하고, 클라이언트 서버에서도 안전한 버전의 SSL과의 통신만 허용하도록 해야 한다”며 “일반 사용자는 보안 프로그램을 사용한 후 삭제해야 한다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>