• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 해결위해서는‘사고의 전환’ 필요 2007.05.11

행정자치부가 개인의 주민등록번호 사용내역을 조회할 수 있는 ‘주민번호 클린 캠페인(clean.mogaha.go.kr)’ 서비스를 시작한 3월 13일 접속자가 폭주해 해당사이트는 물론이고, 행자부 홈페이지도 다운되었다.


이보다 더 큰 문제는 클린 캠페인의 사이트가 기본적인 암호화도 되어있지 않아 간단한 해킹 툴을 이용해 개인정보를 훔쳐갈 수 있다는 지적이 제기되자, 행자부는 그제야 부랴부랴 문제해결에 나섰다는 점이다. 서비스를 이용하기 위해 해당 사이트에 접속하면 이름, 주민등록번호와 신용카드 번호, 유효기간 등 민감한 정보를 입력하게 되어있는데, 이 과정에서 자신이 입력하는 정보를 보호할 수 있는 장치가 아무것도 없다는 것이었다.


김기창 고려대학교 법대 교수는 “이것은 단순한 해프닝이 아니다. 우리 정부의 보안의식 수준을 그대로 보여준 것”이라고 비판했다. 김기창 교수는 “보안을 강화하라고 하면 정부는 인력과 예산이 부족하다고 하소연한다. 그러나 보안이 어려운 것이 아니다. 인식만 달리하면 보안문제는 의외로 쉽게 풀릴 수 있다”고 말하면서 ‘사고의 전환’을 강조했다. 컴퓨터가 자동으로 설치해주는 보안은 해킹당할 수밖에 없으므로, 이용자가 스스로 알아서 보안수준을 선택할 수 있는 시스템을 갖추는게 가장 기본적이고, 상식적이며, 효과적인 방법이라고 주장했다.


“대부분의 사람들은 인터넷 뱅킹 사이트를 열었을 때, 작은 창이 뜨면서 무엇인가 프로그램을 설치하라는 메시지가 나오면 어떤 프로그램인지 알아보지도 않고 무심코 ‘설치’를 누른다. 해당 프로그램을 설치하지 않으면 인터넷뱅킹을 이용할 수 없기 때문이다. 인간의 판단력이 무시당하고, 소프트웨어의 지배를 받는 세상이 되었기 때문에 취약점이 많아졌다.”


김기창 교수는 “우리나라는 인터넷망이 넓게 퍼져있으면서도 이용자들의 보안의식은 약하다. 인터넷 이용환경은 윈도우가 장악하고 있어 정부와 공공기관도 윈도우가 아니면 사용할 수 없다. 이를 이용해 외국의 해커들이 우리나라 사람들의 컴퓨터를 좀비로 만들고 있다. 하나의 시스템이 독점하면 보안 취약점이 생긴다는 것”이라고 강조했다.


그는 많은 사람들이 지적하는 것처럼 IT 산업에서 특정 제품의 독점을 막을 수 없다는 것은 어쩔 수 없는 현실이라고 인정하면서도 한 가지 제품이 시장을 독점했다고 해서 정부가 다른 제품을 쓰는 사용자도 그 제품으로 이동할 것을 강요해서는 안된다고 주장했다. 우리나라에서는 윈도우가 아닌 리눅스를 쓰는 사람은 인터넷뱅킹도 못하고, 공인인증서도 받지 못한다. 정부가 리눅스 사용자를 윈도우 사용자로 전환시키려는 것이나 다름없다고 김교수는 목소리를 높였다.


정부와 공공기관 홈페이지가 윈도우 기반으로 구축되어 다른 OS에서는 제대로 작동하지 못한다는 것은 이미 오래 전부터 지적되던 문제이다. 특히, 윈도우 비스타 출시와 함께 호환성 문제가 대두되면서 “전자정부와 금융권이 윈도우의 지배를 받기 때문에 온 나라가 비스타 몸살을 앓고 있다”는 비판이 제기되기도 했다.


전자정부가 확대되어야 한다는 것에는 누구도 이의를 달지 않는다. 유비쿼터스 사회가 다가올수록 정보는 더 많은 곳으로 송출되고, 더 많은 보안취약성이 생기게 되므로 정보보호는 앞으로 가장 중요한 이슈가 될 것이다. 이에 따라 보안기술은 눈부시게 발전하겠지만, 완벽한 보안이 이루어진다고 할 수는 없다. 공격기술은 보안기술의 몇 배 이상 빠른 속도로 변하기 때문이다.


김기창 교수는 “해킹을 막기 위한 보안은 끝이 없다. 근본적인 대책이 필요하다”며, “가장 중요한 것은 인터넷에서 이용자에게 설치를 강제하는 프로그램이 없어야 한다는 것”이라고 지적했다. 액티브X로 인해 우리나라 인터넷 사용자들은 보안경고창이 뜨면 무심코 ‘설치’ 버튼을 누르도록 훈련되어 있던, 악의적인 공격자가 악성코드를 설치하는 프로그램을 만들어 보안경고창과 똑같은 모양으로 만들면 사용자들은 의심없이 이를 설치해, 키로거 등 각종 해킹에 의한 피해를 입거나 좀비 PC가 되어버린다.


“우리나라 IT 산업의 가장 큰 문제는 앞선 기술을 연구하고 배우는 사람은 쫓겨나고, 현재 있는 것을 그대로 사용하려고 한다는 것”이라며, “전자정부의 보안문제를 해결하기 위해서는 기술이 아니라 프로세스 상에서 보안 취약성을 없앨 수 있는 방안을 연구하는 것이 가장 먼저”라고 강조했다.

[월간 정보보호21c 통권 제80호 길민권/김선애 기자(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>