컨텐츠 바로가기

03.29 (금)

[인사이드 스토리]독일 개발자가 뜯어본 한국 보안프로그램

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
과도한 정보 수집·약한 암호화 기술
"보안 발전 계기 삼아야" 자성론도


비즈니스워치

유명 광고 차단 프로그램 '애드블록 플러스' 개발자인 블라디미르 팔란트가 국내 보안프로그램 취약점을 폭로했다./그래픽=비즈니스워치

<이미지를 클릭하시면 크게 보실 수 있습니다>


최근 독일의 보안전문가가 한국의 보안 프로그램을 '저격'하며 개발자 사이에서 이슈가 되고 있습니다. 그가 문제를 제기한 프로그램은 국내 대부분의 은행과 관공서에서 필수로 쓰이는 프로그램이었는데요. 과연 어떤 점이 문제이길래 개발자들이 웅성거리는 걸까요.

광고 차단 프로그램 '애드블록 플러스(Adblcok Plus)'의 개발자인 블라디미르 팔란트는 지난달 25일 자신의 블로그를 통해 국내 보안 프로그램인 '아이피인사이드(IPinside LWS Agent)'의 약점을 지적하는 글을 올렸습니다.

이 프로그램은 거의 대부분의 관공서나 금융 사이트를 이용하기 위해 꼭 필요한 보안 프로그램입니다. 설치하지 않으면 정상적인 서비스를 이용할 수 없죠.

팔란트는 게시글을 통해 "이 프로그램은 원래 용도보다 더 많은 양의 데이터를 수집한다"고 주장했습니다. 필요 이상의 이용자 정보를 수집해 사이버 사생활이 침해될 수 있다는 겁니다.

예를 들어 크롬을 통해 아이피인사이드를 실행하면 이 프로그램이 컴퓨터 배경(프로세스)에서 작동 중인 카카오톡 등의 다른 프로그램 정보도 수집한다는 뜻입니다.

그는 "실행파일 확장자(*.exe)를 '깊이 우선탐색'하는 웹페이지를 만들었다"며 "충분한 시간이 주어진다면 이 웹페이지는 시스템에서 실행되는 모든 프로세스를 알아낼 수 있다"고 했습니다.

이쯤에서 머리에 쥐가 나는 것 같으니 컴퓨터 용어를 짚고 넘어가겠습니다. 깊이 우선탐색은 '잠수'와 비슷한 자료 탐색 방식입니다. 자료가 '정보의 바다'에 빠져 있다고 가정해봅시다. 깊이 우선탐색은 이 바다의 밑바닥에 빠져 있는 자료를 찾은 뒤 수면 위로 올라가는 탐색 과정과 비슷합니다. 그리곤 잠수해 바닥을 찍는 이 과정을 반복합니다.

또 팔란트는 아이피인사이드가 암호화한 사용자의 데이터를 저사양 컴퓨터로 푸는 데에 2시간 36분밖에 걸리지 않았다고 강조했는데요. 그는 "아이피인사이드가 쓴 암호화 방식은 '적당한 길이'의 열쇠(키)라면 안전하지만, 아이피인사이드의 키는 적당한 길이라고 할 수 없다"며 "1991년 4월에 있었던 RSA 소인수분해 챌린지에서 사용된 키보다도 길이가 짧았다"고 했습니다.

RSA 암호화는 우리나라를 포함해 전 세계적으로 쓰이는 암호 생성 방법입니다. RSA 암호화는 이 체제의 개발자인 리베스트(Rivest), 샤미르(Shamir), 에이들먼(Adleman) 세 사람의 성을 따서 이름을 지었습니다. 이 방식은 공개키와 개인키로 이뤄졌는데, 매우 큰 숫자는 소인수분해 하기 어렵다는 원리를 이용해 암호를 만듭니다.

예를 들어 수천만 호의 가구(공개키) 중 내가 가고 싶은 맛집 주소(개인키)를 알아야만 정확히 찾아갈 수 있는 것과 비슷합니다. 우리 속담으로 '종로에서 김서방 찾기' 정도가 되겠군요. 그만큼 원하는 주소를 찾기 어렵지만, 암호학 측면에서 보면 안전한 방식이라 할 수 있겠죠. 이런 RSA 암호를 누가 더 빠르고 정확하게 푸는지 경쟁하는 대회가 RSA 소인수분해 챌린지입니다.

그는 또 아이피인사이드에서 쓰인 키 길이가 320비트의 키였다고 했습니다. 이건 어떤 의미일까요.

0과 1로 대화하는 이진법으로 이뤄진 디지털 세상에서 비트는 정보를 나타내는 최소 단위입니다. '2의 N제곱'이라 했을 때 N이 비트에 해당합니다. 팔란트가 언급한 30년 전의 대회에서 쓰인 암호는 330비트였습니다. 심지어 그 대회 우승자는 330비트를 소인수분해 하는 데에도 며칠 걸리지 않았다고 알려졌습니다. 즉 30년 전의 RSA 암호화 '기출 문제'보다 뒤쳐진 방식으로 정보를 지킨다고 할 수 있겠죠.

RSA 암호 표준을 정하는 미국의 국립표준기술연구소(NIST)에 따르면 '중간 강도의 키'는 1024비트라고 규정했습니다. 암호를 풀기 가장 쉬운 난이도인 '강도가 낮은 키'는 512비트입니다. 팔란트의 주장이 사실이라면, 우리나라의 정보 보호는 매우 허술한 것입니다.

팔란트는 아이피인사이드 취약점 지적에 앞서 지난달 9일 키보드 보안 솔루션인 '터치앤키(TouchEN nxKey)'의 문제점을 공개하기도 했습니다. 그는 오는 6일과 다음달 6일에도 다른 국내 보안 프로그램의 취약점을 저격하겠다고 예고했습니다.

이 지적에 대해 국내의 보안 전문가들은 어떻게 생각하고 있을까요.

익명을 요구한 한 개발자는 "팔란트의 폭로는 PC 위주의 취약점 폭로였지만, 스마트폰 뱅킹에도 이러한 약점이 있는지 살펴봐야 한다"며 "정보기술(IT) 강국이라는 우리나라가 해외에서 보안 문제가 지적될 때마다 부랴부랴 불끄기에 바쁜 현실이 안타깝다"고 했습니다.

이번 폭로가 전화위복이 될 것이라는 의견도 있었습니다. 임종인 고려대학교 정보보호대학원 교수는 "세상에 완벽한 보안 프로그램은 없다"며 "인터넷 판 암시장인 '다크웹'에 팔면 돈이 되는 이 약점을 팔란트가 무료로 세상에 정보를 공유한 것"이라고 했습니다. 그러면서 그는 "보안 프로그램 제작사가 이번 일을 계기로 부족한 부분을 더 채우는 계기가 될 것"이라고 했습니다.

ⓒ비즈니스워치(www.bizwatch.co.kr) - 무단전재 및 재배포금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.