지금까지 DDoS의 배후에 누가 있는지에 대해서 관심이 집중되었다. 이제는 3차 공격까지 큰 피해 없이 마무리되자 기술적인 분석으로 눈을 돌리는 분위기가 감지된다. 보안업계가 DDoS 공격과 관련해 주목하는 부분은 다름 아닌 ‘액티브X(ActiveX)’이다. 한 보안업계의 관계자는 “이번 DDoS의 공격에 한국이 유독 큰 피해를 입는 것은 액티브X 탓이다”라고 주장했다.
액티브X는 인터넷 이용자를 보호하기 위해 설치하는 프로그램이다. 이것은 일반 응용프로그램과 웹사이트를 연결하는 역할을 한다. 국내 인터넷 이용자들은 로그인, 채팅, 파일 첨부, 광고, 게임, 카드 결제, 인터넷 뱅킹, 사이버 트레이딩 같은 전자상거래 분야에서 거의 모든 업무를 처리할 때 액티브X를 설치한다. 국내 이용자들은 웹서핑을 하다가 경고창이 뜨면 습관적으로 ‘설치’를 누르는 일이 잦다. 이럴 경우 이용자 컴퓨터에 어떤 영향을 줄지에 대한 경고나 주의 없이 액티브X(ActiveX)가 사용자의 컴퓨터에 설치된다.
사용자는 컴퓨터에 무엇인가 깔렸다는 사실은 알지만 그것이 어떤 기능을 수행하는 프로그램인지는 그다지 궁금해하지 않는다. 다만, 액티브X를 설치하지 않는다면 웹사이트를 이용하는 것 자체가 불가능하다는 것을 경험적으로 알고 있을 뿐이다. 액티브X는 종류에 따라 사용자의 동의를 구하기도 하고, 강제적으로 설치되기도 한다. 동의를 구하는 경우라도 액티브X가 없을 경우 웹사이트를 완전히 이용할 수 없다는 점에서 어느 정도 강제적인 의도를 내포하고 있다고 볼 수 있다.
악성코드 이용해 개인 컴퓨터 원격 조정
액티브X는 윈도우즈 사용자들이 인터넷을 편리하고 쉽게 이용하도록 마이크로소프트(MS) 사에서 개발했다. 다시 말해 MS의 웹브라우저인 인터넷 익스플로러(IE)만을 위해 고안된 기술이다. 액티브X가 DDoS와 어떤 관련이 있는 것일까? 류상훈 G2CNI 이사는 “국내 웹사이트는 거의 모든 액티브X를 사용하는 탓에, 해커의 입장에서 액티브X에 악성코드를 설치해 좀비 컴퓨터를 확보하기 쉬운 환경이다”라고 설명했다.
이번 DDoS의 공격과 맞물려 새롭게 등장한 개념이 일명 ‘좀비 컴퓨터’이다. 좀비 컴퓨터는 DDoS 공격에서 총대를 메고 있는 보병이다. 공격 대상 사이트에 의미 없는 트래픽을 보내서 서버에 과부하를 걸리게 하는 역할을 한다. 원격 조정이 가능하게 하는 것은 좀비 컴퓨터에 있는 악성코드이다. 보안 전문가들에 따르면 현재 유포되고 있는 대다수의 악성코드는 키 입력, 화면 캡처 등 개인 컴퓨터를 원격으로 좌지우지할 수 있다. 컨트롤타워가 공격 명령을 내리면 악성코드가 작동하고 자동으로 다른 사람을 공격하는 시스템이다.
액티브X와 DDoS의 연관성을 말해주는 것이 바로 이 좀비 컴퓨터이다. 보안업체인 ‘시만텍’이 스팸 동향을 분석해 발표한 ‘시만텍 월간 스팸 보고서’에 따르면, 국내 좀비 컴퓨터 증가율은 세계 최고 수준이다. 한국은 지난해 10월에만 전월 대비 4천2백36% 증가율을 기록했다. 같은 기간 카자흐스탄(7백61%), 루마니아(6백7%), 사우디아라비아(5백55%), 베트남(5백40%) 등 뒤를 따르고 있는 국가들에 비해서도 월등히 높다. 보안업계의 전문가들은 국내에서 좀비 컴퓨터가 급증하는 이유로 액티브X를 꼽는다. 반면, MS는 억울해한다. 김홍석 MS 보안프로그램 매니저는 “이번 공격에 동원된 좀비 컴퓨터의 악성코드를 모두 모아 이미 본사로 보내 실험을 마쳤는데, 액티브X의 취약성 때문은 아니라는 것을 확인했다”라고 말했다. MS가 7월7일 운영체제 윈도우즈 내에 탑재된 액티브X의 보안상 문제를 보완하겠다는 요지의 보안 권고문을 발표한 것이 DDoS 공격과 맞물리면서 오해가 빚어졌다는 것이다.
하지만 액티브 X의 취약성은 보안업계에서 줄곧 제기되었다. 액티브X에 악성코드가 포함되어 컴퓨터에 설치되는 경우가 많다는 지적이 있었다. 컴퓨터 보안 전문업체인 ‘시큐니아(Secunia)’에서 발간한 최신 연례 보고서에 따르면, 액티브X의 문제점이 드러난다. 인터넷 뱅킹과 공인인증서를 컴퓨터에 설치할 때 사용되는 기술은 플러그인이다. 각 브라우저에는 나름의 플러그인 기술이 적용되어 있다. 액티브X는 MS가 개발한 웹브라우저 익스플로러의 플러그인 기술이다. 시큐니아의 보고서에 따르면 웹브라우저의 플러그인에서 보안이 취약하다고 보고된 4백70건 중 액티브X는 3백66건을 차지했다. 다음으로 많은 자바의 54건과 비교해도 압도적이다.
보안업계, 액티브X 취약성 줄곧 경고
취약점을 발견하면 수정하면 된다. 하지만 약점이 있는데도 쓸 수밖에 없다는 것도 문제이다. 인터넷 통계데이터를 제공하는 ‘인터넷 동향’의 자료(6월10일~7월8일)에 따르면 MS 익스플로러를 사용하는 비율은 98.48%로 편중 현상이 극심하다. 해외에서 20% 이상을 차지하는 ‘파이어폭스’를 국내에서 사용하는 비중은 0.93%에 불과했다. 이런 환경에서는 개발자나 사용자나 모두 액티브X에 의존할 수밖에 없다. 한 보안업계의 관계자는 “외환위기 당시 정부에서 IT 인력을 대규모로 양성하면서 삼성SDS나 LG-CNS 등이 프로그래머 교육에 뛰어 들었는데 당시 교육생들은 액티브X에 대한 편리함을 강조하는 교육을 받았다. 그 학생들이 사회로 나가고 액티브X를 활용한 프로그램을 짜면서 더욱 확산된 측면이 있다”라고 말했다.
사용자 역시 마찬가지이다. 지난 3월 익스플로러8이 출시되었을 때 일부 은행의 인터넷 뱅킹 서비스에서 액티브X의 문제가 발견되었다. 조달청의 ‘나라장터’도 비슷한 곤란을 겪었다. MS 익스플로러가 새로운 버전을 발표할 때마다 정부 부처, 주요 금융 기관 등이 자신들의 웹사이트를 점검해야 하는 사태가 벌어지는 것도 이런 편중에서 비롯된다. 일반인들이라고 다를 바 없다. 인터넷 뱅킹을 한 번 하는 데도 보안 프로그램이나 공인인증서에 액티브X가 필수적으로 깔려야 한다. 류상훈 이사는 “액티브X 인증서를 8백개나 발행하는 나라는 한국밖에 없다. 파이어폭스나 사파리 등 다른 프로그램을 설치할 수 있는 환경을 조성해야 한다”라고 해법을 제시했다. 보안업체 하우리의 장상근 연구원도 “액티브X의 의존성과 DDoS의 연관성은 밝혀진 부분이 없지만 액티브X의 취약점을 노린 공격이 많으므로 주의가 필요하다”라고 말했다. 전문가들은 공통적으로 “다양성도 보안에서 중요한 요소이다”라고 지적했다. 한 가지 브라우저로 통일되어 있다면 한 가지 공격만으로도 속수무책이 될 수밖에 없기 때문이다.
한국은 MS 소프트웨어에 대한 의존도가 지나치게 높다. 액티브X도 MS 소프트웨어 제품에서만 사용하는 기술이다. 웹브라우저가 다르다는 이유로 인터넷 사용이 제한되면 웹 접근성이나 선택권이 존중되지 못한다. 따라서 정부가 개입해 다른 운영체제나 웹브라우저에서도 사용할 수 있는 호환성 있는 웹 기술을 확보해야 한다. 예를 들면, XPCOM 같은 플러그인 기술을 이용하면 MS 익스플로러뿐만 아니라 모든 웹 브라우저를 지원할 수 있다.
(www.openweb.or.kr)’이라는 곳이다. 오픈웹은 지난 2007년 공인인증 기관인 금융결제원을 대상으로 소송을 냈다. 인터넷 뱅킹 등 온라인 금융을 이용할 때 설치되는 액티브X는 오직 인터넷 익스플로러에서만 지원된다. 오픈웹은 이런 환경이 파이어폭스 등 MS 운영체제 및 웹 브라우저를 사용하지 않는 사람들의 선택권을 제한한다며 손해배상 소송을 제기했다. 지난 3월 서울고등법원은 항소심에서 항소 기각 결정을 내렸다. 비중 있는 사건이 아닌 탓인지 기사로 다룬 언론사도 거의 없었다. 하지만 당시 이 결정을 금융권 일각에서는 주의 깊게 지켜봤다. 판결에 따라 온라인 뱅킹 솔루션을 바꿔야 하는 경우도 생길 수 있었기 때문이다. 한 은행의 정보기술(IT) 기획부 관계자는 “의미 있는 소송인 것은 알지만 지금의 현실에서는 어쩔 수 없지 않겠느냐”라고 말했다.
액티브X의 영향이 가장 큰 곳은 금융권이다. 인터넷 뱅킹 등을 사용하기 위해서는 필수적으로 액티브X를 설치해야 한다. 웹 환경을 비판하는 측이 집중적으로 노리는 곳도 자연스레 금융권이 될 수밖에 없다. 오픈웹이 금융결제원을 상대로 소송을 낸 것도 이런 맥락으로 풀이된다. 현재 국내 전자금융거래에서 액티브X는 보안접속(128bit 암호화 접속)과 전자서명, 그리고 사용자의 컴퓨터에 키보드 해킹을 방지하거나 바이러스를 감시하고 치료 프로그램을 의무적으로 설치하는 데 사용된다. 반면, 비판론자들은 파이어폭스, 오페라, 사파리 등의 비MS 브라우저는 256bit 암호화 보안접속 기능을 기본으로 장착하고 있다며 굳이 액티브X를 강제할 이유가 없다고 주장한다.
금융권에서는 ‘보수적으로 움직일 수밖에 없다’라고 강변한다. 전자금융거래법에 따르면 개인용 침입차단시스템과 키보드 해킹방지 시스템을 설치하도록 지시했다. 하지만 그런다고 해킹이 원천 봉쇄되는 것은 아니다. 한 지방은행 IT 부서 책임자는 “보안 문제로 고객과 분쟁이 생길 경우를 감안하면 은행 잘못이 아니라는 점을 입증하기 위해서라도 강제적으로 설치하는 것이 낫다”라고 설명했다. 금융권의 입장에서는 액티브X로 보안 프로그램을 강제적으로 설치하면 최소한의 안전을 유지할 수 있다. 하지만 고객에게 프로그램의 설치를 맡겼다가 해킹 등으로 문제가 발생할 경우 누구의 잘못인지 알아내기가 어렵다. 은행 관계자는 “고객의 PC에서 백신프로그램이 구동 중인지 원격으로 알아내는 것은 현재 어렵다. 현재 단계에서는 차라리 액티브X를 이용해서 강제적으로 설치하는 것이 가장 확실한 방법이고, 기업의 의무를 다하는 것이다”라고 말했다.