2010년 3월 15일

한국적 공인인증서 시스템의 변화를 위해

ZDNET 칼럼 본문 링크

자세한 주장은 칼럼에 나와 있으니, 먼저 칼럼을 읽어 보신 후에 이 글을 읽으시면 좋겠습니다. 지면 관계상 칼럼에서 못한 말을 블로그에서 하려고 합니다.

이 주제를 얘기함에 있어 오픈웹 사이트를 언급하지 않을 수 없습니다. 오픈웹 사이트의 운영자인 김기창 교수님께서는 수년 째 오픈웹 운동을 지속적으로 해오고 계신데, 그 집념이 참으로 대단하십니다.

그런데 지금까지 암울하기만 하던 이 문제가 스마트폰(특히 아이폰)을 계기로 그 어느 때보다도 해결의 가능성이 높아 보이는 상황입니다. 그렇다고 해도 50% 이상이라고 할 수는 없습니다만..

이 문제의 해결에 조금이나마 힘을 보태고자 해당 글을 쓰게 되었습니다. 최근에 일부 사람들이 김기창 교수님의 노력을 곡해하는 모습도 보이나, 수년째 한 주제에 매달려 많은 희생을 치르고 있는 분께 그래서는 안 된다고 봅니다.

이에 제가 돕고 있는 기업호민관실에 이 문제를 상정하여 현재 본격적으로 이 문제의 해결을 위해 함께 노력하고 있습니다. 기술적으로는 제가 CISSP이고 CISSP협회의 연구이사로도 활동한 바 있으나, 보다 심도 깊은 내용은 경험이 풍부한 업계 전문가들의 도움을 받고 있습니다.

안타깝게도 진행 과정에 대한 자세한 사항은 공개적으로 말씀 드릴 수가 없습니다. 여러 정부기관들의 이해관계로 인해 일정 시점까지 외부에는 비공개로 진행할 것을 요청 받았기 때문입니다(일부 언론에서 정보를 입수하여 공개하기는 했습니다만).

칼럼에서 언급된 금융보안연구원의 “해외 인터넷뱅킹 보안현황 조사 보고서”는 오픈웹(Open Web)에서 잠시 공개된 적이 있는데 지금은 삭제된 상태입니다(관련 포스트). 이에 해외 사이트에 올라와 있는 링크를 알려 드리니 관심이 있는 분들은 직접 읽어보시기 바랍니다.

금융보안연구원의 “해외 인터넷뱅킹 보안현황 조사 보고서” 전문 (업데이트: 안타깝게도 본 포스트가 공개된 지 수 시간 만에 금융보안연구원측이 Slideshare에 올라와 있는 파일을 삭제했습니다. 하단 PS2 참고하세요.)

이 문제의 해결에 동의를 하시거나 여타 의견이 있으신 분은 본 포스트에 덧글을 남겨 주시거나, 트위터의 제 계정 @Bobbyryu 또는 기업호민관실 계정 @Korea_Ombudsman 에 멘션으로 글을 남겨 주시기 바랍니다.

여러분께서 도와주지 않으시면 C안이 되어 버릴 수 있습니다. 이 문제는 이용자로서 개인에게 미치는 영향은 물론이거니와, 업계 전반에도 미치는 영향이 상당합니다. 최소한 대안 기술들이 제대로 검토라도 될 수 있도록 관심을 가져주십시오.

PS1: 현재 저는 이 문제에 있어서 업계에 아무런 이해관계가 없으며 일개 발룬티어일 뿐입니다. 다만 1990년대 후반 액티브엑스 기술의 보급에 조금 일조한 부분이 있어 책임감을 조금 느낍니다.

PS2: 금융보안연구원에서 하단과 같은 메일을 보내왔습니다. 그리고 제가 어떤 조치를 취하기도 전에 알아서 신속하게 파일을 삭제했습니다. 이미 파일을 다운로드 받으신 분들께서는 해외 사이트에 파일을 올리신 후 덧글을 통해 링크를 공유해주시기 바랍니다. 좀 더 많은 분들이 봤으면 싶네요.

안녕하십니까? 금융보안연구원입니다.

류한석님께서 현재 운영하시는 블로그(http://bobbyryu.blogspot.com/2010/03/blog-post.html) 에 게시된 "해외 인터넷뱅킹 보안현황 조사 보고서(2010.2)"는 금융보안연구원 회원사(135개사) 대상으로만 배포한 비공개용 자료입니다.

죄송합니다만, 해당 블로그에서 본 보고서를 삭제하여 주시기 바랍니다.

감사합니다.

PS3: 금융보안연구원에서 또 메일이 왔습니다. 하단의 내용을 참고하시고요. 사이트에 요청해서 삭제를 했든 파일을 올린 이(제가 아니라 다른 분임)에게 요청해서 삭제를 했든 결국 삭제를 한 것인데, 어쨌든 오해가 없도록 그대로 알려 드립니다. (제 이름은 오타네요)

안녕하세요, 금융보안연구원입니다.

조금전에 메일을 드리고, 다시 사이트를 방문했다가 아래와 같은 내용을 확인하고 사실과 다른 내용이 있어 다시 메일을 드립니다.

---------------------------------------------------
금융보안연구원의 “해외 인터넷뱅킹 보안현황 조사 보고서” 전문 (업데이트: 안타깝게도 본 포스트가 공개된 지 수 시간 만에 금융보안연구원측이 Slideshare에 올라있는 파일을 삭제했습니다. 하단 PS2 참고하세요.)
---------------------------------------------------

- 언급하신 Slideshare에 올라있는 파일은 류현석님께 드린 내용과 동일하게 해당 파일을 올리신 분께 메일로 요청을 드렸고, 이에 바로 삭제하시겠다는 답장을 보내주신 후 바로 처리해주셨습니다.

상기 내용에 대해 추가적으로 궁금하신 내용이 있으시면 언제든 연락주십시요..

감사합니다.

PS4: 제가 트위터에서 트윗 남길 때 해시태그를 썼어야 하는데 깜빡했네요. 이 글과 관련된 트윗과 RT된 글은 여기를 참고하세요.

PS5: 3/22 전자신문사에서 저희측(저, 김기창 교수님)과 행안부측이 토론회를 했습니다. 그런데 행안부측 왈, 한국적 공인인증서시스템이 스마트폰 산업, 미래 산업의 발전을 가로막은 측면이 전혀 없으며 말도 되지 않는다고 합니다. 이것을 어느 정도 인정해야 변화를 할 텐데, 정말 안타깝군요. 기본적인 문제 의식에 대한 동의가 안 되니 토론이 참 힘들었습니다.

PS6: 익명으로 덧글을 남겨주신 분이 계신데, 알고 계신 상세한 사항을 적어 주셨습니다. 깊숙히 알고 계신 것으로 보아, 해당 업무에 직간접적으로 관련이 있으신 분으로 추정됩니다. 특히 스마트폰 관련 사항은 중요한 내용이라서 본문으로 옮겨 놓습니다. 하단의 글을 보시고요. 혹시 이와 관련된 의견이 있으신 분은 덧글 남겨 주십시오.

4월부터 금융결제원에서 제공하는 스마트폰용 공인인증서 모듈의 구성은 기존 PC에서의 ActiveX 모듈의 구성과 동일합니다. 즉, 개인키 및 공인인증서는 파일 형태로 스마트폰에 그대로 저장되고, 암복호화 모듈은 스마트폰 CPU를 그대로 사용하고, 브라우저는 전용브라우저를 사용합니다.

따라서, 기존 PC에서 발생했던 단말 해킹에 의한 공인인증서 유출문제, 암복호화처리시 CPU 및 메모리 해킹에 의한 문제, SSL 미지원에 따른 표준 브라우저 미지원 문제가 그대로 방치되고 있습니다.

결제원이 공인인증서 사용을 위한 표준 기술을 수용하지 못하고, 자체 인력으로 무리하게 개발을 추진해서 연동하는 과정이며, 이렇게 개발한 모듈로 16개 은행에 일방적으로 적용시켜서 우선 스마트폰에서 서비스만 오픈시키려는 것입니다.

다른 관점에서 본다면 이번 결제원의 시도는 6개 공인인증기관 중 문제가 심각한 옛날 기술을 그대로 반영해서 서비스만 오픈해서 비난을 피해보자는 결제원 독자적인 무모한 노력이라고 해석(왜냐하면 금융감독원의 키보드 보안, 안티바이러스 등 6개 요구사항 마저 생략하고 단독 오픈하기 때문)됩니다.

이러한 시도를 밀어부처서 대략 인정받게 되면 나머지 5개 공인인증기관도 똑같은 시도를 하거나, 결제원의 현 모듈을 공유하고 자사의 개인키, 공인인증서 및 기관 공인인증서를 이 모듈에 Override 해서 서비스를 제공하려 할 것입니다.

이런 상황이 되면, 스마트폰 환경마저도 보안이 취약했던 PC 환경과 똑같은 취약점을 보유한 채로 방치되게 됩니다.

결과는 스마트폰에서는 표준 웹브라우저를 이용한 인터넷뱅킹은 아예 사라지고, IE 의 ActiveX 마저도 사용하지 않는 이상한 인터넷 뱅킹과 전자서명 제도를 사용하게 되는 기이한 상황에 처하게 될 것입니다.

PS7: 인터넷 금융거래 시 공인인증서 규제 완화 소식을 참고하세요.

댓글 10개:

블루제리 :

은행권 사이트와 공기업 웹페이지만 웹표준에 근거해서 변화가 이루어진다면 일반인 들도 다양한 브라우저/OS를 쓸 수 있는 기회가 늘어 나겠죠. 저조차도 IE를 쓰는 가장 큰 이유가 인터넷뱅킹때문이었습니다.
하지만 몇 가지 더 필요한 변화가 있는데, 그건 바로 active X를 사용하는 게임사이트와 인터넷 쇼핑몰도 법적으로 웹표준을 따르도록 했으면 좋겠다는 생각이 드네요. 왜냐면 실제 이 들 사이트가 훨씬 이용빈도가 일반인들에게는 높기 때문이죠. 이게 되지 않으면 실제 대부분의 일반 사람들이 공인인증서 시스템 변화만으로 IE를 떠날 이유가 매우 부족한게 현실이란 생각입니다.
쓰다보니 횡설수설이네요 -_-;;

김성수수 :

절대 공감입니다. '공인인증서 의무화 폐지' 정말 간절히 바라고 있습니다.
이 덧글을 쓰고나서 거래처 송금을 위해 윈도우로 다시 부팅을 해야합니다.
인터넷뱅킹을 위해 회사에서 지출되는 경비도 무시 못합니다. 윈도우만을 써야 하기 때문이지요.
어처구니없는 악순환의 고리를 이번에 확실히 끊었으면 좋겠습니다.
브라우저 선택의 자유, 그리고 OS 선택의 자유가 보장되면, 말되안되는 비표준 웹사이트들은 다 바뀌겠지요. 하루라도 빨리 그날이 왔으면 좋겠습니다.
감사합니다.

익명 :

보고서 다운로드 링크네요.

http://drp.ly/sy73J

익명 :

금융보안연구원의 보고서 내용에 오해가 있는 부분이 있어서 정정의견을 냅니다.
1. 중국 공상은행과 건설은행에서는 SSL 방식과 USB-인증서 방식을 사용보고되었습니다. 그런데, 이 방식은 우리나라의 공인인증서를 저장 및 암복호화처리 위치만 USB토큰에 적용하고 통신방식을 SSL 프로토콜을 적용한 방식으로 해석됩니다. 그리고, SSL 프로토콜의 통신 단말 응용프로그램을 웹브라우저를 사용한 것입니다.
이는 공인인증서를 사용하면서도 모든 브라우저를 지원하며, 동시에 공인인증서 유출문제와 암복호화 처리시 해킹 문제까지 해결한 것으로서 웹표준 및 웹접근성까지 지원한 사례라고 할 수 있습니다.
농협과 국민은행에서도 공인인증서를 USB토큰에 저장하고 있지만, 통신모듈을 ActiveX로 사용하면서 웹표준과 웹접근성을 만족하지 못하고 있습니다.

2.IV 시사점 강화된 암호화 방식사용에 언급되어 있는 부분에서 'SSL 암호화 방식'과 'SEED 암호화'를 동등 비교하고 있습니다. 그렇지만 이 둘은 동등한 비교가 될 수 없는 접근입니다.
왜냐하면 SSL은 통신 프로토콜로서 SSL 정의 내에 암복호화 알고리즘을 다양하게 선택할 수 있도록 정의되어 있습니다. SEED도 KISA에 의해 SSL 표준 암호알고리즘으로 등록되어 있는 상황입니다. 보고서에서 인용하고 있는 국내 SEED 암호화는 정확하게 표현하자면 통신 프로토콜이 아니고, 단지 통신 세션을 암호화하는 알고리즘을 적용한 사례입니다. 현재 ActiveX를 단말 응용프로그램과 서버 프로그램 사이에서 적용하는 암호 프로토콜은 공식적으로 알려져 있지 않으며(SSL 프로토콜을 Socket 통신으로 구현했다는 설이 있습니다.) 상호 인증 및 키교환과정의 신뢰성이 검증된 표준 프로토콜을 사용하는 지 여부는 객관적으로 검증되지 않았습니다. 단지 통신 데이터를 암복호화할 때 SEED 알고리즘을 사용합니다.
따라서, 동등비교의 대상이 되지 않는 점이 인지되어 보고서는 교정되어야 합니다. 덧붙여서 '주로' 사용되는 것이 아니라 '전적'으로 사용되는 것으로 표현이 수정되어야 합니다.

참고로, 최근 다양한 기관에서 '한국형 공인인증서'라는 명칭으로 사용하는 용어에 혼선이 있습니다. 즉, 개인키와 공인인증서 파일 쌍으로 구성된 공인인증서와 개인키와 공인인증서를 이용해서 암복호화 처리를 수행하는 응용프로그램(ActiveX) 그리고 통신을 수행하는 ActiveX Server/Client 프로그램을 분리하지 않고 '한국형 공인인증서'라고 부르고 있습니다.
앞의 중국 공상은행과 건설은행의 사례에서와 같이 공인인증서는 '개인키와 공인인증서' 파일 그 자체를 의미하는 것이 정확합니다.
개인키와 공인인증서를 이용해서 암복호화(서명은 암복호화및검증코드결과일뿐)처리를 수행하는 위치(USB내의 CPU 또는 PC 내의 CPU)와 통신을 담당하는 응용어플리케이션(웹브라우저 및 웹서버 또는 ActiveX 클라이언트 및 서버)은 별도의 암복호화 처리 시스템과 통신 시스템으로 구분해서 불러야 정확하고 오해가 없어지며, 향후의 개선 방향을 검토할 때에도 개선 사항을 명확하게 논의할 수 있습니다.

익명 :

아참, 결론적으로 SSL은 통신 프로토콜이고 공인인증서(개인키+공인인증서)는 데이터 암/복호화 모듈이기 때문에 상호 보완적입니다. 대립하는 대상이 아니라는 것입니다.
여기에서 SSL로 통칭되는 프로토콜에 대한 오해가 있습니다. 우리나라에서는 SSL을 웹서버 인증서 확인을 통한 서버 신뢰성 검증 수단(https 적용된 사이트에 가면 서버 신뢰여부를 묻는 팝업이 나타남)으로만 사용했었기 때문에, 잘 알려지지 않았지만, 실제 SSL 프로토콜에서는 상호인증 요건에 의해 사용자의 공인인증서를 웹서버에서 검증하는 모듈이 기본 탑재 되어 있습니다.
따라서, 간단한 설정만으로 IIS/Apache 등 웹서버에서는 사용자의 공인인증서를 요청해서 검증하고, 로그인을 허용할 수 있으며, 모든 웹브라우저는 공인인증서와 함께 개인키에 의해 암호화(서명)된 데이터를 웹서버로 전송하는 모듈이 내장되어 사용자 본인인증을 진행합니다. 얼마전부터 브라우저에 공인인증서를 등록하여 사용하는 것에 대한 이야기가 나오는 것이 이 방식입니다. 다만 브라우저에 등록한 공인인증서는 시스템이 해킹 당할 경우 공인인증서와 함께 개인키까지 유출될 수 있는 보안 문제가 있기때문에 위험합니다. 오직 스마트카드/USB토큰/USIM 등에 개인키를 저장해야만 안전합니다.

다시 말해서, SSL은 공인인증서를 통한 사용자 인증을 기본 지원하고 있는 프로토콜입니다. SSL 은 서버 인증서를 사용자가 확인 버튼을 눌러서 서버 인증을 진행하게 하고, 사용자의 공인인증서와 개인키 암호화된 데이터를 서버에 제출해서 사용자 인증을 하여 양방향 상호인증을 기본 사양으로 규정하고 있습니다.
SSL/TLS은 국제 표준으로서 사용자 인증, 통신 암호화, 브라우저 호환성을 동시에 제공하고 있습니다.
IE를 비롯하여 SSL을 채택한 모든 브라우저는 개인키 유출 보안의 이유로 개인키 저장장소를 스마트카드/USB토큰USIM(토큰 내에 스마트카드 칩을 내장하므로 사실상 스마트카드임)에 개인키와 공인인증서를 저장한 경우만 인정하고 있습니다.

다만, ActiveX는 IE브라우저에서만 플러그인될 뿐만아니라, IE에서도 SSL 프로토콜 연동이 금지되는 기술이기 때문에 NPKI/GPKI 파일시스템에 개인키와 공인인증서를 저장하면서 ActiveX 프로그램으로 개인키 암복호화 처리를 하는 현재의 방식으로는 IE에서 조차 SSL 프로토콜에 의한 상호인증이 불가능한 것입니다.
이는 플러그인 방식으로 웹브라우저에 연동되는 Flash 기술로 ActiveX를 대체한 경우에도 동일하게 브라우저에 기본 내장된 SSL 프로토콜 연동이 금지됩니다.flash를 적용한 경우도 ActiveX 처럼 개인키가 파일상태로 유출될 수 있고, PC CPU에서 암/복호화 처리가 진행되기 때문에 과거의 공인인증서 대량 유출에 의한 금융피해 사고가 여전히 발생할 수 있습니다.

따라서, 표준 SSL를 연동한 모든 웹브라우저를 지원하고, 안전한 개인키와 공인인증서 저장 및 처리를 위해서는 개인키와 공인인증서를 스마트카드와 USB토큰에 저장 처리하게 하고, 웹브라우저는 암호화된 데이터만 SSL 프로토콜을 통해 웹서버로 전달하는 방식으로 개선해야 합니다.

개인의 공인인증서를 이용하여 상호인증하는 이 SSL 방식은 전세계표준으로 공개되어 있는 기술이고, eID를 보급하고 있는 EU 28개 국의 전자정부에서 공식적으로 채택하고 있는 방식이며, 중국 공상은행과 건설은행도 채택하고 있는 안전성이 수학적으로 검증된 본인인증 및 서명 방법입니다.

공인인증 대체 수단도 좋지만, 제대로 알고 논의해야 해야 국제적으로 웃음거리가 안된다고 생각합니다. 공인인증서와 SSL은 이용한 시스템 자체는 수학적으로 검증된 안전한 제도이기 때문에 EU의 32개국 중 28개국이 2007년부터 공식 채택하여 2010년에 1차 보급을 완료하는 eID로 사용하고 있는 것입니다.

우선, 개념과 제도 및 기술의 왜곡을 걷어내고, 개선의 방향을 찾는 것이 이 논쟁의 바른 방향이며 국제적인 웃음거리를 벗어나는 유일한 길입니다. 전자정부 선진사례로서 행안부를 방문했다는 일본 정부는 이 사실을 너무나 잘 알고 있습니다.

3월 25일 오후에 공인인증관련 공개토론회가 있다고 들었습니다. 그 자리에서는 모두가 알고 있는 10년 동안의 단순한 오류와 왜곡을 바로잡고 진지하게 발전적인 방향의 논의가 되었으면 하는 바램입니다.

바비(Bobby) :

To 익명님/ 상세한 기술적 코멘트 감사합니다. 익명님과 같은 분이 토론회에 오셔서 합리적인 보안 체계에 대한 의견을 주신다면 참 좋을 거 같습니다. 혹시 신분을 밝히실 수 있다면 언제든지 제게 개인적으로 연락을 주십시오.

고맙습니다.

익명 :

말씀 감사합니다. 기회가 되면 연락드리고 정식으로 인사드리도록 하겠습니다.

그리고, 한가지 더 정보를 드리면,

4월부터 금융결제원에서 제공하는 스마트폰용 공인인증서 모듈의 구성은 기존 PC에서의 ActiveX 모듈의 구성과 동일합니다. 즉, 개인키 및 공인인증서는 파일 형태로 스마트폰에 그대로 저장되고, 암복호화 모듈은 스마트폰 CPU를 그대로 사용하고, 브라우저는 전용브라우저를 사용합니다.

따라서, 기존 PC에서 발생했던 단말 해킹에 의한 공인인증서 유출문제, 암복호화처리시 CPU 및 메모리 해킹에 의한 문제, SSL 미지원에 따른 표준 브라우저 미지원 문제가 그대로 방치되고 있습니다.

결제원이 공인인증서 사용을 위한 표준 기술을 수용하지 못하고, 자체 인력으로 무리하게 개발을 추진해서 연동하는 과정이며, 이렇게 개발한 모듈로 16개 은행에 일방적으로 적용시켜서 우선 스마트폰에서 서비스만 오픈시키려는 것입니다.

다른 관점에서 본다면 이번 결제원의 시도는 6개 공인인증기관 중 문제가 심각한 옛날 기술을 그대로 반영해서 서비스만 오픈해서 비난을 피해보자는 결제원 독자적인 무모한 노력이라고 해석(왜냐하면 금융감독원의 키보드 보안, 안티바이러스 등 6개 요구사항 마저 생략하고 단독 오픈하기 때문)됩니다.
이러한 시도를 밀어부처서 대략 인정받게 되면 나머지 5개 공인인증기관도 똑같은 시도를 하거나, 결제원의 현 모듈을 공유하고 자사의 개인키, 공인인증서 및 기관 공인인증서를 이 모듈에 Override 해서 서비스를 제공하려 할 것입니다.
이런 상황이 되면, 스마트폰 환경마져도 보안이 취약했던 PC 환경과 똑같은 취약점을 보유한 채로 방치되게 됩니다.

결과는 스마트폰에서는 표준 웹브라우저를 이용한 인터넷뱅킹은 아예 사라지고, IE 의 ActiveX 마저도 사용하지 않는 이상한 인터넷 뱅킹과 전자서명 제도를 사용하게 되는 기이한 상황에 처하게 될 것입니다.

익명 :

현재 모바일뱅킹으로 가장 많은 사용자를 확보하고 있는 것은 WIPI폰 상의 VM뱅킹일것입니다. 대부분의 시중은행들이 서비스를 하고 있으며, 백만명에 근접하는 가입자를 확보한 은행도 존재합니다.

WIPI폰 상의 VM뱅킹 보안방식은 크게 2가지 형태로 존재합니다. 물론 2방식 모두 금감원의 보안성심의를 통과 했을 것이고요.

1. 비공개 프로토콜을 이용한 키교환 및 암호화
- 대부분의 은행들이 사용하고 있음
2. 공인인증서를 이용한 인증 및 암호화
- KB만 채택한 방식

현재도 공인인증서를 사용하지 않는 모바일 뱅킹 서비스가 문제없이 서비스가 되고 있으며, SC제일은행,한국시티은행같은 외국계은행의 한국적 독자서비스 시행 문제점들이 현시스템 변화를 위한 케이스로 활용할 수 있을 듯 싶습니다.

Unknown :

현재 이와관련한 토론회가 있나요?

http://kldp.org/node/113481#comment-521998
어제 심심풀이로 여기에다 글쓰고 나니 위로는 김기창교수님, 아래는 channy님 .두분 다 잘은 모르지만 블러그론 자주 뵙는(유명하다고만 알고있어요)

저역시 잘 알지는 못하지만 불러주신다면 참석하고프네요. (근무시간엔 튀긴힘들꺼같지만ㅋㅋ)

익명 :

이렇게 해서, 아이폰에서도 실시간으로 개인키와 공인인증서를 유출할 수 있는 길이 열리게 되었습니다. 아래 기사를 보시죠.
- 결론은 현재 실행되는 앱뿐만아니라 내려가야할 앱도 개인키와 공인인증서를 유출할 수 있게 되었습니다. 키보드 보안도 없고, 안티바이러스도 없고, 방화벽도 없고, 키들은 모두 유출되고...
- 이렇게 취약하게라도 서비스만 오픈하고, 서명하는 실제 사용자에 대한 보장없이 전자서명만 있으면 된다는 주장이 되었네요.

[단독] '종료해도 계속 해킹' 아이폰 취약점 첫 발견
| 기사입력 2010-03-25 15:09 | 최종수정 2010-03-25 17:34

[쿠키 IT] 스마트폰 가운데 상대적으로 안전하다고 알려진 아이폰이 개인정보 유출은 물론 분산서비스거부(DDos) 공격에도 취약하다는 사실이 처음으로 확인됐다.
글로벌 보안업체 에이쓰리시큐리티(A3Security)는 24일 애플 아이폰에 대한 연구분석 결과를 발표하고 "해커가 아이폰에 좀비프로그램을 심을 경우 사용자의 주소록 사진 통화기록 음성녹음파일 위치정보 등의 개인정보, 오피스 상에서는 기업의 기밀정보도 유출될 수 있다"고 밝혔다.
A3측은 또 "아이폰의 멀티태스킹이 가능하도록 환경을 조성한 해커가 이를 악용해 통신망장애를 일으켜 대혼란을 일으킬 가능성이 높아졌다"고 주장했다.
지금까지 알려진 아이폰 관련 취약점은 멀티태스킹과는 관련이 없었다. 따라서 사용자가 프로그램을 종료하면 악성코드 실행이 중단되는 것이 전제였다. 그러나 이번에 확인된 악성프로그램의 경우 우회 기법으로 멀티태스킹에 접근해 사용자가 프로그램을 종료시켰다 해도 사용자 모르게 원격 실행할 수 있어 그 심각성이 크다는 분석이다.
무엇보다 해커가 마음만 먹으면 다수의 감염된 아이폰을 이용해 공공기관, 기업 등 제3자에게 대규모의 DDoS 공격을 가할 수 있다. 이는 통신사의 3G 통신망 장애로까지 이어질 수 있어 통신대란을 초래할 수도 있다.
에이쓰리시큐리티 관계자는 "이번 분석 결과는 그 동안 애플에서 지원하지 않겠다고 밝혀진 멀티태스킹이 '탈옥(jailbreaking)' 하지 않아도 가능하다는 것을 증명하였다는 것에 큰 의미가 있다"면서 "악성프로그램이 계속 실행되고 있는 것을 사용자가 인지할 수 없기 때문에 사용자의 보안인식 제고뿐 아니라 대책 마련에서도 기존과 다른 접근방법이 필요할 것"이라고 밝혔다.
여기서 말하는 멀티태스킹이란 사용자 입장에서 동시에 여러가지 프로그램이 실행되는 것처럼 느껴지도록 하는 커널 기술이다. 에이쓰리시큐리티에 따르면 사용자 모르게 악성코드가 실행되기 위해선 이런 멀티태스킹 기술이 필요하다. 국민일보 쿠키뉴스 김현섭 기자 afero@kmib.co.kr

댓글 쓰기

댓글을 환영합니다.

스팸으로 인해 모든 댓글은 운영자의 승인 후 등록됩니다. 스팸, 욕설은 등록이 거부됩니다. 구글의 블로그 시스템은 트랙백을 지원하지 않습니다.