이종현 칼럼

[취재수첩] 내 컴퓨터에 설치된 보안 프로그램, 사실은 백도어?

이종현 기자

[디지털데일리 이종현기자] “인증프로그램을 설치하셔야만 이용이 가능한 서비스입니다.”

공공이나 금융 서비스를 이용하려다 보면 자주 볼 수 있는 문구다. 서비스 이용을 위한 로그인(인증)을 하려면 사용자 인증이나 보안을 위한 프로그램을 설치토록 하고 있다. 연말정산과 같은, 꼭 필요로 하는 서비스를 이용하려다가 화를 돋우게 하곤 한다.

현재의 실행파일(exe) 보안 프로그램은 과거의 ‘액티브X’의 대안으로 제시된 것이다. 다만 액티브X나 exe나 본질은 같다는 지적이 여기저기서 나온다. 국내 사이버보안 기업들에 대한 이미지를 나락으로 떨어트린 원인이라고도 한다.

이와 같은 보안 프로그램이 또 사고를 쳤다. 이번엔 대형 사고다. 안전한 인증, 보안을 위해 사용하는 프로그램이 해커에 의해 ‘백도어’로 활용될 수 있다는 것이 골자다. 단순 우려가 아니다. 북한 해커가 이미 악용하려 한 시도가 발각됐다. 가능성이 아닌 실존하는 위협이다.

현재 문제가 된 것은 드림시큐리티의 ‘매직라인(MagicLine)’이다. 이니텍의 ‘이니세이프(INISAFE)’에서도 유사한 문제점이 발견된 바 있다. 북한 해커그룹에 의해 악용되는 것을 국가정보원(이하 국정원)이 발견한 경우다. 드림시큐리티와 이니텍은 각각 문제를 보완한 최신 버전을 내놨다.

이때까지만 해도 문제가 부각되진 않았다. 그 어떤 프로그램이든 취약점은 있을 수밖에 없는 만큼, 개발사에게 모든 책임을 돌리는 것도 곤란하다. 애플, 마이크로소프트(MS), 아마존 등 내로라 하는 기업들의 제품들도 취약점이 발견되곤 한다.

하지만 사건이 끝나지 않았다. 매직라인의 경우 개발사가 사용자의 PC에 설치돼 있는 구버전 제품을 강제로 업데이트할 수단이 없기 때문이다. 결국 사용자가 직접 구버전이 설치돼 있는지 파악하고, 문제의 버전을 삭제한 뒤 최신 버전을 설치하기를 기다려야 한다.

엎친데 덮친격으로, 매직라인은 PC가 부팅되면 계속해서 백그라운드에서 구동되는, 상주형 프로그램이다. 매직라인의 취약점이 원격코드 실행 취약점(RCE)이라는 것을 감안하면, 언제든 해커가 침입할 수 있는 ‘상시 백도어’가 된 셈이다. 대다수의 국민들은 자신의 PC에서 어떤 보안 프로그램이 구동되고 있는지, 해당 프로그램의 버전이 무엇인지 모르는 만큼 항상 위협에 노출돼 있는 상태다.

비단 드림시큐리티, 이니텍 만의 문제가 아니다. 악명 높은 ‘엔프로텍트(nProtect)’를 비롯해 ‘애니사인(AnySign)’, ‘베라포트(Veraport)’, ‘코사인제이(KOSinj)’, ‘아이사인(iSIGN)’ 등 많고도 많은 보안 프로그램이 매직라인처럼 컴퓨터에 상주하는 형태로 제공된다.

국가 사이버보안 업무를 총괄하는 국정원과 과학기술정보통신부(이하 과기정통부)는 지속해서 ‘최신 버전으로 업데이트하라’고 권고하고 있다. 그러나 보도자료 배포, 홈페이지 게시 등으로 해결될 문제로 보기는 어렵다. 대부분의 국민은 자신의 PC에 어떤 프로그램이 구동 중인지, 구동되고 있는 제품의 버전이 어떤 것인지 모른다.

문제가 된 제품이 공동인증서(구 공인인증서)를 통한 로그인 과정에서 사용된다는 점이 사태의 심각성을 키운다. 전자서명법 개정으로 카카오, 패스(PASS), 네이버 등 다양한 인증 서비스가 등장했다. 공동인증서를 이용할 때면 연말정산 등 기간에 최신 버전으로의 자연스러운 업데이트를 기대할 만하지만, 더 이상 공동인증서를 사용하지 않는다면 컴퓨터를 교체하거나 포맷하기 전까지는 계속해서 위협에 노출될 수밖에 없다.

해당 취약점으로 인한 피해가 지속하자 국정원과 과기정통부는 특단의 대책을 내놨다. 안랩, 이스트시큐리티 등 백신 프로그램 제조사와 협력해 문제가 되는 버전의 매직라인을 강제로 삭제한다는 내용이다. 그야말로 극약처방이라 할 만한 조치다.

그럼에도 사태는 수습되지 않았다. 해당 조치가 기업용 백신 프로그램을 이용 중인 이들만을 대상으로 하기 때문이다. 국정원 관계자는 개인용 백신 프로그램에서는 같은 조치가 이뤄지지 않은 이유에 대해 “북한이 개인 PC보다는 기업을 노리는 중이다. 또 개인 PC에 설치돼 있는 SW가 일괄 삭제될 경우 어떤 영향을 미칠지 알 수 없어서 조심스럽다”고 답했다.

문제가 심각하지 않다면 수차례 보도자료를 배포하며 이를 안내할 이유가 없다. 또 기업용 백신 프로그램에서 강제로 삭제를 진행할 이유도 없다. 그만큼 심각한 일이라는 판단이 있어서다. 일반 사용자에게 ‘북한 해커가 많이 노리지 않으니’, ‘알아서 대응하라’고 하는 것과는 상반됐다.

위험을 감수하더라도 개인용 백신에서 문제되는 프로그램을 삭제 조치 해야 하는 것 아니냐는 질문에 국정원은 “만약 문제가 생겨서 민원 발생하고 행정소송 가면 그건 누가 책임지나”라고 말했다. 과기정통부도 이와 유사한 답을 내놨다. 전국민의 PC가 북한 해커에 악용될 수 있는 상황이지만 해답이 없는 상태다.

국정원과 과기정통부 등 국가 사이버보안을 총괄하는 기관들도 이번 사태에 대한 해결책을 고심하고 있다. 하지만 수수방관한다고 해서 상황이 나아지진 않는다. 국민들이 알아서 삭제하라는 것은 ‘책임지기 싫으니 위험을 방관한다’는 비판을 피하기 어렵다.

이종현 기자
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널