| 다운로드 받아야 할 보안프로그램이 너무 많아요 |
|
연말 정산을 해 보셔서 아시겠지만 요즘 연말정산 과정은 과거에 비해 정말 편리해졌습니다. 인터넷을 통한 서류 발급이 이뤄지기 때문이죠. 연간 카드 명세서는 물론, 심지어 주민등록등본까지도 온라인을 통해 발급 받을 수 있게 돼 굳이 발품을 팔지 않아도 되게 된 것이죠. 모든 것이 다 편해지기는 했는데 단 하나, 금융기관을 비롯한 공문서 발급기관의 웹 사이트를 이용하기 전 다운로드를 받아야 하는 각종 보안 프로그램은 참 많기도 하더군요. 그 숫자가 많은 것도 많은 것이지만, 각 웹사이트에 접속할 때마다 Active X를 통해 새로운 보안 프로그램을 다운로드 받기 위해 클릭하는 것이 조금 귀찮아지기도 합니다.
지금은 인터넷 뱅킹이 보편화돼 많은 분들께서 금융기관에서 제공하는 보안 프로그램의 필요성과 동작 원리에 대한 정보를 갖고 계실 겁니다. 웹 사이트에 접속하는 순간 서버와 사용자 PC간의 통신 내용을 보호할 수 있는 암호화 프로그램에서부터 키보드를 통해 입력되는 정보가 유출되는 것을 막는 키보드 보안 프로그램, 해킹으로부터 PC를 보호하는 PC 방화벽, 그리고 웜•바이러스에 대비한 백신까지. 최근 공격이 다양화되면서 금융기관이나 공단 등의 기관에서 제공하는 이런 종류의 보안 서비스는 점차 확대되고 있습니다. 물론 이 말은 사용자들이 웹 사이트에 접속하는 순간, 다운로드 받거나 업데이트해야 할 프로그램도 그만큼 많아졌다는 사실을 의미합니다. 일부에서는 관련 서류를 자신의 PC에서 프린팅하기 위해서 서류가 진본임을 확인하는 보안 프로그램을 추가로 설치해야 하기도 합니다. 때문에 사용자가 금융기관 등의 웹 사이트 3~4개를 방문해 필요한 서비스를 모두 받으려면 대략 10회 이상의 보안 프로그램을 다운로드 받고 또 설치해야 하는 번거로움이 생길 수 있습니다.
이런 이유 때문에 이렇게 질문하시는 분들도 계십니다. “보안 프로그램을 서로 호환시킬 수는 없나요?”라든지, 또는 “매번 새롭게 프로그램을 설치하는 것이 아니라, 한번 프로그램을 설치한 후 자동으로 업데이트 되도록 할 수는 없나요?”라든지 하는 식으로 말이죠.
웹 브라우저의 보안성을 높여라
그런데 앞선 궁금증을 해결하기 이전에 다음과 같은 질문이 먼저 생길 겁니다. “국내 주요기관들의 웹사이트에 보안 프로그램이 보편화돼 제공되는 이유는 무엇일까?”라고요. 그 이유가 국내 보안 수준이 낮기 때문일까요? 아니면, 국내 금융기관이나 공공기관의 웹 사이트는 보안 프로그램이 없이는 너무 취약하기 때문일까요?
모두 공감하시겠지만 국내 금융기관이나 공공문서를 발급하는 기관은 높은 보안 수준을 유지하고 있습니다. 아이디 패스워드뿐만 아니라, 공인인증서를 통한 본인 확인 과정만으로도 다른 나라에서는 이루지 못한 높은 수준의 보안체계를 갖추고 있다고 할 수 있습니다. 그런데 여기에 추가적으로 보안 프로그램이 설치되는 이유는 각 기관 시스템의 보안 수준이 낮기 때문이 아니라, 인터넷 익스플로러나 파이어폭스와 같은 웹 브라우저의 구조나 웹 브라우저를 구현하는 html, Java Script와 같은 프로그램 언어가 가진 취약점을 보완하기 위한 것입니다.
가능성은 매우 희박하지만 만약 인터넷 익스플로러와 같은 웹 브라우저가 보안적인 요소를 강화하기 위해 별도의 보안 프로그램을 제공할 필요가 없어지겠죠.
윈도우 XP를 사용하고 계신 분들은 이렇게 말씀하실 수도 있습니다. “윈도우 XP에서는 개인방화벽을 제공하고 있으니, 각 기관들이 굳이 개인방화벽을 제공할 필요가 없다”라고요. 맞는 말씀이긴 하지만 개인에 따라 방화벽 기능을 사용하지 않을 수 있고, 특히 XP 사용자가 아닌 경우에는 개인 방화벽 자체를 사용할 수 없습니다. 전자거래 시 높은 보안 수준을 적용시켜야 하는 금융기관은 이런 경우의 수를 간과할 수 없겠죠.
결국 생각해 볼 수 있는 방법은 이들 보안 프로그램을 번거로움 없이 보다 편리하게 이용하는 것이겠죠.
점점 더 늘어나는 보안 프로그램
보안 프로그램뿐만 아니라, 웹 서비스 업체들이 관련 서비스 프로그램을 제공할 때 채용하는 대부분의 방식은 Active X를 통한 다운로드입니다. 이 방식은 사용자가 해당 기관의 웹 사이트에 접속할 때 관련 모듈이 설치돼 있지 않거나 구 버전의 프로그램을 사용하고 있을 경우, 프로그램을 자동으로 다운로드 받도록 해 설치를 유도하게 됩니다. Active X는 웹 브라우저 자체가 제공할 수 없는 기능을 확장시키는 수단으로 사용돼 오고 있기 때문에 서비스 개발 업체 대부분은 추가적인 보안 프로그램을 제공하는 방식으로 Active X를 채택한다고 합니다. 실제로, Active X를 이용하면 프로그램을 효율적이고 신속하게 설치할 수 있다는 장점이 있습니다.
하지만 이런 Active X 프로그램이 가진 문제 중 하나는 초기 설치 시뿐만 아니라, 사소한 업데이트 상황에서도 매번 동일하게 다운로드 받아야 한다는 사실입니다. 이렇게 되면 보안 업체가 제공하는 암호화 모듈이나, 키보드 보안 프로그램, PC 방화벽, 백신 등의 보안 프로그램이 다를 경우, 해당 프로그램은 각각 설치해야 하며 사용자가 설치할 프로그램은 그만큼 더 늘어난다는 얘기가 되겠죠. 물론 이런 문제는 한 사이트에만 국한된 것이 아니라, 보안 프로그램을 제공하는 국내 기관의 웹 사이트에 거의 공통적으로 적용되기 때문에 사용자가 설치해야 하는 프로그램의 수는 점점 더 많아지게 됩니다. 물론 동일한 보안업체가 제공한 보안 프로그램에 대해서는 웹 사이트에 구분 없이 동일하게 적용할 수 있다고는 하지만 사용자가 피부로 느끼는 중복된 느낌은 쉽게 줄어들지 않을 겁니다. 이쯤 되면 사용자의 입장에서 보안 프로그램이 한 번에 설치돼 모든 웹 사이트에 적용되면 편리하겠다는 생각을 하지 않을 수 없겠죠.
하지만 결론부터 말하면 그 가능성은 현실적으로 거의 없다고 볼 수 있습니다. 당연한 얘기 같지만 가장 큰 문제는 웹 서비스를 제공하는 기관이 모두 다르고, 보안 프로그램을 제공하는 업체들도 모두 다르기 때문이죠.
Active X의 천국
물론 이런 가정도 존재할 수 있습니다. 비록 개발 업체가 다르기는 하지만 타사 보안 솔루션과도 서로 호환성을 갖도록 유사한 프로그램이 PC에 설치돼 있다면 해당 솔루션으로 대체하는 방식 같은 경우로 말이죠. 또는 기관 내에 존재하는 다양한 보안 프로그램을 보안업체 한 곳이 하나의 모듈로 통합해 단 한번의 설치만 하도록 만드는 방법도 생각해 볼 수 있습니다.
하지만 이런 방식은 커다란 허점이 발생될 수 있다고 관계자들은 말하고 있습니다. “보안 프로그램을 호환이나 통합시킨 후 사고가 발생하면 어느 부분에서 문제가 발생한 것인지를 가리기 어렵다”라는 얘기죠. 일부 보안 프로그램의 오작동이나 오류는 서비스의 장애나 심지어는 금전적 문제와도 직결되는 특성 때문에 사고 발생 시 책임 소재를 물을 수밖에 없고, 그러기 위해서는 보안 프로그램의 통합 또는 호환은 불가능한 얘기가 되죠. 즉 서비스 제공업체들이 사용자의 편의성에만 초점을 맞출 수 없다는 얘기입니다.
보안 프로그램의 설치 방법을 다르게 접근하면 된다는 의견도 있을 수 있습니다. Active X를 통해 프로그램을 설치하는지 않고 애플릿을 이용하거나 라이브 업데이트 방법을 통해 한번 설치 후 각 프로그램들이 Active X를 의존하지 않고 자동 실행을 유도하는 것이죠. 하지만 이 경우에는 Active X 프로그램을 활용하는 방법에 비해 비교적 개발이 어렵고, 설치 속도 또한 느려질 수 있어, 프로그램을 개발하는 업체들이 선호하는 방법이 아니라고 합니다. 국민 대다수가 인터넷 익스플로러를 사용하고 있는 상황에서 개발기간도 오래 걸리고, 한편으로는 접속이 느려질 수 있는 방법을 선택하기 보다는 보안 업체들과 웹 서비스 제공 기업 및 기관은 빠르고 검증된 방법을 선택한다는 것이죠.
현실적으로는 주요 기관들이 제공하는 보안 프로그램의 개별적인 다운로드를 한번에 해결할 수 잇는 방법은 없는 듯 보입니다. 이번 취재와 관련해 한 보안업체 전문가는 이런 얘기를 하더군요. 온라인 게임을 위한 패치는 사용자들이 아무런 불평 없이 잘 받으면서 보안 프로그램을 다운로드 할 때는 불편해 하는 것은 불공평하다고요. 일견 타당한 지적이기는 하지만, 한편으로는 높은 보안성과 함께 편리성을 동시에 생각하는 사용자들의 입장에서는 늘어나는 보안 프로그램들이 부담스럽기는 합니다. 물론 보안적인 측면을 고려한다면 당연히 해야 하는 것이기는 하지만 말이죠.@
임재우 객원기자 | CONCERT 팀장(roy@concert.or.kr)
[출처] 정보보호뉴스 2007년 1월호, 정보보호진흥원(KISA) 발행 |
 |
 |
| | |
시작페이지 고정, 성인 팝업창 등 악성프로그램 감염이 우려되면 
