구글이 9월 NPAPI 지원을 중단하고, MS는 액티브X를 지원하지 않는 윈도우 브라우저 ‘엣지’를 이달 말부터 배포한다. 이에 따라 플러그인 기술로 수많은 PC 보안 모듈과 화려한 플래시를 구현했던 우리나라 웹 환경은 대대적인 변화를 맞게 된다.
플러그인은 웹브라우저에서 지원하지 않는 프로그램을 실행시킬 수 있도록 연결해주는 ‘통로’의 역할을 하며, MS 인터넷 익스플로러의 액티브X가 대표적인 예이다. 구글, 사파리, 파이어폭스 등 다른 웹브라우저는 NPAPI를 지원한다.
최근 웹브라우저 업체들은 HTML5를 기반으로 플러그인 없이 다양한 웹 환경을 구현할 수 있는 기술을 제안하고 있다. 플러그인은 특정 업체에 종속적인 비표준 기술이며, PC에 설치된 다른 프로그램과의 충돌이 잦아 PC 환경을 저해하고, 모바일에서 지원되지 않아 ‘원소스멀티유즈’를 지향하는 UI/UX 트렌드에도 맞지 않다.
플러그인을 이용해 악성실행파일을 실행시키도록 하는 등 보안 취약점을 키운다는 문제도 있다. 특히 우리나라에서는 액티브X를 통해 바이러스나 악성코드를 실행시키도록 하는 등의 보안문제가 지속적으로 제기돼왔으며, MS에 종속된다는 점도 한계로 지적됐다.
‘키보드 보안’ 문제 해결 위한 대안 시급
이에 따라 정부와 보안기업들이 ‘비액티브X’ 기술을 개발하기 위해 많은 노력을 기울여왔으나, 그 결과 나타난 것이 플러그인과 다를바 없는 exe 실행파일이다. 이는 액티브X 환경에서 나타난 문제를 전혀 해결할 수 없을 뿐 아니라 더 심각한 보안 문제를 야기시킬 수 있다.
김기영 플라이하이 실장은 “보안취약성에 대한 검증 없이 설치되는 exe로 인해 심각한 보안사고가 발생할 것이라는 우려의 목소리에 귀를 기울여야 한다”고 주장했다.
exe 실행파일은 금융기관마다 사용하는 버전이 다르고 충돌이 잦아 이용이 매우 불편하다. 또한 충분한 보안성 검토 없이 급하게 제작됐기 때문에 어떠한 공격이 진행될지 예측하기 어렵다. 웹브라우저마다 지원하는 기술이 다르기 때문에 브라우저별로 따로따로 개발해야 해 웹표준 환경에도 맞지 않는다.
그럼에도 불구하고 exe를 고수하는 이유 중 하나가 키보드 보안이다. 키보드 보안은 키보드에서 애플리케이션, 웹브라우저, 웹서버까지 이르는 구간을 암호화하는 기술로, 해킹을 통해 키보드 입력값을 유출하거나 위변조하는 것을 막는다.
키보드 보안 기술을 우회하는 공격도 얼마든지 있다. 해커가 사용자의 모니터를 들여다보면서 어떤 문자가 입력되는지 알아내는 악성코드도 이미 오래 전부터 배포되고 있다. 메모리 해킹을 통한 입력값 위변조도 막을 수 없으며, 보안 키패드를 이용해 마우스로 비밀번호를 입력한다 해도 모니터를 들여다보는 악성코드로부터 자유롭지 못하다.
그럼에도 불구하고 키보드 보안을 반드시 사용하는 이유는, 키보드 보안이 없다면 기본적인 공격조차 막을 수 없게 되기 때문이다. 따라서 근본적으로 이 문제를 해결하기 위해서는 사용자가 키보드를 통해 직접 중요한 정보를 입력하지 않도록 하거나, 중요한 정보를 입력한다 해도 공격자가 가져가서 다른 곳에 쓸 수 없도록 해야 한다.
웹 표준 준수하며 편의성·보안 강화해야
액티브X와 NPAPI 지원 중단은 웹표준과 직결되는 문제이다. 웹 표준에 충실한 웹환경을 구현하면서 사용자 편리성과 보안성을 강화할 수 있는 방법을 마련하는 것이 중요하다.
그 대안 중 하나로 제안되는 것이 사용자의 중요한 정보를 하드웨어 보안영역에 저장하고, 사용자가 직접 정보를 입력하지 않고 중요정보가 직접 서버로 호출되는 방식을 택하는 것이다. USIM칩이나 PC·스마트폰의 하드웨어 보안영역, 보안토큰 등을 활용해 인증서, 전자서명을 저장하는 것이다.
김기영 플라이하이 실장이 개발한 ‘플라이하이토큰’은 표준 암호 인터페이스를 이용한 액티브X 대체기술로, 안전한 저장소에 인증서와 개인·금융정보를 저장하고 전자거래시 이를 호출해 사용하도록 한다. 웹 브라우저 종류에 종속되지 않고 웹표준을 이용하며, 단말에서 제공하는 하드웨어 보안 기술을 사용하기 때문에 사용 편의성도 높다.
플러그인을 대체할 수 있는 또 다른 기술로 토큰화를 제안할 수 있다. 토큰화는 사용자가 입력하는 값을 예측할 수 없는 다른 문자로 대체해 서버로 전송하는 방식이다. 암호화는 암호화된 문자의 길이가 길어지고 복호화 과정을 거치면서 부하가 많이 발생한다는 단점이 있지만, 토큰화는 입력하는 값과 동일한 형태를 갖고 있으며, 복호화가 필요 없어 부하가 적고 빠르다는 장점이 있다. PCI-DSS에서도 카드번호 등 중요정보는 토큰화 할 것을 권장하고 있다.
이외에도 스마트카드, 거래연동 OTP, 생체정보 등 다양한 방법으로 사용자의 정보를 보호하면서 안전한 인증과 전자서명을 제공할 수 있는 기술이 제안되고 있으며, 핀테크·간편결제가 부상하면서 간편하고 안전한 거래를 보장할 수 있는 기술의 상용화가 눈앞에 다가왔다.
김기영 실장은 “문제는 ‘규제’”라며 “지금까지 정부는 각종 규제를 통해 전자금융거래 기술이 다양하게 발전하는 것을 막아왔다. 그러다가 갑자기 규제를 완화하고 금융기관의 자율보안을 강조하자 금융기관이 혼란에 빠지게 되고, exe라는 간편한 방법을 선택하게 된 것”이라고 지적한 후 “웹 표준을 따라 웹 환경을 개발하고, 그 환경에서 보안을 해결할 수 있도록 제대로 된 기술개발이 시급한 시점이다. exe는 개발은 쉽지만 보안 취약점은 검증되지 않았고, 액티브X 보다 더 심각한 보안 문제를 야기시킬 수 있다”고 역설했다.
