독일 개발자 “한국 은행 사이트, 매우 불편하고 위험해”

은행 사이트에 들어가자 보안 프로그램 설치를 요구하는 화면. /블라디미르 팔란트 블로그 캡처

독일의 유명 개발자 블라디미르 팔란트(Wladimir Palant)가 최근 우리나라 보안 프로그램을 정면으로 비판하고 나서 화제다. 팔란트는 세계에서 가장 많이 쓰이는 광고차단 프로그램 ‘애드블록 플러스(Adblock Plus)’를 만든 사람이다.

그는 우리나라 은행 사이트를 이용하는 데에 상당히 많은 장애물이 도사리고 있다고 지적했다. 사이트에 한 번 들어가려면 보안 프로그램을 5~6개씩 설치해야 하므로 로딩 속도가 느려지고, 여러 은행을 이용할 경우 같은 보안 프로그램의 서로 다른 버전을 중복해서 설치하는 경우도 잦다는 것이다.

이러한 과정에서 보안 취약점 또한 드러난다고 팔란트는 지적했다. 이들 프로그램의 상당수가 오래된 프로그래밍 언어로 짜여 있어 초보적인 해킹에 취약하고, 10년이 넘은 라이브러리를 사용하는 등 최신 기술을 적용하지 않는다는 것이다.

은행 사이트에 들어가자 보안 프로그램 설치를 요구하는 화면. /블라디미르 팔란트 블로그 캡처

이에 팔란트는 1월 9일을 시작으로 매 2주 마다 본인 블로그에 보안 프로그램 1개씩, 총 4종의 취약점을 보고하겠다고 공언했다. 그는 구체적으로 어떤 프로그램이 취약점을 가졌는지는 명확히 밝히지 않았다. 하지만 그가 공개한 인터넷뱅킹 화면에는 △INISAFE △AhnLab Online Security △TouchEn nKey △IPInside-LWS △Copy Certificates to Smartphones 총 5개의 프로그램이 드러나 있다.

실제로 9일인 오늘은 이 중 하나인 TouchEn nxKey의 취약점에 대한 글이 올라왔다. 팔란트는 “해당 프로그램의 브라우저 확장을 구글 크롬 스토어에서 내려받은 사람의 숫자가 1000만 명에 달한다”며 “그런데도 평점은 5점 만점에 1.3에 불과하다”고 지적했다.

팔란트에 따르면 TouchEn nxKey 프로그램은 여러 문제점을 갖고 있다. 이 프로그램은 사이트에 입력하는 정보를 암호화하기 위해 만들어졌지만, 브라우저 확장을 통해 암호화하는 것은 이제는 사용되지 않은 낡은 기술이라는 것. 게다가 브라우저 확장을 통해 해커가 본인이 원하는 코드를 실행할 수도 있어 이러한 방식은 매우 위험하다고 그는 지적했다.

또한 해커가 만든 웹사이트가 TouchEn nxKey 프로그램을 실행해 이용자가 입력한 정보를 탈취할 수도 있고, 오래된 C언어로 만들어져 ‘버퍼 오버플로’ 기법에 취약하며, 프로그램과 함께 실행되는 CKAgentNXE.exe를 통해 해커가 원하는 코드를 실행할 수 있고, ‘리버스 엔지니어링’ 기법을 통해 키보드로 입력하는 정보를 가로챌 수 있다고 덧붙였다.

팔란트는 지난해 10월 4일 한국인터넷진흥원 인터넷침해사고대응지원센터(KrCert)를 통해 이 문제를 신고했지만, 3개월이 넘게 어떠한 회신도 받지 못했다고 주장했다. 그는 “프로그램 제작사 측에서 아무런 연락을 주지 않았다”며 “현재 최신 버전 프로그램에도 지적한 문제점이 그대로 남아 있다”고 했다.

이에 대해 라온시큐어 관계자는 “해당 내용은 이미 작년에 KrCert를 통해 모두 전달받았고, 취약점을 보완하는 패치가 모두 이뤄진 상태”라며 “보완된 프로그램을 각 은행을 통해 배포하는 절차만 남겨놓은 상황”이라고 설명했다.