"한국 금융보안 해킹에 취약 프로그램 문제점 공개할 것"

독일 보안전문가 주장 파장
'터치엔키' 허점 알려 유명세

해외 보안 전문가가 국내 보안 프로그램의 취약점을 연쇄적으로 공개하겠다고 나서 업계에 파장이 일고 있다.

독일 개발자 블라디미르 팔란트는 10일 매일경제에 보낸 이메일을 통해 "오는 23일 한국 보안업체 A사의 보안 프로그램 취약점을 공개할 예정"이라며 "지난해 보안 취약점 3종과 프라이버시 침해 요소에 대해 신고했지만 아직 조치가 이뤄지지 않았다"고 밝혔다.

팔란트는 A사 외에도 추가 폭로를 이어나갈 예정이다. 그는 매일경제에 "B사의 보안 프로그램 취약점에 대해서는 3월에 공개할 것이고, C사 프로그램은 문제가 있으나 아직 제보하지 않은 상태"라고 전했다.

팔란트는 전 세계 점유율 1위를 달리고 있는 광고 차단기 '애드블록 플러스'의 개발자다.

2005년 애드블록 플러스가 등장한 이후로 각종 유사 광고 차단기가 우후죽순 등장하면서 애플도 아이폰에 동일한 기능을 도입한 바 있다. 그가 문제로 삼은 보안 프로그램은 국내 대부분 은행 사이트에서 사용되는 것으로 업계의 많은 관심을 받고 있다.

앞서 팔란트는 올해 초부터 국내 금융 보안 프로그램에 대한 비판적인 입장을 밝히며 보안업계에 이름을 알렸다. 그는 지난 9일 본인 홈페이지에 글을 올려 국내 금융 사이트에서 키보드 보안 솔루션으로 쓰는 보안 프로그램 '터치엔키(TouchEn nxKey)'의 보안 허점을 지적했다. 구글 크롬 확장 프로그램을 통해 해커가 본인이 원하는 코드를 실행할 수 있고, 해커가 만든 웹사이트가 터치엔키 프로그램을 실행해 이용자가 입력한 정보를 탈취할 수도 있다는 분석이다. 아울러 오래된 C언어로 만들어져 '버퍼 오버플로' 기법에 취약하고, 해커가 원하는 코드를 실행하는 데 해당 프로그램이 활용될 수 있으며, '리버스 엔지니어링' 기법을 통해 키보드로 입력하는 정보를 가로챌 수 있다고 지적했다.

팔란트는 "한국 은행 사이트를 이용하기 위해서는 불필요한 보안 프로그램을 5~6개씩 설치해야 하고, 이들 프로그램은 심각한 보안 취약점을 갖고 있다"고 주장했다.

한편 터치엔키를 개발한 라온시큐어 관계자는 "해당 내용은 이미 작년에 한국인터넷진흥원(KISA)을 통해 모두 전달받았고, 취약점을 보완하는 패치가 모두 이뤄진 상태"라며 "보완된 프로그램을 각 은행을 통해 배포하는 절차만 남겨놓았다"고 설명했다.

[김대은 기자]