해외 보안전문가 “국내 보안프로그램이 피싱 방지 무력화”

해외 보안 전문가가 국내 보안 프로그램의 문제점을 지적하고 나섰다. 은행 사이트에 접속하면 주소창에 뜨는 ‘자물쇠 아이콘’으로 보안이 적용됐는지 확인할 수 있지만, 국내 보안 프로그램이 이를 무력화하고 있다는 것이다.

6일 독일의 보안 전문가 블라디미르 팔란트는 본인의 홈페이지에 “한국 스타일로 TLS 보안 약화하기”라는 글을 올려 이처럼 주장했다.

전송 계층 보안(TLS)은 인터넷상에서 보안을 유지한 상태로 정보를 주고받는 통신 규약이다. 접속한 사이트가 피싱 등 속임수에 의한 것이 아니라 원래 들어가려는 사이트가 맞는다는 것을 보증하기 위해 만들어졌다.

팔란트는 이니라인·인터리젠·위즈베라 등 보안 프로그램이 ‘신뢰할 수 있는 인증 기관’을 이용자의 각 컴퓨터에 설치한다는 점을 문제로 들었다. 보안 프로그램을 설치하고 나면 컴퓨터에 ‘신뢰할 수 있는 인증 기관’이 설치되고, 보안 프로그램을 지우더라도 사라지지 않는다는 것이다.

그런데 이들 대다수가 똑같은 인증 기관을 모든 컴퓨터에 동일하게 설치하기 때문에, 그 중 한 컴퓨터의 비밀키만 유출돼도 다른 모든 컴퓨터에게도 악영향을 끼친다는 설명이다.

그는 “이 문제를 해결하기 위해서는 각 컴퓨터마다 서로 다른 인증 기관을 설치해야 한다”며 “Initech CrossWeb Ex V3가 이 같은 방법을 사용하고 있다”고 밝혔다.