[안철수연구소]보안이 있어야 할 곳과 그 범위

[개인정보 보호]

엄선된 보안 전문 칼럼리스트들이 작성한 개인정보보호 관련 상식, 정보를 제공해 드립니다. 안철수연구소에서 전해 드리는 해킹, 피싱/파밍, 스팸 메일 등 개인정보보호 관련 정보를 통해 개인정보 유출로 인한 피해로부터 벗어나시기 바랍니다.

안철수연구소 [2008.07.23]

보안이 필요한 곳, 그렇지 않은 곳 조회수| 392

인터넷사용이 대중화된 만큼 언론에서 연일 터져 나오고 있는 ‘보안’ 이라는 문제는 더 이상 낯선 말이 아니다.   집에서 사용하는 컴퓨터, 회사에서 사용하는 컴퓨터 이 모든 것이 사이버 공간에 연결되어 보안은 앞으로도 더욱 중요한 문제로 부각될 것은 당연한 논리이다. 불과 10여 년 전 모뎀으로 인터넷을 사용하던 시절을 회상해보면 현재의 인터넷 환경은 비약적인 발전을 하였다.   지금 우리의 인터넷 환경은 세계 어느 나라와 비교해 보아도 인프라 면에서는 상당히 앞서 있고 인터넷의 접근성은 최고수준에까지 도달하였다. 이러한 인프라로 인해 인터넷 대중화가 빠르게 이루어졌고 또한 자연스럽게 기업들의 비즈니스가 인터넷상에서 많이 이루어지고 있다.   다시 말해, 이제는 이 인터넷이라는 놈 자체를 빼놓고서는 사업을 할 수가 없을 만큼 큰 부분을 차지하게 되었다. 한편, 인터넷 대중화는 사이버공간상의 범죄를 양산하기 시작하였다.   사이버공간의 가장 큰 특징인 익명성과 컴퓨터 한대로 범죄 성립이 가능하다는 편리성 때문이다. 바이러스, 웜, 트로이목마와 같은 악성코드, 피싱, 해킹, 소프트웨어 취약점 등 이 모든 것이 인터넷의 대중화와 함께 나타난 인터넷의 역기능이라고 하겠다. 인터넷상에서 이러한 위험을 막아내기 위하여 ‘보안’ 이라는 개념이 등장했다.   온라인 백신, 온라인 방화벽, 키보드 보안, 공인인증서 등의 많은 보안 요소들이 지금 우리가 주로 사용하고 있는 보안툴이다. 다양한 보안 서비스 덕택으로 인터넷 공간에서 더욱 안전한 서비스를 받고 있다는 사실은 부인하지 못할 것이다.   하지만, 이러한 보안서비스가 웹의 오픈성에 반하여 오히려 방해가 될 수도 있다는 사실은 어떻게 생각하는가?   보안이 적재적소에 사용되는 것이 아니라 과도하게 보안 적용이 이뤄지고 있다면 이것은 우리가 보안의 범위와 적용에 대해서 다시 한번 생각해 보아야 할 것이다.   바로 필자가 이야기 하고자 하는 부분이 보안이 있어야 할 곳이 어디인가 논해보고자 한다. 과도한 보안은 오히려 득보다 실 언제부터인가 많은 웹 사이트들이 보안 프로그램을 설치한다는 메시지가 부쩍 늘어나기 시작하였다.   특히 금융권 및 증권 사이트와 같이 중요거래가 일어나는 곳에서는 보안 프로그램 설치가 필수사항처럼 여겨지고 있고, 지금은 과거보다 더욱 많은 보안 프로그램이 사이트 접속만으로도 개인 PC를 점령하여 동작하기 시작하였다. 개인의 입장에서는 따로 돈을 지불하고 보안 소프트웨어를 사지 않더라도 컴퓨터를 더욱 안전하게 지킬 수 있는 방법이 생겨난 것이다. 이런 점에서는 반길 일이지만, 또 한편으로는 과도한 보안 정책이 정보의 접근성을 제약하는 일이 일어나는 것 같아 우려되는 부분이 있다. 민감한 정보가 전달되는 것도 아니고 단순한 정보성 페이지인데도 불구하고 보안프로그램의 설치를 요구하는 부분이 바로 과도한 보안의 사례이다.   예를 들어, 한 고객이 특정 금융사의 예금 상품에 가입하기 위하여 정보 조사 차원에서 사이트를 방문하였다. 여느 다른 사이트와는 달리 보안프로그램이 설치가 되어야만 정보를 볼 수 있게 구성이 되어 있었다. 보안 프로그램을 설치하거나 혹은 다른 금융회사로 이동하는 것은 고객의 선택이다. 여기서 문제는 금융 거래가 아닌 단순히 정보를 얻기 위해 방문한 것인데 왜 불필요한 소프트웨어 설치를 요구 받느냐 하는 점이다. 물론, 보안을 위하여 그렇다고 하지만 꼭 보안이 필요한 곳뿐만 아니라 사이트 전체에 보안을 적용할 필요가 있을까?   보안이라는 이름 하에 무조건적인 보안프로그램의 설치를 요구하고 이러한 것의 대부분이 엑티브엑스(ActiveX)의 기술을 사용한 것이다.   ActiveX 기술은 유독 한국에서 많이 사용되고 있는데 이로 인해 특정 브라우저로의 편중이 심해지고, 윈도우 기반의 OS 사용자 외의 접속이 제한당하는 등의 많은 문제점들이 나오고 있다.   여기서는 이 ActiveX 기술에 대해서 논하고자 하는 것이 아니므로 긴 설명은 피하도록 하겠다. 이렇게 한 사이트의 접속에 우리는 일부분을 버려야 할 것들이 생겨나고 있고, 그 일부분이란 다음과 같은 것들이 해당된다. - 설치된 보안 소프트웨어가 오히려 보안 취약점을 내포하고 있는 경우 - 보안 프로그램의 중복 사용으로 인한 불필요한 컴퓨터 자원의 낭비 - 소프트웨어간의 충돌 가능성 증대 - 불필요한 페이지의 암호화로 인한 시스템의 부하 가중 우리는 이미 많은 경험을 하였을 것이다. 사이트의 정보를 얻기 위하여 또는 거래를 하기 위하여 설치되는 ActiveX 기반의 많은 소프트웨어들.   정보를 얻기 위하여 우리의 의지와는 상관없이 “다음 프로그램의 설치에 동의하시겠습니까?” 라는 문구에 의식적으로 “예”를 누르게 되며, 점점 이러한 설치에 무감각 해지는 우리들.   정보를 얻기 위하여 포기해야 하는 것 치고는 어쩌면 너무 큰 것일지도 모른다. 또한 설치 소프트웨어의 취약점으로 인한 또 다른 보안 문제도 고려해야 한다.   최근에 ActiveX를 이용한 취약점 공격 사례가 많이 발생하고 있고, 국내에서 제작되고 있는 ActiveX의 현 상황을 보면 말이다. 보안이 있어야 할 곳과 그 범위 비즈니스에 있어 고객 보호는 필수불가결한 요소이다.   또한 사이트마다 사용하는 보안 정책도 다르고 프로그램도 다르다. 이로 인해 고객의 컴퓨터에 설치되는 보안 프로그램은 각양각색으로 증가하고 있다. 물론, 안전한 통신 거래를 위해서 택한 소프트웨어는 어쩔 수 없다. 하지만 필요 이상의 소프트웨어 설치를 강요하는 것은 분명 보안과는 또 다른 문제이다.   과도한 보안정책으로 인해 고객의 정보 접근을 제한하는 것은 사이버 공간상의 자유성에 반하는 것으로 밖에 볼 수 없다. 그렇다면 이렇게 과도한 보안 서비스 또는 정책을 제공하게 된 이유는 무엇일까?   가장 주된 요인은 분명 인터넷상의 위협이 증가했기 때문일 것이다. 하지만 개개인의 보안 의식의 부재가 기업으로 하여금 이러한 과도한 보안 서비스를 시작하는데 일조한 것은 아닐까?   기업들이 이렇게 앞다투어 과도한 보안 서비스를 도입하는 이유는 해당 기업의 서비스를 이용하다 혹시나 일어날 지 모르는 보안 사고를 막기 위해서이기도 하다. 이것은 기업만을 탓할 문제는 아니다. 우선 개인의 보안 의식이 높아진다면 자신의 정보자산도 지킬 수 있을 뿐만 아니라 사회 전반적으로 필요 이상으로 높아만 가는 보안 문제들을 조금은 줄일 수 있을 것이다. 우리가 말하는 이 ‘보안’이라는 것은 참 어려운 숙제이다.   높은 보안 수준을 요구하자니 불편함은 가중되고, 반대로 보안수준을 낮추자니 고객의 피해가 발생할 수도 있고 이로 인한 피해를 기업이 질 수도 있다.   과연 무엇을 우선시해야 하는 것일까?   보안에 어떤 정답이 있기 보다는 현 상황에서 가장 적절한 보안책을 강구하는 것이 올바른 답일 것이다. 이번 주제와 같이 꼭 필요한 곳에만 하는 것과 같이 말이다.@   [저자] 안철수연구소 ASEC팀 정관진 선임연구원 현재 안철수연구소 시큐리티대응센터에서 취약점 및 악성코드 분석을 담당하고 있는 정관진씨는 다수의 보안 강연 및 컬럼니스트로 활동하고 있으며, 오픈 소스와 유비쿼터스환경의 보안에 많은 관심을 가지고 있다. 또한, 아파치사용자그룹(http://www.apache-kr.org)사이트의 운영자이기도 하다. [안철수연구소 2008-07-23]