45P by kunggom 26일전 | favorite | 댓글 13개

예로부터 한국의 온라인 뱅킹이나 전자정부 서비스는 각종 설치 프로그램으로 악명높습니다. 과거에는 ActiveX였고 요즘은 보안 플러그인 설치 파일로 바뀌었습니다만, 그 본질은 바뀌지 않았지요. 그래도 근래에는 공인인증서 대체 본인인증 수단도 생기고 exe 플러그인 설치 없이 온라인 서비스를 제공하는 곳도 등장하는 등 예전에 비하면 일부 사정이 개선된 편입니다만, 아직까지도 이런 것을 설치하라고 강요하는 웹사이트가 2023년 현재까지 버젓이 남아있는 현실은 참으로 통탄할 노릇입니다.

애드블록 플러스로 유명한 블라디미르 팔란트(Wladimir Palant)는 지난 9월부터 한국의 이러한 온라인 보안 실태에 관해 조사해오고 있었다며 자신의 블로그에 글을 올렸습니다. (영어) 1990년대 미국의 암호 알고리즘 수출 규제 때문에 한국에서 자체적으로 개발한 SEED 알고리즘으로 인터넷 뱅킹 서비스를 구현하기 위해 ActiveX를 사용하기 시작했다는 역사적 이유에서부터 시작하여, 한국에서 인터넷 뱅킹 써봤으면 누구나 다 아는 보안 플러그인 설치 실태, 그리고 이러한 “보안 소프트웨어”가 실제로는 보안에 아무런 도움이 되지 않는 가짜이지만 현 상황이 이해 관계 때문에 의도적으로 설계되었다는 점까지 정확하게 꿰뚫어보고 있습니다.

이 분은 조사 과정에서 보안 플러그인 제품의 보안 취약점을 여럿 찾아 보고한 모양이지만, 그것만으로는 실질적인 문제가 해결될 수 없다는 점도 당연히 이해하고 있습니다. 하여튼 발견한 취약점의 구체적인 내용은 보고 후 90일 뒤에 공개하는 관례에 따라 글쓴이의 블로그에서 오는 2023년 1월 9일, 1월 23일, 3월 6일에 각각 공개할 예정이라고 하네요.

그리고 보안 취약점을 찾는 과정에서 다음과 같은 소프트웨어 품질 문제도 발견했다고 합니다. 어째 다들 익숙하실 만한 내용입니다.

  • 이걸 개발한 개발자는 C 언어를 사용하면서도 버퍼 오버플로우와 같은 메모리 안전 문제에 미숙한 것으로 보임
  • 문제를 완화하는 다양한 메커니즘을 제공하는 최신 컴파일러 대신 15년 묵은 Visual Studio로 컴파일
  • 명색이 보안 프로그램이면서 ASLR이나 DEP처럼 오래되고 기본적인 보안 기능마저 비활성화되어 있음
  • (경우에 따라 10년 이상) 오래된 버전의 오픈소스 라이브러리 사용
  • 대부분의 경우, 암호화는 그저 리버스 엔지니어링을 방해하기 위한 난독화(obfuscation)를 위해 사용한 것으로 보임
  • 암호 알고리즘 파라미터에 한참 전에 사용 중지(deprecated)된 내용을 아직까지 쓰고 있음

HackerNews comment들을 정리 해봤습니다

  • 한국의 금융 규제기관은 보수적이지만, 정치인들이나 미디어는 금융 소비자들의 편을 들려고 함. 그래서 사용자의 컴퓨터에 설치된 키로거로 인한 비밀번호 유출이더라도, 사용자의 실수를 은행의 잘못으로 돌림. 이것이 은행들이 보안 프로그램을 구매하는 이유
  • 금융 기관 자체에서 보안을 신경쓰지 않음. Outdated된 OS를 사용하는 것은 부지기수

내용이 많이 길어져서 블로그에 정리 해봤습니다
https://soulee.dev/2023/01/05/korean-bogus-security

국제적으로 망신을 좀 당해서 개선이 되었으면 하네요.
저런 방법들이 현재 업체들의 책임회피 수단으로 이용된다는 말에 놀랐다는 댓글이 많네요.

한국에서는 대체로 규제의 목표가 "사용자를 보호하겠다" 가 아니라 "책임지지 않도록 하겠다" 로 귀결 되는 경우가 많다고 보는데, 대표적인게 유저 컴퓨터 설치형 보안 플러그인 같습니다. 사고 터질때마다 뭔가 하나씩 추가되다보니, 설치를 하기위한 플러그인까지 설치해야 하는 지경까지 왔다는게 당황스럽더라구요. ㅎㅎ

맞습니다. 소개한 글에서도 바로 그 점을 정확하게 꿰뚫어보고 있더군요.

그리고 보안 플러그인을 여러 개 설치하기 위한 추가 프로그램을 별도로 설치하도록 사용자에게 추천하는 걸 보고 “앱 동물원 관리”(manage this application zoo)라고도 하더군요 ㅋㅋㅋ

우리만 아는 건 줄 알았더니 다들 아는군요 ㅜ ㅜ

저녁먹다가 기사 보고 내일 요약해서 올려야 겠다 생각만 했는데 잘 정리해 주셨네요. 고맙습니다!!

“가짜(bogus) 보안 어플리케이션 시장”을 만들었다는 말이 참 와닿네요.

드디어 실제 취약점에 관한 내용이 공개되기 시작했습니다.

첫 빠따(?)는 라온시큐어의 TouchEn nxKey 키보드 보안 프로그램입니다.
취약점 자체도 그렇지만, 그 취약점을 처리하는 과정에서조차 허술한 모습을 보인 것이 참 인상깊습니다. (?)

황금알을 낳는 거위

외국 밈 중에 disappointed but not surprised 라는 게 있던데 그게 떠오르네요.

책임 회피를 위한 가짜 보안 어플리케이션이란 말이 맞는 것 같습니다...

원작자가 올린 Hacker News 쓰레드:
https://news.ycombinator.com/item?id=34231364

다른 분이 올리신 원문 글의 한국어 번역:
https://www.woojinkim.org/wiki/spaces/me/pages/733085820

부끄럽네요