은행권 웹 사이트 암호화 프로그램, 왜 호환이 안 되죠?

대부분의 금융업무를 인터넷뱅킹이나 사이버트레이딩으로 처리하는 무대포 대리는 어느 날 지금까지는 몰랐던 사실을 하나 알게 됩니다. 은행 웹 사이트를 접속하는 순간 자신의 PC에 암호화 프로그램이 설치되고 있다는 사실을 말이죠. 처음에는 모든 은행 웹 사이트를 접속하기 위해 필요한 하나의 절차라고 생각했지만, 몇몇 은행 사이트를 더 찾아보니 반드시 그런 것만은 아니라는 사실을 알게 된 무 대리는 며칠 후 재미있는 사실을 발견하게 됐습니다. 유사한 기능을 하는 암호화 프로그램이지만, A라는 업체가 제공하는 솔루션은 어떤 은행이냐에 관계없이 모두 호환이 되는 반면, 솔루션을 제공한 업체가 다르면 호환이 될 수 없다는 사실이 그것이죠.    


암호화 프로그램의 설치

 
과거 은행은 청원경찰과 출입통제 시스템, 그리고, 거대한 금고 등으로 철통보안 체계를 갖추고 있었습니다. 하지만 최근에는 인터넷으로도 금융 업무를 볼 수 있는 만큼, 통신기술이 발전하면서 각 은행들은 자사 웹 사이트를 이용하는 고객이 안전하게 금융 업무를 볼 수 있도록 온라인 보안을 상당히 강화하고 있습니다. 암호화 프로그램은 이런 금융기관의 안전장치 중 하나라고 볼 수 있습니다. 특히, 국내 금융권 웹 사이트에서는 암호화 프로그램을 설치하지 않으면 금융 업무를 볼 수 없어 프로그램 설치는 필수적입니다.
그런데 문제는 은행이 어떤 업체의 암호화 프로그램을 사용하는지에 따라, 고객들은 기존의 것 이외에도 다시 프로그램을 설치해야 하는 등 번거로움이 따르게 된다는 겁니다. 지금까지는 암호화 프로그램을 사용하는 곳이 금융권 위주로 국한되어 있는 등 그 수가 적어 큰 문제가 되지 않을 수도 있습니다. 그러나 향후에는 정부기관이나 온라인 쇼핑몰 등에서도 암호화 프로그램을 사용하게 돼, 자칫 사용자가 접속하는 웹 사이트마다 암호화 프로그램을 설치해야 하는 불편함이 뒤따르게 될지도 모릅니다. 이런 문제를 알아보기에 앞서 일단 암호화 프로그램이 왜 필요한지, 또 어떻게 설치되는지 그 과정부터 알아보는 것이 순서겠죠.

“암호화 프로그램을 설치중입니다”


 보안경고 창

 
일반적으로 인터넷뱅킹을 이용하는 고객은 해당 은행의 웹 사이트에 접속해 아이디와 비밀번호는 물론, 계좌번호나 카드번호, 그리고 이에 대한 비밀번호 등을 입력하게 됩니다. 그러나 해커들은 금융 사이트와 고객의 통신을 엿볼 수 있는 해킹 프로그램을 이용해 절대 외부로 알려져서는 안 될 고객의 주요 금융정보를 빼낼 수 있습니다. 마치 오프라인 상의 소매치기처럼 말이죠. 이런 해킹 수법을 막기 위해서는 고객과 은행이 어떤 정보를 주고받는지 모르게 하는 것이 최선의 방법입니다. 암호화 프로그램이 하는 일도 바로 이런 것입니다. 암호화 프로그램은 은행과 개인의 정보를 암호화한 상태에서 통신하도록 하기 때문에, 해커가 통신을 엿듣더라도 그 내용이 무엇인지 모르게 되죠. 그렇다면 간단하게 암호화 프로그램의 설치과정을 살펴보는 것이 좋겠네요.

설치된 암호화 모듈의 표시(맨 오른쪽)
우선 A라는 은행의 웹 사이트에 처음 접속한다고 가정해 보죠. 웹 사이트에 접속하게 되면 그림 1처럼 암호화 프로그램을 설치한다는 메시지가 등장하게 됩니다. 그런데 만약 해당 사이트에 처음 접속하거나 이 은행이 사용하고 있는 암호화 프로그램을 처음 사용할 경우에는 아래의 그림처럼 또 다른 메시지 Active-X를 이용한 ‘보안경고’ 창이 나타나게 됩니다.
이 보안경고 창은 암호화 프로그램을 설치하기 위한 것으로 특정 업체의 프로그램이 다운로드 된다는 이 메시지 창에서 ‘예’를 선택할 경우, 암호화 프로그램이 자동으로 사용자의 PC에 설치됩니다. 이때부터 해당 은행 웹 서버와 사용자 PC는 암호화된 정보교환이 가능해지게 됩니다. 이러한 일련의 과정은 불과 10초 내외의 시간 동안 이뤄져, 가끔 사용자가 모르고 지나칠 수 있습니다. 다만, 암호화된 통신이 이뤄진다는 사실은 오른쪽 하단 박스에 자물쇠 등의 표시가 나타나 알려주게 됩니다.
여기에서 잠깐 비밀 하나를 알려드리죠. 암호화 통신은 은행 웹 사이트에서 다른 일반 웹 사이트로 이동하는 순간 끝나게 되지만, 암호화 통신 중임을 의미하는 자물쇠는 사라지지 않고 계속 표시되고 있는 경우를 흔히 볼 수 있습니다. 암호통신이 지속되는 것이 아니냐구요? 많은 사람들이 그렇게 생각하지만, 실제로는 해당 웹 사이트를 떠나는 순간 암호통신은 지속되지 않습니다. 때문에 웹 사이트를 떠난 후 생겨진 자물쇠는 인증서 관리나 인증서 내역을 살펴볼 수 있는 아이콘 기능 이외의 의미는 없습니다. 일종의 트릭이라고도 볼 수 있죠. 상식적으로 생각해봐도, 한 번의 설치만으로 모든 웹 사이트에서 암호화 통신을 가능케 한다면, 이러한 암호를 개발해 판매하는 업체들은 뭘 먹고 살겠습니까?
 
Active-X가 뭐죠?
 
웹 사이트를 검색하거나 특정 사이트에 접속할 경우 볼 수 있는 Active-X는 웹 브라우저의 통신 언어 HTML에서 할 수 없는 기능을 확장시키기 위해 만들어진 것입니다. Active-X의 가장 큰 장점은 웹 사이트의 접속만으로도 어느 프로그램이든 자동설치가 가능하다는 점입니다. 반면, 보안경고 창이 별도로 나타나 사용자가 모두 체크를 해야 한다는 것이 단점이죠. 물론 자동으로 프로그램이 설치되기 때문에 악의적인 Active-X가 있을 수 있으므로, VeriSign이나 Thawte와 같은 공신력 있는 인증기관에서 발급한 인증서로 전자서명된 Active-X만을 이용해야 한다는 사실을 꼭 기억해 두시기 바랍니다.


왜 상호호환이 안되는 거죠

이제까지 암호화 프로그램들이 어떻게 설치되는지, 암호화 프로그램이 무엇인지 알게 됐으니, 그럼 이제부터 암호화 프로그램이 왜 상호호환이 되지 않는지에 대해 알아보도록 하겠습니다. 결론부터 말씀드리자면, 그 이유는 암호화 프로그램을 제공하는 솔루션 업체들이 다르기 때문입니다. 암호화 프로그램도 여타의 통신관련 기술과 마찬가지로 표준안이 마련되어 있습니다. 암호화 프로그램에 사용되는 표준기술은 RSA 혹은 SEED와 같은 암호화에 사용되는 알고리즘과 브라우저를 통해 전달되는 Active-X 등과 같은 기술입니다. 물론, 여기까지는 모든 솔루션 업체들이 동일한 기술을 쓰고 있습니다. 다만, 웹 암호화 통신을 위한 통신 프로토콜의 표준이 없는 상황입니다. 업체마다 서로 호환이 될 수 없는 이유가 여기에 있는 것입니다. 여기에 RSA, SEED를 어떻게 이용하느냐에 따라 많은 방법론이 존재해 솔루션간 호환은 엄두도 못 내게 되는 거죠.
마치 동일한 제품에 포장을 다르게 해 판매하는 경우라고나 할까요. 이 점에 대해 솔루션을 제공하는 각 업체에서는 암호화 프로그램이 설치되는 속도와 안정성, 연산 값, 암호화 속도, 그리고 다운로드 되는 프로그램의 사이즈 등을 차별화하기 위한 기술적 차이라고 주장하기는 합니다.

Http와 Https의 차이를 아시나요?

해외의 경우는 어떨까요? 해외의 경우는 국내 체계와는 다른 방식 즉, Active-X 방식이 아닌, 인터넷 통신 프로토콜에 포함된 SSL 기능을 이용합니다. 보안통신이 진행되고 있다는 의미에서 URL 주소도 SSL 통신을 의미하는 https로 시작하죠. 웹 브라우저가 지원하는 SSL 방식의 암호화 프로그램의 장점은 별도의 프로그램 설치없이도 안전한 암호화 통신이 가능해 사용이 편리하다는 것이죠. 물론 은행마다 다른 프로그램을 설치할 필요도 없고요. 그런데 왜 우리는 이런 방식을 취하지 않을까요? 이에 대해 KISA 관계자는 “암호라는 것이 국가 안보에 중요한 영향을 미치는 만큼 국내 기술이 아닌 SSL 방식을 그대로 사용하게 되면 국가 보안상 허점이 될 수 있다”라고 설명하더군요. 어떤 것이 옳은지는 여러분이 판단하시는 것이 좋을 것 같네요. 

                                                                              
한국정보보호진흥원의 한 관계자에 따르면, 암호화 프로그램이 제공되던 초기, 금융결제원을 중심으로 표준안을 작성해 프로그램이 상호호환될 수 있도록 하려는 움직임이 있었다고 합니다. 하지만 은행마다 서로 다른 종류의 서버와 네트워크 구조의 차이를 가지고 있어 일률적으로 표준안을 적용하기 어려웠다고 덧붙이더군요. 또한, 업체들이 제공하는 솔루션에 대해서도 하나의 표준안을 제공하려 했지만, 이마저도 솔루션 업체들의 기술경쟁력을 높이는 차원에서, 그리고 다양성을 인정한다는 점에서 현재와 같은 상황에 이르게 됐다고 합니다.
앞서 설명 드린 것처럼 호환이 될 수 없는 이유들이 모두 그럴 듯하지만, 사용자는 불편을 감수해야 될 것 같다는 생각이 듭니다. 현재까지 금융권에 암호화 프로그램을 제공하는 업체로 알려진 곳은 대략 6개. 결국 모든 은행을 이용하기 위해서는 최소한 6번은 프로그램을 다운로드 받아야 한다는 얘기가 되죠. 물론 ‘6개쯤이야’라고 생각할 수 있겠지만, 앞으로는 공공기관이나 온라인 쇼핑몰에서도 암호화 프로그램을 사용하게 된다면 웹 사이트를 접속하는 순간마다 암호화 프로그램을 다운로드 받아야 한다는 걱정이 앞서기도 합니다.
[정보보호21cⓒ(is21@infothe.com)] 
                                 
         <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>