직장인 이주영(35)씨는 최근 웹브라우저를 최신 버전인 '인터넷 익스플로러 8(IE8)'로 바꾼 후 카드 고지서를 이메일로 확인하는 데 어려움을 겪었다. 이메일을 열려면 보안 프로그램을 설치해야 하는데, "현재 보안설정으로는 사용할 수 없다"는 메시지가 나오며 설치할 수 없었던 것. 컴퓨터 사용 지식이 많은 동료에게 물어보니 "웹브라우저와 이메일 프로그램의 '보안 수준'을 '보통'에서 '낮음'으로 바꾸거나 아예 옛날 버전 브라우저로 되돌아가라"고 말했다. 금융회사 보안 프로그램을 설치하기 위해 PC 전체의 보안 수준을 낮춰야 하는 역설적 상황이 벌어진 것이다.
27일 금융권에 따르면 최근 1년 간 금융회사 홈페이지의 질문ㆍ답변란에는 보안프로그램 설치에 대해 묻는 질문이 급증했다. 마이크로소프트의 운영체제인 윈도 비스타나 최신 버전의 웹브라우저를 설치한 고객들이 이메일을 열 수 없다고 호소하는 것이다. 웹사이트 접속할 때 설치해야 하는 보안 프로그램도 보안 수준을 낮추고서야 설치가 가능하다.
해킹을 방지하고 금융거래 등 중요한 개인정보를 보호하기 위해 설치하는 보안 프로그램이 어쩌다 보안수준을 낮추는 청개구리로 전락했을까. 이는 오래 전 인터넷뱅킹 보안을 강화하기 위한 방법으로 마이크로소프트 익스플로러에만 사용되는 '액티브X' 기술을 사용한 데 원인이 있다. 이 기술은 처음에는 편리함 때문에 많이 사용됐지만 해커들이 악성코드를 배포하는 방식으로 즐겨 사용하면서 'PC 보안의 적'으로 돌변했다. 사용자가 자신도 모르게 악성코드를 설치하면 해커는 이 PC를 '좀비'로 만들어 해킹 공격 등에 이용한다.
이에 따라 마이크로소프트는 새 버전의 윈도나 익스플로러를 내놓을 때마다 액티브X 설치를 크게 제한하는 식으로 보안기능을 강화했다. 그러자 액티브X 기술을 이용한 보안프로그램을 4~5개씩 의무적으로 설치토록 한 금융회사 사이트를 접속할 때 보안 수준을 낮춰야 하는 문제가 발생하기 시작한 것이다.
카드 고지서 등 이른바 '보안 이메일'의 부작용은 더욱 심각하다. 이메일에 파일을 첨부해 프로그램 설치를 유도하는 것은 해커들이 악성코드를 유포할 때 가장 널리 쓰는 방법이다. 이 때문에 글로벌 이메일 업체들은 이메일을 통해 프로그램을 설치하지 못하도록 엄격히 제한하고 있다. 반면 우리나라 금융회사들은 해커의 악성코드 유포와 기술적으로 전혀 차이가 없는 방법으로 고지서를 배포하고 있다.
한 보안 전문가는 "해커가 카드사나 은행을 사칭해 보안메일을 가장한 악성코드를 뿌리면 전국의 PC가 좀비가 될 수 있다"고 지적했다. 그는 "해외의 경우 뱅크오브아메리카(BoA) 등 유명 은행들을 사칭한 이메일 피싱이 활개를 치고 있다"면서 "이 때문에 미국 금융기관들은 고지서 같은 중요한 내용을 이메일로 발송하지 않는다"고 설명했다. 그는 또 "보안 이메일은 주민번호 뒷자리를 입력하도록 하고 있는데, 주민번호 뒷자리는 해커가 마음만 먹으면 쉽게 유추할 수 있다"고 주장했다.
박근우 안철수연구소 부장은 "보안 사고가 났을 경우 우리나라는 개인보다 금융기관에 책임을 묻기 때문에 최대한 많은 보안 프로그램을 설치하도록 하는 것"이라면서 "금융회사의 보안프로그램 정책은 금융감독당국의 가이드라인에 따른 것이어서 쉽게 바꾸기 어렵다"고 지적했다. 한 금융기관 전산 관계자도 "보안 프로그램 설치가 역설적으로 보안 수준을 떨어뜨린다는 사실이나 보안 프로그램끼리 충돌해 PC 기능에 이상이 생기는 등 여러 가지 문제가 있는 것을 알고 있지만 아직까지는 개별 금융회사가 임의로 정책을 바꾸기 어렵다"고 말했다.
최진주기자
기사 URL이 복사되었습니다.
댓글0