- 🇰🇷 번역상태: 2차 검토/수정 중
이 글은 The Readable 매체의 허락을 받아 영문으로 된 원문을 한국어로 번역한 글입니다.
번역 오류 및 잘못된 내용에 대한 수정은 [참여방법](https://github.com/alanleedev/KoreaSecurityApps/blob/main/CONTRIBUTION.md)을 읽은 후 Pull Request를 부탁드려요.
-
아래 글 번역에 참여한 이:
-
원본 문서: Outsider’s eye: Real questions to ask to protect South Koreans online (2023-01-26)
-
번역 문서 최초 작성일: 2023-02-13 (PR을 통해 계속 업데이트 중)
남국성, The Readable 2023년 1월 26일 오후 8:00 KST 2023년 1월 27일 오후 8:05 업데이트
한 독일의 사이버 보안 연구자가 2003년에 소프트웨어 개발자로서 일하기 시작했을 때, 대한민국을 중요하게 생각하지는 않았다. 그가 일을 막 시작했을 때 즈음에 그의 독일 태생인 한국인 친구에게서 한국의 온라인 보안에 관한 특이한 접근에 대해 듣기는 했지만, 그의 관심은 한국, “Internet Explorer의 마지막 요새”에 관해 주기적으로 대화하던 온라인 커뮤니티를 넘어서지는 않았다.
하지만 20여년 후, Microsoft가 Internet Explorer을 정식으로 지원 종료한 수 개월 뒤, 블라디미르 팔란트는 한국인과 같이 스포트라이트에 들어왔다.한국의 온라인 보안에 대해 우려하는 그의 기사들은 사이버 보안 전문가 뿐만 아니라 한국의 미디어 아웃렛에게도 관심을 받아, 온라인 지식이 소소하거나 없는 일반 한국인에게도 전달되었다.
The Readable은 보안 취약점을 공개한 글을 본 후 그 뒷 이야기에 대해 듣기 위해 팔란트에게 연락을 취해 1월 11부터 20일 사이 두 차례의 서면 인터뷰를 진행하였다.
블라디미르 팔란트는 이메일에서 “이 프로젝트는 정말 우연히 시작되었다.”고 설명했다.
그는 소프트웨어 개발자로 경력을 시작하고 브라우저 확장 프로그램에 전문성을 쌓은 사람으로서, 보안 문제가 있는지 확인하기 위해 브라우저 확장 프로그램을 자주 검사한다. 브라우저 확장 프로그램은 사용자가 구글 크롬과 같은 브라우저에 기능을 추가할 수 있게 해주는 소프트웨어다. 크롬 웹 스토어에서 천만 명 이상의 사용자를 가진 생소한 브라우저 확장 프로그램을 우연히 발견한 것은 그에게 놀라운 일이었다.
이 확장 프로그램을 살펴본 뒤, 그는 브라우저 확장 프로그램이 통신하는 애플리케이션에 대한 조사가 필요하다는 것을 깨달았다. 그는 해당 애플리케이션을 다운로드하고 분석을 시작했다. 이 특정한 키보드 보안 애플리케이션은 특히 한국에서 온라인 뱅킹 서비스를 사용하는 사용자라면 반드시 설치해야 하는 애플리케이션이다. 여러 보안 취약점을 발견하기까지는 시간이 조금 걸렸다. 호기심이 발동한 그는 다른 보안 애플리케이션을 분석하는 데까지 나아갔다.
이 사이버 보안 연구원은 한국에서 자주 사용되는 온라인 보안 애플리케이션 3개를 모두 조사했으며, 현재 네번째 애플리케이션에 대한 분석을 마무리하는 단계에 있다. 그는 처음 조사한 세 가지 애플리케이션 모두에서 보안 결함을 발견했다. The Readable은 이 전문가에게 발견된 취약점의 심각성을 파악하기 위해 보안 결함을 1부터 10까지 등급으로 분류해 달라고 요청했다. 1은 보안 문제가 없는 수준이고, 10은 즉시 해결이 필요한 치명적인 문제를 일으킬 수 있는 수준을 의미한다. 팔란트는 10 수준의 취약점이 있다고 말했다.
최악의 시나리오가 현실화되어 취약점이 잘못된 사람의 손에 들어가면 어떻게 될까? 팔란트는 “지금까지 알려진 최악의 취약점은 드라이브 바이 다운로드(Drive-by download)를 초래할 수 있습니다“라고 설명한다. “즉, 웹사이트를 방문하면 사용자가 아무것도 하지 않고 알아차리지 못한 채 컴퓨터가 멀웨어(malware)에 감염될 수 있습니다.”
팔란트는 작년 10월 4일, 10월 21일, 12월 3일에 각각 한국의 사이버 보안 기관인 한국인터넷진흥원(KISA)에 이러한 보안 문제를 신고했다. 또한 그는 자신의 블로그에 첫 번째와 두 번째 애플리케이션에서 발견한 보안 결함을 공개하기 전에 기업이 문제를 해결할 수 있도록 사이버 보안 업계에서 일반적으로 채택하는 90일 공개 기한을 준수하며 자신의 여정과 보안 결함에 대한 글을 작성했다. 1월 17일에 보낸 이메일에서 그는 지금까지 발견된 취약점 중 어느 것도 해결되지 않았다고 밝혔다.
한국인터넷진흥원 취약점 분석팀은 The Readable에 보낸 이메일에서 사이버 보안 연구원이 제보한 보안 문제를 평가한 결과, 심각한 피해를 초래할 수 있는 고 위험 취약점은 아니라고 결론 내렸다고 밝혔다. 취약점이 보고되면 사이버 보안 기관은 내부 가이드라인에 따라 이를 평가한다. 이 가이드라인에는 소프트웨어의 배포 범위, 악용 가능성, 공개된 취약점으로 인한 잠재적 피해의 심각성 등 구체적인 기준이 담겨 있다. 한국인터넷진흥원은 이에 대해 내부 결정 근거에 대해서는 자세히 밝힐 수 없다고 말했다.
소비자와 금융 기관을 위한 안전한 환경을 만들기 위해 노력하는 금융보안원(FSI)은 The Readable에 자신들의 결정을 공유했다. 이들은 사이버 보안 연구원이 블로그 게시물에서 공개한 첫 번째 애플리케이션의 보안 취약점을 조사했다. 이 문제를 긴밀히 조사하고 있는 금융보안원 관계자는 “이 취약점이 공격자에 의해 실제로 악용될 가능성은 낮다고 판단하고 있습니다.”라고 말했다. “그 영향과 관계없이 여전히 처리해야 할 취약점이기는 합니다."
해커가 보안 취약점을 악용해 클릭 한 번으로 사용자의 컴퓨터를 완전히 제어할 수 있는 익스플로잇(exploit)으로 전환할 경우, 이는 매우 심각한 보안 취약점으로 분류될 수 있다. 다만, 이 경우 정교하게 제작된 피싱 웹사이트를 통해 사용자를 유인하는 등 다양한 전제 조건이 필요하다고 이 관계자는 설명했다. 또한 익스플로잇이 성공적으로 배포되더라도 치명적인 피해로 이어질 가능성은 낮다.
첫 번째 애플리케이션을 개발한 라온시큐어(RaonSecure)는 The Readable에 문제를 해결했으며 1월 내에 업데이트된 버전을 고객에게 배포할 것이라고 말했다. 이 회사 대변인은 “우리의 판단으로는 낮은 수준의 보안 결함이었습니다."라고 말했다. “주요 금융 기관들은 오랫동안 아무런 문제 없이 저희 제품을 사용해 왔습니다. 만약 문제가 있었다면 이미 심각한 문제가 발생했을 것입니다.”
사이버 보안 연구원은 “사용자에 대한 위험성 측면에서는 ‘심각'하지 않을 수 있지만 애플리케이션이 제공하는 보안이라는 가치 측면에서는 매우 심각하다"며 한국 당국과 사이버 보안 회사의 결론에 동의하지 않는다고 말했다. 또한 그는 애플리케이션이 현재 처해 있는 특수한 상황을 고려할 것을 촉구했다. 이렇게 엄청난 주목을 받으면 취약점을 익스플로잇할 수 있는 능력을 가진 사람이나 한국의 온라인 보안 애플리케이션에 관심이 없던 사람들에게 예기치 않았던 호기심을 불러 일으킬 수 있다. 팔란트는 “일부 범죄자들이 애플리케이션을 발견하고 악용하기 시작하는 것은 시간 문제일 뿐"이라고 경고했다.
보안 결함과 함께 반드시 짚고 넘어가야 할 질문이 있다. 이러한 보안 애플리케이션이 해커로부터 한국인을 효과적으로 보호하고 있는가? 추가적인 애플리케이션을 의무적으로 설치하는 것이 한국인의 온라인 활동을 보호하는 최선의 방법인가? 이러한 접근 방식은 사용자로 하여금 웹사이트가 요청할 때 아무런 주의 없이 애플리케이션을 설치하도록 학습시켜 잠재적인 위협에 노출시킬 수 있지 않을까? 전문가는 위 모든 질문에 대해 깊은 우려를 표명했다.
사이버 보안 전문가가 자신의 연구 결과를 당국에 공개한 것은 이례적인 일이지만, 사이버 보안 회사에 보안 취약점을 제보한 것은 이번이 처음은 아니었다. 기업들은 다양한 방식으로 대응했다. 어떤 경우에는 한 달도 안되어 문제를 해결하기도 했다. 그러나 일반적으로는 아무런 응답도 받지 못했다. 그가 90일 시한에 대해 경고하자 기업들은 침묵을 깨고 시한 하루 전에 문제를 해결했다.
“소프트웨어에는 항상 보안 취약점이 있습니다.이는 당연한 일입니다.”라고 이 전문가는 말한다. “취약점이 신고되면 회사가 배우고, 직원을 교육하고, 다른 코드를 검토하고, 더 나은 방식을 확립하고, 이상적으로는 향후 모든 종류의 취약점을 피할 수 있는 방법을 마련하는 기회입니다.” 또한 그는 더 많은 기업이 실제로 변화하는 계기가 되기를 바라지만, 대부분의 기업은 이를 기술적 문제가 아닌 대외적인 이미지 문제로만 보고 있습니다.
팔란트는 “기업이 윤리적으로 행동하고 선의로 안전한 소프트웨어를 구축하기를 기대할 수는 없습니다.”라고 단언했다. 그는 중요한 애플리케이션의 보안 취약점에 대해 독립적인 연구자들이 검토하는 것이 중요하다고 강조했다. 이 작업은 Google의 보안 연구원 팀이 대중적인 소프트웨어를 조사하고 그 결과를 바탕으로 보안 취약점을 패치하는 Google의 Project Zero와 유사하다. 사이버 보안 연구원은 “연구에는 결과가 따른다는 것이 중요합니다. 공급업체는 보안을 개선하지 않으면 금전적인 손실에 직면하게 될 것입니다.”라고 말했다.
이 기사의 표지 이미지는 김상선 작가가 디자인했습니다.
정정: 1월 26일자 기사에는 블라디미르 팔란트에게 한국의 은행 시스템을 제보한 사람의 국적이 잘못 기재되어 있습니다. 제보자는 한국인이 아닌 독일 태생의 한국인입니다.
남국성 기자는 The Readable의 사이버 보안 전문 기자입니다. 공공 및 민간 부문을 포함한 한국의 사이버 보안 문제를 다루고 있습니다. The Readable에 합류하기 전에는 국내 5대 지역신문 중 하나인 경인일보에서 정치부 기자로 일하며 지방자치단체 공무원들의 비위 행위에 관한 여러 단독 기사를 보도했습니다. 현재는 사이버 공간에서의 위협과 범죄, 사기 방지와 관련된 문제에 집중하고 있습니다. 영어와 프랑스어에 능통한 한국 출신으로 전 세계 독자들에게 뉴스를 전달하는 데 관심을 갖고 있습니다.