본문 바로가기

Home >

랜섬웨어 워너크라이의 공격과 액티브 엑스

정보 보안을 위한 특명: 액티브 엑스를 제거하라
지난 5월, 랜섬웨어 워너크라이(WannaCry)의 공격이 전 세계를 뒤흔들었다. 그 후로 새로운 이름의 랜섬웨어들이 우후죽순처럼 등장하며 각국의 인터넷 생태계를 위협하고 있다. 국내의 한 웹 호스팅 기업은 인질로 잡힌 고객들의 파일을 복구하기 위해 13억이라는 몸값을 지불하기도 했다. 정보가 적극적으로 보호해야할 중대한 자신이 된 것이다.



21C


정보의 시대

현대 사회는 정보로 넘쳐나고 있다. 2016년 8월 기준 한국 안드로이드 스마트폰 이용자 중 구글 드라이브, 네이버 클라우드 등 모바일 클라우드 서비스 앱의 설치자는 총 삼천만 명에 달한다. 실시간으로 정보를 생성하며 저장하는 사람이 그만큼 많다는 뜻이다. 클라우드 서비스를 제외해도 친구들과 나눈 대화내용, 은행에 보관된 나의 재산 내역과 신용카드 결제정보 등이 데이터로서 저장되고 있다. 극도로 사적인 정보들이 암호화라는 얕은 벽 너머 끊임없이 누적되고 있는 것이다. 경제와 사회 체계 모두가 정보화되고 있는 지금의 사회에서 위와 같은 디지털 플랫폼을 통하지 않고 생활하기란 불가능에 가깝다. 일상의 정보화를 피할 수 없게 된 현시점에서, 생성된 정보를 어떻게 관리하고 보호할지가 초미의 관심사가 되고 있다.










틈새


정보 보안 논란

인터넷은 상상을 초월하는 속도로 발전해왔다. 50년이 채 되지 않는 시간에 사람들의 삶을 송두리째 바꿔놓았다. 그러니 체계적인 정보 보안의 역사 또한 길 수 없다. 2008년, 약 1081만 명의 피해자가 나온 옥션 개인정보 유출사건은 국내에서는 최초로 일반 대중들에게 정보 보안에 대한 중요성을 환기시킨 사건이었다. 이어서 2011년에 네이트의 개인정보 유출로 3500만 명의 피해자가 발생했고, 2012년에는 KT 정보 유출 사건으로 약 870만 명의 피해자가 발생했다. 이후 공공기관과 금융권을 막론하고 개인정보 유출 사태가 잇달아 벌어졌다. 지난 2016년의 인터파크 개인정보 유출사건은 징벌적 손해배상제도가 적용된 첫 사례였다. 사상 최대 액수인 45억 가량의 과징금 및 과태료가 부과되었다. 올 초 숙박업소 예약 앱인 ‘여기어때’의 고객정보 유출 사태까지, 인터넷 곳곳에 산재한 정보를 향한 위협은 쉼 없이 이어지고 있다.







Active-X


액티브엑스의 정체

우리나라의 정보 보안은 액티브엑스에 크게 의존한다. 액티브엑스는 마이크로소프트의 윈도우 운영체제 안에서 기존의 응용 프로그램을 인터넷 익스플로러(IE, Internet Explorer)에서 활용할 수 있도록 연결 역할을 하는 소프트웨어 프레임워크다. 액티브엑스를 설치하기만 하면 웹사이트측이 사용자의 컴퓨터 기능을 제어해 사이트가 설계한 대로 작동하게 해준다. 액티브엑스의 가장 큰 특징은 모든 개인 사용자의 컴퓨터에 직접 설치된다는 점이다. 우리나라의 경우 정보 보안을 위한 액티브엑스 프로그램 설치가 일반화되어 있다. 금융거래 시 의무적으로 사용해야 하는 공인인증서 역시 대부분 액티브엑스를 기반으로 관리가 이루어진다. 본인 인증, 공인인증서 확인, 결제정보 암호화 등, 전자상거래를 위한 모든 절차에서 각기 다른 액티브엑스가 요구되어 최근에는 효율성 논란이 크게 일기도 했다.











표준


화재보험에서 생명보험까지

화재보험은 1666년 런던대화재를 계기로 시작됐다. 런던 시내 가옥의 80%를 태워버린 큰 불 이후 사람들의 마음에는 불안이 싹텄고, 바로 그 다음해인 1667년 치과의사였던 니콜라스 바본(Nicholas Barbon)에 의해 최초의 화재보험사가 문을 열었다. 정신없이 도시를 재건하고 있던 런던 시민들을 대상으로 화재보험은 어마어마한 성공을 거두었다. 이처럼 보험 산업의 상업적 가능성이 증명된 후로 다양한 보험 상품들이 쏟아져 나왔다. 생명보험 역시 그 때 등장했다. 1706년 아미카블 소사이어티(Amicable Society for a Perpetual Life Assurance)가 최초로 사망 시에 보험금을 지급하는 생명보험을 내놓았다. 현재의 단위로 연 90만 원 정도를 납부하고 사망 시 1,500만 원에서 4,500만 원을 수령했던 아미카블 소사이어티의 생명보험은 단 일 년 사이에 2000명이라는 자체 목표치를 달성하였고, 순식간에 생명보험은 보험업계의 주력상품이 되었다. 이처럼 보험 산업이 세분화되고 발달한 데에는 사고가 일어날 확률을 예측하는 통계 기술의 발달과 그 수치를 이용해 보험료를 책정하는 보험계리의 체계화가 주된 역할을 했다.







미래


도태되는 낡은 기술

윈도우10과 함께 마이크로소프트에서 새롭게 내놓은 인터넷 브라우저 엣지(Edge)에서는 액티브엑스 사용이 불가능하다. 유일하게 액티브엑스를 지원했던 IE를 대체할 새로운 웹 환경을 제시한 것이다. 모바일의 변화는 조금 다르다. 웹사이트가 아닌 앱 로그인을 통해 1차 보안이 이루어진다. 최근 돌풍을 일으키고 있는 카카오뱅크, K뱅크 등은 지문인식이나 홍재인식과 같은 생체인증 신기술을 도입했다. 보안이 강화됨은 물론 간편함까지 더해졌다. 모바일과 사물인터넷(IoT) 등 인터넷에 접속할 수 있는 환경 자체가 다양화하는 요즘, 접근성에서 취약한 액티브엑스는 효율성이 떨어질 수밖에 없다. 앞으로도 지속적으로 전환 사업이 이루어져 액티브엑스 완전 폐지는 빠른 시일 안에 현실화될 것으로 보인다.











㈜동부


건보공단 액티브엑스 제거 사업 수주

국민건강보험공단 역시 이러한 흐름에 맞춰 액티브엑스 제거 및 기능 고도화 사업을 추진하였고, 이 사업을 ㈜동부가 수주했다. ㈜동부는 국민건강보험공단에서 운영하는 총 9개 웹사이트의 액티브엑스를 대체기술로 전환하고, 다양한 브라우저 및 기기에서 서비스를 이용할 수 있도록 웹 호환성을 확보할 예정이다. 이와 더불어 최근 ㈜동부가 수주한 농협생명 온라인보험 시스템 구축 사업도 홈페이지 Non-액티브 기능을 포함하고 있다. 공공 웹사이트 뿐만 아니라 민간 분야에서의 액티브엑스 제거 추진도 활발해질 것으로 전망됨에 따라, ㈜동부는 향후 지속적으로 발주가 예상되는 액티브엑스 제거 사업에 적극적으로 참여하여 관련 분야의 전문성을 확보해나갈 계획이다. ㈜동부의 힘찬 도약이 기대된다.