인터넷뱅킹을 위해 은행에서 필수로 설치할 것을 요구하는 보안 소프트웨어들이 여러 개 있다. 그런데 올해 초 독일의 보안개발자 블라디미르 팔란트가 대한민국 금융거래에서 널리 사용되는 소프트웨어의 취약점을 총 4회에 걸쳐 공개하겠다고 말한 후 예정대로 1. 9.에는 TouchEn nxKey에 대해, 1. 25.에는 IPinside-LWS에 대해 그 취약점을 공개하였다. 앞으로 2. 6 및 3. 6. 이렇게 2번 더 남았는데 블로그에 같이 언급된 AOS/ASTx, INISAFE 등이 그 대상이지 않을까 생각한다.

우선 TouchEn nxKey의 경우, 확장 프로그램 형태에서 비정상 명령을 실행할 수 있고 정보를 탈취할 수 있는 취약점이 있는데, 독일 보안개발자는 블로그에서 ‘2022년 10월 4일 KISA의 KrCERT에 그 취약점을 보고하고 소프트웨어 회사에도 연락을 시도했는데 연락이 되지 않았지만, KrCERT가 2주 후에 해당 보고를 회사에 보냈다는 점을 확인하였음에도 2022년 10월 4일 배포된 TouchEn nxKey 1.0.0.78에는 여전히 취약점이 존재하였고, 2023. 1. 10. 시점을 기준으로도 여전히 취약점이 해결되지 않은 TouchEn nxKey 1.0.0.78이 배포되고 있다’라고 밝히고 있다. 다음으로 IPinside-LWS의 경우, 취약한 암호화 기법을 사용함에 따라 손쉽게 정보를 식별할 수 있었고, 예상외로 다양한 정보를 수집하는 것으로 확인되는데(IP 주소, 운영체제 정보, HDD Serial, MAC 정보, 브라우저 정보, 프로세스 정보 등), 독일 보안개발자는 블로그에서 ‘2022년 10월 21일 KISA의 KrCERT에 그 취약점을 보고하고, KrCERT가 11월 14일까지 해당 보고를 회사에 보냈다는 점을 확인하였음에도 여전히 취약점에 대한 조치가 이루어지지 않았으나, 2월에는 아마도 새로운 버전을 계획하고 있는 듯하다’고 하였다.

이러한 일련의 내용을 보면서 든 생각은 국내 금융에서 널리 사용되는 보안프로그램의 취약점을 왜 국내의 유수 보안 전문가들은 밝혀내지 못했는지, 그리고 이 문제가 공개적으로 다루어질 때까지 몇 달의 기간이 있었음에도 왜 여전히 시정되지 않는 것인지라는 의문이었다. 굳이 애국심을 논하자는 것이 아니라 국내에서 널리 사용되는 주요한 금융 보안 소프트웨어라면 외국보다는 응당 사용당사자인 국내에서 그 문제점에 대한 지적과 그 지적에 따른 시정이 우선해서 이루어졌어야 하지 않는가라는 안타까움이 먼저 든다.


이근우 변호사 (법무법인 화우)