국내 금융 사이트나 공공기관 사이트 등에서 많이 사용되고 있는 액티브X 기반 보안모듈이 우회가 가능한 것으로 확인돼 큰 파장이 예상된다.  
 
액티브X는 키로깅 방지, 방화벽(백신), 암호화 등 웹브라우저에서 기본적으로 제공되지 않는 기능을 구현하는데 사용되고 있다.
 
이는 해킹 공격을 방어해 줄 수 있다는 긍정적인 면도 있지만 웹 접근성 훼손, 사용자 동의 없는 무분별한 모듈의 중복 설치, 시스템의 불안정화 등 많은 문제점을 내포하고 있다. 더욱이 액티브X 기반의 보안모듈 우회가 가능한 것으로 확인돼 액티브X의 보안성 문제가 보다 불거질 전망이다.
 
액티브X 기반의 보안모듈을 우회하는데 성공한 보안 전문가 이경문씨는 “국내 금융 사이트 및 공공기관 사이트의 트래픽(HTTP & HTTPS)을 Packet Sniffing + Web Proxy 방식을 이용해 분석했다”며 “특정 액티브X가 어느 시점에 어떻게 구동되는지를 확인하고 크게 세가지 방식을 통해 이를 우회할 수 있었다”고 밝혔다.
 
그가 제시한 방식은 DNS Sinkhole 방식, Web Proxy를 이용해 URL을 변조하는 방식, HTTP Response를 일일이 분석하는 방식 등 세가지다. 보다 자세히 살펴보면 다음과 같다.  
 
첫째, DNS Sinkhole 방식은 금융결제원, 나이스, 현대카드 등에 해당되며, 이들 사이트에서는 액티브X 모듈을 특정 URL에서부터 받아 오도록 돼 있다. 이 경우 해당 도메인 네임을 존재하지 않는 IP로 고정 설정하면 우회할 수 있다.
 
둘째, Web Proxy를 이용해 URL을 변조하는 방식은 농협, 국민은행 등에서 가능하다. 이들 사이트는 액티브X 로딩에 사용되는 파일을 외부 URL을 사용하지 않고 자체적인 웹서버에서 운영하는데, DNS Sinkhole 방식을 적용하면 사이트 자체를 이용하지 못하게 되기 때문에 Web Proxy를 이용해 특정 URL을 제거하는 방식으로 우회할 수 있다. 이 경우 최근엔 HTTPS 방식을 사용하는 사이트가 많이 있기 때문에 SSL 통신까지도 분석할 수 있는 Proxy가 필요하다.
 
셋째, 삼성카드 등은 앞서 언급된 두가지 방식만으로는 되지 않으며, 추가적으로 HTTP Response 내용을 일일이 분석한 후 변경하면 우회할 수 있다. 다만, 분석에 시간이 많이 소요된다.

 
이경문씨는 “분석한 20개 사이트에서 방화벽 액티브X 모듈을 모두 제거하는 데 성공했고, 키로깅 방지 액티브X 모듈은 일부 제거하는 데 성공했다”며 “다만, PKI 인증과 같은 암호화 액티브X 모듈은 제거 시 로그인이나 이체 등과 같은 서비스 자체를 이용할 수 없기 때문에 우회가 쉽지 않은 것으로 파악됐다”고 설명했다.

이러한 현상은 웹 통신 과정상 자바스크립트를 이용해 특정 플랫폼(Windows)에 해당하는 보안모듈을 구동시키려고 하는 데 있어 존재하는 구조상의 허점으로, 단순히 방화벽(백신)의 문제만으로는 볼 수 없다. 비록 가장 많이 쓰이고 있는 특정 제품들이 언급됐긴 하지만, 그 외 다수의 액티브X 모듈에서도 우회가 가능한 상황이다.
 
그는 “해당 문제점을 해결하기 위해서는  해당 기업 및 기관에서 PC 환경에서도 모바일 환경과 마찬가지로 특정 어플리케이션을 별도로 제공해 웹상이 아닌 어플리케이션으로 서비스를 이용할 수 있도록 하는 것이 바람직하다”고 조언하며, “이와 관련, 액티브X가 남용되는 것을 막기 위해 특정 사이트 방문 시 무조건 설치해야 하는 모듈에 대해 사용자들의 동의를 얻어 선택적으로 설치를 할 수 있도록 하는 배려가 필요할 것”이라고 덧붙였다.

이번 테스트에서 액티브X 기반의 보안모듈을 우회하는 데 성공한 사이트는 △비씨카드 △시티은행 △인터넷우체국 △국세청 전자세금계산서 e세로 △하나은행 △현대카드 △기업은행 △기업은행 오픈뱅킹 △KB국민카드 △KB국민은행 △외환은행 △금융결제원 △나이스(교육행정정보시스템) △NH농협 △특허로 △삼성카드 △신한은행 △신한카드 △스텐다드차타드은행 △우리은행 등 총 20개 사이트다. 
 
데일리시큐 호애진 기자 ajho@dailysecu.com