네, K-보안 프로그램(KSA)에 대한 이야기와 논문의 내용을 간략하게 정리해 드릴게요.

K-보안 프로그램, 왜 문제가 될까요?

• 강제성과 낮은 인지성:
  • 우리나라 사람들의 **97%**가 K-보안 프로그램을 설치해 본 경험이 있으며, 이 중 **59%**는 해당 프로그램이 무엇인지도 모르고 설치했습니다.
  • 인터넷 사이트 이용을 위해 강제로 설치해야 하는 경우가 많습니다.
• 보안 취약점 악용:
  • 북한 해킹 조직이 KSA의 취약점을 악용한 사실이 확인되었고, K-보안 프로그램이 해커들에게 "꿀단지 같은 곳"으로 여겨진다고 합니다.
  • 한국인 대부분의 컴퓨터와 정부 기관에 설치되어 있고 취약하기까지 해서, 북한 해커들이 이 프로그램을 경유해 쉽게 침투할 수 있는 수준이라고 합니다.
  • 실제로 2023년에는 언론사 및 방산 관련 기업 61개 기관의 PC 207대가 보안 프로그램을 통해 해킹당하는 사건이 있었습니다.
  • 최근 논문에서는 해커가 KSA 프로그램을 이용하여 악성코드를 다운로드 및 실행시키거나, 심지어 공인인증서 비밀번호를 공격자 서버로 전송할 수 있음이 증명되었습니다. 이러한 해킹은 보안 프로그램이 설치되어 있는 경우에만 가능했습니다.

K-보안 프로그램은 어떻게 탄생하고 진화했나요?

• 좋은 의도에서 시작:
  • 인터넷 초창기 보안 기능이 부족할 때, 1997년 정부는 인터넷 안전을 위해 인증 시스템을 계획했습니다. 이것이 공인인증서의 시초입니다.
  • 목표는 웹 브라우저가 공인인증서를 이용해 인증하도록 하고, 사용자가 해킹당하더라도 중요한 정보를 보호하는 것이었습니다.
• 기술적 난관과 '꼼수'의 시작 (액티브X):
  • 웹 브라우저는 보안을 위해 컴퓨터에 영향을 주지 않도록 샌드박스라는 가두리 안에 갇혀 있습니다.
  • 하지만 한국 개발자들은 1990년대의 "안 되면 되게 하라" 정신으로, 샌드박스를 뚫고 컴퓨터에 접근 가능한 **액티브X(Active X)**를 활용하기 시작했습니다.
  • 액티브X는 웹 브라우저가 컴퓨터 파일을 설치하고 실행할 수 있게 했고, 이를 이용해 KSA 1세대가 만들어졌습니다.
  • 그러나 액티브X는 웹사이트 접속만으로도 해킹당할 수 있는 '드라이브 바이 다운로드' 같은 공격 기법에 악용될 정도로 위험했으며, 결국 마이크로소프트는 2015년에 액티브X를 폐지했습니다.
• 액티브X 폐지 후에도 '꼼수'의 지속 (IPC):
  • 액티브X가 사라졌음에도 불구하고, 우리나라는 기존 공인인증서 시스템을 포기하지 않았고, 액티브X와 유사한 기능을 구현할 방법을 찾았습니다.
  • 그것은 바로 IPC(Inter-Process Communication) 기능이었습니다.
  • 웹 브라우저가 샌드박스에 갇혀 컴퓨터에 접근할 수 없으니, IPC를 이용해 외부에 설치된 KSA 보안 프로그램과 대화하도록 만들었습니다.
  • 웹사이트(특히 은행이나 공공기관 사이트)는 이 KSA 프로그램이 실행 중인지 확인하고, 없으면 설치 페이지로 리다이렉션 시킨 후, 설치된 KSA를 호출하여 컴퓨터를 제어하게 하는 방식입니다.
  • 이 KSA 프로그램은 컴퓨터 부팅 시 백그라운드에서 자동으로 몰래 실행되고 있다가, 특정 웹사이트 진입 시 활성화됩니다.

해외 사례 및 웹 표준:

• 논문에서는 정부 주도 하에 특정 프로그램을 국민에게 설치하게 하는 나라가 한국뿐만은 아니라고 언급합니다 (중국, 카자흐스탄, 러시아, 북한).
• 하지만 카자흐스탄의 HTTPS 감청은 우리나라의 단순 필터링과는 차원이 다르게, 보내는 글자 하나하나를 복호화해서 볼 수 있는 수준이라고 지적합니다.
• 무엇보다 KSA는 웹 브라우저의 샌드박스를 우회하는 '꼼수'를 사용하고 있으며, 이는 웹 브라우저 개발자들이 보안을 위해 만든 표준과 원칙에 어긋나는 방식입니다. 안전한 인증을 위해 이미 많은 웹 표준 인증 기술들이 개발되어 있습니다.

그럼 어떻게 해야 할까요?

• 다행히 논문에서 밝혀진 일부 문제는 패치되어 고쳐졌다고 합니다.
• 하지만 K-보안 프로그램은 근본적으로 웹 표준을 따르지 않고 우회하는 방식이므로, 당분간은 필요한 경우에만 설치하고, 사용 후에는 귀찮더라도 삭제하는 것이 좋다고 제안합니다.
• 삭제하지 않고 두는 것 자체가 백도어와 다름없을 수 있으며, 어떤 취약점이 뚫릴지 모르기 때문입니다.
• 만약 업무상 삭제가 어려운 경우(예: 공무원), 업데이트를 꼬박꼬박 하는 것이 중요합니다.
• 궁극적으로는 우리나라도 웹 표준에 맞는 새로운 보안 시스템을 구축할 때가 되었다는 것이 이 논문의 핵심 취지라고 볼 수 있습니다.

이러한 내용을 이해하신다면, 악성코드가 0초 만에 유포되는 기사나 현재의 인터넷 보안 상황을 더욱 잘 이해하실 수 있을 겁니다.