세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
3.20 사이버테러에 악용된 ‘ActiveX’ 대안은?
  |  입력 : 2013-04-30 16:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

공인인증서 없는 온라인 금융거래하면 ActiveX 필요 없어
오픈웹 확대와 함께 공인인증서 대체기술 개발 및 적용 시급 

[보안뉴스 김태형] 지난 3.20 사이버테러는 ‘ActiveX’ 모듈을 악성코드의 주요 유포통로로 이용한 것으로 드러났다. 즉, 공격자는 웹서버를 해킹해 악성코드를 심어놓고 웹사이트의 방문자가 업데이트 하도록 실행되는 ActiveX의 다운로드 경로를 변조했던 것이다.

웹 ActiveX 모듈의 업데이트 기능을 활용해 파일경로를 변조하고 방문자가 접속해 업데이트 실행 시 악성코드에 감염되도록 했다. 이러한 ActiveX와 관련된 보안 취약점 문제는 지난 2000년 초부터 꾸준히 지적되어 왔다.


ActiveX는 마이크로소프트(이하 MS)의 웹브라우저인 인터넷익스플로러(Internet Explorer, IE)용 플러그인이다. MS의 IE는 국내에서 사용하는 웹브라우저 중에서 가장 많은 점유율을 보유하고 있기 때문에 ActiveX 사용은 MS IE 환경에서는 일반적이다.


ActiveX 대부분은 금융기관이나 공공기관 등 특정 웹 사이트에 접속해서 특정 기능을 실행할 때 설치된다. 예를 들면 인터넷 뱅킹이나 온라인 결제, 민원서류 발급, 본인확인 등을 위해서 ActiveX 설치는 필수적이다. 그리고 사용자가 직접 필요한 설치 파일을 다운로드해 설치하는 경우도 있으며 한번 설치하면 그 이후에는 다시 설치하지 않아도 자동 실행된다.


이러한 ActiveX는 서비스 제공자의 편의성을 높여주고 여러 가지 ActiveX를 설치함에 따라 웹브라우저 및 웹사이트의 기능을 확장할 수 있기 때문에 현재 국내에서는 다양한 ActiveX가 개발되어 쓰이고 있다.


하지만 보안성과 호환성 측면에서는 여러 가지 부작용이 있다. 보안성 측면에서 무엇보다 중요한 것은 앞서 밝힌 것처럼 사용자의 PC에 직접 설치되는 과정에서의 취약점을 악용해 악성코드를 심거나 개인정보 유출 등의 보안위협이 발생할 수 있다는 것이다.


아울러 ActiveX를 설치하는 과정에서 사용자가 원하지 않는 기능을 함께 설치하도록 해서 인터넷 접속 중에 광고 창을 띄우거나 사용자의 의도와 상관없는 웹사이트로 이동하도록 이용하기도 한다. 또한 과도한 ActiveX의 설치의 경우 PC의 성능저하도 유발한다.


아울러 호환성 측면에서 최근 크롬이나 사파리, 파이어폭스 등 다양한 웹브라우저의 사용이 확대되면서 ActiveX는 MS IE에서만 사용할 수 있고 스마트폰이나 태블릿에서는 사용할 수 없다는 것은 큰 단점이다. 물론 다른 브라우저에도 ActiveX와 같은 부가 프로그램이 있지만 호환성 측면에서 역시 문제가 있다.


특히, ActiveX는 국내 금융거래 시 필수인 공인인증서와는 뗄 레야 뗄 수 없는 관계다. 공인인증서는 한국 내에서만 통용되는 위치(NPKI 폴더)와 파일명칭(signCert.der, signPri.key)으로 저장되어 있어 어떤 웹브라우저도 한국의 공인인증서를 ‘인식’하지 못하기 때문에 플러그인이 반드시 필요하다.


즉, 사용자들이 ActiveX를 자신의 컴퓨터에 설치하도록 만들어야 웹브라우저를 통한 인터넷 거래에서 공인인증서를 사용할 수 있는데, 이러한 행위 자체가 사용자 PC에 여러 가지 보안위협이 되는 셈이다.  


이와 관련 김기창 고려대 로스쿨 교수(오픈웹 운영자, http://opennet.or.kr)는 “ActiveX는 이처럼 인터넷 거래 시 공인인증서만 사용하지 않으면 사용할 일이 없을 것”이라며, “공인인증서 대체 방법은 여러 가지가 있는데 예를 들면 데이터를 전달할 때 공개키와 비밀키에 기반한 암호화를 거쳐 사용자의 데이터를 보호해 주는 https에 접속하도록 해서 서버 인증을 하고, 교신 채널을 암호화 하는 방식을 사용하면 된다. 그리고 사용자 암호는 OTP를 이용해 확인하면 된다”고 설명했다.


이렇게 되면 공인인증서도 필요 없고 이를 위한 ActiveX도 필요하지 않기 때문에 보안을 위협하는 요소도 그만큼 줄어든다는 것. 즉 인터넷 상에서 해커가 데이터를 몰래 훔쳐볼 수 없으니 자신의 정보를 안전하게 보호할 수 있고, 부가적인 프로그램이 설치되지 않기 때문에 이를 통한 악성코드나 정보유출 위험도 사라지게 된다.


최근엔 웹 환경이 오픈 웹으로 변화되면서 정부도 행정기관 주요 사이트에 대해서 ActiveX가 없거나 대체 기술을 제공해 3종 이상의 다양한 웹브라우저를 지원하도록 하고 있다. 이는 국민들이 다양한 환경에서 편리하게 인터넷을 이용하도록 하고 국제 표준을 준수해 경쟁력을 높일 수 있도록 한 것이다.


이처럼 ActiveX의 대안은 오픈웹 환경으로 전환하는 과정에서 모든 웹사이트들이 다양한 웹브라우저 환경을 지원하도록 하는 것이다. 이와 함께 금융권이나 온라인 거래시에도 ActiveX가 필수적인 공인인증서를 대체할 수 있는 관련 기술 개발이 시급히 이루어져야 할 것으로 보인다.  
[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)