[시험대 오른 안티피싱-중]"보안이냐 편의성이냐" 공방 치열

최근 들어 피싱 공격의 강도가 더 세어지고 있다. 안티피싱워킹그룹(APWG)에 따르면 지난 4월 한 달 동안 출현한 피싱 사이트는 5만5천여개를 넘어섰다. 이는 전년 같은 기간의 1만 1천여건에 비해 5배 이상 늘어난 수치다.

국내 은행들의 가짜 사이트 역시 비슷한 비율로 늘어나고 있는 것으로 보고되고 있다. APWG에 따르면 한국은 미국에 이어 두번째로 많은 피싱 사이트를 만들어내고 있다.

최근 은행들이 발빠르게 안티피싱 솔루션에 눈을 돌리는 것도 바로 이 때문이다. 하지만 은행들의 신속한 움직임에도 불구하고 한계 또한 적지 않다는 지적이 제기되고 있다. 특히 은행별로 개별 대응을 하고 있어 중복 투자 우려도 배제할 수 없는 상황이다.

또 다른 문제는 피싱방지 솔루션이 사용자들에게 불편을 초래한다는 점. 피싱의 특성상 상주형 프로그램으로 개발되고 있기 때문에 PC 사용자들에겐 적지 않은 부담을 안겨준다는 경고도 나오고 있다.

◆상주하기 때문에 사용자 PC에 부담

최근 개발된 안티피싱 솔루션은 PC를 켜는 순간부터 구동되는 상주 프로그램 형태를 취하고 있다. 사용자가 인터넷에 접속하자마자 바로 낚이는 피싱에 대응하기 위해선 어쩔 수 없는 선택이다. 하지만 그렇기 때문에 사용자 PC에 부담을 줄 수도 있다는 지적이다.

현재 안티피싱 솔루션들 중에는 정교한 모니터링 기술을 채택하고 있는 것이 많다. 사용자 PC에 악성코드를 침투시키고 이를 통해 호스트파일을 변조하는 공격을 막기 위한 것이다.

문제는 이런 모니터링이 지속되다보면 다른 프로그램과 충돌하거나 알 수 없는 이유로 인해 '잠김(Rock)' 상태가 될 수 있다는 점이다. 한 보안 소프트웨어 개발자는 "모니터링 기능에 락이 걸리면 해당 안티피싱 프로그램이 멈춰버리고, 사용자 입장에서는 다른 작업을 실행할 수 없어 PC 전체가 '다운'된 것으로 오해할 수 있다"며 "이를 해제하기 위해서는 Ctrl+Alt+Del 키를 눌러 안티피싱 프로그램을 강제 종료 시켜야한다"고 설명했다.

더구나 호스트파일 변조 외에도 DNS 캐시 변조, 시스템 변조를 막기 위해서는 더 강력한 모니터링 기술이 수반돼야 한다. 그럴수록 안티피싱 프로그램이 잠겨버릴 가능성도 높아지게 된다는 것이 이 개발자의 설명이다. 따라서 다른 프로그램과 충돌하지 않는 지능적인 모니터링 기술이 요구되고 있다.

PC에 상주하기 때문에 불필요하게 컴퓨터에 부담을 준다는 지적도 있다. PC를 켜는 순간부터 프로그램이 사용하는 메모리가 조금씩 새기 시작하는 '메모리 누수 현상'이 생길 수도 있다는 것. PC를 오랜 시간 사용하게 되면 할당된 메모리 용량이 줄어 들어 PC가 점점 느려지는 현상을 경험하게 된다.

또 다른 소프트웨어 개발자도 "이렇게 '새는' 메모리는 관리 매개체가 지울 수도, 재 할당할 수도 없는 '좀비' 메모리로 남게 된다"며 "이를 다시 할당하려면 PC를 껐다 켜는 수밖에 없다"고 설명했다.

◆애드웨어 공방

하지만 더 큰 비판은 따로 있다. 안티피싱 솔루션이 광고성 프로그램인 '애드웨어'와 유사하다는 논란이 바로 그것이다.

안티피싱 솔루션은 DNS 정보나 호스트파일이 바뀔 경우엔 '호스트파일이 변조되었습니다'라는 형식의 팝업 창을 띄워 준다. 혹시 있을지 모를 피싱 공격의 위험성을 경고하기 위한 것이다.

현재는 개선되긴 했지만 안티피싱 솔루션 설치 초기에는 아예 프로그램이 종료되지 않도록 했다. 초보 사용자들이 아무것도 모르고 프로그램을 종료했을 때 혹시 입을지도 모르는 피해를 방지하기 위해서다.

이러다 보니 시도때도 없이 팝업 창이 뜨는가하면, 종료하거나 삭제해도 되살아나는 특성 때문에 '애드웨어'란 비판도 적지 않았다.

게다가 은행들이 저마다 다른 안티피싱 솔루션 서비스를 실시할 경우엔 이런 상황이 더 악화될 수도 있다. 여러 은행과 거래하는 사용자들은 최소한 2, 3개 씩의 안티피싱 상주 프로그램을 설치해야 하기 때문이다. 이렇게 되면 최신 멀티코어를 탑재한 고성능 PC라 하더라도 부하로 인한 성능 저하 현상을 경험하게 될지도 모른다는 지적이 힘을 얻고 있다.

물론 이런 지적에 대해서는 반론도 만만치 않다. 불편을 감수하고라도 안전한 금융 보호망을 치는 것이 결국 사용자를 위하는 것이라는 주장이다.

금융기관 중 유일하게 안티피싱 솔루션을 제공하고 있는 신한은행 측은 "사용자가 최대한 불편해 하지 않는 솔루션을 제공하는 것이 최선의 방법이다"고 전제한 뒤 "하지만 온라인에서 금전적인 사기를 당하지 않는 것이 더 중요하다고 보기 때문에 사용자 선택에 따라 노피싱 프로그램을 설치하도록 권장하고 있다"고 설명했다.

◆쏟아지는 공격에 '각개 전투'는 무리수

물론 피싱을 완벽하게 막을 수 있다면 이 정도 불편을 감수할 수 있을 것이다. 하지만 이마저도 아직 '구멍'이 존재한다는 지적이 만만치 않다.

현재 출시된 안티피싱 솔루션들은 기본적으로 리스트 대조방식을 택하고 있다. 그 중 대표적인 것이 블랙리스트 방식과 화이트리스트 방식이다.

미리 조사된 피싱 사이트들의 데이터베이스(DB)를 만든 뒤 사용자가 피싱 사이트로 접근할 경우 경고를 보내는 것이 블랙리스트 방식이며, 화이트리스트 방식은 가짜 사이트로 낚일 때 '인증된 사이트가 아닙니다'라는 경고 메시지를 보낸다.

◇블랙리스트 방식과 화이트리스트 방식 비교

하지만 리스트 대조방식은 기본적으로 한계를 갖고 있다. 특히 블랙리스트를 확보하기 위해서는 누군가가 한번 '걸려들어야' 한다. 또 화이트리스트는 주소창에 직접 사이트 주소를 입력하고 들어가도 낚이는 파밍 공격엔 무용지물이라는 지적이 일고 있다.

바로 이 때문에 리스트 방식이 위력을 발휘하기 위해선 공동 대응이 절실하다는 지적도 있다. 한국정보보호진흥원 대응지원팀 허창렬 팀장은 "리스트 대조 방식은 더 많은 리스트를 얼마나 신속하게 업데이트하는지가 생명이기 때문에 공동 대응할 필요는 있다"고 강조했다.

리스트 대조 방식의 허점은 또 있다. 현재 출시된 안티피싱 전문 솔루션 중에는 사용자의 PC에 블랙리스트 DB를 축적하도록 하는 방식을 채택하고 있는 솔루션도 있다.

이럴 경우 해커들이 PC의 피싱 리스트 자체를 공격하는 웜이나 바이러스, 악성코드를 유포할 경우엔 속수무책으로 당할 수도 있다.

금융보안연구원 보안기술팀 성재모 팀장은 "호스트 파일 변조나 시스템 파일 변조에 대한 공격이 다수 보고되고 있기 때문에 개발 업체들이 이를 반영할 수 있도록 적극 권고하고 있으며 리스트 DB도 공동 운영할 수 있는 방안을 모색하고 있다"고 전했다.

◆'통합 보안vs전문 솔루션' 공방

신종 피싱 공격으로 통하는 파밍 대비책도 아직은 허술한 상태다.

사용자의 PC에 악성코드를 설치해 인터넷 접속을 유도하는 호스트파일을 변경시키는 것은 널리 알려진 파밍 공격 형태. 하지만 최근에는 웹 접속을 빠르게 하기 위해 PC에 도메인네임시스템(DNS) 정보를 저장해 둔 캐시 메모리를 변조시키는 방법도 알려졌다.

이로 인해 사용자는 주소창에 올바른 주소를 입력해도 피싱 사이트로 낚이게 된다. 더구나 호스트파일을 변조하면 현 피싱 솔루션이 인지할 수 있지만 DNS 캐시 정보 등을 변조했을 경우는 악성코드만 잡아내고 변조된 사이트로 낚이는 것은 방지하기 힘들다.

이 외에도 DNS 서버, 프록시 서버, 도메인 등록 업체를 해킹하는 방식으로 등 인터넷 접속방법을 변경해 피싱 사이트로 접속하게 하는 방법도 보고되고 있다.

이런 신종 공격에 대해서는 보안 소프트웨어 업체들의 갑론을박이 이어지고 있다.

이른바 '통합 보안'을 주창하는 안철수연구소, 시만텍 등은 이전부터 제공하고 있던 보안 솔루션에 안티피싱 기능을 강화한 제품들을 출시하고 있는데, 이를 통해 PC의 바이러스나 웜, 악성코드 등의 공격은 물론 이를 통해 파생되는 신종 파밍 공격도 방지할 수 있다고 주장한다.

이에 대해 소프트런, 소프트포럼과 같은 전문 안티피싱 솔루션을 출시하고 있는 업체들은 변조된 캐시 메모리나 호스트파일로 인해 피싱 사이트로 낚이는 것은 전문 엔진을 탑재한 전문 솔루션만이 잡아낼 수 있다며 자사 솔루션의 우위를 주장하고 있는 상태다.

이런 공방은 신종 피싱 공격에 대한 정보 공유가 이뤄지지 않은채 개별 연구 개발이 진행된 상황과 무관하지 않다. 공동 대응이 시급하다는 지적이 나오는 것도 바로 이 때문이다.

한 국가보안정책 관련기관 관계자는 "KISA나 ETRI 등의 국가 연구기관에서 범국가적인 차원의 피싱 대응 필요성을 절감하고 관련 기술을 공동개발 했더라면 상용 소프트웨어 업체들의 중복 개발이나 기술 유효성 논란은 일지 않았을 것"이라고 지적했다.