‘보안 프로그램’ 피하려고 가상 윈도까지? 금융권 보안 체계의 폐해
PC 좀먹는 보안 프로그램 피해라, ‘윈도 가상머신’ 식탁보 프로그램 등장 글로벌 시장서는 ‘전문가용’인 가상 OS, 우리나라에선 일반 소비자 겨냥 보안 프로그램 활용한 금융기관의 ‘책임 전가’ 이제는 멈춰야
보안 플러그인 설치로 인한 PC 성능 저하를 막는 오픈소스 무료 프로그램이 금융 소비자 사이에서 주목받고 있다. ‘윈도 샌드박스’를 활용, 은행 플러그인 설치 없이 인터넷뱅킹을 이용할 수 있는 ‘식탁보(Table Cloth) 프로젝트’ 프로그램의 다운로드 수는 15일 5,000회를 돌파했다.
한편 일각에서는 일반 사용자가 ‘가상 윈도’를 활용해야 하는 우리나라 금융 보안 체계 자체가 잘못됐다는 지적이 제기된다. 금융권이 이미 이상거래 감지 시스템(FDS)을 도입했음에도 불구, 사용자 경험을 악화하는 ‘보안 프로그램’ 설치를 고수하며 보안 사고의 책임을 소비자에게 전가하고 있다는 것이다.
쏟아지는 ‘보안 프로그램’ 가상 윈도에 설치?
PC에서 인터넷뱅킹이나 공공기관 웹사이트를 이용하기 위해서는 필수적으로 보안 플러그인을 설치해야 한다. 한국인터넷진흥원(KISA) 조사에 따르면 인터넷뱅킹 서비스를 제공하는 사이트 42곳에서 사용하는 보안 플러그인은 자그마치 240~250개에 달한다. △전자서명용 공인인증서 △이상거래 감지 시스템용 이용자 시스템 정보 확인 프로그램 △발급 문서 위변조 방지 프로그램 등 그 종류도 다양하다.
하지만 보안 프로그램은 이용자가 사용하는 여타 프로그램과 충돌하거나, 인터넷뱅킹을 이용하지 않을 때도 중앙처리장치(CPU)·메모리 자원을 소모하며 PC 성능을 저하시킨다. 심지어 플러그인이 보안에 악영향을 끼치는 경우도 있다. 지난 2020년 위즈베라의 통합보안 설치프로그램 ‘베라보트 플러그인’을 통해 개인 PC에 악성코드가 확산한 것이 대표적인 예다.
식탁보 프로젝트는 이 같은 문제를 해결하기 위해 인터넷뱅킹을 이용할 때 ‘윈도 가상머신’을 구동하는 방식을 채택했다. 식탁보 프로그램은 윈도10 운영체계(OS) 버전 1909부터 추가된 기능인 ‘윈도 샌드박스’를 활용, 기존 사용하던 윈도 OS 위에 독립된 윈도 OS를 실행시킨다. 카탈로그 파일을 통해 자동으로 다운로드된 보안 플러그인은 독립된 OS에서만 적용되며, 식탁보를 종료하면 샌드박스 상에서 설치된 플러그인도 함께 사라진다.
현재 식탁보 프로그램은 △은행 인터넷뱅킹 22곳 △저축은행 80곳 △증권사 25곳 △보험사 40곳 △공공기관 24곳 등 보안 플러그인을 설치해야 하는 사이트 대부분에서 활용할 수 있다. 프로그램 개발자는 20여 년 경력의 소프트웨어 엔지니어로, 현재 국내 게임사인 데브시스터즈에 몸담고 있는 것으로 알려졌다.
글로벌 시장의 윈도 가상머신
한 대의 PC에서 독립된 가상화 OS을 실행하는 ‘윈도 가상머신’은 글로벌 시장에서 쉽게 찾아볼 수 있다. 오픈소스 소프트웨어인 버추얼박스(VirtualBox)는 32비트, 64비트 컴퓨터를 호스트와 게스트로 모두 지원하는 가상머신으로, USB 포트를 활용해 USB 드라이브를 가상 데이터 스토리지 및 암호화된 하드 디스크 이미지로 사용할 수 있도록 한 것이 특징이다.
VM웨어 워크스테이션 플레이어(VMware Workstation Player 17)는 개인 사용자 기준 149달러를 납부하면 사용할 수 있는 가상머신으로, 클릭 몇 번을 통해 비교적 간단하게 신규 가상 PC를 만들 수 있다. 대부분의 윈도 버전 및 다양한 리눅스 버전을 지원한다.
윈도 프로 또는 엔터프라이즈 버전(64비트)을 호스트로 사용하면 내장된 마이크로소프트 하이퍼-V를 통해 윈도10과 11에서 가상 PC를 만들 수 있다. 하이퍼-V는 게스트 시스템으로 윈도에 최적화돼 있으며, 하이퍼-V 매니저라는 매우 간소한 사용자 인터페이스를 보유하고 있다. 가상 PC를 시작하면 가상 PC가 실제로 필요로 하는 만큼만 메모리가 점유되며, 여러 VM을 성능 저하 없이 병렬로 실행할 수 있다.
금융기관이 ‘보안 모듈’ 고집하는 이유는?
이 같은 윈도 가상머신은 사실상 ‘개발자용’이라는 인식이 강하다. 전문가 외 일반 윈도 이용자는 굳이 찾아 사용할 일이 없다는 의미다. 반면 우리나라에서는 정확히 일반 윈도 이용자를 겨냥한 ‘보안용’ 가상머신이 등장했다. 꾸준히 소비자 불편을 야기하는 ‘보안 모듈’은 왜 사라지지 않고 금융 시장에 남아 있는 걸까.
국내 금융기관 대부분은 금융위원회의 권고에 따라 선제적으로 사기 거래를 포착할 수 있는 FDS를 도입한 상태다. 하지만 FDS 도입 이후에도 수많은 ‘보안 모듈’은 사라지지 않았다. 보안 모듈은 금융 소비자 개인의 컴퓨터나 스마트폰에 설치되는데, 이 경우 문제가 발생해도 금융기관이 아닌 기기를 보유한 금융 소비자 ‘개인’이 보안을 제대로 관리하지 못한 것이 된다. 금융기관이 책임을 져야 할 보안 사고도 ‘보안 모듈’을 통해 소비자 책임으로 돌릴 수 있다는 의미다.
쌓여가는 보안 모듈로 인한 폐해는 결국 금융권의 ‘책임 전가’에서 출발했다. 금융 보안 분야의 발전을 위해서라도 금융 거래 보안 사고의 책임 소지를 명확히 하고, 사고 방지 기술 발전을 도모해야 할 필요가 있다.