보안 플러그인
1. 개요
보안 플러그인은 은행이나 게임 웹사이트에서 추가적인 보안을 요구하는 프로그램을 뜻한다. 비설치형도 포함되긴 하지만 보통 설치형을 지칭할 때 이 단어를 쓴다. PC에서 공인인증서('''2020/05/20 폐지 입법함''')를 사용해본 유저들이라면 정말 치를 떠는 프로그램으로 보안을 위해서라지만 정작 PC 프로그램들과 충돌을 일으키거나 오류를 일으키면서 정말로 보안용 프로그램이 맞는지 의구심을 불러일으킨다. 심지어는 보안프로그램 설치를 위해 보안수준을 낮춰달라는 황당한 요구까지 하면서 주목적인 금융업무나 게임을 하고 있지 않은데도 상시로 PC의 CPU코어나 메모리를 점유하기까지 한다.[1]
ActiveX 방식의 경우 어차피 MS에서 강제적으로 걷어냈기 때문에 이제 사라져가고 있다.
윈도우는 UAC에서 관리자가 허용되기만 하면 어떤 시스템에도 다 접근할 수 있다. 이것을 막으면 일단 앱 설치부터가 안된다. 그나마 보안 프로그램이나 드라이버같이 매우 높은 권한으로 실행되는 프로그램에 전자서명을 의무화 시키긴 했다. 안드로이드나 iOS에 보안 프로그램이 없거나 있어도 매우 제한적인 기능만을 한다. 안드로이드나 iOS는 관리자 권한 자체가 막혀 있어 루팅이나 탈옥 없이는 사용이 불가능하기 때문이다.
2. 용도
주로 해킹과 키로그를 막기 위해 쓰인다. 키로그는 비밀번호 등을 빼돌리기 위해 키보드 입력을 해커에게 전송하는 악성코드이다. 해킹은 브라우저에 고의적으로 오류를 이르켜 보안카드 번호를 계속 입력하게 만들어 보안카드 번호를 빼돌리거나 가짜 사이트에 접속되도록 유도하거나 송금 계좌 번호 등을 변조해서 해커에게 돈이 송금되도록 만드는 것이다.
안티치트와 유사하게 작동한다. 웹 브라우저의 메모리가 변조되면 사용자에게 이를 알리고 악의적인 접근을 차단하는 방식이다. 브라우저 자체에는 이를 막는 보안 기능이 없음으로 외부 프로그램을 설치해서 해결하려고 한 것.
3. 상세
ActiveX를 퇴출하겠다면서 '''보안 응용프로그램을 직접 다운받아 설치하는 방식으로 대체하겠다며 엄청난 뒤통수를 선사했다.''' 국민들은 사이트를 이용하기 위해 무언가를 내려받아 설치해야 한다는 점 그 자체에 짜증을 느끼고 있었는데, 그저 문자 그대로 ActiveX만이 퇴출될 뿐 기존의 불편한 웹 환경은 그대로 유지시키겠다는 것. 특히 ActiveX는 최소한 익스플로러에서 인증서 체크라도 하는데, 응용 프로그램을 직접 다운받아 설치하면 그런 것도 없다. '''보안 측면에선 더 위험하다.''' 이건 SSL 프로토콜만으론 보안이 완벽하게 이루어지지 않는다는 업계들의 요청을 받아들인 조치이다.[2]
이 때문에 여론의 반발이 매우 커지자, 금융당국에서는 EXE 파일을 강제 설치가 아닌 선택 설치할 수 있도록 입장을 바꿨다.# 그러나 안전성에 대해서는 여전히 의문이 제기되고 있는 상황이다. 또한 exe를 깔지 않으면 사용자가 보안에 책임을 져야 한다는 것도 충분히 문제인데, exe는 윈도에서만 돌아가는 포맷이다. 즉 유닉스 계열(리눅스, OS X, BSD 등) 유저들은 사용할 수 없다. exe 파일의 보안성을 논외로 치더라도(이부분에서 이미 글러먹었다), 이미 정책의 대상에서 윈도 밖의 OS를 쓰는 유저들은 철저하게 외면당하고 있다는게 문제이다. ActiveX가 까이는 점은 단순히 '불편하다'의 문제 밖에도, 엿바꿔먹은 멀티 플랫폼 문제도 있다. 그런데 ActiveX를 대체하는게 어찌 꼭 윈도 전용 포맷인 exe인 상황이니...
사실 위의 글을 유심히 보면 ActiveX 플러그인을 object나 embed 태그 사이에 끼워넣어 설치하던 방식에서 사용자가 직접 설치하는 방식으로 바꾸었을 뿐 ActiveX는 전혀 퇴출되지 않았다는 것을 알 수 있다. 설치 프로그램 포맷이 오브젝트 임베디드든 EXE파일이든 플러그인 작동 기반이 ActiveX인 것은 바뀌지 않은 것이다. 여기에, Active X를 사용하지 않고 실행하려다보니 '''컴퓨터를 켤 때마다 꼬박꼬박 실행돼서 리소스를 잡아먹는다.''' 백그라운드에서 상주하며 인터넷 트래픽을 체크하다가 특정 웹 사이트에 접근하는 것을 포착하면 활성화되는 방법이라, 항상 실행되어 있어야 하기 때문이다. 실제로 Wizvera(Veraport) 보안 프로그램이 '''메모리를 100Mb 넘게 점유해 성능 문제가 발생한 경우'''도 존재하고, nProtect 때문에 Windows 8.1에서 프리징이 걸리는 등 여러 문제가 발생하고 있다. 윈도우 10도 예외는 아니다.
근데 2016년 1월부터 스마트폰 지문인식으로 바뀐다는 기사가 떴다!
아직도 정신을 못 차리고 한 술 더 떠서 2015년 중하반기부터는 모든 기업체들이 담합(!), 구글 크롬 브라우저의 경우 '''TouchEn PC보안 확장'''이라는 확장 프로그램을 exe 파일과 함께 설치해야만 아이핀 인증과 모바일 인증을 진행할 수 있도록 해 한국권 인터넷 사용자들에게 더 큰 빅 엿을 선사해 주었다. 게다가 위 이미지의 게시자 정보를 보면 알겠지만 이젠 대놓고 구글을 사칭했었었다. 당연히 평균 별점은 1점이며 리뷰는 불만을 토로하는 유저들로 가득하다. IT 강국 드립은 더 이상 그만 치라며 헬조선 드립까지 나오기도. 부가 설치 프로그램을 없앤다면서 정작 더 만들어내고 있는 희한한 상황. 한번 직접 보자.
위 모듈 중 특히 키보드보안 모듈의 경우 키보드 보안이라는 미명하에 키 입력을 씹어먹어버리기 때문에 일반적으로 쓰이는 멤브레인 키보드와 키보드 입력 구조가 다른 기계식 키보드를 사용할 수가 없다. 정전용량 무접점 방식 키보드, 광축 키보드 또한 비슷한 호환 이슈가 있다. 기본적으로 무한키 지원 키보드와 궁합이 별로 좋지 않은 편이다.
2017년에는 한국형 블랙 프라이데이를 노린다며 만든 코리아 세일 페스타에 사용하기 위해 정부가 추진하던 VR 쇼핑몰이 어처구니없는 형태로 ActiveX 때문에 좌초됐다. 사이트와 앱을 만들고 입점한 업체의 제공 상품들을 VR로 보여준 뒤 결제시키기만 하면 되는, 기술적으로 전혀 문제가 될 것이 없는 기획이었지만 순전히 결제 때 결제용 플러그인 윈도우가 반드시 뜨는 것을 어떻게 하지 못하고 결국 장바구니 도우미 사이트로 시늉만 하는 결과를 내게 됐다. 어떤 식으로든 화면 뒤에서 자동화를 할 수 있었다면 결제가 가능했겠지만 그걸 막자고 '''시스템의 모든 권한을 때려박은'''게 이 플러그인들이니 어쩔 도리가 없다.
이런 짓을 벌이고도 정부 관계자는 “올해 VR 쇼핑몰은 테스트 단계로서 국민과 전 세계에 VR 쇼핑몰의 가능성을 선보이는 데 의의가 있다”고 자랑스런 표정으로 미소를 머금고 주장했다.
2019년 기준, 윈도우 7의 지원 기한은 2020년까지로서 '''1년조차 안 남았기 때문에''' 누구도 손바닥으로 하늘을 가릴 수는 없다.
모바일 기기까지 등장한 마당에 타 OS를 절대로 지원하지 못하는 막장의 범용성,[3] 그리고 반드시 내려받도록 잘못 만들어서 보안성을 해친 것, 심지어 멋대로 시스템에 접근할 수 있기에 자칫하다가는 웹을 거쳐 컴퓨터를 좀비 PC로 만들 수 있는 등 기술 진보로 편리해져야 할 온라인 생활을 아직도 20세기 수준에 묶어 두는, 그야말로 대한민국 IT 역사의 수레바퀴를 거꾸로 돌리는 악성 종자라 할 수 있다.
즉, 제아무리 ActiveX를 특정 상황의 퍼포먼스가 좋다고 실드 쳐봐야 GUI는 전부 가져다 버리고 80년대 CLI를 써야 한다는 수준의 개소리일 뿐이며, 스스로 '''퇴물'''로 인정하는 것이다. 오죽하면 MS마저도 이딴 거 쓰지 말라고 버렸겠는가?
그러나 대한민국에서는 생활에 필수적인 사이트[4] 에까지 이곳저곳에 액티브X가 남용되고 있어서 Windows Vista나 Windows 7을 쓰는 사용자들로 하여금 현기증이 절로 나게 한다. 설상가상으로 국내판 구글 어스랍시고 나온 브이월드조차 액티브X 아래에서 실행된다. 즉, 대한민국의 기업과 정부 기관을 까자.
MS도 ActiveX가 보안부분에 취약한 것임을 알고 이를 대체하기 위해 노력하고 있다. 대표적으로 MS 리서치에서 개발하는 XAX가 있다. 보안부분은 샌드박스로 보호하고 레거시 코드 동작이나 운영체제에 가리지 않는 차세대 플러그인 기술이다. XAX 설명
그러나 XAX는 인터넷 익스플로러에서는 결국 채용되지 않았고 그 이후의 마이크로소프트 엣지에서도 본격적으로 적용되지는 않고 있는데, 엣지가 IE의 고유 프로그램 코드를 죄다 갈아엎은 데다 결정적으로 Win32 프로그램이 아닌 메트로 앱으로만 나왔기 때문에 웹표준과 관련된 몇 가지 제한된 플러그인 말고는 들어가지 않았기 때문이다. 그나마도 크로뮴 프로젝트 기반으로 선회하면서 결국 흐지부지되었다.
XAX와 연관된 프로젝트로 Drawbridge가 있다. 이것은 가상화를 지원한다. drawbridge 설명 관련기사
[image]
MMORPG 온라인게임 마비노기의 공지사항 중.
하지만, 2015년 8월 이후로 윈도우 10이 공식적으로 출시되고 국내에서도 웹 표준화의 중요성이 부각되자 슬슬 국내 게임업계에서도 두팔을 걷어올리고 액티브X 퇴출을 시작하고 있다. 불필요한 퍼포먼스를 없애고 홈페이지를 간소화하는 등의 움직임을 통해 아직은 미온적이지만 이를 보안하기 위하는 움직임은 일어났다.
그리고 드디어 ActiveX가 전혀 없는 인터넷 뱅킹이 나왔다! 국민은행은 플러그인 설치가 전혀 없는 HTML5 형식의 인터넷 뱅킹을 2015년 9월에 내놓았다. OTP 사용자만 할 수 있다. 보안 레벨이 OTP가 더 높아서일 듯. 공인인증서는 웹 브라우저 자체의 기능으로 활용하는 것 같다. 사실 공인인증서 기술 자체가 브라우저에 내장된 지는 오래되었는데 타성으로 ActiveX만 써댄 것이 문제다.
ActiveX는 사실 오픈 소스이다. 출시한 지 얼마 지나지 않아 소스를 공개했다고 하는데, 사실 소스 공개는 전혀 의미가 없다. ActiveX는 OLE와 COM으로 구성된 일종의 인터페이스고 소스 공개 없어도 컨트롤과 호스트 둘 다 구현 가능하기 때문이다. 소스 공개가 되었다고 ActiveX의 수명이 연장된다는 것은 전혀 아니라는 얘기.
문재인 정부는 공인인증서 폐지와 함께 2020년까지 ActiveX를 없애는 노 플러그인 정책을 관철하겠다고 밝혔다. 2019년 1월 15일부터 국세청 연말정산 페이지 시작으로 플러그인 제거가 시작되어 2019년 8월 15개 기관 22개 사이트에 대한 플러그인도 완전히 사라졌다.# 불가피하게 대체할 수 없는 보안 플러그인은 선택 사항으로 남겨졌다.
4. 용어
- 설치형(Plugin)
- 비설치형(No-Plugin)
말 그대로 설치가 필요없는 플러그인을 말한다. 편의를 위해서 선택적으로 추가적인 플러그인을 설치할 수 있는 혼합형도 여기에 해당된다. 보안 프로그램이 없는 사이트를 말하기도 한다.
- 분리형
PC에는 아무것도 설치할 필요가 없지만 모바일 앱을 통해 인증하는 것들을 말한다. 뱅크사인이 대표적이다.
5. 종류
- 한컴위드
- AnySign - 공인인증을 담당한다. 기본적으로는 설치형이지만 비설치형인 Lite도 있다.
- Xecure 시리즈
- 잉카인터넷
- nProtect Online Security - 통합 보안을 담당한다. 설치형.
- 안랩
- AhnLab Safe Transaction - 통합 보안을 담당한다. 설치형.
- 위즈베라
- WizIN-Delfino - 공인인증을 담당한다. G3 이하는 설치형이고 G4부터는 비설치형.
- VeraPort - 설치형 플러그인을 자동으로 설치해준다. 당연히 설치형. 2020년 11월에 북한과 연관된 해커 조직에서 본 프로그램을 이용해 해킹을 시도했다는 정황이 들어났다.#
- 이니텍
- CrossWeb EX - 공인인증을 담당한다. v2 이하는 설치형이고 v3부터는 비설치형. 약간 골때리는 편법이 있는데 프로그램을 먼저 설치하면 확장을 설치하지 않아도 된다.
- TouchEn 시리즈 - RaonSecure
- Google
- SafetyNet - 안드로이드 기기의 루팅을 감지한다. 따로 설치하는 것은 아니고 안드로이드 기기에 내장되어 있다. 루팅 후 게임이나 금융앱이 차단되는 경우 대부분 여기에서 막히는 것.
- INI 시리즈 - INITECH
- MagicLine 시리즈 - DreamSecurity
- XPlatform, MiPlatform - TOBESoft
- Issac 시리즈 - Penta Security
- SecureKeyStroke - SoftCamp
- 이 외 각종 DRM - Fasoo, MarkAny
6. 문제점
- 가장 큰 문제로 쓸모가 전혀 없다. 오히려 취약점만 만들어서 해킹을 당하기 쉬운 환경을 조성하기도 한다. 쉽게 예를 들자면 금고에 돈(개인정보)를 넣고 보관을 해놓고 그 금고를 밖에다 내던져버리는 식이다. 금고가 밖에 있으면 안에 돈을 아무리 보관해봤자 들고 날라버리면 답이 없는 것과 마찬가지로, 오히려 해킹 취약점을 늘려버리는 꼴이다.
- 최적화가 잘 되어있지 않은 보안 프로그램들이 컴퓨터의 성능을 매우 느리게 하거나 시스템과 충돌하기도 한다. 지금은 그런 경우가 거의 없지만 설치되면 UAC를 끄거나 끄라고 요구하는 프로그램도 있었다.
- 실질적인 사용자 동의 없이 개인정보에 접근할 수 있다. 이것을 설치하지 않으면 뱅킹 자체가 불가능하기 때문이다. 보안 프로그램들은 특성 상 매우 높은 권한으로 실행되기 때문에 컴퓨터에 저장된 어떤 정보라도 접근이 가능하고 보안 연구 목적으로 일부 정보를 개발사에 전송하기도 한다. 실제로 게임 보안 프로그램에서 치트 방지 목적으로 개인정보를 수집한다는 논란이 있었다.
7. 관련문서
- 공인인증서 - 보안프로그램에 대한 문제점이 대부분 이 문서에 기록되어 있다.