[사진=연합뉴스]
[사진=연합뉴스]

[이뉴스투데이 김영민 기자] 정부가 공공웹사이트의 플러그인(plug-in; 추가 기능을 위한 컴퓨터 프로그램 모듈 또는 장치)을 연말까지 모두 제거한다고 발표하면서 지난 7월 공공웹사이트의 플러그인 3889개 중 3175개가 제거됐다. 나머지도 올해 연말까지 모두 제거될 예정이다.

아직 은행권 등에서 보안프로그램 플러그인 설치가 필수적인데 최근 이를 통한 악성코드 유포 사례가 발견되면서 통합보안 설치 프로그램 베라포트의 위험성이 문제되고 있다.

최근 KISA는 위즈베라사의 통합보안 설치 프로그램 베라포트를 악용한 악성코드 유포를 발견하고 베라포트 버전 3.8.5.0 이하를 사용하는 경우 반드시 업데이트할 것을 권고했다. 또 베라포트를 도입한 금융사 및 기업에 대해 보안패치 배포를 완료했다.

문제가 된 위즈베라사의 통합보안 설치 프로그램 베라포트는 은행이나 기업의 홈페이지에 접속할 때 설치되는 플러그인을 한 번에 설치할 수 있도록 하는 프로그램이다. 이러한 프로그램 대부분은 보안프로그램이다.

베라포트는 인터넷뱅킹 이용 등의 은행거래를 하는 대다수 이용자 PC에 설치돼 있어 피해가 적지 않을 것으로 보인다. 또한 KISA의 최신 보안 업데이트를 하면 안전하지만 그렇지 않을 경우 여전히 보안 위협에 노출된다.

업계에서는 이러한 통합설치 프로그램이나 다른 소프트웨어가 갖는 보안 취약성은 다르지 않다고 말한다. 문서편집 프로그램, 운영체제 등 모든 소프트웨어는 보안 취약점이 존재한다. 소프트웨어 개발사 등에서는 보안 취약점으로 인한 이용자 피해를 예방하기 위해 서버‧인증서 관리를 비롯해 보안패치 등 업데이트를 주기적으로 하고 있다.

단지 베라포트 같은 통합설치 프로그램 행태가 다른 소프트웨어에 비해 해커 등 공격자에게 타깃이 되고 있다. 대부분의 이용자들이 어떤 웹사이트 서비스를 이용하기 위해 통합설치 프로그램이 제시하는 프로그램 설치 요청을 그대로 따르고 있기 때문이다.

업계 관계자는 “모든 소프트웨어에는 취약점이 있을 수 있다”며 “해커와 같은 공격자들은 같은 노력을 들였을 때, 더 효율적이고 확실한 악성코드 유포가 가능한 방안을 찾아내고 있다”고 말했다. 또 “통합설치 프로그램은 대부분의 사용자가 큰 고민 없이 설치를 진행하기 때문에 공격자들이 악용하려는 대상이 될 수 있다”고 덧붙였다.

KISA는 다음 달 10일 전자서명법이 개정되면서 금융관련 본인인증서가 은행권에 전면 도입될 것으로 보고 클라우드 기반의 본인인증이 공인인증서를 대체하면서 보안 플러그인 설치도 최소화 될 것으로 기대하고 있다. 또 통합설치 프로그램의 악용으로 인한 보안위협도 감소할 것으로 전망한다.

하지만 인터넷뱅킹 등 웹사이트를 이용하는 이들이 선호하는 방식이 달라 당분간은 플러그인 등의 설치도 여전할 것으로 보인다.

KISA 관계자는 “정부가 공공기관에 대해서는 액티브X, 플러그인 최소화에 속도를 낼 수 있지만 민간 웹사이트에는 강제할 수 없다”며 “남아있는 플러그인의 경우 대부분이 보안 프로그램이기 때문에 갑자기 제거하면 보안에 더 취약할 수 있어 시간이 더 걸릴 것”이라고 말했다.

또 “전자서명법이 개정되도 당분간은 공인인증방식이나 클라우드 본인인증방식 등이 함께 사용될 것으로 보인다"며 "이용자가 원하는 방식을 이용하겠지만 나중에는 플러그인 설치가 없는 서비스 경로가 정착될 것이고 플러그인 설치로 인한 보안위협도 줄어들 것"이라고 덧붙였다. 

※ 여러분의 제보가 뉴스가 됩니다. 각종 비리와 부당대우, 사건사고와 미담, 소비자 고발 등 모든 얘깃거리를 알려주세요

이메일 : webmaster@enewstoday.co.kr

카카오톡 : @이뉴스투데이

저작권자 © 이뉴스투데이 무단전재 및 재배포 금지