SBS Biz

[앵커] 

키보드 보안 프로그램 '터치엔키'가 보안에 취약하다는 한 소프트웨어 개발자의 주장, 최근 전해드렸죠.



결국 해당 프로그램 개발업체가 보안 패치를 개발하는 등 개선에 나섰는데요.

이번엔 또 다른 금융사 인터넷 보안 프로그램의 취약점이 공개됐습니다. 

김동필 기자, 이번엔 어떤 프로그램이 대상인가요? 

[기자] 



이번엔 국내 금융 사이트에서 사용하는 보안 솔루션인 IPinside(IPinside LWS agent)란 프로그램입니다. 

이름은 생소하실 수도 있는데요, 금융사 온라인 홈페이지에서 반드시 설치하도록 안내하는 필수프로그램 중 하나입니다. 

이 프로그램은 개인 컴퓨터 인터넷 주소를 수집해서 수상한 사용자가 아닌지 확인하거나 부정행위를 한 사이버 공격 주체를 찾아내는데 쓰이기도 합니다. 

[앵커] 

IP를 수집하는 프로그램이라는 건데, 어떤 점이 허술하다는 건가요? 

[기자] 

좀 더 자세히 알아보면요.

먼저 이 개발자는 이 프로그램이 스파이웨어처럼 원래 용도보다 더 많은 데이터를 수집한다고 지적했습니다. 

그리고 데이터는 암호화되는데요.

수준이 낮아서 해커도 쓰지 않는 일반 노트북으로 2시간 여만에 암호화를 뚫었다고 강조했습니다. 

그러면서 IPinside를 설치했더라도 데이터에 접근할 수 있다고 꼬집었습니다. 

또 "충분한 시간만 주어진다면 실행되는 모든 정보를 알아낼 수도 있다"라고도 지적했는데요.

IPinside가 개인정보를 침해하면서도 적절한 보호를 하지 못하고 있고, 불법 거래를 막는 원래 목적에도 소홀한 것 같다면서 자신이 틀렸음을 증명해 달라는 도발성 발언도 섞었습니다. 

[앵커] 

해당 프로그램 업체는 어떤 입장을 내놨습니까. 

[기자] 

이 업체도 문제점을 인지하자마자 빠르게 보완 패치 개발에 나섰는데요.

곧 배포할 예정이라고 합니다. 

인터리젠 관계자는 "지난해 12월에 취약점을 통보받고, 회신한 개발 일정보다 더 빠르게 패치를 개발했다"면서 "고객사 일정에 맞춰 2월 10일부터 패치를 적용할 계획"이라고 말했습니다. 

[앵커] 

최근 이런 보안 프로그램의 취약성에 대해 전문가들은 어떻게 바라보고 있나요? 

[기자] 

보안업계 전반적으로 심도 있는 고민을 해야 한다는 설명입니다. 

한 번 들어보시죠.

[곽진 아주대 정보보안학과 교수: 공급을 한 번 하면 끝났다는 게 아니라 실제로 패치에 대한 부분이나 주기적인 업데이트도 하고, 취약점이 있을 때 바로 업데이트해야 되지 않나 생각이 들죠.]

곽 교수는 또 10년 전 액티브X 시절 나온 문제가 여전히 되풀이되고 있는 점도 반성해야 할 때라고 지적했습니다. 

[앵커] 

김동필 기자, 잘 들었습니다.