한국 IT 취약점에 대한 개인적인 생각

제가 생각하기에는 우리나라 인터넷이 좀 기형적으로 발전했기 때문에 이런 문제가 터지지 않나, 생각을 하거든요.

그게 원래 액티브X로 대표되는 우회적인 보안 방법이 좀 많이 쓰였는데요. 이게 전 세계 웹 표준이 아니고 되게 안 좋은 방법이라고 많이 업계에서는 얘기를 해요. 그래서 은행에서 뭐 하나를 하려면 프로그램 대여섯 개를 깔고 재부팅하고 그러잖아요? 그런데 외국에서는 이런 경우가 거의 없거든요. 그래서 홈페이지 하나에서 끝장을 보는데, 우리나라가 이제 좀 정신을 차려서 액티브X를 많이 빼고 있는 그런 추세로 진입을 했어요. 그런데 여기서 문제가 발생하는데 인터넷에는 이미 데이터가 많은데  액티브X가 빠지고 걸음마 단계인 표준화 기술이 투입이 되니까 취약점이 슬슬 드러나기 시작하죠. 알려진 것 외에도 정말 많은 취약점이 있죠.

사실 제가 생각하는 방법은 이미 많은 사람들이 취약점을 알고 있을 거거든요. 개발자들은 본인들끼리 삼삼오오 여기 약하다, 여기 약하다 얘기하고 있는데 이런 것을 제보를 거의 할 이유가 없어요. 제보를 해도 피드백도 거의 없고, 저도 제가 취약점을 친절하게 알려 준 회사가 10개가 넘는데요.그 10개 이상의 회사 중에서 저한테 피드 을 제대로 준 회사가 진짜 한 곳도 없거든요? 서울대학교에도 제가 보안 신고 했을 때도 6개월 정도 시간을 끌어서 겨우 겨우 고치고, 이러더라고요.

파로스는 사실은 해킹을 목적으로 해서 나온 프로그램은 아니고요. 웹 페이지를 진단하는 진단 프로그램이에요. 그래서 사실 이 프로그램으로 공격을 시도하기는 좀 어렵고요. 어디에 어떤 정보가 있는지, 돋보기 같은 거라고 해석을 하시면 돼요. 그리고 수백 가지 다른 비슷한 도구 중 하나일 뿐인데요. 그냥 그런 여러 가지 중의 하나라고 보시면 돼요. 특별하지는 않아요.

누구나 알 것 같은 대형 온라인 쇼핑몰, 제가 얼마 전에 보고도 한 번 했었는데 거기서 메일이 온 게 그거였어요. 유관부서로 전달하겠습니다, 감사합니다. 그래서 아, 내가 왜 얘기했지? 이 한 문장 얘기하려고 왜 얘기한 거지? 이런 후회감도 많이 들더라고요.

개발하시는 분들은 약간의 책임감을 가져야 하지 않을까, 라는 생각을 하는데요. 원천적인 잘못은 모두, 뭐 저의 친구들이겠지만 개발자들이 잘못한 거거든요. 보안을 제대로 한 것이 아니기 때문에, 개발자들이 제대로 보안을 신경 써서 개발을 했으면 좋겠고, 더 좋다면 보안에 대해서 나라에서 투자 좀 많이 했으면 좋겠고, 그런데 이런 것은 두 번째고요. 첫 번째는 신고 제도를 마련해주고 그리고 보안 신경 많이 써 주는 개발을 했으면 좋겠다.