"해외서 지적한 금융보안 취약점, 불안감 느낄 정도는 아냐"
국내 유명 화이트해커 분석…"문제제기 자체는 의미 있다"
(서울=연합뉴스) 조성미 기자 = 해외 보안 전문가가 한국에서 널리 쓰이는 금융 보안 프로그램들의 문제점을 잇달아 지적하고 나선자 국내 유명 화이트해커가 이를 반박하고 나섰다.
국내 금융 소비자가 불안을 느낄 정도의 취약점은 아니라는 게 이 화이트해커의 주장이다.
이 해커는 15일 연합뉴스와 서면 인터뷰에서 '애드블록 플러스' 개발자 블라디미르 팔란트가 지적한 국내 금융 사이트의 보안 문제에 대해 "결론부터 말하자면 지적된 취약점으로 불안을 느낄 필요는 없다"고 잘라 말했다.
그는 "팔란트가 지적한 취약점이 실제 해킹 공격에 악용되기는 어렵다"며 보안 당국이 유의미한 위험이라고 인정할 만한 수준에 미치지 못한다고 강조했다.
제1금융권에서 사용하는 보안 솔루션에서 유의미한 취약점을 발견하면 한국인터넷진흥원(KISA)과 금융보안원은 '버그바운티'라는 제도를 통해 포상금을 지급한다.
하지만 팔란트가 지적한 국내 금융 사이트의 키보드 보안 솔루션 '터치앤키(TouchEn nxKey)' 문제점은 포상금 지급이 어려운 수준이라는 것이 이 화이트해커의 분석이다.
그는 "국내 금융 보안에서 '시큐어 코딩'(보안 취약점을 제거해 안전한 소프트웨어를 개발하는 개발 기법)이 적용되지 않았던 때도 있지만, 지금은 버그바운티 제도 활성화 등으로 상당히 개선된 상황"이라고 봤다.
이 해커는 다만 "국내 금융 보안에서 아쉬움이 아직 있다"면서 "금융 보안에 관한 문제 제기 자체는 의미 있다고 본다"고 평가했다.
그는 "저품질 보안 솔루션이 난립하고, 사용자에게 특정 프로그램 설치를 유도하는 행위 자체가 보안 측면에서 위험할 수 있는 현실"이라고 꼬집었다.
블라디미르 팔란트가 최근 자신의 블로그에 올린 국내 금융 보안에 관한 글에는 한국인으로 보이는 이들이 댓글을 달아 다양한 의견을 내놓고 있다.
국내 금융 보안 문제를 지적한 것을 환영한다는 의견과 반론이 엇갈린다.
팔란트가 지난해 10월 터치앤키의 취약점을 신고한 KISA의 관계자는 "(금융 소비자가) 막연하게 우려할 수 있지만, 실제적인 피해 접수 등은 아직 없었다"며 "지적된 취약점에 대한 보안 패치가 발표되지 않은 상황에서 당장 사용 중단 등을 권고해야 할 만큼의 문제점이 드러나지 않은 것"이라고 밝혔다.
이 관계자는 "취약점이 확인됐을 경우 위험도에 따라 보안 패치 적용이나 임시 조치 안내, 사용 중단 권고 등의 순으로 정해진 절차에 따라 조치할 것"이라는 원론적인 입장을 덧붙였다.
팔란트가 취약점이 있다고 지적한 터치앤키 개발사 라온시큐어[042510]는 개선된 보안 패치 개발을 완료했지만, 금융사 등과 배포 시점을 조율 중이라고 밝혔다.
이 회사 관계자는 "이달 말부터 배포 계획이지만 고객사별로 적용 시점이 다를 수 있다"고 설명했다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
국내 유명 화이트해커 분석…"문제제기 자체는 의미 있다"
(서울=연합뉴스) 조성미 기자 = 해외 보안 전문가가 한국에서 널리 쓰이는 금융 보안 프로그램들의 문제점을 잇달아 지적하고 나선자 국내 유명 화이트해커가 이를 반박하고 나섰다.
국내 금융 소비자가 불안을 느낄 정도의 취약점은 아니라는 게 이 화이트해커의 주장이다.
이 해커는 15일 연합뉴스와 서면 인터뷰에서 '애드블록 플러스' 개발자 블라디미르 팔란트가 지적한 국내 금융 사이트의 보안 문제에 대해 "결론부터 말하자면 지적된 취약점으로 불안을 느낄 필요는 없다"고 잘라 말했다.
그는 "팔란트가 지적한 취약점이 실제 해킹 공격에 악용되기는 어렵다"며 보안 당국이 유의미한 위험이라고 인정할 만한 수준에 미치지 못한다고 강조했다.
제1금융권에서 사용하는 보안 솔루션에서 유의미한 취약점을 발견하면 한국인터넷진흥원(KISA)과 금융보안원은 '버그바운티'라는 제도를 통해 포상금을 지급한다.
하지만 팔란트가 지적한 국내 금융 사이트의 키보드 보안 솔루션 '터치앤키(TouchEn nxKey)' 문제점은 포상금 지급이 어려운 수준이라는 것이 이 화이트해커의 분석이다.
그는 "국내 금융 보안에서 '시큐어 코딩'(보안 취약점을 제거해 안전한 소프트웨어를 개발하는 개발 기법)이 적용되지 않았던 때도 있지만, 지금은 버그바운티 제도 활성화 등으로 상당히 개선된 상황"이라고 봤다.
이 해커는 다만 "국내 금융 보안에서 아쉬움이 아직 있다"면서 "금융 보안에 관한 문제 제기 자체는 의미 있다고 본다"고 평가했다.
그는 "저품질 보안 솔루션이 난립하고, 사용자에게 특정 프로그램 설치를 유도하는 행위 자체가 보안 측면에서 위험할 수 있는 현실"이라고 꼬집었다.
블라디미르 팔란트가 최근 자신의 블로그에 올린 국내 금융 보안에 관한 글에는 한국인으로 보이는 이들이 댓글을 달아 다양한 의견을 내놓고 있다.
국내 금융 보안 문제를 지적한 것을 환영한다는 의견과 반론이 엇갈린다.
팔란트가 지난해 10월 터치앤키의 취약점을 신고한 KISA의 관계자는 "(금융 소비자가) 막연하게 우려할 수 있지만, 실제적인 피해 접수 등은 아직 없었다"며 "지적된 취약점에 대한 보안 패치가 발표되지 않은 상황에서 당장 사용 중단 등을 권고해야 할 만큼의 문제점이 드러나지 않은 것"이라고 밝혔다.
이 관계자는 "취약점이 확인됐을 경우 위험도에 따라 보안 패치 적용이나 임시 조치 안내, 사용 중단 권고 등의 순으로 정해진 절차에 따라 조치할 것"이라는 원론적인 입장을 덧붙였다.
팔란트가 취약점이 있다고 지적한 터치앤키 개발사 라온시큐어[042510]는 개선된 보안 패치 개발을 완료했지만, 금융사 등과 배포 시점을 조율 중이라고 밝혔다.
이 회사 관계자는 "이달 말부터 배포 계획이지만 고객사별로 적용 시점이 다를 수 있다"고 설명했다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
