광고 차단 프로그램 개발자로 널리 알려진 외국 보안 전문가가 한국에서 널리 쓰이는 금융 보안 프로그램들의 문제점을 정면으로 비판해 파장이 일고 있다.
그는 한국 보안 당국에 문제점을 신고했지만, 개선이 이뤄지지 않고 있다고 주장했다. 해당 프로그램을 만든 업체는 곧 그가 지적한 문제점을 개선한 보안 패치를 배포할 계획이라고 해명했다.
10일 보안업계와 당국에 따르면 ‘애드블록 플러스’ 개발자 블라디미르 팔란트는 전날 자신의 블로그에 국내 금융 사이트에서 키보드 보안 솔루션으로 쓰는 ‘터치앤키(TouchEn nxKey)’의 문제점을 분석하는 글을 올렸다.
그는 “이 프로그램은 1천만 명 이상 내려받았을 정도로 한국 내 컴퓨터 대부분에 깔려 있다고 볼 수 있지만, 사용자들의 평가는 5점 만점에 1.3점으로 좋지 못하다”면서 “프로그램은 키로깅 프로그램(키보드로 입력하는 정보를 중간에서 가로채는 해킹 도구)을 충분히 막는 것에 실패하고 있고, 단순한 서비스 거부부터 원격 코드 실행 등에서 다양한 버그가 있다”고 지적했다.
팔란트는 분석한 문제점을 폭로 3개월 전인 지난해 10월 4일 한국인터넷진흥원 인터넷보호나라(KISA KRcert) 영문 사이트에 신고한 것으로 확인됐다.
KISA 관계자는 “해당 신고를 접수하고 터치앤키 개발사인 라온시큐어[042510]에 신고자의 메일 주소와 신고 내용을 전달했다”고 설명했다.
라온시큐어 관계자는 연합뉴스와 통화에서 “지난해 KISA로부터 전달받은 내용을 바탕으로 해당 취약점을 보완하는 패치를 개발 완료했지만, 이용사 일정에 맞춰 적용해야 해서 아직 배포하지 못했다”고 해명했다.
팔란트는 이 회사의 터치앤키 외에도 국내 보안 플러그인 프로그램의 문제점을 지적하는 글을 이달 23일과 3월 6일에도 공개하겠다고 예고했다.
그는 이전에 올린 분석 글에서 한국이 액티브X를 사용한 역사적 배경과 보안 플러그인 설치 실태를 분석하면서 “이들 보안 소프트웨어가 보안에 도움이 되지 않지만, 이해관계 때문에 의도적으로 설계됐다”고 주장했다.