9일 중앙일보에 '뻥뻥 뚫리는 토종 메신저' 라는 기사가 실렸습니다. 놀라셨나요? 못보셨다구요? 전 그 기사를 보고 화들짝 놀랐습니다. 메신저의 비밀번호를 파악하는데 걸린 시간이 2초부터 1일 8시간까지 였다고 합니다.
기사를 보면 버디버디 메신저와 세이클럽 타키 메신저는 전송 데이터 안에 들어 있는 패스워드를 암호화하지 않아서 바로 확인할 수 있었고, SK커뮤니케이션즈 네이트온이나 다음의 터치 메신저는 패스워드가 암호 처리되고 있지만 접속때마다 똑같은 인증 데이터가 전송되는 단순한 형태여서 대부분 5분 이내에 파악을 했다는 군요.
이 결과가 사실이라면 큰 문제가 아닐 수 없습니다. 김승주 교수에게 전화를 걸었습니다. 김교수는 전화 인터뷰에서 "별도의 공격 툴을 사용하지 않고 인터넷에서 쉽게 다운받을 수 있는 프로그램을 사용해 봤다. 너무나 쉽게 패스워드들을 알 수 있어 오히려 깜짝 놀랐다"고 전했습니다.
김교수는 재전송공격과 패스워드 추출 방법을 사용했다는군요. 상당히 복잡한 설명이어서 나중에 좀 더 알아보고 소개하도록 하겠습니다. 전화만으로는 쉽게 이해할 수가 없었습니다.
국내 메신저의 보안 문제를 제기한 이유에 대해 김교수는 "우리나라 메신저들은 다양한 포털 서비스와 연계돼 있다. 전자상거래는 물론 게임, 미니홈피, 블로그 등 모든 서비스에 접속할 수 있기 때문에 문제의 심각성이 더 큰 상황"이라고 밝혔습니다.
문제가 있으면 해결해야 하는 것은 당연한 일입니다. 포털 사이트들의 초기 화면을 보시면 로그인을 할 때 보안로그인 기능을 제공하고 있습니다. 대문은 안전하게 지켰지만 쪽문을 방치한 결과 쉽게 대문안으로 들어갈 수 있기 때문입니다.
하지만 개인적으로 보면 과연 이번 문제제기 방식이 타당했느냐에 대해서는 고개를 갸웃거리게 합니다.
보통 이런 문제점들이 밝혀지면 정보보호진흥원(http://www.kisa.or.kr/index.jsp)의 인터넷침해사고대응지원센터(http://www.krcert.or.kr/index.jsp)에 바로 연락을 취해야 합니다. 사회적인 파장이나 사용자들의 피해가 우려되는 문제는 그 공격 방법이나 상황을 공개하기 앞서 우선 문제점을 해결하는 것이 급선무이기 때문이죠.
예를 들어 인터넷뱅킹과 관련한 보안 문제는 미치는 파장이 워낙 크기 때문에 문제점들이 밝혀지면 바로 대응지원센터에 연락을 하고 비공식적으로 이 문제를 바로 잡습니다. 물론 비공개라고 해서 묻히는 것이 아니라 향후 금융권 보안 감사 등을 통해서 지적을 받게 되지요.
그런데 이번은 아니었습니다. 다음날 기사를 접한 정보보호진흥원은 물론이고 기사를 접한 일반 사용자, 서비스 주체인 포털은 발칵 뒤짚혔지요. 호기심 많은 네티즌들은 그 방식을 그대로 흉내내면 더 큰 문제가 될 수도 있었고, 자기네 서비스가 보안 헛점이 있다는 지적을 받은 포털 보안팀이나 메신저팀들은 어떤 내용인지 제대로 파악을 못하고 있었기 때문이었죠.
이와 관련해 김교수는 몇몇 기자들을 초청해 시연하는 그 시간에 대응지원센터에 동시에 통보했다고 기자에게 말했습니다. 하지만, 대응지원센테쪽 얘기는 달랐습니다. 정보보호진흥원의 한 관계자는 "기사는 새벽 4시4분에 온라인에 게재됐는데 그 정도면 이미 오프라인 인쇄는 끝났다는 말 아닌가"라며 "대응지원센터에도 그 시간에 통보된 것이 아니라 그 후에 통보됐다. 미리 기자들에게 정보를 오픈하고 사후에 연락을 취한 것으로 밖에 볼 수 없다"는 설명이었습니다.
더 나아가서 김교수팀이 지적한 문제가, 모든 보안이 허술하다고 볼 수 없는 것으로 이는 학생의 논문을 홍보하기 위한 전형적인 '언론플레이'라는 말도 하더군요. 충격적이었습니다. 갑자기 머리가 '멍'해지더군요.
물론 메신저 업체들은 좀 더 안전한 시스템을 제공하기 위해 패치를 하고 나섰지만 기사에서 지적된 것처럼 화들짝 놀라 정도의 내용은 아니었다는 겁니다. 관련 기사에서 지적된 것처럼 msn 메신저가 지금 국내 메신저 업체들이 제공하는 보안 수준보다 한단계 높은 것은 사실이지만 지금 제공하는 보안 수준도 결코 호락호락하게 뚫릴 정도의 수준은 아니라는 겁니다.
전화 통화를 끝내고 보안이 중요하긴 하지만 보안을 섣부르게 다룰 때는 엄청난 파장이 일어날 수 있다는 사실을 다시 한번 깨닫게 됐습니다. 자칫 잘못하다가 사랑하는 제자의 논문을 세상에 알리기 위한 선생님의 사랑이 뜻하지 않게 논문을 작성하고 있는 학생들에게 크나큰 해가 될수도 있기 때문입니다.
하나의 해프닝으로 끝날 문제일까요? 머리가 무거워지네요.