본문 바로가기

IT, Security

VeraPort VeraIN(통합 설치 관리) 프로그램의 위험성

최근 오픈 뱅킹이 관련 법의 개정과 함께 이루어지면서, 여러 가지 보안 프로그램을 통합적으로 설치해주는 프로그램을 보실 수 있습니다. 예전의 경우 ActiveX를 이용해 하나하나 수동적으로 "예"를 눌러야 했지만, 현재의 경우 일일히 플러그인 형식으로 다운로드 받아야 합니다.

이러한 불편함을 개선하기 위해서, 높으신 분들과 개발팀에서는 보안 프로그램의 설치를 줄일 생각은 안 하고 통합 설치하는 프로그램을 하나 박아놓은 다음에, 그 프로그램이 다른 플러그인을 한꺼번에 담도록 설계하였습니다. Veraport는 비단 은행권 뿐만이 아닌, 다른 여러 기관에서 사용되고 있습니다.

베라인의 활동 경로는 차치하더라도, 많은 문제점 중 하나를 언급하고자 합니다.

 

 

오늘 개편된 우리은행의 오픈뱅킹 또한 Veraport를 사용하도록 변경되었으며, (기존에는 AOS와 공인인증서 프로그램만 사용하도록 설계되어 있었음) 통합 설치 하기 위해 Veraport를 사용하게 되어 있습니다. 제가 알기로 국민은행도 이 시스템을 이용하고 있으며, 스탠다드차타드(SC) 은행도 이 시스템을 사용하고 있습니다.

이러한 통합 설치 관리 프로그램은 번거롭게 일일이 설치하지 않아도 되지만, 가장 큰 문제가 있는데.. Veraport가 설치하는 것은 시스템의 보안 관제를 통하지 않는다는 것입니다. 가장 단적인 예로, Windows 7의 UAC를 들어보겠습니다. 원래대로라면 정상적으로 다운로드 하거나 실행할 때, 다음과 같은 알림창이 있어야 합니다.

 

 

이는 권한 상승의 최대한의 마지노선입니다. 문제는 VERAPORT가 실행된 후, 이 이후에 다운로드 및 설치되는 프로그램은 UAC의 검증을 거치지 않으며, 자동으로 다운로드 되고(선택이 아닙니다!!), 자동으로 실행된다는 점입니다.

편리하다고 생각할 수 있겠지만, 잘 생각해보십시오. 만약에 다운로드 받는 프로그램이 정상적인 프로그램이 아니고 변조되었다면 어떻게 될까요? Veraport 자체가 변조되어 악용되면 사용자는 자신도 모르게 자동으로 실행되는 악성코드를 그대로 받아들여야 한다는 점을 잊지 마십시오.

 

 

새로운 위협에 능동적으로 대처하는 안티 바이러스는 이러한 불온한 위협에 대처하기 위해 존재하지만, 역시 모든 위협을 대처할 수는 없기 때문에 이는 큰 위험을 초래할 불씨로 볼 수 있습니다. 트랜드 마이크로의 타이태니엄 맥시멈 시큐리티에서는 다음과 같이 위협에 대한 의심을 추적하고 있습니다.

 

 

물론 이는 Veraport의 행동을 의심하는 것이라고 판단하는 것보다는 공인인증서 프로그램이나 기타 프로그램의 행동 유무에 따라 달라지는 것이지만, 일단 Veraport가 실행하고 다운로드 하는 프로그램은 아무런 경고 없이 행동한다는 것을 인지하고 있어야 합니다.

만약 해당 파일이 악의적으로 변조되었고, 그로 인해 악성 파일을 다운로드 하게 설계된다면 매우 심각한 상황이 초래할 수도 있으며, 이를 안티 바이러스가 검출하지 못할 경우 사용자는 그대로 정보 위협에 노출되는 것입니다.

은행권의 보안이나 대기업의 보안은 중소기업보다는 확실히 낫다고 볼 수 있겠습니다. 그러나 현 상황에서 그러한 보안이 뚫리는 이슈가 발생하는 상황에서, 정상적인 프로그램이라고 하여도 악의적으로 악용될 수 있는 해당 프로그램은 평소에도 눈여겨 볼 필요가 있다고 생각됩니다.