KISA 8월 한시 시행…보안 취약 신고접수 건수 올해만 29건

보안이 취약한 액티브X(ActiveX) 사용이 늘면서 사이버보안 당국이 취약점 조기 발견을 위한 포상금제도를 도입하는 등 경계를 강화하고 있다.

액티브X는 마이크로소프트(MS)의 인터넷 익스플로러(IE) 이용자가 본인확인이나 금융결제 등을 위해 추가로 설치해야 하는 프로그램.

8일 한국인터넷진흥원(KISA)에 따르면 올해 7월 말 현재 액티브X 보안 취약점 신고접수 건수는 29건으로 이미 작년 한 해 전체 신고 건수(31건)에 육박한다. 액티브X가 보안에 취약하다는 것은 악성코드의 숙주가 될 우려가 크다는 것을 의미한다.

가장 보편적인 형태는 이용자들이 컴퓨터에 깔아 놓은 액티브X를 악성코드 유포에 악용하는 것이다.

해커가 특정 액티브X의 ‘보안 구멍’을 발견해 이를 사용하는 웹페이지에 악성코드를 심으면 이 액티브X를 이미 설치해놓은 이용자는 해당 웹페이지를 방문할 때 악성코드에 자동 감염되는 식이다.

피해 유형은 금융·개인정보 탈취, 컴퓨터 시스템 파괴 등 다양하다. 지난달 7일 발견된 ‘3.20 악성코드 변종’이 컴퓨터 시스템 파괴형이다. 당시 이 악성코드는 온라인 결제모듈 액티브X 취약점을 악용해 유포됐다.

최근에는 타인의 컴퓨터를 가상 디지털 화폐인 ‘비트코인’ 결제에 활용하는 악성코드도 발견됐다.

문제는 컴퓨터 보안에 지식이 많지 않은 일반 누리꾼의 경우 이를 탐지해내기가 쉽지 않다는 것이다.

특히 백신 프로그램인 알약이나 V3처럼 자동 업데이트가 안 되는 것은 치명적인 약점이다. 이 때문에 액티브X 제작사가 취약점을 미리 발견해 보안 패치를 제작한다 하더라도 이용자가 해당 액티브X를 쓰는 웹페이지에 접속하지 않으면 패치를 내려받지 못한다.

이런 보안상 허점을 가진 액티브X가 얼마나 사용되고 있는지는 파악조차 힘든 상태다.

KISA 관계자는 “공인인증서에 따라붙는 ‘제큐어웹’같은 널리 알려진 액티브X도 있지만 사내 인트라넷 등에 소규모로 활용되는 액티브X도 수없이 많아 전체 규모를 파악하기는 사실상 불가능하다”고 말했다.

우려가 커지자 KISA는 8월 한 달간 액티브X의 보안 취약점을 발견·신고하는 사람에게 최고 500만원의 포상금을 지급하는 제도를 한시적으로 시행하기로 했다. 액티브X의 보안 문제가 관리·감독 수준을 벗어난 만큼 컴퓨터 이용자로 하여금 자발적으로 대규모 침해사고 예방에 나서도록 하겠다는 것이다.

보안업계 관계자는 “정부가 최근 액티브X가 필요 없는 공인인증서를 개발·보급하겠다고 밝혔지만 이와 별도로 액티브X가 어느 정도 규모로 활용되고 있는지, 어떤 종류의 보안 문제가 제기됐는지 실태 파악이 긴요하다”고 말했다.

연합뉴스