KISA와 금결원, 금융앱스토어 비판 사이트 차단 시도

by | Apr 28, 2013 | 오픈블로그, 혁신과 규제 | 9 comments

금융위/금감원의 보안 정책에 항의하는 사이트가 SK텔레콤과 LG U+에 의하여 차단당하는 사건이 발생하였다.
금융위/금감원/금결원이 강제하려는 금융앱스토어의 허술함을 오픈넷은 공개적으로 지적하고 비판해왔다. 이것이 ‘불건전한’ 행위인가? 비판을 틀어막고 비판사이트에 대한 접속을 차단하면 금융앱스토어의 위험성을 잠시 숨길 수 있을지는 몰라도, 그런 시도는 오히려 공격자를 도와주고 선량한 피해자를 양산할 뿐이다.
‘통합적’으로 운영되는 금융앱스토어 때문에 모든 금융기관 이용자들이 피싱공격 위험에 일거에 노출된다는 사실을 이해하기 쉽도록 설명하고, “금융위/금감원의 터무니없는 보안 정책에 항의”하는 피싱위험 경고 및 항의 사이트(www.flneapps.co.kr)가 SK텔레콤과 LG U+에 의하여 4월 23/24일부터 26일까지 차단당하는 사건이 발생하였다.
오픈넷은 사건의 소상한 경위를 파악 중인데, 현재까지 드러난 사실은 다음과 같다.
— 4월22일에 금융위/금감원/금결원이 금융앱스토어를 공개했고, 그날 오후 오픈넷은 해당 서비스의 허술함과 위험성을 지적하였다. 금융앱스토어가 어째서 위험한지를 효과적으로 설명하는 “피싱위험 경고 및 항의 사이트”도 같은 날 공개되었다.
— 금융앱스토어가 안고 있는 보안 위험의 심각성을 인식한 언론들이 4월23일부터 금융앱스토어에 비판적인 기사를 내보내기 시작했다.

— 그러자, 4월24일 밤 10시에 KISA는 ‘피싱위험 경고 및 항의 사이트'(www.flneapps.co.kr)의 접속경로를 차단하라는 요청을 SK텔레콤 등 정보통신서비스 제공자에게 보냈다. 망사업자 중 일부는 4월23일부터 이 사이트의 접속을 차단한 것으로 보인다.
접속경로가 차단되자, 이용자의 화면은 다음과 같이 표시되었다.
Screenshot from 2013-04-26 07_57_07
접속경로 차단행위는 이틀 뒤인 4월26일 오전 10시경까지(SK텔레콤의 경우) 또는 4월26일 오후6시경까지(LG U+의 경우) 계속되었다.
‘피싱위험 경고 및 항의 사이트’는 이용자로부터 어떠한 개인정보도 수집하지 않는다. 이용자가 그 사이트에 제시된 링크를 클릭하면 다음과 같은 안내페이지가 표시될 뿐이다.
Screenshot from 2013-04-28 11:42:16
이 페이지가 위험하지 않다는 점은 컴퓨터 보안지식이 없는 일반인이 보더라도 명백하다. 이 페이지는 이용자에게 금융앱스토어의 위험성을 설명하고 피싱공격의 피해를 입지않도록 계몽하는, 선량하고 유용한 안내를 담고 있을 뿐이다.
보안에 관한 전문지식이 있다고 자처하는 KISA가 어째서 이렇게 누가보아도 명백하게 무해한 사이트의 접속경로를 차단하라고 요청하였는지, 오픈넷은 그 경위를 밝히고자 한다.
KISA는 ‘실수’였다고 이제와서 주장하는 것으로 보인다. 그렇다면, 이 사이트를 유해하다며 KISA에 신고한 금결원도 ‘실수’로 허위신고를 하였고, 허위신고를 접수한 KISA도 ‘실수’로 이 사이트 접속 차단을 요구하였고, SK텔레콤과 LG U+도 ‘실수’로 접속 차단을 하고 이틀이 지나도록 그 상태를 유지했다는 말인가? KT는 어째서 그런 ‘실수’를 하지 않았을까? 접속차단 요청을 KT가 무시하고 접속을 유지한 것도 ‘실수’였던가?
심지어 KISA는 “약 10분 간 차단조치가 이뤄졌다가 악성사이트가 아니라는 점을 확인하고 바로 차단해제하도록 요청했다”고 이제 주장하고, 사흘에 걸쳐서 차단상태를 유지했던 망사업자는 KISA로부터 해제 요청을 받은 바 없다고 주장하는 등 마치 공범자들이 서로 발뺌하며 책임을 떠넘기려는 모습도 연출하고 있다.
이 사건 ‘피싱위험 경고 및 항의 사이트’와 같이 정부 정책의 오류를 지적하고 항의하는 사이트에 대하여 KISA와 통신사가 아무런 법적근거도 없이 ‘기술적으로’ 접속을 방해하고, 심지어는 어째서 접속이 차단되었는지 안내조차 하지 않는 행위는 매우 심각하고 엄중한 것이다.
적법한 근거와 절차에 따라서 사이트가 차단되었다면, 그 사실을 떳떳히 공지하는 것이 옳을 것이다. 예를 들어, 아래 화면과 같이 차단 사실을 공지하면, 사이트 운영자는 물론 이용자들도 정부가 개입하여 해당 사이트를 차단했다는 사실을 즉시 알 수 있고, 불복절차는 어떤지를 안내받을 수도 있다:
Screenshot from 2013-04-28 13:48:20
그러나 이 사건의 경우에는 KISA와 망사업자가 개입하여 차단하였다는 사실이 드러나지 않는 ‘은밀한 방법’으로 사이트 접속이 차단되었다는 점은 이 사건의 심각성과 위법성을 더욱 가중시키고 있다.
모든 사이트 운영자가 고도의 네트워크 전문지식을 가진 것은 아니다. 화면에 단순히 ‘접속 오류’만 표시되면 사이트 운영자와 사이트 이용자들은 그저 어떤 기술적 오류가 있어서 그러려니하고 생각할 뿐, 관계당국이 은밀히 개입하여 이 사이트 접속을 차단했을 것이라고는 쉽게 상상할 수 없다. 바로 이런 방법을 동원하여 정부 정책에 비판적인 사이트를 이용자들이 볼 수 없도록 차단했다는 점을 오픈넷은 대단히 심각하게 보고 있다.
디도스공격이나 불법 해킹 따위를 하는 범법자들이 함직한 방법으로 은밀한 기술적 조작을 뒤에서 함으로써 사이트 ‘접속 오류’가 생기도록 만들고, 그 내막을 사이트 이용자는 물론 사이트 운영자에게도 알리지 않은 이번 사건은 인터넷이 정보의 소통과 공론 형성에 중요한 역할을 하고 있는 현대 사회의 정부나 공권력, 그리고 통신 기반을 장악한 사업자들이 결코 자행해서는 안될 사악한 형태의 기본권 침해행위라고 생각한다.
공공기관과 망사업자가 이런 행위를 함부로 저지르는 사태가 만일 묵과된다면, 인터넷은 자의적인 접속 차단행위가 난무하는 무법천지로 될 것이다. 하필이면 정부정책에 비판적인 사이트를 골라서 KISA와 망사업자들이 일제히 ‘실수’를 하면서 며칠씩 사이트를 먹통으로 만드는 일도 자꾸 생길 것이다.
접속차단을 당한 해당 사이트 운영자는 오픈넷에 법적 지원을 요청하였고, 오픈넷은 사이트 운영자와 함께 이 사건의 전말을 규명하고 이런 위법한 행위가 재발되지 않도록 하는데 필요한 조치를 취할 것이다.
금융앱스토어(www.fineapps.co.kr)가 위험하고 허술하다는 사실이 국가기밀이나 영업비밀인가? 그런 사실을 널리 알리는 행위가 위험한 행위인가? 금융앱스토어에 대한 항의와 비판을 틀어막기만 하면, 금융앱스토어가 안전해 지는가?
피싱위험을 ‘경고하고 항의하는 사이트’와 ‘피싱사이트’를 구분하지 못하는 것이 KISA의 수준인가? 이분들이 말하는 ‘보안’은 위험하다는 ‘사실’을 ‘실수로’ 감추어 덮는 것인가?
오픈넷
금융앱스토어 강제하는 금융위/금감원에 정중히 항의하기: https://openweb.or.kr/fsc/161

9 Comments

  1. 곰쓰

    정말 가지가지 하네요.
    해당 사이트가 웹사이트 소스를 공개하고 있는것만 봐도 악의적이지 않다는걸 알수 있거늘…
    똥이 마려우니 빨리 아무데나 싸게좀 해달라고 부탁하는 수준.

    Reply
  2. 망중립

    정당한 항의까지 이런 식으로 대응하다니.. 어이없네요..
    그런데 여기 오픈블로그에 올라온 글들을 쭉 읽어봤는데, 구글 플레이 스토어가 그마나 다른 것보다
    안전하긴 하지만, 그렇다고 거기서만 앱을 다운받으라는 건 망중립성의 기본 원칙에 어긋나는 것 같습니다.
    애플이야 원래부터 그랬는데, 구글 플레이 스토어도 점점 폐쇄적이 되어 가고 있습니다.
    외국의 특정 기업들이 스마트폰 마켓을 독과점하고 생태계를 사실상 잠식해 가고 있는데,
    이것 또한 큰 문제입니다. 자기들한테만 받은 거만 신뢰할 만한 앱이고, 나머지는 신뢰하지 못한다는 건
    얼마나 이기적인 발상입니까?
    다음에 이 문제도 꼭 한번 다루어 주세요.

    Reply
    • 곰쓰

      구글플레이에 올리라고 주장하는것은 그것이 그나마 나은 방법중 하나라고 제안하는 것이지요.
      Android폰마다 기본적으로 탑재되어있는 스토어인데다가, ‘알수없는 소스’ 설정을 켜지 않고도 설치가 가능한 곳이니까요.
      사실 가장 좋은건 정부나 어느 단체에서 이렇게 방법을 딱딱 정해주면서 간섭하지 말고, 사고 발생시 은행의 책임을 잘 밝히고, 사고비율이 일정 수준 이하로 관리되는지만 감독하면 됩니다. 은행과 보안솔루션 업체 등이 알아서 잘 하도록 하는것입니다.
      은행이 구글플레이에 올리던 티스토어 올레마켓 등에 올리던 은행이 알아서 잘 관리하도록 하고, ‘택배를 받은후에는 현관문을 다시 꼭 잠그라’고 안내하듯 ‘알수없는 소스 설정’을 제대로 끄도록 은행들이 알아서 안내하면 되는 일입니다.
      이렇게 하면 다양한 방법이나 마켓이 나와서 서로의 장단점을 겨루게 될것이고, 말씀하신 구글플레이의 독점우려도 차단할수 있을 것입니다.

      Reply
      • 망중립

        음.. 헷갈리네요.
        그런데 구글이나 통신사를 제외한 일반 사업자(포털 등)가 자체 마켓을 만들고 싶으면
        해당 마켓에서 다운받은 앱을 설치할 때는 “알수없는 소스 설정”을 일단 끄고, 설치 완료 후에
        다시 켜라고 안내할 수밖에 없는데요.
        택배회사의 예를 다시 빌리자면, 새로 사업을 시작하는 영세 택배 회사는 “우리 택배는 반드시 받기
        전에 문을 열어 두어야 받을 수 있고, 받고 나서는 꼭 문을 잠그셔야 안전합니다.” 라고 고객에게
        안내해야 하는 거라고 볼 수 있습니다.
        (이미 시장을 장악한 택배 회사들은 안전한 배달 방법을 가지고 있는데 말이죠..)
        이건 애시당초 공정한 경쟁이 아닌 듯 합니다. 더군다나 구글플레이와 통신사 마켓은 스마트폰이
        출고될 때부터 탑재되어 나오는데다가, 보안적인 측면에서도 유리합니다. 물론 다른 마켓이 더 나은
        장점(가격, 고객서비스 등)으로 구글플레이를 이길 수 있겠지만, 그리 쉽지는 않아 보입니다.
        예전에 MS도 윈도우에 웹브라우저나 메신저를 기본 탑재하는 문제 때문에 크게 이슈가 된 적이 있습니다.
        그런데 지금의 구글이나 애플이 하는 일이 그거나 마찬가지라고 봅니다.
        금융앱스토어 건에 대해 살펴보면 보안이 더 중요한 건지 공정 경쟁이나 망중립 같은 다른 가치가
        더 중요한 것인지 혼란이 옵니다. 여러 가치가 공존할 수 있는 방법을 찾아 보아야 합니다.
        예를 들자면, 인터넷 상에서 SSL 서버인증서를 이용하여 서버의 신뢰성을 파악하듯이 안드로이드나
        아이폰도 신뢰할수 있는 마켓 사업자의 인증서로 서명된 앱은 “알수없는 소스” 같은 설정 없이도
        설치할 수 있도록 하면 안전할 것입니다.
        시장에서 우월적 지위를 가지고 있는 자들의 마켓만이 신뢰할 수 있는 마켓이라니요!!
        N스토어 같은 국내 마켓도 구글이나 애플, 통신사의 마켓과 동등하게 경쟁할 수 있어야 합니다!!

        Reply
        • 곰쓰

          네. ‘신뢰할수 있는 마켓 인증체계(?)’ 를 구상해본다면 말씀하신 그런 방법도 아주 좋은 방법일수 있습니다. 독점문제나 공정성에 관한 문제의식은 저도 님과 크게 다르지 않습니다.
          다만 지금 오픈넷에서 주장하는 것들은 당장 골라쓸수 있는 방법들중 그나마 나은것들로 보인다는 얘길 하고 싶었습니다.
          그리고 Android는 플래폼을 공개하고 있다보니, 통신사 스토어가 프리로드 된 일부 가젯들은 ‘알수없는 소스’ 설정을 건드리지 않고 이용 가능한 것들도 있습니다. 구글은 아무래도 이런 점들을 앞세우는듯 한데.. 정말 독점의 형태로 드러난다면 그때는 이런 보안 측면보다는 중립성의 시각으로 다루어야 하겠죠.

          Reply
  3. 김도형

    참 큰일날 분들입니다. KISA 마져… 실망입니다.

    Reply
  4. 박지훈

    KISA 가 저정도 수준이라니.. 할말이 없습니다.

    Reply
  5. 저런..

    실망입니다 실망..

    Reply
  6. 곰쓰

    ‘알수없는 소스를’ 켜는것은 강제고, 다시 끄도록 하는것은 ‘권고’ 이고(실제로는 이거 어디 써놨는지 찾기도 쉽지않음)
    ㅉㅉ

    Reply

Submit a Comment

Your email address will not be published. Required fields are marked *

최신 글