KISA와 금결원, 금융앱스토어 비판 사이트 차단 시도

금융위/금감원의 보안 정책에 항의하는 사이트가 SK텔레콤과 LG U+에 의하여 차단당하는 사건이 발생하였다.

금융위/금감원/금결원이 강제하려는 금융앱스토어의 허술함을 오픈넷은 공개적으로 지적하고 비판해왔다. 이것이 ‘불건전한’ 행위인가? 비판을 틀어막고 비판사이트에 대한 접속을 차단하면 금융앱스토어의 위험성을 잠시 숨길 수 있을지는 몰라도, 그런 시도는 오히려 공격자를 도와주고 선량한 피해자를 양산할 뿐이다.

‘통합적’으로 운영되는 금융앱스토어 때문에 모든 금융기관 이용자들이 피싱공격 위험에 일거에 노출된다는 사실을 이해하기 쉽도록 설명하고, “금융위/금감원의 터무니없는 보안 정책에 항의”하는 피싱위험 경고 및 항의 사이트(www.flneapps.co.kr)가 SK텔레콤과 LG U+에 의하여 4월 23/24일부터 26일까지 차단당하는 사건이 발생하였다.

오픈넷은 사건의 소상한 경위를 파악 중인데, 현재까지 드러난 사실은 다음과 같다.

— 4월22일에 금융위/금감원/금결원이 금융앱스토어를 공개했고, 그날 오후 오픈넷은 해당 서비스의 허술함과 위험성을 지적하였다. 금융앱스토어가 어째서 위험한지를 효과적으로 설명하는 “피싱위험 경고 및 항의 사이트”도 같은 날 공개되었다.

— 금융앱스토어가 안고 있는 보안 위험의 심각성을 인식한 언론들이 4월23일부터 금융앱스토어에 비판적인 기사를 내보내기 시작했다.

— 그러자, 4월24일 밤 10시에 KISA는 ‘피싱위험 경고 및 항의 사이트'(www.flneapps.co.kr)의 접속경로를 차단하라는 요청을 SK텔레콤 등 정보통신서비스 제공자에게 보냈다. 망사업자 중 일부는 4월23일부터 이 사이트의 접속을 차단한 것으로 보인다.

접속경로가 차단되자, 이용자의 화면은 다음과 같이 표시되었다.
Screenshot from 2013-04-26 07_57_07

접속경로 차단행위는 이틀 뒤인 4월26일 오전 10시경까지(SK텔레콤의 경우) 또는 4월26일 오후6시경까지(LG U+의 경우) 계속되었다.

‘피싱위험 경고 및 항의 사이트’는 이용자로부터 어떠한 개인정보도 수집하지 않는다. 이용자가 그 사이트에 제시된 링크를 클릭하면 다음과 같은 안내페이지가 표시될 뿐이다.

Screenshot from 2013-04-28 11:42:16

이 페이지가 위험하지 않다는 점은 컴퓨터 보안지식이 없는 일반인이 보더라도 명백하다. 이 페이지는 이용자에게 금융앱스토어의 위험성을 설명하고 피싱공격의 피해를 입지않도록 계몽하는, 선량하고 유용한 안내를 담고 있을 뿐이다.

보안에 관한 전문지식이 있다고 자처하는 KISA가 어째서 이렇게 누가보아도 명백하게 무해한 사이트의 접속경로를 차단하라고 요청하였는지, 오픈넷은 그 경위를 밝히고자 한다.

KISA는 ‘실수’였다고 이제와서 주장하는 것으로 보인다. 그렇다면, 이 사이트를 유해하다며 KISA에 신고한 금결원도 ‘실수’로 허위신고를 하였고, 허위신고를 접수한 KISA도 ‘실수’로 이 사이트 접속 차단을 요구하였고, SK텔레콤과 LG U+도 ‘실수’로 접속 차단을 하고 이틀이 지나도록 그 상태를 유지했다는 말인가? KT는 어째서 그런 ‘실수’를 하지 않았을까? 접속차단 요청을 KT가 무시하고 접속을 유지한 것도 ‘실수’였던가?

심지어 KISA는 “약 10분 간 차단조치가 이뤄졌다가 악성사이트가 아니라는 점을 확인하고 바로 차단해제하도록 요청했다”고 이제 주장하고, 사흘에 걸쳐서 차단상태를 유지했던 망사업자는 KISA로부터 해제 요청을 받은 바 없다고 주장하는 등 마치 공범자들이 서로 발뺌하며 책임을 떠넘기려는 모습도 연출하고 있다.

이 사건 ‘피싱위험 경고 및 항의 사이트’와 같이 정부 정책의 오류를 지적하고 항의하는 사이트에 대하여 KISA와 통신사가 아무런 법적근거도 없이 ‘기술적으로’ 접속을 방해하고, 심지어는 어째서 접속이 차단되었는지 안내조차 하지 않는 행위는 매우 심각하고 엄중한 것이다.

적법한 근거와 절차에 따라서 사이트가 차단되었다면, 그 사실을 떳떳히 공지하는 것이 옳을 것이다. 예를 들어, 아래 화면과 같이 차단 사실을 공지하면, 사이트 운영자는 물론 이용자들도 정부가 개입하여 해당 사이트를 차단했다는 사실을 즉시 알 수 있고, 불복절차는 어떤지를 안내받을 수도 있다:
Screenshot from 2013-04-28 13:48:20

그러나 이 사건의 경우에는 KISA와 망사업자가 개입하여 차단하였다는 사실이 드러나지 않는 ‘은밀한 방법’으로 사이트 접속이 차단되었다는 점은 이 사건의 심각성과 위법성을 더욱 가중시키고 있다.

모든 사이트 운영자가 고도의 네트워크 전문지식을 가진 것은 아니다. 화면에 단순히 ‘접속 오류’만 표시되면 사이트 운영자와 사이트 이용자들은 그저 어떤 기술적 오류가 있어서 그러려니하고 생각할 뿐, 관계당국이 은밀히 개입하여 이 사이트 접속을 차단했을 것이라고는 쉽게 상상할 수 없다. 바로 이런 방법을 동원하여 정부 정책에 비판적인 사이트를 이용자들이 볼 수 없도록 차단했다는 점을 오픈넷은 대단히 심각하게 보고 있다.

디도스공격이나 불법 해킹 따위를 하는 범법자들이 함직한 방법으로 은밀한 기술적 조작을 뒤에서 함으로써 사이트 ‘접속 오류’가 생기도록 만들고, 그 내막을 사이트 이용자는 물론 사이트 운영자에게도 알리지 않은 이번 사건은 인터넷이 정보의 소통과 공론 형성에 중요한 역할을 하고 있는 현대 사회의 정부나 공권력, 그리고 통신 기반을 장악한 사업자들이 결코 자행해서는 안될 사악한 형태의 기본권 침해행위라고 생각한다.

공공기관과 망사업자가 이런 행위를 함부로 저지르는 사태가 만일 묵과된다면, 인터넷은 자의적인 접속 차단행위가 난무하는 무법천지로 될 것이다. 하필이면 정부정책에 비판적인 사이트를 골라서 KISA와 망사업자들이 일제히 ‘실수’를 하면서 며칠씩 사이트를 먹통으로 만드는 일도 자꾸 생길 것이다.

접속차단을 당한 해당 사이트 운영자는 오픈넷에 법적 지원을 요청하였고, 오픈넷은 사이트 운영자와 함께 이 사건의 전말을 규명하고 이런 위법한 행위가 재발되지 않도록 하는데 필요한 조치를 취할 것이다.

금융앱스토어(www.fineapps.co.kr)가 위험하고 허술하다는 사실이 국가기밀이나 영업비밀인가? 그런 사실을 널리 알리는 행위가 위험한 행위인가? 금융앱스토어에 대한 항의와 비판을 틀어막기만 하면, 금융앱스토어가 안전해 지는가?

피싱위험을 ‘경고하고 항의하는 사이트’와 ‘피싱사이트’를 구분하지 못하는 것이 KISA의 수준인가? 이분들이 말하는 ‘보안’은 위험하다는 ‘사실’을 ‘실수로’ 감추어 덮는 것인가?

오픈넷
금융앱스토어 강제하는 금융위/금감원에 정중히 항의하기: https://openweb.or.kr/fsc/161

Print Friendly, PDF & Email