국산무료백신 '무력함'에 외산 무료백신 큰다

최근 정치권에서 큰 인기를 얻고 있는 안철수 교수와는 달리 ‘안철수연구소’의 ‘V3 Lite’에 대한 만족도는 점차 하락하고 있다. 이스트소프트의 무료백신 '알약'이나 네이버 백신도 마찬가지다. 중국 해커들이 만들어 내는 악성코드나 트로이목마 바이러스 등을 잡아낼 때 외산 무료백신인 아베스트나 안티 멀웨어 프로그램와 비교되기 때문이다.

메이플스토리와 네이트, 안철수연구소 때문에 뚫렸다? "아닌데…." 

지난 11월 하순 넥슨의 게임 ‘메이플스토리’가 해킹을 당해 1,320만 명의 개인정보가 유출됐다. 넥슨 측은 ‘메이플스토리 사용자들에게 ID와 비밀번호를 변경하도록 캠페인을 했다’며 수습에 나섰지만 사용자들의 분노는 컸다.

지난 7월 하순에는 SK커뮤니케이션즈가 운영하는 포털 네이트의 개인정보가 해커에게 털렸다. 도난당한 것은 가입자 3,500만 명의 ID, 비밀번호, 이름, 주소, 연락처, 주민등록번호 등의 개인정보였다.

두 회사 모두 ‘안철수연구소’가 보안 관제를, 백신은 '시만텍'이 맡았다는 점이 알려졌다. '안철수연구소'가 맡은 보안 관제는 악성코드와는 관계가 없는 분야임에도 비난의 화살은 '국내업체'를 향했다. '안철수연구소'가 이런 '오해'를 받은 건 '무료백신'에 대한 IT보안업계와 개발자들의 비판이 워낙 거세기 때문이다.

일부 보안 전문가들은 ‘안철수연구소는 대규모 인원을 보유하고 있기에 공격이 발생한 뒤에 빠르게 대처하는 능력은 높다’고 전제하면서도 ‘해외에서의 공격, 새로운 해킹 유형에 대처하는 능력은 상대적으로 낮다’는 지적도 한다.

DDoS 공격, 개인정보 유출로 달라진 소비자들

이 같은 논란 속에 ‘무료백신’을 보는 소비자들의 태도도 서서히 달라지고 있었다. 보안 업계에 종사하는 블로거나 IT전문가들은 인터넷 커뮤니티 등에서 국산 무료백신의 문제점을 꾸준히 제기해 왔고, 이를 본 소비자들이 해외 무료백신으로 눈을 돌리기 시작한 것이다.

일부 소비자들은 해외에서 악성코드와 트로이목마 바이러스를 잘 잡아낸다고 평가받은 아베스트(Avast)나 멀웨어바이트의 안티 멀웨어(Anti-MAlware) 무료판을 설치해 자신의 컴퓨터, 개인정보 등을 보호하고 있다.

실제 아베스트나 안티 멀웨어 프로그램을 다운받아 설치해본 결과 '국산 무료백신'으로는 정밀검사를 해도 잡히지 않는 악성코드나 비활성 바이러스가 수십 건 이상 잡혔다.

실시간 방화벽도 우수했다. 언론사 홈페이지마다 붙어 있는 온갖 민망한 광고들은 사실 언론사가 올리는 게 아니라 ‘제휴마케팅 업체’라는 회사가 갖다 붙인 광고들이다. 문제는 이런 광고에 온갖 악성코드와 바이러스가 섞여 있다는 점이다. 국내 무료백신은 ‘제휴 마케팅’ 광고 속 악성코드에 아무런 반응을 하지 않았지만 아베스트, 안티 멀웨어 등은 이것도 잡아냈다.

물론 문제도 있다. 아베스트는 2009년 12월 델파이 언어로 개발된 프로그램을 트로이목마 바이러스로 오진(誤診), 삭제해 큰 논란을 일으켰다. 하지만 이런 오진은 왕왕 있다. 다른 국내 백신도 2008년 윈도우XP 서비스팩3의 업데이트 파일이 '가짜 백신'과 유사해 악성코드로 분류되면서 작동을 중단시킨 일이다.

하지만 현재 아베스트를 사용하는 사람이 세계적으로 1억 명을 넘는다는 점은 그만큼 신뢰할 수 있는 프로그램이라는 점을 보여준다. 멀웨어바이트도 각국 사용자와 전문가들로부터 호평을 얻고 있다.

IT 관계자들은 혹평하는 V3, 정부는 여전히 믿고 따라

물론 국산 무료백신는 간편한 설치와 성능 덕분에 사용자는 지금도 증가하고 있다. 특히 V3 lite의 경우 사용자가 1,100만 명에 이를 정도다.

하지만 IT업계 관계자나 '파워유저'들은 '국산 무료백신' 보다 '해외 무료백신'을 선호하기 시작했다. 2009년 3월 한 IT개발자가 올린 글이 퍼진 뒤에는 더더욱 그렇다.

y********라는 필명의 개발자는 ‘안철수연구소 홈페이지 같은 곳에서는 비밀번호를 바꾸지 않는 것이 좋다고 생각한다’는 글을 올렸다.

이 개발자는 안철수연구소에서 개인정보 변경 화면을 캡쳐해 올린 후 “현재 비밀번호를 입력하고, 새 비밀번호를 2번 입력하도록 되어 있다. 그리고 나서 ‘확인’을 누르면, 새 비밀번호는 고객의 컴퓨터를 나와서 온 세상 사람들이 모두 볼 수 있도록 평문(clear text) 형태로 네트워크로 내보내져 안철수 연구소 웹사이트로 전달된다”고 밝혔다.

그가 주장하는 근거는 바로 안철수연구소 해당 웹페이지의 소스 168행이다. 그는 “이 소스를 보면 method=”post” onsubmit=”return formAction(document.form1)”라는 부분이 있다.…그 내용은 비밀번호들이 모두 입력되었는지, 영문과 숫자만을 사용하였는지, 2번 입력한 새 비밀번호가 일치하는지만 검사하고, 이상이 없으면, 새 비밀번호 값을 그대로 웹서버에게 날려 보내도록 되어있다“고 설명했다.

이 개발자의 주장이 사실일 경우 간단한 ‘키로거 프로그램(Key Logger Program. PC사용자가 누른 키보드값을 그대로 전달해주는 프로그램)’만 있어도 안철수연구소 고객들의 개인정보를 얻을 수 있다는 말이 된다.

이 글은 인터넷을 통해 널리 퍼졌다. 물론 이 주장은 이미 '옛말'이 됐다. 안철수연구소 측은 "당사 홈페이지의 비밀번호 입력 및 변경 페이지들은 모두 SSL(Secure Sockets Layer)을 이용한 보안 소켓 통신으로 평문이 아닌 암호화되어 서버에 전달되고 있다. 또한 2011년 10월부터는 비밀번호 역시 영문+숫자+특수문자의 조합을 필수적으로 사용하도록 강화하고 있다. 2007년부터는 회원가입시 필요한 주민번호 또한 서버에 저장하지 않고 단순 실명인증용도로만 사용하는 방식을 채택하고 있다"고 해명했다.

'안철수연구소'의 이 같은 노력에도 불구하고 IT종사자나 일부 보안 관계자들은 '안철수연구소' 등 국내 대형 보안업체에 대한 비판을 거두지 않고 있다. 그 이유는 정부 부처와 대기업, 대형 금융기관들이 한 마디로 ‘안철수연구소만 믿고 간다’는 태도 때문이다.

국정원, 경찰청에서 운영하는 긴급대응팀(CERT)은 물론 정부부처와 산하기관들, 금융기관들은 DDoS 공격이나 대규모 해킹이 일어날 때마다 '안철수연구소와의 공조'를 ‘강조’한다.

IT 관계자들은 또 "정부는 정부 부처와 대기업, 금융기관에게 액티브X 기반의 보안 프로그램을 더 이상 사용하지 않도록 권고해야 한다. 'IT대기업'만 믿지 말고, 화이트 해커 등 다양한 형태의 보안기업을 키워야 한다"고 주장한다. 이 같은 주장에는 '안철수연구소'와 같은 보안업체도 찬성하는 분위기다. 

그럼에도 정부와 보안 관련 부처들은 '전례'를 들먹이며, 이들의 호소에 여전히 귀를 막고 있다.