[개요]
국내 인터넷 뱅킹이나 공공기관 웹사이트에서는 ActiveX 기반의 모듈이 구동되어야만 사이트 서비스를 이용할 수 있는 곳이 많이 있습니다. 이러한 ActiveX는 키로깅 방지, 방화벽(백신), 암호화 등 웹브라우저에서 기본적으로 제공되지 않는 기능을 구현하는데 사용되어 지고 있습니다. 이는 해킹 공격을 방어해 준다는 부분도 있지만, 반대로 부작용이 많은 것이 사실입니다. ActiveX의 남용은 다음과 같은 문제점들을 내포하고 있습니다.
- 웹 접근성 훼손 : 외국인 : “천송이 옷 사게 해 주세요”
- 사용자 동의 없는 무분별한 모듈의 중복 설치 : 난 다른 AV 쓰고 있다구... 버럭!!!
- 시스템의 불안정화 : 최소한 블루스크린은 뜨지 말게 해야지...
예제
- 금융결제원 http://ahnlabdownload.nefficient.co.kr/aos/plugin/aosmgr_common_.js
- 나이스 http://update.nprotect.net/netizenv55/gov/neisnew/fucktizen55_p.js
- 현대카드 https://supdate.nprotect.net/netizen/card/hyundaicard/81/fucktizen_multios_check.js
예제
- 농협 https://banking.nonghyup.com/service/js/so/ahnlab/aos/aosmgr_common_.js
- 국민은행 https://oimg1.kbstar.com/js/common/nprotect/op_netizen.js
예제
- 삼성카드 - 아래 빨간색 부분을 제거(주석을 달거나)를 해야 함
function s*a*d*o*i*(...) {// A*S*A*n*a* *n*i*e*S*c*r*t*)*...// g*A*s*a*g*t*n*o(...);...if(window.location.href.indexOf('menuId=NHPIMCSPCX') > -1) {if(a*s*i*_*e*()) {// a*s*r*p*r*n*o*l*();...} else {alert('PC 방화벽 프로그램이 설치되지 않았습니다. \n\n설치 후 이용해주시기 바랍니다.');}} else {...}}
분석한 20개 사이트에서 방화벽 ActiveX 모듈은 모두 제거 성공하였고, 키로깅 방지 ActiveX 모듈은 일부 제거를 성공하였습니다. 다만, PKI 인증과 같은 암호화 ActiveX 모듈은 제거를 하였을 때 서비스(로그인&이체 등)자체를 이용하지 못하기 때문에 우회가 어려운 것으로 파악되었습니다(사이트 주소 ABC순).
금융 및 공공기관명 | 사이트 주소 | 우회 가능한 모듈 |
BC카드 | bccard.com | nProtect Netizen v5.5, nProtect KeyCrypt V6.0 |
시티은행 | citibank.co.kr | AhnLab Online Security |
인터넷 우체국 | epost.go.kr | EasyKeytec (키보드 보안 프로그램) |
국세청 이세로 | esero.go.kr | nProtect KeyCrypt V6.0 |
하나은행 | hanabank.com | AhnLab Online Security |
현대카드 | hyundaicard.com | nProtect Netizen v5.5 |
IBK기업은행 | ibk.co.kr | nProtect Netizen v5.5 |
KB카드 | kbcard.com | nProtect Netizen v5.5, npEfdsWCtrl |
KB국민은행 | kbstar.com | nProtect Netizen v5.5 |
외환은행 | keb.co.kr | nProtect Netizen v5.5 |
금융결제원 | kftc.or.kr | AhnLab Online Security |
나이스 | neis.go.kr | nProtect Netizen v5.5, nProtect X-Guard |
NH농협 | nonghyup.com | AhnLab Online Security, SoftCamp Secure KeyStroke 4.0 |
IBK기업은행(오픈뱅킹) | open.ibk.co.kr | nProtect Netizen v5.5 |
특허청 특허로 | patent.go.kr | nProtect Netizen v5.5, nProtect KeyCrypt V6.0 |
삼성카드 | samsungcard.com | AhnLab Online Security |
신한은행 | shinhan.com | AhnLab Online Security, SoftCamp Secure KeyStroke 4.0 |
신한카드 | shinhancard.com | nProtect Netizen v5.5 |
스탠다드차타드은행 | standardchartered.co.kr | AhnLab Online Security |
우리은행 | wooribank.com | AhnLab Online Security |
[결론]
언론 보도가 나가고 나서 역시나 여기저기에서 다채로운 반응들이 오가네요.
예상했던 바이지만, 이런 반응이 돌아올 때마다 제가 성인군자가 아닌 이상 항상 실망감이 들 수 밖에 없네요. 반대로 긍정적으로 보건데 이게 모두 여러분의 관심이라 생각합니다. ^^ 오늘부로 공인인증서 의무사용이 폐지되었다는 보도가 나갔습니다. 조금씩 개선되어 가는 데 있어서 박수를 보내지만 아직은 아쉬움이 남습니다. 금융 사이트의 보안은 각 은행권에서 알아서 결정할 일이지, 정부에서 감놔라 배놔라 하는 식으로 일괄적으로 강제할 의무 사항은 아니라고 봅니다.
본 이슈와 관련하여 단 하나만 강조해 보고자 한다면 저는 이것을 "취약점"으로 보지 않는다는 것이며, 오히려 PC에 강제로 설치&운영해야 하는 보안 모듈에 대해 사용자들에게 최소한의 선택을 할 수 있도록 해 줘야 한다는 것입니다. 그러한 의미에서 본 글의 링크를 널리 알려 주셨으면 하는 바램입니다( http://www.gilgil.net/786816 ).
ps : 우선 며칠 전에 제작했던 동영상을 비공개에서 공개로 전환하였습니다. 프로그램( http://www.snoopspy.com/download ) 및 각 사이트별 ActiveX 우회 방법에 대한 자료는 현재 공개 상태가 아님을 양해바랍니다.
[페이스북 그룹]
https://www.facebook.com/groups/noactivex/
[기사]
[단독] 주요 금융·공공 액티브X 보안모듈 무력화 가능해...파장 예고
국내외 유명 해커들의 실전 강연...POC 트레이닝 코스 오픈