구라제거기 개발자 "한국 보안 시장 많이 왜곡"

정부 국정과제인 노플러그인 정책이 추진되기 한참 전부터 액티브X 플러그인을 걷어내는 프로그램으로 사람들의 마음을 사로잡은 개발자가 있다.

그는 온라인에서 블루앤라이브(BLUEnLIVE)라는 가명으로 활동한다. 사람들에게는 ‘구라제거기’ 개발자로 더 유명하다. 이름에서 장난스러움이 느껴지는 구라제거기 프로그램은 입소문만으로 블루앤라이브를 온라인 유명인으로 만들어줬다.

지금도 왕성히 개발 활동을 하고 있는 그를 지디넷코리아가 주요 미디어로는 처음으로 대면 인터뷰를 했다. 그의 요구대로 인터뷰는 익명으로 진행했다.

=구라제거기는 어떤 프로그램인가.

“인터넷 뱅킹을 이용하다 보면 여러 보안 프로그램이 깔리는데 그러다 보면 컴퓨터 속도가 매우 느려진다. 키보드 보안 프로그램도 그 중 하나다. 구라제거기는 컴퓨터에 설치된 프로그램들 중에 제거해야 될 프로그램들을 쭉 모아 목록을 띄워줘, 사용자가 한번에 쉽게 제거할 수 있도록 도와준다.”

=키보드 보안 프로그램을 삭제해도 보안이 유지가 되는건가.

“키보드 보안 프로그램이 퍼지기 시작한 건 십여년전 인터넷 뱅킹을 하던 도중 키보드 후킹을 통해 정보를 빼내가는 사고가 발생한 때부터다. 근본적으로 키보드 보안 프로그램과 보안은 아무 상관이 없다. 인터넷 뱅킹을 할 땐 어쩔 수 없이 실행할 뿐이다.

키보드 후킹이 될 걸 걱정해서 (키보드 보안 프로그램을) 설치한다는 건 그냥 평상시 개인이 컴퓨터 관리를 못한 거다. 그런 위험은 평소에 관리를 잘 해야 된다. 윈도7부터 마이크로소프트가 시큐리티에센셜이라는 백신을 그냥 배포해 왔고, 윈도10에는 윈도디펜더라는 내장 백신이 있다.

(이런 것 쓰면서) 윈도업데이트만 잘 해도 된다. 이런 업데이트를 하지 않으면 시스템 보안취약점을 악용해 침입할 수 있는 게 많다. 그런 건 패치해 막을 수밖에 없다.”

=이름은 왜 구라제거기인가.

“키보드 보안 프로그램만이 아니고 인터넷 뱅킹 과정에 깔리는 건 전부 보안 프로그램이 아니다. 구라다. 이런 의미에서 ‘구라제거기’라고 지었다. ‘구라제거기’의 영어 이름은 ‘hoax eliminator’다.

처음부터 ‘구라제거기’라는 이름을 쓴 건 아니다. 처음에는 내가 블로그에 ‘키보드 보안 프로그램을 제거시켜주는 프로그램 공개’라고 썼더라. 그렇게 쓰니 처음에는 사람들이 아무도 안 보더라. 구라제거기라는 이름을 쓰기 시작한 후로, 조금 더 프로그램이 퍼진 건 있는 것 같다.

반대로 구라제거기 이름이 장난 같아서 가짜인줄 알았다는 말도 들었다. 사실 성의있게 지은 이름은 아니다. 하지만 이제 와서 새로 짓기도 그렇지 않나.”

=처음 만들었을 때 지금처럼 반응이 좋을 줄 알았나.

“전혀 몰랐다. 항상 제 프로그램을 써주시는 분들한테 감사하게 생각한다. 피드백도 잘 해주신다.”

=구라제거기를 개발하고 배포한 동기는.

“프로그램을 만들 때는 원칙이 있다. 하나의 프로그램이 실행될 때, 옆에 실행되는 프로그램을 절대 간섭해서는 안된다. 모든 프로그램이 막혀서 개별적으로 돌아가야 한다. 그런데 액티브X는 그게 안 된다. 여러 액티브X 보안 프로그램이 동시에 돌아가면 모든 자원이 충돌해 서로를 감시하게 되면서 컴퓨터가 느려진다.

내가 집에서 쓰는 PC가 그런 일반 사람들 PC와 상황이 똑같았다. 내가 답답해서 짠 거다. (충돌을 피하려면 액티브X 프로그램을 지워야 하기때문에) 애들한테도 매번 뭘 지워야 하는지 설명을 해 준다. 매번 하긴 힘들어서 그냥 내가 자동으로 지워 주는 프로그램을 만들었다. 마치 목마른 사람이 우물을 파듯이.

‘구라제거기’말고도 블로그에 올린 다른 프로그램도 다 똑같다. 어떤 목적을 갖고 만든건 하나도 없다. 만들어 놓고 나니 이 정도면 쓸만하다고 느껴 남들도 썼으면 좋겠어서 올린거다.”

=만드는데 어려운 점은 없었나.

“직업이 프로그램 개발하는 사람이니까 힘든 건 없었다. 언어프로그램은 MS에서 무료로 공개하는 비주얼C를 사용했다.”

=정부는 2022년까지 공공기관 웹사이트 플러그인 제거를 주요 정책으로 내걸고 있다. 만족하나.

“정부가 가야 할 방향을 정확히 알고 있기 때문에 희망을 갖고 보고 있다. 하지만 그 다음은 의지의 싸움이다. 혹시 실패를 하더라도 그건 정부를 탓할 문제는 아니라고 본다. 정책이 아쉬울 순 있겠지만, 그렇다고 방향도 맞고 노력도 했는데 실패했다고 비난하는건 너무 무책임한 것 같다. 정부 정책에 많이 따라줬으면 좋겠다.

지난 번 공약 때도 가장 환호했던 게 액티브X폐지다. 지금 없애는 방향으로 가고 있긴 한데, 거기에도 수많은 적폐가 있으니 쉽진 않을거다. 쉽게 못 없애는 이유도 이미 그걸 가지고 보안 프로그램을 납품하는 기업들이 있기 때문이다. 그저 잘 되기를 바랄 뿐이다.”

=다른 나라도 우리처럼 컴퓨터에 이것저것 설치하게 유도하나.

“독일을 가봤는데, 이렇게 돌아가는 것은 아무것도 없다. 우리나라는 회사에서 출장용 PC를 줄 때, 사용자가 관리자 권한을 다 가지고 있다. 독일은 권한을 하나도 주지 않는다. 내 사용자 계정 하나로는 프로그램 설치도 안 되고 아무것도 못 쓴다.

하지만 그런 환경에서도 뱅킹은 다 된다. 왜냐면 사이트에 들어가서 아무것도 안 했기 때문이다. 아이디와 패스워드를 입력해 처리하고, 필요한 게 있으면 프린트를 해서 QR코드를 찍어서 이용한다. 추가로 프로그램을 깔 필요가 없다. 그게 맞다고 생각한다.

우리나라는 시스템 자체가 잘못됐다. 개발자는 몇 명 없는데 모두에게 개발자 수준으로 PC 제어 권한을 준다. 그래서 다 사람들이 뭔가 설치하겠냐고 묻는 창이 뜨면 모두 ‘YES’ 버튼을 눌러버린다. 컴퓨터를 잘 모르는 일반인들은 아무것도 한 것이 없는데 PC가 이렇게 됐다는 말이 나오는 거다. 결정을 할 수 없는 사람, 잘 모르는 사람이라면 그런 걸 결정할 권한을 안 주는게 맞다.”

=올해 안에 공인인증서도 폐지될 예정이다. 이에 대해서는 어떻게 생각하나.

“공인의 개념은 거래과정에 제3자가 있어야 한다. 제3자인 공인기관이 거래당사자를 인증해주는 게 원래 개념이다.

나와 은행이 통신하는데 각자 이용자고 은행이라고 주장만 하면 서로 믿을 수 있겠나. 그래서 제3기관이 필요하다. 인증서를 제3기관에 보관하고 접속했을 때 이 사이트가 내가 접속할 사이트 맞다, 방문자가 뱅킹 이용자 맞다, 이렇게 해주는 거다. 이 방식으로는 커버로스(Kerberos)가 제일 유명하다. 이 기술로 쓰는 인증서는 파이어폭스나 크롬 웹브라우저에 설치하고 관리하는 저장소가 존재한다.

우리가 쓰는 공인인증서는 이런 식으로 관리하지 않는다. 인증서를 PC에 보관하게 준다. 그걸로 전자서명까진 괜찮은데 신분증 역할까지 하게 돼 있다. (기능이) 너무 강력한데 복사까지 되니 문제가 너무 많다. 폐지되는 게 맞다.”

=한국 보안시장에 대해 어떻게 생각하는가.

“한국 보안시장이 많이 비틀려 있다고 생각한다. 사실 아마추어 프로그램인 구라제거기가 인기있다는 얘기 자체가 이상하지 않나. 프로그램에는 현재보다 더 나아지려고 만드는 프로그램이 있고, 뒤처진 걸 끌어오기 위한 프로그램이 있다. 전자가 아니라 후자, 나쁜걸 정상화하는 프로그램이 인기 있다는 것은 한국 보안 시장이 많이 비틀려 있다는 얘기다.”