키보드 보안 때문에 열받은 하루

집에 와서 내가 제일 먼저 한 일은, KSA의 유산으로 남아 있던 농협 계좌를 해지하고 하이투자증권 CMA 계좌를 만들었다. 아 2005년에 농협 계좌를 만들면서 인터넷 뱅킹을 신청하고 무려 보안 카드까지 하나 만든 건 있는데, 예나 지금이나 플러그인 범벅인 건 마찬가지고 당시에는 내가 어디 돈 쓸 일도 없었기 때문에 방치되다시피 했다. 게다가 카이스트로 오면서 근처에 농협중앙회 지점이 없어서 쓸 일도 사라졌다.

집에서 그렇게까지 멀지 않은 곳에 하이투자증권 지점이 있었고, 엄마가 그쪽에 펀드를 투자해서 어쩌다 보니 CMA도 같이 개설했다. 카이스트에 지천인 우리은행 ATM을 통해서 인출해도 별도의 수수료가 붙지 않는다는 게 큰 장점이다. 문제는 대전에는 하이투자증권 지점이 없어서 좋든 싫든 인터넷 뱅킹을 신청해야 하는데, 처음에는 많이 걱정했다. 노트북 GPU를 윈도가 태워먹은 이후, 난 윈도를 노트북에 깔아 둔 가상 머신 안에서만 쓴다. 일부 ActiveX 컨트롤은 가상 머신이라고 츤츤대는 개새끼 같은 행동*을 하기 때문에 인터넷 뱅킹을 신청하면서도 ‘얘가 가상머신이라고 츤츤대지 않을까’ 많이 걱정되었다.

보안카드를 받고, 공인 인증서를 또 다시 만들고, 다시 가상 머신을 ActiveX 범벅으로 만들어서 접속은 성공했다. 하이투자증권은 그래도 개념이 있는 회사인지, ActiveX 두 개(하나는 XecureWeb, 다른 하나는 공인인증서 관리 플러그인)만 깔아도 로그인 페이지를 무사히 띄워 주었고, 실제 로그인도 잘 된다. 아래는 로그인 페이지이다. 모든 정보가 다 보이지 않도록 암호로 처리한 게 인상적이다. 이 상황에서 비밀번호들을 다 채우고 로그인을 누르면, 잠시 공인인증서를 읽는 화면이 나오고 로그인된다.

하이투자증권 로그인 화면

하이투자증권 로그인 화면

자 이제 이 페이지에서 사용하는 플러그인을 보자. 키보드 보안 플러그인 및 개인 방화벽도 깔아 보라고 창은 띄우지만, 실제 설치하지 않아도 문제 없이 진행되었다. 어차피 이건 가상머신 안이고, 호스트는 리눅스기 때문이다. 아래는 IE의 현재 사용 중인 ActiveX 플러그인 목록이다. K-Defence는 우체국 때문에 억지로 깔았지만, 실제로 꺼 놔도 아무 상관 없다.

윗 화면에서 사용하는 ActiveX 컨트롤 목록

윗 화면에서 사용하는 ActiveX 컨트롤 목록

물론 ‘증권사 CMA’다 보니까, 전용 HTS 클라이언트를 설치하면 인터넷 뱅킹보다 더 많은 기능을 제공하기 때문에 결국 HTS도 가상 머신 안에 깔았다. 하이투자증권 HTS 역시 별다른 프로그램을 덤으로 같이 안 깔아도 잘만 실행되었다.

그런데 하이투자증권만 인터넷뱅킹을 신청해 두면 뭐 하는가. 막상 학교에서 돈이 들어오는 계좌는 우체국이기 때문에 우체국 쪽도 신청해 두지 않으면 이율 좋은 CMA 계좌로 돈을 못 옮긴다. 일일이 인간 이체(인출 후 입금)를 하기 귀찮기 때문에, 오늘 우체국에 가서 인터넷 뱅킹을 신청하였다. 우체국 인터넷 뱅킹 메인 페이지를 보려는데, 왜 이런 페이지가 뜨지?

우체국 인터넷 뱅킹이 왜 안되냐?

우체국 인터넷 뱅킹이 왜 안되냐? K-Defense를 깔라고 지랄한다.

나 키보드 보안 깔고 싶지 않다. 얘는 ‘리눅스에서 사용자 권한으로 돌아가는 하이퍼바이저 안에 갇혀 있는 윈도’라서, 하이퍼바이저를 뚫지 않는 한 키보드가 점령당할 일도 없는데다가, 지금 이 키보드는 USB로 연결되어 있다. 그리고 키보드 보안 프로그램 설치는 법적으로 강제할 수 없다. 여기 링크된 페이지에 있는 pdf 파일에 그 이유가 다 나와 있어서, 내용 증명을 보낼 생각이다.

어떻게 저 페이지를 넘어갈 수 있을까 소스 코드를 봤는데, 아주 악질적인 체크를 서버 단에서 하는 것 같아서 저 컨트롤을 깔지 않으면 안 된다. 혹시나 해서 사용 중인 컨트롤을 봤더니, 아까 이야기한 하이투자증권보다 또 하나를 더 깐다.

윗 페이지에서 사용하는 ActiveX 컨트롤

윗 페이지에서 사용하는 ActiveX 컨트롤

EwsLoader는 전자서명 플러그인으로 철도 승차권 예약하는 데도 사용하기 때문에 이 놈은 깔려 있을지도 모른다. MeadCo 컨트롤은 뭔가 인쇄하는 데 쓰는 플러그인 같은데, 얘가 없으면 때때로 이상한 작동을 한다. 아직 저 페이지를 벗어나지 않아서, 공인인증서 플러그인은 불러와지지도 않았다. 저기 저 위에 Kdefense를 켜지 않으면 저 페이지를 영원히 벗어날 수 없다. 별 수 없이, 우체국 인터넷 뱅킹은 학자금 카드로 들어온 돈을 빼는 데만 쓰라는 신의 계시로 받아들이자. 우체국에 깔아 둔 리눅스 PC에서도 접속할 수 없는 인터넷뱅킹, 과연 누가 쓰시겠습니까?

아무튼 우리은행도 인터넷 뱅킹을 신청할지도 모른다. 학생증 계좌와도 연결되어 있기 때문이다. 과연 이번에는 얼마나 더 악랄한 ActiveX 컨트롤을 깔아댈지, 지켜보겠다.

*: 하이퍼바이저는 게스트 운영 체제의 메모리를 들여다볼 수 있는 데도 유용하게 사용되며, 일부 백신 회사들은 하이퍼바이저를 통해 바이러스를 분석한다고 알고 있다. 그러나 실제 사용자들이 하이퍼바이저를 어떻게 쓰는지 조금만 더 조사해 보면, ‘가상 PC는 지원하지 않습니다’라는 미친 메시지는 사라져야 마땅하다.

1 thought on “키보드 보안 때문에 열받은 하루

  1. Pingback: peremen's me2DAY

Comments are closed.