보안 플러그인

1. 개요2. 용도3. 대안4. 상세5. 용어6. 종류7. 문제점

7.1. 의심스러운 보안효과7.2. 해킹 위험7.3. 호환성 문제7.4. 개인정보 문제7.5. 편의성 문제7.6. 금융기관의 보안책임 회피 문제7.7. 노트북 절전 방해 문제

8. 관련 문서9. 기타

1. 개요

보안 플러그인은 금융이나 온라인 게임에서 서비스의 보안을 유지하기 위해 사용자의 컴퓨터에 설치하는 플러그인을 뜻한다. PC에서 공동인증서를 사용해본 유저들이라면 정말 치를 떠는 프로그램으로 보안을 위해서라지만 정작 PC 프로그램들과 충돌을 일으키거나 오류를 일으키면서 정말로 보안용 프로그램이 맞는지 의구심을 불러일으킨다. 심지어는 보안프로그램 설치를 위해 보안 수준을 낮춰달라는 황당한 요구까지 하면서 주목적인 금융업무나 게임을 하고 있지 않은데도 상시로 PC의 CPU코어나 메모리를 점유하기까지 한다.[1]

ActiveX나 NPAPI 방식의 경우 지원하는 브라우저가 줄어들어 거의 사용되지 않는다.

윈도우는 모바일 운영체제와는 다르게 시스템 접근이 허용되어 있기 때문에 보안 프로그램들이 시스템이 접근하다가 충돌하여 블루스크린이 뜨거나 개인정보를 침해하는 경우도 있다. 그나마 마이크로소프트에서 보안 프로그램 같이 커널 권한으로 실행되는 프로그램에 전자서명을 의무화 시키긴 했다. 안드로이드나 iOS에는 보안 프로그램이 없거나 있어도 매우 제한적인 기능만을 한다. 안드로이드나 iOS는 커널 권한은 커녕 관리자 권한조차 막혀 있어 루팅이나 탈옥 없이는 윈도우처럼 많은 기능을 제공하기가 불가능하기 때문이다.

macOS의 경우에는 루트리스에 의해 커널 권한은 막혀 있으나 관리자 권한은 허용된다.

2. 용도

보안 프로그램에 대한 여론은 매우 좋지 않으며, 쓸모없는 구식 기술이라는 의견이 절대다수이다. 하지만 실제로 온라인 뱅킹 서비스에서 보안 프로그램은 웹 표준 기술로는 대체가 불가능하다. 2010년대에 한창 웹 표준이니 HTML5니 시끄러웠기 때문에 많은 사람들이 보안 플러그인도 웹 표준 기술로 구현할 수 있지 않겠냐는 의견이 있지만, 사실 현행 웹 표준은 동영상과 오디오 파일에 대한 CDM을 제외하면 어떠한 보안 기능도 제공하고 있지 않다. HTTPS(TLS)를 사용하면 안전하다는 주장을 하기도 하지만 HTTPS는 통신 중 해킹을 예방하는 기술이고, 통신 과정이 아닌 컴퓨터 내부에서 일어나는 메모리 해킹이나 키로그 등을 방지할수는 없다. 공동인증서 같은 각종 인증서 또한 기술적으로 TLS로는 대체가 불가능하다. 지금이야 국내 웹 환경으로 금융활동하는 것도 많이 간소화돼서 이런 소리가 나오는 것이지 2010년대 초반까지는 정말 불필요한 부분까지도 요구했었다.[2]

주로 해킹과 키로그를 막기 위해 쓰인다. 키로그는 비밀번호 등을 빼돌리기 위해 키보드 입력을 해커에게 전송하는 악성코드이다. 해킹은 브라우저에 고의로 오류를 일으켜 보안카드 번호를 계속 입력하게 유도하거나 보안카드 번호를 빼돌리거나 가짜 사이트에 접속되도록 유도하거나 송금 계좌 번호 등을 변조해서 해커에게 돈이 송금되도록 유도하는 것이다.

안티치트와 유사하게 작동한다. 웹 브라우저의 메모리가 변조되면 사용자에게 이를 알리고 악의적인 접근을 차단하는 방식이다. 브라우저 자체에는 이를 막는 보안 기능이 없음으로 외부 프로그램을 설치해서 해결하려고 한 것. 샌드박스로 격리하는 프로그램

3. 대안

온라인 뱅킹 서비스에서 보안 프로그램의 역할을 하는 장치는 필요하며, 웹 표준으로 그것을 대체할수도 없다. 하지만 보안 프로그램의 수준낮은 성능과 최적화로 인해 실제로 효과가 있는지도 의문인 부분이 많으며, 사용자들의 피로도는 상당히 높은 수준이다. 실제로 보안 프로그램의 취약점을 통해 해킹이 이루어지기도 했다. 따라서 보안 프로그램의 기능을 대체할 확실한 다른 보안장치를 도입하고 보안 프로그램을 제거하는 것이 가장 이상적이다.

보안 프로그램을 대체할 수 있는 확실한 보안수단 중 하나로는 거래연동 OTP가 있다. 현재 한국의 금융기관에서 개인에게 발급하고 있는 OTP는 전부 시간기반 OTP이다. OTP에 내장된 시계를 이용한 시간 정보만을 토대로 인증코드를 생성하는 방식인 시간기반 OTP는 2단계 인증의 기능은 철저히 할 수 있지만, 계좌번호, 거래금액 같은 거래 정보의 진위를 파악하는 기능은 없다. 거래연동 OTP는 시간정보 뿐만 아니라 거래정보까지 같이 이용하여 인증코드를 생성하기 때문에 거래정보까지 추가로 검증할 수 있어 시간기반 OTP에 비해 보안도가 훨씬 높고 메모리 해킹을 원천적으로 방지할 수 있다. 거래연동 OTP는 인터넷망과 분리된 매체이기에 보안 프로그램보다 훨씬 보안능력이 뛰어나다.

구글이 자체적인 웹 무결성 검증 API를 개발하고 있다는 소식이 있다. 당연히 개발자들은 반발하고 있다. 특정 진영에서는 광고차단 스크립트를 무력화하기 위한 의도 아니냐는 의견까지도 나오는 중.

4. 상세

ActiveX를 퇴출하겠다면서 보안 응용프로그램을 직접 다운받아 설치하는 방식으로 대체하겠다며 엄청난 뒤통수를 선사했다. 국민들은 사이트를 이용하기 위해 무언가를 내려받아 설치해야 한다는 점 그 자체에 짜증을 느끼고 있었는데, 그저 문자 그대로 ActiveX만이 퇴출될 뿐 기존의 불편한 웹 환경은 그대로 유지시키겠다는 것. 특히 ActiveX는 최소한 익스플로러에서 인증서 체크라도 하는데, 응용 프로그램을 직접 다운받아 설치하면 그런 것도 없다. 보안 측면에선 더 위험하다. 이건 SSL 프로토콜만으론 보안이 완벽하게 이루어지지 않는다는 업계들의 요청을 받아들인 조치이다.[3]

이 때문에 여론의 반발이 매우 커지자, 금융당국에서는 EXE 파일을 강제 설치가 아닌 선택 설치할 수 있도록 입장을 바꿨다. # 그러나 안전성에 대해서는 여전히 의문이 제기되고 있는 상황이다. 또한 exe를 깔지 않으면 사용자가 보안에 책임을 져야 한다는 것도 충분히 문제인데, exe는 윈도에서만 돌아가는 포맷이다. 즉 유닉스 계열(리눅스, OS X, BSD 등) 유저들은 사용할 수 없다. exe 파일의 보안성을 논외로 치더라도(이부분에서 이미 글러먹었다), 이미 정책의 대상에서 윈도 밖의 OS를 쓰는 유저들은 철저하게 외면당하고 있다는게 문제이다. ActiveX가 까이는 점은 단순히 '불편하다'의 문제 밖에도, 엿바꿔먹은 멀티 플랫폼 문제도 있다. 그런데 ActiveX를 대체하는게 어찌 꼭 윈도 전용 포맷인 exe인 상황이니...

사실 위의 글을 유심히 보면 ActiveX 플러그인을 object나 embed 태그 사이에 끼워넣어 설치하던 방식에서 사용자가 직접 설치하는 방식으로 바꾸었을 뿐 ActiveX는 전혀 퇴출되지 않았다는 것을 알 수 있다. 설치 프로그램 포맷이 오브젝트 임베디드든 EXE파일이든 플러그인 작동 기반이 ActiveX인 것은 바뀌지 않은 것이다. 여기에, Active X를 사용하지 않고 실행하려다보니 컴퓨터를 켤 때마다 꼬박꼬박 실행돼서 리소스를 잡아먹는다. 백그라운드에서 상주하며 인터넷 트래픽을 체크하다가 특정 웹 사이트에 접근하는 것을 포착하면 활성화되는 방법이라, 항상 실행되어 있어야 하기 때문이다. 실제로 Wizvera(Veraport) 보안 프로그램이 메모리를 100Mb 넘게 점유해 성능 문제가 발생한 경우도 존재하고, nProtect 때문에 Windows 8.1에서 프리징이 걸리는 등 여러 문제가 발생하고 있다. 윈도우 10도 예외는 아니다.

근데 2016년 1월부터 스마트폰 지문인식으로 바뀐다는 기사가 떴다!

아직도 정신을 못 차리고 한 술 더 떠서 2015년 중하반기부터는 모든 기업체들이 담합(!), Chrome 브라우저의 경우 TouchEn PC보안 확장이라는 확장 프로그램을 exe 파일과 함께 설치해야만 i-PIN 인증과 모바일 인증을 진행할 수 있도록 해 한국권 인터넷 사용자들에게 더 큰 빅엿을 선사해 주었다. 게다가 위 이미지의 게시자 정보를 보면 알겠지만 이젠 대놓고 구글을 사칭했었었다. 당연히 평균 별점은 1점이며 리뷰는 불만을 토로하는 유저들로 가득하다. IT 강국 드립은 더 이상 그만 치라며 헬조선 드립까지 나오기도. 부가 설치 프로그램을 없앤다면서 정작 더 만들어내고 있는 희한한 상황. 한번 직접 보자.

위 모듈 중 특히 키보드보안 모듈의 경우 USB HID 드라이버를 엉망으로 구현해 둔 문제로 인해 USB 환경에서 무한 동시입력을 구현하는데 사용되는 HID Report 표준을 지원하지 않아 입력에 문제가 생기는 이슈가 있다. 기본적으로 무한키 지원 키보드와 궁합이 별로 좋지 않은 편이다.

2017년에는 한국형 블랙 프라이데이를 노린다며 만든 코리아 세일 페스타에 사용하기 위해 정부가 추진하던 VR 쇼핑몰이 어처구니없는 형태로 ActiveX 때문에 좌초됐다. 사이트와 앱을 만들고 입점한 업체의 제공 상품들을 VR로 보여준 뒤 결제시키기만 하면 되는, 기술적으로 전혀 문제가 될 것이 없는 기획이었지만 순전히 결제 때 결제용 플러그인 윈도우가 반드시 뜨는 것을 어떻게 하지 못하고 결국 장바구니 도우미 사이트로 시늉만 하는 결과를 내게 됐다. 어떤 식으로든 화면 뒤에서 자동화를 할 수 있었다면 결제가 가능했겠지만 그걸 막자고 시스템의 모든 권한을 때려박은게 이 플러그인들이니 어쩔 도리가 없다.

이런 짓을 벌이고도 정부 관계자는 “올해 VR 쇼핑몰은 테스트 단계로서 국민과 전 세계에 VR 쇼핑몰의 가능성을 선보이는 데 의의가 있다”고 자랑스런 표정으로 미소를 머금고 주장했다.

모바일 기기까지 등장한 마당에 타 OS를 절대로 지원하지 못하는 막장의 범용성,[4] 그리고 반드시 내려받도록 잘못 만들어서 보안성을 해친 것, 심지어 멋대로 시스템에 접근할 수 있기에 자칫하다가는 웹을 거쳐 컴퓨터를 좀비 PC로 만들 수 있는 등 기술 진보로 편리해져야 할 온라인 생활을 아직도 20세기 수준에 묶어 두는, 그야말로 대한민국 IT 역사의 수레바퀴를 거꾸로 돌리는 악성 종자라 할 수 있다.

즉, 제아무리 ActiveX를 특정 상황의 퍼포먼스가 좋다고 실드 쳐봐야 GUI는 전부 가져다 버리고 80년대 CLI를 써야 한다는 수준의 개소리일 뿐이며, 스스로 퇴물로 인정하는 것이다. 오죽하면 MS마저도 이딴 거 쓰지 말라고 버렸겠는가?

그러나 대한민국에서는 생활에 필수적인 사이트[5]에까지 이곳저곳에 액티브X가 남용되고 있어서 Windows Vista나 Windows 7을 쓰는 사용자들로 하여금 현기증이 절로 나게 한다. 설상가상으로 국내판 구글 어스랍시고 나온 브이월드조차 액티브X 아래에서 실행된다. 즉, 대한민국의 기업과 정부 기관을 까자.

MS도 ActiveX가 보안부분에 취약한 것임을 알고 이를 대체하기 위해 노력하고 있다. 대표적으로 MS 리서치에서 개발하는 XAX가 있다. 보안부분은 샌드박스로 보호하고 레거시 코드 동작이나 운영체제에 가리지 않는 차세대 플러그인 기술이다. XAX 설명

그러나 XAX는 인터넷 익스플로러에서는 결국 채용되지 않았고 그 이후의 마이크로소프트 엣지에서도 본격적으로 적용되지는 않고 있는데, 엣지가 IE의 고유 프로그램 코드를 죄다 갈아엎은 데다 결정적으로 Win32 프로그램이 아닌 메트로 앱으로만 나왔기 때문에 웹표준과 관련된 몇 가지 제한된 플러그인 말고는 들어가지 않았기 때문이다. 그나마도 크로뮴 프로젝트 기반으로 선회하면서 결국 흐지부지되었다.

XAX와 연관된 프로젝트로 Drawbridge가 있다. 이것은 가상화를 지원한다. drawbridge 설명 관련기사

MMORPG 온라인 게임 마비노기의 공지사항 중.

하지만, 2015년 8월 이후로 윈도우 10이 공식적으로 출시되고 국내에서도 웹 표준화의 중요성이 부각되자 슬슬 국내 게임업계에서도 두팔을 걷어올리고 액티브X 퇴출을 시작하고 있다. 불필요한 퍼포먼스를 없애고 홈페이지를 간소화하는 등의 움직임을 통해 아직은 미온적이지만 이를 보안하기 위하는 움직임은 일어났다.

그리고 드디어 ActiveX가 전혀 없는 인터넷 뱅킹이 나왔다! 국민은행은 플러그인 설치가 전혀 없는 HTML5 형식의 인터넷 뱅킹을 2015년 9월에 내놓았다. OTP 사용자만 할 수 있다. 보안 레벨이 OTP가 더 높아서일 듯. 공인인증서는 웹 브라우저 자체의 기능으로 활용하는 것 같다. 사실 공인인증서 기술 자체가 브라우저에 내장된 지는 오래되었는데 타성으로 ActiveX만 써댄 것이 문제다.[6]

ActiveX는 사실 오픈 소스이다. 출시한 지 얼마 지나지 않아 소스를 공개했다고 하는데, 사실 소스 공개는 전혀 의미가 없다. ActiveX는 OLE와 COM으로 구성된 일종의 인터페이스고 소스 공개 없어도 컨트롤과 호스트 둘 다 구현 가능하기 때문이다. 소스 공개가 되었다고 ActiveX의 수명이 연장된다는 것은 전혀 아니라는 얘기.

문재인 정부는 공인인증서 폐지와 함께 2020년까지 ActiveX를 없애는 노 플러그인 정책을 관철하겠다고 밝혔다. 2019년 1월 15일부터 국세청 연말정산 페이지 시작으로 플러그인 제거가 시작되어 2019년 8월 15개 기관 22개 사이트에 대한 플러그인도 완전히 사라졌다. # 불가피하게 대체할 수 없는 보안 플러그인은 선택 사항으로 남겨졌다.

5. 용어

설치형(Plugin)
그 악명높은 Active X가 여기에 해당된다. 물론 EXE 등도 포함.
비설치형(No-Plugin)
말 그대로 설치가 필요없는 플러그인을 말한다. 편의를 위해서 선택적으로 추가적인 플러그인을 설치할 수 있는 혼합형도 여기에 해당된다. 보안 프로그램이 없는 사이트를 말하기도 한다.
분리형
PC에는 아무것도 설치할 필요가 없지만 모바일 앱을 통해 인증하는 것들을 말한다. 뱅크사인이 대표적이다.

6. 종류

한컴위드

AnySign - 공인인증을 담당한다. 기본적으로는 설치형이지만 비설치형인 Lite도 있다.
Xecure 시리즈

잉카인터넷

nProtect Online Security - 통합 보안을 담당한다. 설치형.

안랩

AhnLab Safe Transaction - 통합 보안을 담당한다. 설치형.

위즈베라

WizIN-Delfino - 공인인증을 담당한다. G3 이하는 설치형이고 G4부터는 비설치형.
VeraPort - 설치형 플러그인을 자동으로 설치해준다. 당연히 설치형. 2020년 11월에 북한과 연관된 해커 조직에서 본 프로그램을 이용해 해킹을 시도했다는 정황이 드러났다. #

이니텍

INISAFE CrossWeb EX - 공인인증을 담당한다. V2 이하는 설치형이고 V3부터는 비설치형.

2023년 3월 30일 국정원과 KISA에서 INISAFE CrossWeb EX V3 3.3.2.40 이하 버전에서 가지고 있는 보안 취약점을 통해 북한의 해커 단체가 수백대의 컴퓨터를 해킹하여 프로그램 제거를 권장하고 있다.

TouchEn 시리즈 - RaonSecure
한국 공공기관과 금융기관에서 설치를 강제하는 nProtect의 뒤를 이은 최악의 프로그램. 설치 후에 PC가 다운되는 현상이 자주 발생했다. 지금은 패치를 통해 버그를 수정했다고는 하지만 완벽하게 잡히지는 않은 듯하다. TouchEn의 블루스크린 이슈관련 공지 설상가상으로 이걸 설치하면 평소에도 종료되지 않고 CPU에 상주하면서 쓸데없이 코어 점유율을 야금야금 가져간다. 심지어 프로세스에서도 종료되지 않으며 강제종료를 시도하면 오히려 CPU 점유율을 높이는 기막힌 현상이 생긴다. 엔프로텍트처럼 코어 한개를 100% 가져가는 경우도 다반사. CPU를 많이 사용하는 작업이나 고사양 게임을 돌릴 때 당연히 심각한 방해가 되므로 삭제하는 것이 정신건강에 이롭다.

Google

SafetyNet - 안드로이드 기기의 루팅을 감지한다. 따로 설치하는 것은 아니고 안드로이드 기기에 내장되어 있다. 루팅 후 게임이나 금융앱이 차단되는 경우 대부분 여기에서 막히는 것.
웹 환경 무결성

MagicLine 시리즈 - DreamSecurity

XPlatform, MiPlatform - TOBESoft

Issac 시리즈 - Penta Security

SecureKeyStroke - SoftCamp

이 외 각종 DRM - Fasoo, MarkAny

7. 문제점

7.1. 의심스러운 보안효과

보안 플러그인은 안티 바이러스와 완전히 동일한 방식으로, 백그라운드에 상주하면서 프로그램 코드의 무결성을 검증하고, 악성 소프트웨어들이 메모리에 접근하는 것을 탐지 및 차단하는 기능을 한다. 이런 방식 자체는 세계적으로도 PC에서 이루어지는 온라인 서비스에서 널리 이용되고 있다. 온라인 게임의 안티치트나 전자책이나 OTT, PC 게임에 적용된 DRM은 국내 금융기관의 보안 플러그인과 사실상 동일한 방식이다.

하지만 이런 방식은 모두 온라인 게임이나 DRM 같이 비교적 민감하지 않은 정보를 다루는 서비스에서나 사용하고 있다. 온라인 게임의 안티치트는 몇몇 대중적인 핵을 적발해낼수만 있으면 그만이며, 그마저도 핵 사용을 적발하는데나 효과가 있지, 핵 유저가 게임에 접속하는 것 자체를 막거나 핵 프로그램을 아예 쓰지 못하게 하는 것은 어렵다. DRM도 마찬가지로 전문적인 불법 공유 업자들은 거의 방지하지 못하며, 개인이 스크린샷을 찍어 유포하는 정도나 방어 가능한 수준이다. 당장 안티치트가 있어도 핵 유저들은 대놓고 게임에 접속하며, DRM이 있어도 조금만 구글링을 해보면 각종 불법 영화와 전자책 사이트를 쉽게 찾아볼 수 있다.

즉 이런 방식으로는 대중적이고 익히 알려졌으며 광범위하게 실행되는 해킹만 일부 방어할 수 있지, 전자상거래처럼 전송되는 정보 하나하나가 모두 매우 중요하게 다루어져야 하는 환경에서는 적합하지 않으며, 전자상거래에 이런 방식의 보안체계를 도입한 사례 역시 찾아보기 힘들다.

7.2. 해킹 위험

보안 프로그램이 오히려 취약점을 만들어 내서 해킹을 당하기 쉬운 환경을 조성하기도 한다. 북한의 공동인증서 보안프로그램 해킹 사건으로 인해 보안 프로그램들이 근본적인 개선 없이 그냥 코드를 땜방해가면서 운영해 온 사실이 드러났다.

7.3. 호환성 문제

상당 수의 키보드 보안 프로그램들은 키 입력을 완전히 먹통시켜버림으로서 말 그대로 물리적으로 키보드 철벽 보안을 실현하기도 한다(...) 컴퓨터를 재부팅하기 전까지는 어떤 수를 써서도 물리 키보드를 전혀 사용할 수 없기 때문에 당한다면 욕이 절로 나올 수 밖에 없으며, (특히 한참 작업 중이어서 열린 창도 많으면) 눈물을 머금고 창을 모두 닫고 재부팅을 하는 것 외에는 달리 방법이 없다. 보안 프로그램이라 부르기도 아깝다.

그 외 개발자 도구 등 몇몇 정상적인 상황에서도 강제로 다른 창을 죽여버리기도 하는데, 스스로 내가 죽였소 하고 이실직고하며 알려주기라도 하면 양반, 서비스로만 돌면서 알림 하나도 안 띄우면서 스텔스로 창만 죽여버려 무수히 많은 사이트들의 보안 프로그램들 중에서 하나씩 죽이고 지우고 하게 만드는 삽질 개고생을 하게 만들기도 한다...

사용자가 별도로 설치해서 잘 사용하고 있던 안티바이러스 소프트웨어나, 다른 보안 플러그인과 결투가 벌어지기도 한다.

최적화가 잘 되어있지 않은 보안 프로그램들이 컴퓨터의 성능을 매우 느리게 하거나 시스템과 충돌하기도 한다. 지금은 그런 경우가 거의 없지만 설치되면 UAC를 끄거나 끄라고 요구하는 프로그램도 있었다.

언젠가부터 마이크로소프트는 일반 대중에게 심지어 대부분의 전문가들에게도 공유하지 않는 방법으로 윈도우즈의 컴포넌트들과 보안 소프트웨어들이 상호작용 하게 하고 있다. 특히 윈도우즈 10 부터는 자동 유지 관리 기능을 통해 이 기능을 항시 가동하고 있어 사실상 쥐도새도 모르게 윈도우를 위한 표준 비슷한 것으로 자리잡았다. 당연하지만 정상적인 보안 프로그램 취급 받을래야 받을 수 없는 수상한 보안 플러그인들은 이런 기능을 쓰기는 커녕 오히려 윈도우의 내장 보안 기능과 충돌한다.

대부분의 자칭 보안 플러그인들은 윈도우즈 10 부터 추가된 코어 격리 기능과 호환되지 않는데, 윈도우가 허가하지 않는 방법으로 시스템 핵심영역을 헤집기 때문이다. 특히 메모리 무결성 기능은 아예 호환 불가. 하다못해 커널에 처박혀서 뭔 짓을 하는지 모른다고 모두가 의심스러워 하는 안티치트 솔루션들 조차도 메모리 무결성 기능과는 충돌하지 않는다. (단, 엔프로텍트와 사인코드는 당당히 충돌)

마이크로소프트는 최근 현저히 증가한 보안 위협 때문에 옛날에는 조직에서나 쓰던 기능들을 일반 사용자 환경으로 꺼내와 보안 강화 조치를 하고 있으며 이것에 협조하도록 요구한다. 이 때문에 요즘 나오는 CPU들은 메모리 무결성 같은 고급 가상화 보호 기능으로 인한 성능 저하를 막기 위한 여러 기술을 적용 받아 출시되고 있을 정도다. 보안 부분에서 굼뜨기로 악명높은 마이크로소프트가 움직이는 판에 유사 보안 플러그인이 잔뜩 판치는게 한국의 현실이다. 이 엉터리 플러그인들이 마이크로소프트가 도입중인 보안 기능과 호환될 가능성은 앞으로도 0이며 좋든 싫든 언젠가는 축출 당할 수 밖에 없다. ~~언젠가 그 회사들 망하던가 신규채용 늘어난다.~~ 윈도 12 오피셜로 레거시 지원 안한다고 공지된 사항이다.

7.4. 개인정보 문제

보안 프로그램은 실질적인 사용자 동의 없이 개인정보에 접근할 수 있다. 이것을 설치하지 않으면 뱅킹 자체가 불가능하기 때문이다. 보안 프로그램같은 유틸리티 프로그램들은 특성 상 매우 높은 권한으로 실행되기 때문에 컴퓨터에 저장된 어떤 정보라도 접근이 가능하고 보안 연구 목적으로 일부 정보를 개발사에 전송하기도 한다. 실제로 게임 보안 프로그램에서 치트 방지 목적으로 개인정보를 수집한다는 논란이 있었다.

7.5. 편의성 문제

보안은 불편할수록 높아진다는 말이 있지만, 이는 같은 기술수준을 가지는 보안체계끼리 비교할때나 성립하는 말이다. 보안 프로그램은 사실상 사장된 구식 보안기술을 이용하고 있어서 보안성은 떨어지면서도 매우 불편한 사용성을 가지고 있다. 개인용 온라인 뱅킹에서는 사실상 가장 높은 보안 수준을 자랑하는 거래연동 OTP나 스마트카드와 비교해도 불편한 방식이다.

7.6. 금융기관의 보안책임 회피 문제

가장 현실적이며 금융기관에서는 싫더라도 쓸 수 밖에 없는 주요이유인데, 금융기관은 보안사고 발생시 책임을 보안프로그램 개발사에 떠넘길 수 있다.는 것이다. 금융기관 입장에서는 금융사고 발생후 고객에게 물어낼 비용이나 정부로부터 행정처분을 받을 경우 해당 보안 프로그램 개발 회사에게 책임을 전가할 수 있다. 물론 그 보안 프로그램 개발 회사가 자금력이 좋거나, 그런 책임에 있어서 모두 뒤집어 쓸 감당은 하지 않는다. 결국에는 해당 회사가 파산을 신청해서 도망을 가던지, 혹은 해당 회사가 또 다른 보험 상품을 가입하는 식으로 책임을 계속 회피할 수 있는 여력을 주게된다.

그리고 사건이 발생하게 되면, 정부의 입장에서는 국민 여론에 못이겨 보안담당관이나 수뇌부를 형사재판에 올리나, 형사재판에서는 그 대상자가 아예 배째라 나온게 아닌 이상, 어떠한 노력을 했고, 어떠한 조치를 했었는지를 당연히 감안하게 된다. 금융기관에서는 우리는 보안 프로그램을 사용하였고, 보안 프로그램 뚫린 것은 보안 프로그램의 문제이다. 보안 프로그램이 뚫린걸 왜 사용자인 금융기관을 조지려고 하느냐?라는 논리를 꺼내게 되고, 그 논리는 먹힌다. 그렇기 때문에 재벌 3.5 법칙같은 형태로 시간을 끌고 흐지부지 되면서 집행유예나, 선고유예등으로 국민의 관심이 사라질 때, 책임지는 사람 없이 조용히 다시 복구되는 것이 현실이다. 결국 정부와 금융기관 보안기관의 서로간의 책임 떠넘기기와 보안을 하는 척의 삼각지대이고, 결국에 그 삼각지대에 빠져서 허우적거리는 것은 국민과 이용자가 되는 판국이다.

7.7. 노트북 절전 방해 문제

보안플러그인을 깐 이후에는 노트북/PC 절전모드가 방해받기도 한다. 물론 절전을 방해하는 요소는 정말 다양하게 있지만, 범인(빨간놈)은 이 안에 있다는 글을 보면 보안 플러그인은 게중에도 가장 유력한 용의자로 보인다. 절전모드에 진입하지 못하는 경우, 노트북은 가방속에서 열심히 일을 하며 열을 뿜어내며 쪄 죽어갈 수 있으며 (발화주의), 데스크탑 컴퓨터는 열심히 전기를 퍼먹고 방을 따뜻하게 데울 수 있는 효과를 야기시킨다. 이에 대한 대응으로 컴퓨터의 완전한 종료나 SSD에게 미안하지만 최대절전모드를 애용하는 것이 추천된다.

8. 관련 문서

공인인증서 - 보안프로그램에 대한 문제점이 대부분 이 문서에 기록되어 있다. 보안 플러그인들이 남발되는 이유가 바로 조직 규모에서도 다루기 아주 힘든 인증서를 일반 환경에 끌어다 놓으면서 증가한 난해함을 주먹구구식으로 때운 결과다. 비지니스용 윈도우에 내장된 비트로커 조차 어지간한 방법으론 인증서를 이용한 복호화를 쓸 수 없다. 원체 어려워서 아예 따로 인증서버를 굴려주는 외주 업체가 있을 정도에 마이크로소프트 자체적으로 운용하는 Azure AD 같은 서비스도 나와있다. 스마트카드를 쓰더라도 단순히 인증서를 안전한(?) 보관소에 넣고 그거로 암호화 복호화를 하는 것으론 의미가 별로 없다. 표준도 다 정해져 있고 정말 까다롭게 다뤄야 하는 기술인데 이걸 독단으로 아무데나 처박아 놓았으니 문제가 안 생기면 이상한 것.
책임전가 - 사실 이런 "플러그인"류가 정기적 비밀번호 변경 강요 등과 함께 강제되는 더 큰 이유는 행정기관과 사법기관 및 금융기관의 면피용이다. 요약하면 1. 보안 프로그램이 있으니 우리는 최선을 다했다, 2. 그럼에도 문제가 발생하면 컴퓨터 관리를 소홀히 하거나 굳이 이걸 우회하려고 한 ~~그럼 우회하고 싶지 않게 만들든가 애초에~~ 하등한 네놈들의 문제다라는 것이 그들의 늬앙스이며, 실제로 기관의 책임이 명확한 사안에 대해서조차 이런 논리로 대한민국에서는 패소율이 매우 높다.
보안 취약점 - 이들 프로그램의 실체. 커널 레벨 코드에 무슨 결함이 있을지도 모를진대 한술 더 떠 컨테이너, 샌드박스, 가상머신 등 유저 수준의 보안은 물론이고 코어 격리 같은 Windows 수준 보안을 없애버리기 때문에, 당연한 귀결이다.

9. 기타

사용자와 구매자가 다르기 때문에 근절되지 않는다는 말이 많지만 반은 맞고 반은 틀린 소리이다. 구매자도 오류가 많은 보안 프로그램을 당연히 좋아하지 않는다. 금융 기관이 온라인 뱅킹을 도입하는 이유는 창구와 콜센터를 대체하여 비용을 줄이고, 고객을 늘리기 위함인데, 보안 프로그램의 오류로 인해 민원성 상담이 늘어나면 당연히 그런 효과를 기대하기 어렵기 때문이다. HTS의 경우 설치가 너무 복잡한 나머지 콜센터에서 일일이 원격 지원을 통해 설치해주기도 했다. 피크 시간대에는 콜센터 직원이 바빠서 금융 관련 상담도 어려운 수준인데 단순히 설치 프로그램 때문에 별도의 서비스 인력을 운용하는 것은 인력 낭비이다. 게임사의 경우에도 안티 치트가 에러를 내서 게임 실행을 방해하여 문제가 된 경우가 많다.

[1] 예를 들면 경호원이 문만 지키고 있으면 되는데 갑자기 문을 열어달라고 하면서 들어온 뒤 거실에 대놓고 들어앉아 있는 격이다. [2] 네이버 혹은 카카오 인증 한번 정도면 어지간한 것은 다 해결되는것과는 달리 과거에는 지금은 선택으로 넘기는 플러그인까지도 필수로 요구했으며 각 단계에서 한번 막히면 다시 처음부터 다시 해야만 하는 방식이었으니 갑갑할 법도 했다. 2017년경 만화. ~~2020년대에 남아있는 정도의 수준은 웹 표준 기술만으로는 완벽하지 않다는 당시 업계 주장을 믿어도 될 수준.~~ [3] 이것은 엄밀히 말해 사실 호도에 가깝다. 단순 SSL은 인증서의 신뢰성에 관한 문제가 있고, 따라서 공신력 있는 기관으로부터 검증받은 EV-SSL을 사용해야 한다. [4] 심지어는 윈도 내에서도 호환성 이슈가 일어나는 정도이다. [5] 특히 학생들이 방문해야 하는 학교폭력 실태조사, 대한민국 남성들이 필수적으로 방문해야 하는 병무청, 예비군 홈페이지 등등. [6] 애초에 공인인증서의 구현 방식이 기존에 존재하는 공개키-비밀키 암호화 방식에 추가적인 기능들을 붙인 것 뿐이다. 얼마든지 웹브라우저의 표준 방식으로 구현이 가능하다는 이야기.