레노버(Lenovo) 노트북에 애드웨어인 비주얼디스커버리(VisualDiscovery), 일명 슈퍼피시(Superfish)가 숨어 있다는 게 포럼 등에서 문제가 된 바 있다. 슈퍼피시는 단순한 애드웨어가 아니라 악의적인 해커가 제멋대로 다룰 수 있는 위험성을 갖고 있는 게 밝혀져 주의가 필요한 것으로 보인다.
물론 슈퍼피시의 표면적인 목적은 무단으로 웹페이지에 자바스크립트 삽입 광고를 표시하는 것이다. 애드웨어 기능처럼 보인다. 하지만 슈퍼피시가 광고를 표시하기 위해 사용하는 방법은 안전한 통신을 담보로 하기 위해 쓰이는 SSL 통신 인증기관(CA)을 무단 위조하는 것이다. 이는 심각한 보안 허점이 된다는 것.
보통 SSL 통신은 웹브라우저 액세스 서버에서 CA 인증된 인증서를 보내달라고 한다. 이를 신뢰할 수 있는 CA 목록인 루트 인증서 목록과 비교해서 안전하다고 판단하면 액세스할 수 있도록 한다. 하지만 슈퍼피시는 서버에 CA 인증서를 보내달라는 통신을 탈취, 위조한 CA 인증서를 보낸다. 정체 모를 위조 CA 인증은 원래 안전하지 않다고 판단해야 하지만 슈퍼피시가 사전 설치된 레노버 PC는 이 위조 CA 인증을 신뢰할 수 있는 것으로 인식하도록 설정해 출하한 것이다.
이 말은 위조 CA 인증만 있으면 원래 거부되어야 할 인증도 무제한 액세스 가능하다는 얘기가 된다. 암호화 자체도 이 시점에서 해제되는 건 물론이다. 슈퍼피시는 브라우저와 서버 사이에 껴서 암호화 기능을 무력화해버리는 셈이다. SSL 통신 암호화는 브라우저가 신뢰할 수 있는 CA 루트 인증서를 갖고 CA 서명해야 한다는 것 등이 전제되어야 한다. 하지만 레노버 PC는 슈퍼피시 탓에 브라우저는 신뢰할 수 없는 CA 인증을 신뢰하라고 해독, SSL 통신 안전성을 담보하지 못한다.
더 최악인 건 슈퍼피시는 CA 서명을 프로그램 내에 저장한다는 것이다. 또 슈퍼피시의 위조 인증서와 슈퍼피시 CA 서명은 전 세계 모두 공통이다. 다시 말해 레노버 PC의 위조 CA 서명을 악의적인 해커가 마음대로 악용할 수도 있다는 얘기다. 더구나 슈퍼피시의 CA 서명을 추출하는 데 성공했다는 내용도 이미 외신에 올라와 있다.
레노버 측은 슈퍼피시로 인한 사용자 피해가 아직까지 없었다고 밝혔지만 조만간 슈퍼피시의 공식 제거 도구를 발표할 방침이라고 한다. 레노버 발표에 따르면 슈퍼피시는 지난해 9∼12월 사이 출하된 윈도 노트북에 사전 설치되어 있었지만 올해 1월 설치를 중단했다고 한다. 관련 내용은 이곳에서 확인할 수 있다.
전자신문인터넷 테크홀릭팀
이석원기자 techholic@etnews.com