인터넷뱅킹 보안프로그램 속에… ‘이상한 코드’가 숨어 있었다

인터넷 주소창에 검색어를 입력하면 특정 사이트로 자동 연결돼 접속자 수를 올려주는 프로그램을 보안 프로그램에다 몰래 끼워 배포한 업체가 검찰에 적발됐다.

서울중앙지검 첨단범죄수사2부(부장검사 위재천)는 18일 인터넷뱅킹 등에 사용되는 공인인증 프로그램에 특정 포털사이트로 연결되는 프로그램을 삽입해 3억원의 광고수익을 얻은 혐의(정보통신망법 위반)로 보안 프로그램업체인 S사와 회사 대표 한모(44)씨를 불구속 기소했다고 밝혔다. 또 이 프로그램의 배포를 맡은 F사와 이 회사 전무 박모(40)씨는 벌금 1000만원에 각각 약식 기소했다.

이들 업체는 2008년 4월부터 최근까지 S사가 개발한 보안프로그램인 ‘클라이언트 키퍼’를 배포하면서 인터넷 웹브라우저 주소창(URL)에 검색어를 입력하면 특정 포털이 검색한 사이트가 자동 연동되는 프로그램을 끼워 넣었다.

국내 인터넷망의 경우 ‘KT 메가패스’의 가입자는 주소창에 특정 검색어를 입력하면 포털사이트 ‘파란’으로, ‘SK브로드밴드’ 가입자는 ‘디지털네임즈’ 사이트로 가도록 돼 있다. 그러나 S사는 이를 다른 포털사이트로 연결되도록 해 약 3억원의 광고수익을 챙긴 것으로 조사됐다. F사는 이 제품이 컴퓨터 속도를 저하하는 등의 각종 문제를 일으키면서 고객 항의가 빗발치자 2008년 9월 광고수익을 자진 거부하고 공범관계를 벗어났다고 검찰은 설명했다.

‘클라이언트 키퍼’는 키보드 보안이나 피싱 방지, 바이러스 차단 등 이용자의 개인정보를 보호하는 컴퓨터 보안프로그램이다. 우리나라는 인터넷 보안을 위해 ‘공개키 기반구조(PKI)’라는 공인인증체제를 채택하고 있어 인터넷뱅킹을 이용할 때는 반드시 보안프로그램을 설치해야 한다.

S사는 이렇게 조작된 프로그램을 대법원과 법무부, 행정안전부 등 국가기관은 물론 지방자치단체, 은행, 증권사 등 3000여개 기관이나 업체를 통해 810만개의 제품을 유포했다. 검찰은 그러나 보안프로그램 설치로 개인 정보 유출 등의 2차 피해는 없었다고 밝혔다. S사는 이에 대해 “문제가 된 기능은 가짜 사이트로 연결되는 피싱을 막기 위한 기능이며, 사용자 피해가 없어 악성 코드라고 보는 것은 무리”라고 해명했다.

검찰 관계자는 “개인정보 보호의 유일한 해결책으로 인식되는 인터넷 보안프로그램이 이용자도 모르게 악용됐다는 사실이 밝혀진 것은 처음”이라며 “앞으로 인터넷 악성프로그램을 유포하는 행위 단속을 강화해 나갈 것”이라고 말했다.

임성수 기자 joylss@kmib.co.kr