MS 윈도우 7(Windows 7)을 쓰다가 자동 업데이트 예약에 따라 윈도우 10(Windows 10)으로 업그레이드를 하였다. 전반적으로 디자인도 깔끔하고 윈도우7과 윈도우8의 장점을 적절히 취한 듯 하여 만족하고 있었는데, 이상하게 컴퓨터가 전체적으로 매우 느린 듯한 느낌이 들었다. 원래 구글 크롬(Google Chrome) 브라우저는 항상 빠른 속도를 보여줬었는데, 크롬조차 탭 하나 띄우고 검색창에 글자를 입력하는 것만으로도 한참을 버벅거리는 것이었다. 이 증상이 윈도우 10으로 업그레이드 하고 나서 현재까지 하루 이상 지속되었다.
아무리 생각해도 이상한 것 같아서 작업 관리자를 열어 보았는데, 특별히 CPU 점유율이 지속적으로 높은 프로세스는 보이지 않았다. 하지만 시스템 속도를 전체적으로 저하시킬 정도라면 안티바이러스 또는 "악명 높은" 국내 금융 업계의 보안 모듈일 것이라는 생각이 들어서 찾아보니, 평소에 항상 실행 중인 보안 모듈은 아래와 같았다:
- Fasoo SCP Service
- Fasoo SCP Service (32 bit)
- nProtect Online Security Service(32 bit)
- nProtect Online Security Starter(32 bit)
- Delfino (또는 Wizvera Delfino.exe, 또는 Wizvera Delfino Handler)
- WIZVERA Process Manager
- AhnLab Safe Transaction (2016.08.17 추가)
- AnySign4PC (2016.08.17 추가)
하나씩 프로세스 종료를 시도해 보았는데, Fasoo 종류와 nProtect 종류는 강제종료가 되지 않았다.
Delfino의 경우에는 종료하자마자 다시 살아났는데, 그래서 WIZVERA Process Manager를 먼저 종료시키고 Delfino도 종료했더니, 둘 다 다시 살아나지 않고 모두 종료되었다.
놀랍게도 Delfino를 종료했더니, 그 후로는 컴퓨터가 날아갈 듯이 빨라졌다. 크롬에서 탭을 전환하거나 새 탭을 만들고 검색어를 입력하는 과정에서 버벅거림이 완전히 사라졌고, 매우 무거운 개발환경(Android Studio)도 쾌적하게 반응하였다. 하마터면 윈도우10의 성능과 최적화에 대해서 큰 오해를 할 뻔 했다.
(2016.08.17 내용 추가) 위의 문제는 최근 버전의 Wizvera Delfino에서는 일어나지 않는 듯 하다. 최근에는 작업 관리자에서 해당 프로세스가 공존하고 있어도 CPU 사용량이 치솟거나 하지는 않고 있다.
하지만 그 대신 은근히 거슬리는 프로세스들이 새로 생겼는데, AhnLab Safe Transaction과 AnySign4PC 이다. 이 두 개의 프로그램이 작업관리자에서 각각 2개씩의 프로세스(아마도 서비스)를 유지하면서 꾸준히 2~5% 사이의 CPU를 각각 점유하고 있다. 작업 관리자를 켜서 프로세스 목록을 CPU 점유율 내림차순으로 놓고 한동안 지켜보고 있으면 위의 두 프로그램 이름이 수시로 보일 것이다. 즉, 평소에 아무 일도 하지 않고 있어도 계속 컴퓨터를 관찰하고 뭔가 하고 있다는 소리다. 위의 두 프로그램에 비해서는 약하지만 nProtect Online Security 또한 삭제하지 않으면 항상 백그라운드 프로세스(또는 서비스)로 상주하면서 0.5~2% 사이의 CPU를 꾸준히 점유하고 있다.
이것은 우리나라에서만 일어나는 씁쓸한 현실인 것 같다.
은행과 카드 업무를 위해서 액티브X 대신 쓰게 된 것이 바로 이러한 exe 프로그램들이고, 이들은 상시로 실행되고 있어야만 은행 사이트의 요청에 반응할 수 있다. 아마 웹 브라우저에서 그때그때 exe 파일을 실행하도록 허용하지 않기 때문에 이렇게 상시 실행되도록 해 놓았을 것이다.
문제는 평소에 항상 실행되도록 만들어 놓았다면 은행 관련 업무를 하지 않을 때에는 최대한 컴퓨터에 영향을 끼치지 말아야 하는데, 이번에 겪어 보니 오히려 큰 피해를 끼치고 있다는 점이다.
나는 이번에 윈도우10으로 업그레이드 하면서 이런 현상을 겪었지만, 이미 수많은 사용자들이 윈도우7, 윈도우8에서도 비슷한 증상을 겪고 있다. (http://www.ppomppu.co.kr/zboard/view.php?id=etc_info&no=26420) 이렇게 민폐를 끼쳐서 전 국민의 스트레스를 높여서는 안될 일이다.
이 만악의 근원이 최종 사용자 단에 보안을 강화하는 척 불편을 강요하면서 보안사고에 대한 책임을 회피하려는 금융업계와, 국내 전자상거래 시장이 이렇게 악화되도록 방치한 정부의 안일한 정책 때문이다. 공인인증서를 쓰게 하고, 높은 수준의 암호화를 구현하고, 키 로깅 방지를 선심 쓰듯이 지원하는 것 같지만, 과연 그렇게 생색 내면서 최종 사용자들에게만 막아 놓고 자기네들 서버는 허구한날 해킹 당하고 개인정보를 유출 당해서 뉴스에 나오는 것이 과연 정상적인가? 미국 등 선진국(아니 사실은 우리나를 제외한 전 세계)의 유명한 금융 사이트들은 왜 우리나라처럼 최종 사용자에게 그토록 생색내지 않으면서도 지금까지 잘 운영되고 있는지 생각해 봐야 한다.
기대하기 힘들겠지만, 보안업계와의 정경유착을 끊어 버리고 진정 국내 전자상거래 시장의 발전을 생각한다면, 정부에서 단호하게 결단을 내려서 최종 사용자의 플러그인 부담을 덜 수 있기를 바란다.
(2016.08.17 내용 추가) 물론 근본적으로 사고를 미연에 방지하기 위한 목적으로 보안을 강화하려고 노력하면 사용자에게 불편이 가중되는 것이 어쩔 수 없는 자연의 법칙이기는 하다. 아래 댓글 중 "ㅇㅇㅇ"님이 언급한 대로 해외에서도 보안 모듈이 없는 개인 사용자의 컴퓨터가 해킹에 노출되어 보안사고가 일어나는 경우도 분명히 존재한다. 규모의 경제라던지, 일단 사고가 발생하면 피해를 최소화한다던지 하는 차이점을 차치하고서라도, 아무리 생각해도 우리나라가 종단 간 보안을 지키려는 노력에 비해서 사용자가 감수해야 하는 불편이 더 큰 것 같다.
각 금융 사이트마다 독립적으로 설치되는 기능상 거의 차이가 없는 플러그인들은 여전히 사용성 측면에서 아주 불편하고, 여전히 컴퓨터에 예상치 않은 문제를 일으키고 있으며, 물건 하나 사고 싶어도 웹 브라우저를 수 차례 재시작해야 돼서 시간이 오래 걸린다. 해외 사용자들은 느린 인터넷 속도 때문에 더 속이 터진다. 또한 각 금융기관이나 정부기관이 기능상 거의 차이가 없는 프로세스를 각각 설치하도록 강요하는 것은 그만큼 보안모듈의 범용성이 떨어진다는 의미이기도 하다. 그냥 국내 모든 금융기관과 정부기관이 달성하려고 하는 보안 수준을 충족할 수 있는 바이러스 백신 소프트웨어를 인증하고, 그 인증된 백신 소프트웨어 중 하나를 사용자가 자유롭게 선택해서 설치하도록 해 두면, 해당 백신 프로그램 하나만으로 국내 모든 금융/정부 사이트를 드나들 수도 있는 것 아닌가?
아쉽지만, 지금 당장 미국처럼 말단에 그 어떤 보안 플러그인 설치도 강요하지 않고 오롯이 개인 사용자가 자기 비밀번호에 대한 보안을 스스로 책임지도록 한다면 크고 작은 금융사고가 꽤 많이 발생할 가능성이 있다. 그리고 이러한 금융사고를 개인 사용자의 피해를 최소화하도록 신속하게 처리할 수 있는 제도적/행정적 준비가 되어 있을 것 같지는 않고, 그건 각 금융기관이나 정부기관도 마찬가지일 것이다. 결국 근본적인 변화를 위해 어느 정도의 시간은 필요할 것이다.
내가 이상적으로 바라는 환경은, 개인 사용자가 보안에 대한 인식도 충분히 높아지고, 다만 개인이 자기 비밀번호를 지키기 위해 보안에 대한 최소한의 노력을 했음에도 불구하고 불가피하게 해킹 등의 피해를 입었을 경우에는 금융당국이 개인 사용자의 피해에 대한 보상을 하고, 그 대신 범죄자를 재빨리 색출하여 전액 피해보상을 받아낼 수 있는 국가 차원의 보안 생태계가 갖춰지는 것이다.
꼭 개인 사용자가 스스로 책임지도록 방임하는 체계가 정답이라고 볼 수는 없겠지만, 그렇다고 해서 그 반대편 극단에 서 있는 우리나라의 금융 보안 체계를 정답이라고는 도저히 말을 못하겠다. 미래창조과학부와 금융감독원, 금융결제원, 각 금융기관, 그리고 보안 모듈 제공 업체들은 개인 사용자의 사용성 개선을 위해서 지금보다 더 치열하게 고민해 줬으면 좋겠다. 그리고 그 과정에서 국제표준을 당연하다는 듯이 어기는 일은 이제 그만 했으면 좋겠다.
