복잡한 한국 금융 보안SW, 오히려 해킹 통로 역할
설치가 의무화된 국내 금융 보안 소프트웨어에 근본적인 취약점이 존재해 오히려 비밀번호 탈취, 악성프로그램 강제 설치·실행, 공인인증서 유출 등 심각한 해킹의 통로로 작용한다는 사실이 확인됐다. 복잡하고 위험한 보안프로그램 설치 대신 안전한 웹 표준을 따르는 근본적 전환이 필요하다는 평가다.
KAIST는 김용대·윤인수 전기및전자공학부 교수 연구팀이 김승주 고려대 교수팀, 김형식 성균관대 교수팀, 보안 전문기업 티오리(Theori) 연구팀과 함께 한국 금융 보안 소프트웨어의 구조적 취약점을 체계적으로 분석했다고 2일 밝혔다. 연구결과는 국제 보안학회인 '유즈닉스 시큐리티 2025(USENIX Security 2025)'에 채택됐다.
한국은 금융 보안 소프트웨어 설치를 의무화한 유일한 국가다. 연구팀이 400명을 대상으로 조사한 결과 사용자 97.4%가 '한국 보안 애플리케이션(KSA)'을 설치한 경험이 있다고 응답했고 그중 59.3%는 기능이 무엇인지 모른다고 답했다. 48명의 컴퓨터를 분석한 결과 1개당 평균 9개의 KSA가 설치됐다. 대부분 2022년 이전의 구형 버전을 사용 중이다.
연구팀은 2023년 북한이 KSA를 악용한 실제 해킹 사례를 계기로 국내 보안 소프트웨어의 취약점을 분석했다.
국내 주요 금융기관, 공공기관에서 사용 중인 7종의 KSA 프로그램을 분석한 결과 총 19건의 심각한 보안 취약점이 발견됐다. 키보드 입력 탈취, 공인인증서 유출, 원격 프로그램 실행, 사용자 식별·추적 등이다.
구글 크롬, 마이크로소프트 익스플로러 등 웹 브라우저는 기본적으로 외부 웹사이트가 시스템 내부 파일 등 민감 정보에 접근하지 못하도록 제한한다. KSA는 키보드 보안, 방화벽, 인증서 저장으로 구성된 일명 '보안 3종 세트'를 유지하기 위해 비표준 방식과 외부 프로그램 등을 활용해 웹 브라우저의 기본 보안 체계를 우회한다.
연구팀은 "이런 설계는 동일 출처 정책(SOP), 샌드박스, 권한 격리 등 최신 웹 보안 메커니즘과 정면으로 충돌해 새로운 공격 경로로 악용된다"며 "사용자의 안전을 위한 도구가 오히려 공격의 통로로 쓰이는 것"이라고 지적했다.
제기된 일부 취약점은 연구팀의 제보를 통해 개선됐지만 근본적인 설계 취약점은 해결되지 않아 근본적 패러다임 전환이 필요하다는 평가다.
웹 브라우저의 보안 메커니즘을 우회하는 KSA는 2015년까지 쓰인 보안 플러그인 액티브X(ActiveX)를 통해 이뤄졌는데 10년 전 개선된 후에도 유사한 구조로 작동해 기존의 문제를 반복하고 있다는 문제점도 지적됐다.
김용대 교수는 "구조적으로 안전하지 않은 시스템은 작은 실수도 치명적인 보안 사고로 이어질 수 있다"고 말했다. 이어 "표준이 아닌 보안 소프트웨어를 강제로 설치시키는 방식이 아니라 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다"며 "그렇지 않으면 KSA는 향후에도 국가 차원의 보안 위협의 중심이 될 것"이라고 밝혔다.
<참고 자료>
- syssec.kaist.ac.kr/pub/2025/Too_Much_Good.pdf
[이병구 기자 2bottle9@donga.com]
Copyright © 동아사이언스. 무단전재 및 재배포 금지.