KAIST 연구진은 기존 금융 보안 체계의 근본적인 구조적 한계를 지적하며 웹 표준 기반 보안 체계로의 전환이 시급하다고 강조했다.
이를 테면, 키보드 보안 프로그램은 오히려 키 입력 도청이 가능하고, 인증서 보호 프로그램은 개인정보 평문 노출 가능성이 있으며, 시스템 보호 프로그램은 외부에서 시스템 권한 탈취가 가능하며, 사설 인증서의 경우 암호화 통신까지 뚫릴 가능성이 제기된 것이다.
KAIST(총장 이광형)는 2일 전기및전자공학부 김용대·윤인수 교수 공동 연구팀이 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안기업 티오리(Theori)와 공동 연구를 통해 국내 금융보안 소프트웨어의 구조적 취약점을 체계적으로 분석한 결과를 발표했다.
티오리의 박세준 대표는 SK텔레콤 해킹 사건이후 SK(034730)그룹의 정보보호 혁신을 위해 신설된 ‘정보보호혁신특별위원회’ 자문단에 참여하고 있다.
출처=이데일리 DB
우리나라는 금융·공공 서비스 이용 시 특정 보안 프로그램 설치를 법적으로 강제하는 유일한 국가다.
연구진은 북한 해커들의 사이버 공격 사례에서 왜 한국의 금융 보안 프로그램이 주요 표적이 되는지에 주목했고, 해당 소프트웨어에 설계적 결함과 구현상의 취약점이 다수 존재함을 확인했다.
실제 국내 주요 금융기관 및 공공기관에서 사용 중인 7종의 주요 보안 프로그램을 분석한 결과 ▲ 키보드 입력 탈취 ▲ 중간자 공격(MITM) ▲ 공인인증서 유출 ▲ 원격 코드 실행(RCE) ▲ 사용자 식별·추적 등 총 19건의 심각한 취약점이 발견됐다.
일부 취약점은 연구진의 제보 후 패치됐으나, 근본적인 설계적 취약점은 여전히 남아 있는 상태다.
웹 보안 원칙 우회 설계, 오히려 공격 통로로
문제의 핵심은 KSA 프로그램이 웹 브라우저의 보안 구조를 우회해 민감한 기능을 수행하도록 설계됐다는 점이다.
브라우저는 기본적으로 외부 사이트가 시스템 내부 파일이나 민감 정보에 접근하지 못하도록 제한하지만, 보안 프로그램은 이를 우회하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 등을 사용한다.
과거에는 ActiveX 기반으로 구현됐으나, ActiveX 지원 종료 후에도 .exe 실행파일 기반 유사 구조로 유지되고 있다.
이는 Same-Origin Policy(SOP), 샌드박스(Sandbox), 권한 격리(Privilege Separation) 등 현대 웹 보안 메커니즘과 정면 충돌하는 방식이다.
KAIST 김용대 교수는 “웹은 위험하므로 보호해야 한다는 브라우저의 보안 철학과 KSA 구조는 본질적으로 충돌한다”며 “구조적으로 안전하지 않은 시스템에서는 작은 실수조차 치명적인 보안 사고로 이어질 수 있다”고 지적했다.
사용자 경험조차 취약… “설명 없는 강제 설치”
연구진이 전국 400명을 대상으로 설문 조사한 결과, 97.4%가 금융 서비스 이용을 위해 KSA를 설치한 경험이 있었고, 이 중 59.3%는 프로그램의 기능과 목적을 전혀 알지 못한 채 설치한 것으로 나타났다.
실제 사용자 PC 48대 분석 결과, 1인당 평균 9개의 KSA가 설치돼 있었으며, 다수는 2022년 이전 버전, 심지어 2019년 버전까지 사용되고 있었다.
“웹 표준 기반으로 보안 패러다임 전환 시급”
연구진은 “보안 소프트웨어는 사용자 보호를 위한 도구여야 하나, 현재는 오히려 공격의 통로가 될 수 있다”고 지적하며 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다고 강조했다.
김용대 교수는 “비표준 보안 소프트웨어 강제 설치 방식은 국가 차원의 보안 위협으로 이어질 수 있다”며 “이제는 근본적인 패러다임 전환이 필요하다”고 말했다.
이번 연구 결과는 세계 최고 권위의 보안 학회 중 하나인 ‘USENIX Security 2025’에 채택됐다.
논문명은 Too Much of a Good Thing: (In-)Security of Mandatory Security Software for Financial Services in South Korea》이다. 이번 연구는 정보통신기획평가원(IITP) 지원으로 수행됐다.
윤인수 교수(KAIST)는 “이번 연구는 단순 버그 분석이 아닌, 설계 철학 자체가 위험한 시스템을 분석한 점에서 의미가 크다”고 했고, 김승주 교수(고려대)는 “보안 프로르갬은 법과 제도, 관행이 만들어낸 합법적 위협이다. 구조적 변화 없이는 문제는 반복된다”고 언급했다.
김형식 교수(성균관대)는 “보안 소프트웨어가 공격자에게 백도어로 활용될 수 있는 위험성을 보여준다”고 했고, 윤태식 연구원(Theori/KAIST)은 “보안프로그램 취약점은 기능 오용으로 발생하며, 정상 응용프로그램인터페이스(API)를 통해 공격 가능하다는 점이 특히 위험하다”고 했다.
한국의 금융보안 체계가 오히려 고립된 생태계로 인해 글로벌 보안 흐름에서 뒤처지고 있으며, 현행 강제 설치 방식은 이제 보안이 아닌 위험 요소가 되고 있다는 것이 연구진의 경고다.
이번 연구가 국내 금융보안 정책의 근본적 개선 논의로 이어질 수 있을지 주목된다.