공인인증서의 잔재…北 해커는 왜 금융인증서 프로그램을 노렸나

등록 2023.04.08 08:00:00

금융 사이트 접속 시 자동 설치돼 악성코드 배포 유리…보안 패치도 쉽지 않아

이용자 PC자원 함부로 쓰는 보안관행 개선돼야…"웹 접속시만 작동해야"

금융기관 혹은 공공기관 웹사이트 이용 시 필요한 금융보안인증 소프트웨어(SW)가 북한 해커들의 타깃이 되고 있다(사진=뉴시스)
*재판매 및 DB 금지

【서울=뉴시스】송혜리 기자 = 금융기관 혹은 공공기관 웹사이트 접속 시 깔리는 금융보안인증 소프트웨어(SW)가 북한 해커들의 타깃이 되고 있다. 타깃 컴퓨터에 악성 프로그램을 심고 정보를 빼내는데 이들 SW의 취약점을 이용한다는 것.

최근 국내 1위 금융보안인증SW기업인 이니텍의 '이니세이프' SW가 북한 해커들의 사이버 공격에 악용된 것으로 확인되면서 보안당국을 긴장하게 했다. 보안 전문가들은 북한 해커뿐 아니라 국내 사이버 공격을 시도하는 해커들이 번번이 이들 SW의 취약점을 악용했다고 본다.

실제 한국인터넷진흥원(KISA)은 2021년 이후 드림시큐리티 매직라인(MagicLine), 이니텍 이니세이프 크로스웹(INISAFE CrossWEB) EX V3, 터치엔키, 크로스서비스, IP인사이드LWS, 베라포트 V3, TCO스트림(TCO!stream), 베스트서트 등 여러 금융보안인증 SW의 취약점이 보고됐다.

'내가 깐 거 맞어?' 부지불식간에 깔리는 인증 프로그램들…해킹통로 악용돼

금융보안인증SW는 금융기관 인터넷뱅킹, 일부 관공서 웹사이트를 이용할 때 이용자 PC에 깔리는 SW들이다. 가령, 웹사이트에서 다양한 서비스를 이용하기 위해선 사용자 인증을 받아야 하는데 인증서와 연동돼 전자서명 데이터를 생성하는 것을 검증한다. 여기에 웹서버와 데이터를 송수신하는 과정에서 데이터를 암호화해주고, 키보드로 비밀번호 등을 입력할 때 그 정보를 빼내지 않도록 해주는 키보드 보안 SW도 있다.

문제는 이들 SW를 깔려야만 금융기관 인터넷뱅킹, 일부 공공기관 웹사이트의 인증서를 정상 작동할 수 있다는 점이다. 이 때문에 국민 상당수 PC에 이 프로그램이 깔려 있다. 보안당국에 따르면 이니텍 '이니세이프'의 경우 국내외 1000만대 이상의 기관·업체·개인 PC에 설치돼 있는 것으로 추정된다. 해커들이 이들 프로그램을 노리는 직접적인 이유다. 가장 보편적으로 깔린 SW일수록 사이버 공격자 입장에선 유리하다.

금융보안인증SW는 대부분 시스템 뒷단에서 작동하는 보조 프로그램이기 때문에, 이용자들은 자신의 컴퓨터에서 해당 SW가 깔려있는 지 없는 지 잘 모른다는 점도 해커들이 노리는 이유다. 우연히 PC를 뒤지다가 이들 프로그램을 발견한 사람이 포털사이트에 "00이 저도모르는 사이에 제 PC에 설치됐는데 삭제해야 하는 걸까요?"란 질문을 올리는 것도 같은 맥락이다.

게다가 금융보안인증SW는 이용자가 직접 컴퓨터에서 파일을 직접 제거하지 쉽지 않고, 서비스 제공 기업·기관이 보안패치를 적용하거나 버전을 업데이트해야 하기 때문에 취약점 발견됐다 해도 신속한 보안패치가 사실상 불가능하다.

해커들 입장에선 SW 취약점을 이용한 악성코드 공격을 시도할 때 가장 이상적인 조건인 셈이다. 알게 모르게 광범위하게 쓰고 있는 프로그램이기 때문에 사이버 공격 대상을 크게 확대할 수 있고, 이용자들이 프로그램 설치 사실을 잘 인지하지 못하고 있기 때문에 보안 패치가 나오더라도 업데이트가 늦어질 수 밖에 없다.

또 주기적으로 업데이트를 시도하는 프로그램이어서, 신규 취약점을 이용해 백신 등 기존 보안프로그램을 우회해 컴퓨터에 악성코드를 설치할 수도 있다.

안전하려면 PC에 뭘 꼭 깔아야 돼?…보안패러다임 전환해야

보안 전문가들은 금융보안인증SW를 사용자 컴퓨터에 강제 설치하는 금융보안 서비스 방식을 개선해야 한다고 지적한다. 과거 금융·공공기관들이 자사 웹 서비스를 안전하게 제공한다는 명목으로 공인인증서와 함께 관리 프로그램, 암호화·키보드 보안 SW 등을 패키지로 이용자 컴퓨터에 강제 설치하던 관행을 공인인증서 제도 폐지 이후에도 사실상 유지하는 바람에 이같은 부작용들이 터졌다는 설명이다.

업계 한 관계자는 "근본적인 문제는 금융 웹사이트에 들어가면 SW를 의무적으로 설치할 수 밖에 없는 구조라는 것"이라며 "해당 웹사이트 접속 시에만 작동하도록 보안 서비스 방식을 바꿔야 한다"고 지적했다. 이 관계자는 "실제 이런 방식으로 구동할 수 있는 기술이 개발돼 있어, 해당 SW를 무조건 설치하도록 할 이유가 없다"고 지적했다.

또 다른 보안 업계 관계자는 "일부 쇼핑몰들은 보안인증SW를 설치하지 않아도 웹 서비스를 사용할 수 있도록 하고 있다"고 설명했다.

국민들의 실생활에 필요한 금융인증SW의 경우 취약점이 뚫릴 경우 파급력이 크기 때문에 SW설계 단계부터 보안에 문제없는 지 주기적인 점검할 필요가 있다는 주장도 있다. 관리감독 기관이 주기적으로 금융인증 SW에 대한 관리실태 점검과 관련 가이드라인 재검토도 이뤄져야 한다는 설명이다.

◎공감언론 뉴시스 [email protected]