방패라 믿었더니…금융·공공 보안SW 눈독 들이는 이유
등록 2025.06.02 17:26:29수정 2025.06.02 17:36:24
KAIST·고려대·성균관대·티오리 공동 연구 결과 발표
KSA 7종 분석 결과, 키로깅·RCE…인증서 유출 등 취약점 확인
실행파일로 대체된 액티브엑스, 구조적 문제 반복…패러다임 전환 필요
(윗줄 왼쪽부터) 김용대 교수, 윤인수 교수, 김형식 교수, 김승주 교수 (아랫줄 왼쪽부터) 윤태식 연구원, 이용화 연구원, 정수환 연구원(사진=KAIST 제공) *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = 우리나라는 금융 보안 소프트웨어 설치를 의무화한 세계 유일의 국가다. 하지만 이러한 정책이 오히려 보안 위협에 취약할 수 있다는 연구 결과가 나왔다.
연구진은 복잡하고 불완전한 보안 프로그램을 강제로 설치하는 현재의 보안 방식 대신, 웹사이트와 브라우저에 설계된 보안 규칙과 웹 표준을 기반해 능동적인 보안시스템으로 근본적인 전환이 필요하다고 강조했다.
KAIST는 2일 국내 금융 보안 소프트웨어의 구조적 취약점을 체계적으로 분석한 연구 결과를 공개했다. 이번 연구는 KAIST 김용대·윤인수 교수, 고려대 김승주 교수, 성균관대 김형식 교수가 주도했으며, 제1 저자인 윤태식 연구원(티오리·KAIST)을 비롯해 정수환(엔키화이트햇·KAIST), 이용화(티오리) 연구원이 참여했다. 이 연구는 세계 최고 권위의 보안 학회 중 하나인 '유즈닉스 시큐리티 2025(USENIX Security 2025)'에 채택됐다.
국내 보안 소프트웨어 7종서 19건 취약점 발견
조사 결과, 이들 보안 프로그램은 설계 구조의 결함과 구현 과정의 취약점이 동시에 존재하는 것으로 나타났다.
연구진은 국내 주요 금융기관과 공공기관에서 사용하는 7종의 주요 보안 프로그램(Korea Security Applications, 이하 KSA 프로그램)을 분석한 결과, 총 19건의 심각한 보안 취약점을 발견했다. 발견된 주요 취약점은 ▲키보드 입력 탈취 ▲중간자 공격(MITM) ▲공인인증서 유출 ▲원격 코드 실행(RCE) ▲사용자 식별 및 추적 등이다. 일부 취약점은 연구진의 제보로 보완됐지만, 전체 생태계에 걸친 근본적인 설계 취약점은 여전히 해결되지 않은 상태다.
더욱 큰 문제는 국내에서 금융이나 공공서비스 이용 시 이런 보안 프로그램의 설치가 의무화 돼 있다는 점이라고 연구진은 지적했다. 이는 전 세계적으로도 유례가 없는 정책이라는 설명이다.
연구진은 "보안 소프트웨어는 사용자의 안전을 위한 도구가 돼야 함에도 오히려 공격의 통로로 악용될 수 있다"며 보안의 근본적 패러다임 전환이 필요하다고 강조했다.
웹 보안 우회하는 구조…KSA, 브라우저 보안 철학과 충돌
아울러 연구진은 국내 금융 보안 소프트웨어들이 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계돼 있다고 지적했다.
웹 브라우저는 원칙적으로 외부 웹사이트가 시스템 내부 파일 등 민감한 정보에 접근하지 못하도록 제한한다.
그러나 KSA 프로그램은 키보드 보안, 방화벽, 인증서 저장 등 이른바 '보안 3종 세트'를 유지하기 위해, 루프백 통신, 외부 프로그램 호출, 비표준 애플리케이션프로그래밍인터페이스(API) 활용 등 브라우저 외부 채널을 통해 이러한 제한조치를 우회하고 있었다.
이러한 방식은 2015년까지는 보안 플러그인인 액티브엑스(ActiveX)를 통해 구현됐지만, 보안 취약성과 기술적 한계로 액티브엑스 지원이 중단되면서 근본적인 개선이 이뤄질 것으로 기대됐다.
하지만 실제로는 실행 파일(.exe)을 활용한 유사한 구조로 대체됐고, 결과적으로 기존 문제를 반복하는 방식이 이어진 셈이다. 이로 인해 브라우저의 보안 경계를 우회하고, 민감 정보에 직접 접근하는 위험 요소가 여전히 존재하고 있다고 연구팀은 지적했다.
연구진은 이러한 설계에 대해 ▲동일 출처 정책(Same-Origin Policy, SOP) ▲샌드박스 ▲권한 격리 등 최신 웹 보안 메커니즘과 정면으로 충돌한다고 강조했다. 아울러 연구팀은 실제로 이 구조가 새로운 공격 경로로 악용될 수 있음을 실증적으로 확인했다고 설명했다.
김용대 KAIST 교수는 "문제는 단순한 버그가 아니라 '웹은 위험하므로 보호해야 한다'는 브라우저의 보안 철학과 정면으로 충돌하는 구조"라며 "이처럼 구조적으로 안전하지 않은 시스템은 작은 실수도 치명적인 보안 사고로 이어질 수 있다"고 지적했다.
이어 "이제는 비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다"며 "그렇지 않으면 KSA는 향후에도 국가 차원의 보안 위협의 중심이 될 것"이라고 덧붙였다.
한편 연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사 결과, 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있었으며, 이 중 59.3%는 '무엇을 하는 프로그램인지 모른다'고 응답했다. 실제 사용자 PC 48대를 분석한 결과, 1인당 평균 9개의 KSA가 설치돼 있었고, 다수는 2022년 이전 버전이었다. 일부는 2019년 버전까지 사용되고 있었다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
