웹 표준 무시한 비표준 보안, 국가 보안 위협 될 수 있어
한국의 금융 보안 소프트웨어가 오히려 해킹에 악용될 수 있다는 국내 연구진의 분석 결과가 발표되면서, 금융 서비스 전반에 대한 보안 정책의 근본적인 전환이 필요하다는 지적이 제기됐다.
2일 KAIST 전기및전자공학부 김용대·윤인수 교수 연구팀은 고려대 김승주 교수, 성균관대 김형식 교수, 보안 전문기업 티오리 연구진과 공동으로 국내 주요 금융기관 및 공공기관에서 사용하는 7종의 KSA(Korea Security Applications) 프로그램을 분석한 결과, 총 19건의 심각한 보안 취약점을 확인했다고 밝혔다.
연구팀은 “KSA는 본래 보안을 위해 만들어졌지만, 오히려 키보드 입력 도청, 공인인증서 노출, 중간자 공격, 원격 코드 실행, 사용자 추적 등 다양한 해킹 경로로 악용될 수 있다”며 “이는 소프트웨어 구조 자체의 결함과 보안 설계 원칙과의 충돌에서 비롯된 것”이라고 설명했다.
특히 일부 키보드 보안 프로그램은 키 입력 내용을 암호화해 전달하는 기능이지만, 해킹된 웹사이트에 적용될 경우 사용자 입력을 도청하는 수단이 될 수 있다는 점이 강조됐다. 또한 공인인증서 보안 소프트웨어가 API를 통해 인증서를 제공하는 과정에서, 사용자 이름 등 개인정보가 암호화되지 않은 채 노출되는 사례도 발견됐다.
한국은 금융 보안 소프트웨어 설치를 의무화한 전 세계 유일의 국가다. 하지만 이러한 규제는 오히려 보안 생태계를 경직시키고, 웹 브라우저의 기본 보안 모델을 우회하는 방식으로 이어졌다는 것이 연구팀의 진단이다.
연구팀은 특히 ActiveX가 사라진 이후에도 비표준 실행파일 기반 구조가 유지되면서, 보안 리스크가 되풀이되고 있다고 지적했다. 실제 이용자 400명을 대상으로 한 설문조사에서는 응답자의 97.4%가 KSA를 설치한 경험이 있었고, 이 중 59.3%는 해당 프로그램의 기능이나 목적을 제대로 인지하지 못하고 있었다.
KAIST 김용대 교수는 “보안 프로그램이 ‘웹은 위험하므로 보호해야 한다’는 철학으로 만들어졌지만, 그것이 오히려 브라우저 보안 구조와 충돌하며 더 큰 취약점이 되고 있다”며 “KSA 중심의 방식에서 벗어나 웹 표준과 브라우저 보안 모델에 기반한 보안 전략으로 전환해야 한다”고 강조했다.
이 연구 결과는 국제 보안 학회 USENIX Security 2025에 공식 채택됐다.
답글 남기기
댓글을 달기 위해서는 로그인해야합니다.