의무 설치 금융 보안 SW, 오히려 해킹의 ‘블랙홀’ 되나?

 

국내 금융 및 공공기관 서비스 이용 시 의무적으로 설치해야 하는 보안 소프트웨어(SW)들이 오히려 심각한 보안 위협을 초래할 수 있다는 충격적인 연구 결과가 발표되어 파장이 예상됩니다. 카이스트, 고려대, 성균관대 공동 연구팀은 이들 SW가 설계상 구조적 결함과 구현상 취약점을 안고 있어 해커들의 손쉬운 공격 목표가 될 수 있음을 경고했습니다.

---

북한 해킹의 표적, KSA 프로그램의 민낯

연구팀은 국내 주요 금융기관과 공공기관에서 광범위하게 사용되는 7종의 **‘Korea Security Applications(이하 KSA 프로그램)’**을 심층 분석했습니다. 그 결과, 키보드 입력 탈취, 중간자 공격(MITM), 공인인증서 유출, 원격 코드 실행(RCE), 사용자 식별 및 추적 등 총 19건의 치명적인 보안 취약점을 발견했습니다.

특히 연구팀은 북한이 왜 국내 금융 보안 SW를 사이버 공격의 주요 표적으로 삼는지에 주목했는데, 분석 결과 KSA 프로그램들이 근본적으로 취약한 구조를 가지고 있기 때문으로 드러났습니다. 심각한 것은 이러한 문제가 일부 취약점 패치로 해결될 수 있는 수준을 넘어 전체 보안 생태계를 관통하는 근본적인 설계 취약점이라는 점입니다.

---

웹 표준 무시가 낳은 보안 구멍

연구팀은 KSA 프로그램들이 웹 브라우저의 보안 구조를 우회하여 민감한 시스템 기능을 수행하도록 설계되었다고 지적했습니다. 원래 웹 브라우저는 외부 웹사이트가 시스템 내부 파일 등 민감 정보에 접근하는 것을 엄격히 제한합니다. 하지만 KSA 프로그램들은 이른바 ‘보안 3종 세트’(키보드 보안, 방화벽, 인증서 저장)를 유지한다는 명목하에 루프백 통신, 비표준 API 활용 등으로 이러한 제한을 우회하고 있었습니다.

2015년 액티브X(ActiveX) 지원 중단 이후 개선이 기대되었으나, 실제로는 실행파일(.exe)을 활용하는 구조로 대체되면서 동일한 문제가 반복되고 있다는 점도 문제로 지적됩니다. 이로 인해 브라우저의 보안 경계가 무력화되고, 민감 정보에 대한 직접적인 접근이 가능해지는 보안 위험이 지속되고 있습니다.

---

최신 웹 보안 메커니즘과의 충돌

연구팀은 KSA 프로그램의 이러한 설계 방식이 동일 출처 정책(SOP), 샌드박스, 권한 격리 등 최신 웹 보안 메커니즘과 정면으로 충돌한다고 꼬집었습니다. 오히려 이러한 설계가 새로운 공격 경로로 악용될 수 있음을 연구 과정에서 확인했습니다.

카이스트 전기및전자공학부 김용대 교수는 "KSA 프로그램은 '웹은 위험하므로 보호해야 한다'는 브라우저의 보안 철학에 부합하지 않는다. 이처럼 구조적으로 안전하지 않은 시스템은 작은 실수로도 치명적인 사고를 낳을 수 있다"고 강조했습니다.

그는 이어 "이제는 비표준 보안 SW를 강제 설치하는 방식이 아니라 웹 표준과 브라우저 보안 모델을 따르는 방향으로 바뀌어야 한다"며, "그렇지 않으면 KSA는 앞으로도 국가 차원의 보안 위협이 발생하는 원인이 될 것"이라고 경고했습니다.

---

앞으로의 과제

이번 연구 결과는 국내 금융 및 공공 서비스의 보안 패러다임에 대한 근본적인 재검토가 필요함을 시사합니다. 의무 설치 SW가 오히려 보안 취약점의 통로가 된다는 비판은 사용자 편의성 저하를 넘어 국가 사이버 안보에 심각한 위협이 될 수 있기 때문입니다.

정부와 관련 기관들은 더 이상 구시대적인 보안 강제 방식에 의존하지 않고, 웹 표준을 준수하고 브라우저의 본래 보안 기능을 최대한 활용하는 방향으로 전환해야 할 것입니다. 이를 통해 사용자들이 안전하고 편리하게 디지털 금융 및 공공 서비스를 이용할 수 있는 환경을 조성하는 것이 시급합니다. 과연 국내 금융 보안 생태계는 이번 연구 결과를 통해 어떤 변화를 맞이하게 될까요?