KAIST "필수 보안 소프트웨어가 해킹 통로로 악용"아시아경제 기사제공: 2025-06-02 08:11:48

한국은 의무적으로 금융 보안 소프트웨어를 설치해야 하는 유일한 국가다.
하지만 금융 보안 소프트웨어가 오히려 보안 위협에 노출될 우려를 키운다는 지적이 나왔다.
이를 해결하기 위해선 보안 프로그램을 강제 설치하기보다, 웹사이트와 인터넷 브라우저에서 설정한 안전한 규칙과 웹 표준을 따르는 '근본적 전환'이 필요하다는 것이 전문가 제언이다.

KAIST는 전기 및 전자공학부 김용대·윤인수 교수 연구팀이 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리(Theori) 소속 연구팀과 '한국 금융보안 소프트웨어의 구조적 취약점'을 분석한 연구 결과를 2일 발표했다.

우선 공동연구팀은 북한의 사이버 공격에서 한국의 보안 소프트웨어가 주요 표적이 되는 이유에 주목해 원인 분석을 진행했다.
이 결과 국내 보안 소프트웨어가 갖는 설계상 구조적 결함과 소프트웨어 구현상 취약점이 동시에 드러났다.

무엇보다 국내에서 금융 및 공공서비스를 이용할 때 보안 프로그램 설치가 의무화된 점은 사이버 공격의 주요 표적이 되는 원인 중 하나로 작용한다.
구조적 결함과 구현상 취약점이 되레 사이버 공격의 경로로 악용되고 있다는 것이다.

실례로 공동연구팀은 국내 주요 금융기관과 공공기관에서 사용하는 7종의 주요 보안 프로그램(Korea Security Applications·이하 KSA 프로그램)을 분석해 총 19건의 보안 취약점을 발견했다.
주요 취약점은 ▲키보드 입력 탈취 ▲중간자 공격(MITM) ▲공인인증서 유출 ▲원격 코드 실행(RCE) ▲사용자 식별 및 추적 등이다.

일부 취약점은 공동연구팀의 제보로 패치(응급조치로 프로그램의 일부를 빠르게 수정)됐지만, 보안 생태계 전반을 관통하는 근본적 설계 취약점은 여전히 해결되지 않은 상태다.

같은 이유로 공동연구팀은 "보안 소프트웨어가 '사용자의 안전을 위한 도구가 돼야 한다'는 기본 전제가 지켜지지 않고, 되레 공격의 통로로 악용될 수 있다"는 점을 지적하면서 "보안 생태계의 근본적 패러다임 전환이 필요하다"는 점을 강조했다.

가령 국내 금융보안 소프트웨어는 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐다.

이때 브라우저는 원칙적으로 외부 웹사이트가 시스템 내부의 파일 등 민감 정보에 접근하지 못하도록 제한하지만, KSA는 키보드 보안, 방화벽, 인증서 저장으로 구성된 이른바 '보안 3종 세트'를 유지하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 활용 등 브라우저 외부 채널로 이러한 제한을 우회하는 방식을 사용한다.

이러한 방식은 2015년까지 보안 플러그인 ActiveX를 통해 이뤄졌지만, 보안 취약성과 기술적 한계로 ActiveX 지원이 중단돼 근본적인 개선이 이뤄질 것으로 기대됐다.

하지만 실상은 실행파일(.exe)을 활용한 유사한 구조로 대체돼 기존의 문제를 반복하는 한계를 보였고, 이 때문에 브라우저 보안 경계를 우회하거나 민감 정보에 직접 접근하는 보안 리스크가 여전히 남았다는 것이 공동연구팀의 지적이다.

특히 이러한 설계는 ▲동일 출처 정책(Same-Origin Policy·SOP) ▲샌드박스 ▲권한 격리 등 최신 웹 보안 메커니즘과 정면으로 충돌해 새로운 공격 경로로 악용될 수 있다는 사실이 실증적으로 확인했다.

실제 공동연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사에서 응답자의 97.4%는 '금융서비스 이용을 위해 KSA를 설치한 경험이 있다'고 응답했으며, 이중 59.3%는 '무엇을 하는 프로그램인지 모른다'고 답했다.

실사용 PC 48대를 분석했을 때는 1인당 평균 9개의 KSA가 설치됐고 다수는 2022년 이전 버전, 일부는 2019년 버전을 사용 중인 것으로 확인되기도 했다.

김용대 교수는 "구조적으로 안전하지 않은 시스템은 작은 실수로도 치명적인 보안 사고를 야기할 수 있다"며 "이제는 비표준 보안 소프트웨어 설치를 의무화하기보다, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환할 필요가 있다"고 말했다.

또 "그렇지 않으면 KSA는 향후에도 국가 차원의 보안 위협의 중심이 될 것"이라고 우려했다.