KAIST “필수 설치해야 하는 금융보안 SW가 해킹 악용 우려”

금융·공공 보안 프로그램 분석

7종서 보안 취약점 19건 발건

키보드 탈취·공인인증서 유출 등

韓만 금융보안 SW 설치 의무화

KSA를 활용한 사이버 공격 사례. 사진 제공=KAIST

필수로 설치해야 하는 금융 보안 소프트웨어가 오히려 해킹에 악용될 우려가 제기됐다.

한국과학기술원(KAIST)은 김용대·윤인수 전기및전자공학부 교수와 김승주 고려대 정보보호대학원 교수, 김형식 성균관대 소프트웨어학과 교수, 보안 전문기업 티오리 공동 연구팀이 한국 금융 보안 소프트웨어의 구조적 취약점을 체계적으로 분석한 연구결과를 내놓았다고 2일 밝혔다. 논문은 국제 보안 학회 ‘유즈닉스 시큐리티 2025’에 채택됐다.

연구팀은 국내 주요 금융기관과 공공기관에서 사용하는 보안 프로그램 7종을 분석한 결과 총 19건의 심각한 보안 취약점을 발견했다고 설명했다. 주요 취약점으로 키보드 입력 탈취, 중간자 공격, 공인인증서 유출, 원격 코드 실행, 사용자 식별 및 추적 등이 있다.



연구팀은 또 국내 금융보안 소프트웨어들이 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐다고 지적했다. 브라우저는 원칙적으로 외부 웹사이트가 시스템 내부 파일 등 민감 정보에 접근하지 못하도록 제한한다. 하지만 이번에 문제 제기된 ‘설계 철학 자체가 위험한 시스템(KSA)은 키보드 보안, 방화벽, 인증서 저장으로 구성된 이른바 ‘보안 3종 세트’를 유지하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 응용프로그램인터페이스(API) 활용 등 브라우저 외부 채널을 통해 이러한 제한을 우회하는 방식을 사용하고 있다.

연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사 결과 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있었다. 이 중 59.3%는 ‘무엇을 하는 프로그램인지 모른다’고 응답했다. 실제 사용자 PC 48대를 분석한 결과 1인당 평균 9개의 KSA가 설치돼 있었고 다수는 2022년 이전 버전이었다. 일부는 2019년 버전까지 사용되고 있었다.

이처럼 금융 보안 소프트웨어가 설계상의 구조적 결함과 구현상 취약점을 동시에 내포한 탓에 북한의 사이버 공격 등의 주요 표적이 되고 있다는 주장도 제기됐다. 한국은 금융 보안 소프트웨어 설치를 의무화한 유일한 국가다. 복잡하고 위험한 보안 프로그램을 강제로 설치하는 대신 웹사이트와 인터넷 브라우저에서 원래 설정한 안전한 규칙과 웹 표준을 따르는 방식으로의 전환이 필요하다는 게 연구팀의 설명이다.

김 교수는 “구조적으로 안전하지 않은 시스템은 작은 실수도 치명적인 보안 사고로 이어질 수 있다”며 “비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다”고 말했다.