사진 확대

법으로 설치가 의무화된 보안 소프트웨어가 오히려 해킹 타깃이 되고 있다는 지적이 나왔다. 우리나라는 금융 보안 소프트웨어 설치를 의무화한 유일한 국가이지만, 오히려 이 제도가 보안 생태계를 위협한다는 지적이 나온다.

KAIST는 김용대·윤인수 전기전자공학부 교수가 이끄는 공동 연구팀이 한국 금용보안 소프트웨어의 구조적 취약점을 분석했다고 2일 밝혔다.

한국에서 금융 및 공공서비스를 이용하려면 보안 소프트웨어(KSA)를 반드시 설치해야 한다. 회사나 기관마다 사용하는 보안 소프트웨어가 다르다보니 사용자의 컴퓨터에는 여러 소프트웨어가 설치된다.

연구진이 전국 400명을 대상으로 설문조사 한 결과, 97.4%가 금융 서비스를 이용하기 위해 KSA를 설치했다고 답했다. 컴퓨터 한 대당 평균 9개의 KSA가 설치되어 있었다.

문제는 이 같은 보안 소프트웨어가 북한의 사이버 공격부대의 주요 표적이 되고 있다는 점이다. 실제로 2023년 북한이 배후라고 의심받는 해킹조직 ‘라자루스’가 한국에서 많이 사용되는 보안인증 프로그램인 ‘이니세이프’를 표적으로 삼아 61개 기관을 해킹한 바 있다.

연구에 따르면 이는 보안 소프트웨어의 구조적 결함 때문이다. 주요 금융기관과 공공기관에서 사용하는 7종의 소프트웨어를 분석한 결과, 연구진은 총 19건의 심각한 보약 취약점을 발견했다.

해커들이 이 취약점을 파고 들면 사용자의 키보드 입력값을 그대로 읽어내거나, 공인인증서를 유출하고, 사용자의 인터넷 사용을 계속해서 추적할 수 있다.

연구진이 보안 소프트웨어 회사에 취약점을 제보해 일부 문제는 해결됐으나, 보안 생태계 전반을 아우르는 문제는 여전하다. 김용대 교수는 “한국 보안의 근본적인 전환을 이루지 않으면 문제가 해결되기 어렵다”고 설명했다.

한국은 해외와 다른 갈라파고스적 보안 생태계를 갖고 있다. 해외의 경우, 별도의 보안 소프트웨어를 설치하지 않아도 각종 서비스를 이용할 수 있다. 예를 들어 구글의 G메일을 사용할 때 사용자는 보안 소프트웨어가 필요 없다.

이는 각 회사들이 자체적으로 웹 브라우저에 기반한 보안 프로그램을 갖고 있기 때문이다. 크롬, 사파리 등의 웹 브라우저는 민감 정보에 접근하지 못하는 등의 보안 기능을 갖고 있다.

한국의 보안 소프트웨어는 웹 브라우저의 보안 기능을 회피한 채, 스스로 처음부터 만들어낸 보안 시스템을 사용한다. 김 교수는 “개발자가 조금이라도 실수하면 해킹 위험에 고스란히 노출되는 것”이라고 말했다.

이처럼 한국의 특이한 구조는 주요 기업과 기관의 ‘보안 하청’ 때문이라고 연구팀은 지적했다. 해외 기업과 기관들은 직접 보안에 투자하고 해킹 사고가 발생하면 직접 책임을 진다. 그러나 한국의 경우 보안 소프트웨어 회사에 보안을 맡기고, 심지어는 정부 차원에서 보안 소프트웨어 설치를 의무화하는 구조를 갖고 있다.

김 교수는 “시장 경제에 따라 보안 업무를 하면 되는데 우리는 그렇지 않다”며 “이제는 비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 구조적인 전환이 필요하다”고 했다.

사진 확대