국내 금융 보안 프로그램 설치 의무화가 오히려 사이버 공격에 취햑할 수 있다는 연구결과가 발표됐다.

2일 한국과학기술원(KAIST) 전기·전자공학부 김용대·윤인수 교수 공동 연구팀이 고려대 김승주 교수, 성균관대 김형식 교수, 보안 전문기업 티오리(Theori)와 공동으로 진행한 연구에서 한국 금융보안 소프트웨어의 취약점을 지적했다.

연구진은 한국의 보안 소프트웨어가 북한의 사이버 공격 주요 표적이 되는 이유에 주목했다.

분석 결과 해당 소프트웨어가 설계상 구조적 결함과 구현상 취약점을 동시에 내포하고 있었으며, 위 보안 프로그램 설치를 의무화하고 있는 한국의 제도가 이를 심화시키고 있다고 주장했다.

금융 보안 소프트웨어 설치 의무화는 전 세계에서도 유례가 없는 정책이다.

연구팀은 국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램(Korea Security Applications, 이하 KSA)을 분석해 총 19건의 보안 취약점을 발견했다. 주요 취약점으로는 ‘키보드 입력 탈취’, ‘중간자 공격’, ‘공인 인증서 유출’, ‘사용자 식별 및 추적’ 등이 있다.

이 중 일부는 연구진의 제보로 개선되었으나, 전체 보안 생태계를 관통하는 근본적 설계 취약점은 여전히 해결되지 않은 상태다.

연구진은 국내 금융 보안 소프트웨어가 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐다고 지적했다. 현재 KSA는 키보드 보안, 방화벽, 인증서 저장 이른바 ‘보안 3종 세트’를 위해 브라우저 외부 채널을 통해 제한을 우회하고 있다.

이는 보안 플러그인 ActiveX를 통해 이뤄졌으나, 보안 취약성과 기술적 한계로 ActiveX 지원이 중단되면서 근본적 개선이 이뤄질 것으로 기대되었다. 그러나 실제로는 실행파일(exe.)를 활용한 유사 구조로 대체되며 기존 문제가 반복되었다.

여전히 브라우저 보안 경계를 우회하고, 민감 정보에 직접 접근하는 보안 리스크가 지속되고 있는 실정이다.

연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사에서 97.4%가 KSA를 설치한 경험이 있었으며, 이 중 59.3%는 ‘무엇을 하는 프로그램인지 모른다’고 응답했다.

이에 김용대 교수는 “비표준 보안 소프트웨어를 강제 설치하는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다”며, “그렇지 않으면 KSA가 국가 차원 보안 위협의 중심이 될 것”이라고 강조했다.

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]