韓 금융 보안 SW는 '합법적 위협'→오히려 해킹 악용 가능성↑

[아이뉴스24 정종오 기자] “KSA는 법과 제도, 업계 관행이 만들어낸 ‘합법적 위협’이 되고 있다. 여러 금융기관과 보안업체가 독자적으로 구현한 소프트웨어가 사실상 표준이 되는 구조에서 벗어나지 않는 한, 이 문제는 반복될 수밖에 없다.”(김승주 고려대 교수)

일부 KSA(Korea Security Applications) 프로그램이 오히려 해킹의 가능성을 높이고 있다는 지적이 나왔다. 구체적 사례도 언급됐다.

KSA의 키보드 보안이 오히려 키 입력 도청 가능성을 높였다. 일부 KSA 프로그램은 키보드 입력 내용을 암호화해 웹사이트에 전달한다. 만약 해킹 웹사이트가 해당 기능을 이용하면 이용자의 키보드 입력을 훔쳐보거나 저장할 수 있었다.

공인인증서를 보호하겠다고 만들어진 일부 KSA는 API를 통해 인증서를 제공하는데 이때 이용자 이름 등 개인정보가 암호화되지 않은 상태로 노출될 수 있다.

전문가들은 안전한 금융 환경을 위해서는 웹 표준과 브라우저 보안 모델을 따르는 ‘근본적 대전환’이 필요하다고 주문했다.

우리나라는 금융 보안 소프트웨어 설치를 의무화한 유일한 국가다. 한국과학기술원(KAIST) 연구팀은 안전한 금융 환경을 위한 현재의 복잡하고 위험한 보안 프로그램을 강제로 설치하는 방식 대신 웹사이트와 인터넷 브라우저에서 원래 설정한 안전한 규칙과 웹 표준을 따르는 ‘대전환’이 필요하다고 설명했다.

KAIST(총장 이광형)는 전기및전자공학부 김용대·윤인수 교수 공동연구팀이 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리(Theori) 소속 연구팀과 공동연구를 통해 한국 금융보안 소프트웨어의 구조적 취약점을 체계적으로 분석한 연구 결과를 2일 발표했다.

연구팀은 북한의 사이버 공격 사례에서 왜 우리나라의 보안 소프트웨어가 주요 표적이 되는지에 주목했다. 분석 결과 해당 소프트웨어들이 설계상의 구조적 결함과 구현상 취약점을 동시에 내포하고 있음이 드러났다.

우리나라에서는 금융과 공공서비스를 이용할 때 이러한 보안 프로그램의 설치를 의무화하고 있다. 이는 전 세계적으로도 유례가 없는 정책이다. 연구팀은 국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램(Korea Security Applications, KSA 프로그램)을 분석해 총 19건의 심각한 보안 취약점을 발견했다.

주요 취약점으로 키보드 입력 탈취를 비롯해 △중간자 공격(MITM) △공인인증서 유출 △원격 코드 실행(RCE) △이용자 식별과 추적 등이었다.

일부 취약점은 연구팀의 제보로 패치됐는데 전체 보안 생태계를 관통하는 근본적 설계 취약점은 여전히 해결되지 않은 상태다.

연구팀은 "이러한 보안 소프트웨어는 이용자의 안전을 위한 도구가 돼야 함에도 오히려 공격의 통로로 악용될 수 있다”며 보안의 근본적 패러다임 전환이 필요하다고 강조했다.

연구팀은 국내 금융보안 소프트웨어들이 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐다고 지적했다. 브라우저는 원칙적으로 외부 웹사이트가 시스템 내부 파일 등 민감 정보에 접근하지 못하도록 제한한다.

KSA는 키보드 보안, 방화벽, 인증서 저장으로 구성된 이른바 ‘보안 3종 세트’를 유지하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 활용 등 브라우저 외부 채널을 통해 이러한 제한을 우회하는 방식을 사용하고 있다.

이러한 방식은 2015년까지는 보안 플러그인 ActiveX를 통해 이뤄졌다. 보안 취약성과 기술적 한계로 ActiveX 지원이 중단되면서 근본적 개선이 이뤄질 것으로 기대됐다.

실제로는 실행파일(.exe)을 활용한 유사한 구조로 대체되면서 기존의 문제를 반복하는 방식으로 이어졌다. 이로 인해 브라우저 보안 경계를 우회하고 민감 정보에 직접 접근하는 보안 리스크가 여전히 지속하고 있다.

이러한 설계는 최신 웹 보안 메커니즘과 정면으로 충돌한다. 연구팀은 실제로 이러한 구조가 새로운 공격 경로로 악용될 수 있음을 실증적으로 확인했다.

연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사 결과 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있었던 것으로 파악했다. 이 중 59.3%는 ‘무엇을 하는 프로그램인지 모른다’고 응답했다.

실제 이용자 PC 48대를 분석한 결과 1인당 평균 9개의 KSA가 설치돼 있었고 다수는 2022년 이전 버전이었다. 일부는 2019년 버전까지 사용되고 있었다.

김용대 교수는 “문제는 단순한 버그가 아니라 ‘웹은 위험하므로 보호해야 한다’는 브라우저의 보안 철학과 정면으로 충돌하는 구조”라며 “이처럼 구조적으로 안전하지 않은 시스템은 작은 실수도 치명적 보안 사고로 이어질 수 있다”고 강조했다.

이어 “이제는 비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다”며 “그렇지 않으면 KSA는 앞으로도 국가 차원의 보안 위협의 중심이 될 것”이라고 덧붙였다.

KAIST 김용대·윤인수 교수, 고려대 김승주 교수, 성균관대 김형식 교수가 관련 연구(논문명: Too Much of a Good Thing: (In-)Security of Mandatory Security Software for Financial Services in South Korea)를 주도했고 제1 저자인 윤태식 연구원(티오리/KAIST)을 비롯해 정수환(엔키화이트햇/KAIST), 이용화(티오리) 연구원이 참여했다.

국제 보안 학회 중 하나인 ‘유즈닉스 시큐리티 2025(USENIX Security 2025)’에 관련 논문이 채택됐다.