대한민국은 금융·공공서비스 이용 시 금융 보안 소프트웨어 설치를 의무화한 유일한 국가다. 이것이 오히려 보안 위협에 취약할 수도 있다는 우려가 국내 연구진에 의해 밝혀졌다.

한국과학기술원(KAIST) 전기·전자공학부 김용대·윤인수 교수 공동 연구팀은 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리와 공동으로 한국 금융 보안 소프트웨어를 분석, 설계상 구조적 결함과 취약성을 발견했다고 밝혔으며 공동연구팀이 밝힌 논문 Taisic Yun et al, “Too Much of a Good Thing (In-) Security of Mandatory Security Software for Financial Services in South Korea”, USENIX Security는 세계 최고 권위의 보안 학회 중 하나인 '유즈닉스 시큐리티 2025(USENIX Security 2025)'에 채택되며 그 신뢰성을 입증했다.

연구팀은 북한의 사이버 공격 사례에서 한국의 보안 소프트웨어가 왜 주요 표적이 되는지에 주목했다.

국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램(Korea Security Applications, 이하 KSA)을 분석해 총 19건의 심각한 보안 취약점을 발견했다.

주요 취약점은 ▲키보드 입력 탈취 ▲중간자 공격(MITM) ▲공인인증서 유출 ▲원격 코드 실행(RCE) ▲사용자 식별 및 추적이다.

주요 취약점을 간단하게 살펴보면, 일부 KSA는 키보드 입력 내용을 암호화해 웹사이트에 전달하지만, 해킹 웹사이트가 해당 기능을 이용할 경우 사용자의 키보드 입력을 훔쳐보거나 저장할 수 있다는 문제가 있다.

공인인증서를 보호하겠다고 만들어진 일부 KSA는 응용 프로그램 인터페이스(API)를 통해 인증서를 제공하는데, 이때 사용자 이름 등 개인정보가 암호화되지 않은 상태로 노출될 수 있다.

이밖에 중간자 공격(MITM·Man-in-the-middle), 원격코드 실행(RCE), 사용자 식별·추적 등의 취약점이 지적됐다.

이는 국내 금융 보안 소프트웨어들이 보안을 유지하기 위해 민감 정보에 대한 접근을 제한하는 웹 브라우저의 보안 구조를 우회하는 방식을 사용하기 때문이라고 연구팀은 지적했다.

브라우저는 원칙적으로 외부 웹사이트가 시스템 내부 파일 등 민감 정보에 접근하지 못하도록 제한하지만, KSA는 키보드 보안, 방화벽, 인증서 저장으로 구성된 이른바 ‘보안 3종 세트’를 유지하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 활용 등 브라우저 외부 채널을 통해 이러한 제한을 우회하는 방식을 사용하고 있다.

이러한 방식은 2015년까지는 보안 플러그인 ActiveX를 통해 이뤄졌지만, 보안 취약성과 기술적 한계로 ActiveX 지원이 중단되면서 근본적인 개선이 이뤄질 것으로 기대됐다. 그러나 실제로는 실행파일(. exe)을 활용한 유사한 구조로 대체되면서, 기존의 문제를 반복하는 방식으로 이어졌다. 이로 인해 브라우저 보안 경계를 우회하고, 민감 정보에 직접 접근하는 보안 리스크가 여전히 지속되고 있다.

이러한 설계는 ▲동일 출처 정책(Same-Origin Policy, SOP) ▲샌드박스 ▲권한 격리 등 최신 웹 보안 메커니즘과 정면으로 충돌한다. 연구팀은 실제로 이러한 구조가 새로운 공격 경로로 악용될 수 있음을 실증적으로 확인했다

이러한 문제가 발견되는데도 보안프로그램을 수정, 교체하지 않는 것일까? 그 이유는 현재의 보안프로그램은 은행이 책임을 회피하기 위한 도구로 사용되고 있기 때문이다.

전자금융거래법 제9조를 보면 법인(「중소기업기본법」제2조 제2항에 의한 소기업을 제외한다)인 이용자에게 손해가 발생한 경우로 금융회사 또는 전자금융업자가 사고를 방지하기 위하여 보안절차를 수립하고 이를 철저히 준수하는 등 합리적으로 요구되는 충분한 주의의무를 다한 경우 그 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다고 명시되어 있다.

즉 현재의 보안프로그램은 책임 분산을 위한 도구로 활용되고 있는 중입니다.

KAIST 김용대 교수는 “문제는 단순한 버그가 아니라, ‘웹은 위험하므로 보호해야 한다’는 브라우저의 보안 철학과 정면으로 충돌하는 구조”라며 “이처럼 구조적으로 안전하지 않은 시스템은 작은 실수도 치명적인 보안 사고로 이어질 수 있다”라고 강조했다.

이어 “이제는 비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다”며, “그렇지 않으면 KSA는 향후에도 국가 차원의 보안 위협의 중심이 될 것”이라고 덧붙였습니다.

최근 SKT텔레콤 해킹사태가 발생하며 보안에 대한 중요도와 필요성이 날로 증가하는 가운데 현재의 보안프로그램의 문제점은 우리가 반드시 해결해야 하는 과제 중 하나로 보인다.