금융보안 SW, 치명적 취약점 수두룩
KAIST, 금융 필수 보안 소프트웨어 해킹 악용 가능성 있어
심각한 보안 취약점 19건 발견...금융보안 소프트웨어 설치 의무화 오히려 취약
안전한 금융 환경 위해 웹 표준과 브라우저 보안 모델 따르는 전환 필요
국내 금융 보안 소프트웨어 설치 의무가 오히려 보안 위협에 취약할 수도 있다는 연구 결과가 나왔다.
카이스트 연구팀이 북한 사이버 공격 사례에서 한국 보안 소프트웨어가 왜 주요 표적이 되는지 분석한 결과, 해당 소프트웨어들이 설계상 구조적 결함과 구현상 취약점을 동시에 내포하고 있는 것으로 드러났다.
연구팀이 국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램을분석한 결과 총 19건의 심각한 보안 취약점을 발견됐다. 주요 취약점은 △키보드 입력 탈취 △중간자 공격 △공인인증서 유출 △원격 코드 실행 △사용자 식별 및 추적 등이다. 일부 취약점은 연구진 제보로 패치 됐으나, 전체 보안 생태계를 관통하는 근본적 설계 취약점은 여전히 해결되지 않았다.
전국 400명 대상으로 실시한 금융 보안 프로그램 설문조사에선 97.4%가 금융서비스 이용을 위해 보안 프로그램을 설치한 경험이 있다고 응답했다. 이중 59.3%는 "무엇을 하는 프로그램인지 모른다"고 답변했다.
실제 사용자 PC 48대를 분석한 결과 1인당 평균 9개 보안 프로그램이 설치돼 있었다. 이중 다수는 2022년 이전 버전이었고, 일부는 2019년 버전까지 사용되고 있었다. 이는 국내 금융보안 소프트웨어들이 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐기 때문이다.
문제는 한국의 금융 및 공공서비스 이용 시 보안 프로그램 설치가 의무화란 점이다. 카이스트 김용대 교수는 "문제는 단순한 버그가 아니라 웹은 위험해 보호해야 한다는 브라우저의 보안 철학과 정면 충돌 구조”라며, "구조적으로 안전하지 않은 시스템은 작은 실수도 치명적인 보안 사고로 이어질 수 있다"고 우려했다”
이어 김 교수는 "이제는 비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다”며 "그렇지 않으면 향후에도 국가 차원의 보안 위협의 중심이 될 것"이라고 덧붙였다”
