뉴스레터
국내 금융 보안 프로그램의 설치 의무화가 오히려 사이버 공격 위험성을 높인다는 연구 결과가 나왔다.
한국과학기술원(KAIST) 전기·전자공학부 김용대·윤인수 교수 공동 연구팀은 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리와 공동으로 한국 금융 보안 소프트웨어를 분석, 설계상 구조적 결함과 취약성을 발견했다고 2일 밝혔다.
연구팀은 북한의 사이버 공격 사례에서 한국의 보안 소프트웨어가 왜 주요 표적이 되는지에 주목했다.
국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램(Korea Security Applications, 이하 KSA)을 분석해 총 19건의 심각한 보안 취약점을 발견했다.
주요 사례별로 보면, 일부 KSA는 키보드 입력 내용을 암호화해 웹사이트에 전달하지만, 해킹 웹사이트가 해당 기능을 이용할 경우 사용자의 키보드 입력을 훔쳐보거나 저장할 수 있다는 문제가 있다.
공인인증서를 보호하겠다고 만들어진 일부 KSA는 응용 프로그램 인터페이스(API)를 통해 인증서를 제공하는데, 이때 사용자 이름 등 개인정보가 암호화되지 않은 상태로 노출될 수 있다.
이밖에 중간자 공격(MITM·Man-in-the-middle), 원격코드 실행(RCE), 사용자 식별·추적 등의 취약점이 지적됐다.
이는 국내 금융 보안 소프트웨어들이 보안을 유지하기 위해 민감 정보에 대한 접근을 제한하는 웹 브라우저의 보안 구조를 우회하는 방식을 사용하기 때문이라고 연구팀은 지적했다.
이런 액티브X(ActiveX) 방식의 보안 플러그는 취약성과 기술적 한계로 지원이 중단됐지만, 실제로는 실행파일(.exe)을 사용한 비슷한 구조로 대체되면서 여전히 보안 위험이 지속되고 있다.
문제는 한국에서는 금융·공공서비스 이용 시 이러한 보안 프로그램의 설치를 의무화하고 있다는 점이다.
연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사 결과, 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있다고 답했다. 이 중 59.3%는 '무엇을 하는 프로그램인지 모른다'고 응답했다. 실제 사용자 PC 48대를 분석한 결과, 1인당 평균 9개의 KSA가 설치돼 있었다.
일부 취약점은 연구팀의 제보로 패치됐으나, 여전히 근본적인 설계 취약점은 해결되지 않은 상황이라고 연구팀은 전했다.
김용대 교수는 "보안 소프트웨어가 사용자의 안전을 위한 도구가 되어야 함에도 오히려 공격의 통로로 악용될 수 있다"며 "비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다"고 제언했다.
- 연합뉴스
- 저작권자 2025-06-04 ⓒ ScienceTimes
관련기사
