국내 금융 서비스 이용 시 필수로 설치되는 보안 소프트웨어들이 오히려 해킹에 악용될 수 있는 구조적 취약점을 갖고 있다는 연구 결과가 나왔다.
한국과학기술원(KAIST)은 2일, 전기및전자공학부 김용대·윤인수 교수, 고려대 김승주 교수, 성균관대 김형식 교수, 보안기업 티오리 등 공동 연구팀이 국내 금융 보안 소프트웨어의 위험 구조를 체계적으로 분석한 연구를 발표했다고 밝혔다. 이 논문은 세계적 보안 학회 ‘유즈닉스 시큐리티(USENIX Security) 2025’에 채택됐다.
연구팀은 국내 주요 금융기관과 공공기관에서 사용하는 보안 프로그램 7종을 분석한 결과, 총 19건의 심각한 보안 취약점을 발견했다고 밝혔다. 주요 문제로는 키보드 입력 탈취, 공인인증서 유출, 원격 코드 실행, 사용자 추적, 중간자 공격 등이 확인됐다.
특히 연구팀은 이들 보안 프로그램이 웹 브라우저의 기본 보안 모델을 우회하는 방식으로 설계돼 있다는 점에 주목했다. 일반적으로 브라우저는 외부 웹사이트가 시스템 내부 파일에 접근하지 못하도록 설계돼 있지만, 한국형 보안 소프트웨어(KSA)는 이를 회피하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 등을 활용해 민감한 시스템 기능에 접근하도록 구성돼 있다는 것이다.
이러한 구조적 위험은 사용자 인식 부족과 관리 부실로 더욱 심화되고 있다. 연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사 결과, 응답자의 97.4%가 금융 서비스 이용을 위해 해당 보안 프로그램을 설치한 경험이 있었고, 이 중 59.3%는 “무엇을 하는 프로그램인지 모른다”고 답했다. 실제 사용자 PC 48대를 분석한 결과, 1인당 평균 9개의 KSA가 설치돼 있었으며, 이들 중 다수는 2022년 이전 버전, 일부는 2019년 버전까지 사용되고 있었다.
연구팀은 이러한 보안 소프트웨어들이 복잡한 설계와 구현상의 취약점을 동시에 내포하고 있어 북한 등 외부 위협의 주요 표적이 될 수 있다고 경고했다. 현재 전 세계에서 금융 보안 프로그램 설치를 법적으로 의무화한 국가는 한국이 유일하다.
김용대 교수는 “구조적으로 안전하지 않은 시스템은 사소한 실수 하나가 치명적인 보안 사고로 이어질 수 있다”며 “사용자에게 비표준 보안 프로그램을 강제로 설치하게 하는 방식보다는, 웹 표준과 브라우저 보안 모델을 따르는 접근이 필요하다”고 강조했다.
김지윤 기자/ hello@sciencewave.kr
Science Wave에서 더 알아보기
구독을 신청하면 최신 게시물을 이메일로 받아볼 수 있습니다.