금융 보안 프로그램 의무 설치가 오히려 해킹 위험 높인다

국내 금융 보안 프로그램의 설치 의무화가 오히려 사이버 공격 위험성을 높인다는 연구 결과가 나왔습니다.


한국과학기술원(KAIST) 전기·전자공학부 김용대·윤인수 교수 공동 연구팀은 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리와 공동으로 한국 금융 보안 소프트웨어를 분석, 설계상 구조적 결함과 취약성을 발견했다고 오늘(2일) 밝혔습니다.

연구팀은 북한의 사이버 공격 사례에서 한국의 보안 소프트웨어가 왜 주요 표적이 되는지에 주목했습니다.

국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램(Korea Security Applications, 이하 KSA)을 분석해 총 19건의 심각한 보안 취약점을 발견했습니다.

주요 사례별로 보면, 일부 KSA는 키보드 입력 내용을 암호화해 웹사이트에 전달하지만, 해킹 웹사이트가 해당 기능을 이용할 경우 사용자의 키보드 입력을 훔쳐보거나 저장할 수 있다는 문제가 있습니다.

공인인증서를 보호하겠다고 만들어진 일부 KSA는 응용 프로그램 인터페이스(API)를 통해 인증서를 제공하는데, 이때 사용자 이름 등 개인정보가 암호화되지 않은 상태로 노출될 수 있습니다.

이밖에 중간자 공격(MITM·Man-in-the-middle), 원격코드 실행(RCE), 사용자 식별·추적 등의 취약점이 지적됐습니다.

이는 국내 금융 보안 소프트웨어들이 보안을 유지하기 위해 민감 정보에 대한 접근을 제한하는 웹 브라우저의 보안 구조를 우회하는 방식을 사용하기 때문이라고 연구팀은 지적했습니다.

이런 액티브X(ActiveX) 방식의 보안 플러그는 취약성과 기술적 한계로 지원이 중단됐지만, 실제로는 실행파일(.exe)을 사용한 비슷한 구조로 대체되면서 여전히 보안 위험이 지속되고 있습니다.

문제는 한국에서는 금융·공공서비스 이용 시 이러한 보안 프로그램의 설치를 의무화하고 있다는 점입니다.

연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사 결과, 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있다고 답했습니다.

이 중 59.3%는 '무엇을 하는 프로그램인지 모른다'고 응답했습니다.

실제 사용자 PC 48대를 분석한 결과, 1인당 평균 9개의 KSA가 설치돼 있었습니다.

일부 취약점은 연구팀의 제보로 패치됐으나, 여전히 근본적인 설계 취약점은 해결되지 않은 상황이라고 연구팀은 전했습니다.

김용대 교수는 "보안 소프트웨어가 사용자의 안전을 위한 도구가 되어야 함에도 오히려 공격의 통로로 악용될 수 있다"며 "비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다"고 제언했습니다.

(사진=KAIST 제공, 연합뉴스)