“의무 설치 금융 보안 SW, 오히려 해킹에 취약”

KAIST, 주요 금융기관 SW 분석
보안구조 우회하다 정보 노출 위험
“강제 설치 말고 웹 표준 모델 따라야”

국내 금융 보안 프로그램의 설치 의무화가 오히려 사이버 공격에 악용될 수 있다는 연구 결과가 나왔다.

KAIST 전기·전자공학부 김용대·윤인수 교수 공동 연구팀은 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리와 공동으로 한국 금융 보안 소프트웨어를 분석해 설계상 구조적 결함과 취약성을 발견했다고 2일 밝혔다.

연구팀은 국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램(KSA)을 분석해 총 19건의 심각한 보안 취약점을 발견했다. 주요 취약점은 △키보드 입력 탈취 △중간자 공격(MITM) △공인인증서 유출 △원격 코드 실행(RCE) △사용자 식별 및 추적 등으로 나타났다.

이 같은 문제는 국내 금융 보안 소프트웨어들의 구조적 한계 때문이다. 기본적으로 웹 브라우저는 외부 웹사이트가 시스템 내부 파일 등 민감 정보에 접근하지 못하도록 제한하고 있다. 그러나 국내 금융 보안 소프트웨어들은 이 같은 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 한다.

연구팀은 “금융·공공서비스 이용 시 이 같은 보안 프로그램 설치를 의무화하는 것은 전 세계적으로도 유례가 없는 정책”이라고 지적했다. 실제 연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사 결과 응답자의 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있다고 답했다.

김용대 교수는 “보안 소프트웨어가 사용자의 안전을 위한 도구가 되어야 함에도 오히려 공격의 통로로 악용될 수 있다”며 “비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다”고 말했다.