 |
국내 주요 보안 소프트웨어의 취약점을 이용해 위조 인증서를 생성한 모습(KASIT 제공) /뉴스1 |
(대전=뉴스1) 김종서 기자 = 국내 연구진이 설치 의무화된 금융 보한 소프트웨어가 오히려 보안 위협에 취약할 수 있다는 연구 결과를 내놨다.
한국과학기술원(KAIST)는 전기및전자공학부 김용대·윤인수 교수 공동 연구팀이 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리 소속 연구진과 공동연구를 통해 한국 금융보안 소프트웨어의 구조적 취약점을 체계적으로 분석한 연구 결과를 발표했다고 2일 밝혔다.
연구진은 북한의 사이버 공격 사례에서 한국의 보안 소프트웨어가 주요 표적이 되는 이유에 주목했다. 분석 결과 해당 소프트웨어들이 설계상의 구조적 결함과 구현상 취약점을 동시에 갖고 있음이 드러났다.
특히 전 세계적으로 유례가 없는 한국의 금융 및 공공서비스 이용 시 보안 프로그램 설치 의무화 정책이 큰 문제라는 지적이다. 연구팀은 국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램(KSA)을 분석해 총 19건의 심각한 보안 취약점을 발견했다. 주요 취약점은 △키보드 입력 탈취 △중간자 공격(MITM) △공인인증서 유출 △원격 코드 실행(RCE) △사용자 식별 및 추적이다.
일부 취약점은 연구진의 제보로 패치됐으나 전체 보안 생태계를 관통하는 근본적 설계 취약점은 여전히 해결되지 않은 상태다. 연구진은 "보안 소프트웨어는 사용자의 안전을 위한 도구가 돼야 함에도 오히려 공격의 통로로 악용될 수 있다"며 보안의 근본적 패러다임 전환이 필요하다"고 강조했다.
연구팀은 또 국내 금융보안 소프트웨어들이 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐다고 꼬집었다. 브라우저는 원칙적으로 외부 웹사이트가 시스템 내부 파일 등 민감 정보에 접근하지 못하도록 제한하지만 KSA는 브라우저 외부 채널을 통해 제한을 우회하는 방식을 사용하고 있다.
이 같은 방식은 취약성과 기술적 한계를 가진 보안 플러그인 액티브X(ActiveX)의 사용이 중단된 뒤에도 이어졌다고 연구팀은 설명했다. 실행파일(.exe)을 활용한 유사 구조로 대체되면서 브라우저 보안 경계를 우회하고 민감 정보에 직접 접근하는 보안 리스크가 여전히 지속되고 있다.
이 설계는 △동일 출처 정책(Same-Origin Policy, SOP) △샌드박스 △권한 격리 등 최신 웹 보안 메커니즘과 정면으로 충돌한다. 연구팀은 실제로 이러한 구조가 새로운 공격 경로로 악용될 수 있음을 실증적으로 확인했다.
연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사 결과 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있었으며 이 중 59.3%는 '무엇을 하는 프로그램인지 모른다'고 응답했다. 실제 사용자 PC 48대를 분석한 결과 1인당 평균 9개의 KSA가 설치돼 있었고 다수는 2022년 이전 버전이었다. 일부는 2019년 버전까지 사용되고 있었다.
김용대 교수는 "문제는 단순한 버그가 아니라 ‘웹은 위험하므로 보호해야 한다’는 브라우저의 보안 철학과 정면으로 충돌하는 구조"라며 "이처럼 구조적으로 안전하지 않은 시스템은 작은 실수도 치명적인 보안 사고로 이어질 수 있다"고 강조했다.
이어 "이제는 비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다"며 "그렇지 않으면 KSA는 향후에도 국가 차원의 보안 위협의 중심이 될 것"이라고 말했다.
이번 연구 논문은 국제 보안학회 '유즈닉스 시큐리티 2025'에 채택됐다.
jongseo12@news1.kr
Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.