김용대 교수, 윤인수 교수, 김형식 교수, 김승주 교수(윗줄 왼쪽부터)와 윤태식 연구원, 이용화 연구원, 정수환 연구원(아랫줄 왼쪽부터). 카이스트 제공금융 보안 소프트웨어 설치 의무화가 오히려 보안 위협에 취약할 수도 있다는 우려가 국내 연구진에 의해 밝혀졌다.
한국과학기술원(KAIST)은 전기및전자공학부 김용대·윤인수 교수 공동 연구팀과 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리(Theori) 소속 연구진이 금융 보안 소프트웨어의 구조적 취약점을 발견했다고 2일 밝혔다.
연구팀은 금융 보안 소프트웨어들이 설계상의 구조적 결함과 구현상 취약점을 동시에 내포하고 있다는 점을 확인했다.
국내에서는 금융 및 공공서비스 이용 시 보안 프로그램의 설치를 의무화하고 있다. 이는 전 세계적으로도 유례가 없는 정책이다.
연구팀은 국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램(이하 KSA 프로그램)을 분석해 총 19건의 심각한 보안 취약점을 발견했다. 주요 취약점은 ▲키보드 입력 탈취 ▲중간자 공격(MITM) ▲공인인증서 유출 ▲원격 코드 실행(RCE) ▲사용자 식별 및 추적 이다.
일부 취약점은 연구진의 제보로 패치됐으나, 전체 보안 생태계를 관통하는 근본적 설계 취약점은 여전히 해결되지 않은 상태다.
연구팀은 국내 금융보안 소프트웨어들이 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐다고 지적했다.
브라우저는 원칙적으로 외부 웹사이트가 시스템 내부 파일 등 민감 정보에 접근하지 못하도록 제한하지만, KSA는 키보드 보안, 방화벽, 인증서 저장으로 구성된 이른바 '보안 3종 세트'를 유지하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 활용 등 브라우저 외부 채널을 통해 이런 제한을 우회하는 방식을 사용하고 있다.
이런 방식은 2015년까지는 보안 플러그인 ActiveX를 통해 이뤄졌지만, 보안 취약성과 기술적 한계로 ActiveX 지원이 중단되면서 근본적인 개선이 이뤄질 것으로 기대됐다. 그러나 실제로는 실행파일(.exe)을 활용한 유사한 구조로 대체되면서, 기존의 문제를 반복하는 방식으로 이어졌다. 이로 인해 브라우저 보안 경계를 우회하고, 민감 정보에 직접 접근하는 보안 리스크가 여전히 지속되고 있다.
이같은 설계는 ▲동일 출처 정책(Same-Origin Policy, SOP)* ▲샌드박스** ▲권한 격리*** 등 최신 웹 보안 메커니즘과 정면으로 충돌한다. 연구팀은 실제로 이런 구조가 새로운 공격 경로로 악용될 수 있음을 실증적으로 확인했다.
KAIST 김용대 교수는 "문제는 단순한 버그가 아니라, '웹은 위험하므로 보호해야 한다'는 브라우저의 보안 철학과 정면으로 충돌하는 구조"라며 "비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다"고 말했다.