설치가 의무화된 금융 보안 소프트웨어(SW)가 오히려 해킹의 공격 통로로 악용될 수 있다는 연구 결과가 나왔다.

한국과학기술원(KAIST)은 전기및전자공학부 김용대·윤인수 교수 공동연구팀이 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리 소속 연구진과 공동연구를 통해 한국 금융보안 SW의 구조적 취약점을 분석한 연구 결과를 발표했다고 2일 밝혔다.

공동연구팀은 북한의 사이버 공격 사례에서 한국의 보안 SW가 주요 표적이 되는 이유에 주목했다. 분석 결과 해당 SW들은 설계상의 구조적 결함과 구현상 취약점을 동시에 갖고 있다는 점이 확인됐다.

한국은 금융 및 공공서비스 이용 시 보안 프로그램을 의무적으로 설치해야 한다. 연구팀은 국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램(KSA)을 분석해 총 19건의 심각한 보안 취약점을 발견했다. 

주요 취약점은 사용자가 키보드로 입력한 정보를 노린 키보드 입력 탈취, 사용자와 서버 사이의 통신을 몰래 가로채거나 위조하는 중간자 공격(MITM), 공인인증서 유출, 원격 코드 실행(RCE), 사용자 식별 및 추적 등이었다. 이중 일부 취약점은 연구진이 제보해 시스템이 수정됐지만, 전체 보안 생태계를 관통하는 근본적인 설계의 취약점은 여전히 해결되지 않은 상태다. 


 
브라우저는 사용자를 보호하기 위해 일종의 방어벽을 세워두는데, KSA는 실행 과정에서 이 방어벽을 피해가기 위해 외부 채널을 사용한다. 브라우저 밖의 프로그램(.exe)을 불러내서 보안 기능을 수행하게 하는 것이다. 연구팀은 실제로 이러한 구조가 해커들의 새로운 공격 경로로 악용될 수 있음을 확인했다. 이 방식은 과거 보안 취약성과 기술적 한계로 사용이 중단된 보안 플러그인 ‘액티브X’가 사용한 방식이었다. 하지만 액티브X를 폐기하고 실행파일(.exe)을 활용하는 방식으로 대체된 이후에도 이러한 취약성이 해결되지 않고 있다고 연구팀은 설명했다. 

김용대 KAIST 교수는 “문제는 단순한 버그가 아니라 ‘웹은 위험하므로 보호해야 한다’는 브라우저의 보안 철학과 정면으로 충돌하는 한국 금융 보안 프로그램의 구조”라며 “이처럼 구조적으로 안전하지 않은 시스템은 작은 실수가 치명적인 보안 사고로 이어질 수 있다”고 강조했다.