고객센터
카이스트 연구진 “금융 보안 프로그램이 오히려 해킹 위험 높여”
페이지 정보
작성자 이민종 작성일25-06-05 05:57 조회0회 댓글0건관련링크
본문
금융 거래를 하려면 반드시 설치해야 하는 보안 프로그램이 오히려 해킹으로 인한 사이버 피해를 만드는 통로가 될 수 있다는 분석이 나왔다.
카이스트(KAIST) 전기·전자공학부 김용대·윤인수 교수가 구성한 공동 연구진은 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리와 함께 한국 금융 보안 프로그램을 분석했으며, 이를 통해 설계상 구조적 취약점을 발견했다고 2일 밝혔다. 해당 분석은 오는 8월 미국에서 개최되는 세계적인 보안 학회 ‘유즈닉스 시큐리티 2025’에서 공식 발표된다.
한국에서 금융과 공공 서비스를 사이버 공간에서 이용하려는 사람은 의무적으로 보안 프로그램을 깔아야 한다. 이는 전 세계에서 한국만 시행하는 정책이다.
그런데 연구진은 이런 보안 프로그램이 근본적인 취약점을 지니고 있다는 점을 규명했다. 북한 등 외부세력이 사이버 공격을 한국에 가할 때 유독 보안 프로그램을 집중적으로 노리는 점에 주목한 것이다.
연구진 분석 결과, 국내 주요 공공·금융기관에서 사용하는 7종의 ‘주요 보안 프로그램(KSA)’에서 총 19건의 심각한 보안 취약점이 확인됐다.
주요 사례를 보면, 키보드 입력 내용을 암호화해 웹사이트에 전달하는 일부 KSA는 해커가 사용자의 키보드 입력을 훔쳐보거나 가로챌 수 있는 취약점이 있었다.
공인인증서 보호 용도로 만들어진 일부 KSA는 사용자 이름 같은 개인정보가 암호화되지 않은 상태로 노출될 수 있었다. 피해자의 개인컴퓨터(PC)에 악성 파일을 다운로드하거나 피싱 사이트 접속 때 경고 메시지 노출을 막는 데에도 KSA가 쓰일 수 있었다고 연구진은 분석했다. 보안 프로그램이 외부 위협을 막는 것이 아니라 오히려 불러들이는 통로가 된 셈이다.
연구진은 국내 금융 보안 프로그램이 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계된 것이 근본적인 문제라고 지적했다. 한국의 금융 거래에서는 새집 현관문에 이미 설치돼 있는 튼튼한 자물쇠를 쓰지 않고 굳이 허술한 자물쇠를 따로 달아 도둑을 막겠다는 식의 보안 개념이 통용되고 있는 셈이다.
김용대 카이스트 교수는 “비표준 보안 프로그램을 강제로 설치하도록 하는 방식이 아니라 웹 표준과 브라우저 보안 모델을 따르는 방향이 돼야 한다”며 “그러지 않으면 KSA는 앞으로도 국가 차원에서 보안 위협의 중심이 될 것”이라고 강조했다.
카이스트(KAIST) 전기·전자공학부 김용대·윤인수 교수가 구성한 공동 연구진은 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리와 함께 한국 금융 보안 프로그램을 분석했으며, 이를 통해 설계상 구조적 취약점을 발견했다고 2일 밝혔다. 해당 분석은 오는 8월 미국에서 개최되는 세계적인 보안 학회 ‘유즈닉스 시큐리티 2025’에서 공식 발표된다.
한국에서 금융과 공공 서비스를 사이버 공간에서 이용하려는 사람은 의무적으로 보안 프로그램을 깔아야 한다. 이는 전 세계에서 한국만 시행하는 정책이다.
그런데 연구진은 이런 보안 프로그램이 근본적인 취약점을 지니고 있다는 점을 규명했다. 북한 등 외부세력이 사이버 공격을 한국에 가할 때 유독 보안 프로그램을 집중적으로 노리는 점에 주목한 것이다.
연구진 분석 결과, 국내 주요 공공·금융기관에서 사용하는 7종의 ‘주요 보안 프로그램(KSA)’에서 총 19건의 심각한 보안 취약점이 확인됐다.
주요 사례를 보면, 키보드 입력 내용을 암호화해 웹사이트에 전달하는 일부 KSA는 해커가 사용자의 키보드 입력을 훔쳐보거나 가로챌 수 있는 취약점이 있었다.
공인인증서 보호 용도로 만들어진 일부 KSA는 사용자 이름 같은 개인정보가 암호화되지 않은 상태로 노출될 수 있었다. 피해자의 개인컴퓨터(PC)에 악성 파일을 다운로드하거나 피싱 사이트 접속 때 경고 메시지 노출을 막는 데에도 KSA가 쓰일 수 있었다고 연구진은 분석했다. 보안 프로그램이 외부 위협을 막는 것이 아니라 오히려 불러들이는 통로가 된 셈이다.
연구진은 국내 금융 보안 프로그램이 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계된 것이 근본적인 문제라고 지적했다. 한국의 금융 거래에서는 새집 현관문에 이미 설치돼 있는 튼튼한 자물쇠를 쓰지 않고 굳이 허술한 자물쇠를 따로 달아 도둑을 막겠다는 식의 보안 개념이 통용되고 있는 셈이다.
김용대 카이스트 교수는 “비표준 보안 프로그램을 강제로 설치하도록 하는 방식이 아니라 웹 표준과 브라우저 보안 모델을 따르는 방향이 돼야 한다”며 “그러지 않으면 KSA는 앞으로도 국가 차원에서 보안 위협의 중심이 될 것”이라고 강조했다.