금융보안 SW 의무화, 오히려 보안엔 毒...KAIST 등 연구 결과
웹 표준과 브라우저 보안 모델 따른 ‘근본적 전환’ 필요
[보안뉴스 조재호 기자] 국내 의무 보안 소프트웨어(KSA)가 구조적 결함과 취약점으로 인해 보안 위협에 노출될 수 있다고 경고했다. 안전한 금융 환경을 위해 KSA 의무화 대신, 브라우저 규칙과 웹 표준을 따르는 ‘근본적 전환’이 필요하다는 지적이다.
▲연구진 사진(윗줄 왼쪽부터) 김용대 교수, 윤인수 교수, 김형식 교수, 김승주 교수 (아랫줄 왼쪽부터) 윤태식 연구원, 이용화 연구원, 정수환 연구원 [자료: KAIST]
카이스트(KAIST·총장 이광형)는 이 같은 내용을 골자로 한 ‘금융보안 소프트웨어의 구조적 취약점’ 연구 결과를 2일 공개했다. 이번 연구는 김용대·윤인수 KAIST 전기및전자공학부 교수 공동연구팀과 김승주 고려대 교수팀, 보안 전문기업 티오리 소속 연구진이 참가했다.
연구진은 북한 사이버 공격이 KSA를 목표로 삼았는지에 주목했다. 해당 소프트웨어들은 설계상 구조적 결함과 취약점을 동시에 갖고 있었다. 더 큰 문제는 금융 및 공공에서 이를 설치하는 것을 의무화해 사용하고 있다는 점이다.
연구진은 “보안 소프트웨어는 사용자의 안전을 위한 도구가 돼야 하는데, 오히려 공격 통로로 악용될 수 있다”며 “보안의 근본적 패러다임 전환이 필요하다”고 강조했다.
국내 주요 금융기관과 공공기관에서 사용 중인 총 7종의 주요 KSA를 분석한 결과, 연구진은 19건의 심각한 보안 취약점을 발견했다. 주요 취약점은 △키보드 입력 탈취 △중간자 공격 △공인인증서 유출 △원격 코드 실행 △사용자 식별 및 추적 등이다. 일부 취약점은 연구진의 제보로 수정됐으나, 근본적인 설계 취약점은 여전히 해결되지 않은 상태다.
특히, 연구진은 KSA가 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계된 점을 지적했다. 브라우저는 원칙적으로 외부 웹사이트가 시스템 내부 파일 등의 민감 정보에 접근하지 못하게 제한한다. 하지만 KSA는 키보드 보안과 방화벽, 인증서 저장으로 구성된, 이른바 ‘보안 3종 세트’를 유지하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 활용 등 브라우저 외부 채널을 통해 이러한 제한을 우회하는 방식을 사용한다.
이런 방식은 지난 2015년까지 ActiveX를 통해 이뤄졌고, 현재는 실행파일(.exe)을 활용한 구조로 계승됐다. 이러한 설계는 최신 웹 보안 메커니즘과 정면 충돌한다. 연구팀은 이러한 구조가 새로운 공격 경로로 악용될 수 있음을 실증 확인했다.
또, 온라인 설문조사 결과 이용자의 97.4%가 KSA를 설치한 경험이 있고, 이중 절반이 넘는 59.3%는 이 프로그램이 무엇인지 모른다고 응답했다. 연구팀이 실제 사용자 PC를 분석한 결과 1인당 평균 9개의 KSA가 설치됐고, 다수는 2022년 이전 버전이였다. 일부 프로그램은 2019년 버전을 사용하고 있었다.
김용대 KAIST 교수는 “문제는 단순한 버그가 아니라, 브라우저의 보안 철학과 정면으로 충돌하는 구조”라며 “웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환이 필요하다”고 말했다. 이어 “KSA는 향후 국가 차원의 보안 위협의 중심이 될 가능성이 있다”고 덧붙였다.
한편, 이번 연구는 세계 최고 권위 보안 학회 중 하나인 ‘유즈닉스 시큐리티 2025’에 채택됐다.
[조재호 기자(sw@boannews.com)]
웹 표준과 브라우저 보안 모델 따른 ‘근본적 전환’ 필요
[보안뉴스 조재호 기자] 국내 의무 보안 소프트웨어(KSA)가 구조적 결함과 취약점으로 인해 보안 위협에 노출될 수 있다고 경고했다. 안전한 금융 환경을 위해 KSA 의무화 대신, 브라우저 규칙과 웹 표준을 따르는 ‘근본적 전환’이 필요하다는 지적이다.
▲연구진 사진(윗줄 왼쪽부터) 김용대 교수, 윤인수 교수, 김형식 교수, 김승주 교수 (아랫줄 왼쪽부터) 윤태식 연구원, 이용화 연구원, 정수환 연구원 [자료: KAIST]
카이스트(KAIST·총장 이광형)는 이 같은 내용을 골자로 한 ‘금융보안 소프트웨어의 구조적 취약점’ 연구 결과를 2일 공개했다. 이번 연구는 김용대·윤인수 KAIST 전기및전자공학부 교수 공동연구팀과 김승주 고려대 교수팀, 보안 전문기업 티오리 소속 연구진이 참가했다.
연구진은 북한 사이버 공격이 KSA를 목표로 삼았는지에 주목했다. 해당 소프트웨어들은 설계상 구조적 결함과 취약점을 동시에 갖고 있었다. 더 큰 문제는 금융 및 공공에서 이를 설치하는 것을 의무화해 사용하고 있다는 점이다.
연구진은 “보안 소프트웨어는 사용자의 안전을 위한 도구가 돼야 하는데, 오히려 공격 통로로 악용될 수 있다”며 “보안의 근본적 패러다임 전환이 필요하다”고 강조했다.
국내 주요 금융기관과 공공기관에서 사용 중인 총 7종의 주요 KSA를 분석한 결과, 연구진은 19건의 심각한 보안 취약점을 발견했다. 주요 취약점은 △키보드 입력 탈취 △중간자 공격 △공인인증서 유출 △원격 코드 실행 △사용자 식별 및 추적 등이다. 일부 취약점은 연구진의 제보로 수정됐으나, 근본적인 설계 취약점은 여전히 해결되지 않은 상태다.
특히, 연구진은 KSA가 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계된 점을 지적했다. 브라우저는 원칙적으로 외부 웹사이트가 시스템 내부 파일 등의 민감 정보에 접근하지 못하게 제한한다. 하지만 KSA는 키보드 보안과 방화벽, 인증서 저장으로 구성된, 이른바 ‘보안 3종 세트’를 유지하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 활용 등 브라우저 외부 채널을 통해 이러한 제한을 우회하는 방식을 사용한다.
이런 방식은 지난 2015년까지 ActiveX를 통해 이뤄졌고, 현재는 실행파일(.exe)을 활용한 구조로 계승됐다. 이러한 설계는 최신 웹 보안 메커니즘과 정면 충돌한다. 연구팀은 이러한 구조가 새로운 공격 경로로 악용될 수 있음을 실증 확인했다.
또, 온라인 설문조사 결과 이용자의 97.4%가 KSA를 설치한 경험이 있고, 이중 절반이 넘는 59.3%는 이 프로그램이 무엇인지 모른다고 응답했다. 연구팀이 실제 사용자 PC를 분석한 결과 1인당 평균 9개의 KSA가 설치됐고, 다수는 2022년 이전 버전이였다. 일부 프로그램은 2019년 버전을 사용하고 있었다.
김용대 KAIST 교수는 “문제는 단순한 버그가 아니라, 브라우저의 보안 철학과 정면으로 충돌하는 구조”라며 “웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환이 필요하다”고 말했다. 이어 “KSA는 향후 국가 차원의 보안 위협의 중심이 될 가능성이 있다”고 덧붙였다.
한편, 이번 연구는 세계 최고 권위 보안 학회 중 하나인 ‘유즈닉스 시큐리티 2025’에 채택됐다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
