금융당국 설치형 보안 SW 의무 제거 흐름 속...플러그인 없이도 금융사가 직접 보안 통제
정부, 2026년부터 금융권 설치형 보안 SW 단계적 제거 의무화
보안 위해 도입한 플러그인이 오히려 공급망 공격 통로로...구조적 전환 불가피
“플러그인 제거는 기능 포기 아냐”...보안 통제권을 금융사 클라우드로 이전
AI 해킹 시대, 브라우저 노출 코드 자체가 표적...RBI로 구조적 차단
[보안뉴스 원병철 기자] 사이버보안 전문기업 소프트캠프(대표 배환국)는 금융권 전용 RBI(Remote Browser Isolation, 원격 브라우저 격리) 보안 플랫폼 ┖SHIELD Web(이하 실드웹)┖을 공식 출시했다. 이번 출시는 금융당국이 설치형 보안 SW의 단계적 제거를 의무화하는 흐름 속에서, 플러그인 없는 환경에서도 금융사가 보안을 직접 통제할 수 있는 구조적 대안을 제시하기 위한 것이다.
설치형 보안 SW, 편의 문제를 넘어 보안 위협의 진원지로
국내 금융 서비스는 오랫동안 인터넷뱅킹 이용의 전제 조건으로 키보드 보안, 개인 방화벽, 백신, 인증서 관리, 문서 위변조 방지, FDS 수집 프로그램 등 최대 7종의 보안 SW를 고객 단말에 설치하도록 요구해 왔다. 금융사의 보안 통제 수단이 고객 PC에 의존하는 구조였다.
그러나 이 방식은 두 가지 측면에서 한계에 봉착했다. 우선 사용자 경험 측면에서 반복되는 설치 요구와 브라우저 충돌이 지속적인 민원의 원인이 됐다. 보안 측면에서는 더 심각한 문제가 드러났다. 설치형 보안 SW 자체가 보안 취약점을 내포하게 되면서, 실제로 특정 금융 보안 프로그램이 그 자체로 취약점 노출 사례가 국내에서 확인된 바 있다. 보안을 위해 도입된 프로그램이 오히려 공격의 통로가 된 것이다.
금융당국도 이 구조적 문제를 직시하고 있다. 정부는 범부처 정보보호 종합대책(2025년 10월) 발표를 통해 금융기관이 소비자에게 설치를 강요하는 보안 SW를 2026년부터 단계적으로 제한한다고 발표했다. AI 기반 이상 탐지, 다중 인증, 생체 인식 등 대체 보안 체계로의 전환을 병행하도록 유도한다는 방침이다.
플러그인을 없애면 보안은 어떻게 하나...소프트캠프의 답은 “보안 통제 위치를 바꾼다”
플러그인 제거 의무화를 앞두고 금융기관이 직면한 핵심 질문은 하나다. 설치형 보안 SW 없이 어떻게 보안을 유지하는가. 소프트캠프가 제시하는 답은 보안 통제의 위치를 이동하는 것이다. 기존 방식에서는 보안의 무게 중심이 고객 PC에 있었다. 고객 PC는 금융사가 통제할 수 없는 환경이다. 운영체제와 브라우저 버전이 제 각각이고, 패치 이력도 불투명하다. 금융사가 신뢰할 수 없는 환경 위에 보안 체계를 얹어 온 셈이다.
SHIELD Web은 이 구조를 전환한다. 고객이 금융 웹사이트에 접속할 때, 실제 웹 코드와 API 호출이 고객 PC가 아닌 격리된 클라우드 컨테이너에서 실행된다. 고객 단말에는 처리된 화면 스트림만 전달될 뿐, HTML·JavaScript 소스 코드와 API 구조는 외부에 노출되지 않는다. 보안의 실행과 통제가 금융사 관할 영역 안으로 들어오는 구조다.
은행 창구의 방탄유리와 같은 원리다. 거래는 정상적으로 이루어지지만, 외부에서 내부 구조에 직접 접근하는 것은 구조적으로 차단된다.
AI 해킹 시대, 브라우저에 노출된 코드 자체가 새로운 공격 표적
SHIELD Web의 도입 필요성을 더욱 강화하는 배경은 AI 기반 사이버 위협의 급격한 진화다.
AI가 공격 도구로 본격 활용되면서, 브라우저에 노출된 JavaScript 코드, API 호출 구조, 파라미터 패턴이 자동화된 분석과 공격의 핵심 표적으로 부상했다. 과거에는 숙련된 공격자가 시간을 들여야 했던 취약점 탐색이 이제는 AI 기반 도구로 수초 내에 수행된다.
기존 설치형 보안 방식은 이 위협에 근본적인 한계가 있다. 고객 브라우저에 HTML 등 소스코드가 그대로 전달되는 구조에서는 개발자 도구 하나로 금융 서비스의 내부 구조가 외부에 노출된다. SHIELD Web은 웹 코드와 API가 격리 컨테이너 내부에서만 실행되기 때문에, 공격자 입장에서는 표적 자체에 접근하기 어려운 환경이 만들어진다.
고위험 금융 거래 금융권부터 공공 대국민 웹 서비스까지 폭 넓게 적용 가능
SHIELD Web은 금융기관이 리스크가 높은 업무부터 단계적으로 적용할 수 있도록 설계됐다.
금융권에서는 기업뱅킹 대량 이체 거래의 경우 업로드 파일에 CDR(콘텐츠 무해화) 처리를 적용하고 격리 세션 내에서 진행해 파일 기반 악성코드 공격과 대량 이체 사고를 차단한다. 개인 고액 이체와 신규 수취인 등록 등 이상 행위 집중 구간에는 강화 인증과 실시간 FDS 모니터링을 연계한다. 계정 탈취 이후 공격자가 가장 먼저 시도하는 인증수단 변경 행위에도 격리 보호를 적용해 피해 확산을 차단할 수 있다.
적용 범위는 금융권에 그치지 않는다. 매년 반복되는 보안 취약점 점검 부담이 큰 공공기관, 외주 개발사 계약 종료나 예산 부족으로 재개발이 어려운 노후 시스템을 운영 중인 기관에도 즉시 적용이 가능하다. 대국민 민원 포털과 행정 서비스 웹사이트의 경우 기존 사이트 코드나 서버 설정을 그대로 둔 채 접속 경로만 SHIELD Web을 거치도록 변경하면 보안 체계를 갖출 수 있어, 공공 영역의 현실적인 보안 강화 수단으로 활용될 수 있다.
소프트캠프는 국내 최초로 RBI 기술을 개발·상용화한 사이버보안 전문기업으로, 임직원의 안전한 업무 접속 환경을 위한 SHIELD Gate(실드게이트)에 이어 이번 SHIELD Web 출시로 RBI 기반 보안 포트폴리오를 다각화했다.
배환국 소프트캠프 대표이사는 “금융당국의 보안 플러그인 제거 의무화는 단순한 규제 변화가 아니라, 오랫동안 유지되어 온 금융 보안 패러다임 자체의 전환을 의미한다”며, “소프트캠프는 플러그인 제거를 기능의 포기가 아닌 보안 통제권의 회수로 접근한다. SHIELD Web은 금융사가 고객 PC가 아닌 자신들이 직접 통제하는 환경에서 보안을 책임질 수 있는 구조를 제공한다”고 밝혔다.
[원병철 기자(boanone@boannews.com)]
정부, 2026년부터 금융권 설치형 보안 SW 단계적 제거 의무화
보안 위해 도입한 플러그인이 오히려 공급망 공격 통로로...구조적 전환 불가피
“플러그인 제거는 기능 포기 아냐”...보안 통제권을 금융사 클라우드로 이전
AI 해킹 시대, 브라우저 노출 코드 자체가 표적...RBI로 구조적 차단
[보안뉴스 원병철 기자] 사이버보안 전문기업 소프트캠프(대표 배환국)는 금융권 전용 RBI(Remote Browser Isolation, 원격 브라우저 격리) 보안 플랫폼 ┖SHIELD Web(이하 실드웹)┖을 공식 출시했다. 이번 출시는 금융당국이 설치형 보안 SW의 단계적 제거를 의무화하는 흐름 속에서, 플러그인 없는 환경에서도 금융사가 보안을 직접 통제할 수 있는 구조적 대안을 제시하기 위한 것이다.
설치형 보안 SW, 편의 문제를 넘어 보안 위협의 진원지로
국내 금융 서비스는 오랫동안 인터넷뱅킹 이용의 전제 조건으로 키보드 보안, 개인 방화벽, 백신, 인증서 관리, 문서 위변조 방지, FDS 수집 프로그램 등 최대 7종의 보안 SW를 고객 단말에 설치하도록 요구해 왔다. 금융사의 보안 통제 수단이 고객 PC에 의존하는 구조였다.
그러나 이 방식은 두 가지 측면에서 한계에 봉착했다. 우선 사용자 경험 측면에서 반복되는 설치 요구와 브라우저 충돌이 지속적인 민원의 원인이 됐다. 보안 측면에서는 더 심각한 문제가 드러났다. 설치형 보안 SW 자체가 보안 취약점을 내포하게 되면서, 실제로 특정 금융 보안 프로그램이 그 자체로 취약점 노출 사례가 국내에서 확인된 바 있다. 보안을 위해 도입된 프로그램이 오히려 공격의 통로가 된 것이다.
금융당국도 이 구조적 문제를 직시하고 있다. 정부는 범부처 정보보호 종합대책(2025년 10월) 발표를 통해 금융기관이 소비자에게 설치를 강요하는 보안 SW를 2026년부터 단계적으로 제한한다고 발표했다. AI 기반 이상 탐지, 다중 인증, 생체 인식 등 대체 보안 체계로의 전환을 병행하도록 유도한다는 방침이다.
플러그인을 없애면 보안은 어떻게 하나...소프트캠프의 답은 “보안 통제 위치를 바꾼다”
플러그인 제거 의무화를 앞두고 금융기관이 직면한 핵심 질문은 하나다. 설치형 보안 SW 없이 어떻게 보안을 유지하는가. 소프트캠프가 제시하는 답은 보안 통제의 위치를 이동하는 것이다. 기존 방식에서는 보안의 무게 중심이 고객 PC에 있었다. 고객 PC는 금융사가 통제할 수 없는 환경이다. 운영체제와 브라우저 버전이 제 각각이고, 패치 이력도 불투명하다. 금융사가 신뢰할 수 없는 환경 위에 보안 체계를 얹어 온 셈이다.
SHIELD Web은 이 구조를 전환한다. 고객이 금융 웹사이트에 접속할 때, 실제 웹 코드와 API 호출이 고객 PC가 아닌 격리된 클라우드 컨테이너에서 실행된다. 고객 단말에는 처리된 화면 스트림만 전달될 뿐, HTML·JavaScript 소스 코드와 API 구조는 외부에 노출되지 않는다. 보안의 실행과 통제가 금융사 관할 영역 안으로 들어오는 구조다.
은행 창구의 방탄유리와 같은 원리다. 거래는 정상적으로 이루어지지만, 외부에서 내부 구조에 직접 접근하는 것은 구조적으로 차단된다.
AI 해킹 시대, 브라우저에 노출된 코드 자체가 새로운 공격 표적
SHIELD Web의 도입 필요성을 더욱 강화하는 배경은 AI 기반 사이버 위협의 급격한 진화다.
AI가 공격 도구로 본격 활용되면서, 브라우저에 노출된 JavaScript 코드, API 호출 구조, 파라미터 패턴이 자동화된 분석과 공격의 핵심 표적으로 부상했다. 과거에는 숙련된 공격자가 시간을 들여야 했던 취약점 탐색이 이제는 AI 기반 도구로 수초 내에 수행된다.
기존 설치형 보안 방식은 이 위협에 근본적인 한계가 있다. 고객 브라우저에 HTML 등 소스코드가 그대로 전달되는 구조에서는 개발자 도구 하나로 금융 서비스의 내부 구조가 외부에 노출된다. SHIELD Web은 웹 코드와 API가 격리 컨테이너 내부에서만 실행되기 때문에, 공격자 입장에서는 표적 자체에 접근하기 어려운 환경이 만들어진다.
고위험 금융 거래 금융권부터 공공 대국민 웹 서비스까지 폭 넓게 적용 가능
SHIELD Web은 금융기관이 리스크가 높은 업무부터 단계적으로 적용할 수 있도록 설계됐다.
금융권에서는 기업뱅킹 대량 이체 거래의 경우 업로드 파일에 CDR(콘텐츠 무해화) 처리를 적용하고 격리 세션 내에서 진행해 파일 기반 악성코드 공격과 대량 이체 사고를 차단한다. 개인 고액 이체와 신규 수취인 등록 등 이상 행위 집중 구간에는 강화 인증과 실시간 FDS 모니터링을 연계한다. 계정 탈취 이후 공격자가 가장 먼저 시도하는 인증수단 변경 행위에도 격리 보호를 적용해 피해 확산을 차단할 수 있다.
적용 범위는 금융권에 그치지 않는다. 매년 반복되는 보안 취약점 점검 부담이 큰 공공기관, 외주 개발사 계약 종료나 예산 부족으로 재개발이 어려운 노후 시스템을 운영 중인 기관에도 즉시 적용이 가능하다. 대국민 민원 포털과 행정 서비스 웹사이트의 경우 기존 사이트 코드나 서버 설정을 그대로 둔 채 접속 경로만 SHIELD Web을 거치도록 변경하면 보안 체계를 갖출 수 있어, 공공 영역의 현실적인 보안 강화 수단으로 활용될 수 있다.
소프트캠프는 국내 최초로 RBI 기술을 개발·상용화한 사이버보안 전문기업으로, 임직원의 안전한 업무 접속 환경을 위한 SHIELD Gate(실드게이트)에 이어 이번 SHIELD Web 출시로 RBI 기반 보안 포트폴리오를 다각화했다.
배환국 소프트캠프 대표이사는 “금융당국의 보안 플러그인 제거 의무화는 단순한 규제 변화가 아니라, 오랫동안 유지되어 온 금융 보안 패러다임 자체의 전환을 의미한다”며, “소프트캠프는 플러그인 제거를 기능의 포기가 아닌 보안 통제권의 회수로 접근한다. SHIELD Web은 금융사가 고객 PC가 아닌 자신들이 직접 통제하는 환경에서 보안을 책임질 수 있는 구조를 제공한다”고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
