🧩 1. 보안 프로그램, ‘철통 방어’일까?
우리나라에서는 인터넷 뱅킹을 이용하려면 방화벽, 키보드 보안, 공인인증서 보호 프로그램 등 여러 보안 소프트웨어 설치가 의무화되어 있습니다. 그러나 KAIST 연구진은 국내 주요 금융기관과 공공기관에서 사용되는 7종의 필수 보안 프로그램을 분석한 결과, 무려 19건의 심각한 보안 취약점을 발견했습니다 chosun.com+8news.kbs.co.kr+8v.daum.net+8.
그 중 대표적인 문제 사례는 다음과 같습니다:
- 키보드 입력 탈취: 사용자가 입력하는 비밀번호 등이 해킹 공격자에게 노출될 수 있음
- 중간자 공격(MITM): 통신 내용을 몰래 가로채 조작 가능
- 공인인증서 유출: 인증서 파일이 유출되면 금융 메시지 위·변조도 가능
- 원격 코드 실행(RCE): 해커가 악의적인 코드를 원격으로 실행 가능
- 사용자 식별·추적 기능 남용: 개인 정보 노출 위험 chosun.com+6donga.com+6koreadaily.com+6
🕳️ 2. 어떻게 이런 일이 가능한가?
문제의 핵심은 웹 브라우저 보안 모델을 우회하기 위해 보안 프로그램이 외부 실행 파일(.exe)을 호출하며, 이 과정에서 브라우저가 제공하는 보안 경계를 깬다는 점입니다.
즉, 브라우저는 외부 코드의 자원 접근을 제한하도록 설계되어 있지만, 이들 보안 프로그램은 브라우저 밖에서 실행되며, 다시 웹 페이지와 브라우저의 보호 기능을 우회하기 때문에 보안 통로가 되고 말았습니다 youtube.com+4koreadaily.com+4donga.com+4.
이는 과거 액티브X 플러그인의 문제와 유사하며, 표면상 보안을 강화한 조치가 실상은 공격 표면을 넓히는 역효과를 낳은 셈입니다.
⚠️ 3. 이런 약점이 현실에서 활용될 수 있을까?
연구팀은 북한의 사이버 공격 사례를 분석하며, 실제로 KSA(Korean Security Application)를 노린 공격이 있었음을 밝혔습니다. 이러한 취약점은 **APT(지능형지속공격)**로 이어질 수 있어, 단순한 해킹 수준을 넘어 금융 시스템 전체를 위협할 수 있는 수준입니다 news.nate.com+3koreadaily.com+3m.dongascience.com+3.
🧭 4. 전문가가 제안하는 해결 방향
KAIST 윤인수 교수는 “브라우저 보안 철학에 어긋나는 구조”라며, 다음과 같은 개선 방향을 제시합니다:
- 비표준 방식 제거: 외부 실행 파일을 쓰지 않고 웹 표준 방식으로 전환
- 브라우저 내 보안 활용: SOP, 샌드박스 같은 내장 보안 메커니즘 적극 활용
- 근본 구조 개선: 단순 버그 수준이 아닌 보안 구조 자체 재설계 필요 v.daum.net+8news.kbs.co.kr+8m.dongascience.com+8v.daum.net+3m.dongascience.com+3donga.com+3
즉, 더 이상 플러그인 방식의 억지 보안이 아닌, 웹 표준을 기반으로 한 자연스러운 보안 생태계 구축이 핵심 해결책입니다.
🎯 5. 사용자 입장에서 지금 할 수 있는 일
- 최신 버전 유지: 오랜 기간 업데이트되지 않은 보안 소프트웨어는 취약점 노출 가능성이 높습니다
- 설치 시 주의: 웹 표준 기반 인증서 등 대체 가능한 도구가 있는지 확인
- 금융 앱 우선 사용: 브라우저가 아닌 은행 공식 앱은 상대적으로 안전할 수 있습니다
✅ 마무리
현재 우리나라의 금융 보안 소프트웨어 구조는 겉보기와 달리 취약점을 내포한 허브와 같습니다. 사용자들은 당장 보안 프로그램의 최신 여부를 확인하고, 장기적으로는 금융 보안 정책과 프로그램 자체가 재설계되길 기대해야 합니다.