전 세계 유일의 의무 설치 제도가 초래한 ‘합법적 보안 위협’… 구조적 문제 지적

KAIST(총장 이광형)는 6월 2일 전기및전자공학부 김용대·윤인수 교수 공동 연구팀이 고려대학교 김승주 교수, 성균관대학교 김형식 교수, 보안기업 티오리(Theori) 등과 공동으로 수행한 연구에서, 한국 금융보안 소프트웨어(KSA)의 구조적 보안 취약성을 체계적으로 분석한 결과를 발표했다.

연구진은 “현재 한국은 금융 및 공공기관 웹사이트 이용 시 보안 소프트웨어 설치를 사용자에게 강제하는 세계 유일의 국가”라며, 이 제도가 오히려 악성코드 침투와 정보 유출을 유발할 수 있는 구조적 문제를 안고 있다고 지적했다.

연구진은 국내 주요 금융기관과 공공기관에서 사용되는 7종의 보안 프로그램을 분석한 결과, 총 19건의 고위험 보안 취약점을 확인했다고 밝혔다. 여기에는 ▲키보드 입력 탈취 ▲중간자 공격(MITM) ▲공인인증서 유출 ▲원격 코드 실행(RCE) ▲사용자 추적 등 민감한 정보 노출과 시스템 장악으로 이어질 수 있는 심각한 위험이 포함되었다.

이러한 취약점은 단순한 코드 실수가 아닌 구조적 설계 결함에서 기인한 것으로, 일부는 연구진의 제보를 통해 패치되었으나 대부분은 여전히 근본적 개선이 이뤄지지 않은 상태다.

웹 보안 규칙 무력화… 비표준 API와 루프백 통신으로 브라우저 보호 우회

특히 문제는 KSA가 웹 브라우저의 핵심 보안 원칙인 동일 출처 정책(SOP), 샌드박스, 권한 격리 등을 정면으로 위배한다는 점이다. 연구팀은 KSA가 키보드 보안, 방화벽, 인증서 저장 등을 구현하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 등을 통해 브라우저의 보안 경계를 우회하고 민감한 시스템 자원에 접근하고 있음을 확인했다.

2015년까지 주로 ActiveX 기반이었던 이 구조는 보안 우려로 해당 기술이 퇴출된 이후에도 실행 파일(.exe) 방식으로 대체되어 같은 문제를 반복하고 있는 것으로 나타났다.

일반 사용자는 기능 모른 채 설치… “보안을 빌미로 권한 박탈”

KAIST 연구팀이 실시한 설문조사 결과에 따르면, 응답자의 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있었고, 이 중 59.3%는 해당 프로그램의 기능조차 알지 못한 채 설치한 것으로 드러났다. 실제 사용자 PC 48대를 분석한 결과, 평균적으로 1인당 9개 이상의 KSA가 설치되어 있었으며, 일부는 2019년 버전까지 여전히 사용되고 있었다.

윤인수 교수는 “대부분의 취약점은 오히려 의도된 기능의 오용에서 비롯되며, 공격자는 정상적인 API를 그대로 활용해 보안 기능을 역이용할 수 있다”고 지적했다.

연구진 사진(윗줄 왼쪽부터) 김용대 교수, 윤인수 교수, 김형식 교수, 김승주 교수 (아랫줄 왼쪽부터) 윤태식 연구원, 이용화 연구원, 정수환 연구원 / KAIST 제공

연구진은 실제로 KSA를 활용한 해킹 시나리오를 시연하는 데 성공했다. 예를 들어, 키보드 보안 기능이 해킹 사이트와 연동되면 사용자의 키 입력이 고스란히 도청될 수 있고, 인증서 보호 기능은 사용자 실명과 고유번호를 암호화 없이 노출할 수 있다. 또한 일부 프로그램은 무결성 검증 없이 외부 명령을 받아 악성 프로그램을 설치하거나 실행하는 경로로 활용될 수 있는 것으로 드러났다.

또한 사설 RootCA 인증서를 사용하는 구조는 TLS 암호화 통신 자체를 위협할 수 있으며, 실제로 KSA의 키를 탈취해 google.com 도메인을 위조한 인증서 생성 사례도 확인되었다. 이는 사용자가 피싱 사이트를 ‘신뢰된 연결’로 인식하게 만드는 심각한 위협으로 작용한다.

김용대 교수는 “문제는 단순한 버그가 아니라 웹 보안의 철학을 무시하고, 비표준 소프트웨어를 강제로 설치하도록 만든 설계 방식 자체”라며 “이 구조가 지속되는 한, 한국은 국가 차원의 보안 위협에 계속 노출될 수 있다”고 경고했다.

그는 KSA를 일회성 패치로 대응하기보다는 ▲브라우저 기반 보안 강화 ▲제3자 검증 체계 구축 ▲제도적 버그바운티 도입 등 구조적인 보안 생태계 개편이 필요하다고 강조했다.

이번 연구 결과는 세계 최고 권위의 보안 학회인 ‘USENIX Security 2025’에 채택되었으며, 논문 제목은 Too Much of a Good Thing: (In-)Security of Mandatory Security Software for Financial Services in South Korea이다. 해당 논문은 이곳에서 열람 가능하다.

#KAIST #금융보안 #웹보안 #보안소프트웨어 #KSA #김용대교수 #윤인수교수 #해킹위협 #보안패러다임전환 #USENIX2025 #국가보안정책 #브라우저보안