[아이티데일리] 의무로 설치하는 국내 금융 보안 소프트웨어(SW)가 오히려 보안 위협에 초래할 수 있다는 연구 결과가 나왔다. 보안 프로그램 강제 설치보다 웹사이트와 인터넷 브라우저에서 설정한 기본 규칙과 웹 표준을 따르는 방식이 더욱 안전하다고 전문가들은 조언했다.

카이스트(KAIST, 총장 이광형)는 2일 한국 금융 보안 SW의 구조적 취약점을 분석한 연구 결과를 발표했다. 이번 연구는 KAIST 전기및전자공학부 김용대·윤인수 교수 연구팀이 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리(Theori) 소속 연구진과 함께 공동연구로 진행했다.

연구진은 국내 금융 보안 SW를 왜 북한이 사이버 공격의 표적으로 삼는지에 주목했다. 분석 결과, 해당 SW들이 설계상 구조적 결함과 구현상 취약점을 갖고 있음이 드러났다. 문제는 한국에서 금융 및 공공 서비스 이용 시 이들 프로그램 설치를 의무화하고 있다는 점이다.

연구진은 국내 주요 금융기관과 공공기관에서 사용 중인 주요 보안 프로그램(Korea Security Applications, 이하 KSA 프로그램) 7종을 분석해 보안 취약점 총 19건을 발견했다. 주요 취약점은 △키보드 입력 탈취 △중간자 공격(MITM) △공인인증서 유출 △원격 코드 실행(RCE) △사용자 식별 및 추적 등이다.

일부 취약점은 연구진 제보로 패치됐으나 전체 보안 생태계를 관통하는 근본적 설계 취약점은 여전히 해결되지 않은 상태다.

연구진은 국내 금융 보안 SW가 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐다고 지적했다. 브라우저는 본래 외부 웹사이트가 시스템 내부 파일 등 민감 정보에 접근하지 못하도록 제한한다. 하지만 KSA는 키보드 보안, 방화벽, 인증서 저장으로 구성된 ‘보안 3종 세트’를 유지하기 위해 루프백 통신, 비표준 API 활용 등으로 제한을 우회하고 있었다.

2015년 액티브엑스(ActiveX) 지원이 중단되며 개선이 이뤄질 것으로 기대됐으나, 실제로는 실행파일(.exe)을 활용한 구조로 대체되며 기본 문제를 반복했다. 이 때문에 브라우저 보안 경계를 우회하고, 민감 정보에 직접 접근하는 보안 위험은 지속되는 실정이다.

연구진은 이러한 설계가 △동일 출처 정책(SOP) △샌드박스 △권한 격리 등 최신 웹 보안 메커니즘과 충돌한다고 꼬집었다. 또한 연구 과정에서 새로운 공격 경로로 악용될 수 있음을 확인했다.

카이스트 전자및전기공학부 김용대 교수는 “KSA 프로그램은 ‘웹은 위험하므로 보호해야 한다’는 브라우저의 보안 철학에 부합하지 않는다. 이처럼 구조적으로 안전하지 않은 시스템은 작은 실수로도 치명적인 사고를 낳을 수 있다”고 강조했다.

이어 김 교수는 “이제는 비표준 보안 SW를 강제 설치하는 방식이 아니라 웹 표준과 브라우저 보안 모델을 따르는 방향으로 바뀌어야 한다”며 “그렇지 않으면 KSA는 앞으로도 국가 차원의 보안 위협이 발생하는 원인이 될 것”이라고 덧붙였다.