믿고 설치했는데 '해킹 통로'?…금융·공공기관 보안 프로그램의 배신
금융·공공기관이 강제하는 보안 프로그램이 오히려 해킹 통로가 될 수 있다는 KAIST 연구 결과가 나왔다. 이 프로그램들은 키보드 입력 탈취, 원격 코드 실행 등 심각한 취약점을 가져 사용자를 위험에 빠뜨린다. 이는 과거 ActiveX 문제를 답습하며, 기관의 책임 회피용 '가짜 보안'이라는 비판이 거세다. 강력한 브라우저 보안을 외면하고 사용자 통제를 고수하는 시대착오적 정책의 근본적인 전환이 시급하다.
2925년 6월10일
KAIST 연구팀, "보안 프로그램이 오히려 시스템 위험하게 만들어"…구조적 결함 심각
과거 ActiveX 문제 되풀이…보안 강화 명분 속 책임 회피용 '가짜 보안' 비판 거세
"당신의 안전한 금융거래를 위해 설치해야 합니다." 이 말을 믿고 설치한 프로그램이 오히려 내 개인정보를 해커에게 넘겨주는 '통로'가 될 수 있다면 어떨까. 국내 금융기관과 공공기관 웹사이트를 이용하기 위해 반강제적으로 설치해야 했던 수많은 보안 프로그램(KSA)이 실제로는 심각한 보안 결함을 안고 있으며, 오히려 시스템을 더 위험하게 만들 수 있다는 충격적인 연구 결과가 나오면서 파문이 확산되고 있다.
강력한 보안으로 지켜준다더니 '해킹 통로' 열어줘
최근 KAIST를 중심으로 한 공동 연구팀은 국내에서 널리 쓰이는 7종의 금융 보안 프로그램을 분석한 결과, 총 19건의 심각한 보안 취약점을 발견했다고 밝혔다. 연구팀이 지적한 문제들은 가히 충격적이다.
- 키보드 입력 탈취: 공격자가 사용자의 비밀번호, 계좌번호 등 민감한 키보드 입력을 가로챌 수 있다. 키보드 보안을 주요 기능으로 내세운 프로그램이 스스로의 존재 이유를 부정하는 셈이다.
- 원격 코드 실행(RCE): 해커가 사용자 PC에서 악성 코드를 마음대로 실행해 시스템을 완전히 장악할 수 있다. 이는 랜섬웨어 감염, 데이터 유출 등 심각한 피해로 이어진다.
- 중간자 공격(MITM): 종단간(E2E) 암호화를 내세운 홍보가 무색하게, 공격자가 사용자와 서버 간 통신을 엿보거나 조작할 수 있다.
- 공인인증서 유출: 사용자의 신원 증명 수단인 공동인증서가 외부로 유출될 수 있는 경로를 제공한다.
연구팀은 이 문제가 단순한 버그가 아닌, 브라우저의 보안 모델을 거스르는 "구조적 설계 결함"에서 비롯된다고 진단했다. 보안을 강화하겠다며 설치한 프로그램이 오히려 시스템의 방어벽에 구멍을 뚫고 해커를 초대하는 역설적인 상황이 벌어진 것이다.
ActiveX 악몽의 재현…“보안 위해 보안 낮추는 바보 같은 정책”
이러한 상황은 과거 대한민국을 'IT 갈라파고스'로 만들었던 액티브X(ActiveX) 사태의 판박이다. 당시에도 ActiveX는 Internet Explorer에서만 작동하고 악성코드의 주요 배포 경로로 지목되는 등 수많은 보안 문제를 안고 있었지만, 유독 한국만 '보안'을 명분으로 그 사용을 고집했다. 결국 보안을 위해서 보안을 낮추는 바보 같은 정책이 현재의 '필수 설치 프로그램'이라는 이름으로 되풀이되고 있는 것이다.
전문가들은 이런 기형적인 구조가 유지되는 배경에 금융기관의 뿌리 깊은 '책임 회피' 심리가 있다고 지적한다. 2015년 보안 프로그램 의무 설치 규정은 폐지됐지만, 금융기관들은 사고 발생 시 "우리는 지침에 따라 보안 조치를 다했다"고 주장하기 위한 '체크리스트 보안'의 관성에서 벗어나지 못하고 있다. "관리자가 제어하기 쉬운 것은 해커에게도 쉬운 목표"라는 보안의 기본 원칙마저 망각한 처사다.
시대 역행하는 정책…러시아, 중국의 길 따르나
더 큰 문제는 구글 크롬, 파이어폭스 등 현대 웹 브라우저가 이미 강력한 자체 보안 기능을 갖추고 있다는 점이다. 전 세계 전문가들이 검증하고 발전시키는 샌드박싱, 피싱 방지 등의 표준 기술을 외면하고, 검증되지 않은 외부 프로그램에 의존하는 나라는 한국이 유일하다는 것이 KAIST 연구팀의 지적이다.
사용자 PC에 특정 프로그램을 강제 설치하고 통제하려는 발상은 기술적 문제 이전에 사상적으로도 위험하다. 이는 러시아, 중국, 북한 등 권위주의 국가가 인터넷을 감시하고 통제하는 방식과 유사하기 때문이다.
- 러시아는 ‘SORM’ 시스템을 통해 사실상 영장 없이 정보기관이 개인의 모든 통신 내용을 들여다볼 수 있다.
- 중국은 ‘황금방패(Great Firewall)’로 외부 접속을 막고, 신장 위구르 지역에서는 ‘징왕 웨이스’라는 감시 앱 설치를 강제해 개인 파일을 스캔하고 통제한다.
- 북한은 자체 OS '붉은별'을 통해 사용자의 파일에 추적용 워터마크를 심고, 보안 기능 해제 시도를 원천 차단한다.
물론 한국 보안 프로그램의 목적이 이들 국가와 같지는 않지만, 국가(또는 금융기관)가 사용자 PC에 특정 소프트웨어 설치를 강제하고 통제권을 가지려 한다는 점에서 그 발상과 위험성이 맞닿아 있다.
결국 보안이라는 명분 아래 사용자들은 불편을 감수하고, PC 성능 저하를 견디며, 나도 모르는 사이 해킹 위험에 노출되고 있었다. 이제는 '가짜 보안'의 고리를 끊어야 할 때다. 금융 당국은 시대착오적 관행을 근절하고, 금융기관들은 국제 표준 기술을 도입해 사용자에게 신뢰와 안전을 돌려줘야 한다. 이번 KAIST의 경고가 '보안 프로그램의 배신'에 종지부를 찍는 계기가 되어야 할 것이다.
[뉴스온블로그]
구독자에게 드리는 개인적 의견 (구독은 무료입니다).
"My Take"
세금이 줄줄 새는 '가짜 보안' 시장, 언제까지 방치할 것인가?
