⁠⁠⁠⁠⁠⁠⁠

연구진들. 윗줄 왼쪽부터 시계 방향으로 김용대 교수, 윤인수 교수, 김형식 교수, 김승주 교수, 정수환 연구원, 이용화 연구원, 윤태식 연구원.

우리나라는 유일한 금융 보안 소프트웨어(SW) 설치 의무국인데, 이게 오히려 보안 취약점이 된다는 연구결과가 나왔다.

한국과학기술원(KAIST·총장 이광형)은 김용대·윤인수 전기 및 전자공학부 교수팀이 김승주 고려대 교수팀, 김형식 성균관대 교수팀, 보안 전문기업 티오리와 이같은 연구 결과는 내놨다고 2일 밝혔다.

연구진은 왜 우리 보안 SW가 북한 사이버 공격 표적이 되는지 주목했는데, 해당 SW들이 설계상 구조적 결함, 구현상 취약점을 모두 가진 것이 드러났다.

국내 금융·공공기관에서 사용 중인 주요 설치 의무화 보안 프로그램(KSA 프로그램) 7종에서 △키보드 입력 탈취 △중간자 공격(MITM) △공인인증서 유출 △원격 코드 실행(RCE) △사용자 식별 및 추적 등 보안 취약점 총 19건을 발견했다. 일부는 연구진 제보로 패치됐는데, 근본 취약점은 해결되지 않았다.

연구팀은 해당 SW가 웹 브라우저 보안을 우회해, 민감한 시스템 내부 파일에 접근하는 것을 문제로 지적했다.

브라우저는 원칙적으로 외부 웹사이트의 민감 정보 접근을 막는데, KSA는 '보안 3종 세트(키보드 보안, 방화벽, 인증서 저장)'를 유지하고자 루프백 통신, 외부 프로그램 호출, 비표준 API 활용 등 외부 채널로 이를 우회한다. 이런 구조는 오래 전 지원 중단된 보안 플러그 '엑티브X'로 이뤄졌는데, 이후에도 실행파일(.exe)을 활용한 유사 구조로 대체됐다. 취약점이 계속 유지되는 것이다.

이는 출처가 다른 웹 페이지 간 데이터 접근을 제한하는 '동일 출처 정책(SOP)', 시스템 내 실행 코드·프로그램 활동을 제한하는 '샌드박스', 프로세스 등을 나눠 최소 권한만 부여하는 '권한 격리' 등 최신 웹 보안 메커니즘과 상반된다.

연구팀은 이런 구조가 실제 공격 경로로 악용될 수 있음을 실증했다. 400명 대상 설문조사에서 97.4%가 KSA 설치 경험이 있었으며, 이 중 59.3%는 '무엇을 하는 프로그램인지 모른다'고 답했다. 실제 PC 48대를 분석했는데, 평균 9개 KSA가 설치돼 있었고 다수는 2022년 이전, 일부는 2019년 버전이었다.

김용대 교수는 “문제는 브라우저 보안 철학과 정면으로 충돌하는 구조로, 안전하지 않은 시스템 구조는 작은 실수도 치명적인 보안 사고로 이어질 수 있다”며 “웹 표준과 브라우저 보안 모델을 따르게 전환하지 않으면 KSA는 국가 차원 보안 위협 중심이 될 것”이라고 밝혔다.

논문은 '유즈닉스 시큐리티 2025'에 채택됐고, 윤태식 티오리(KAIST) 연구원이 논문 1 저자다. 정수환(엔키화이트햇·KAIST), 이용화(티오리) 연구원도 참여했다. 연구는 정보통신기획평가원(IITP) 지원을 받아 수행됐다.

김영준 기자 kyj85@etnews.com

Copyright © 전자신문. 무단전재 및 재배포 금지.