⁠⁠⁠⁠⁠⁠⁠

금융 키보드 보안 프로그램의 취약점으로 이용자의 키보드 입력을 가로채는 시연 화면. 카이스트 제공

'인공지능(AI) 3대강국(G3) 도약'을 최우선 공약으로 내세운 새 정부가 출범했다. 정부가 AI산업 융합을 주도하고 온 국민과 함께 AI기본사회를 실현하는 게 이재명 대통령의 구상이다. 이를 위해선 SK텔레콤 해킹 이슈로 국민적인 관심도 높아진 정보보호 기반부터 다질 필요가 있다.

한국은 금융 보안 소프트웨어(SW) 설치가 의무화된 유일한 국가다. 인터넷뱅킹 시 요구되는 이 프로그램들이 오히려 보안위협에 더 취약하게 할 수 있다는 우려가 최근 연구를 통해 제기됐다. 카이스트 김용대·윤인수 교수 공동 연구팀과 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리 소속 연구진이 공동연구한 결과다.

시중 5대 은행을 비롯해 여러 공공·금융기관에선 인터넷뱅킹 등에 여전히 보안프로그램 설치를 요구한다. 각각 공동인증 보안, 단말환경 수집 및 개인 방화벽, 키보드 보안 등 역할을 하는 프로그램들이다. 기본적으로 하나씩은 필수고 많게는 5개까지 프로그램 설치를 요구한다. 안랩, 이니텍, 라온시큐어, 위즈베라 등이 그 개발·공급사다.

하지만 이번 연구에선 이 프로그램들 모두에서 구조적 결함과 함께 보안 취약점이 발견됐다. 7종의 주요 보안 프로그램(KSA 프로그램)을 분석해 총 19건의 심각한 보안 취약점을 발견했다. 주요 취약점은 △키보드 입력 탈취 △중간자 공격(MITM) △공인인증서 유출 △원격 코드 실행(RCE) △사용자 식별·추적 등이다.

이런 결과는 새삼스러울 것도 없다. 이미 2023년에 북한 해킹그룹이 이니텍 '이니세이프'와 드림시큐리티 '매직라인' 프로그램의 취약점을 각각 악용해 광범위한 공격 시도를 펼쳐 국가정보원과 과학기술정보통신부가 긴급차단 등 조치에 나선 바 있다. 보안을 위해 설치한 프로그램이 사이버범죄자를 위한 백도어가 됐던 셈이다.

모바일 운영체제(OS)·앱마켓의 양축인 구글·애플에 의해 보안 표준 준수가 강제되는 모바일뱅킹과 달리, 국내 금융 보안 프로그램들은 웹브라우저 보안구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐다. 과거 천송이 코드 사태 여파로 액티브X 퇴출이 결정됐을 때 웹표준을 준수하며 브라우저 기반 보안 역량을 갖췄어야 했으나 공인인증 중심 시스템을 유지하며 실행파일 형태로 때우고 이용자에 설치 의무를 부여했다.

금융·공공분야는 북한 등 사이버공격자들이 가장 탐내는 영역 중 하나다. 이런 보안 프로그램의 취약점을 찾아내면 광범위한 SW공급망 위협으로 이어진다. 이 같은 구조적 문제에 대해 손 놓고 있던 금융위원회, 금융감독원, 금융보안원도 책임에서 벗어날 수 없다는 지적이 제기된다. 기업·기관이 자체 역량으로 정보보호를 꾀하지 않고 이용자에 침해 관련 책임을 전가하는 상황으로도 해석될 수 있다.

독일의 유명 보안 연구원인 블라이디미르 팔란트는 한국의 이런 상황을 가리켜 "가짜 보안 시장"이라고 지적한 바 있다. AI 융복합이 활성화될수록 해당 분야에서 AI가 필요한 데이터 수집·활용 수요도 늘어날 수밖에 없다. 이런 상황에선 북한 지원 해커 등 사이버범죄자들에게 더 좋은 먹잇감을 주는 꼴이 될 수 있다. 이를 포함해 사후에 보여주기식으로 조치할 게 아니라 사전에 실질적으로 예방하기 위한 정책과 환경이 시급하다고 전문가들은 입을 모은다.

김용대 카이스트 전기·전자공학부 교수는 "우리나라는 지금까지 실제로 안전한 보안 환경을 구축하는 게 아니라 안전한 느낌을 주는 데 치우쳤다고 할 수 있다. 그러면서 글로벌 표준 준수가 제대로 이뤄지지 않아 보안 갈라파고스가 됐다"며 "이런 문제는 금융 보안 프로그램에만 국한됐다고 할 수 없다. 큰일을 겪고서야 바꿀 게 아니라 지금이라도 빨리 구조적 개선에 나서야 한다"고 강조했다.팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.