금융 보안 프로그램 의무 설치가 오히려 해킹 위험 높인다 작성일 06-02 102 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">KAIST "키보드 입력 훔쳐보기·인증서 노출 우려…의무화 바꿔야"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="bugbBY9HUq"> <figure class="figure_frm origin_fig" contents-hash="0b1a62312854412e7485f5aa7541a864b83c62e9b4945ebe6b4f06cf77f3c347" dmcf-pid="K3i7uvqyUz" dmcf-ptype="figure"> <p class="link_figure"><img alt="KAIST·고려대·성균관대·티오리 공동 연구팀 윗줄 왼쪽부터 김용대 교수, 윤인수 교수, 김형식 교수, 김승주 교수, 아랫줄 왼쪽부터 윤태식 연구원, 이용화 연구원, 정수환 연구원 [KAIST 제공. 재판매 및 DB 금지]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202506/02/yonhap/20250602090953871xuzd.jpg" data-org-width="882" dmcf-mid="BvpOsJCn7B" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202506/02/yonhap/20250602090953871xuzd.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> KAIST·고려대·성균관대·티오리 공동 연구팀 윗줄 왼쪽부터 김용대 교수, 윤인수 교수, 김형식 교수, 김승주 교수, 아랫줄 왼쪽부터 윤태식 연구원, 이용화 연구원, 정수환 연구원 [KAIST 제공. 재판매 및 DB 금지] </figcaption> </figure> <p contents-hash="7a58405e6eb0cf5e7b98550c408353d6149a0fe377f486b4df0b22786d1d56db" dmcf-pid="90nz7TBW07" dmcf-ptype="general">(대전=연합뉴스) 박주영 기자 = 국내 금융 보안 프로그램의 설치 의무화가 오히려 사이버 공격 위험성을 높인다는 연구 결과가 나왔다. </p> <p contents-hash="f21f5410daa06c594f597c6bc8c6aaa512afd9e8af1a31f0decb9d8cc9acbb25" dmcf-pid="2pLqzybY3u" dmcf-ptype="general">한국과학기술원(KAIST) 전기·전자공학부 김용대·윤인수 교수 공동 연구팀은 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리와 공동으로 한국 금융 보안 소프트웨어를 분석, 설계상 구조적 결함과 취약성을 발견했다고 2일 밝혔다. </p> <p contents-hash="3292bfcb48d3b1e22393ac4864ddc7a1f9a6a423e21b927333ae52d285ab0215" dmcf-pid="VUoBqWKG0U" dmcf-ptype="general">연구팀은 북한의 사이버 공격 사례에서 한국의 보안 소프트웨어가 왜 주요 표적이 되는지에 주목했다. </p> <p contents-hash="94051d4e7c7718f4177cbe1f897139516eb6f80f7142c84c054bd37ad77ef41e" dmcf-pid="fugbBY9HFp" dmcf-ptype="general">국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램(Korea Security Applications, 이하 KSA)을 분석해 총 19건의 심각한 보안 취약점을 발견했다. </p> <p contents-hash="24c156452c56c46d930e98a519f1e4f05a99d2a4c6043e3004c891c732f4e14f" dmcf-pid="47aKbG2Xp0" dmcf-ptype="general">주요 사례별로 보면, 일부 KSA는 키보드 입력 내용을 암호화해 웹사이트에 전달하지만, 해킹 웹사이트가 해당 기능을 이용할 경우 사용자의 키보드 입력을 훔쳐보거나 저장할 수 있다는 문제가 있다.</p> <p contents-hash="6669d586ba86033f266f677287088741d98631c4a38ae0ea0ac49bd46c453973" dmcf-pid="8zN9KHVZu3" dmcf-ptype="general">공인인증서를 보호하겠다고 만들어진 일부 KSA는 응용 프로그램 인터페이스(API)를 통해 인증서를 제공하는데, 이때 사용자 이름 등 개인정보가 암호화되지 않은 상태로 노출될 수 있다. </p> <p contents-hash="50412fafde1de4a5711fc1096f9c7d4b9a4fc5dfa255815aa34529184a7d31cc" dmcf-pid="6qj29Xf5uF" dmcf-ptype="general">이밖에 중간자 공격(MITM·Man-in-the-middle), 원격코드 실행(RCE), 사용자 식별·추적 등의 취약점이 지적됐다. </p> <p contents-hash="b761947f5e3a303465aa4d15ed9ec6c1022f8024cc5805b867135780f28e2617" dmcf-pid="PBAV2Z41Ft" dmcf-ptype="general">이는 국내 금융 보안 소프트웨어들이 보안을 유지하기 위해 민감 정보에 대한 접근을 제한하는 웹 브라우저의 보안 구조를 우회하는 방식을 사용하기 때문이라고 연구팀은 지적했다. </p> <p contents-hash="44ad1d0b13c9edd891b35b762530fdcb6a26e16134208328f3a8e33ac21ff164" dmcf-pid="QbcfV58tz1" dmcf-ptype="general">이런 액티브X(ActiveX) 방식의 보안 플러그는 취약성과 기술적 한계로 지원이 중단됐지만, 실제로는 실행파일(.exe)을 사용한 비슷한 구조로 대체되면서 여전히 보안 위험이 지속되고 있다. </p> <p contents-hash="fbbf1a43d473f0c7149aad634a3f46274644607c68711095533d353fa54311eb" dmcf-pid="xj1DExrRp5" dmcf-ptype="general">문제는 한국에서는 금융·공공서비스 이용 시 이러한 보안 프로그램의 설치를 의무화하고 있다는 점이다. </p> <p contents-hash="d925053c0eb954ead727cf93378cf0d90042a2f3b0edf53a185cb6a48d83ed1a" dmcf-pid="ypLqzybYpZ" dmcf-ptype="general">연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사 결과, 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있다고 답했다. 이 중 59.3%는 '무엇을 하는 프로그램인지 모른다'고 응답했다. 실제 사용자 PC 48대를 분석한 결과, 1인당 평균 9개의 KSA가 설치돼 있었다. </p> <p contents-hash="8cf51cdcd78fcb82b0abfb108c7086b87a6cc0ba969f9645109304abad11ef04" dmcf-pid="WUoBqWKG0X" dmcf-ptype="general">일부 취약점은 연구팀의 제보로 패치됐으나, 여전히 근본적인 설계 취약점은 해결되지 않은 상황이라고 연구팀은 전했다. </p> <p contents-hash="7197cef1ba81e6ccd9cbb2463a2e67b50018c683d550a0211da6d48beafea87d" dmcf-pid="YugbBY9H7H" dmcf-ptype="general">김용대 교수는 "보안 소프트웨어가 사용자의 안전을 위한 도구가 되어야 함에도 오히려 공격의 통로로 악용될 수 있다"며 "비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다"고 제언했다. </p> <p contents-hash="388465fd7ba83a46583f0d9f563070d00d79ab107bf5db8ddb43510a5a3abdbb" dmcf-pid="G7aKbG2XpG" dmcf-ptype="general">jyoung@yna.co.kr</p> <p contents-hash="9e84dd9f2890bce57e48114fbc43a6569500763187bc90e89345946644b8b0a1" dmcf-pid="Xqj29Xf5FW" dmcf-ptype="general">▶제보는 카톡 okjebo</p> </section> </div> <p class="" data-translation="true">Copyright © 연합뉴스. 무단전재 -재배포, AI 학습 및 활용 금지</p> 관련자료 이전 DSRV, 스트레이츠엑스와 스테이블코인 결제 인프라 협력 06-02 다음 키스오브라이프, 신보 하라메 공개…서정성까지 입은 '핫 걸' 06-02 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
