(대전=뉴스충청인) 김수환 기자 = KAIST 전기및전자공학부 김용대·윤인수 교수팀이 고려대학교 김승주 교수팀, 성균관대학교 김형식 교수팀, 보안기업 티오리(Theori) 소속 연구진과 함께 국내 금융보안 소프트웨어의 구조적 결함을 체계적으로 분석한 연구 결과를 2일 공개했다.

연구진은 북한의 사이버 공격이 유독 한국의 금융보안 소프트웨어를 겨냥해 이뤄지는 배경에 주목했고, 해당 프로그램들이 설계와 구현 단계 모두에서 심각한 취약점을 안고 있다는 사실을 확인했다.

특히 한국은 세계적으로 드물게 금융·공공서비스 이용 시 특정 보안 소프트웨어(KSA, Korea Security Applications) 설치를 의무화하고 있어, 그 구조적 위험성은 더욱 큰 파장을 낳을 수 있다는 경고다.

연구팀이 국내 주요 금융기관에서 사용되는 7종의 KSA를 분석한 결과, ▲키보드 입력 탈취 ▲중간자 공격(MITM) ▲공인인증서 유출 ▲원격 코드 실행(RCE) ▲사용자 추적 등 총 19건의 심각한 보안 취약점이 드러났다. 일부는 이미 보완됐지만, 소프트웨어 전반에 걸친 근본적인 구조적 문제는 여전히 개선되지 않은 상태다.

연구진은 KSA가 웹 브라우저 보안체계를 우회하는 구조로 설계돼 민감한 시스템 기능에 직접 접근하는 방식이 문제라고 지적했다. 원래 웹 브라우저는 외부 웹사이트가 시스템 내부 파일이나 사용자 입력 등 민감 정보를 직접 건드릴 수 없도록 제한한다. 그러나 KSA는 ‘보안 3종 세트’로 불리는 키보드 보안·방화벽·인증서 저장 기능을 유지하기 위해 루프백 통신, 비표준 API, 외부 프로그램 호출 등을 사용해 이러한 제한을 우회하고 있었다.

이는 브라우저 보안을 뒷받침하는 ▲동일 출처 정책(Same-Origin Policy) ▲샌드박스(Sandbox) ▲권한 격리(Privilege Separation) 등 최신 웹 보안 원칙과 충돌하며, 새로운 공격 경로로 악용될 가능성도 확인됐다.

실제 연구팀이 전국 400명을 대상으로 온라인 설문조사를 실시한 결과, 응답자의 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있다고 밝혔고, 그중 59.3%는 “무엇을 하는 프로그램인지 모른다”고 응답했다. 또한 사용자 PC 48대를 분석한 결과, 1인당 평균 9개의 KSA가 설치돼 있었고 상당수는 2022년 이전 구버전이었다. 일부는 2019년 버전까지 확인됐다.

KAIST 김용대 교수는 “이 문제는 단순한 기술적 버그가 아니라, 웹은 위험하다는 가정 아래 브라우저가 설계한 보안 철학과 정면으로 충돌하는 구조적 문제”라며 “이처럼 본질적으로 안전하지 않은 시스템은 사소한 실수도 치명적인 보안 사고로 이어질 수 있다”고 지적했다.

이어 “보안 소프트웨어를 무조건 설치하게 하는 방식에서 벗어나, 웹 표준과 브라우저 보안 모델을 기반으로 한 접근이 필요하다”며 “그렇지 않으면 KSA는 국가 차원의 보안 위협 통로가 될 수 있다”고 경고했다.

이번 연구는 세계 최고 권위의 보안학회 ‘유즈닉스 시큐리티 2025(USENIX Security 2025)’에 채택됐다. KAIST 김용대·윤인수 교수, 고려대 김승주 교수, 성균관대 김형식 교수가 연구를 이끌었으며, 윤태식(티오리/KAIST), 정수환(엔키화이트햇/KAIST), 이용화(티오리) 연구원이 참여했다.

이번 연구는 정보통신기획평가원(IITP)의 ICT 연구개발 지원사업 일환으로 수행됐다.