금융·공공 보안프로그램, 사이버 공격 교두보 된다

[산업일보]
금융 거래의 필수적인 보안 소프트웨어가 오히려 보안 위협의 매개체가 될 수 있다는 연구 결과가 나왔다.

카이스트(KAIST) 전기 및 전자공학부 김용대·윤인수 교수 공동연구팀은 고려대학교 김승주 교수팀·성균관대 김형식 교수팀·보안 전문기업 티오리(Theori) 소속 연구진(이하 연구진)과 함께 한국 금융보안 소프트웨어의 구조적 취약점을 체계적으로 분석한 연구 결과를 2일 공개했다.

연구진은 북학의 사이버 공격 사례에서 한국의 보안 소프트웨어가 주요 표적이 된다는 점을 주목했다. 이에 국내 주요 금융기관·공공기관에서 사용 중인 주요 보안프로그램(Korea Security Applications, 이하 KSA) 7종을 분석한 결과, 해당 소프트웨어들이 설계상 구조적 결함과 구현상 취약점을 동시에 내포하고 있음이 드러났다.

KSA 프로그램 중 발견된 심각한 보안 취약점은 총 19건으로, 주요 취약점은▲키보드 입력 탈취 ▲중간자 공격(MITM) ▲공인인증서 유출 ▲원격 코드 실행(RCE) ▲사용자 식별 및 추적이다.

연구진은 제보를 통해 일부 취약점은 패치됐지만, 전체 보안 생태계를 관통하는 근본적 설계 취약점은 여전히 해결되지 않은 상태라고 전했다. 이들은 보도자료를 통해 ‘보안 소프트웨어가 사용자의 안전을 위한 도구가 돼야 함에도, 오히려 공격의 통로로 악용될 수 있다’라며 보안의 근본적 패러다임이 필요하다고 강조했다.

특히, 연구진은 KSA가 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐다고 지적했다. 브라우저는 외부 웹사이트가 시스템 내부 파일과 같이 민간 정보에 접근하지 못하도록 제한하는 원칙을 가지고 있다. 그러나 KSA는 ‘보안 3종 세트(키보드보안, 방화벽, 인증서 저장)’을 유지하기 위해 이러한 제한을 우회하고 있다는 것이다.

이러한 설계는 동일 출처 정책(Same-Origin Policy, SOP), 샌드박스(Sandbox), 권한 격리(Privilege Separation)와 같은 최신 웹 보안 메커니즘과 정면으로 출동하며, 연구진은 해당 구조가 새로운 공격 경로로 악용될 수 있음을 실증적으로 확인했다고 밝혔다.

카이스트 김용대 교수는 보도자료에서 ‘웹은 위험하므로 보호해야 한다는 브라우저의 보안 철학과 정면으로 충돌하는 구조적으로 안전하지 않은 시스템’이라며 ‘작은 실수도 치명적 보안 사고로 이어질 수 있다’라고 경고했다.

이어 ‘비표준 보안 소프트웨어를 강제로 설치시키는 방식이 아니라, 웹 표준·브라우저 보안 모델을 따르는 방향으로 전환해야 한다’라며 ‘대처하지 않으면 KSA는 국가 차원의 보안 위협 중심이 될 것’이라고 덧붙였다.