[쿠키과학] '보안프로그램'이 오히려 해킹 통로 된다

KAIST-고려대-성균관대-티오리 공동연구, 금융거래 필수 소프트웨어 해킹 악용
웹 표준 브라우저 보안모델 기반 전환 필요성 제시

기사승인 2025-06-02 10:10:04

해킹 사이트가 KSA와 통신해 피해자 PC에 악성파일을 설치하는 시연(https://drive.google.com/file/d/17xrxXuwejYvxbOSHDNLTr9G_vKWI0Lbm/view). KAIST

각종 금융보안 프로그램이 오히려 해킹 악용 가능성을 높인다는 연구결과가 나왔다.

KAIST 전기및전자공학부 김용대·윤인수 교수와 고려대 김승주 교수, 성균관대 김형식 교수, 보안전문기업 티오리가 참여한 공동연구팀은 우리나라 금융보안 소프트웨어의 구조적 취약점을 체계적으로 분석한 연구결과를 2일 공개했다.

연구팀은 우리나라 주요 금융기관과 공공기관에서 사용 중인 보안(KSA) 프로그램 7종을 분석한 결과 키보드입력 탈취, 중간자 공격(MITM), 공인인증서 유출, 원격코드 실행(RCE), 사용자식별 및 추적 등 19종류의 심각한 보안취약점을 발견했다.

이들 대부분은 코드 상의 단순 실수가 아닌 설계구조 자체에서 비롯된 기능 오용으로 취약점이 반복적으로 나타나는 것이 문제로 지적됐다.

키보드입력 탈취의 경우 클라이언트에서 키 입력을 암호화한 뒤 웹 페이지로 전달하는 구조지만, 대칭키가 하드코딩 되거나 노출돼 공격자가 복호화 할 가능성이 있다.

실제 연구팀은 해킹 사이트가 키보드 보안프로그램과 통신해 피해자가 입력하는 키보드 비밀번호 입력을 가로채고는 것을 시연했다.

이 경우 일반적으로 웹페이지에서 다른 프로그램이나 다른 사이트에 입력하는 키보드 입력을 가로채는 것이 불가능하지만, KSA를 이용해 키보드 입력을 가로챌 수 있었다.

보안프로그램을 이용한 비밀번호 탈취 시연(https://drive.google.com/file/d/1MAK-fLQ5VEsNtCu0ARpyWuflf1I2yLbv/view). KAIST

아울러 공인인증서를 보호하려고 만든 KSA가 API를 통해 인증서를 제공할 때 사용자 실명이나 고유식별번호 등 개인정보가 암호화되지 않고 평문으로 노출될 수 있음도 확인했다.

또 TLS 중간자 공격 노출은 일부 프로그램이 사용자 시스템에 자체 서명 루트 인증서를 삽입한 후 제거하지 않아 사용자가 인지하지 못하는 상태에서 HTTPS 통신 감청이 가능한 것으로 드러났다.

이밖에 내부명령 처리구조가 인증 없이 열려 있어 외부에서 임의명령을 전달해 원격코드실행(RCE)이 가능하거나, VPN 사용여부, MAC 주소, OS UUID 등 민감한 식별정보를 수집하고 이를 서버로 전송하는 구조는 사용자 추적을 가능케 했다.

연구팀은 이 같은 취약점이 대부분 다양한 업체에서 유사한 현상으로 반복되고 있다고 지적했다.

특히 금융보안 소프트웨어가 웹브라우저의 보안구조를 우회해 민감한 시스템 기능을 수행하도록 설계된 것이 도마에 올랐다.

브라우저는 원칙적으로 외부 웹사이트가 시스템 내부파일 등 민감 정보에 접근하지 못한다.

하지만 KSA는 키보드보안, 방화벽, 인증서 저장으로 구성된 이른바 ‘보안 3종 세트’를 유지하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 활용 등 브라우저 외부채널로 이런 제한요소를 우회한다.

문제는 이런 방식이 2015년까지 보안플러그인 ActiveX로 이뤄진 것. 그러나 ActiveX가 보안 취약성과 기술적 한계로 지원이 중단되면서 실행파일 ‘exe’를 활용한 유사구조로 대체되면서, 기존의 문제를 반복했다.

그 결과 브라우저 보안경계를 우회하거나, 민감정보에 직접 접근하는 보안 리스크가 계속되고 있다.

연구팀은 이 같은 설계가 ‘동일출처 정책(SOP)’, ‘샌드박스’, ‘권한격리’ 등 최신 웹 보안 메커니즘과 정면 충돌하고, 새로운 공격 경로로 악용될 수 있다고 경고했다.

김용대 교수는 “우리나라는 금융보안 소프트웨어 설치를 의무화한 유일한 나라로, 이번 연구는 보안 프로그램의 단순 기능오류가 아닌 설계철학 자체가 공격에 악용될 수 있는 구조임을 입증한 것”이라며 “현재 일회성 패치 대응에서 벗어나 지속적인 취약점 관리체계와 제3자에 의한 보안성 검토 등 구조적인 개선이 필요하다”고 설명했다.

이어 “사용자가 기능과 위험성을 이해하지 못한 채 무조건 설치하도록 유도되는 시스템은 결국 보안통제권을 사용자로부터 박탈하고 공격자에게 더 큰 기회를 제공하는 환경으로 이어질 수 있다”고 경고했다.

한편, 이번 연구는 정보통신기획평가원(IITP)의 지원을 받아 수행됐고, 연구결과는 국제 보안학회 ‘유즈닉스 시큐리티 2025(USENIX Security 2025)’에 채택됐다
(논문명: Too Much of a Good Thing: (In-)Security of Mandatory Security Software for Financial Services in South Korea / https://syssec.kaist.ac.kr/pub/2025/Too_Much_Good.pdf)