“KAIST, 국내 금융 보안 소프트웨어 구조적 위험”→웹 표준 기반 패러다임 전환 촉구

금융과 공공 분야의 안위를 지켜줄 방패로 믿어온 보안 소프트웨어의 본질이 오히려 시스템 전체의 주요 취약점이 되고 있음이 KAIST 주도 연구진의 심층 분석을 통해 드러났다. 국내에서 유일하게 금융 보안 소프트웨어의 설치를 법적으로 의무화해온 정책적 배경 위에 쌓아 올려진 보안 체계가, 실상은 구조적 허점의 집적체로 전락할 위험성을 노정하고 있다는 진단이다. 연구진은 금융과 공공서비스 현장에 실질적으로 배포된 7종의 주요 프로그램에서 19건의 심각한 취약점을 발견했으며, 이 중 상당수는 사용자 정보를 탈취하거나 중대한 시스템 권한을 위협하는 심층적 결함들로 밝혀졌다.

KAIST, 고려대학교, 성균관대학교 등 국내 유수의 연구진이 참여한 이번 조사 결과, 국내 금융기관과 공공기관이 광범위하게 도입한 KSA(Korea Security Applications) 프로그램들은 설계 자체의 결함과 구현상의 취약점을 동시에 내포하고 있음이 확인됐다. 연구팀은 금융 보안 소프트웨어가 실은 공격의 통로로 악용될 가능성이 높으며, 전통적 방식의 방어 수단이 되지 못하고 있음에 주목했다. 특히 국내 보안 소프트웨어는 웹 브라우저의 보안 틀을 우회해 민감한 시스템 자원에 접근하는 구조로 설계됐는데, 이는 중대한 시장 특성으로 이어졌다. 액티브엑스(ActiveX)의 퇴장 이후에도 구조적 대체 없이 실행 파일 기반의 방식이 지속됨에 따라, 최신 웹 표준 및 브라우저 보안 모델과의 충돌이 심화되고 있다. 실제로 연구진이 발견한 취약점 중엔 키보드 입력 탈취, 공인인증서 유출, 원격 코드 실행 등 치명적 피해로 이어질 수 있는 내용이 다수 포함됐다.

이와 같은 현상은 국내 특정 환경에만 국한되는 정책의 결과로, 전 세계적으로 유례없는 보안 프로그램 의무화가 치명적 허점으로 작용하고 있다는 지적으로 이어진다. 연구진은 브라우저의 권한 격리와 웹 표준 규칙이 보안의 근본적 원칙임을 상기시키며, 비표준 소프트웨어에 대한 의존을 근본적으로 재고할 시점임을 시사했다. 실제로 전국 400명을 대상으로 한 설문에서 97.4%가 금융서비스 이용 과정에서 해당 보안소프트웨어 설치 경험을 밝혔다. 하지만 이 가운데 59.3%가 프로그램의 작동 원리 자체를 인지하지 못했다고 답했으며, 실제 사용자 PC 한 대당 평균 9개에 이르는 KSA가 깔려 있었고, 구버전이 여전히 주류로 남아있다는 사실도 확인됐다. 김용대 KAIST 교수는 “문제의 본질은 단순한 버그가 아니라, 브라우저 보안 철학과 충돌하는 구조적 결함”임을 지적하며, “웹 표준을 준수하는 새로운 보안 패러다임으로의 이행 없이는, 국가 차원의 보안 위협이 지속될 것”이라는 전망을 피력했다.

이러한 분석과 권고는 현재 정책·시장 구조를 근본적으로 검토해야 할 계기를 촉발한다. 보안 소프트웨어가 보호의 수단에서 오히려 위험의 기제가 되는 아이러니, 그리고 기술 패러다임이 진화함에 따라 뒤처진 보안 정책의 구조적 재난 가능성이 전문가들 사이에서 심도 깊게 논의되고 있다. 앞으로 국내 보안 시장은 보다 투명한 구조 개선과 국제 표준 접목에 대한 압박 속에서, 근본적인 혁신의 기로에 설 것으로 관측된다.