혹시 은행 업무를 위해 온라인에서 보안 프로그램을 설치해본 적 있으신가요? 대부분의 한국 사람이라면 적어도 한 번쯤은 겪어봤을 이 경험, 사실 외국인들에겐 믿기 힘든 장면입니다. 그저 인터넷뱅킹을 하려는 것뿐인데, 수십 개의 프로그램을 설치하라고 요구받고, 심지어 그 과정에서 컴퓨터가 느려지기도 하죠. 그런데 이 설치 프로그램들, 정말 안전을 위한 것일까요?
놀랍게도 이 보안 프로그램들이 오히려 해커들에게는 '해킹의 통로'로 악용되고 있다는 사실, 알고 계셨나요? 카이스트 연구팀은 이 프로그램들을 통해 실제로 북한 해커들이 국내 주요 기관 61곳을 공격했다는 충격적인 연구 결과를 발표했습니다. 우리가 믿고 따랐던 한국형 보안 시스템의 민낯, 이제 그 실체를 들여다보려 합니다.
왜 한국만 보안 프로그램을 설치할까?
미국, 유럽 등 대다수 선진국에서는 온라인 금융 서비스 이용 시 별도의 보안 프로그램 설치를 요구하지 않습니다. 아이디와 비밀번호, 그리고 이중 인증(2FA)만으로도 충분한 보안이 확보된다고 보기 때문이죠. 그런데 유독 한국만은 인터넷뱅킹을 이용할 때 수많은 보안 프로그램을 설치해야 합니다. 이는 한국의 금융 기관들이 고객 책임을 분산시키기 위한 관행과 연관이 깊습니다.
실제로 「전자금융거래법」 제9조는 사고 발생 시 기본적으로 금융 기관의 책임을 규정하고 있으나, “합리적인 주의의무를 다한 경우” 이용자에게도 책임이 전가될 수 있도록 허용하고 있습니다.
전자금융거래법, 2023
이러한 구조에서 보안 프로그램 설치는 일종의 보험처럼 사용되며, 결국 사용자에게 과도한 설치 부담과 보안 리스크를 동시에 안겨주는 결과를 낳게 되었습니다.
카이스트 연구팀의 충격적인 실험 결과
| 항목 | 내용 |
|---|---|
| 연구 기관 | KAIST, 고려대학교, 성균관대학교, Tori 보안연구소 |
| 대상 소프트웨어 | 금융·공공기관에서 사용하는 보안 프로그램 7종 |
| 주요 발견점 | 키로깅, 무결성 미검증, 외부 명령 실행 가능 |
| 결론 | 보안 소프트웨어가 오히려 해킹에 악용됨 |
연구 결과는 전 세계 정보보안 분야 최고 학회에서도 채택되며 그 신뢰성을 인정받았으며, 보안이라는 이름으로 깔아온 프로그램들이 도리어 해커들의 먹잇감으로 전락했음을 보여주었습니다.
발견된 보안 취약점 목록
- 키보드 입력 탈취 (Keylogging)
- 중간자 공격 (MITM)
- 공인인증서 유출
- 원격 코드 실행
- 사용자 활동 추적 가능
- 실행파일 변조 무방비
- 악성코드 설치 가능 경로 제공
총 19가지에 달하는 취약점 중 일부는 패치되었으나, 브라우저 보안과 충돌하는 설계 구조 자체는 여전히 개선되지 않고 있다는 점에서 심각성이 큽니다.
공인인증서와 보안 생태계의 역사
1990년대 후반, 한국은 전자상거래 보안을 위해 공인인증서 제도를 도입합니다. 당시 사용된 암호화 기술인 ‘SEED 알고리즘’은 국내에서 자체 개발되었고, 이를 배포하기 위해 마이크로소프트의 액티브X 기술이 사용되었습니다. 이 기술 덕분에 한국의 인터넷은 액티브X 중심으로 돌아갔고, 결국 액티브X가 사라진 이후에도 은행들은 기존의 보안 생태계를 유지하려는 움직임을 보였습니다.
문제는 브라우저들이 자체적인 보안 장치를 강화하면서 발생했습니다. 크롬, 엣지 등은 ‘샌드박스’ 구조를 채택해 사용자의 민감한 정보를 외부 접근으로부터 차단하는데, 한국의 보안 프로그램들은 이 샌드박스를 우회하기 위해 브라우저 외부에서 실행되는 EXE 형태를 강요하게 되었던 것이죠. 아이러니하게도, 안전을 위해 만든 구조를 일부러 깨는 선택을 하게 된 것입니다.
북한 해커들의 실제 침투 사례
| 연도 | 공격 주체 | 공격 대상 | 공격 수단 |
|---|---|---|---|
| 2023 | 라자루스 그룹(북한) | 국내 금융·공공기관 61곳 | 보안 프로그램을 통한 침투 |
북한의 사이버 조직 라자루스는 한국의 보안 소프트웨어들을 역이용해 악성코드를 유포하고 원격에서 임의 코드를 실행시켰습니다. 이들 프로그램이 사용자 시스템에 깊숙이 접근할 수 있다는 점이, 오히려 해커들에게는 더 유리한 환경을 제공한 셈이죠.
국제 표준으로의 전환이 필요한 이유
- 현재 한국 보안 구조는 책임 회피 목적의 설계라는 점에서 본질적 문제를 안고 있습니다.
- 웹 표준 기반 보안 모델은 사용자 경험과 보안성을 모두 충족시킬 수 있습니다.
- 브라우저 자체 보안 기능이 더욱 진보하고 있는 만큼, 외부 프로그램 의존도는 낮춰야 합니다.
- 미국, 독일, 일본 등 선진국은 이미 독립 보안 시스템 없이도 안전한 금융 환경을 구현하고 있습니다.
- 소프트웨어 하나 설치로 모든 보안이 해결된다는 믿음은 더 이상 유효하지 않습니다.
결국 보안은 시스템 설계와 관리 체계의 문제이며, 책임 있는 기관이 제 역할을 다할 때 비로소 사용자도 안전을 보장받을 수 있습니다. 이제는 한국도 국제 보안 철학을 받아들여야 할 때입니다.
Q&A
A. 한국은 금융 사고 발생 시 사용자의 책임을 일정 부분 전가할 수 있는 법적 구조가 있으며, 이로 인해 은행들은 책임 회피 수단으로 보안 프로그램 설치를 유도하고 있습니다.
A. 네, KAIST 등의 연구에 따르면 보안 프로그램이 브라우저 외부에서 작동하면서 샌드박스 보안 모델을 우회하고, 이 과정이 해커들에게 악용되는 사례가 다수 존재합니다.
A. 보안 프로그램을 통해 키보드 입력을 탈취하거나, 무결성 검증이 미비한 점을 이용해 원격으로 악성코드를 설치하는 방식으로 침투했습니다.
A. 미국, 독일 등은 보안 소프트웨어 설치 없이 브라우저의 자체 보안 기능과 이중 인증 시스템으로 금융 보안을 유지합니다. 책임은 전적으로 금융기관에 부과됩니다.
A. 웹 표준 기반의 보안 체계로 전환하고, 사용자의 책임 전가보다는 기관 주도의 책임 이행, 국제 보안 철학 수용 등 전면적 시스템 개편이 필요합니다.
마치며
한국의 보안 프로그램들은 오랫동안 ‘안전을 위한 필수 절차’로 여겨졌습니다. 하지만 그 속내를 들여다보면 사용자에게 책임을 전가하기 위한 수단이었고, 오히려 해커들의 공격 경로가 되어 왔습니다. 카이스트와 보안 전문가들의 연구는 이를 명백히 밝혔고, 이제 우리는 국제 보안 표준에 걸맞은 체계로의 전환을 진지하게 고민해야 할 때입니다.
안전은 ‘설치’가 아니라 ‘설계’에서 나옵니다. 모든 사용자가 보안 프로그램이라는 이름의 무거운 짐을 짊어지는 대신, 시스템 자체가 안전할 수 있도록 금융기관과 정부가 주도적 책임을 져야 합니다. 지금 우리가 내려야 할 결정은 단순한 프로그램 교체가 아닌, 철학의 변화입니다.
'생활 정보 소식통' 카테고리의 다른 글
| 2025년 디지털자산법 통과와 원화 스테이블코인 허용 한국 디지털 금융의 새로운 지평을 열다 (5) | 2025.06.11 |
|---|---|
| 챗GPT 6월 10일 전세계 서비스 장애 발생: 원인과 영향 분석 (5) | 2025.06.11 |
| 혼자가 아닌, 함께하는 아웃도어: 등산앱 페어플레이 완전 정복! (10) | 2025.06.11 |
| iOS 26의 도래: 아이폰의 새로운 시대 (1) | 2025.06.11 |
| 거주자 우선 주차장 신청 완벽 가이드 - 신청 방법부터 구역 확인까지(신청 사이트 바로가기) (3) | 2025.06.11 |