1.
금융서비스를 이용할 때 필수적인 것이 보안소프트웨어 설치입니다. 보안소프트웨어와 관련한 오랜 정책은 ‘ActiveX방식의 프로그램 의무설치’였습니다.이 정책은 2014년 전자금융감독규정을 개정하면서 폐지되었습니다.
전자금융 거래 때 소비자의 불편을 초래해온 액티브X(Active-X) 보안프로그램 설치의무가 내년 1월 사라진다.금융위원회는 12일 전자금융 거래 정보의 재위탁 기준과 사이버 안전대책 방안, 금융규제 개선, 전자금융보안 개선 등 내용을 담은 전자금융감독규정 개정안을 변경예고했다.개정안은 사실상 액티브X를 강제하는 보안프로그램의 설치의무를 규정에서 삭제, 금융사들이 전자금융 거래 안정성 조치를 자율적으로 마련할 수 있게 했다.그동안 전자금융 거래 때는 반드시 공인인증서를 사용해야 했고 이를 위해서는 액티브X 프로그램을 깔아야 하는 등 소비자의 불편이 컸다.
액티브X 보안프로그램 설치의무 내년 1월 폐지중에서
현재 전자금융감독규정에 정한 기준에 따라 금융회사가 자율적으로 정합니다. 그렇지만 ActiveX가 아닌 프로그램을 여전히 설치하여야 합니다.
제34조(전자금융거래 시 준수사항) 금융회사 또는 전자금융업자는 전자금융거래와 관련하여 다음 각 호의 사항을 준수하여야 한다.
1. 전화 등 거래수단 성격상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화 통신을 할 것(다만, 전용선을 사용하는 경우로서 제36조의 규정에 따라 자체 보안성심의를 실시한 경우에는 그러하지 아니하다)
2. 전자금융사고를 예방하기 위하여 비대면 전자금융거래를 허용하지 않는 계좌 개설, 중요거래정보에 대한 문자메시지 및 이메일(e-mail) 통지 등의 서비스를 이용자가 요청하는 경우, 동 서비스를 제공할 수 있도록 시스템을 갖출 것
3. 전자금융거래에 사용되는 접근매체를 발급받기 위해서는 반드시 실명확인 후 교부할 것.
4. 금융회사 또는 전자금융업자는 전자금융거래에서 이용자에게 제공하거나 거래를 처리하기 위한 전자금융거래프로그램(거래전문포함)의 위ㆍ변조 여부 등 무결성을 검증할 수 있는 방법을 제공할 것제34조의2(인증방법 사용기준) 금융회사 또는 전자금융업자는 전자금융거래의 종류ㆍ성격ㆍ위험수준 등을 고려하여 안전한 인증방법을 사용하여야 한다.
2.
이와 관련하여 재미있는 논문이 하나 나왔습니다.
카이스트에서 발표한 논문인데 주요한 내용은 아래와 같습니다.
우리나라는 금융 보안 소프트웨어 설치를 의무화한 유일한 국가다. 이것이 오히려 보안 위협에 취약할 수도 있다는 우려가 국내 연구진에 의해 밝혀졌다. KAIST 연구진은 안전한 금융 환경을 위한 현재 복잡하고 위험한 보안 프로그램을 강제로 설치하는 방식 대신, 웹사이트와 인터넷 브라우저에서 원래 설정한 안전한 규칙과 웹 표준을 따르는 ‘근본적 전환’이 필요하다고 설명했다.
우리 대학 전기및전자공학부 김용대·윤인수 교수 공동 연구팀이 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리(Theori) 소속 연구진이 공동연구를 통해, 한국 금융보안 소프트웨어의 구조적 취약점을 체계적으로 분석한 연구 결과에 대해 2일 밝혔다.
연구진은 북한의 사이버 공격 사례에서 왜 한국의 보안 소프트웨어가 주요 표적이 되는지에 주목했다. 분석 결과, 해당 소프트웨어들이 설계상의 구조적 결함과 구현상 취약점을 동시에 내포하고 있음이 드러났다. 특히 문제는, 한국에서는 금융 및 공공서비스 이용 시 이러한 보안 프로그램의 설치를 의무화하고 있다는 점이다.
이는 전 세계적으로도 유례가 없는 정책이다. 연구팀은 국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램(Korea Security Applications, 이하 ‘KSA 프로그램’)을 분석해 총 19건의 심각한 보안 취약점을 발견했다. 주요 취약점은 ▲키보드 입력 탈취 ▲중간자 공격(MITM) ▲공인인증서 유출 ▲원격 코드 실행(RCE) ▲사용자 식별 및 추적 이다.
일부 취약점은 연구진의 제보로 패치됐으나, 전체 보안 생태계를 관통하는 근본적 설계 취약점은 여전히 해결되지 않은 상태다. 연구진은 “이러한 보안 소프트웨어는 사용자의 안전을 위한 도구가 되어야 함에도 오히려 공격의 통로로 악용될 수 있다”며, 보안의 근본적 패러다임 전환이 필요하다고 강조했다.
연구팀은 국내 금융보안 소프트웨어들이 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐다고 지적했다. 브라우저는 원칙적으로 외부 웹사이트가 시스템 내부 파일 등 민감 정보에 접근하지 못하도록 제한하지만, KSA는 키보드 보안, 방화벽, 인증서 저장으로 구성된 이른바 ‘보안 3종 세트’를 유지하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 활용 등 브라우저 외부 채널을 통해 이러한 제한을 우회하는 방식을 사용하고 있다.
이러한 방식은 2015년까지는 보안 플러그인 ActiveX를 통해 이뤄졌지만, 보안 취약성과 기술적 한계로 ActiveX 지원이 중단되면서 근본적인 개선이 이뤄질 것으로 기대됐다. 그러나 실제로는 실행파일(.exe)을 활용한 유사한 구조로 대체되면서, 기존의 문제를 반복하는 방식으로 이어졌다. 이로 인해 브라우저 보안 경계를 우회하고, 민감 정보에 직접 접근하는 보안 리스크가 여전히 지속되고 있다.
이러한 설계는 ▲동일 출처 정책(Same-Origin Policy, SOP)* ▲샌드박스** ▲권한 격리*** 등 최신 웹 보안 메커니즘과 정면으로 충돌한다. 연구팀은 실제로 이러한 구조가 새로운 공격 경로로 악용될 수 있음을 실증적으로 확인했다.
*Same-Origin Policy(SOP, 동일 출처 정책): 웹 보안의 핵심 개념 중 하나로, 서로 다른 출처(origin)의 웹 페이지나 스크립트 간에 데이터에 접근하지 못하도록 제한하는 보안 정책
**샌드박스(Sandbox): 보안과 안정성을 위해 시스템 내에서 실행되는 코드나 프로그램의 활동을 제한된 환경 안에 가두는 기술
***권한 격리(Privilege Separation): 시스템 보안을 강화하기 위해, 프로그램이나 프로세스를 여러 부분으로 나누고 각각에 최소한의 권한만 부여하는 보안 설계 방식연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사 결과, 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있었으며, 이 중 59.3%는 ‘무엇을 하는 프로그램인지 모른다’고 응답했다. 실제 사용자 PC 48대를 분석한 결과, 1인당 평균 9개의 KSA가 설치돼 있었고 다수는 2022년 이전 버전이었다. 일부는 2019년 버전까지 사용되고 있었다.
김용대 교수는 “문제는 단순한 버그가 아니라, ‘웹은 위험하므로 보호해야 한다’는 브라우저의 보안 철학과 정면으로 충돌하는 구조”라며 “이처럼 구조적으로 안전하지 않은 시스템은 작은 실수도 치명적인 보안 사고로 이어질 수 있다”고 강조했다.
이어 “이제는 비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다”며, “그렇지 않으면 KSA는 향후에도 국가 차원의 보안 위협의 중심이 될 것”이라고 덧붙였다.
금융 필수 보안 소프트웨어가 해킹 악용 가능성중에서
위 논문은 아래와 같이 권고합니다.
이제는 비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다
위 권고가 전자금융정책에 반영될지는 의문입니다. 다른 것을 떠나서 보안이라는 규제로 먹고사는 IT관련한 회사들이 많습니다. 위 정책으로 전환하면 이들의 밥그릇이 문제가 되겠죠.
