-
금융 필수 보안 소프트웨어가 해킹 악용 가능성 밝혀
우리나라는 금융 보안 소프트웨어 설치를 의무화한 유일한 국가다. 이것이 오히려 보안 위협에 취약할 수도 있다는 우려가 국내 연구진에 의해 밝혀졌다. KAIST 연구진은 안전한 금융 환경을 위한 현재 복잡하고 위험한 보안 프로그램을 강제로 설치하는 방식 대신, 웹사이트와 인터넷 브라우저에서 원래 설정한 안전한 규칙과 웹 표준을 따르는 ‘근본적 전환’이 필요하다고 설명했다.
우리 대학 전기및전자공학부 김용대·윤인수 교수 공동 연구팀이 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리(Theori) 소속 연구진이 공동연구를 통해, 한국 금융보안 소프트웨어의 구조적 취약점을 체계적으로 분석한 연구 결과에 대해 2일 밝혔다.
연구진은 북한의 사이버 공격 사례에서 왜 한국의 보안 소프트웨어가 주요 표적이 되는지에 주목했다. 분석 결과, 해당 소프트웨어들이 설계상의 구조적 결함과 구현상 취약점을 동시에 내포하고 있음이 드러났다. 특히 문제는, 한국에서는 금융 및 공공서비스 이용 시 이러한 보안 프로그램의 설치를 의무화하고 있다는 점이다.
이는 전 세계적으로도 유례가 없는 정책이다. 연구팀은 국내 주요 금융기관과 공공기관에서 사용 중인 7종의 주요 보안 프로그램(Korea Security Applications, 이하 ‘KSA 프로그램’)을 분석해 총 19건의 심각한 보안 취약점을 발견했다. 주요 취약점은 ▲키보드 입력 탈취 ▲중간자 공격(MITM) ▲공인인증서 유출 ▲원격 코드 실행(RCE) ▲사용자 식별 및 추적 이다.
일부 취약점은 연구진의 제보로 패치됐으나, 전체 보안 생태계를 관통하는 근본적 설계 취약점은 여전히 해결되지 않은 상태다. 연구진은 "이러한 보안 소프트웨어는 사용자의 안전을 위한 도구가 되어야 함에도 오히려 공격의 통로로 악용될 수 있다”며, 보안의 근본적 패러다임 전환이 필요하다고 강조했다.
연구팀은 국내 금융보안 소프트웨어들이 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐다고 지적했다. 브라우저는 원칙적으로 외부 웹사이트가 시스템 내부 파일 등 민감 정보에 접근하지 못하도록 제한하지만, KSA는 키보드 보안, 방화벽, 인증서 저장으로 구성된 이른바 ‘보안 3종 세트’를 유지하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 활용 등 브라우저 외부 채널을 통해 이러한 제한을 우회하는 방식을 사용하고 있다.
이러한 방식은 2015년까지는 보안 플러그인 ActiveX를 통해 이뤄졌지만, 보안 취약성과 기술적 한계로 ActiveX 지원이 중단되면서 근본적인 개선이 이뤄질 것으로 기대됐다. 그러나 실제로는 실행파일(.exe)을 활용한 유사한 구조로 대체되면서, 기존의 문제를 반복하는 방식으로 이어졌다. 이로 인해 브라우저 보안 경계를 우회하고, 민감 정보에 직접 접근하는 보안 리스크가 여전히 지속되고 있다.
이러한 설계는 ▲동일 출처 정책(Same-Origin Policy, SOP)* ▲샌드박스** ▲권한 격리*** 등 최신 웹 보안 메커니즘과 정면으로 충돌한다. 연구팀은 실제로 이러한 구조가 새로운 공격 경로로 악용될 수 있음을 실증적으로 확인했다.
*Same-Origin Policy(SOP, 동일 출처 정책): 웹 보안의 핵심 개념 중 하나로, 서로 다른 출처(origin)의 웹 페이지나 스크립트 간에 데이터에 접근하지 못하도록 제한하는 보안 정책
**샌드박스(Sandbox): 보안과 안정성을 위해 시스템 내에서 실행되는 코드나 프로그램의 활동을 제한된 환경 안에 가두는 기술
***권한 격리(Privilege Separation): 시스템 보안을 강화하기 위해, 프로그램이나 프로세스를 여러 부분으로 나누고 각각에 최소한의 권한만 부여하는 보안 설계 방식
연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사 결과, 97.4%가 금융서비스 이용을 위해 KSA를 설치한 경험이 있었으며, 이 중 59.3%는 ‘무엇을 하는 프로그램인지 모른다’고 응답했다. 실제 사용자 PC 48대를 분석한 결과, 1인당 평균 9개의 KSA가 설치돼 있었고 다수는 2022년 이전 버전이었다. 일부는 2019년 버전까지 사용되고 있었다.
김용대 교수는 “문제는 단순한 버그가 아니라, ‘웹은 위험하므로 보호해야 한다’는 브라우저의 보안 철학과 정면으로 충돌하는 구조”라며 “이처럼 구조적으로 안전하지 않은 시스템은 작은 실수도 치명적인 보안 사고로 이어질 수 있다”고 강조했다.
이어 “이제는 비표준 보안 소프트웨어들을 강제로 설치시키는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환해야 한다”며, “그렇지 않으면 KSA는 향후에도 국가 차원의 보안 위협의 중심이 될 것”이라고 덧붙였다.
우리 대학 김용대·윤인수 교수, 고려대 김승주 교수, 성균관대 김형식 교수가 연구를 주도했으며, 제1 저자인 윤태식 연구원<(주)티오리/KAIST>을 비롯해 정수환<(주)엔키화이트햇/KAIST>, 이용화<(주)티오리> 연구원이 참여했다. 세계 최고 권위의 보안 학회 중 하나인 ‘유즈닉스 시큐리티 2025(USENIX Security 2025)’에 채택됐다고 2일 밝혔다.
※ 논문명: Too Much of a Good Thing: (In-)Security of Mandatory Security Software for Financial Services in South Korea
※ 논문원문: https://syssec.kaist.ac.kr/pub/2025/Too_Much_Good.pdf
이번 연구는 정보통신기획평가원(IITP)의 RS-2024-00400302, RS-2024-00438686, RS-2022-II221199 과제의 지원을 받아 수행됐다.
데모 동영상 1) https://drive.google.com/file/d/1MAK-fLQ5VEsNtCu0ARpyWuflf1I2yLbv/view?usp=sharing
설명: 피해자가 해킹 사이트에 접속하게 되면 해킹 사이트는 설치된 키보드 보안 프로그램과 통신하여 피해자가 입력하는 키보드 입력을 가로채어 자신에게 전송하도록 설정할 수 있음. 이로 인해 피해자가 입력하는 키보드 입력들이 비밀번호 입력까지도 해커에게 전송됨. 일반적으로 웹 페이지에서 다른 프로그램이나 다른 사이트에 입력하는 키보드 입력을 가로채는 것이 불가능하지만 KSA를 이용해 키보드 입력을 가로챌 수 있음.
데모 동영상 2) https://drive.google.com/file/d/17xrxXuwejYvxbOSHDNLTr9G_vKWI0Lbm/view?usp=sharing
설명: 피해자가 해킹 사이트에 접속하게 되면 해킹 사이트는 KSA와 통신하여 피해자의 PC에 악성 파일을 다운로드 시킬 수 있고, 해당 파일을 이용해 민감한 저장소에 악성 프로그램을 설치할 수 있음. 설치된 악성 프로그램은 피해자가 PC를 재부팅하면 실행되며 해커가 원하는 코드를 임의로 실행할 수 있음. 데모 동영상에서는 단순히 해커가 원하는 코드를 실행할 수 있음을 보이기 위해 계산기 프로그램을 실행하였지만 실제 상황에서는 백도어 등을 해커가 피해자 PC에 설치할 수 있음. 일반적으로 웹페이지에서 시스템에서 동작하는 코드를 실행하는 것은 불가능하지만 KSA의 취약성을 이용해 시스템에서 동작하는 코드를 실행하여 악성 행위를 할 수 있음.
2025.06.02
조회수 1343
-
해킹 공격 막는 암호 반도체 최초 개발
사물인터넷(IoT), 자율 주행 등 5G/6G 시대 소자 또는 기기 간의 상호 정보 교환이 급증함에 따라 해킹 공격이 고도화되고 있다. 이에 따라, 기기에서 데이터를 안전하게 전송하기 위해서는 보안 기능 강화가 필수적이다.
우리 대학 전기및전자공학부 최양규 교수와 류승탁 교수 공동연구팀이 ‘해킹 막는 세계 최초 보안용 암호 반도체’를 개발하는 데 성공했다고 29일 밝혔다.
연구팀은 100% 실리콘 호환 공정으로 제작된 핀펫(FinFET) 기반 보안용 암호반도체 크립토그래픽 트랜지스터(cryptographic transistor, 이하 크립토리스터(cryptoristor))를 세계 최초로 개발했다. 이는 트랜지스터 하나로 이루어진 독창적 구조를 갖고 있을 뿐만 아니라, 동작 방식 또한 독특해 유일무이한 특성을 구비한 난수발생기다.
인공지능 등의 모든 보안 환경에서 가장 중요한 요소는 난수발생기이다. 가장 널리 사용되는 보안 칩인 ‘고급 암호화 표준(advanced encryption standard, AES)’에서 난수발생기는 핵심 요소로, AES 보안 칩 전체 면적의 약 75%, 에너지 소모의 85% 이상을 차지한다. 따라서, 모바일 혹은 사물인터넷(IoT)에 탑재가 가능한 저전력/초소형 난수발생기 개발이 시급하다.
기존의 난수발생기는 전력 소모가 매우 크고 실리콘 CMOS 공정과의 호환성이 떨어진다는 단점이 있고, 회로 기반의 난수발생기들은 점유 면적이 매우 크다는 단점이 있다.
연구팀은 기존 세계 최고 수준 연구 대비 전력 소모와 점유 면적 모두 수천 배 이상 작은 암호 반도체인 단일 소자 기반의 크립토리스터(cryptoristor)를 개발했다. 절연층이 실리콘 하부에 형성되어 있는 실리콘 온 인슐레이터(Silicon-on-Insulator, SOI) 기판 위에 제작된 핀펫(FinFET)이 가지는 내재적인 전위 불안정성을 이용해 무작위적으로 0과 1을 예측 불가능하게 내보내는 난수발생기를 개발했다.
다시 설명하면, 보통 모바일 기기 등에서 정보를 교환할 때 데이터를 암호화하는 알고리즘에는 해커가 암호화한 알고리즘을 예측할 수 없도록 하는 것이 중요하다. 이에 무작위의 0과 1이 난수이며 0과 1의 배열이 매번 다른 결과가 나오게 하여 예측 불가능성을 가지도록 함으로써 공격자가 예측하지 못하도록 차단하는 방식이다.
특히, 크립토리스터 기반 난수발생기 연구는 국제적으로도 구현한 사례가 없는 세계 최초의 연구이면서, 기존 논리 연산용 또는 메모리용 소자와 동일한 구조의 트랜지스터이기 때문에, 현재 반도체 설비를 이용한 양산 공정으로 100% 제작이 가능하며 저비용으로 빠르게 대량생산이 가능하다는 점에서 의미가 크다.
연구를 주도한 김승일 박사과정은 개발된 “암호 반도체로서 초소형/저전력 난수발생기는 특유의 예측 불가능성으로 인해 보안 기능을 강화해 칩 또는 칩 간의 통신 보안으로 안전한 초연결성을 지원할 수 있고, 특히 기존 연구 대비 에너지, 집적도, 비용 측면에서 탁월한 장점을 갖고 있어 사물인터넷(IoT) 기기 환경에 적합하다”고 연구의 의의를 설명했다.
전기및전자공학부 김승일 박사과정이 제1 저자, 유형진 석사가 공저자로 참여한 이번 연구는 국제학술지 ‘사이언스(Science)’의 자매지인 ‘사이언스 어드밴시스(Science Advances)’ 2024년 2월 온라인판에 정식 출판됐다. (논문명 : Cryptographic transistor for true random number generator with low power consumption)
한편 이번 연구는 한국연구재단 차세대지능형반도체기술개발사업, 국가반도체연구실지원핵심기술개발사업의 지원을 받아 수행됐다.
2024.02.29
조회수 7988