【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]KAIST 등 연구진 “필수 금융 보안 SW 해킹 악용 가능...근본적 전환 필요”

온카뱅크관리자

2025-06-02 08:57:31

<div id="layerTranslateNotice" style="display:none;"></div>  
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="3QLkZrtsZR">
          <figure class="figure_frm origin_fig" contents-hash="2a70216e28d225cfe29cf8276587df67abf920acb49d077367b196c6d1b57d9b" dmcf-pid="0xoE5mFOXM" dmcf-ptype="figure">
           <p class="link_figure"><img alt="연구진들. 윗줄 왼쪽부터 시계 방향으로 김용대 교수, 윤인수 교수, 김형식 교수, 김승주 교수, 정수환 연구원, 이용화 연구원, 윤태식 연구원." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202506/02/etimesi/20250602085205618bbmo.jpg" data-org-width="700" dmcf-mid="82tAHD5r5B" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202506/02/etimesi/20250602085205618bbmo.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            연구진들. 윗줄 왼쪽부터 시계 방향으로 김용대 교수, 윤인수 교수, 김형식 교수, 김승주 교수, 정수환 연구원, 이용화 연구원, 윤태식 연구원.
           </figcaption>
          </figure>
          <p contents-hash="8fc2c529ef438cebdc5d6d7679a0b102fed529f73fea8d292a81ba1155a663b7" dmcf-pid="pMgD1s3IZx" dmcf-ptype="general">우리나라는 유일한 금융 보안 소프트웨어(SW) 설치 의무국인데, 이게 오히려 보안 취약점이 된다는 연구결과가 나왔다.</p>
          <p contents-hash="03dc0cf0b258448ff52560b7d24e466dd5f1d83c5bde4597af5832d8317df11e" dmcf-pid="URawtO0CGQ" dmcf-ptype="general">한국과학기술원(KAIST·총장 이광형)은 김용대·윤인수 전기 및 전자공학부 교수팀이 김승주 고려대 교수팀, 김형식 성균관대 교수팀, 보안 전문기업 티오리와 이같은 연구 결과는 내놨다고 2일 밝혔다.</p>
          <p contents-hash="d9ab84be61a13b8e11af320d68ab09059b5e8e1d90132f41ed707656c593b415" dmcf-pid="uJAs0huS1P" dmcf-ptype="general">연구진은 왜 우리 보안 SW가 북한 사이버 공격 표적이 되는지 주목했는데, 해당 SW들이 설계상 구조적 결함, 구현상 취약점을 모두 가진 것이 드러났다.</p>
          <p contents-hash="b506a0a9fec7f56e3e38b4a17f16ef5be8f97ad048724e7265727d1742525fbc" dmcf-pid="7icOpl7vt6" dmcf-ptype="general">국내 금융·공공기관에서 사용 중인 주요 설치 의무화 보안 프로그램(KSA 프로그램) 7종에서 △키보드 입력 탈취 △중간자 공격(MITM) △공인인증서 유출 △원격 코드 실행(RCE) △사용자 식별 및 추적 등 보안 취약점 총 19건을 발견했다. 일부는 연구진 제보로 패치됐는데, 근본 취약점은 해결되지 않았다.</p>
          <p contents-hash="39587c47a31b2fed64b499fdbe4b1444d15387d6c85896a7a5a350304edc722b" dmcf-pid="znkIUSzT18" dmcf-ptype="general">연구팀은 해당 SW가 웹 브라우저 보안을 우회해, 민감한 시스템 내부 파일에 접근하는 것을 문제로 지적했다.</p>
          <p contents-hash="9e88ed41a9f37a034389a3a72417386a997e969069cead62db8e22b9dc25ec57" dmcf-pid="qLECuvqyG4" dmcf-ptype="general">브라우저는 원칙적으로 외부 웹사이트의 민감 정보 접근을 막는데, KSA는 '보안 3종 세트(키보드 보안, 방화벽, 인증서 저장)'를 유지하고자 루프백 통신, 외부 프로그램 호출, 비표준 API 활용 등 외부 채널로 이를 우회한다. 이런 구조는 오래 전 지원 중단된 보안 플러그 '엑티브X'로 이뤄졌는데, 이후에도 실행파일(.exe)을 활용한 유사 구조로 대체됐다. 취약점이 계속 유지되는 것이다.</p>
          <p contents-hash="17d643912aed5be2b056b35ede790c2779e850635a8cad41d96fee4c4722c898" dmcf-pid="BoDh7TBWHf" dmcf-ptype="general">이는 출처가 다른 웹 페이지 간 데이터 접근을 제한하는 '동일 출처 정책(SOP)', 시스템 내 실행 코드·프로그램 활동을 제한하는 '샌드박스', 프로세스 등을 나눠 최소 권한만 부여하는 '권한 격리' 등 최신 웹 보안 메커니즘과 상반된다.</p>
          <p contents-hash="31a33155faed308827cd2fc6a62fbf3ae0f811fdf670b529b19e9d1da38ef187" dmcf-pid="bgwlzybYHV" dmcf-ptype="general">연구팀은 이런 구조가 실제 공격 경로로 악용될 수 있음을 실증했다. 400명 대상 설문조사에서 97.4%가 KSA 설치 경험이 있었으며, 이 중 59.3%는 '무엇을 하는 프로그램인지 모른다'고 답했다. 실제 PC 48대를 분석했는데, 평균 9개 KSA가 설치돼 있었고 다수는 2022년 이전, 일부는 2019년 버전이었다.</p>
          <p contents-hash="63545baa5a606a7ef83ada19cb64ca9751baa1a74c34a88875d142650cabc305" dmcf-pid="KarSqWKGY2" dmcf-ptype="general">김용대 교수는 “문제는 브라우저 보안 철학과 정면으로 충돌하는 구조로, 안전하지 않은 시스템 구조는 작은 실수도 치명적인 보안 사고로 이어질 수 있다”며 “웹 표준과 브라우저 보안 모델을 따르게 전환하지 않으면 KSA는 국가 차원 보안 위협 중심이 될 것”이라고 밝혔다.</p>
          <p contents-hash="3a9c94cbc32b819314be4990fb340915d01cad42d1dd5e70610bab477a889af9" dmcf-pid="9NmvBY9HY9" dmcf-ptype="general">논문은 '유즈닉스 시큐리티 2025'에 채택됐고, 윤태식 티오리(KAIST) 연구원이 논문 1 저자다. 정수환(엔키화이트햇·KAIST), 이용화(티오리) 연구원도 참여했다. 연구는 정보통신기획평가원(IITP) 지원을 받아 수행됐다.</p>
          <p contents-hash="442c48453aac20e3849fdc62f0b5f894f8e2e1b71a6d5b87b511f8166a9b5101" dmcf-pid="2jsTbG2X5K" dmcf-ptype="general">김영준 기자 kyj85@etnews.com</p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 전자신문. 무단전재 및 재배포 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기