오늘 뉴스를 보다가 우리가 은행 사이트에 접속하면 무조건 설치해야만 하는
보안프로그램이 오히려 해킹의 위험을 키울 수 있다는 내용을 보게 되었다.
엇! 이게 무슨 말이지? 그동안 믿고 있던 은행 보안 프로그램인데?
그래서 이 뉴스에서 언급하는 논문이 뭔지 찾아보았다.
(마침 캡처한 화면의 배경에 논문도 보인다.)
Too Much of a Good Thing : Security of Mandatory Security Software for Financial Services in South Korea 라는 제목의 논문인데 보안 쪽에서 이미 유명하신 교수님들 이름이 보이는 걸 보면 그냥 넘어갈 내용은 아닌 것 같다는 생각이 든다.
그래서 그 내용을 퀵하게 본 결과...
23년 북한이 KSA 2.0 (Korea Security Application 2.0 프로그램)을 악용한 사례를 계기로 (당시 언론사와 방위산업체 기업 들의 PC가 모두 해킹 당했음)
이 KSA 2.0에 대한 취약점에 대한 포괄적인 보안 조사를 했고
그 결과 해커 들이 활용할 수 있는 커다란 취약점이 19가지가 식별되어
해커들이 이 은행 보안 프로그램을 사용하여 다양한 해킹 활동을 할 수 있다는 점을 확인했다고 한다. (참고로, 이 내용들은 이미 정부에 보고되었고 패치 되었다고 한다.)
헉! 이 은행 보안 프로그램들은 그동안 신뢰하고 사용해 왔는데?
(위 논문에 따르면 400명의 한국인에 대한 설문 결과 97%가 이 보안 프로그램을 설치한 경험이 있고 59%는 자신이 설치한 프로그램이 정확히 뭔지도 모른다고 한다)
도대체 이런 문제는 왜 발생한 것일까?
사실 원인은 간단하다. 바로 강제성이라는 것이다.
공인인증서를 강제하던 90년대부터
ActiveX에서 시작되어 지속되어 온 보안 프로그램 관련 산업에서 부터
일종의 관행이 되어 고객에게 강제로 설치하게 한 것이 모든 문제의 시작이라는 것이다.
이런 상황은 정부에서 나서서 조치를 해줬으면 하지만...
만약 빠른 시간 내 이러한 환경이 개선되지 않으면 우리는 무엇을 할 수 있을까?
뭐... PC 를 활용한 인터넷 뱅킹을 피하는 것 외에는 방법이 없지 않을까?
(그리고, 이렇게 산업의 흐름은 변하게 된다.)
----
간단한 요약
최근 한 논문에 따르면, 국내 은행 사이트에서 필수로 설치해야 하는 보안 프로그램(KSA 2.0 등)이 오히려 해킹의 위험을 키울 수 있다는 사실이 밝혀짐
2023년 북한의 사이버 공격 사례를 계기로 이 프로그램에 대한 보안 조사가 진행됐고, 해커들이 악용 가능한 19가지의 취약점이 발견 (해당 취약점은 정부에 보고되어 패치 완료)
문제의 핵심은 **보안 프로그램 설치의 강제성**에 있으며, 이는 오랜 관행에서 비롯된 구조적 문제이고
실제로 사용자 대부분은 해당 프로그램이 어떤 역할을 하는지도 모른 채 설치하고 있었음
이런 환경은 정부 차원의 개선이 필요하지만, 변화가 없다면 사용자는 PC 기반 인터넷 뱅킹을 피하는 것 외에 뾰족한 수가 없는 상황임
