카이스트에서 한국 보안프로그램의 패악을 조사함

빠른나무30 작성
작성일 2026.04.15 10:10

103 조회
목록 답글 쓰기

출처 https://gall.dcinside.com/board/view/?id=dcbest&no=420145&list_num=100&_dcbest=1&page=1 74

24b0d121e09c28a8699fe8b115ef046540abf43df4

카이스트, 고려대, 성균관대 공동으로 연구한 논문이 개제됨

그것도 USENIX Security 2025에 게재되었는데

세계에서 가장 권위 있는 보안 컨퍼런스중 하나임

여기서 KSA = 한국형 보안 어플리케이션을 뜻함

보안을 강화하겠다며 도입됐지만,
실제로는 브라우저가 어렵게 쌓아 올린 현대 웹 보안 모델을 우회하면서

새로운 공격 표면을 대규모로 열어 왔다는게 골자

논문을 요약하면 KSA가 문제되는 이유는 한두개가 아닌데, 아래와 같음

1. 브라우저 보안(샌드박스) 무효화

크롬이나 사파리 같은 현대 브라우저들은 악성 웹사이트가 내 PC 파일이나 시스템에 맘대로 접근 못하게 샌드박스라는 철통 방어 구역을 씀.

근데 KSA들은 은행 업무 등 특수 기능을 핑계로 이 샌드박스 밖에서 돌아가면서 브라우저 보안을 의도적으로 우회시킴 .

결과적으로 브라우저가 아무리 방어를 잘해도, 해커가 KSA의 버그나 취약점만 찌르면 내 PC에 원격으로 악성코드를 강제로 깔고 실행(RCE)할 수 있게 됨.
브라우저 해킹할 필요도 없이 KSA가 우회로가 되는 꼴

2. 키보드 보안 프로그램이 내 키보드를 털어감

제일 황당한 부분인데, 키보드 보안 프로그램은 해킹을 막아야 하잖아?
문제는 KSA는 사용자 키보드 입력을 암호화해서 웹페이지에 던져주면 거기서 푸는 식

그리고 웹페이지한테 키보드 입력을 풀 수 있는 대칭키를 줘버림 (비대칭키랑 다르게 키 하나로 복호화까지 가능한 방식)
해커가 맘먹고 KSA 기능을 건드리면, 아예 암호화를 풀게 하거나 기능을 꺼버려서 사용자 모든 키보드 입력을 훔쳐가는 완벽한 키로거로 써먹을 수 있음

3. 사설 인증서 남발 (구글/네이버 위조 가능)

KSA가 백그라운드에서 돌면서 웹이랑 통신(HTTPS)을 하려면 인증서가 필요함. 그래서 얘네는 사용자 PC에 '루트 인증서(Root CA)'라는 강력한 권한의 사설 인증서를 강제로 설치함

만약 이 업체의 인증서 개인키가 유출되면, 해커가 구글이나 은행 같은 정상 사이트를 똑같이 위조해서 중간자 공격으로 정보를 가로챌 수 있음.

실제로 연구진이 프로그램을 분석해서 개인키를 빼낸 뒤 구글 사이트 위조에 성공

더 큰 문제는 KSA 프로그램을 지워도 이 루트 인증서는 PC에 그대로 남는 경우가 많아서 계속 보안 위협이 됨

4. 과도한 개인정보 수집 (사실상 스파이웨어)

은행에서 이상 거래를 탐지한다고 까는 KSA 프로그램들이 있음. 얘네는 내 PC의 MAC 주소, VPN IP, 방화벽 설정, 하드웨어 일련번호 등 사생활 정보를 싹 다 수집함
해외 연구자가 '국가 지원 스파이웨어'라고 불렀을 정도. 사실상 짱깨 정부가 낼 만한 아이디어

수집한 데이터는 암호화해서 서버로 보내긴 하는데, 누구나 인증 없이 접근할 수 있는 KSA 개발자용 테스트 페이지를 이용하면 이걸 그대로 복호화해서 빼볼 수 있음

또한 공동인증서 관리 프로그램의 경우, 인증서에 포함된 실명이나 일련번호를 웹상에서 평문으로 노출시킴

5. 구조적으로 불가능에 가까운 패치와 방치

이런 치명적인 취약점들이 발견되어도 고치기가 매우 힘든 구조

KSA 개발사만 프로그램을 업데이트한다고 끝나는 게 아니라, KSA를 연동해 둔 은행 쪽 웹사이트 코드(자바스크립트)도 같이 수정해야 됨

근데 은행들은 멀쩡히 돌아가는 서비스에 문제 생길까 봐 수정을 꺼리는 경우가 많아서 취약점이 사실상 방치되고 있음