웹사이트 들어갈 때마다 뜨는 ‘보안 프로그램 설치’ 창, 한 번쯤 짜증 나셨죠?
🙋♂️ “이거 깔아야만 결제·공공 서비스가 되니까…” 하고 눌렀는데,
알고 보니 이 프로그램 자체가 북한 해킹 조직의 주 공격 통로라는 충격적 연구 결과가 나왔습니다.
1️⃣ 무슨 일이었나?
|
구분
|
핵심 내용
|
|
연구팀
|
KAIST‧고려대‧성균관대‧보안기업 Theori
|
|
논문
|
「Too much of a good thing」 (2025, 세계 최고 권위 학회 채택)
|
|
실험
|
은행·공공기관 등 7종 프로그램 분석 → 취약점 19개
|
|
공격 시나리오
|
원격 코드 실행, 키보드 입력 가로채기, 인증서 탈취 등 가능
|
2023년 북한 라잘루스가 언론·방산 61개 기관을 털 때 실제로 이 취약점을 썼다는 내부 수사 정황도 제시됐습니다.
2️⃣ 왜 이렇게 위험해졌을까?
- ActiveX 후유증
- ‧ 공인인증서 시대(IE 전성기) → 브라우저 샌드박스 우회용 EXE 제작
- 강제 설치 관행
- ‧ 금융·공공 사이트 접속=“보안 모듈 설치하세요”
- 샌드박스 우회 구조
- ‧ 브라우저→EXE와 IPC 통신 → OS 커널 접근권 획득
- 패치 지연·책임 전가
- ‧ 사고 나면 “이용자 PC 문제”라며 은행은 책임 회피
- ‧ 전자금융거래법 9조로 소비자에게 손해 떠넘길 여지
결국 “보안 강화를 위해 만든 프로그램이 보안 구멍”이 된 아이러니!
3️⃣ 19가지 취약점, 어떤 피해가? 🕳️
- 키보드 입력 실시간 탈취 → 계좌·비밀번호 유출
- 중간자 공격 → 거래 내용 변조
- 원격 코드 실행 → 랜섬웨어 설치
- 인증서 파일 복사 → 전자서명 도용
설치는 쉬운데 삭제를 깜빡하면 해커에게는 ‘백도어’를 선물하는 셈입니다.
4️⃣ 연구팀·전문가 제언
- 웹 표준 준수
- ‧ FIDO·WebAuthn 같은 국제 인증 기술로 전환
- 브라우저 내 보호 기능 사용
- ‧ 별도 EXE 대신 Content Security Policy, SameSite 쿠키 활용
- 강제 설치 금지
- ‧ 필요 시 웹스토어 확장(샌드박스 내부) 방식 채택
- 사고 책임 명확화
- ‧ 해킹 손해 발생 시 금융사에 과징금·배상 의무 부과 👉 투자 유도
- 사용자 행동 지침
- ‧ “필요할 때만 설치 → 이용 후 즉시 제거” 습관화
5️⃣ 정부·금융권은 뭐라고 했나?
|
기관
|
현황
|
|
과기정통부
|
“Non-ActiveX 전환 완료” 주장, 연구 결과는 별도 검토 중
|
|
금융위
|
“추가 보안 가이드 마련” 예고, 구체 로드맵 미발표
|
|
KISA
|
“취약점 통보받아 패치 진행” ↔ 설계 결함은 미해결
|
🔎 즉, 근본 구조 교체 없이는 땜질 패치만 반복될 가능성이 큽니다.
6️⃣ 내 PC 스스로 지키는 3단계 🔐
- 설치 요구 창이 뜨면?
- → 웹버전 지원 여부 먼저 확인, 무조건 ‘설치’ 버튼 누르지 않기
- 이미 깔려 있다면?
- → 제어판‧앱 목록에서 사용 후 삭제, 자동 업데이트 설정
- 새 인증 기술 활용
- → 가능한 곳은 지문·얼굴(FIDO) 로그인으로 전환
✨ 정리 한 줄
“한국형 보안 프로그램, 더는 ‘필수 방패’가 아니라 ‘열린 문’이 될 수 있다.”
웹 표준으로 갈아탈 때까지는 설치 최소화·삭제 습관이 최고의 방어입니다.
관련 정책·패치 소식은 계속 업데이트할 테니 이웃 추가 잊지 마세요! 🙌
블로그 글 출처
'정보 Pick > IT&테크' 카테고리의 다른 글
| ⏰ 윈도우 10 지원 종료 D-DAY, 무엇을 준비해야 할까? (1) | 2025.06.11 |
|---|---|
| 📲 2025 카카오톡 ‘검열’ 논란, 핵심만 딱! (총정리) (1) | 2025.06.10 |
| ☕ 일상카페 개인정보 유출 사건, 지금 꼭 확인하세요! (2) | 2025.06.09 |
| 포켓 종료, 대안 북마크 앱 7선 (4) | 2025.06.09 |
| 닌텐도 스위치 2, 드디어 한국 상륙! 8년 만의 진화, 살까 말까? 솔직 리뷰 총정리! (3) | 2025.06.07 |