KPI뉴스 - [데스크시각] '면책용' 금융 보안 프로그램, 이제는 사라질 때

  • 흐림임실22.8℃
  • 흐림창원23.7℃
  • 흐림성산23.6℃
  • 흐림포항25.5℃
  • 흐림진주23.1℃
  • 흐림순창군23.5℃
  • 흐림강릉24.6℃
  • 흐림문경23.3℃
  • 흐림부산23.2℃
  • 구름많음세종23.7℃
  • 구름많음영광군23.6℃
  • 흐림산청23.0℃
  • 흐림서산23.2℃
  • 비서귀포23.7℃
  • 구름많음동두천23.8℃
  • 흐림김해시23.1℃
  • 흐림북부산23.3℃
  • 구름많음고창군24.5℃
  • 흐림대구24.9℃
  • 구름많음추풍령22.2℃
  • 구름많음고창23.8℃
  • 흐림백령도23.2℃
  • 흐림태백20.3℃
  • 구름많음상주23.5℃
  • 흐림양평24.1℃
  • 흐림영월22.4℃
  • 구름많음홍천22.9℃
  • 구름많음천안24.4℃
  • 흐림의성24.2℃
  • 구름많음장수22.1℃
  • 구름많음순천22.3℃
  • 흐림북춘천23.7℃
  • 흐림고산23.2℃
  • 구름많음대전23.7℃
  • 흐림춘천23.9℃
  • 흐림수원24.3℃
  • 안개울릉도22.7℃
  • 구름많음금산23.4℃
  • 구름많음전주23.9℃
  • 구름많음부여24.6℃
  • 구름많음청주25.2℃
  • 맑음파주23.7℃
  • 흐림제천21.9℃
  • 흐림정선군20.8℃
  • 구름많음보령24.2℃
  • 흐림합천24.0℃
  • 구름많음정읍24.3℃
  • 흐림북강릉23.5℃
  • 흐림밀양24.3℃
  • 구름많음철원23.1℃
  • 흐림고흥23.1℃
  • 흐림거창22.8℃
  • 구름많음광양시23.2℃
  • 비제주26.6℃
  • 흐림안동23.8℃
  • 흐림통영22.8℃
  • 흐림완도24.0℃
  • 흐림남원23.2℃
  • 구름많음부안24.4℃
  • 흐림강진군23.4℃
  • 구름많음보은22.9℃
  • 흐림속초22.6℃
  • 흐림광주23.6℃
  • 흐림거제22.6℃
  • 구름많음인천23.8℃
  • 흐림영덕24.8℃
  • 구름많음충주23.5℃
  • 흐림진도군23.7℃
  • 흐림청송군22.8℃
  • 흐림원주24.5℃
  • 흐림울산23.4℃
  • 흐림인제22.3℃
  • 흐림양산시23.8℃
  • 구름많음홍성24.2℃
  • 구름많음이천24.6℃
  • 흐림해남23.2℃
  • 흐림대관령19.8℃
  • 흐림의령군23.5℃
  • 구름많음장흥23.5℃
  • 흐림울진26.1℃
  • 구름많음서울24.7℃
  • 맑음강화23.5℃
  • 흐림경주시23.5℃
  • 흐림남해23.1℃
  • 구름많음서청주24.1℃
  • 흐림북창원24.2℃
  • 흐림구미24.0℃
  • 흐림영주22.2℃
  • 흐림영천24.4℃
  • 흐림보성군23.6℃
  • 비여수22.9℃
  • 구름많음군산24.2℃
  • 흐림동해23.7℃
  • 흐림함양군22.9℃
  • 흐림목포23.3℃
  • 흐림봉화21.5℃
  • 안개흑산도20.8℃

[데스크시각] '면책용' 금융 보안 프로그램, 이제는 사라질 때

안재성 기자
기사승인 : 2026-03-30 17:41:57
국내 주요 보안 프로그램에 허점 '다수'…해커 공격 통로 되기도
가장 큰 역할은 해킹 사고 발생 시 금융사 '면책'…소비자만 불편
금융사가 자체 서버 보안 강화하는 글로벌 스탠더드로 가야

은행·증권사 어플리케이션이나 홈페이지 방문 시 통과의례가 있다. 통합 설치·관리(Veraport), 공동인증서 보안(AnySign), 개인PC방화벽(ASTx), 키보드 보안(TouchEn nxKey) 등 보안 프로그램 설치다.

 

보안 프로그램을 깔지 않으면 금융거래를 할 수 없으니 귀찮더라도 설치해야 한다. 그렇게 다 설치했는데도 아직 안 깔린 보안 프로그램이 있다며 '경고'가 뜨면 귀찮음을 넘어 짜증까지 유발한다. 이처럼 소비자들을 귀찮게 하는 금융 보안 프로그램들이 실제로 효과가 있는지도 의문이다.

 

카이스트(KAIST) 전기·전자공학부 김용대·윤인수 교수, 고려대 정보보호대학원 김승주 교수, 성균관대 김형식 교수 등이 공동으로 진행한 연구 결과에 따르면 국내 공공·금융기관에서 사용하는 '주요 보안 프로그램(KSA)' 7종에서 총 19건의 심각한 보안 취약점이 확인됐다. 키보드 내용을 암호화해 웹사이트에 전달하던 중 해커가 사용자의 키보드 입력을 훔쳐볼 수 있는 약점, 공인인증서 사용 중 개인정보가 암호화되지 않은 상태로 노출될 수 있는 약점 등이다.

 

이런 취약점 탓에 소비자들이 시키는 대로 착실하게 금융 보안 프로그램을 설치하고 있음에도 불구하고 SK텔레콤, 쿠팡, 신한카드 등 해킹 사고가 끊이지 않는다. 무엇보다 괜한 짓을 해 오히려 해커의 공격 통로를 만들어줄 위험이 있다고 연구진은 지적했다.

 
▲ 한국형 금융 보안 프로그램은들은 오히려 해커가 공격하기 쉬운 통로를 만들어줄 수 있다고 우려된다. [게티이미지뱅크]

 

마이크로소프트(MS) 엣지, 구글 크롬 등 세계적인 웹브라우저들은 자체적으로 탄탄한 방화벽을 갖추고 있다. 그런데 금융 보안프로그램들은 이 방화벽에 작은 구멍을 뚫어 소비자의 개인용컴퓨터(PC) 드라이브나 USB에 설치된 인증서에 접근하는 구조다.

 

한 보안업체 실무자는 "이미 탄탄한 자물쇠가 달린 금고 문에 굳이 작은 구멍을 뚫고는 다시 작은 자물쇠를 새롭게 다는 꼴"이라며 "해커 입장에서는 작은 자물쇠 쪽이 더 공략하기 쉬우므로 여기에 집중할 수 있다"고 지적했다.

 

김승주 고려대 정보보호대학원 교수는 이런 점을 지목하면서 "인터넷을 통해 보안 프로그램을 따로 다운로드받지 않는 게 글로벌 스탠더드"라고 강조했다. 한국에서만 효과도 의심스러운 독특한 방식을 쓰면서 소비자들을 힘들게 하고 있는 셈이다.

 

김용대 카이스트 교수도 "비표준 보안 프로그램을 강제로 설치하도록 하는 방식이 아니라 웹 표준과 브라우저 보안 모델을 따르는 방향이 돼야 한다"고 말했다.

 

그간 금융 보안 프로그램들의 가장 큰 역할은 소비자 보호가 아닌, 금융사 보호였다. 해킹 사고가 발생했을 때 "이런저런 보안 프로그램들을 만들어 설치시키는 등 최선을 다했다"고 주장하게 해주는, 금융사 책임을 면해주는 용도로 쓰인 것이다.

 

정부는 고질적인 '한국형 보안 갈라파고스 환경'에서 벗어나기 위해 범부처 정보보호 종합대책을 세웠다. 금융 보안 프로그램 의무 설치 개수를 차차 줄여나갈 방침이다. 최근 금융사들에게 연말까지 모든 금융 보안 프로그램을 없애라고 지시해 금융사들이 발칵 뒤집혔다는 소식도 있다.

 

몇십 년 동안 이어진 관행을 갑자기 바꾸는 게 쉬운 일은 아니다. 또 금융 보안 프로그램 없이 해킹을 막기 위해 금융사 서버 자체 보안을 강화해야 하며 인공지능(AI) 기반 이상금융거래탐지시스템(FDS)도 필요하다. 상당한 비용이 들 것이다.

 

그간 금융 보안 프로그램을 들먹이며 책임을 면해 왔는데 앞으로 발생하는 금융사고에 대해 전면적인 책임을 져야 하는 건 더 두려운 일이다. 한 시중은행 보안 실무자는 "자칫 사고 한 번 터질 때마다 수백억 원씩 배상해야 할 수도 있다"고 우려했다.

 

그러나 언제까지 소비자들을 힘들게 하면서 정작 해킹 방지 효과에는 의문이 가는, 금융사 면책이 주된 역할인 금융 보안 프로그램을 고집할 순 없다. 이제 '면책용' 금융 보안 프로그램들은 사라질 때가 됐다. 금융사들이 괴롭더라도 그게 올바른 방향이고 글로벌 스탠더드다.

 

▲ 안재성 경제 에디터. 

 


 

KPI뉴스 / 안재성 기자 seilen78@kpinews.kr

 

[저작권자ⓒ KPI뉴스. 무단전재-재배포 금지]