카이스트, 고려대, 성균관대 공동으로 연구한 논문이 개제됨

그것도 USENIX Security 2025에 게재되었는데

세계에서 가장 권위 있는 보안 컨퍼런스중 하나임

여기서 KSA = 한국형 보안 어플리케이션을 뜻함

보안을 강화하겠다며 도입됐지만,

실제로는 브라우저가 어렵게 쌓아 올린 현대 웹 보안 모델을 우회하면서

새로운 공격 표면을 대규모로 열어 왔다는게 골자

논문을 요약하면 KSA가 문제되는 이유는 한두개가 아닌데, 아래와 같음

1. 브라우저 보안(샌드박스) 무효화

크롬이나 사파리 같은 현대 브라우저들은 악성 웹사이트가 내 PC 파일이나 시스템에 맘대로 접근 못하게 샌드박스라는 철통 방어 구역을 씀.

근데 KSA들은 은행 업무 등 특수 기능을 핑계로 이 샌드박스 밖에서 돌아가면서 브라우저 보안을 의도적으로 우회시킴 .

결과적으로 브라우저가 아무리 방어를 잘해도, 해커가 KSA의 버그나 취약점만 찌르면 내 PC에 원격으로 악성코드를 강제로 깔고 실행(RCE)할 수 있게 됨.

브라우저 해킹할 필요도 없이 KSA가 우회로가 되는 꼴

2. 키보드 보안 프로그램이 내 키보드를 털어감

제일 황당한 부분인데, 키보드 보안 프로그램은 해킹을 막아야 하잖아?

문제는 KSA는 사용자 키보드 입력을 암호화해서 웹페이지에 던져주면 거기서 푸는 식

그리고 웹페이지한테 키보드 입력을 풀 수 있는 대칭키를 줘버림 (비대칭키랑 다르게 키 하나로 복호화까지 가능한 방식)

해커가 맘먹고 KSA 기능을 건드리면, 아예 암호화를 풀게 하거나 기능을 꺼버려서 사용자 모든 키보드 입력을 훔쳐가는 완벽한 키로거로 써먹을 수 있음

3. 사설 인증서 남발 (구글/네이버 위조 가능)

KSA가 백그라운드에서 돌면서 웹이랑 통신(HTTPS)을 하려면 인증서가 필요함. 그래서 얘네는 사용자 PC에 '루트 인증서(Root CA)'라는 강력한 권한의 사설 인증서를 강제로 설치함

만약 이 업체의 인증서 개인키가 유출되면, 해커가 구글이나 은행 같은 정상 사이트를 똑같이 위조해서 중간자 공격으로 정보를 가로챌 수 있음.

실제로 연구진이 프로그램을 분석해서 개인키를 빼낸 뒤 구글 사이트 위조에 성공

더 큰 문제는 KSA 프로그램을 지워도 이 루트 인증서는 PC에 그대로 남는 경우가 많아서 계속 보안 위협이 됨

4. 과도한 개인정보 수집 (사실상 스파이웨어)

은행에서 이상 거래를 탐지한다고 까는 KSA 프로그램들이 있음. 얘네는 내 PC의 MAC 주소, VPN IP, 방화벽 설정, 하드웨어 일련번호 등 사생활 정보를 싹 다 수집함해외 연구자가 '국가 지원 스파이웨어'라고 불렀을 정도. 사실상 짱깨 정부가 낼 만한 아이디어

은행에서 이상 거래를 탐지한다고 까는 KSA 프로그램들이 있음. 얘네는 내 PC의 MAC 주소, VPN IP, 방화벽 설정, 하드웨어 일련번호 등 사생활 정보를 싹 다 수집함

해외 연구자가 '국가 지원 스파이웨어'라고 불렀을 정도. 사실상 짱깨 정부가 낼 만한 아이디어

수집한 데이터는 암호화해서 서버로 보내긴 하는데, 누구나 인증 없이 접근할 수 있는 KSA 개발자용 테스트 페이지를 이용하면 이걸 그대로 복호화해서 빼볼 수 있음

또한 공동인증서 관리 프로그램의 경우, 인증서에 포함된 실명이나 일련번호를 웹상에서 평문으로 노출시킴

5. 구조적으로 불가능에 가까운 패치와 방치

이런 치명적인 취약점들이 발견되어도 고치기가 매우 힘든 구조

KSA 개발사만 프로그램을 업데이트한다고 끝나는 게 아니라, KSA를 연동해 둔 은행 쪽 웹사이트 코드(자바스크립트)도 같이 수정해야 됨

근데 은행들은 멀쩡히 돌아가는 서비스에 문제 생길까 봐 수정을 꺼리는경우가 많고 사용자들도 업데이트 안된 경우가 많아(조사 결과 과반수가 2022년 이전 구버전 사용)취약점이 사실상 방치되고 있음

근데 은행들은 멀쩡히 돌아가는 서비스에 문제 생길까 봐 수정을 꺼리는

경우가 많고 사용자들도 업데이트 안된 경우가 많아(조사 결과 과반수가 2022년 이전 구버전 사용)취약점이 사실상 방치되고 있음

이미 매우 뛰어난 개발자들이 최신 웹 표준 보안(WebAuthn)을 엄밀하게 검증해서

브라우저에 자체에 표준화 시켜놨는데도

국내 은행과 보안 업체는 그런 것들을 쓰지 않고 사용자 컴퓨터에 로컬 서버까지 돌려가는짓까지 하며 보안 구멍을 송송 뚫어놓았고,

덕분에 국내 보안프로그램이 설치된 컴퓨터는 해커가 이곳저곳 공략할 수 있는 보안헛점 허벌로 전락함

연봉 수억씩 받으면서 한국에선 영입 엄두조차 못내는 비싼 실리콘밸리 천재 개발자들 고용해서

구글 같은 회사들이 연간 2조원 넘게 투자하면서 꾸준히 관리하고 업데이트되는 최신 브라우저 보안 표준 뚫을 필요 없이

그냥 한국 좆소에서 중구난방으로 만들어놓고 방치한거 뚫으면 됨

그것도 한국인 컴퓨터엔 평균 9개나 설치되어 있고 관리조차 안 되는 상태