정부가 범부처 정보보호 종합대책의 일환으로 금융·공공 사이트의 설치형 보안 소프트웨어를 단계적으로 폐지하는 방향을 공식화하며, 은행·증권사 등 금융권이 긴장중

추진 배경
이번 조치는 두 가지 흐름이 맞물린 결과입니다.

•　학계 경고: KAIST 연구진이 키보드 보안, 방화벽 등 의무 설치형 보안 SW가 오히려 웹 브라우저 보안을 우회하는 구조적 취약점을 가진다고 지적
•　정부 정책 의지: 2025년 발표된 ‘범부처 정보보호 종합대책’에서 한국형 보안 갈라파고스 환경 탈피를 명시, 국가안보실의 강력한 의중도 반영된 것으로 분석

대상 소프트웨어는 nProtect, AhnLab Safe Transaction, INISAFE, TouchEn, Wizvera 등 오랫동안 금융·공공 사이트에서 의무 설치되어 온 제품들입니다.

대체 방향
정부는 기존 클라이언트 PC 중심의 보안을 서버 측 보안으로 전환하겠다는 방침입니다.

금융권의 반발과 우려
금융권, 특히 PC 거래 비중이 높은 **은행·증권사(HTS)**가 직격탄을 맞고 있습니다.
•　대안 부재: 공동인증서를 제외하면 PC 환경에서 기존 보안 수단을 즉시 대체할 솔루션이 없다는 주장
•　법적 책임 문제: 기존 설치형 보안 SW는 금융사고 발생 시 “의무 보안 조치를 다했다”는 법적 방어막 역할을 해왔으나, 폐지 시 배상 책임 소재가 불명확해짐
•　적용 범위 혼선: 보안 담당자들은 모바일 뱅킹 기준으로 대체 가능하다고 보고했으나, PC 환경까지 올해 안에 철거하라는 지시가 내려와 당혹감 표명

정부는 2026년부터 단계적 제한을 시작하겠다는 입장이며, 업권별 의견 수렴 및 로드맵 논의가 현재 진행 중입니다.


대체방향
다중 인증(MFA) — 비밀번호+OTP+생체인식,
금융사 서버가 보안책임

https://v.daum.net/v/20260329172355851



핵심 주장: “의무 설치가 오히려 해킹 통로”
한국은 금융·공공 서비스 이용 시 보안 소프트웨어 설치를 의무화한 전 세계 유일한 나라인데, 연구팀은 이것이 역설적으로 보안 취약점이 된다고 밝혔습니다. 연구팀이 국내 주요 금융·공공기관에서 쓰이는 KSA(Korea Security Applications) 프로그램 7종을 분석한 결과, 총 19건의 심각한 보안 취약점을 발견했습니다.

구조적 문제: 브라우저 보안 모델 우회
연구팀이 특히 주목한 것은 설계 방식 자체의 결함입니다. 브라우저는 원칙적으로 외부 웹사이트가 시스템 내부 파일에 접근하지 못하도록 막지만, KSA는 이른바 ‘보안 3종 세트’(키보드 보안·방화벽·인증서 저장)를 구현하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 등으로 이 제한을 의도적으로 우회하도록 설계됐습니다. 북한의 사이버 공격이 유독 한국 보안 소프트웨어를 표적으로 삼는 이유도 바로 이 구조적 결함 때문이라고 지적했습니다.
결론: “근본적 패러다임 전환 필요”
일부 취약점은 연구팀의 제보 후 패치됐지만, 근본적인 설계 취약점은 여전히 해결되지 않은 상태라고 밝혔습니다. 연구팀은 복잡하고 위험한 설치형 프로그램을 강제하는 방식 대신, 웹 표준과 브라우저 기본 보안 모델을 따르는 방향으로의 전환이 필요하다고 결론 내렸습니다.