국가정보원과 한국인터넷진흥원(KISA)이 보안 취약점을 확인한 ‘베스트서트’는 은행에 접속할 때 사용하는 인증서 프로그램이다. 설치가 끝나면 윈도 시작 프로그램에 등록된다. 인터넷 뱅킹을 마쳐도 시스템에 남아 메모리를 차지한다. 북한 해킹그룹 ‘라자루스’는 이런 특성을 지닌 프로그램을 활용해 사용자 몰래 PC에 ‘뒷문 악성코드’를 설치하고 있다.

5일 업계에 따르면 사용자의 컴퓨터로 내려받는 방식의 보안 프로그램이 처음 등장한 것은 10여 년 전이다. 2005년 5월 외환은행 고객 중 한 명의 계좌에서 5000만원이 사라진 것이 시작이었다. PC에 심은 악성코드가 키보드로 입력된 인터넷 뱅킹 아이디와 비밀번호를 해커에게 몰래 전송했다. 이후 2007년 외환은행 800만원·국민은행 1700만원, 2008년 국민은행 3700만원 해킹 사건이 이어졌다.

은행은 약관을 근거로 해커가 입력한 아이디와 비밀번호가 은행에 신고된 것과 같다는 이유로 과실이 없다고 주장했다. 정부는 2010년 공인인증서 제도를 도입하고 사용자 PC에 보안 프로그램 설치를 의무화하는 대책을 내놨다. 은행과 공공기관은 사용자가 PC에 보안 프로그램 설치 절차를 다하도록 안내하면 책임을 면할 수 있게 했다.

인증서와 보안 프로그램을 조합한 체제가 10년 넘게 이어지면서 곳곳에서 허점이 드러나기 시작했다. 독일 보안 개발자 블라디미르 팔란트는 최근 70문장 정도의 짧은 코드만으로 키보드 보안프로그램 ‘터치엔키’ 비밀번호를 가로챌 수 있다고 KISA에 제보했다. 팔란트는 세계 1위 광고차단 프로그램 애드블록 개발자다.

패치를 해도 은행에서 업데이트를 서두르지 않는 구조적 문제도 있다. 한국씨티은행은 지난 1월까지 2015년 버전의 보안 프로그램을 홈페이지를 통해 배포했다.

보안 프로그램 관리를 위한 프로그램 ‘베라포트’가 더해졌지만, 이 역시 해커들의 공격 수단이 됐다. 공공 와이파이 환경에서 베라포트를 속이는 코드가 설치되면 은행 홈페이지가 아닌 곳으로 이어지며 보안 프로그램 패치로 위장한 악성코드가 설치된다.

업계에서는 국내 금융회사와 공공기관의 보안을 맡는 업체들이 보안 신기술을 개발할 만한 역량이 없다고 설명한다. 최근 북한 해커에게 공격당한 보안 프로그램 ‘이니세이프’를 관리하는 이니텍은 지난해 매출 538억원에 25억원의 영업적자를 기록했다. 터치엔키 개발사 라온시큐어, 베라포트를 관리하는 위즈베라도 간신히 적자를 면한 수준이다. 이 두 회사의 지난해 영업이익은 각각 43억원과 21억원에 그쳤다. 이들 기업 중 상당수는 보안 취약점을 신고하는 센터조차 운영하지 않고 있다.

전문가들은 사이버 보안 체계를 근본적으로 바꾸고 보안 투자를 늘려야 한다고 입을 모으고 있다. 국정원 사이버안보협력센터에 참여하는 한 보안 전문가는 “매년 수조원의 영업이익을 내는 은행 등이 보안 역량 강화에 투자하도록 유도해 사이버 보안산업을 키워야 한다”고 지적했다.

김진원 기자 jin1@hankyung.com