국내 금융사가 자사 사이트에서 내려받는 보안 프로그램 패치에 소홀한 것으로 나타났다.
공격자가 보안 프로그램 구버전을 쉽게 알고 공격할 수 있어 이용자가 해킹 위험에 노출될 수 있다는 우려가 나온다.
23일 정보보호업계 등에 따르면, 금융사 홈페이지에서 다운로드하는 보안 프로그램 버전이 제각각이다. 최신 버전으로 신속히 업데이트하는 금융사가 있는 반면 취약점 등 위험요인이 있는 구버전을 버젓히 올려놓는 금융사도 있다는 얘기다.
일례로 금융사 홈페이지에서 애니사인(AnySing)을 다운로드를 받으면, W은행과 O저축은행은 '1.1.3.3' 버전인 반면 S화재는 '1.1.2.9' 버전이다. 베라포트(Veraport)도 K증권, S증권, S저축은행, Y저축은행 등은 A저축은행과 W은행보다 구버전으로 확인됐다.
보안 전문가는 금융 보안 프로그램 구버전이 해커의 공격 루트로 악용될 수 있다고 우려의 목소리를 높이고 있다. 실제 지난 2022년 북한 해킹조직이 국내 유명 금융보안인증 소프프웨어(SW) 취약점을 악용해 개인용컴퓨터(PC)와 악성코드 유포 등 사이버 공격을 벌였다.
문제는 정부가 취약점을 보완한 최신 버전으로 업데이트할 것을 권고할 뿐 강제할 수단이 없다는 것이다. 국가정보원과 과학기술정보통신부 등 유관기관이 지난해에만 보도자료 등을 통해 수차례 보안 프로그램 업데이트할 것을 권고했다. 정부 당부에도 적극적인 조치가 이뤄지지 않았기 때문이다.
상황이 이러한데도 금융사가 구버전의 보안 프로그램을 올려놓는 건 안일한 태도라는 비판이 나온다. 특히 구버전 보안 프로그램은 해커의 먹잇감이 될 우려가 크다.
한 보안 전문가는 “보안SW개발사가 취약점 등이 발견되면 금융사에 맞춰 보안SW를 업데이트하지만 최종 고객인 국민이 보유한 프로그램은 구버전으로 남을 수 있다”며 “해커가 보안 패치 일자를 확인해 취약한 보안 프로그램을 공격 목표로 삼을 수 있다”고 말했다.
그러면서 그는 “구버전 프로그램은 취약성이 의심되고, 수동 업데이트는 해커가 공격할 때까지 방치하는 것과 다르지 않다”면서 “윈도우즈 등과 같이 보안SW도 자동 업데이트를 통해 취약점 등을 신속하게 조치할 수 있어야 한다”고 덧붙였다.
조재학 기자 2jh@etnews.com