한국 디지털 금융: 보안 프로그램이 해킹 통로가 되는 역설

보안을 위해 설치한 프로그램이 해킹의 통로가 되는 보안의 역설. 이것이 한국 디지털 금융이 직면한 가장 슬픈 아이러니다. 2025년 8월 롯데카드 297만명 개인정보 유출 사건은 이 역설의 최신 사례일 뿐이다. 공동인증서와 보안 프로그램이라는 다층 방어막이 존재함에도 대규모 개인정보 유출은 끊이지 않는다. 문제는 기술이 아니다. 20년간 비효율적 시스템을 통해 이익을 얻어온 강력한 이권 카르텔이 더 큰 문제다.

한국의 디지털 금융 보안 체계는 이용자의 PC에 직접 보안 프로그램을 설치하는 클라이언트 측 보안에 크게 의존한다. 이는 국제적 웹 보안 패러다임인 서버 측 보안과 대치되는 방식으로, 여러 구조적 취약점을 내포한다. 2025년 6월 KAIST, 고려대, 성균관대 공동 연구팀은 국내 주요 금융기관 보안 프로그램 7종에서 총 19건의 심각한 보안 취약점을 발견했다. 키보드 입력값 탈취, 공인인증서 유출, 원격 코드 실행 등 치명적 유형이다.

연구팀의 결론은 명확했다. "복잡하고 해킹에 취약한 금융 보안 프로그램을 강제로 설치하는 방식 대신, 웹사이트와 인터넷 브라우저에서 원래 설정한 보안 규칙과 표준을 따르는 것이 더 안전하고 효과적이다." 이러한 구조적 문제는 2023년 북한 해킹 조직 '라자루스'가 금융 보안 소프트웨어 '이니세이프'의 취약점을 악용해 61개 기관의 컴퓨터 207대를 해킹한 사건에서 현실화되었다. 이니세이프 보안 프로그램 하나만 해킹당했는데 이를 사용하는 모든 금융기관의 보안이 동시에 무너진 것이다. 

Stripe의 침묵하는 보안 vs 한국의 시끄러운 불안

국제 결제 대행사 Stripe은 공동인증서나 별도의 보안 프로그램 설치 없이도 안전한 결제 환경을 제공한다. 핵심은 PCI DSS라는 글로벌 데이터 보안 표준을 준수하여 서버 측에서 모든 민감한 정보를 처리한다는 점이다. 고객의 카드 정보는 토큰화(Tokenization) 기술을 통해 실제 정보가 아닌 임의의 문자열로 변환되어 처리되므로 데이터가 유출되더라도 실제 카드 정보가 노출될 위험이 거의 없다.

3D Secure 인증 프로토콜을 통해 결제 과정에서 카드 발급사가 직접 이용자를 인증한다. 카드 소지자에게 추가 인증(비밀번호, OTP, 생체인증 등)을 요구하고, 인증 성공 시 거래가 승인되며 사기 관련 지불거절에 대한 판매자 책임이 감소한다. 이 과정은 웹 브라우저의 표준 기능(팝업, 리다이렉션)을 통해 이루어지므로 이용자는 어떠한 프로그램도 설치할 필요가 없다.

물론 Stripe 방식도 만능은 아니다. PCI DSS 준수 비용은 중소 가맹점에게 부담이 되며, 미국도 여전히 카드 부정사용 사고가 빈번하다. 그러나 핵심 차이는 책임 소재의 명확성이다. Stripe은 PCI DSS 규정에 따라 판매자 책임을 감소시키는 반면 한국 시스템은 이용자, 금융사, 개발사 간 책임 전가가 불명확하다. 비인증 방식 결제 연동을 진행하지 않고 인증 방식으로만 구축하여 국제 시장에 진출한 국내 커머스의 경우 결제율이 약 40% 떨어진 사례가 보고되었다. 보안 프로그램이 이용자 경험을 저해하고 비즈니스 성과에 직접적 악영향을 미친다는 증거다.

6년간 5만명 이상 유출: 구조적 실패의 연대기

금융감독원 자료에 따르면, 2019년부터 2025년까지 6년간 해킹 침해사고로 인한 정보유출 인원은 5만명 이상이다. 가장 많이 발생한 업권은 저축은행(전체의 72.5%, 36,974명)이며, 은행업권은 12건(44.4%), 증권업권은 6건 10,883명이다. 2025년만 해도 참혹하다.

롯데카드 개인정보 유출(2025년 8월 26일 해킹 발생, 9월 1일 신고)이 대표적이다. 해킹으로 인한 악성코드 감염으로 민감정보가 유출되었으며 총 297만명의 개인신용정보가 유출되었다. 이 중 약 28만명은 카드 비밀번호와 CVC까지 유출되었다. 금융감독원 조사에 따르면 이번 공격은 오라클 웹로직 서버의 원격 코드 실행 취약점(CVE-2017-10271)을 이용한 것으로, 2017년 이미 패치가 제공됐음에도 관리 부실로 여전히 노출되어 있었다. 롯데카드는 지속적으로 보안 예산을 축소해왔으며, 네트워크 보안 관련 지출은 2021년 137억원에서 2024년 116억원으로 14.7% 감소했다.

이는 공동인증서와 보안프로그램이 존재함에도 불구하고 금융권 보안 사고가 구조적이고 지속적으로 발생하고 있음을 보여준다. 보안 프로그램은 시스템을 보호하는 방패가 아니라, 오히려 공격자들이 악용할 수 있는 국가 공인 취약점으로 전락했다.

기득권 카르텔의 삼각관계: 정치, 이권, 규제 포획

이러한 불편하고 취약한 시스템이 왜 20년 넘게 유지될 수 있었는지에 대한 근본적 질문이 남는다. 해답은 기술이 아닌 정치, 기득권, 그리고 이권의 복잡한 삼각관계에 있다.

무엇보다 견고한 기득권 카르텔이 존재한다. 공인인증기관(한국정보인증, 코스콤, 금융결제원 등 6개 기관)은 법적으로 보장된 독점적 지위 하에 인증서 발급 및 갱신 수수료를 주된 수입원으로 삼았다. 안랩, 라온시큐어, 이니텍 등 보안 프로그램 개발사는 금융기관과 공공기관에 키보드 보안, 방화벽, 백신 등의 솔루션을 의무적으로 판매하며 성장했다. 금융기관은 보안 책임을 이용자에게 전가하는 편리한 수단으로 이 시스템을 활용했다. 사고 발생 시 "이용자 부주의"나 "보안 프로그램을 설치했으므로 할 도리를 다했다"는 논리로 책임을 회피하기 용이했다.

과학기술정보통신부는 2025년 기준으로 한국 정보보안 시장은 약 20조원 규모로 키우겠다고 밝혔다. 금액만 봐도 한국 IT 시장에서 가장 역동적인 분야 중 하나다. 이러한 거대한 시장이 형성되어 있어 불필요한 복잡성을 유지하려는 동기가 존재한다.

정부의 역할도 애매하다. 규제인가, 보호막인가? 정부는 전자서명법을 통해 공인인증서에 독점적 법적 효력을 부여함으로써, 민간 기업들이 더 혁신적이고 편리한 인증 기술을 개발할 유인을 차단했다. 국제 표준인 PCI DSS 대신 국내용 보안 규제를 고집한 것 역시, 국내 보안 산업을 외부 경쟁으로부터 보호하려는 보호무역주의적 성격이 짙다. 이는 국내 시장을 보호하기 위한 비관세 장벽으로 작용한다.

'규제 포획(Regulatory Capture)'은 규제 기관이 공공의 이익이 아닌 자신이 규제해야 할 산업의 이익을 대변하게 되는 현상을 의미한다. 금융보안 관련 공공기관과 민간 보안 업체 간의 인사 교류는 규제 기관의 독립성을 해칠 수 있다. 보안 기술의 높은 전문성으로 인해 규제 당국이 민간 업체의 정보에 의존하게 되면서, 객관적인 정책 판단이 어려워지고 업계의 논리에 끌려갈 가능성이 커진다.

놀랍게도 공인인증서와 ActiveX 문제 해결은 박근혜, 문재인 두 전직 대통령이 모두 직접 지시하고 공약했던 사안이다. 그럼에도 폐지까지 21년이 걸렸다. The Korea Times 사설이 지적했듯, "업계가 이 시스템을 중단하는 데 20년 이상이 걸렸다는 사실은, 독점적 지위에 기반을 둔 기득권과 확고하게 고정된 '경로 의존성'을 깨는 것이 얼마나 어려운지를 보여준다."[^2] 아이러니하게도 한국의 공인인증서 문제를 가장 날카롭게 비판한 건 외신이었다. 한국 주요 언론이 기득권의 논리를 앵무새처럼 반복할 때, The Korea Times는 '독점과 경로 의존성의 완고함'을 정확히 진단했다.

결국 2020년 공인인증서의 '공인' 지위는 폐지되었지만, 현실은 크게 바뀌지 않았다. 여전히 많은 금융 및 공공 사이트에서는 이름만 '공동인증서'로 바뀐 구 공인인증서와 함께 다수의 보안 프로그램 설치를 요구한다. 이는 법 개정이 기득권 구조의 핵심을 건드리지 못한 흉내만 낸 개혁에 그쳤음을 시사한다.

보안은 복잡한 절차와 같은 말이 아니다

보안을 위해 설치한 프로그램이 해킹의 통로가 되는 한국 디지털 금융의 아이러니는 카르텔에서 시작해 국민의 피해로 끝난다. 한국의 공동인증서 및 보안 프로그램 중심의 디지털 금융 보안 방식은 기술적으로 취약하고 국제적 흐름에 역행하며 이용자에게 불편을 전가하는 한계에 봉착했다. 한국의 결제 시스템이 후진성을 벗어나지 못하는 이유는 기술의 부재가 아니라 비효율적인 시스템을 통해 이익을 얻는 강력한 이권 카르텔이 존재하기 때문이다.

정치는 법과 제도를 통해 특정 산업을 보호하고 변화를 주도할 강력한 정치적 리더십을 발휘하지 못했다. 기득권은 공인인증기관과 보안 업체들이 독점적 시장에서 안정적인 수익을 누리며 변화에 저항했다. 이권은 금융기관들이 보안 책임을 이용자에게 전가하고 투자 비용을 절감하는 손쉬운 방법을 포기하지 않았다. 이 세 가지 요소가 톱니바퀴처럼 맞물려 돌아가며, 20년 넘게 이용자의 불편과 사회적 비효율을 대가로 한 '그들만의 리그'를 유지해온 것이다.

보안은 더 이상 복잡하고 불편한 절차의 동의어가 아니다. 보이지 않는 곳에서 더욱 강력하게 작동하는 것이 현대적인 보안의 패러다임이다. 한국 디지털 금융이 갈라파고스의 섬에서 벗어나 글로벌 표준의 바다로 나아가기 위해서는, 클라이언트 측 보안 의무 폐지 및 서버 측 보안으로의 전환, 국제 표준(PCI DSS, 3D Secure 등)의 전면 도입, 자유로운 경쟁을 통한 인증 시장 혁신 촉진, 투명성과 책임성 강화가 필요하다.

진정한 금융 혁신은 낡은 이권의 사슬을 끊어내는 것에서부터 시작되어야 한다. 보안의 역설을 끝내고, 복잡성이 아닌 투명성으로, 책임 전가가 아닌 책임 명확화로 나아가야 할 때다.

Q&A: 핵심 내용 요약

Q1. 한국 금융 보안 시스템의 가장 큰 문제는 무엇인가?
A2. 보안을 위해 설치한 프로그램이 오히려 해킹의 통로가 되는 '보안의 역설'이다. 클라이언트 측 보안에 의존하는 한국 방식은 이용자 PC에 보안 프로그램을 강제 설치하게 하는데, 이 프로그램 자체가 단일 실패 지점이 되어 한번 뚫리면 전체 시스템이 무력화된다. KAIST 연구팀이 발견한 19건의 치명적 취약점과 2023년 라자루스의 이니세이프 해킹이 이를 증명한다.

Q2. 국제 시스템(Stripe)과 한국 시스템의 핵심 차이는?
A2. Stripe은 서버 측 보안으로 PCI DSS 표준을 준수하며, 토큰화 기술과 3D Secure 인증을 통해 이용자는 프로그램 설치 없이도 안전하게 결제한다. 반면 한국은 이용자에게 보안 책임을 전가하며, 웹 표준을 위반하는 ActiveX 등 비표준 기술을 사용한다. 가장 중요한 차이는 책임 소재의 명확성이다. Stripe은 서비스 제공자가 책임지지만, 한국은 이용자·금융사·개발사 간 책임 전가가 불명확하다.

Q3. 보안 프로그램이 많은데도 왜 사고가 끊이지 않나?
A3. 2019년부터 2025년까지 6년간 금융권에서만 5만명 이상의 정보가 유출되었다. 2025년 롯데카드 사건은 2017년에 이미 패치가 제공된 취약점을 8년간 방치한 결과였다. 보안 프로그램이 많다고 안전한 것이 아니라, 오히려 각 프로그램이 공격 경로가 될 수 있다. 복잡성은 안전을 보장하지 않는다.

Q4. 왜 이런 시스템이 20년 넘게 유지되었나?
A4. 정치·기득권·이권의 삼각관계 때문이다. 공인인증기관 6개사는 법적 독점 지위로 안정적 수익을 누렸고, 보안 프로그램 개발사들은 의무 설치를 통해 캡티브 마켓을 확보했다. 금융기관은 보안 책임을 이용자에게 전가하며 투자 비용을 절감했다. 11조원 규모의 정보보안 시장이 형성되어 있어, 불필요한 복잡성을 유지하려는 동기가 존재한다. 박근혜·문재인 두 대통령이 공약했음에도 21년이 걸린 이유다.

Q5. 해결 방안은 무엇인가?
A5. 클라이언트 측 보안 의무를 폐지하고 서버 측 보안으로 전환해야 한다. PCI DSS, 3D Secure 등 국제 표준을 전면 도입하고, 특정 기술의 독점적 지위를 철폐하여 FIDO 등 다양한 인증 기술이 자유롭게 경쟁하도록 해야 한다. 보안 사고 발생 시 명확한 책임 소재를 규명하고, 금융보안 체계의 의사결정 과정을 투명하게 공개해야 한다. 진정한 금융 혁신은 낡은 이권의 사슬을 끊어내는 것에서 시작된다.