研究结果表明,国内金融安全程序的强制安装反而会被恶意利用在网络攻击上。
韩国科学技术院(KAIST)电气电子工程系金容大、尹仁洙教授联合研究团队2日宣布,联合高丽大学金承柱教授团队、成均馆大学金亨植教授团队及安全专业企业Theori共同分析韩国金融安全软件,发现其存在设计层面的结构性缺陷与安全漏洞。
研究团队通过分析国内主要金融机构及公共机构使用的7种主流安全程序(韩国安全解决方案•KSA),共发现19个严重安全漏洞。主要漏洞类型包括:△键盘输入窃取 △中间人攻击(MITM)△数字证书泄露 △远程代码执行(RCE)△用户识别与追踪等。
此类问题源于韩国金融安全软件的结构性局限。原则上,网络浏览器会限制外部网站访问系统内部文件等敏感信息。但韩国金融安全软件通过规避浏览器安全机制,直接执行敏感系统功能。
研究团队指出:“全球范围内,金融及公共服务领域强制安装此类安全程序实属罕见政策。”研究团队对全国400人开展的在线问卷调查显示,97.4%受访者曾为使用金融服务安装过韩国安全解决方案。
金容大教授表示:“安全软件本应成为用户的安全屏障,却可能沦为黑客攻击的通道。政策亟需转型——应摒弃强制安装非标准安全软件的模式,转向遵循Web标准及浏览器安全模型的解决方案。”
张恩智记者 jej@donga.com
About Dong-A Ilbo