소프트캠프, 금융권 겨냥 ‘플러그인 없는 보안 접속’ 플랫폼 출시

소프트캠프는 금융권 전용 원격 브라우저 격리(RBI) 기반 보안 접속 플랫폼 ‘실드웹(SHIELD Web)’을 출시했다고 22일 밝혔다. 실드웹은 금융권에서 설치형 보안 소프트웨어(SW)를 단계적으로 줄이는 흐름에 맞춰, 고객 PC에 별도 프로그램을 설치하지 않아도 금융사가 접속 환경을 통제할 수 있도록 한 제품이다.

원격 브라우저 격리는 사용자의 브라우저에서 웹사이트 코드를 직접 실행하지 않고, 분리된 원격 환경에서 웹페이지를 실행한 뒤 처리된 화면만 사용자에게 전달하는 보안 방식이다. 소프트캠프는 실드웹을 통해 금융 웹사이트의 실제 웹 코드와 애플리케이션 프로그램 인터페이스(API) 호출을 고객 PC가 아닌 클라우드 컨테이너에서 실행하도록 설계했다.

기존 금융 서비스는 인터넷뱅킹 이용 과정에서 키보드 보안, 개인 방화벽, 백신, 인증서 관리, 문서 위변조 방지, 이상거래탐지시스템(FDS) 수집 프로그램 등 여러 보안 프로그램 설치를 요구해왔다. 이 방식은 금융사의 보안 통제가 고객 단말에 의존하는 구조다. 고객 PC는 운영체제와 브라우저 버전, 패치 이력이 각각 달라 금융사가 직접 통제하기 어렵다.

정부는 지난해 10월 범부처 정보보호 종합대책을 통해 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 SW를 2026년부터 단계적으로 제한하겠다고 밝혔다. 대신 다중 인증, 인공지능(AI) 기반 이상 탐지 시스템 등을 활용해 보안을 강화하도록 했다.

소프트캠프는 플러그인 제거를 보안 기능 축소가 아니라 보안 통제 위치를 바꾸는 문제로 봤다. 고객 단말에 프로그램을 설치하는 대신 금융사가 관리하는 클라우드 격리 환경에서 웹 실행과 보안 검사를 처리하는 방식이다. 사용자는 기존처럼 금융 웹사이트를 이용하지만, HTML과 자바스크립트(JavaScript) 코드, API 구조는 외부로 직접 노출되지 않는다.

회사는 AI 기반 공격 도구가 확산되면서 브라우저에 노출되는 코드와 API 호출 구조가 새로운 공격 표적이 되고 있다고 설명했다. 개발자 도구 등을 통해 확인할 수 있는 웹 코드와 파라미터 패턴을 자동 분석하면 취약점 탐색 속도가 빨라질 수 있다는 것이다. 실드웹은 웹 코드가 격리 컨테이너 내부에서만 실행되도록 해 공격자가 분석할 수 있는 표면을 줄이는 데 초점을 맞췄다.

실드웹은 기업뱅킹 대량 이체, 개인 고액 이체, 신규 수취인 등록, 인증수단 변경 같은 고위험 업무에 우선 적용할 수 있다. 기업뱅킹 대량 이체 거래에서는 업로드 파일에 콘텐츠 무해화(CDR) 처리를 적용하고 격리 세션 안에서 거래를 진행한다. 콘텐츠 무해화는 문서나 파일에서 악성 행위를 일으킬 수 있는 요소를 제거하거나 안전한 형태로 재구성하는 기술이다.

개인 고액 이체와 신규 수취인 등록 구간에는 강화 인증과 실시간 이상거래탐지시스템 모니터링을 연계할 수 있다. 계정 탈취 이후 공격자가 시도할 수 있는 인증수단 변경 행위에도 격리 보호를 적용해 피해 확산을 막는 구조다.

소프트캠프는 실드웹을 금융권뿐 아니라 공공 대국민 웹 서비스에도 적용할 수 있다고 설명했다. 기존 사이트 코드나 서버 설정을 크게 바꾸지 않고 접속 경로를 실드웹을 거치도록 변경하면 노후 시스템이나 민원 포털에도 보안 접속 체계를 붙일 수 있다는 설명이다.

배환국 소프트캠프 대표이사는 “금융당국의 보안 플러그인 제거 의무화는 단순한 규제 변화가 아니라 오랫동안 유지돼 온 금융 보안 패러다임 전환을 의미한다”며 “실드웹은 금융사가 고객 PC가 아닌 자신들이 직접 통제하는 환경에서 보안을 책임질 수 있는 구조를 제공한다”고 말했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network