금융당국이 설치형 보안 소프트웨어(SW) 의무를 단계적으로 폐지하는 가운데, 소프트캠프가 플러그인 없이 금융사가 직접 보안을 통제할 수 있는 원격 브라우저 격리(RBI) 기반 보안 플랫폼을 선보였다.
사이버보안 기업 소프트캠프는 금융권 전용 RBI(Remote Browser Isolation) 플랫폼 'SHIELD Web(실드웹)'을 공식 출시했다고 22일 밝혔다.
이번 제품은 금융당국의 설치형 보안 SW 제거 기조에 대응해, 고객 단말에 별도 프로그램을 설치하지 않아도 금융사가 보안 통제권을 유지할 수 있도록 설계됐다.
국내 금융권은 그동안 인터넷뱅킹 이용 시 키보드 보안, 개인 방화벽, 백신, 인증서 관리, 문서 위변조 방지 등 여러 보안 프로그램 설치를 요구해왔다. 금융사의 보안 체계를 고객 PC 환경에 의존하는 방식이었다.
하지만 반복적인 설치 과정과 브라우저 충돌로 사용자 불편이 이어졌고, 일부 설치형 보안 프로그램이 오히려 취약점으로 작용하면서 공급망 공격의 통로가 될 수 있다는 우려도 커졌다.
정부도 이런 구조적 한계를 인식하고 제도 개편에 나섰다. 금융당국은 범부처 정보보호 종합대책을 통해 2026년부터 금융기관이 소비자에게 설치를 요구하는 보안 SW를 단계적으로 축소하고, AI 기반 이상탐지, 다중인증, 생체인식 등 대체 보안 체계 도입을 유도할 방침이다.
소프트캠프는 '보안 통제 위치의 전환'을 해법으로 제시했다. SHIELD Web은 고객이 금융 웹사이트에 접속하면 실제 웹 코드와 API 호출이 고객 단말이 아닌 금융사가 관리하는 격리된 클라우드 컨테이너에서 실행되는 구조다. 이용자 단말에는 처리된 화면 정보만 전달된다. HTML과 자바스크립트(JavaScript) 소스코드, API 구조는 외부에 노출되지 않는다.
기존에는 금융사가 통제할 수 없는 고객 PC 환경 위에서 보안 체계를 운영해야 했다면, 이제는 보안 실행과 관리 권한을 금융사 인프라 내부로 가져오는 방식이다.
소프트캠프는 이를 "은행 창구의 방탄유리와 같은 구조"라고 설명했다. 거래는 정상적으로 이뤄지지만, 외부에서 내부 시스템에 직접 접근하는 것은 원천적으로 차단된다는 의미다.
회사 측은 AI 기반 해킹 기술 확산도 RBI 도입 필요성을 높이는 배경이라고 강조했다. 최근 공격자들은 브라우저에 노출된 자바스크립트 코드와 API 호출 구조, 파라미터 패턴을 AI 도구로 자동 분석해 취약점을 탐색하고 있다. 과거 숙련된 공격자가 오랜 시간 들여 수행하던 분석이 수초 내 가능해졌다는 설명이다.
기존 웹 서비스 구조에서는 고객 브라우저에 소스코드가 그대로 전달되기 때문에 개발자 도구만으로 내부 구조가 드러날 수 있다. 반면 SHIELD Web은 웹 코드와 API가 격리된 컨테이너 내부에서만 실행돼 공격자가 접근할 수 있는 표면 자체를 줄인다.
SHIELD Web은 고위험 금융 거래부터 단계적으로 적용할 수 있도록 설계됐다. 기업뱅킹 대량이체 과정에서는 업로드 파일에 콘텐츠 무해화(CDR)를 적용해 악성코드 유입을 차단할 수 있다. 개인 고액 이체나 신규 수취인 등록 등 이상행위 위험이 높은 구간에는 강화 인증과 실시간 이상거래탐지(FDS)를 연계할 수 있다.
계정 탈취 이후 공격자가 시도하는 인증수단 변경 과정에도 격리 보호를 적용할 수 있다는 설명이다. 적용 범위는 금융권에 국한되지 않는다.
소프트캠프는 보안 취약점 점검 부담이 큰 공공기관이나, 예산과 인력 부족으로 시스템 재개발이 어려운 노후 웹서비스 운영 기관에도 활용 가능하다고 밝혔다. 기존 사이트 코드나 서버 설정을 변경하지 않고 접속 경로만 SHIELD Web을 거치도록 하면 보안 체계를 강화할 수 있다는 설명이다.
배환국 소프트캠프 대표는 "금융당국의 보안 플러그인 제거 의무화는 단순한 규제 변화가 아니라 금융 보안 패러다임 전환의 시작"이라며 "플러그인 제거를 기능 축소가 아닌 보안 통제권 회복의 기회로 보고 있다"고 말했다.
이어 "SHIELD Web은 금융사가 고객 PC가 아닌 자신들이 직접 통제하는 환경에서 보안을 책임질 수 있도록 지원하는 플랫폼"이라고 밝혔다.