보안프로그램: 나의 최신형 컴퓨터를 누더기로 만드는 마법의 도구
오늘도 나는 업무를 위해 금융 사이트에 접속했다가, 정교하게 세팅된 나의 최신형 컴퓨터가 ‘누더기’로 변하는 비참한 과정을 지켜봐야 했다. 보고서 작성을 위해 수천만 개의 로우(row)를 처리하는 고성능 워크스테이션임에도 불구하고, 화면을 가로막은 것은 ‘필수 보안 프로그램 설치’라는 거대한 장벽이었다.
기어코 지시대로 설치를 마쳤음에도 시스템은 나를 비웃듯 “이미 최신 버전이 설치되어 있어 설치를 중단한다”는 팝업을 띄웠다. 하지만 정작 웹페이지는 여전히 “보안 프로그램 미설치 상태”라며 페이지 새로고침만을 무한히 명령했다. 깔면 최신이라 거부하고, 웹은 깔리지 않았다며 입구를 막아버리는 이 기괴한 무한 루프 속에서 나는 폭발 직전의 분노를 느꼈다.
주 작업 환경인 macOS의 사파리, 마이크로소프트 엣지, 구글 크롬을 전전하며 사투를 벌였지만 결과는 참담했다. 웬만한 메이저 업데이트가 아니면 재부팅조차 필요 없는 macOS 환경에서, 혹시나 하는 마음에 전원을 껐다 켜보아도 결과는 지독한 ‘Deja Vu’였다. 결국 윈도우 컴퓨터를 완전히 포맷하고 운영체제부터 다시 설치한 뒤에야 겨우 금융 서비스를 이용할 수 있었다. 그 순간, 나의 정밀한 윈도우 PC는 금융권 이용만을 위한 ‘전용 단말기’로 전락해 버렸다. 내 의사와 상관없이 깔린 수많은 보안 프로그램은 지금 이 순간에도 나의 시스템 자원을 마구 갉아먹고 있다. 심지어 이 프로그램들 중 일부는 운영체제에서 보안 리스크가 있다고 판단하는데도 금융사이트를 이용하기 위해서는 설치를 강요한다.
데이터를 다루는 전문가에게 컴퓨터는 가장 예민하고 정교해야 할 도구다. 나는 최상의 성능 유지를 위해 일주일에 한 번씩 운영체제와 필수 소프트웨어만 설치된 클린 상태로 디스크를 복구하며 관리할 만큼 결벽에 가까운 관리를 해왔다. 오죽하면 잦은 복구로 인해 정품 인증 문제가 발생해 제조사로부터 새로운 제품 키(Product Key)를 재발급받았을 정도다.
그러나 한국 금융권은 이 도구의 주인인 나의 권리를 철저히 무시한 채, 자신들이 만든 조잡한 소프트웨어를 강제로 밀어 넣고 있다. 이것은 단순한 기술적 오류가 아니다. 사용자의 시스템 자원을 자기 집 안마당처럼 점유하려는 오만함의 극치이며, 한 전문가의 소중한 장비에 가해지는 명백한 ‘디지털 폭력’이다.
보안프로그램의 지긋지긋한 역사: 90년대 유물의 끈질긴 생존 신고
이 지긋지긋한 역사는 1990년대 중반으로 거슬러 올라간다. 당시 미국 정부는 고강도 암호화 기술의 수출을 제한했고, 한국은 어쩔 수 없이 자체 암호화 표준(SEED)을 만들어야 했다. 문제는 이를 브라우저에 탑재할 방법이 마땅치 않았다는 점이다. 결국 당시 마이크로소프트의 보안 취약점 덩어리였던 ‘ActiveX’라는 기술을 빌려 쓰기 시작한 것이 비극의 서막이었다.
놀라운 점은 2026년인 지금까지도 그 낡은 철학이 ‘EXE 실행 파일’이라는 탈을 쓰고 좀비처럼 살아남아 있다는 사실이다. 과거에는 브라우저에서 Active-X라는 문구가 나오면서 프로그램을 다운로드 받아 설치하게 했는데 강산이 세 번 변하고, 스마트폰이 세상을 바꾸고, AI가 인간의 일을 대신하는 시대가 왔지만, 한국의 금융 보안만은 여전히 “사용자 컴퓨터에 무언가를 강제로 깔아야만 안심한다”는 90년대적 사고방식에 멈춰 있다. Active-X를 쓰거나 말거나 금융권은 결국 보안프로그램이라는 허울의 설치파일을 다운로드 받아 설치하라고 하는 건 변함이 없었다.
브라우저가 제공하는 안전한 보안 영역(Sandbox)을 무시하고 시스템 깊숙이 발을 들이는 이 유물들은, 현대 보안 기술의 관점에서 보면 그 자체로 제거되어야 할 ‘악성코드’와 다를 바 없다.
선택권의 박탈: “안 깔면 돈 못 빼”라는 오만한 금융 권력
가장 불쾌하고 모욕적인 지점은 나에게 선택권이 전혀 없다는 것이다. 내 컴퓨터의 CPU와 메모리를 어떤 프로세스가 점유할지, 내 커널에 어떤 드라이버가 침투할지는 전적으로 주권자인 내가 결정해야 할 몫이다. 하지만 금융 사이트들은 “보안을 위해 깔아야 한다”는 명목하에 설치하지 않으면 서비스 이용 자체를 차단한다.
이것은 명백한 갑질이다. 브라우저 인증서나 간편 인증 같은 현대적이고 가벼운 대안이 버젓이 존재함에도 불구하고, 그들은 자신들이 20년 전 구축해놓은 구식 시스템에 사용자를 강제로 끼워 맞춘다. 내 돈을 내가 관리하겠다는데, 왜 내 컴퓨터의 운영체제 관리자 권한까지 그들에게 상납해야 하는가? 그들이 강제하는 설치 버튼은 사용자에 대한 배려가 아니라, “우리의 규칙을 따르지 않으면 금융 주권을 박탈하겠다”는 오만한 선언과 같다.
반드시 깔아야만 하나? 웹 표준(HTML5)이라는 명확한 대안
여기서 우리는 근본적인 의문을 던져야 한다. 과연 그 프로그램들이 정말로 ‘필수적’인가? 답은 단호하게 “아니오”다. 전 세계가 공통으로 사용하는 웹 표준 기술인 HTML5와 Web Crypto API는 이미 별도의 프로그램 설치 없이도 강력한 암호화와 전자서명 기능을 수행할 수 있도록 설계되어 있다.
우리가 흔히 쓰는 구글, 아마존, 페이팔이 우리 컴퓨터에 키보드 보안이나 개인 방화벽을 깔라고 요구하던가? 그들은 브라우저 자체가 제공하는 튼튼한 보안 통로를 활용하고, 부족한 부분은 서버에서 실시간으로 감시한다. 한국의 보안 프로그램들이 수행하는 키보드 보안, 암호화 모듈, 네트워크 감시 기능은 이미 현대적인 웹 브라우저가 훨씬 더 안전하고 깨끗하게 처리할 수 있는 영역이다. 즉, 우리가 겪는 이 설치의 고통은 기술적 한계 때문이 아니라, 새로운 표준을 도입하기 귀찮아하거나 기존 시스템을 유지하려는 게으름의 산물일 뿐이다.
보안프로그램 관련 유착: 그들만의 리그, 견고한 보안 카르텔
왜 이 비효율적인 시스템이 죽지도 않고 계속 살아남는가? 그 이면에는 보안 업체와 금융감독기관 사이의 견고한 ‘카르텔’이 자리 잡고 있다. 특정 보안 업체의 프로그램이 ‘필수’로 지정되는 과정은 대단히 폐쇄적이며, 그 선정 기준 또한 모호하다.
금융권 고위직이나 감독기관 출신 인사가 보안 업체의 고문이나 임원으로 자리를 옮기는 이른바 ‘보안 마피아’ 관행은 업계의 공공연한 비밀이다. 이들에게 보안 프로그램은 국민의 정보를 지키는 방패가 아니라, 매년 수천억 원의 유지보수비와 업데이트 비용을 안정적으로 갈취할 수 있는 ‘마르지 않는 샘물’이다. 금융사와 보안 업체는 서로의 책임을 덜어주고 수익을 보장해주는 공생 관계를 맺고 있으며, 그 비용은 고스란히 사용자의 컴퓨터 성능 저하와 불편함으로 전가된다.
무용지물 보안: 서버가 털리는데 클라이언트만 잡는 격
더 허망하고 화가 나는 사실은, 우리가 컴퓨터를 누더기로 만들며 이 프로그램들을 깔아도 정작 대형 정보 유출 사고는 끊이지 않는다는 점이다. 대다수의 대규모 해킹 사고는 사용자 컴퓨터가 아니라 금융사나 공공기관의 ‘중앙 서버’가 털리면서 발생했다. 수천만 명의 개인정보가 암시장으로 흘러 나갈 때, 우리가 컴퓨터에 깔았던 그 조잡한 보안 프로그램들은 아무런 역할도 하지 못했다.
서버의 뒷문이 활짝 열려 있는데, 사용자들에게만 대문에 자물쇠를 열 개씩 달라고 강요하는 꼴이다. 클라이언트 단의 보안 프로그램은 결국 보안을 위한 것이 아니라, 사고 발생 시 “우리는 깔라고 했으니 설치한 사용자의 관리 소홀”이라는 논리를 펴기 위한 금융사의 ‘법적 면책용 방패’로 전락한 지 오래다. 그들은 우리의 안전보다 자신들의 ‘책임 회피’가 더 중요한 것이다.
해외에서의 시각과 경고: “한국은 거대한 합법적 봇넷인가”
해외 보안 전문가들은 한국의 이 기이한 시스템을 보며 경악을 금치 못한다. 구글, 애플, 마이크로소프트는 브라우저 보안을 위해 외부 프로그램이 시스템 권한을 획득하는 것을 철저히 차단하는 방향으로 진화하고 있다. 이런 상황에서 한국의 보안 프로그램들은 ‘합법적인 악성코드’와 다름없는 취급을 받는다.
실제로 국제 보안 컨퍼런스인 블랙햇(Black Hat) 등에서는 한국형 보안 프로그램의 취약점을 이용해 컴퓨터 전체를 장악하는 시연이 수시로 등장한다. 보안 프로그램 업데이트 서버가 한 번만 해킹당해도, 전 국민의 컴퓨터가 동시에 좀비 컴퓨터가 될 수 있다는 경고는 결코 과장이 아니다. 전 세계 보안 학계는 한국을 가장 거대하고 위험한 ‘공인된 취약점 집합소’로 정의하며 조롱 섞인 우려를 보내고 있다.
금융감독원의 최근 행보: 뒤늦은 반성과 면피용 로드맵
그나마 다행스러운 것은 최근 금융감독원이 “보안 프로그램 설치를 최소화하고 망분리 규제를 완화하겠다”는 로드맵을 발표하며 변화의 조짐을 보이고 있다는 점이다. 2026년까지 단계적으로 ‘플러그인 없는 환경’을 구축하겠다고 선언한 것은, 그동안의 방식이 명백히 잘못되었음을 국가기관이 스스로 자인한 꼴이다.
하지만 현장의 변화는 여전히 거북이걸음이다. 은행들은 여전히 사고 책임을 지기 싫어 보안 프로그램을 덕지덕지 붙여놓고 있으며, 금감원의 권고는 현장의 견고한 ‘면책 본능’을 뚫지 못하고 있다. 그들은 여전히 새로운 기술을 도입하는 비용보다, 사용자에게 불편을 강요하는 ‘무료 서비스’를 선호한다.
인간과 도구를 존중하는 보안으로의 회귀
진정한 보안은 인간을 괴롭히는 것이 아니라 인간을 보호하는 것이어야 한다. 이제는 사용자에게 책임을 전가하는 ‘설치형 보안’을 완전히 폐기하고, 서버 단의 실시간 이상거래탐지(FDS)와 글로벌 표준인 FIDO 생체 인증으로 완전히 넘어가야 한다.
금융사가 보안 사고의 책임을 100% 지는 구조로 법과 제도가 바뀌어야만 그들도 내 컴퓨터를 누더기로 만드는 행위를 멈출 것이다. 사용자의 컴퓨터는 금융사의 실험실도, 보안 업체의 수익원도 아니다. 기술은 인간을 위해 존재해야 하며, 보안이라는 이름으로 가해지는 이 비합리적인 폭력은 이제 반드시 멈춰야 한다. 나의 소중한 업무 도구인 컴퓨터가 다시금 쾌적하게 숨 쉴 수 있는 날이 오기를…
