한국에서 은행 앱을 써 봤다면 이 보안키패드를 이미 알 겁니다. 숫자는 매번 다른 자리에 놓이고, 하나를 누르면 엉뚱한 키에 불이 들어옵니다. 그래서 방금 누른 숫자를 의심하게 되고, 인정하기 싫을 만큼 자주 비밀번호를 다시 칩니다. 여러분을 지키려고 만든 장치이지만, 짜증나는 대목은 그게 실제로 하는 일이 생각보다 적다는 점입니다. 이 매일의 불편이 실제로 무엇을 사 주고 있는지 짚어 보겠습니다.

보안키패드는 일부러 헷갈리게 만듭니다
한국 은행 앱은 '보안키패드'를 띄웁니다. 휴대폰 기본 키보드 자리에 앱이 직접 그려 넣는 숫자판입니다. 두 가지가 일부러 그렇게 돼 있습니다. 숫자는 화면이 바뀔 때마다 다른 자리로 재배치되고, 키를 누를 때 보이는 하이라이트는 실제로 누른 키와 따로 놉니다.
그러니 그 반짝이는 피드백은 미끼입니다. 여러분이 누르는 순간 찍힌 스크린샷은 여러분이 누른 적 없는 숫자를 가리키고, 숫자는 이미 다음 입력을 위해 자리를 옮긴 뒤입니다. 이 재배치 부분은 문서로 남아 있는 설계입니다. 한국 보안키패드 특허는 사용할 때마다 배열이 무작위로 바뀌는 화면 숫자판을 기술합니다. 한 번 찍힌 이미지를 다시 쓸 수 없게 만들려는 것입니다.

무엇을 막으려는 걸까요
이 모든 건 여러분 기기가 이미 뚫렸다고 가정합니다. 한국 은행 보안은 지금 이 순간 여러분 휴대폰이나 PC에 악성코드가 깔려 로그인을 훔쳐보고 있다는 전제에서 출발합니다.
그 전제 위에서 두려워하는 것은 물리 키를 읽지 못하는 키로거입니다. 여러분이 두드리는 건 유리 화면이라, 누를 물리 키 자체가 없으니까요. 그래서 키로거는 여러분이 누르는 순간 화면과 손가락을 촬영하는 쪽으로 물러섭니다. 그 카메라 앞에서, 뒤섞인 숫자판과 엉뚱한 하이라이트는 찍힌 장면이 거짓말을 하게 만들려는 장치입니다.
화면을 녹화하면 무력해집니다
이 보안키패드가 애초 목표한 것을 실제로는 해내지 못하는 이유가 바로 여기 있습니다. 화면을 녹화하는 도구는 여러분 손가락이나 커서가 어디에 닿는지도 함께 기록합니다. 누른 좌표와 키패드 배열이 같은 장면 안에 들어오면, 공격자는 위치만 보고 실제 키를 읽어 냅니다. 무엇에 불이 들어왔는지는 상관이 없습니다.
보안 연구자들은 화면 숫자판을 두고 수년째 바로 이 점을 지적해 왔습니다. 이 방식은 공격자가 화면 이미지는 가져가되 클릭 위치는 못 가져갈 때만 성립하는데, 둘 중 하나를 잡는 도구는 나머지 하나도 손쉽게 잡습니다.
화면 녹화를 실제로 막는 일은 더 무거운 무언가가 합니다. 시스템 전체에서 캡처 소프트웨어를 차단하는 커널 수준 드라이버입니다. 그런데 그것마저 같은 불안한 토대 위에 서 있습니다. **블라디미르 팔란트(Wladimir Palant)**가 한국 은행 보안 컴포넌트 하나를 뜯어보고 확인한 대로, 이미 뚫린 기기 위에서 도는 소프트웨어는 이미 그 안에 있는 악성코드가 끄거나, 우회하거나, 통째로 갈아치울 수 있습니다.
딱 한 사람은 막아 줍니다
이 엉뚱한 키 속임수가 제 몫을 하는 경우가 하나 있습니다. 악성코드와는 아무 상관이 없습니다. 바로 여러분 뒤에 서 있는 사람입니다.
붐비는 지하철에서 여러분 화면을 힐끗 보는 사람은 장면을 녹화해 좌표와 맞춰 보지 않습니다. 그저 눈으로 화면을 실시간으로 읽을 뿐인데, 화면마다 재배치되고 엉뚱한 숫자에 불이 들어오는 숫자판은 그렇게 따라 읽기가 확실히 어렵습니다. 어깨너머로 훔쳐보는 사람 앞에서라면, 이 속임수는 할 수 있는 만큼은 제대로 해냅니다.

이것이 이 기능이 주는 진짜 이득입니다, 비록 크지는 않지만요.
매 로그인마다 비밀번호를 헛치는 불편을 그 좁은 이득 하나와 맞바꿀 만한지는, 한국 은행 보안 소프트웨어 더미 전체에 걸린 것과 같은 질문입니다. 이 이야기는 이전 글 은행 보안프로그램, 의무 폐지 11년 뒤에도 남은 이유에서 다뤘습니다.
엉뚱한 숫자에 불이 들어오는 바람에 은행 비밀번호를 두세 번씩 다시 쳐 본 적, 있으신가요?
참고 자료
- Google Patents — KR100571695B1, 키보드와 마우스 및 영상의 해킹 방지 방법: https://patents.google.com/patent/KR100571695B1/ko
- Google Patents — KR20100023635A, 가상키보드를 이용한 보안방법: https://patents.google.com/patent/KR20100023635A/ko
- ResearchGate — Analysis on Vulnerability of Password Entry Using Virtual Onscreen Keyboard: https://www.researchgate.net/publication/315675631_Analysis_on_Vulnerability_of_Password_Entry_Using_Virtual_Onscreen_Keyboard
- Wladimir Palant, Almost Secure — TouchEn nxKey: the keylogging anti-keylogger solution: https://palant.info/2023/01/09/touchen-nxkey-the-keylogging-anti-keylogger-solution/
