새 소식우리 회사에 어떤 규제가 적용되는지 알고 계신가요? 3분 안에 확인할 수 있습니다. Panke가 드리는 진심 어린 선물:EU 스코퍼한국 스코퍼
무엇을 도와드릴까요?

채널로 문의하기

KakaoTalkLINE

48시간 이내 답변

이메일 보내기 →
은행 보안키패드는 왜 엉뚱한 키를 켤까요? 이유는 이렇습니다
모바일보안

은행 보안키패드는 왜 엉뚱한 키를 켤까요? 이유는 이렇습니다

2026년 7월 18일·Alex Holmquist, Panke IT Solutions LLC

한국에서 은행 앱을 써 봤다면 이 보안키패드를 이미 알 겁니다. 숫자는 매번 다른 자리에 놓이고, 하나를 누르면 엉뚱한 키에 불이 들어옵니다. 그래서 방금 누른 숫자를 의심하게 되고, 인정하기 싫을 만큼 자주 비밀번호를 다시 칩니다. 여러분을 지키려고 만든 장치이지만, 짜증나는 대목은 그게 실제로 하는 일이 생각보다 적다는 점입니다. 이 매일의 불편이 실제로 무엇을 사 주고 있는지 짚어 보겠습니다.

A visibly frustrated commuter on a dim Seoul subway grips their phone, jaw tight, tapping a numeric bank security keypad; their thumb presses the key labelled 0 while a different key labelled 7 elsewhere on the pad glows as if selected

보안키패드는 일부러 헷갈리게 만듭니다

한국 은행 앱은 '보안키패드'를 띄웁니다. 휴대폰 기본 키보드 자리에 앱이 직접 그려 넣는 숫자판입니다. 두 가지가 일부러 그렇게 돼 있습니다. 숫자는 화면이 바뀔 때마다 다른 자리로 재배치되고, 키를 누를 때 보이는 하이라이트는 실제로 누른 키와 따로 놉니다.

그러니 그 반짝이는 피드백은 미끼입니다. 여러분이 누르는 순간 찍힌 스크린샷은 여러분이 누른 적 없는 숫자를 가리키고, 숫자는 이미 다음 입력을 위해 자리를 옮긴 뒤입니다. 이 재배치 부분은 문서로 남아 있는 설계입니다. 한국 보안키패드 특허는 사용할 때마다 배열이 무작위로 바뀌는 화면 숫자판을 기술합니다. 한 번 찍힌 이미지를 다시 쓸 수 없게 만들려는 것입니다.

The same bank security keypad shown twice side by side, its numbers in a different scrambled order each time, with a circular shuffle arrow between them, showing the layout rearranges on the next login

무엇을 막으려는 걸까요

이 모든 건 여러분 기기가 이미 뚫렸다고 가정합니다. 한국 은행 보안은 지금 이 순간 여러분 휴대폰이나 PC에 악성코드가 깔려 로그인을 훔쳐보고 있다는 전제에서 출발합니다.

그 전제 위에서 두려워하는 것은 물리 키를 읽지 못하는 키로거입니다. 여러분이 두드리는 건 유리 화면이라, 누를 물리 키 자체가 없으니까요. 그래서 키로거는 여러분이 누르는 순간 화면과 손가락을 촬영하는 쪽으로 물러섭니다. 그 카메라 앞에서, 뒤섞인 숫자판과 엉뚱한 하이라이트는 찍힌 장면이 거짓말을 하게 만들려는 장치입니다.

화면을 녹화하면 무력해집니다

이 보안키패드가 애초 목표한 것을 실제로는 해내지 못하는 이유가 바로 여기 있습니다. 화면을 녹화하는 도구는 여러분 손가락이나 커서가 어디에 닿는지도 함께 기록합니다. 누른 좌표와 키패드 배열이 같은 장면 안에 들어오면, 공격자는 위치만 보고 실제 키를 읽어 냅니다. 무엇에 불이 들어왔는지는 상관이 없습니다.

보안 연구자들은 화면 숫자판을 두고 수년째 바로 이 점을 지적해 왔습니다. 이 방식은 공격자가 화면 이미지는 가져가되 클릭 위치는 못 가져갈 때만 성립하는데, 둘 중 하나를 잡는 도구는 나머지 하나도 손쉽게 잡습니다.

화면 녹화를 실제로 막는 일은 더 무거운 무언가가 합니다. 시스템 전체에서 캡처 소프트웨어를 차단하는 커널 수준 드라이버입니다. 그런데 그것마저 같은 불안한 토대 위에 서 있습니다. **블라디미르 팔란트(Wladimir Palant)**가 한국 은행 보안 컴포넌트 하나를 뜯어보고 확인한 대로, 이미 뚫린 기기 위에서 도는 소프트웨어는 이미 그 안에 있는 악성코드가 끄거나, 우회하거나, 통째로 갈아치울 수 있습니다.

딱 한 사람은 막아 줍니다

이 엉뚱한 키 속임수가 제 몫을 하는 경우가 하나 있습니다. 악성코드와는 아무 상관이 없습니다. 바로 여러분 뒤에 서 있는 사람입니다.

붐비는 지하철에서 여러분 화면을 힐끗 보는 사람은 장면을 녹화해 좌표와 맞춰 보지 않습니다. 그저 눈으로 화면을 실시간으로 읽을 뿐인데, 화면마다 재배치되고 엉뚱한 숫자에 불이 들어오는 숫자판은 그렇게 따라 읽기가 확실히 어렵습니다. 어깨너머로 훔쳐보는 사람 앞에서라면, 이 속임수는 할 수 있는 만큼은 제대로 해냅니다.

A single login on one phone, watched by two people. A hidden screen recorder reads the fingertip's position on the pad and recovers the correct PIN. A person peering over the shoulder reads the glowing wrong key and writes down the wrong PIN

이것이 이 기능이 주는 진짜 이득입니다, 비록 크지는 않지만요.

매 로그인마다 비밀번호를 헛치는 불편을 그 좁은 이득 하나와 맞바꿀 만한지는, 한국 은행 보안 소프트웨어 더미 전체에 걸린 것과 같은 질문입니다. 이 이야기는 이전 글 은행 보안프로그램, 의무 폐지 11년 뒤에도 남은 이유에서 다뤘습니다.


엉뚱한 숫자에 불이 들어오는 바람에 은행 비밀번호를 두세 번씩 다시 쳐 본 적, 있으신가요?

참고 자료

  1. Google Patents — KR100571695B1, 키보드와 마우스 및 영상의 해킹 방지 방법: https://patents.google.com/patent/KR100571695B1/ko
  2. Google Patents — KR20100023635A, 가상키보드를 이용한 보안방법: https://patents.google.com/patent/KR20100023635A/ko
  3. ResearchGate — Analysis on Vulnerability of Password Entry Using Virtual Onscreen Keyboard: https://www.researchgate.net/publication/315675631_Analysis_on_Vulnerability_of_Password_Entry_Using_Virtual_Onscreen_Keyboard
  4. Wladimir Palant, Almost Secure — TouchEn nxKey: the keylogging anti-keylogger solution: https://palant.info/2023/01/09/touchen-nxkey-the-keylogging-anti-keylogger-solution/
귀사의 공격 표면이 걱정되시나요?

귀사의 인프라가 공격자의 스코어링 모델에서 어떻게 평가되는지 알고 싶다면 contact@pankeit.com으로 문의해 주세요. 동일한 지문채취 및 스코어링 프로세스를 실행하고 우선순위가 매겨진 개선 목록을 제공합니다.

블로그 구독하기

최신 보안 동향을 가장 먼저 받아보세요

스팸 없음. 언제든 구독 취소.

©2026 Panke IT Solutions LLC

Austin, TX