당신의 PC를 지키는 보안프로그램, 정말 안전한가?

인터넷 뱅킹을 하려면 은행 사이트가 요구하는 프로그램들을 설치해야 한다. 키보드 보안, 방화벽, 인증서 관리 프로그램… 어느새 PC에는 수십 개의 “보안” 프로그램이 쌓인다. 그런데 이 프로그램들이 오히려 해커의 침투 경로가 되고 있다면?

2023년 국가정보원이 발표한 충격적인 사실이 있다. 북한 해커들이 바로 이 “보안 프로그램”의 취약점을 악용해 국내 기관 수십 곳의 PC를 해킹했다는 것이다. 그리고 같은 해 11월, 한국 국정원과 영국 정보기관 GCHQ는 사상 처음으로 공동 사이버보안 권고문을 발표하며 북한의 소프트웨어 공급망 공격에 대한 경고를 전 세계에 알렸다.

어떻게 “보안”이라는 이름을 달고 있는 프로그램이 공격의 경로가 되었을까? 이 글에서는 한국만의 독특한 인터넷 보안 체계가 어떻게 형성되었고, 왜 25년이 지난 지금까지 문제가 되고 있는지 살펴본다.

1999년, 모든 것의 시작

한국이 독자적인 인터넷 보안 체계를 구축하게 된 배경에는 1990년대 말의 특수한 상황이 있었다. 당시 미국은 암호화 기술을 무기로 분류하여 수출을 엄격히 규제했다. 냉전 시대의 유산이었다. 미국에서 수출되는 웹브라우저는 40비트 암호화만 지원했는데, 이는 1997년 당시 기술로도 3.5시간이면 해독이 가능한 수준이었다. 안전한 인터넷 뱅킹을 위해서는 128비트 이상의 암호화가 필요했다.

이에 한국인터넷진흥원(KISA)과 국내 암호전문가들은 1999년 2월, 순수 국내 기술로 128비트 블록 암호 알고리즘 ‘SEED’를 개발했다. SEED는 1999년 9월 한국정보통신기술협회(TTA) 표준으로 제정되었고, 2005년에는 ISO/IEC 국제표준으로도 확정되었다. 기술적으로는 성공적인 성취였다. 같은 해인 1999년 2월 5일, 전자서명법이 공포되었다. 이 법은 공인인증기관이 발급한 인증서에 법적 효력을 부여했고, 디지털 서명을 기명날인과 동일하게 인정했다. 한국정보인증이 최초의 공인인증기관으로 지정되면서 한국만의 독자적인 인터넷 인증 체계가 출범했다.

문제는 이 모든 것을 구현하기 위해 ActiveX라는 기술을 선택했다는 점이다. 브라우저에 내장된 표준 기능 대신, 사용자 PC에 직접 프로그램을 설치하는 방식을 택한 것이다. 당시로서는 이해할 수 있는 선택이었다. 국내 개발 암호화 알고리즘 SEED를 브라우저에서 사용하려면 브라우저 자체를 수정하거나, 플러그인을 설치하는 수밖에 없었다. 마이크로소프트가 아닌 이상 브라우저 수정은 불가능했고, ActiveX는 Windows와 Internet Explorer 환경에서 가장 쉽게 구현할 수 있는 플러그인 기술이었다. 하지만 이 선택이 20년이 넘는 부채가 될 줄은 아무도 몰랐다.

역사의 아이러니가 있다. 미국은 1999년 9월, 암호화 기술 수출 규제를 대폭 완화했다. 한국경제신문(1999년 9월 17일)에 따르면, 백악관은 EU 15개국과 일본 등 23개국에 대해 암호화 기술 수출 규제를 사실상 전면 철폐한다고 발표했다. 한국이 독자 기술 개발에 성공한 직후, 그 필요성의 전제가 사라진 것이다. 이론적으로는 그때부터 글로벌 표준인 SSL/TLS를 채택할 수 있었다. 그러나 이미 구축된 인프라, 개발된 시스템, 형성된 규제 체계는 그 자체의 관성을 가지고 있었다.

ActiveX의 확산과 저항

2000년대 초반, 세계적으로도 Internet Explorer가 웹 브라우저 시장을 지배하던 시기였다. 한국에서는 이 현상이 더욱 극심했다. 인터넷 뱅킹, 전자정부, 쇼핑몰 결제 등 돈이 오가는 거의 모든 웹사이트가 ActiveX를 필수로 요구했기 때문이다. 금융감독원은 SEED 기반 암호화를 전자금융거래의 보안성 심의 기준으로 삼았다. 은행들은 이 기준을 충족하기 위해 ActiveX 기반 보안 프로그램을 설치하도록 요구했다. 하나의 은행 사이트를 이용하려면 인증서 관리, 키보드 보안, 방화벽, 웹 스크래핑 방지 등 여러 개의 프로그램을 설치해야 했다. 위키피디아의 표현을 빌리자면, “한국 사람이라면 대부분 ActiveX가 들어갔던 은행이나 공공 기관 웹 사이트 몇 군데 가입하면 컴퓨터가 ActiveX 범벅이 되어 엄청나게 느려지는 경험을 했다.”

2006년, 고려대학교 법과대학 김기창 교수가 ‘오픈웹’ 운동을 시작했다. 영국 유학 시절 리눅스를 사용하면서 오픈소스에 관심을 갖게 된 그는, 귀국 후 인터넷 뱅킹을 하려는데 Windows와 IE가 아니면 아무것도 할 수 없다는 사실에 경악했다. 오픈웹은 전자정부와 인터넷 뱅킹 서비스가 웹 표준에 맞도록 개선될 것과, Firefox, Chrome, Safari 등 다른 브라우저 사용자도 서비스를 이용할 수 있게 해달라고 요구했다. 2007년, 김기창 교수는 금융결제원을 상대로 소송을 제기했다. 모든 운영체제와 브라우저에서 공인인증서를 사용할 수 있게 해달라는 것이었다. 그러나 1심과 2심에서 패소했고, 2009년 대법원에서도 상고가 기각되었다. 패소에도 불구하고, 오픈웹 운동은 한국 인터넷 환경의 문제점을 사회적 의제로 끌어올리는 데 성공했다. 김기창 교수는 2009년 《한국 웹의 불편한 진실》이라는 책을 출간해 공인인증서와 ActiveX 문제를 대중에게 알렸다.

변화의 계기는 의외의 곳에서 왔다. 2009년 아이폰이 한국에 출시되면서 스마트폰 열풍이 시작된 것이다. 아이폰에서는 ActiveX가 작동하지 않았다. iOS는 Windows가 아니었고, Safari는 IE가 아니었다. 갑자기 수백만 명의 소비자들이 스마트폰으로 인터넷 뱅킹을 할 수 없다는 현실에 직면했다. 2010년 3월, 행정안전부는 금융거래 시 공인인증서만 보안 프로그램으로 인정하는 규제를 폐지하기로 했다고 발표했다. 같은 해 7월, 우리은행은 대한민국 최초로 ActiveX 없이 이용할 수 있는 “우리오픈뱅킹” 서비스를 출시했다. 국민은행(2011년 1월), 기업은행(2011년 2월)이 뒤를 이었다. 모질라 재단은 2010년 2월, 대한민국 인터넷 사용자들에게 공식적으로 ActiveX 퇴치 운동에 동참할 것을 권유하기도 했다.

2023년, 보안 프로그램이 해킹 경로가 되다

시간이 흘러 2023년. ActiveX 시대는 저물었지만, 그 시대에 태어난 보안 프로그램들은 여전히 수천만 대의 PC에 설치되어 있었다. 그리고 북한 해커들은 바로 이 지점을 노렸다.

2023년 3월 30일, 국가정보원은 충격적인 사실을 발표했다. 북한이 인터넷 뱅킹에 사용되는 금융보안인증 소프트웨어의 취약점을 악용해 해킹 공격을 벌였다는 것이다. ZDNet Korea 보도에 따르면, 국정원과 경찰청, 한국인터넷진흥원(KISA)은 북한이 이니텍의 ‘INISAFE CrossWeb EX V3’ 소프트웨어 취약점을 악용하여 국내외 주요기관 60여 곳의 PC 210여 대를 해킹한 사실을 확인했다. INISAFE CrossWeb EX는 금융기관 및 쇼핑몰 등 다수 홈페이지에서 공동인증서를 처리하기 위해 사용되는 프로그램이다. 뉴시스는 국내외 1천만 대 이상의 PC가 영향을 받았다고 보도했다. 사용자가 홈페이지에 접속하면 자동으로 설치되는 형태이기 때문에, 상당수 국민이 이 프로그램을 사용하면서도 그 사실을 인지하지 못했다. 취약점이 발견된 버전은 INISAFE CrossWeb EX V3 3.3.2.40 이하였으며, KISA는 3.3.2.41 이상의 최신 버전으로 교체할 것을 권고했다.

3개월 후인 2023년 6월 28일, 국정원은 또 다른 보안 프로그램의 취약점 악용 사례를 발표했다. 보안뉴스에 따르면, 국정원은 북한 정찰총국이 드림시큐리티의 ‘MagicLine4NX(매직라인)’ 취약점을 악용해 공공기관, 방산, IT, 언론사 등 50여 개 기관의 PC가 악성코드에 감염된 것을 확인했다. MagicLine4NX는 국세청(연말정산), 관세청, 나라장터 등 국가 기관 사이트나 은행, 주식 등 금융거래 이용 시 공동인증서 로그인을 위해 설치되는 소프트웨어다. 경제 활동을 하는 대다수 국민의 PC에 설치되어 있다고 봐도 무방하다. 드림시큐리티는 2023년 3월에 보안 패치를 개발했지만, 문제는 사용자가 직접 업데이트하지 않으면 무용지물이라는 점이었다. 전자신문(2023년 12월 25일)에 따르면, 보안 패치 권고 후 9개월이 지난 시점에도 안랩 V3가 탐지한 취약 버전 설치 PC가 249만여 대에 달했다. 정부는 2023년 11월, 안랩(V3), 하우리(바이로봇), 이스트소프트(알약) 등 백신 제품을 통해 MagicLine4NX 구버전(1.0.0.26 이하)을 자동 탐지, 삭제하는 조치를 시행했다.

2023년 11월 23일, 한국과 영국의 정보기관이 사상 처음으로 합동 사이버보안 권고문을 발표했다. ZDNet Korea에 따르면, 국정원 국가사이버안보센터(NCSC)와 영국 정부통신본부(GCHQ) 소속 국가사이버안보센터(NCSC)가 공동으로 ‘사이버보안 권고문’을 발표했다. 북한 해킹조직의 소프트웨어 공급망 공격에 대비할 것을 촉구하는 내용이었다. 권고문에는 MagicLine4NX 사례와 함께, 전 세계 60만 개 기관이 사용하는 화상회의 솔루션 ‘3CX’ 공급망 공격도 포함되었다. 북한 해커조직이 단순히 한국만 노리는 것이 아니라, 글로벌 규모의 공급망 공격 역량을 갖추고 있음을 보여주는 사례였다.

3CX 사건은 북한 해커들의 진화된 역량을 보여주는 상징적인 사례다. 보안뉴스와 맨디언트(Mandiant)의 분석에 따르면, 북한 연계 해킹조직 ‘UNC4736′(라자루스로 추정)은 먼저 금융 거래용 소프트웨어 업체 ‘트레이딩 테크놀로지스’의 ‘X_TRADER’ 프로그램을 해킹했다. 그 다음, 이 프로그램을 다운로드한 3CX 직원의 개인 컴퓨터를 감염시켰다. 그리고 그 직원의 인증정보를 훔쳐 3CX 기업 네트워크에 침투했다. 3CX의 윈도우 및 맥OS용 데스크톱 앱에 악성 라이브러리가 주입되었고, 이 앱은 개발자 인증서로 정상적으로 서명되어 배포되었다. 메르세데스-벤츠, 도요타, 코카콜라, BMW, 맥도날드, 영국 국립보건서비스(NHS) 등 전 세계 190개국 60만 개 이상의 기관이 3CX 고객사였다. 일일 사용자만 1,200만 명이 넘었다. 맨디언트는 “소프트웨어 공급망 공격이 또 다른 소프트웨어 공급망 공격으로 이어진 최초의 사례”라고 평가했다. RFA(자유아시아방송)에 따르면, 시만텍(Symantec)의 조사 결과 미국과 유럽의 주요 에너지 인프라 기관 2곳과 금융 거래 기관 2곳도 동일한 유형의 공격을 받은 것으로 나타났다.

외부자의 시선: Wladimir Palant의 분석

독일의 보안 연구자 Wladimir Palant는 2023년 초, 한국의 금융보안 프로그램들을 심층 분석한 결과를 자신의 블로그(palant.info)에 연재했다. 그의 분석은 한국 보안 업계에 상당한 충격을 주었다.

Palant는 2023년 1월 9일자 글에서 라온시큐어의 TouchEn nxKey를 분석했다. 이 프로그램은 크롬 웹스토어 기준 1,000만 명 이상이 사용하고 있으며, 평점은 5점 만점에 1.3점으로 “삭제해달라”는 리뷰가 대다수다. Palant에 따르면, TouchEn nxKey는 키로거(키 입력 기록 악성코드)를 방지한다는 명목으로 키보드 입력을 가로채 암호화한다. 그러나 그는 이렇게 결론지었다: “nxKey가 제공하는 보호는 nxKey의 존재와 기능을 모르는 공격자에게만 유효하다. 일반적인 공격은 막을 수 있겠지만, 한국 은행이나 정부 기관을 특정해서 노리는 공격에는 효과가 없을 것이다.” 더 심각한 것은 브라우저 확장프로그램의 최신 버전이 2018년 1월에 출시된 이후 5년간 업데이트되지 않았다는 점이다.

2023년 1월 25일자 글에서 Palant는 Interezen의 IPinside LWS Agent를 분석했다. 이 프로그램은 “실제” IP 주소를 확인하여 온라인 사기를 방지한다는 명목으로 설치된다. 그러나 Palant의 분석에 따르면, IPinside는 IP 주소 외에도 훨씬 많은 정보를 수집한다. 하드 드라이브 일련번호, MAC 주소, 네트워크 카드 정보, 키보드 모델, 가상머신 여부, 실행 중인 프로세스 목록 등이 포함된다. Palant는 이 프로그램이 수집하는 데이터의 암호화가 약해서 1주일 만에 해독에 성공했다고 밝혔다. 또한 어떤 웹사이트든 localhost:21300 포트로 요청을 보내면 이 정보에 접근할 수 있다고 경고했다.

Palant는 2023년 2월 20일자 중간 결론 글에서 한국 금융보안 프로그램들의 공통적인 문제점을 지적했다. 첫째, 자동 업데이트 기능이 없다. 보안 취약점이 발견되어도 사용자가 수동으로 업데이트하지 않으면 패치가 적용되지 않는다. 이것이 MagicLine4NX 사태에서 9개월이 지나도 249만 대가 취약 버전을 유지하고 있던 이유다. 둘째, 로컬 웹서버 방식의 위험성이다. 프로그램들이 localhost의 특정 포트에서 웹서버를 실행하여 브라우저와 통신하는데, 이 방식은 악의적인 웹사이트가 정보에 접근할 수 있는 경로를 열어둔다. 셋째, 근본적인 한계가 있다. 그는 “감염된 환경을 마법처럼 고치는 소프트웨어를 추가할 수는 없다. 무엇을 하든, 해당 환경에서 활동하는 악성 소프트웨어는 항상 대응책을 구현할 수 있다”고 지적했다. Palant의 분석 결과가 발표된 후, 라온시큐어와 인터제엔은 일부 취약점에 대한 패치를 진행했다고 밝혔다. 그러나 구조적인 문제, 특히 자동 업데이트 부재와 로컬 웹서버 방식은 여전히 해결되지 않았다.

규제는 바뀌었지만

1999년 도입된 공인인증서 제도는 21년 만인 2020년 5월 20일, 국회 본회의를 통과한 전자서명법 전부개정안으로 사실상 폐지되었다. 바이라인네트워크(2020년 5월 20일)에 따르면, 개정안은 공인전자서명(공인인증서에 기반한 전자서명)과 사설인증서에 기반한 전자서명 간의 법적 효력 차이를 없앴다. 2020년 12월 10일부터 시행되어, 공인인증서는 ‘공동인증서’로 명칭이 바뀌고 카카오, 네이버, PASS 등 민간 인증서와 동등한 지위가 되었다. 김기창 교수가 2007년 소송을 제기한 지 13년, 오픈웹 운동을 시작한 지 14년 만의 일이었다.

보안 프로그램 설치와 관련된 규정도 변화가 있었다. 금융위원회는 2014년 12월 전자금융감독규정 개정안을 예고하면서, “금융회사 등이 전자금융거래 시 보안대책을 자율적으로 마련토록” 하는 내용을 포함시켰다. 이 개정안은 2015년 4월 시행되어, 법적으로는 특정 보안 프로그램 설치가 더 이상 의무가 아니게 되었다. 2024년 2월 1일, 금융위원회는 더욱 대폭적인 개정안을 예고했다. 금융위원회 보도자료에 따르면, 이번 개정안은 “규칙(Rule) → 원칙(Principle) 중심”으로 금융보안 규제를 개선하는 것이 목표다. 293개에 달하는 행위규칙을 166개로 축소하고, 세세한 보안방법을 특정하는 대신 목표와 원칙을 제시하는 방향으로 전환했다. CEO, 이사회, 현업부서의 보안 책임을 강화하고, 사고 후 책임 강화를 위한 과징금 제도를 실질화하는 내용을 담고 있다.

그러나 현실은 여전히 더디게 변하고 있다. 보안 프로그램 설치가 법적 의무가 아니게 된 지 10년이 지났지만, 대부분의 은행은 여전히 PC 뱅킹 시 여러 보안 프로그램 설치를 요구한다. 보안 사고가 발생했을 때 “우리는 모든 보안 프로그램을 요구했다”는 것이 면책의 근거가 되기 때문이다. 은행 입장에서는 실제 보안 효과보다 책임 회피가 더 중요한 것이다. 또한 한국은 ‘즉시 이체’ 시스템을 택하고 있다. 외국은 이체 기간이 1~5일 걸리는 지연이체제를 시행해서 FDS(이상거래탐지시스템)를 통해 ‘사후’ 탐지하는 방식이지만, 한국은 즉시 이체되므로 ‘사전’ 탐지 방식을 쓸 수밖에 없다. 이것이 클라이언트 측 보안 프로그램에 의존하게 된 또 하나의 배경이다.

MagicLine4NX 사태가 보여주듯, 보안 프로그램이 설치된 후 사용자가 직접 업데이트하지 않으면 취약한 버전이 그대로 남아있다. 자동 업데이트 기능이 없기 때문이다. Palant의 분석에 따르면, TouchEn nxKey 브라우저 확장프로그램은 5년간 업데이트되지 않았다. 씨티은행 코리아 웹페이지에서 배포하던 TouchEn nxKey 버전은 2015년 버전이었다. Windows나 Chrome 같은 현대적인 소프트웨어는 사용자 개입 없이 자동으로 보안 패치가 적용된다. 그러나 한국의 금융보안 프로그램들은 여전히 2000년대 방식, 즉 사용자가 직접 다운로드해서 설치해야 하는 방식을 유지하고 있다.

글로벌 스탠다드와의 격차

한국 밖으로 나가면 풍경이 완전히 다르다. 전 세계 대부분의 국가에서 인터넷 뱅킹은 별도 프로그램 설치 없이 브라우저만으로 이루어진다. 보안은 TLS 암호화를 통한 브라우저-서버 간 통신 보호, Same-Origin Policy를 통한 타 사이트의 데이터 접근 차단, 브라우저 샌드박스를 통한 웹 콘텐츠의 시스템 접근 격리 등의 방식으로 확보한다. 여기에 비밀번호 외에 OTP나 생체인증 등을 활용한 다중 인증(MFA), 그리고 이상 거래 탐지를 클라이언트가 아닌 서버에서 수행하는 서버 측 위험 분석이 더해진다.

특히 주목할 것은 FIDO2/WebAuthn과 같은 현대적인 인증 표준이다. FIDO Alliance와 W3C가 공동으로 개발한 FIDO2는 2018년 출시되었고, WebAuthn은 2019년 W3C 공식 웹 표준으로 채택되었다. 이 표준을 기반으로 한 ‘패스키(Passkey)’는 비밀번호 없이 생체인증(지문, 얼굴인식)이나 기기 PIN으로 로그인할 수 있게 해준다. 패스키의 장점은 명확하다. 피싱에 강하다. 비밀번호와 달리 패스키는 특정 사이트에만 작동하므로 가짜 사이트에서는 사용할 수 없다. 서버에 비밀번호가 저장되지 않으므로 서버 해킹으로 인한 비밀번호 유출 걱정이 없다. 그리고 가장 중요한 것은, 별도 프로그램 설치 없이 브라우저와 OS에 내장된 기능만으로 작동한다는 점이다.

애플, 구글, 마이크로소프트 모두 패스키를 지원하며, 글로벌 금융기관들도 빠르게 도입하고 있다. 데일리시큐(2025년 12월)에 따르면, 삼성카드는 2024년 초 FIDO를 도입했고, KB국민은행, 배달의민족 배민페이 등에서도 FIDO 기반 인증이 사용되고 있다. 구글은 2017년부터 전 직원에게 하드웨어 보안키 사용을 의무화해 피싱을 사실상 근절했다.

결론: 보안을 빙자한 것들

25년 전, 한국은 나름의 이유로 독자적인 인터넷 보안 체계를 구축했다. 미국의 암호화 기술 수출 규제라는 현실적 제약이 있었고, ActiveX라는 당시로서는 합리적인 기술 선택이 있었다.

문제는 그 필요성이 사라진 후에도 관성이 계속되었다는 것이다. 규제는 쌓이고, 업체는 늘어나고, 프로그램은 더 많이 설치되었다. 그리고 이 프로그램들이 오히려 공격 표면이 되었다.

2023년 북한 해커들이 INISAFE와 MagicLine4NX의 취약점을 악용해 수십 개 기관을 해킹했을 때, 아이러니하게도 그들이 노린 것은 “보안 프로그램”이었다. 한영 합동 사이버보안 권고문이 발표되고, 정부가 백신을 통해 구버전을 강제 삭제하는 조치를 취해야 했을 때, 이 시스템의 구조적 문제는 명확해졌다.

지금 당장 할 수 있는 것은 PC에 설치된 오래된 보안 프로그램들을 삭제하거나 최신 버전으로 업데이트하는 것이다. 제어판의 “프로그램 및 기능”에서 INISAFE, MagicLine 등을 검색해보자.

더 근본적인 해결책은 “보안 프로그램을 더 설치하는 것”이 아니라 웹 표준을 신뢰하고, 브라우저의 보안 기능을 활용하는 것이다. FIDO2/WebAuthn, 패스키 같은 현대적인 인증 표준으로 전환하는 것이다. 규제도, 관행도, 결국은 그 방향으로 가야 한다.

“보안”이라는 이름으로 설치된 것이 정말 당신을 보호하고 있는지, 아니면 해커에게 높은 권한의 접근 경로를 제공하고 있는지 질문해볼 때다.

출처

국가기록원, “전자서명법 제정” 기록
한국인터넷진흥원(KISA), “SEED 암호 알고리즘” 공식 페이지
전자신문(2005.11.14), “국산 암호 알고리듬 SEED 국제표준 확정”
한국경제신문(1999.9.17), “미국 기업 암호기술 수출규제 완화”
위키피디아, “대한민국의 웹 호환성 문제”, “오픈웹”, “김기창 (법학자)”, “액티브X”
컴퓨터월드(2014.11.30), “국제 웹 표준 HTML5, 액티브X 대체할 수 있나”
ZDNet Korea(2023.3.30), “이니텍 INISAFE 보안 업데이트하세요”
뉴시스(2023.3.30), “北 해커, 이니텍 금융보안인증 SW 취약점 노렸다”
보안뉴스(2023.6.28), “국정원, MagicLine4NX 대상 ‘보안인증 SW 취약점’ 악용 해킹 확산 경고”
전자신문(2023.12.25), “수천만 쓰는 ‘매직라인’ 취약점 여전히 수백만건”
대한민국 정책브리핑(2023.11.8), “보안인증 SW ‘매직라인’ 구버전 해킹 위험”
ZDNet Korea(2023.11.23), “韓·英 사이버안보기관, 北 SW공급망 해킹 위협 경고”
보안뉴스(2023.4.21), “북한 3CX 공급망 공격… SW 공급망 공격이 2차 공격으로 이어진 최초 공격”
CIO Korea(2024.10.3), “3CX 해킹 사건으로 드러난 연쇄적 소프트웨어 공급망 침해의 위험성”
RFA(2023.4.25), “북, 3CX 해킹 방식으로 미국·유럽 에너지 인프라 공격”
Wladimir Palant, palant.info 블로그 시리즈 (2023.1-3월)
바이라인네트워크(2020.5.20), “전자서명법 개정안 국회 본회의 통과”
금융위원회 보도자료(2024.2.1), “전자금융감독규정 개정안 규정변경 예고”
정부입법지원센터, “전자금융감독규정 일부개정규정안” (2014.12.24)
FIDO Alliance, “패스키(Passkey)” 공식 페이지
데일리시큐(2025.12.8), “한국전자인증, FIDO·패스키 확산 속 금융·커머스 보안 혁신 가속화”
전자신문(2023.5.16), “은행권 생체인증 도입 의무화와 FIDO, 그리고 패스키”

Ben DH Kim – Notes from Building Cyber Security Startup