--- title: "금융 보안 플러그인 줄이는 흐름에 맞춰 소프트캠프가 클라우드 격리형 ‘실드웹’ 출시" published: 2026-05-22T07:05:04.519Z canonical: https://jeff.news/article/3163 --- # 금융 보안 플러그인 줄이는 흐름에 맞춰 소프트캠프가 클라우드 격리형 ‘실드웹’ 출시 소프트캠프가 금융권 전용 원격 브라우저 격리(RBI) 기반 보안 접속 플랫폼 실드웹을 출시했다. 고객 PC에 보안 프로그램을 잔뜩 설치하던 방식에서 벗어나, 웹 코드와 API 호출을 클라우드 격리 컨테이너에서 실행해 공격면을 줄이는 구조다. - 소프트캠프가 금융권 전용 원격 브라우저 격리(RBI) 보안 플랫폼 실드웹(SHIELD Web)을 출시함 - 고객이 금융 웹사이트에 접속할 때 실제 웹 코드와 API 호출을 고객 PC가 아니라 격리된 클라우드 컨테이너에서 실행함 - 고객 단말에는 처리된 화면만 전달되기 때문에 HTML, 자바스크립트, API 구조가 외부에 직접 노출되지 않음 - 이 제품이 나온 배경은 한국 금융권의 지긋지긋한 설치형 보안 소프트웨어 축소 흐름임 - 정부는 지난해 10월 범부처 정보보호 종합대책에서 금융·공공기관의 소비자 대상 설치형 보안 소프트웨어 요구를 2026년부터 단계적으로 제한하겠다고 밝힘 - 대신 다중 인증, 인공지능(AI) 기반 이상 탐지 같은 대체 보안 체계 활용을 유도하는 방향임 - 국내 금융 서비스는 그동안 고객 PC에 너무 많은 걸 깔게 했음 - 키보드 보안, 개인 방화벽, 백신, 인증서 관리, 문서 위변조 방지, 이상거래탐지시스템(FDS) 수집 프로그램 등이 대표적임 - 문제는 불편함만이 아님. 설치형 보안 프로그램 자체가 취약점이나 공급망 공격 통로가 될 수 있다는 지적도 계속 있었음 > [!WARNING] > 설치형 보안 소프트웨어를 줄인다는 건 보안을 포기한다는 뜻이 아님. 오히려 고객 PC에 흩어져 있던 실행 환경을 금융사가 통제 가능한 격리 환경으로 옮기는 방향에 가까움. - 실드웹은 브라우저에 드러나는 공격면을 줄이는 쪽에 초점을 맞춤 - 소프트캠프는 인공지능(AI) 기반 공격이 확산하면서 브라우저에 노출된 자바스크립트 코드, API 호출 구조, 파라미터 패턴이 자동 분석 대상이 되고 있다고 봄 - 그래서 실행 위치를 고객 PC에서 클라우드 격리 컨테이너로 옮겨 공격자가 관찰할 수 있는 정보를 줄이겠다는 접근임 - 적용 대상은 주로 고위험 금융 거래 구간임 - 기업뱅킹 대량 이체 거래에서는 업로드 파일에 콘텐츠 무해화(CDR)를 적용하고 격리 세션 안에서 거래를 진행할 수 있음 - 개인 고액 이체, 신규 수취인 등록, 인증수단 변경 같은 구간에는 강화 인증과 이상거래탐지시스템(FDS) 모니터링을 연계할 수 있음 - 기존 시스템을 완전히 갈아엎지 않아도 된다는 점도 강조됨 - 금융권뿐 아니라 공공 대국민 웹 서비스와 노후 시스템에도 적용 가능하다고 설명함 - 기존 사이트 코드나 서버 설정을 대대적으로 바꾸는 대신, 접속 경로가 실드웹을 거치도록 바꾸는 방식임 --- ## 기술 맥락 - 실드웹의 핵심 선택은 보안 코드를 고객 PC에 설치하는 대신, 웹 실행 자체를 클라우드 격리 컨테이너로 옮기는 거예요. 사용자의 브라우저가 HTML과 자바스크립트를 직접 받아 실행하면 공격자가 코드와 API 패턴을 분석하기 쉬워지거든요. - 금융권에서 이 방식이 중요한 이유는 규제 방향이 바뀌고 있기 때문이에요. 2026년부터 설치형 보안 소프트웨어 요구가 단계적으로 제한되면, 금융사는 기존 플러그인 없이도 거래 구간을 보호할 새 구조가 필요해요. - RBI는 특히 고위험 거래에 잘 맞아요. 모든 접속을 무겁게 처리하기보다 대량 이체, 고액 이체, 신규 수취인 등록처럼 사고 영향이 큰 구간에 격리 세션, 강화 인증, FDS를 묶으면 비용과 보안 사이의 균형을 잡을 수 있거든요. - 기존 웹서비스를 크게 뜯지 않고 접속 경로만 바꾸는 방식도 현실적인 장점이에요. 금융과 공공에는 오래된 시스템이 많아서, 서버 코드를 대규모로 수정하지 않고 보안 통제 지점을 앞단에 세울 수 있다는 점이 꽤 큽니다. ## 핵심 포인트 - 실드웹은 금융 웹사이트의 HTML, 자바스크립트, API 호출을 고객 PC가 아니라 클라우드 격리 컨테이너에서 실행한다. - 정부는 2026년부터 금융·공공기관의 소비자 대상 설치형 보안 소프트웨어 요구를 단계적으로 제한하려 한다. - 고위험 금융 거래 구간에서는 콘텐츠 무해화(CDR), 강화 인증, 이상거래탐지시스템(FDS) 모니터링과 연계할 수 있다. ## 인사이트 한국 금융권의 오래된 플러그인 보안 모델이 드디어 구조적으로 밀려나는 분위기다. 실드웹 같은 RBI 접근은 사용자 불편을 줄이는 동시에 금융사가 통제 가능한 실행 환경을 확보하려는 시도라, 보안팀과 웹 개발팀 모두 관심 가질 만함.