H&R Block, 세금 소프트웨어에 백도어 의혹?

H&R Block 세금 소프트웨어는 'WK ATX ServerHost 2024'라는 이름의 TLS 루트 인증서를 설치하며, 해당 인증서의 개인 키(Private Key)를 DLL 파일에 포함한다. 이로 인해 공격자는 DNS 스푸핑(DNS Spoofing)과 같은 기법을 사용하여 사용자의 TLS 트래픽을 가로채고, 데이터 유출(Data Breach)을 시도할 수 있다. 특히, 인증서가 소프트웨어 제거 후에도 삭제되지 않아 지속적인 위협으로 작용한다.

H&R Block은 해당 문제에 대해 '프로그램 팀과의 검토 후, 보고 범위를 벗어났다'는 입장을 밝혔다. 이는 문제의 심각성을 인지하지 못하거나, 해결 의지가 없음을 시사한다. 내부 보안 평가(Internal Security Assessment)를 통해 문제를 파악했음에도 불구하고, 수정하지 않는 것은 심각한 보안 불감증(Security Complacency)으로 해석될 수 있다.

H&R Block의 보안 취약점은 사용자들의 신뢰도 하락(Loss of Trust)을 야기할 수 있으며, 잠재적으로 더 많은 공격을 유발할 수 있다. 특히, 세금 관련 민감한 정보를 다루는 소프트웨어에서 이러한 문제가 발생한 것은 더욱 심각하다. 데이터 미저장 정책(Zero-Retention Policy)과 같은 보안 조치가 부재한 상황에서, 사용자들은 데이터 격리 아키텍처(Data Isolation Architecture)가 적용된 안전한 솔루션을 찾아야 할 것이다.