업계 1위를 달리는 현대캐피탈과 내년 3월 금융지주사 전환을 앞두고 있는 농협이 이번 금융사고 과정에서 보안관리의 허점을 그대로 노출하면서 고객들은 충격과 불안을 금치 못하고 있다.
<현대캐피탈 정태영 사장(왼쪽)과 농협중앙회 최원병 회장 및 임직원들이
최근 보안관련 사고가 발생한데 대해 고객들에게 사과했다.(사진-연합뉴스)>
현대캐피탈은 지난 7일 해커로부터 협박이메일을 받기 전까지 고객 42만명의 주민등록번호와 휴대전화번호 등 개인정보가 빠져나간 사실을 전혀 알지 못했고 농협 역시 지난 12일 전산장애 발생 후 1주일간이나 시스템 불안이 이어졌기 때문.
농협은 특히 이번 사고로 금융거래 기록과 고객정보 데이터가 일부 훼손됐을 가능성이 높은 것으로 알려져 막대한 피해가 예상되고 있다.
일각에서는 두 사건 모두 내부직원이 해커 또는 외부세력과 공모했을 가능성이 제기되면서 금융회사의 허술한 보안 시스템은 물론 인력관리 문제에 비판이 제기되고 있다. 피해를 입은 고객들 사이에서는 집단소송 움직임까지 보이고 있다.
이번 사고로 인해 두 금융사의 신뢰가 추락한 것은 물론 이를 제대로 감독하지 못한 금융당국도 비난을 면키 어렵게 됐다.
금융사 '해킹사고' 무방비 노출, 국가기강 '휘청'
지난 2009년 7월 청와대와 정부기관을 비롯해 주요 금융기관 등을 상대로 한 '디도스(DDoS, 분산서비스거부) 공격'이 발생한 후 해킹에 대비한 보안시스템 구축의 중요성이 대두됐지만 여전히 '해킹사고'에 무방비한 모습을 보여 이에대한 우려가 지속되고 있다.
보안전문가들은 이번 현대캐피탈 사건 등에서 나타났듯이 해킹 기법이 나날이 진화하고 있음에도 다수의 금융사들은 여전히 보안시스템 구축과 인력보강에 인색하다고 지적했다.
금융권 한 관계자는 "농협에서 발생한 전산장애는 내․외부 직원에 대한 통제․운영관리가 안되면서 발생한 사건이고 현대캐피탈 해킹사고도 고객DB 관리가 제대로 안됐던 게 발단"이라며 "금감원에서 디도스 사건 이후 고객정보서버를 내부망에만 설치할 것을 권고했지만 예금을 취급하는 은행 등 대형금융회사들을 제외한 제2금융권에서는 제대로 준수하지 않으면서 이같은 사태를 불러왔다"고 지적했다.
금융당국은 디도스 해킹사고 이후 각 금융권에 내부보안망 바깥에 고객정보 서버를 설치하지 말 것을 권고했다.
보안망은 외부망, 1차보안벽, DMZ, 2차보안벽, 내부망 등 5단계로 이뤄져 있어 내부망에 고객정보 서버를 설치할 경우 해커들이 이를 뚫고 정보를 빼가는 것은 사실상 불가능하다는 것이다.
하지만 캐피탈사 등 제2 금융권에서는 아직도 내부망 바깥에 고객정보 서버를 설치해 해킹사고의 주요 표적이 되고 있다.
보안업계에 종사하는 한 전문가는 "금융회사는 일반 기업이나 제조회사에 비해 상대적으로 IT보안 시스템이 잘 구축되어 있지만 해커들이 새로운 기법을 이용해 침입해 오기 때문에 대처를 잘하는 것이 최선의 방법"이라며 "보안시스템과 전문 인력배치 등 종합적인 차원에서 대응을 할 필요가 있다"고 말했다.
금융당국, 전 금융사 현장점검 '사후약방문' 언제까지
금융당국은 현대캐피탈 해킹사고가 발생한 직후인 지난 11일부터 전 금융회사를 대상으로 보안점검을 위한 서면조사를 실시 중이다.
또 현대캐피탈과 농협에 대한 특별검사와는 별도로 각 금융권역별로 정부관계기관과 금융감독당국, 유관기관, 민간IT업체의 전문가들로 구성된 점검반을 구성해 이달 말부터 현장실태 점검에 들어갈 계획이다.
금융회사 IT 보안 강화를 위한 민관합동 TF는 현대캐피탈 및 농협 점검대응반, 금융회사 IT 보안실태점검반, 금융 IT 보안 제도개선반 등 3개반으로 구성, 운영된다.
금융당국은 약 한 달간의 실태점검 결과를 바탕으로 금융회사 IT 보안 강화와 보안사고 재발 방지를 위한 대책을 마련할 예정이다.
한국은행도 지난 15일 금융통화위원회를 열어 농협에 대한 공동검사권 발동 안건을 의결하고 금감원과 공동검사에 착수했다. 한은은 농협이 지급결제업무를 지속할 수 있는지 여부와 장애 발생 후 업무처리 현황, 재발방지를 위한 내부 조치 등을 파악할 계획이다.
금융감독원 IT서비스실 관계자는 "지금까지 은행 등 예금을 주로 취급하는 금융기관에 대해 지속적으로 모니터링을 해온 반면 현대캐피탈과 같은 제2금융권에는 소홀했던 게 사실"이라며 "이번 사건을 계기로 전금융사로 확대해 현장실태점검을 벌일 예정"이라고 밝혔다.
이 관계자는 점검 대상 및 보안시스템 대책방안과 관련해 "금융회사가 워낙 많기 때문에 각 권역별로 샘플링을 하는 방법을 검토 중"이라며 "금감원의 권고사항을 이행하지 않은 곳이나 보안시스템이 허술한 곳에 대해 어떻게 처리할 것인지는 일단 현장점검 결과가 나온 후 논의하게 될 것"이라고 말했다.
보안업계 전문가들은 최근 인터넷뱅킹에 이어 스마트폰뱅킹 사용자 증대로 해킹사고 위험이 더욱 높아진 상황에서 '사후약방문(死後藥方文)'식 대응의 우를 범하지 않기 위해서는 정보보안 분야에 대한 정부차원의 지원이 확대돼야 한다고 입을 모았다. 우리나라가 선진화된 IT기술력에 비해 정보보안 인력양성과 보상 등 투자․지원은 턱없이 부족해 인력난을 겪고 있다는 지적이다.
보안업계 관계자는 "정보보안 분야는 시장규모가 커지고 있지만 실상 '3D업종'으로 불릴만큼 과중한 업무에 비해 보상이 적어 기피하는 현상이 심하다. IT투자 대비 정보보안에 대한 투자도 미국은 10%인데 반해 우리나라는 8%에 불과하고 이마저도 4%만 지원되고 있다"며 정보보안 산업에 대한 지원증대가 시급함을 강조했다.
은행권, 수시 점검 및 모니터링 강화 '철통보안' 가동
현대캐피탈과 농협 등에서 발생한 고객정보 유출 및 전산장애 사건으로 금융회사의 보안관리 시스템에 우려가 제기되면서 은행권에서도 수시점검에 나서는 등 혹여 있을지 모르는 해킹 사고에 만전을 기하고 있다.
국민은행(행장 민병덕)은 인터넷뱅킹 해킹방지를 위해 디도스 대응장비, 방화벽, 침입탐지/방지시스템 등 보안장비를 통한 보안대책을 수립, 운영 중이다. 외부 보안전문가를 통한 연 2회 디도스 모의훈련, 연4회 인터넷뱅킹 및 내부 웹 어플리케이션 모의해킹 및 취약성 점검을 실시하고 있다.
우리은행(행장 이순우)은 내부규정에 따라 매년 서버안전 점검을 하고 있으며 올해 3월에는 인터넷뱅킹 홈페이지를 개편하면서 서버를 다시한번 진단했다.
우리은행 관계자는 "최근 현대캐피탈 해킹 사고 이후 만약의 경우를 대비해 수시로 서버 점검을 하고 있다"며 "우리은행은 지난해 12월 IT서비스 부문과 관련 보안인증 최우수등급인 'ISO 27001(국제 정보보호 표준 인증)'을 획득하는 등 정보보안 체계를 구축했다"고 밝혔다.
신한은행(행장 서진원) 역시 지난 2009년 디도스 해킹사건을 계기로 보안관제센터에서 1년 365일 매일 24시간 상시 점검을 하고 있으며 분기마다 보안점검을 진행하고 있다.
하나은행(행장 김정태) 측은 2008년 210억원을 투자해 보안인프라를 구축했고 2009년 초에는 3천억원을 들여 차세대 보안시스템을 완비했다.
하나은행 관계자는 "디도스 발생 당시 금융기관 중 유일하게 하나은행만 공격을 받지 않아 방송통신위원회가 주관하는 금융부문 정보보호대상에서 금감원장상을 수상했다"며 "최근에는 내부보안팀과 외부전문가가 협업해 ‘고객정보보안대책’을 구성해 외부 침입 등에 대한 지속적인 모니터링을 하고 있다"고 말했다.
[마이경제 뉴스팀/소비자가 만드는 신문=임민희 기자]
저작권자 © 소비자가 만드는 신문 무단전재 및 재배포 금지
