구멍 뚫린 위기의 은행 및 제2금융권 보안망
보안 인력 부족, 비밀번호 미 변경 등 허술한 보안책
지난달 12일, 농협의 전산망이 마비가 되는 사태가 벌어졌다. 이 사태로 인해 서비스 정상화를 위한 복구 작업이 이뤄졌으나, 카드 결제 관련 원장 일부가 유실돼 서비스 복구가 지연됐었다.
조선일보에서 언급된 검찰의 말에 따르면 지난달 20일 농협 전산망 마비 사태와 관련해 외부 침입 가능성이 있다. 그 이유는 바로 검찰 조사 중 고도의 전문성을 갖춘 세력이 치밀하게 준비한 것으로 보이는 정황이 곳곳에서 발견됐기 때문이다.
이는 바로 허술한 전산 보안망으로 인해 발생한 사태이다. 또한, 현대캐피탈의 해킹에 의한 정보유출 사건이 발생하면서, 은행 및 제2금융권 보안망의 문제점이 부각되고 있어 국민들의 불안감은 커져가고 있다.
현재 경향닷컴 기사에 언급된 주요 은행의 올해 IT 보안 인력을 살펴보면 각 10명 내외의 인력을 보유하고 있었다. 금융권 IT 내부 인력에서는 더욱 보안이 철저해야 하는 저축은행 6곳이 총 53명의 내·외부 인력이 사용되는 등 보안 인력이 부족하다는 것을 알 수 있다.
부족한 것은 보안 인력뿐만이 아니다. 시중은행 16곳의 IT 예산 중 보안 예산 비중은 2008년 4.4%에서 지난해에는 3.4%로 줄었다. 증권·보험·캐피털 등 제2금융권은 이보다 낮다고 밝혀졌다. 이는 금융감독원의 권고 수준인 5%에는 훨씬 미치지 못하는 수준이다. 2008년에 높았던 이유는 저축은행 고객정보 유출 사고 때문이었다.
이에 대해 정수환 숭실대 정보통신전자공학부 교수는 “단발적인 투자확대만 믿고 잘 되겠지 하다가 사고가 나고 또 투자를 늘리는 악순환이 계속돼 왔다”면서 “국가나 기업차원에서 보안 인프라의 구축과 검증에 대한 체계화된 매뉴얼이 필요하다”고 허술한 보안망에 대해 보안책을 제시했다. 또한 금융감독원에서는 지난해 7월 ‘디도스공격’이 발생한 이후 최고보안책임자(CSO) 임명의 필요성을 언급한 바 있다.(「[위기의 금융 보안]보안망 하청구조 못깨면 ‘제2의 농협 사태’부른다」,『경향닷컴』, 2011.04.26.)
선진국의 금융 보안 실태는 어떨까? 실제 각국 금융당국은 전자금융거래 확산을 위해 세부적인 규제는 최대한 풀어주되 보안사고가 발생했을 때 해당 기관을 엄격하게 처벌하는 방식을 취하고 있었다.
예를 들면 영국 HSBC는 18만 명의 고객정보가 평문으로 저장된 CD를 일반우편으로 전송하는 도중 분실한 사고로 인해 영국 금융당국(FSA)으로부터 약 60억 원 규모의 벌금을 부과 받았었다. 이는 지난해 국내 모 카드사가 직원용 PC 1천 4백여 대를 교체하는 과정에서 폐기된 하드디스크드라이브(HDD)의 고객정보를 빌미로 금품을 요구했던 사건이 있었지만 해당 금융기관을 처벌하지 않은 것과 대비되는 것이다. 한편, 캐나다, 일본, 프랑스, 영국은 공인인증서를 사용하지 않고 최근 해킹기술이 발전하면서 전 세계적으로 ‘해킹방지프로그램’ 도입이 확산되고 있는 것으로 밝혀졌다.(「[금융 IT보안 이대로 좋은가](중) 보안시스템, 선진국 날고 한국은 기고」,『파이낸셜 뉴스』, 2011.04.26.)
동아닷컴에 따르면 농협 사태를 통해 은행들은 USB 사용 통제, 보안인력 확충 등 보안 강화에 나섰다. USB 메모리를 통한 노트북 접근이 농협 사태의 원인일 수 있다는 지적이 나와 하나은행은 모든 기기의 USB 메모리 삽입구를 막았다. 또한, 모든 주요 서버에는 ID와 비밀번호, 일회용 비밀번호 발생기 인증을 거쳐야만 하는 접근 방식을 선택했다.
뒤이어 우리은행과 신한은행 등이 금융감독원의 권고에 맞춰 IT 보안예산과 인력을 늘리는 방안을 검토하고 있는 것으로 밝혀졌다. 또한, 기업은행에서는 외부 기관을 통해 보안점검을 의뢰해 점검 결과를 실무에 반영할 계획을 세웠다.
한편, 지난달 금융권의 잇따른 보안 사고가 지나간 후, 정부가 정보화 예산 중 9%를 보안예산에 쓰도록 결정했으며, 정보보호 업무를 전담할 CSO 설치를 의무화하는 대책을 내세웠다. 또한, 정부는 저축은행 등 상대적으로 보안관리가 취약한 제2금융권의 핵심 시스템도 국가기반시설로 지정해 직접 관리체계를 강화하기로 했다.
이러한 대책들이 사태가 진정되고 나서도 허술해지지 않고, 이번 사태에서 드러난 보안 문제점을 되돌아보고 재정비하는 계기가 되길 바란다. 또한, 국민들의 생활과 직접적으로 연관돼 있는 만큼 보안에 더욱 치중하면 IT 강국이 된 것과 같이 금융권 보안 강국이 되지 않을까 생각해 본다.
김선주 기자
이메일로 받아보세요
지금 뉴스레터를 구독하세요.