현대캐피탈 해킹사건이 수습되기도 전에 농협 전산망까지 마비되는 어처구니없는 사건이 벌어졌다.
해킹사고가 발생하면 가장 먼저 어떻게 전산망이 뚫렸는지, 피해상황은 어느 정도인지 파악해야 하는데 해당 업체는 아직까지 기본적인 피해상황조차 파악하지 못하고 있다. 이들을 관리・감독해야 할 금융당국도 사건이 터진 뒤에서야 부랴부랴 사태파악에 나서 불신을 키웠다. 인터넷에서 이런 금융권을 믿고 돈을 맡길 수 있겠느냐는 불만의 목소리가 넘쳐나는 이유다.
불안하기는 금융권도 마찬가지다. 특히 제2금융권 가운데 업계 1위인 현대캐피탈의 전산망이 뚫린 것은 충격적이다. 현대캐피탈과 현대카드는 지난 2008년 10월 업계 처음으로 고객정보 보호 부문에 대한 국제표준인 ISO27001 인증을 획득했다고 발표했다. 하지만 안전하다고 자신했던 2중, 3중의 보안망은 이번 해킹공격에서 무용지물이었다. 왜 이런 일이 벌어진 것일까.
금융권, 예산 부족하면 보안투자부터 줄여…예고된 사고
금융권 안팎에서는 예고된 인재라는 시각이 강하다. 인터넷뱅킹에 모바일뱅킹까지 첨단 금융서비스가 확산되면서 해킹의 위험도 커졌지만 보안에 대한 금융권의 인식은 오히려 후퇴했다는 것이다.
 |
||
| 한국은행이 지난해 6월 발행한 5만원권 지폐. ©연합뉴스 | ||
대표적으로 금융권의 IT인력과 투자가 모두 감소했다. 한국은행 자료에 따르면 지난 2000년 은행 IT인력은 4100여명이었지만 2009년에는 6.3%가 줄어든 3876명이었다. 은행의 IT투자 규모도 2009년 1조2000억원에서 지난해 7700억원으로 40% 감소했다. 금융권이 예산이 부족해지면 IT 부문부터 예산을 삭감하고 아웃소싱을 단행한 결과라는 분석이다.
고려대 ‘시스템 및 네트워크 보안연구실’을 이끌고 있는 문종섭 정보보호대학원 교수는 “효율을 중요시하는 한국적 풍토가 위기를 자초했다”고 말했다. 기업에서 예산부족 문제가 생기면 보안 부문부터 줄인다는 것이다. 그는 “돈이 필요해지면 ‘뭐 지금까지 괜찮았는데 암에 걸리겠나’ 라며 당장 수익과 관계없는 보험부터 해약한다. 그러다 나중에 암에 걸린 다음 후회하는 것”이라며 “지금이 딱 이런 상황”이라고 밝혔다.
문 교수에 따르면 금융권에서 한해 발생하는 크고 작은 해킹사고만 1년에 20~30여 건에 이른다. 한 은행의 경우에는 돈이 인출되는 걸 눈뜨고 당한 경우도 있었다. 하지만 이런 금융사고가 발생해도 금융권에서 ‘쉬쉬’ 하기 때문에 외부로 알려지는 경우는 드물다.
1년에 해킹사고만 20~30여 건…관리자 '안전불감증'이 대형 정보유출사고 주범
문 교수는 “국내 금융권에 구축된 보안시스템은 대체로 미국계 회사들의 제품으로 대체로 안정성이 검증된 것들”이라며 “보안 규정만 준수하면 기술적인 부분에서 해킹이 일어날 가능성은 거의 없다”고 말했다. 그런데도 해킹사고가 발생하는 이유는 보안관리 체계가 허술하기 때문이다.
 |
||
| 현대캐피탈 개인정보 유출 사건을 수사중인 서울지방경찰청 이병하 수사과장이 12일 오후 서울 종로구 내자동 서울지방경찰청에서 수사 진행 상황을 발표하고 있다. ©연합뉴스 | ||
문 교수는 “시스템에 접근할 수 있는 권한을 여러 사람으로 분산해 놓는 것이 보안관리의 기본 원칙이지만 많은 기업들이 여러 사람을 거쳐 관리하는 게 번거롭다보니 효율성 차원에서 한 사람에게 맡기거나 관리권한을 비전문가에게 이양하는 경우가 많아 사고가 발생한다”고 말했다. 보안시스템이 완벽하다고 해도 관리자가 외부에서 내부 전산망에 접속할 수 있는 접속경로를 일부러 열어놓거나 실수로 차단해놓지 않는 경우에는 해커의 침입을 막을 수 없다는 것이다.
이럴 경우에는 초·중학생들도 인터넷에 널린 해킹 프로그램으로 얼마든지 전산망 접근이 가능해진다. 이를 '찔러 본다'고 하는데, 실제로 이런 피해 사례가 보고된 일도 있었다. 문 교수는 “수사가 진행돼봐야 알겠지만 이번 현대캐피탈의 경우도 기술적 측면보다는 관리적 측면이 사고 원인일 가능성이 높다”고 말했다.
문 교수는 "금융권의 보안의 중요성에 대한 낮은 인식, 보안관리 업체의 '보안 불감증' 등이 해킹사고를 일으키는 원인이 되고 있다. 징벌적 보상제도가 있는 미국에서 만약 이런 금융사고가 발생했다면 회사가 문을 닫을 수도 있는 일"이라며 국내 금융권의 보안체계 인식전환을 촉구했다. 미국에서는 인터넷으로 계좌 정보를 확인할 수는 있어도 송금은 은행창구에서만 하도록 제한해 놓고 있다. 하지만 한국은 이미 인터넷뱅킹에 모바일뱅킹 등 편리한 서비스에 익숙해져 있기 때문에 되돌리기 쉽지 않기 때문에 보안에 더 많은 투자를 해야 한다는 얘기다.
관련기사
일부에서는 대기업의 무리한 계열사 밀어주기가 현대캐피탈 금융정보 유출사태의 주요 원인이 됐다는 지적도 제기하고 있다.
현대캐피탈은 전산시스템 구축과 운영, 24시간 보안관제 등을 그룹 계열사인 현대오토에버에 맡기고 있다. 13일 한겨레 등에 따르면 이 회사는 본격적인 보안관리 업무를 시작한 것도 오래되지 않았고(2009년), 보안시스템 관리업무의 상당량을 또다른 보안회사에 재하청을 줘 관리하는 등 보안관리 능력이 취약한 것으로 알려졌다. 이 회사는 현대자동차그룹의 정몽구 회장과 정의선 부회장이 30%의 지분을 갖고 있는 비상장 계열사다.