현대캐피탈에 질타가 쏟아지고 있습니다.

 

해킹 사고이후 이 회사의 허술한 보안체계(?)가 연일 여론의 도마에 오르고 있습니다.

 

어젯밤 TV를 보던 와이프까지 “어라, 나 현대카드 쓰고 있는데, 현대캐피탈과는 상관없어? 비밀번호 바꿀까? ”라고 묻습니다.

 

그래서 이렇게 대답했습니다. "알아서 하쇼”


국내 카드및 할부(캐피탈)시장에서 전설을 넘어 신화로 까지 욱일승천하던 정태영 사장의 입지도 이번 일로 흔들리고 있습니다.

 

그런데 정말 현대캐피탈은 보안 체계가 허술한 허접한 회사일까요?
 
다음 기사를 읽어보십시오.

 

“현대카드와 현대캐피탈이 할부금융 및 신용카드업계 최초로 고객정보 보호부문에 대한 ISO 27001 인증을 획득했다.  ISO 27001은 국제표준화기구인 ISO가 제정한 정보보호관리시스템에 대한 국제 표준이다.

위험관리, 정보보안 정책 등 11개 분야 133개 항목을 검증해 인증을 부여하며, 1개 항목이라도 중부적합 평가를 받으면 인증을 받을 수 없다.

 

3개월에 걸쳐 이뤄지는 정보 이용 현황 분석, 주요 정보 자산에 관한 위협 및 취약성 분석, 위험 조치 등에 대한 검증과정은 까다롭기로 유명하다.

 

현대캐피탈과 현대카드는 정보보호 관리체계 구축, 고객정보에 대한 정보보호 현황점검 및 위험관리, 임직원을 대상으로 한 정보보호 교육 프로그램 정례화 등 고객정보보호 전 분야에서 우수한 평가를 받아 인증을 받게 됐다.” - 이하 생략 -

 

이 내용은 2008년 10월에 현대카드/현대캐피탈이 국내 언론에 뿌린 보도자료입니다. 그리고 많은 매체들이 이를 그대로 보도했습니다.

 

그러나 역설적으로, 이 기사는 세계 최고 권위의 'ISO 27001' 인증 획득도 해킹의 위험으로부터 개인정보, 금융정보를 안전하게 지켜주지는 못함을 증명하고 있습니다.

 

보안이란게 이렇듯 허망한 것입니다. 객관적으로, 이미 현대캐피탈은 국내 최고 수준의 보안체계를 갖춘 훌륭한(?) 회사였습니다.

 

그렇다면 그나마도 아직 ISO 27001 인증을 획득하지 못하고 있는 대다수의 금융회사들의 보안수준은 어떻게 판단해야 할까요.

 

◆현대캐피탈 해킹 사고의 진짜 원인은?....'보안에 대한 무관심'

 

금융감독원이 11일부터 이번 사고에 대해 특별 조사에 착수했고, 경찰에서도 범인들을 추적하고 있으니 조만간‘사건의 재구성’을 통한 전말이 드러나게 될 것입니다.

 

일각에선 'DB암호화의 부실이다', '웹서버의 관리가 취약했기 때문이다' 등 다양한 원인을 경쟁적으로 쏟아내고 있습니다.

 

그러나 현재까지 이번 해킹 사고의 정확한 원인은 밝혀지지 않고 있습니다. 다만 금융회사 보안 담당자들이 이번 사고와 관련해 거의 공통적으로 지적하는 것이 있습니다.


“어떻게 (해커들이)전산시스템에 침입할 수 있었는지, 그리고 (현대캐피탈은) 왜 그 사실을 2개월이 넘도록 몰랐을까.”


혹자는 회사 내부 공모자의 존재 가능성도 조심스럽게 제기하고 있습니다.

 

DB암호화 부실은 이미 전산시스템이 뚫린 이후의 2차적인 문제입니다. DB암호화는 시스템의 속도를 저하시키는 문제를 유발할 수 있어 금융권 내부적으로 오래전부터 논란이 제기돼왔습니다.

 

금융권의 보안담당자들은 그보다는 침입탐지시스템(IDS), 침입방지시스템(IPS)이 왜 제대로 작동되지 못했는지, 24시간 가동되는 보안관제시스템은 왜 경고 시그널을 주지 못했는지, 또한 비상상황에서 신속한 보고체계가 제대로 작동했는지 등 보다 다양한 각도에서 이번 사고의 문제점을 파악하려 노력하고 있습니다.

 

사실 금융시스템 보안체계에 대해 문제점을 지적하려면 점검해야할 상황이 한 두가지가 아닙니다. 금융회사의 보안체계는 다양한 첨단 보안시스템들의 조합입니다. 이중 어느 한가지가 소홀하다고해서 단번에 금융회사가 위기에 빠지지는 않습니다.

 

어쩌면 이번 사고는 국내 금융 IT 전반에 걸쳐있었던 보안에 대한 무관심이 불러온 재앙이라고 할 수 있습니다.

 

비록 금융회사가 세계 최고 권위의 ISO 27001 인증을 획득했다고 하더라도 보안체계에 대한 지속적인 관심과 노력이 병행되지 않는다면 이번과 같은 대형 사고는 금융권에서 언제든지 일어날 수 있습니다. 현대캐피탈을 무작정 비난할 수 없는 이유입니다.  


침입탐지시스템(IDS). 침입방지시스템(IPS), 방화벽 등 각종 보안시스템에 대한 점검및 업데이트, 보안실무자에 대한 교육 프로그램 운영, 금융ISAC과 연계한 침해사고 대응체계 구축 등 실제로 금융회사가 직면하고 있는 까다로운 보안과제들이 적지않습니다.

 

◆현대캐피탈을 어떻게 생각하는가?... 금융권 보안담당자들“솔직히 모르겠다”

 

어쨌거나 이번 현대캐피탈 해킹 사고 이후로 은행, 증권, 보험, 카드 등 업종을 불문하고 금융권은 비상이 걸렸습니다.

 

현대캐피탈의 사례를 시뮬레이션해 취약점 분석을 해보고, 혹여라도 문제가 있을 수 있는 부문에 대해서는 보완조치를 취하고 있습니다.

 

보안사고에 대한 두려움은 현대캐피탈보다 규모가 크거나 또는 작은 회사이거나 차이가 없습니다. 한 해 1000억원의 넘는 IT예산을 쏟아붇고 있는 은행권도 예외가 아닙니다.ISO 27001을 획득, 국내 최고 수준의 보안을 유지하고 있는 은행들은 오히려 보안 위협에 대한 두려움이 더 커보입니다.

 

기자는 은행, 보험, 증권 등 금융회사의 여러 보안 담당자들에게 '현대캐피탈의 허술한 보안체계에 대해 어떻게 생각하느냐'는 질문을 해 보았습니다. 이런 질문에는 십중팔구 '우리 회사는 현대캐피탈 보다는 훨씬 더 철저하게 대응하고 있다'는 답변이 나오기 마련입니다.  


그런데 의외의 답변이 많았습니다.


"현대캐피탈에 대해 뭐라고 할 수 있는 입장은 아니다. 보안은 스스로 완벽하다고 자신할 수 있는 부분이 결코 아니다. (이번 사고를 계기로)오히려 더 철저하게 돌아보게 됐다."


우문현답입니다.


지금까지 국내에서 일어난 보안사고에 대응은 항상 '사후약방문'이었습니다. DDoS가 그렇고, 이번 해킹 사고가 그렇습니다. 금융감독 당국은 이번 현대캐피탈 사고를 계기로 금융권에 강도높은 보안기준을 새롭게 적용할 것으로 예상됩니다.  


그럼에도 불구하고 현재 가장 우려되는 것은 금융권이'사후약방문'조차도 제대로 이행하지 않는 경우입니다.


사태가 잠잠해지면 언제 그랬느냐는 듯이 보안관련 IT투자를 또 다시 뒤로 미룰 가능성이 매우 높기 때문입니다.

 


2011/04/12 17:53 2011/04/12 17:53

트랙백 주소 :: 이 글에는 트랙백을 보낼 수 없습니다