아마도 요즘처럼 IT가 정치 사회적 화두가 된 적이 없을 것 같습니다. 물론 좋은 의미는 아닙니다.

 

투표를 독려한 유명 방송인을 검찰에 고발한 SNS(소셜네트워크서비스)의 과도한 해석, SNS를 심의하겠다는 정부의 과욕, 선관위 디도스 공격 사건의 전개과 경찰의 수사발표, 농협 전산마비 사태의 다양한 해석과 음모론(?) 등. 손으로 꼽자면 많습니다.

 

의심의 여지없이 IT는 과학이라고 믿어왔던 관점에서 본다면 최근 IT강국(?)에서 일어나고 있는 일들은 묘한 역설입니다.

 

어떤 물리적 현상도 논리적 증명이 가능하도록 하는 것이 과학입니다. 그렇지 못하면 과학의 범주에 포함되지 않습니다.


그러면 IT는 과학일까요?

 

그런데 최근 안타까운 점은 최근 일련의 'IT와 관련한 사건들'에 대해 정작 IT인들의 목소리마저 들리지 않는다는 것입니다.

 

◆그 잘난 IT전문가들은 다 어디갔을까 = 소위 IT전문가라며 뻔질나게 여러 매체에 기고하던 IT전문가들이 사라졌습니다.


‘이것은 정부가 틀렸다’ 혹은 ‘이것은 괴담이다’ 라고 소신있게 주장하는 모습을 찾아보기 어렵습니다.

 

또한 보안 전문가, IT전문가라고 하는 사람들은 페이스북과 같은 '제한된 공간'에서조차 제 목소리를 내지 않습니다.  

 

10.26 보궐선거 당시 선관위 디도스 공격과 관련해 언론에 비치는 IT인들이라고 해봐야 나우콤 대표를 지냈던 문용식씨 정도입니다. 그나마 문씨의 경우 민주당에 입당했으니 어쩌면 당연한 행보라고 볼 수 있습니다.  

 

IT인들이 침묵하는 사이 오히려 비 IT인들이 이를 '정치적 현안'으로 재해석하는 모습이 보여지고 있습니다. 그러나 이 과정에서 자칫 국민들의 오해와 불신이 증폭되지 않을까 우려됩니다.

 

보안 전문가들에 따르면, 디도스(DDos) 공격은 엄청나게 난해하고 복잡한 IT 사건이 아닙니다.


'선관위 홈피에서 어떻게 투표소 찾기 기능만 불통될 수 있는가'에 대한 야당의 주장을 명쾌하게 증명하는 것이 기술적으로 엄청나게 어려운 일은 아닐 것입니다.


어쨌든 이번 사건은 이제 경찰의 손을 떠나 검찰로 넘어갔습니다. 사실상 재수사가 시작됐습니다. 마침 검-경 수사권 갈등이 고조된 상황에서 돌발된 사건이기 때문에 수사결과에 국민들의 관심이 더욱 커져버린 듯합니다. 사안의 성격상 특검과 국정조사로 이어질 가능성도 높아 보입니다.

 

여담이지만 이 와중에 최근 한가지 재미있는 상황이 발생했습니다. 여당 중진 국회의원이 "안철수연구소 등 민간 IT기업도 이번 선관위 디도스 공격 조사에 참여시키자”고 언급했기 때문입니다. 

 

물론 선관위 디도스 사건 조사에 객관성과 신뢰를 부여하자는 의도로 보입니다.

 

그러나 곧바로 네티즌들로부터‘안철수연구소를 논쟁에 끌여들이려는 의도가 뭐냐’며 꼼수라는 의심을 샀습니다.

 

이 뉴스가 크게 부각되지는 않았지만 안연구소 측은 아마도 크게 당황했을 겁니다. 결과에 따라 정치적으로 매우 민감한 이슈에 안연구소의 입장이 난처해질 수 있고, 또한 안철수 교수의 행보에도 영향을 미칠 수 있기 때문입니다.

 

◆"침묵이 아니라 냉소다" = 한편 지난 4월, 사상 초유의 농협 전산마비 사고가 터졌습니다. 농협 이용 고객들은 당시 엄청난 불편을 겪었습니다.

 

심지어 일부 계좌에선 거래 데이터가 망실되는 사고가 발생해 일일이 가맹점 데이터를 찾아서 복구시키는 초유의 상황이 발생했습니다.

 

얼마후 검찰은 수사끝에 그것이 '북한의 의도된 해킹'에 의한 전산사고라고 발표하고 종결시켰습니다.

 

당시 검찰의 발표를 놓고 국내 금융권 IT실무자들 사이에서는 논쟁이 적지않았지만 결국 잠잠해졌습니다. 문제라면 이 사고에 대한 과학적, 기술적인 증명 과정이 충분하지 않았다는 것입니다.

그런데 최근 농협에선 또 다시 이틀간 유사한 전산 사고가 발생했습니다.

 

다행히 새벽 시간에 사고가 발생했기 때문에 일반인들의 불편은 크지 않았습니다. 통상 은행들은 정규 업무 시간이 종료된 이후, 새벽시간을 이용해 개발업무에 대한 테스트와 이행 과정을 병행하는 경우가 많습니다. 이 과정에서 간혹 장애가 발생하기도 합니다.

 

그런데 이번에도 여지없이 인터넷에서 '음모론'이 떠돌기 시작했습니다. '정권에 불리한 금융거래 내역을 전산사고로 위장해 삭제했을 것'이란 게 음모론의 내용입니다.

 

마침 농협은 최원병 회장이 최근 재선에 성공했습니다. 특히 최 회장이 대통령과 고교 동창이란 점 때문에 정권출범 초기부터 언론의 주목을 많이 받았습니다. 어쩌면 이런 개인적인 인연때문에 음모론은 더욱 극적인 효과를 더하는 듯 합니다.

 

그러나 결론적으로, 이는 말 그대로 '음모'에 불과한 듯 보입니다.  

 

시중 은행 IT부서에서 오랫동안 근무했던 한 IT업체의 임원은 이같은 음모론에 대해 "영화를 너무 많은 본 것 같다"고 일축했습니다. 참고로, 이 임원은 현 정부에 상당히 비판적인 시각을 가진 사람입니다.

 

“물론 작심하고 은행 IT실무자들이 특정 계좌의 거래내역을 지우거나 하는 것이 물리적으로 불가능하지 않겠지만 그것을 실행에 옮기는 것은 확률적으로 그냥 0%로 봐도 된다”는 게 그의 설명입니다.


충분히 공감할 수 있는 내용입니다. 어차피 은행의 데이터를 삭제하는 과정에서 '수많은 흔적'을 또 다시 남길 수 밖에 없기 때문이죠.

 

다시 처음으로 돌아와서, IT전문가들이 IT사건에 대해 필요이상으로 침묵하는 것은 답답한 노릇입니다.


그것이 정권에 유리한 것인지, 불리한 것인지를 떠나 과학의 범주에 속하는 얘기이기 때문입니다. 

 

그래서 이렇게 질문을 던져 보았습니다.

 

'IT인들이 현안에 대해 입다물고 있으니까 불필요한 사회적 비용이 발생한다고 생각하지 않는가. 왜 침묵하는가?'

 

IT업계의 관계자의 답변은 간단 명료합니다.


"(소통하지 않으려했던 현 정권의) 자업자득 아닙니까."  
 
그러고 보니 '미네르바'부터 시작해 되짚어 볼 일들이 참 많습니다. 시간을 되돌 수 있다면 말이죠.


 

2011/12/12 16:16 2011/12/12 16:16

세상을 떠들썩하게 했던 농협 전산마비 사태가 이제 한 고비를 넘고 있습니다.

 

농협은 18일에 이어 19일 오전에도 기자 브리핑을 가졌습니다. 농협의 대고객 금융서비스는 이제 대부분 정상화됐고, 이제'범인 색출'과 '범행 동기'에 대한 검찰 수사 결과를 남겨놓고 있습니다.

 

지난 14일에 가졌던 기자브리핑은 최원병 회장이 직접 90도로 허리를 숙인 대국민 사과의 성격이었지만 18, 19일 이틀간 진행된 브리핑은 사건의 경과 보고및 보상 방침에 초점이 맞춰졌습니다.

 

그리고 농협은 18일 브리핑에서 몇가지 '새로운 사실'을 공개했습니다. 파일 삭제명령을 통한 시스템 파괴가 농협의 전 서버를 대상으로 진행됐었다는 점, 그리고 사전에 치밀하게 계획된 '고도의 사이버테러'라고 규정했다는 점입니다.

 

다만 앞서 지난 14일 발표때에는 IBM 노트북에서 명령을 내릴 수 있는 연계 서버가 320대라고 했었는데 이번에 내용이 '전체 서버'로 수정됐고, 또한 직원의 단순 실수 또는 고의적 범죄 행위로 보던 이번 사태의 원인이 치밀한 기획에 의한 '고도의 사이버테러'로 초점이 약간 바뀌었습니다.  


마침 어제(18일)브리핑 과정에서 농협측 전산 실무자가 '사이버테러'라고 자극적인 표현을 한 때문인지 일부 언론들은 '테러의 배후' 가능성을 찾기 시작했습니다. 

 

배후 세력?  어쩐지 배가 조금씩 산으로 갈듯한 느낌입니다.

 

물론 19일 브리핑에서 농협은 "외부 해킹가능성은 없다. 농협 내부에서 일어난 일"이라고 일부에서 제기되고 있는 억측을 다소 제어하는 모습입니다.

 

이런 가운데 이번 농협 전산마비 사태를 바라보는 금융권의 시각은 어떨까요? 의외로 냉담합니다.

 

물론 은행권은 최근 농협 전산마비 사고 이후 협력사들의 관리실태를 재점검하는 등 유사 사고 발생 가능성을 체크하는 등 부산을 떨고 있습니다만 언론을 통해 제기되는 일부 내용에 대해서는 "만화같은 얘기"라며 실소를 보내기도 합니다.    

 

실제로 이번 사고와 관련해 나타난 몇가지 쟁점에 대해 은행권 일각에서는 전혀 다른 해석을 내놓고 있어 주목됩니다. 몇가지를 볼까요.

 

◆ '고도의 사이버테러' vs '농협 내부통제 실패의 문제'  

 

검찰 수사를 지켜봐야 한다는 전제를 깔고 있지만, 농협은 이번 사고를 최고 접근권한을 가진 내부자 혹은 한국IBM 직원이 외부세력과 공모했을 가능성이 있다고 보고 있습니다.


파일 삭제 명령어인 'rm'을 작성했고 커널, 시스템 내부의 이중, 삼중의 접근경로를 뚫었기때문에 치밀하게 사전에 기획된 것이라고 했습니다. 접근 권한을 가진 내부 직원의 연루가능성에 대해 농협측은 "접근 권한이 아니라 기술의 문제"라고 혀를 내둘렀습니다.

 

그러나 이에 금융권 일각에서는 엄격해야 할 계정관리의 소홀, 외부(협력사)직원의 작업시 농협 직원이 입회하는 등 기본적인 규정이 제대로 지켜졌는지를 체크해야한다는 지적이 나오고 있습니다. "농협이 전산시스템 운영과정에서 총체적인 내부통제 실패가 있었는지 그것부터 먼저 규명돼야 한다"고 지적하고 있습니다.

 

'rm'명령어를 비롯한 파일 삭제 명령어 조합이 마치 고도의 테크닉이 필요한 것처럼 보도되지만  이러한 운영 명령어는 유닉스 서버 관리자라면 쉽게 입력할 수 있다는 게 은행 관계자들의 지적입니다.

 

이 때문에 일각에선 처음부터 이번 사고가 고객정보유출, 금품요구 협박 등 범행의 동기가 없었다는 점에서 과도한 업무 스트레스가 빚어낸 우발적 '사이코패스'형 범죄의 가능성을 더 높게 보고 있습니다.

 

◆여전히 제기되는 외부 해킹가능성…"만화같은 얘기"


수사 당국은 해킹 가능성도 여전히 열어 놓고 있습니다. 노트북에 심어져있던 일종의 시스템 파괴 바이러스 프로그램이 작동했거나 이를 외부에서 원격으로 작동했을 경우가 바로 그것인데요, 최근에는 스마트폰으로 이를 작동시켰을 가능성이 있다는 보도도 있었습니다.

 

그러나 은행권은 이 가능성을 가장 낮게 보고 있습니다. "은행 시스템을 제대로 모르고 하는 소리다. 말도 안된다"는 반응이 많습니다. 물론 이 부분에 대해서는 농협측도 19일 "외부 해킹은 아니다"고 선을 그었습니다.

 

전직 시중 은행출신 관계자는 "최고 접근권한이 필요한 계정에 침투해 시스템 파일 삭제 명령을 원격으로 작동시키는 것이 논리적으로 가능할 수는 있지만 현실적으로 만화같은 얘기에 가깝다"고 말했습니다.

 

◆"범인 못잡는 것도 이해안돼…"

 

범인 검거가 늦어지면서 엉뚱한 방향으로 초점이 옮겨지기도 합니다. 일각에서 제기한 농협 '내부 갈등설'이 대표적입니다. 지난 2006년 차세대시스템 프로젝트 이후 일부 직원들이 한직으로 쫓겨나는 등 내부 갈등이 이번 사고의 배경이 됐다는 추론입니다.


농협 내부의 인사정책에 원한을 품은 자의 소행이란 뜻일까요? 물론 농협 조직이 원체 인사 적체가 심하긴 해도 이는 지나친 억측같습니다.   

 

한편 "어차피 용의선상에 놓인 사람은 제한적일 수 밖에 없는데 아직까지 범인을 잡지 못하고 있다는 게 오히려 이해가 안된다"는 반응도 적지 않습니다.

 

노트북을 통해 삭제명령이 내려졌다면 한국IBM 직원 또는 내부 제3의 누군가가 자판의 엔터키를 반드시 눌렀어야 하는데  당일 IBM 노트북에 접근한 사람, 자판에 묻은 지문을 조사하거나 접근 권한이 있는 사람만 잡으면 된다는 얘기입니다. 물론 USB를 통한다면 자판을 누르지 않고도 명령을 실행할 수 있지만 현재 USB가 사용됐는지 여부는 수사 중입니다.  


농협 양재동센터 뿐만 아니라 은행의 전산센터는 매우 엄격한 출입관리가 이뤄지고 있어 퇴직자 등 제3자가 전산센터내로 들어가는 것은 불가능합니다.

 

◆"농협 사이버테러의 희생양" vs '금융산업 신뢰 추락 책임져야'

 

물론 농협 스스로는 자신을 사이버테러의 희생양이라고 표현한 적이 없습니다.


다만 농협이 어느 누구도 통제할 수 없는 불가항력적인 고도의 사어버테러를 당했다면, 어쩌면 마치 그것이 이번 사고의 본질이 된다면 농협 고객들은 어느 정도 이번 전산마비 사태에 대해 '정상 참작'을 해줄 수 있을지도 모릅니다.

 

실제로 일반인들은 충격에서 벗어나 마치 SF영화를 보는 것처럼, 농협 전산 사태에 따른 범인 검거과정을 흥미롭게 지켜보고 있습니다.

 

그러나  이번 사고는 여러 정황상 농협이 내부통제의 소홀에 의한 발생한 사건일 가능성이 여전히 높은 것이 사실입니다.


따라서 이번 사건으로 농협은 우리 나라 금융산업의 신뢰를 추락시킨데 대한 엄중한 책임을 져야 한다는 목소리도 만만치 않습니다.

 

만약 외주 협력사의 유지보수 인력관리의 문제점, 또는 내부 직원들의 기강해이 등 총체적인 내부 통제의 실패로 드러난다면 농협 뿐만 아니라 우리 나라 금융권은 '신뢰 회복'이라는 당면과제를 위해 고통스런 혁신의 과정을 밟아야 합니다.


"이번 사태가 어떻게 마무리되든 간에 최원병 회장 등 농협 최고 경영진이 조직관리의 실패에 책임을 지고 도의상 퇴진해야 한다"는 일각의 지적이 다소 성급하긴 하지만 그래도 일리가 있는 이유입니다.


[박기록 기자의 블로그= IT와 人間]


2011/04/19 15:30 2011/04/19 15:30
 

현대캐피탈에 질타가 쏟아지고 있습니다.

 

해킹 사고이후 이 회사의 허술한 보안체계(?)가 연일 여론의 도마에 오르고 있습니다.

 

어젯밤 TV를 보던 와이프까지 “어라, 나 현대카드 쓰고 있는데, 현대캐피탈과는 상관없어? 비밀번호 바꿀까? ”라고 묻습니다.

 

그래서 이렇게 대답했습니다. "알아서 하쇼”


국내 카드및 할부(캐피탈)시장에서 전설을 넘어 신화로 까지 욱일승천하던 정태영 사장의 입지도 이번 일로 흔들리고 있습니다.

 

그런데 정말 현대캐피탈은 보안 체계가 허술한 허접한 회사일까요?
 
다음 기사를 읽어보십시오.

 

“현대카드와 현대캐피탈이 할부금융 및 신용카드업계 최초로 고객정보 보호부문에 대한 ISO 27001 인증을 획득했다.  ISO 27001은 국제표준화기구인 ISO가 제정한 정보보호관리시스템에 대한 국제 표준이다.

위험관리, 정보보안 정책 등 11개 분야 133개 항목을 검증해 인증을 부여하며, 1개 항목이라도 중부적합 평가를 받으면 인증을 받을 수 없다.

 

3개월에 걸쳐 이뤄지는 정보 이용 현황 분석, 주요 정보 자산에 관한 위협 및 취약성 분석, 위험 조치 등에 대한 검증과정은 까다롭기로 유명하다.

 

현대캐피탈과 현대카드는 정보보호 관리체계 구축, 고객정보에 대한 정보보호 현황점검 및 위험관리, 임직원을 대상으로 한 정보보호 교육 프로그램 정례화 등 고객정보보호 전 분야에서 우수한 평가를 받아 인증을 받게 됐다.” - 이하 생략 -

 

이 내용은 2008년 10월에 현대카드/현대캐피탈이 국내 언론에 뿌린 보도자료입니다. 그리고 많은 매체들이 이를 그대로 보도했습니다.

 

그러나 역설적으로, 이 기사는 세계 최고 권위의 'ISO 27001' 인증 획득도 해킹의 위험으로부터 개인정보, 금융정보를 안전하게 지켜주지는 못함을 증명하고 있습니다.

 

보안이란게 이렇듯 허망한 것입니다. 객관적으로, 이미 현대캐피탈은 국내 최고 수준의 보안체계를 갖춘 훌륭한(?) 회사였습니다.

 

그렇다면 그나마도 아직 ISO 27001 인증을 획득하지 못하고 있는 대다수의 금융회사들의 보안수준은 어떻게 판단해야 할까요.

 

◆현대캐피탈 해킹 사고의 진짜 원인은?....'보안에 대한 무관심'

 

금융감독원이 11일부터 이번 사고에 대해 특별 조사에 착수했고, 경찰에서도 범인들을 추적하고 있으니 조만간‘사건의 재구성’을 통한 전말이 드러나게 될 것입니다.

 

일각에선 'DB암호화의 부실이다', '웹서버의 관리가 취약했기 때문이다' 등 다양한 원인을 경쟁적으로 쏟아내고 있습니다.

 

그러나 현재까지 이번 해킹 사고의 정확한 원인은 밝혀지지 않고 있습니다. 다만 금융회사 보안 담당자들이 이번 사고와 관련해 거의 공통적으로 지적하는 것이 있습니다.


“어떻게 (해커들이)전산시스템에 침입할 수 있었는지, 그리고 (현대캐피탈은) 왜 그 사실을 2개월이 넘도록 몰랐을까.”


혹자는 회사 내부 공모자의 존재 가능성도 조심스럽게 제기하고 있습니다.

 

DB암호화 부실은 이미 전산시스템이 뚫린 이후의 2차적인 문제입니다. DB암호화는 시스템의 속도를 저하시키는 문제를 유발할 수 있어 금융권 내부적으로 오래전부터 논란이 제기돼왔습니다.

 

금융권의 보안담당자들은 그보다는 침입탐지시스템(IDS), 침입방지시스템(IPS)이 왜 제대로 작동되지 못했는지, 24시간 가동되는 보안관제시스템은 왜 경고 시그널을 주지 못했는지, 또한 비상상황에서 신속한 보고체계가 제대로 작동했는지 등 보다 다양한 각도에서 이번 사고의 문제점을 파악하려 노력하고 있습니다.

 

사실 금융시스템 보안체계에 대해 문제점을 지적하려면 점검해야할 상황이 한 두가지가 아닙니다. 금융회사의 보안체계는 다양한 첨단 보안시스템들의 조합입니다. 이중 어느 한가지가 소홀하다고해서 단번에 금융회사가 위기에 빠지지는 않습니다.

 

어쩌면 이번 사고는 국내 금융 IT 전반에 걸쳐있었던 보안에 대한 무관심이 불러온 재앙이라고 할 수 있습니다.

 

비록 금융회사가 세계 최고 권위의 ISO 27001 인증을 획득했다고 하더라도 보안체계에 대한 지속적인 관심과 노력이 병행되지 않는다면 이번과 같은 대형 사고는 금융권에서 언제든지 일어날 수 있습니다. 현대캐피탈을 무작정 비난할 수 없는 이유입니다.  


침입탐지시스템(IDS). 침입방지시스템(IPS), 방화벽 등 각종 보안시스템에 대한 점검및 업데이트, 보안실무자에 대한 교육 프로그램 운영, 금융ISAC과 연계한 침해사고 대응체계 구축 등 실제로 금융회사가 직면하고 있는 까다로운 보안과제들이 적지않습니다.

 

◆현대캐피탈을 어떻게 생각하는가?... 금융권 보안담당자들“솔직히 모르겠다”

 

어쨌거나 이번 현대캐피탈 해킹 사고 이후로 은행, 증권, 보험, 카드 등 업종을 불문하고 금융권은 비상이 걸렸습니다.

 

현대캐피탈의 사례를 시뮬레이션해 취약점 분석을 해보고, 혹여라도 문제가 있을 수 있는 부문에 대해서는 보완조치를 취하고 있습니다.

 

보안사고에 대한 두려움은 현대캐피탈보다 규모가 크거나 또는 작은 회사이거나 차이가 없습니다. 한 해 1000억원의 넘는 IT예산을 쏟아붇고 있는 은행권도 예외가 아닙니다.ISO 27001을 획득, 국내 최고 수준의 보안을 유지하고 있는 은행들은 오히려 보안 위협에 대한 두려움이 더 커보입니다.

 

기자는 은행, 보험, 증권 등 금융회사의 여러 보안 담당자들에게 '현대캐피탈의 허술한 보안체계에 대해 어떻게 생각하느냐'는 질문을 해 보았습니다. 이런 질문에는 십중팔구 '우리 회사는 현대캐피탈 보다는 훨씬 더 철저하게 대응하고 있다'는 답변이 나오기 마련입니다.  


그런데 의외의 답변이 많았습니다.


"현대캐피탈에 대해 뭐라고 할 수 있는 입장은 아니다. 보안은 스스로 완벽하다고 자신할 수 있는 부분이 결코 아니다. (이번 사고를 계기로)오히려 더 철저하게 돌아보게 됐다."


우문현답입니다.


지금까지 국내에서 일어난 보안사고에 대응은 항상 '사후약방문'이었습니다. DDoS가 그렇고, 이번 해킹 사고가 그렇습니다. 금융감독 당국은 이번 현대캐피탈 사고를 계기로 금융권에 강도높은 보안기준을 새롭게 적용할 것으로 예상됩니다.  


그럼에도 불구하고 현재 가장 우려되는 것은 금융권이'사후약방문'조차도 제대로 이행하지 않는 경우입니다.


사태가 잠잠해지면 언제 그랬느냐는 듯이 보안관련 IT투자를 또 다시 뒤로 미룰 가능성이 매우 높기 때문입니다.

 


2011/04/12 17:53 2011/04/12 17:53