“크래킹 난무하는 시대에 보안담당자도 없이 금융사업하다니”

“요즘과 같이 인터넷상에서 크래킹(해킹기술을 악의적으로 사용하는 행위)이 무차별적으로 이루어지고 악성코드가 범람하는 시대에 보안전담부서나 전담자도 없고 예산도 없이 금융사업을 하다니...무방비로 고객의 소중한 돈과 고객정보를 방치한 것과 같다.”

국내 저축은행은 110여 개에 이르고 있다. 저축은행은 일반은행에 비해 대부분 중·소규모로 운영되고 있으며 IT운영 능력이나 도입과 구축능력이 떨어지기 때문에 그 중 70여 곳이 저축은행중앙회에 IT운영 위탁을 주고 있다. 또 이중 25개 사는 금융보안연구원 회원사로 가입해 보안에 대한 기술적 지원을 받고 있다고 한다.

이번 수사를 담당한 경찰청 관계자는 “이번 제2금융권 저축은행 해킹사건은 인터넷망과 내부망이 정확하게 분리되지 않아 발생한 문제”라며 “인터넷망과 내부 정보가 들었는 내부망은 명확하게 구분하는 것이 침해가 발생해도 정보유출을 막을 수 있는 방법”이라고 조언했다.

한편 보안기관 관계자는 “몇몇 규모가 큰 저축은행을 제외하고 대부분 저축은행이 IT운영능력이 없기 때문에 저축은행중앙회에 업무를 위탁하고 있다. 따라서 보안담당자도 없을 뿐만 아니라 보안 예산도 거의 없다고 봐야 한다”며 “보안담당자가 있었다면 이 정도로 심각한 사건은 발생하지 않았을 것”이라고 말했다.

한편 이번 저축은행 크래킹 사건은 만약 미국인 J씨가 모 저축은행에 돈을 요구하는 협박전화만 하지 않았어도 아무도 모른채 그냥 넘어갈 뻔한 사건이었다. 공모를 한 한국인에게 해킹 댓가로 돈을 받지 못한 미국인 J씨가 모 저축은행 업무 정보를 암호화하고 이를 풀어주는 댓가로 돈을 요구하면서 경찰 수사가 시작됐고 일당들이 검거된 것이다. 그렇지 않았다면 이들은 계속 다른 저축은행들에 대해서도 공격을 했을 것으로 전문가들은 보고 있다.

이처럼 허술한 보안체계는 저축은행의 보안의지 부족이 가장 큰 원인이라고 전문가들은 말하고 있다.

모 정보보호 기관 관계자는 “이번에 크래킹 당한 7개 저축은행은 해커가 1년동안 들락 거렸음에도 불구하고 전혀 그 사실을 몰랐다는 것”이라며 “이는 심각한 문제다. 중요한 고객정보를 관리하고 있으면서도 전담 보안담당자를 두지 않았다는 것은 해킹에 무방비로 노출될 수밖에 없다”고 지적했다.

대형 사이트 보안담당자는 “제2금융권이 일반은행에 비해 전담보안인력도 없고 보안예산도 거의 없다는 것을 예전부터 알고 있었다”며 “이번에 사고가 터진 것을 보니 보안인력과 보안예산이 얼만 중요한 것인가를 깨닫게 됐다”고 말했다.

또 다른 보안담당자는 “요즘같이 인터넷상에서 크래킹 시도가 난무하는 시대에 보안담당자도 없이 금융사업을 하고 고객정보를 관리한다는 것은 크래킹에 무방비로 사업을 하는 것과 같다”며 “사업자의 정보보호 마인드가 거의 없어서 발생한 사건”이라고 꼬집었다.

보안전문가 A씨는 “기업 경영진들이 오해하는 부분 중에 하나가 바로 사고가 안 터지면 보안담당자들이 놀고 있다고 생각하는 것”이라며 “사고가 안나는 것은 보안담당자가 놀고 있어서 그런 것이 아니라 엄청나게 노력을 하고 있기 때문에 아무런 문제가 터지지 않는 것”이라고 강조했다.

금감원이 제2금융권 보안실태조사를 한 이후 7월말께 정보보호 대책방안을 내놓는다니 늦게나마 다행스런 일이다.

보안전문가들은 “대책이 발표되기 전이라도 제2금융권은 보안전담부서 혹은 보안 전담자를 두고 홈페이지 관리와 기타 보안정책을 세워야 한다”며 “이번 사건으로 저축은행은 심각한 후유증을 앓게 될 수도 있다. 보안이 기업생존과 직결된다는 것을 기업들이 자각해야 한다”고 강조했다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>