• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[정보보안 08~09 리뷰&전망] 금융감독원 김인석 부국장 2008.12.17

“선제적 대응 통한 금융사고 방지 부족했다”


매년 시작하면서 올해는 방송이나 언론사에서 인터뷰 요청이 없었으면 하는 바람이지만 수년 동안 그랬듯이 올해도 어김없이 인터뷰 요청이 쇄도했다. 올해는 2001. 1.25일 인터넷 마비사고 이후 정보보호에 관해서는 가장 험난한 한해라고 생각된다.


옥션, 상호저축은행, GS칼텍스 등 정신없이 개인정보 유출사고가 이어진 한해이다. 烏飛梨落 일지는 몰라도 보이스 피싱도 동시에 크게 증가하였다.


또한 예외 없이 입력정보를 해킹하여 인터넷뱅킹으로 예금을 이체해가는 사고도 발생하였다. 그리도 뜸하던 신용카드 복제사고도 크게 증가하였으며, 특히 특정 금융회사에 대하여 분산서비스공격(DDoS)이나 데이터베이스(DB)를 무력화시킨 후 돈을 요구하는 범죄도 발생하는 등 매우 다양한 유형의 사고가 발생된 한해였다.


이러한 사고를 분석하면서 느낀 것이 있다면 역시 남의 돈을 먹기 위해서는 머리가 좋아야 한다는 것이다. 계좌에 돈이 없으면 현금서비스 등을 통해 만들어서라도 빼가고, 건별로 힘들게 하기보다는 한번에 거액을 벌기 위해 협박하는 수법을 개발? 한 것이라든지 대단한 머리들이라고 생각한다.


이러한 사고에 대응하여 금융회사를 비롯한 보안업체들도 바쁘게 한해를 보냈다고 본다. 금융감독원을 비롯한 정책 당국은 전체 금융회사에 대한 정보보호실태를 점검하여 유사한 사고가 발생되지 않도록 하는 한편, 실제 정보가 유출된 상호저축은행에 대하여는 특별 컨설팅을 실시하여 문제점을 보완하였으며,


각 금융회사들은 입력정보를 방어하기 위해 키보드에서 금융회사까지 단대단 암호(E2E)를 모든 전자금융거래에 적용하고 일회용비밀번호발생기(OTP), 암호토큰(HSM) 등의 공급을 확대하는 등 다양한 방법으로 대응을 하였다.


경찰청 사이버수사대를 비롯한 각 경찰서 사이버수사팀들도 전자금융사고에 대하여 신속한 수사를 통하여 피해를 최소화하고 재발을 방지하기 위해 다양한 방안들을 연구하였으며, 보안업체들도 DDoS 장비의 개발, 해킹방어프로그램의 개발 등 새로운 기술개발을 통하여 해킹과의 일전을 하였다.


하지만 조금 아쉬운 것이 있다면 선제적인 대응을 통하여 사고를 방지하는 것이 부족하지 않았나 생각한다.


물론 보안에서 가장 힘든 것이 잘 방어하여 보안사고가 발생되지 않으면 쓸데없이 예산만 낭비하였고, 보안업체나 담당자들이 자기 자신을 위해 일부러 사고 위험을 과장하였다는 비난을 듣는 것이라지만 그래도 사고 대응을 담당하는 한 사람으로 조금은 아쉬움이 있다.


오는 2009년도에는 어떠한 유형의 사고가 나타날 것인가 예측하기는 힘이 들지만, 2008년도와 유사한 사고는 지속적으로 발생될 것이며, 그 중에서 방어가 어려운 DDoS 공격이라든가 신용카드 복제사고 등이 증가할 것으로 판단되며, 그 동안 해킹에서 벗어나 있던 금융권역에 대한 대응을 강화해야 할 것으로 예상한다.


또한 급속히 증가하는 무선랜(Wireless LAN), 와이브로 등 무선통신 사용에 따른 정보유출 사고와 어려워진 경제 환경으로 인해 내부직원들에 의한 정보유출 위험에도 대비해야 할 것으로 본다.


IC신용카드용 단말기의 보급이 늦어짐에 따라 외국인들이 IC카드로의 결제가 가능함에도 기존 마그네틱(MS)카드를 사용하여 발생된 사고에 대하여 매입사가 책임을 부담해야하는 VISA의 책임전가정책에 의한 사기사고가 크게 증가될 것으로 본다.


전자금융거래법상 전자금융 사고에 대한 금융회사 피해보상 책임과 관련하여 현재는 사고에 대한 조사를 경찰청에만 의존함에 따라 피해자의 고의, 과실을 입증에 어려움이 있고 시간이 많이 소요되어 금융회사들이 대부분의 사고에 대하여 피해보상을 해주고 있어 해킹을 위장한 사고가 증가되지 않을까 걱정이 된다.


따라서 금융감독 당국이나 금융회사들에게도 이러한 사고에 대하여 조사를 할 수 있는 근거가 마련되어야 할 것이며, 피해 계좌에 대한 지급정지와 분석 등을 위한 법률적 근거도 요구된다. 이러한 일련의 활동을 지원하기 위한 사이버 포렌식의 도입도 생각해 볼 때가 된 것이 아닌가 한다.


또한 금융위기로 인한 금융회사 통 폐합이 있을 경우 개인 정보 유출 위험도 증가할 것으로 예상됨에 따라 이에 대한 대응도 강화해야 할 것이다.


[글·금융감독원 김인석 부국장 inskim@fss.or.kr]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>