• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

국내 금융기관, 키보드 보안 솔루션 문제점 그대로 방치 2011.04.18

현경병 의원 “키보드 보안 테스트 결과 참담”


[보안뉴스 오병민] 캐피탈업계 1위인 현대캐피탈이 해킹으로 고객정보가 유출된 가운데 금융기관 전체의 보안 수준에 대한 신뢰가 도마에 오르고 있다.

 

특히 최근 현경병 의원(한나라당)이 14일  진행한 키보드보안 테스트 결과를 살펴보면 많은 금융기관이 이용하고 있는 키보드 보안 솔루션에 문제점이 드러나 대책이 요구되고 있다.


현경병 의원실은 이미 2009년에 공개된 키보드 해킹툴을 이용해 금융권과 정부기관에 대한 키보드 해킹 노출 실태를 점검해 본 결과 참담했다고 밝혔다. 게다가 해당 테스트 환경은 지난해 국정감사와 동일하게 이뤄졌기 때문에 그동안 개선이 부족했다는 지적이다.


2금융권에 비해 한 차원 높은 상시 보안점검체계와 전산시스템을 구축하고 있는 만큼 해킹 등에 대한 충분한 방어 체제를 갖추고 있다는 이번 테스트 결과, 은행뿐 아니라 보험사와 증권사, 카드사, 국가 증권거래망을 운영하고 있는 코스콤 및 국세청 연말정산시스템 등의 주요 금융시스템들이 모두 키보드 보안에 취약한 것으로 나타났다.


PC에서 금융서비스를 이용할 경우 사용자 주요 금융 정보를 대부분 키보드로 입력하기 때문에 키보드 보안이 허술하면 입력하는 주요 정보가 공격자에 의해 강탈당할 우려가 있다.


이에 대해 현경병 의원은 “지난 국정감사에서 은행, 카드사, 증권사, 저축은행, 보험사 할 것 없이 모든 금융권의 키보드 해킹에 노출되었음을 지적하고 조속한 전수조사를 통해 문제를 해결할 것을 금융위원장과 금융감독원장에게 요청한 바 있으나 감독당국은 움직이지 않았다”면서 “금융보안은 여러 단계의 보안이 있고 최일선 대문(최초 방어벽)이라 할 수 있는 키보드 보안부터 뚫린다는 것은 회사측의 허술한 보안시스템과 금융 감독 당국의 소홀한 감독이 만들어낸 합작품이라 할 수 밖에 없다”고 지적 했다.


■ 키보드 보안 테스트 결과 (2011/4/14) ■

코스콤 HTS이용 16개증권사(킹스정보통신)

PS/2 - 일반폴링(CR4): 보안

       고속폴링(CR4): 키로깅 노출

USB  - 키로깅 노출

국세청 연말소득공제 (소프트포럼)

PS/2 - 일반폴링(CR4): 키로깅 노출

       고속폴링(CR4): 키로깅 노출

USB  - 키로깅 노출

국민건강보험관리공단 (소프트포럼)

PS/2 - 일반폴링(CR4): 키로깅 노출

       고속폴링(CR4): 키로깅 노출

USB  - 키로깅 노출

비씨카드 (잉카인터넷)

PS/2 - 일반폴링(CR4) : 키로깅 노출

       고속폴링(CR4) : 키로깅 노출

USB  - 키로깅 노출

교보생명 (킹스정보통신)

PS/2 - 일반폴링(CR4) : 보안

       고속폴링(CR4) : 키로깅 노출

USB  - 키로깅 노출

대우증권 (소프트캠프)

PS/2 - 일반폴링(CR4): 키로깅 노출(키로거 탐지)

       고속폴링(CR4): 키로깅 노출

USB  - 키로깅 노출

키움증권 (킹스정보통신)

PS/2 - 일반폴링 : 보안

       고속폴링 : 키로깅 노출

USB  - 키로깅 노출

현대캐피탈 (잉카인터넷)

PS/2 - 일반폴링(CR4) : 키로깅 노출

       고속폴링(CR4) : 키로깅 노출

USB  - 키로깅 노출

농협 (소프트캠프)

PS/2 -일반폴링(CR4): 키로깅 노출(키로거 탐지)

       고속폴링(CR4) : 키로깅 노출

USB  - 키로깅 노출

*USB - 키로깅 노출

 (USBPORT.sys 코드 패치 공격 취약)


특히 현 의원은 국가기관 전산망을 운영하고 전산망이 없는 36개 증권사에게 서비스를 제공하고 있는 코스콤에 대해서는 더욱 강도 높게 비난했다.


코스콤의 전산망을 이용하는 중소형 증권사들 중 16개사에 대해 코스콤은 키보드보안제품을 일괄구매 해 제공하고 있다. 그러나 코스콤에서 2006년 구매한 2개 회사 제품이 모두 벤처기업의 특허를 도용하다 2009년 소송에서 패소(대법원/특허법원)하였으나 어떤 제재도 없이 매년 계약을 갱신해오고 있다는 것.


현경병 의원은 “지난해 국정감사 때도 이 같은 문제를 지적했지만 코스콤측은 ‘업체를 바꿀 이유가 없다’는 식으로 일관해 중소기업 벤처기업간 상생기조에 역행하고 있다”고 비난했다.


<벤처기업의 키보드보안제품과 특허분쟁 결과> (특허 제0378586호)

구분

킹스정보통신

잉카인터넷

사건

권리범위확인

무효소송

권리범위확인

무효심판

1심

2007당 879

07.04.10-07.10.30

결과 패소

2006당2598

06.10.10-07.04.28

결과 패소

2006당533

06.03.06-06.09.25

결과 패소

2006당2598

참가

결과 패소

2심

2007허당12497

07.11.29-08.08.22

결과 패소

2007허당4649

참가

결과 패소

 

2007허4649

07.05.29-08.8.22

결과 패소

3심

2008후당3582

08.09.19-09.01.15

결과 패소

2008후당3759

참가

결과 패소

 

2008후3759

08.09.19-09.01.15

결과 패소

결과

패소

패소

패소

패소

* 두 업체는 코스콤에 키보드보안제품 납품업체로 국회 등 관공서에도 대거 진출 해 있음.


그는 “키보드 보안제품의 핵심 기술 특허분쟁 패소로 두 업체가 대체 제품을 교환함으로써 해킹의 위험에 그대로 노출되어 버렸다는 것이 더 큰 문제”라고 지적했다. 게다가 그는 “코스콤은 이런 사실을 인지조차 못하고 있었으며 지난해 본 의원의 지적 이후에도 보완을 완료했다는 식으로 안이하게 대처 해 왔다”면서 “그리고 자사의 서비스를 제공받고 있는 16개 증권사에 대해서는 그 사실을 제대로 통보조차 하지 않고 있다”면서 강도 높게 지적하면서 (코스콤의 안이한 대응에 대해) 금융위와 금융감독당국은 기관감사를 실시해 문제를 시정해야 할 것이라고 주장했다.

       

한편 현경병 의원은 현대캐피탈과 농협 사태에 대한 금융당국의 대응에 대해서도 지적했다. 금융 당국의 대응은 인력부족(금감원 정보보안직원 11명)을 이유로 각 금융주체들이 독자적으로 시스템을 점검을 하도록 하고 해킹 방지 규정과 준칙을 잘 지키고 있는지 등의 결과를 제출하도록 해 직접적인 점검을 하지 않았다는 것. 결국 업계가 알아서 ‘잘 하라’고 지시하는 게 점검강화의 전부였다면서 금융 당국의 안일한 대응에 대해 비난했다.


그리고 그는 일본의 경우에는 금융기관이 내외부자의 해킹 등에 의해 고객정보유출 등으로 인한 손해배상청구소송 등에 대응할 수 있도록 금융기관에 ‘보안손해보험 가입┖의 권장하고 있다면서 우리나라도 이 같은 권고사항을 두어 금융소비자 보호에 만전을 기해야 할 것이라고 당부했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>