금융권 최초 전 직원 OTP 사용 등 정보보안 대폭 강화

금융권 보안체계에 있어 획기적인 변화 몰고 와 

[보안뉴스 김태형] 지난 4월 8일 42만명에 이르는 현대캐피탈의 고객 정보가 신원 미상의 해커에게 해킹을 당했고 해커는 금전을 요구하는 협박 메일을 보낸 사건이 보도됐다. 해커로부터 협박을 받은 현대캐피탈측은 지난 4월 7일 경찰에 즉시 신고했으며 자체 조사결과 42만명의 고객정보가 해킹된 정황을 발견했다.

현대캐피탈은 당초 사건 정황을 언론과 고객에게 알리려 했으나 범인 검거와 고객정보 보호를 위해 경찰에 수사를 요청하면서 상황 공개를 보류했다. 그러나 범인이 당사의 고객정보를 인터넷상에 공개한다고 협박해 오면서 더 이상 상황 공개를 보류하는 것이 고객보호 차원에서 도움이 되지 않는다고 판단해 해킹 사실을 공개한 것이다. 

경찰에서 밝힌 사건의 흐름을 보면 4월 7일 오전 8시 54분에 범인들이 현대캐피탈 온라인 사업팀 직원의 이메일로 “금일 2~3시까지 협상에 응해라. 내 이메일의 아이디와 패스워드를 알려 줄테니 지금부터 연락은 내 메일을 통해서만 해라”라고 하면서 협박메일을 발송했다.

그리고 범인들은 4월 7일 오후 2시경 “5억원을 내일 10시에 알려주는 지정 계좌별로 지정 금액만큼 입금해라”라는 내용으로 메일을 보냈고 4월 8일 오전 10시경 “지금 알려주는 4개 계좌에 11시까지 입금해라”고 메일을 다시 보냈다. 그리고 4월 8일 오후 12시 17분경에는 현대캐피탈 측에서 1억원을 해커가 지정한 계좌 중 1개 계좌로 입금한 것이다.

당시 경찰은 해커에게 송금한 1억원 중 5,900만원은 계좌 지급정지 중이었고 나머지 4,100만원 중 일부가 인출된 것으로 확인했다.

경찰은 이 사건과 관련해 국내 총책 허모(40세)씨와 공범으로 허씨의 인출을 도운 유모(39세)씨를 검거했다. 그리고 해외에서 현대캐피탈 서버에 침입해 고객정보를 빼돌린 뒤 현대캐피탈에 5억원을 요구한 혐의(정보통신망법 위반 등)를 받고 있는 해커 신모씨(36)도 필리핀 현지에서 체포됐다.

금융감독원 특별검사 실시

사건 발생 후 금융감독원은 현대캐피탈에 대해 해킹방지 시스템 구축 및 운용 실태 등에 대한 점검을 통해 사고 발생원인 규명 및 재발방지 대책을 수립하도록 지시하는 내용의 특별 검사를 실시했다. 특별검사는 △해킹방지를 위해 침입 탐지(차단)시스템 설치·운영 여부 △외부 불법사용자의 정보 시스템 접근 차단을 위한 대책 수립 여부 △DB에 대한 불법 접근 방지를 위한 접근통제 실시 여부 등을 조사해 해킹방지 및 고객정보 보호대책의 적정성이 있었는지를 파악하는 것이다.

그리고 공개용 서버 관리 및 아웃소싱 관리대책의 적정성을 파악하기 위해 △외부 공개용 서버에 대한 보호대책의 적정 여부 △공개용 웹서버 게시자료 및 아웃소싱업체에 대한 내부통제의  적정성 △고객 및 금융거래정보 유출방지를 위한 아웃소싱업체 관리대책 적정성 등을 조사했다. 마지막으로 고객 피해방지 대책 및 피해발생시 보상대책의 적정성에 대한 조사가 이뤄졌다. 금융감독원은 유사사고가 발생하지 않도록 전 금융회사가 해킹방지대책 및 정보보호 대책의 이행실태를 자체 점검하여 결과를 보고토록 조치했다.

아울러 금융감독원은 금융ISAC(Information Sharing Analysis Center) 등 유관기관과 공동으로 점검반을 구성하여 모든 금융권역을 대상으로 보안점검을 실시하고 미흡한 점이 있을 경우 보완대책을 마련하도록 했다.

전 직원 OTP 사용 등 정보보안 대폭 강화

현대캐피탈은 지난 해킹 사건을 거울삼아 재발 방지를 위한 정보보안 근본대책을 마련해 시행하고 있다. 이 중 가장 눈에 띄는 것은 전 직원 OTP(One Time Password) 사용이다. 이는 금융권에서 현대캐피탈이 최초로 시행하고 있다.

은행의 인터넷뱅킹에서도 고액 거래는 반드시 OTP 인증을 요구할 정도로 보안성이 높다. 현재 금융기관 중 전 직원을 대상으로 OTP 인증 시스템을 도입한 곳은 없다. 이를 위해서는 시스템을 재설계해야 하는 등 비용적인 어려움이 있기 때문이다. OTP 도입으로 해커나 외부인이 당사 직원의 계정을 취득했더라도 다시 한번 인증을 해야 하기 때문에 보안 강화에 큰 도움이 된다.

특히 중요 전산 시스템 접속자에 한해서는 일반 직원용보다 한층 보안이 강화된 OTP 시스템을 적용하고 있다. 노트북은 원천적으로 사내 반입을 금지하고 있다. 노트북을 통한 정보유출을 원천적으로 차단한다는 방침이다.

이 외에도 금융보안연구원이 지정한 해외 해킹 유의 IP(블랙리스트)는 회사 네트워크 접근을 원천 차단하도록 했다. 이로서 해킹 가능성이 있는 유해 IP를 원천적으로 봉쇄할 수 있는 것이다. 또 이번 사건을 통해 보안 관제와 모의해킹 업체를 따로 계약해 실질적인 공격과 방어 연습을 할 수 있도록 듀얼파트너십으로 운영하기로 했다.

이와 함께 안철수 연구소와 공동으로 현대캐피탈의 주요 시스템을 모의 해킹하는 등 전면적인 점검도 실시하고 있다. 서버보안 솔루션을 통한 보안강화와 파일업로드를 통한 웹 해킹 보안 경계 수준도 강화하는 등 해킹에 대비한 보안 수준도 강화하고 있다. 이 외에도 종합보안 컨설팅을 통해 보안 취약점을 발굴, 개선하는 노력을 게을리 하지 않고 있다. 

현대캐피탈은 해킹 이후 정보보안최고책임자(CSO)로 안철수연구소 출신의 전성학 부장을 영입해 보안역량을 강화했다. 또 정보보안관리팀·정보보안기술팀의 2개 팀으로 CEO 직속의 정보보안 조직을 신설해 30명 이상의 직원들이 정보보안 관련 업무를 담당하고 있다. 기존의 IT실은 IT 본부로 격상시켜 IT 인력을 보충하고 전사적으로 역량을 강화하고 있다.

금융보안의 사각지대, 보안 강화 계기 마련

현대캐피탈에 이어 올해 농협 등 연이은 금융권 보안 사고로 인해 다른 분야보다 철저한 보안이 요구되고 이에 걸 맞는 보안 시스템을 갖춘 금융권 보안에 대한 신뢰는 바닥으로 떨어졌다. 이로 인해 그동안 금융보안의 사각지대라고 할 수 있었던 캐피탈과 저축은행 등 제2, 제3 금융권의 보안 강화에 대한 이슈가 부각되었다.

이에 올해 전자금융거래법이 개정되면서 내년부터는 금융기관의 IT보안과 관련 규제가 강력하게 적용될 전망이다. 금융위원회는 IT관련 전자금융팀을 신설하고 금융감독원은 전문인력 확충을 통해 내년부터 철저한 검사에 나선다는 방침이다.

금융위는 최근 행정안전부와 협의를 마치고 금융서비스국 소속의 전자금융팀을 신설했다. 기존에는 은행과에서 전자금융거래법을 담당하고 의사운영정보팀에서 실무적인 업무를 나눠서 맡았었다. 하지만 이를 전자금융팀에서 일괄적으로 맡게 했다. 전자금융팀은 총 7명으로 구성됐으며 기술고시 직원 및 전산담당 직원들이 배치된다. 또한 금감원도 최근 경력직 직원 채용에 IT관련 전문 인력도 함께 모집했다.

전자금융거래법 및 전자금융감독규정 전면 개정으로 내년부터 금융회사는 IT 인력을 전체 직원의 5% 이상, 정보보호인력을 IT인력의 5% 이상, 정보보호 예산을 7%이상 확보해야 된다. 또 총자산 규모 2조원 이상이면서 종업원 수가 300명 이상인 금융사에 정보보호최고책임자(CISO)를 임원으로 지정토록 의무화하고 정보보호최고책임자의 자격요건까지 구체화하는 등 많은 변화가 있었다고 볼 수 있다.

올해는 현대캐피탈 해킹사건과 농협 전산망 테러 사건으로 인해 금융권 전체의 보안체계에 획기적인 변화의 바람이 불었던 한해였다고 할 수 있다.   

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>