| 카드사 정보유출, 신한카드 왜 비껴갔나? | 2014.02.11 | ||||
데이터 보안관리, 고객 카드번호 변환·2차 검수 후 정보 제공
고도화된 사이버공격에 선제적인 대응방안 마련돼야 [보안뉴스 김경애] 새누리당 개인정보보호대책특별위원회는 10일 서울 소공로에 위치한 신한카드 본사를 방문해 정보유출 피해를 막을 수 있었던 신한카드의 대응조치에 대해 점검했다.
이번 KB국민·롯데·NH농협 3개 카드사 정보유출은 코리아크레딧뷰로(KCB) 내부 직원인 박모 차장이 USB로 정보를 유출해 발생한 사건이다. 정보를 유출한 박 차장은 KCB가 FDS 시스템 구축 용역을 맡은 6개 프로젝트 중 5개 카드사인 KB국민·롯데·NH농협·신한·삼성카드를 맡았고, 3개 카드사의 고객정보를 요청해 USB에 담아 유출했다. 이와 관련 신한카드 김재룡 IT본부장(CISO)은 새누리당 개인정보대책특위 현장방문 및 간담회에서 “FDS 프로젝트는 지난 2013년 4월 15일부터 12월 15일까지 8개월간 코리아크레딧뷰로가 진행했고, 박 차장은 지난 4월부터 9월까지 상주해 있었다”며 “정보보안 시스템의 경우 사고예측 모형, 모니터링 및 심사자 할당시스템, 해외사고 승인거절 시스템을 개발했다”고 말했다. 그렇다면 어떻게 해서 신한카드는 이번 카드사 정보유출에 피해를 입지 않았을까? 이에 대해 김 본부장은 데이터 보안관리를 통해 고객 개인정보 유출을 막을 수 있었다고 밝혔다. 신한카드 데이터 보안관리는 △신한카드 운영서버 △신한카드 직원 △개발자 작업PC에서 관리된다. 신한카드 운영서버에서는 카드번호 대신 일련번호와 주민번호 앞 7자리를 변환해 일부 데이터만 제공한다. 이렇게 서버에서 변환된 고객정보는 다시 신한카드 직원에 의해 고객정보 포함여부 등의 데이터 검수를 거쳐 모형개발 작업 PC로 전달된다.
▲ 신한카드 김재룡 IT본부장(CISO)이 신한카드의 도난·분실, 위·변조 탐지 시스템(FDS)에 대해 설명하고 있다. 이렇게 전달된 고객정보는 개발자 작업PC에 내장된 PC보안장치로 데이터 외부유출이 차단된다. 또한 데이터 보안관리를 위해 신한카드의 모든 PC에 보안 툴을 설치하고, 암호화 및 외부매체 사용을 차단한다는 것이 신한카드 측의 설명이다. 이를테면 내부정보를 빼내기 위해 USB를 꼽으면 ‘보안 설정에 의해 이동형 저장장치의 사용이 금지되어 있습니다’라는 메시지 창이 뜨며 이용이 차단된다. 또한 이메일로 데이터를 유출하려고 할 경우 ‘요청하신 사이트는 3.20 사이버테러 이후 접속이 제한된 사이트입니다’라는 메시지 창이 뜨게 된다. 이와 관련 김 본부장은 “3.20사이버테러 이후 이메일로 나갈 수 있는 사이트를 모두 차단했고, 실제 데이터가 있는 운영서버에 대해서도 접근이 차단돼 있다”고 말했다. 하지만 기술적 측면에서 갈수록 고도화·지능화되는 사이버공격에 대해 좀더 선제적인 대응조치가 필요하다는 의견도 나왔다. 코스콤 전연태 전 대표이사는 “고객의 주민번호와 카드번호와 같은 개인정보 입력 시 DB파일을 2~3개로 분리해서 보관할 경우 데이터 유출을 차단할 가능성이 높아진다”며 “이를테면 첫 번째 DB에는 ‘정연태’라는 이름을 구축하고, 다른 DB에는 카드번호 정보를 입력한 후 컴퓨터에만 서로 인식할 수 있는 시리얼 번호를 매칭해 놓으면 된다. 이럴 경우 데이터가 유출되더라도 누구 것인지 알 수 없기 때문에 정보유출 예방을 위한 선제적인 대응 측면에서 좋은 방법이 될 수 있다”고 조언했다. 이와 관련 신한카드 김 본부장은 “선제적 대응방안을 좀더 다양하게 연구 중”이라며 “현재 단계별로 추진하고 있다”고 밝혔다. [김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
