• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

로또, 해킹이나 데이터 조작이 가능할까 2008.04.22

나눔로또, 국제보안규격에 맞는 전사적 보안프로세스 구축

전용선 사용으로 바이러스나 크래킹 침투 거의 불가능

 

최근 여기저기서 크래커(해킹기술을 악용하는 자)들의 시스템 침투 시도가 이어지고 있고 실제로 포털이나 전자상거래 업체들의 대규모 개인정보 유출 사고가 비일비재하게 발생하고 있다. 청와대 마져도 크래킹에 뚫려 정보가 유출된 정황이 포착된 상태다.


그렇다면 전국적으로 7300개의 단말기가 운영되고 있고 매주 토요일 마다 전국민적인 관 심이 집중되고 있는 나눔로또의 시스템은 안전할까. 누군가 로또 전산망에 침투해 뭔가 조작이 이루어지지는 않을까.


나눔로또 감사보안실 김종환 실장은 “나눔로또는 전국에 7300개의 단말기가 운영되고 있으며 이는 인터넷망이 아니라 폐쇄망으로 외부망과 연결이 안되있다”며 “그래서 인터넷을 통한 웜바이러스나 해킹 침투가 원천적으로 불가능하다”고 밝혔다.


한편 로또의 데이터 센터는 현재 상암동 IDC센터에 있으며 LG CNS와 나눔로또 보안실이 공동관리를 하고 있는 중이라고 한다.


보안실 관계자는 “복권 발매가 데이터가 센터에 전송될 때도 혹시라도 있을 사고에 대비해 암호화된 상태로 전송이 이루어지고 있으며 전구간이 폐쇄망으로 나눔로또 본사에서도 폐쇄망에 접근할 수 없도록 시스템화 돼 있어 100% 안전하다”고 강조했다.


즉 로또의 전용망은 인터넷망이 아니기 때문에 각종 악성코드나 바이러스 침투에 안전하고 인터넷 망을 이용한 크래킹이나 DDoS 공격에 전혀 지장을 받지 않는다는 것이 관계자의 말이다.


나눔로또 감사보안실은 현재 3명이 보안업무를 담당하고 있으며 연내 1명을 추가 증원할 계획이다.


김종환 실장은 “최근 ISO27001 국제보안규격 신청을 위해 컨설팅을 받고 있다. 회사 전체 보안프로세스도 이 국제보안규정에 맞게 설계하고 있으며 여기에 국정원이 요구하는 보안규정까지 모두 맞춰나가고 있는 중”이라며 “추가로 국제복권협회 가입회원들이 반드시 지켜야할 보안규정도 함께 추가해 전사적 보안프로세스를 정립중에 있다”고 밝혔다.


즉 나눔로또는 ISO27001뿐만 아니라 국정원 보안프로세스, 국제복권협회 보안프로세스까지 완벽하게 구축하기 위한 준비를 하고 있는 중이다.


김 실장은 “나눔로또는 보안을 최우선시 하는 기업이다. 내부자와 외부자의 시스템 접근에 대해 철저히 통제하고 있으며 나눔로또가 보안을 잘하고 있다고 말로만 하기보다는 공신력 있는 국제기관과 국내 외부기관으로부터 인증을 통해 이를 증명할 것”이라고 덧붙였다.  


나눔로또 대외협력팀 차승현 팀장은 “오는 6월까지 보안컨설팅을 받고 그 결과를 가지고 ISO 인증을 신청한다는 계획을 가지고 있다. 심사가 끝나면 9월~10울 중에 국제보안인증을 받을 수 있을 것”이라고 내다봤다.


한편 혹시라도 있을 조작에 대해 김 실장은 “외부에서 침투는 불가능하지만 중간에 전용선을 따고 들어올 수도 있기 때문에 전구간 데이터 암호화로 데이터를 보호하고 있으며 하드웨어적 보안제품도 대부분 구축된 상태”라고 말했다.


일부 네티즌들은 로또 조작설에 의혹을 품기도 한다. 하지만 어불성설이란 것을 알 수 있다. 차승현 팀장은 “매주 토요일 오후 8시까지 판매가 이루어지고 8시 이후에는 모든 통신망이 차단된다. 추첨은 8시 45분부터 시작된다”며 “8시 이후 월요일부터 마지막시간까지 모인 데이터들이 감사시스템으로 넘어간다. 감사시스템은 복권위원회에서 운영하기 때문에 어느 누구도 접근할 수 없으며 데이터 조작도 불가능하다”고 의혹들을 일축했다.


특히 모 방송사에서 진행되는 로또당첨번호 추첨에 조작의혹을 제기하는 네티즌도 있다. 하지만 이 또한 근거없는 헛소문이라고 할 수 있다.


대표적인 조작의혹설을 보면 ‘추첨시 공안에 자석을 넣고 추첨기에 자석을 붙여 번호를 조작한다’는 것이다.  


이에 대해 김종환 실장은 “추첨기는 프랑스 에디텍에서 제조된 기기로 전세계 40개국에서 사용되고 있는 일반적인 제품이다. 바람에 의해 공이 섞이는 시스템으로 자석에 대한 영향은 전혀 받을 수 없다”며 “공에는 RFID 칩이 내장돼 있어 육안으로 번호를 확인할 수도 있고 전자적으로도 확인이 가능하다”고 말했다.


한편 추첨 방청은 해당 방송사에 신청하면 가능하고 7시 30분부터 방청이 시작되며 사전에 추첨기와 공에 대한 검수작업을 실시한다. 46개 들어있는 공 세트는 5개가 있으며 그 가운데 한 세트를 방청객중 1명이 뽑아서 그 공으로 추첨을 하는 식이다. 만의하나 조작이란 것을 불식시키기 위해 방청객들이 보는 앞에서 3번 정도 공개테스트를 진행한 후 실제 추첨이 이루어진다고 한다. 즉 추첨과정에서도 철저한 보안이 이루지고 있는 것이다.


김종환 실장은 “나눔로또는 국내 복권기업중 처음으로 국제보안인증을 받기위해 준비중이며 이를 토대로 전사적 보안프로세스를 정립하고 있다”며 “근거없는 조작설에 괜시리 불안해하지 않아도 될 것”이라고 덧붙였다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>