은행 보안담당자 평균 6명뿐… 전산관리자 감시도 안해
농협의 전산 시스템 중단 사고와 현대캐피탈의 고객정보 유출 사고 등 대형 금융사고가 잇따르면서 그동안 안전하다던 금융전산망이 허술하게 뚫린 데 대한 시민들의 불안감이 커지고 있다.
전문가들은 사태가 여기까지 이른 가장 큰 원인은 ‘사람’이라고 지적한다. 금융회사의 정보기술(IT) 담당자들이 보안 업무를 아웃소싱을 통해 협력업체에 통째로 맡기면서 정작 책임을 져야 할 담당자들의 보안의식과 관리 능력이 형편없어졌다는 것이다.
기업들이 정보보안 인력을 관리할 조직도, 의지도 갖고 있지 않은 점도 큰 문제점으로 꼽힌다.
광고 로드중
○ 허술한 ‘사람’ 관리
최근 발생한 농협의 전산 사고에 대해 검찰 수사가 ‘내부자의 사이버 테러’ 가능성을 언급하는 이유는 농협 서버를 마비시킨 노트북컴퓨터 때문이다. 검찰은 외부 용역을 맡은 한국IBM 직원의 이 노트북에 농협 직원들도 접근할 수 있었던 것으로 보고 있다.
이처럼 많은 기업이 동일한 ID와 패스워드 몇 가지를 여러 사람 또는 팀 전체가 공유해 사용하도록 하고 있다. 보안 전문가들은 이번 농협 사고도 작업 편의를 높이기 위해 한 컴퓨터에 여러 명이 접근할 수 있도록 했다가 문제가 생겼을 가능성이 있다고 지적했다.
그나마 금융권은 ID와 패스워드를 입력하더라도 몇 개의 관문을 더 거치도록 하지만 병원 같은 곳은 보안 시스템 구축에 허술하다. 환자의 질병 기록 등 중요한 정보를 다루지만 보안의식은 낮기 때문이다. 한 보안 전문가는 “같은 통신망을 쓰는 병원 내부에서는 보안을 위한 방화벽을 뚫기가 더 쉬운데도 병원 안에서 외부인의 인터넷 접속을 제한하는 병원은 드물다”고 말했다.
광고 로드중
예를 들어 기업 전산관리자가 페이스북에 자신의 애완견 이름을 올려놓는다면 해커들은 이 정보를 파악해 암호를 조합한다. 애완동물 이름이 비밀번호로 사용될 가능성이 높기 때문이다. 전문가들은 이를 기존의 공학적인 정보보안 공격이 아닌 사회관계를 이용한 정서적인 접근이라는 뜻에서 ‘사회공학적 공격’이라고 부른다.
정보보안업체 시만텍코리아의 윤광택 보안담당 이사는 “기업이 직원들에게 보안에 대한 체계적인 교육을 시켜서 사람의 부주의가 가장 큰 허점이라는 경각심을 일깨워야 한다”고 강조했다.
○ 턱없이 부족한 보안 투자
정부 당국은 은행 등 금융회사들이 IT 예산의 5%를 보안에 투자하도록 권고하고 있지만 이를 지키는 곳은 드물다. 이성헌 한나라당 의원이 금융감독원으로부터 받은 금융권 보안 예산 현황에 따르면 지난해 시중 16개 은행이 IT 예산 가운데 보안에 쓴 비중은 3.4%에 불과했다.
광고 로드중
보안 컨설턴트 출신인 류한석 기술문화연구소장은 “보안 사고로 기업이 파산할 정도의 위기를 겪는다면 기업도 보안 투자를 늘릴 것”이라며 “하지만 지금까지 보안 사고가 나도 대충 넘어간 경우가 많아 기업들이 보안 투자는 적게 해놓고 나중에 문제가 생기면 그때그때 대처하려는 유혹을 받게 된다”고 지적했다.
김상훈 기자 sanhkim@donga.com
김현수 기자 kimhs@donga.com