고객에 임시번호 주고 두달 방치… 비밀번호 없이 거래한 셈
농협과 현대캐피탈의 일로만 여겼던 ‘전산망 보안 둔감증’이 국내 금융회사 전반에 만연한 고질병으로 확인됐다. 금감원이 최근 한나라당 이성헌 의원실에 제출한 ‘2008∼2010년 전 금융권 IT 검사 명세’에 따르면 검사 대상 120건 가운데 무려 47%인 56건에서 보안관리를 허술하게 한 사실이 적발됐다. 검사 대상의 절반 정도에서 ‘보안 구멍’이 발견될 정도로 금융회사의 전산관리가 부실하게 이뤄지고 있는 것이다. 회사 차원에서 보안규정을 어겨 행정상 불이익이 따르는 ‘기관주의’ 조치를 받은 사례는 3년간 총 15건이나 됐다. 그간 드러나지는 않았지만 회사 보안이 총체적으로 문제가 돼 제2의 농협 사태를 일으킬 수 있었던 사례가 한 해 5건씩 터진 셈이다. 특히 보험사는 ‘숨겨진 화약고’였다. 2008∼2010년 적발 건수가 26건으로 전체 적발 건수의 46%였다. 보안이 생명인 은행권도 19건(34%)이나 됐다. 2월 말 현재 생명보험과 손해보험의 가입 건수는 1억6800만 건에 이른다. 보험사에서 농협과 같은 금융전산사고가 터지면 보험가입자 수천만 명의 미래가 모두 사라질 수도 있다. 이 의원실 측은 “농협처럼 전산망 비밀번호를 허술하게 관리하거나 외부 협력업체가 언제든 내부통제시스템에 접근하는 등 유사 사례가 수두룩했다”며 “제2, 제3의 농협 사태를 막으려면 금감원의 보안 점검을 강화하는 것은 물론이고 금융회사의 허술한 보안 관리에 대한 징계도 강화해야 한다”고 지적했다.
○ 유형① 외부에 활짝 열린 내부 시스템
외국계 보험사인 B사는 건물 같은 층에 근무하는 직원들이 수년간 동일한 인터넷주소(IP)를 사용하도록 방치했다. IP는 회사 내부의 주요 전산자료에 누가 어떤 시간대에 어떻게 접근했는지를 알려주는 지표. 수십 명이 한 개의 IP를 쓰다보니, 고객 정보 등을 누가 어떻게 활용했는지 알 방법이 없다. IP를 알아낸 외부 직원이 접속해도 몰랐을 개연성이 크다.
광고 로드중
○ 유형② 고객의 개인정보 멋대로 관리
C보험사의 프로그램 개발 담당 직원은 새로운 프로그램을 만드는 최종 단계에서 오류가 없는지 모의시험을 해봤다. 모의시험은 말 그대로 시험용이어서 방화벽이 제대로 작동하지 않아 해킹에 취약하다. 그런데 이 직원은 이 시스템에 고객의 이름, 주민등록번호 등을 그대로 넣고 돌려 버렸다.
금융권 관계자는 “테스트 시스템은 외부 해킹에 취약해 고객정보 원본을 반드시 암호화해서 활용해야 한다”며 “하지만 고객 수천만 명의 이름과 13자리 주민등록번호 등을 일일이 바꾸는 데 품이 많이 들어간다는 이유로 대부분의 회사가 암호화 작업을 소홀히 하고 있다”고 털어놨다.
D은행도 고객정보를 허술하게 다뤘다. 통상 대출 관련 부서 등에서만 고객정보 조회 권한을 갖지만, 이 은행에서는 고객정보를 조회할 필요가 없는 일반 부서에서도 조회 권한을 보유하고 있었다. 은행 직원이 마음만 먹으면 고객 정보를 악용할 수 있다는 얘기다.
○ 유형③ 더는 비밀이 아닌 비밀번호
초유의 전산망 마비사태로 물의를 빚은 농협중앙회는 ‘1’ ‘0000’ 등 단순한 숫자를 비밀번호로 사용해 해킹의 빌미를 제공한 것으로 드러났다. 사실상 ‘비밀’이 아닌 비밀번호를 쓰고 있었다는 뜻이다. 또 전산시스템 비밀번호를 길게는 6년 넘게 바꾸지 않고 사용했다. 농협 전산업무처리지침 등에 따르면 시스템 비밀번호는 3개월에 한 번 이상 바꿔야 한다. 하지만 농협은 비밀번호를 바꾸는 주기가 일정하지 않았고 비밀번호를 강제로 바꿔주는 시스템도 없었다. E보험사는 고객이 인터넷 뱅킹 등 전산 서비스에 가입할 때 비밀번호 대신 비교적 간단한 임시번호를 주고 60일이나 방치했다. 보통 임시번호는 발급된 지 2, 3일이 지나면 폐기돼 인터넷 뱅킹 접속을 차단한다. 임시번호는 편의상 정해주는 번호여서 보험사 직원이나 해커가 유추하기 쉽기 때문이다.
▼ 보험사, 적발건수의 46%차지 ‘화약고’ ▼
광고 로드중
조연행 금융소비자연맹 부회장은 “보험업계가 고객과의 대면 영업에 치중하면서 고객정보 보호는 소홀히 하고 있다”고 말했다. 은행처럼 실시간 거래가 이뤄지지 않다 보니 보안의 중요성을 제대로 인식하지 못하는 것도 문제다. 생명보험협회 관계자는 “계좌이체 등 실시간 거래가 이뤄지는 은행과 달리 보험사의 전산망에서는 계약조회가 주로 이뤄지는 등 금융거래가 적다 보니 보안 의식이 상대적으로 약하다”고 설명했다.
보안 투자도 소홀했다. 보험업계의 지난해 전체 정보기술(IT) 예산 대비 보안예산 비율은 생명보험사와 손해보험사가 각각 2.7%였다. 금융감독원 권고 기준인 5%에 크게 못 미치는 수준이다. 보험사가 50여 개에 이르다 보니 대형사와 소형사 간 보안 투자 격차도 크다.
보험회사들은 전산망 운영과 관련해 IT 협력업체 의존율이 매우 높은 편이다. 한나라당 이성헌 의원실에 따르면 지난해 8월 기준으로 22개 생보사들은 외부용역 비중이 64.6%, 16개 손보사는 86%에 이르렀다. 은행권의 43.6%를 훨씬 웃도는 수치다.
지난해 보험업계의 전자금융거래는 총 45만 건, 거래금액은 2260억 원이다. 1경 원을 넘어서는 은행 전자금융거래액에 비하면 거래금액이 적지만 약관대출 등 전산망에서 처리되는 금융거래들이 매년 크게 증가하는 상황이다. 만약 보험사 전산망이 해킹돼 백업서버까지 손상될 경우 약관대출 거래내용이 삭제돼 고객들이 피해를 볼 개연성을 배제할 수 없다. 올 2월 말 기준 생보 보유 계약건수가 7500만 건, 손보 보유 계약건수가 9300만 건에 이르면서 보험사 전산사고로 인한 초대형 개인정보 유출 우려도 높다. 유출된 개인정보로 메신저에 접속해 친구로 등록된 사람에게 급전을 요구하거나, 소액 결제를 부탁하는 수법으로 악용될 수 있다. 또 개인정보가 대부업체의 인터넷 대출에 악용돼 금전 피해로 이어질 수도 있다.
광고 로드중
장윤정 기자 yunjung@donga.com
김철중 기자 tnf@donga.com