사상 최대 1억건 고객 정보 유출금융보안 사고, '사슬을 끊어라'
2014-01-09 14:59
수익보다 고객 안전 우선해야
아주경제 장윤정 기자 = KB국민, NH농협, 롯데카드 등 국내 주요 카드사 고객정보 1억건 이상이 유출되는 사상 최악의 사고가 발생하며 금융권 전반이 들썩이고 있다.
이번 사고에 대해 업계 안팎에서는 '예견된 사고'라는 반응이다. 지난 2011년 4월 현대캐피탈 고객정보 해킹 사건의 근본 원인도 편의주의를 위해 DB암호화를 수행하지 않았기 때문이다. 이후 발생되었던 NH투자증권, 리딩투자증권 등의 해킹사고 역시 암호화 등 보안을 적용하면 HTS 시스템이 느려지는 것을 우려, 보안시스템 적용을 꺼렸던 금융권의 관행이 사고를 불러왔다. 이후 발생한 삼성카드, SC제일은행 등의 내부직원 개인정보 유출사고까지 모든 사고들이 관리소흘이 주 원인이었다.
이번 사고 역시 암호화 등 기술적, 관리적 조치가 미흡했기 때문이라는 지적이다. 검찰 발표에 의하면 이번 사고로 유출된 개인정보는 암호화되어 있는 고객정보를 해당 카드사 직원이 아웃소싱업체에 넘길 때 암호화를 풀고 넘겨줬기 때문인 것으로 밝혀졌다.
임종인 고려대학교 정보보호대학원 원장은 "아웃소싱 업체에 개발을 의뢰할 때 고객정보를 가상데이터로 변환시켜주는 보안솔루션 등이 있음에도 불구하고 순간의 편리함만을 위해 고객정보를 그대로 넘기는 경우가 허다하다"며 "고객정보 관리체계에 대한 보안방침을 설정하고 철저히 이를 준수할 수 있도록 하는 프로세스를 정립해야한다"고 말했다.
◇금융 보안 사고 연달아, 예견된 사고(?)
금융 보안 사고는 지난 몇년간 끊이지 않고 발생했다.
역대 금융권 보안사았고중에서는 현대캐피탈의 개인 정보 유출 건수가 175만건으로 가장 많았으나 이번 1억건 이상의 개인정보 유출사고로 순위가 한순간에 뒤집혔다.
한화손해보험(15만8000건), NH투자증권(1만5000건), 리딩투자증권(1만3000건) 등은 해킹으로 인한 개인정보 유출사고다.
그러나 최근에는 해킹보다 내부자에 의한 정보 유출 등 내부통제의 허점으로 사고가 발생하는 빈도가 더 높아지고 있다.
삼성카드는 지난 2010년 1월부터 지난해 8월까지 내부직원이 81만7330건의 고객정보를 유출했고, 하나SK카드 역시 내부직원이 고객정보 5만1723건을 외부에 팔아 넘겼다.
2013년 5월 메리츠화재해상보험의 직원이 16만여건의 고객 신용정보를 보험대리점에 유출한 사실이 금감원에 적발됐다.이 직원은 지난 2월과 5월, 2차례에 걸쳐 고객의 신용정보 16만4009건을 이메일 또는 USB를 통해 에셋인슈 보험대리점과 인슈젠 보험대리점에 유출했다.
우리아비바생명과 신한은행, 하나SK카드도 개인정보 보호 관리를 허술하게 하다가 금감원에 적발된 바 있다. 또 지난해 SC은행과 씨티은행 고객정보 13만건이 내부자에 의해 유출된 사고도 발생했다. 이번 1억건 고객정보 유출사고 역시 SC은행과 씨티은행 고객정보 13만건 유출사고를 조사하는 과정에서 밝혀진 범죄다.
◇ 기본만 지켜도 사고 90% 막을 수 있어
이렇게 금융권에서 보안 사고가 끊이지 않는 이유는 무엇일까? 관련 전문가들은 수익을 앞세운 편의주의가 화를 불렀다고 지적한다.
DB보안전문업체 이글로벌시스템 조돈섭 이사는 "시스템 운영은 고객들의 주민등록번호 등 민감정보가 담긴 리얼데이터를 써야하지만 개발에는 암호화 등 기술적 조치를 취한 가상데이터를 써도 무방하다"며 "그러나 실제 개발현장에서는 편리성을 앞세워 리얼데이터를 그대로 넘겨주고 활용하는 경우가 다반사"라고 말했다.
시스템 개발 시 DB보안 등을 적용한 '테스트데이터변환솔루션'을 활용하면 개인정보 등 민감 정보가 담긴 DB를 가상의 데이터로 바꿔준다. 즉, 주민번호의 경우 실제 주민번호가 801234-1074512라면 123498-1243567과 같은 형태로 주민등록번호와 동일한 자릿수의 숫자를 그대로 사용하지만 의미 없는 번호로 바꿔주는 식이다.
개발자 입장에서는 주민번호와 동일하기 때문에 개발 과정에서 생기는 오류와 시행착오를 줄일 수 있고 기업 입장에서는 개인정보 유출 위험을 줄일 수 있어 일석이조다. 하지만 이같은 조치를 취하는 경우가 드물다는 것.
조 이사는 "외주 업체 활용 시 조금만 주의하면 사고를 막을 수 있지만 최소한의 규율만 지키자, 조금 더 편하게 사용하자는 관리소흘로 인한 예견된 사고"라며 "이번 사건은 검찰 조사 과정에서 드러났지만 실제 현장에서 고객정보가 유출되는 사고가 더 빈번하게 발생한다. 또 후폭풍이 두려워 드러나는 경우보다 묻고 넘어가는 경우가 더욱 많을 것"이라고 말했다.
내부 관리를 소흘히 한 금융사의 안이한 보안의식에 경종을 울릴만한 징계, 피해자에 대한 보상을 추진하는 등 사고를 일으킨 금융사에 대한 책임 강화 등 적절한 조치가 뒤따르지 않는 한 보안사고 발생은 계속 재발될 것이라며 관련 업계는 금융권의 변화를 촉구하고 있다.
<역대 금융 보안 사고 현황>
2011년 4월 현대캐피탈 175만건
2011년 4월 솔로몬신용정보 751건
2011년 5월 한화손해보험 15만8000건
2011년 5월 리딩투자증권 1만3000건
2011년 5월 솔로몬투자증권 32건
2011년 6월 NH투자증권 1만5000건
2012년 1월 나이스신용평가 317건
2012년 1월 삼성카드 47만건
2012년 8월 하나SK카드도 5만 1723건
2013년 5월 메리츠화재해상보험 16만건
2013년 12월 SC은행ㆍ씨티은행 13만건
2013년 5월 메리츠화재해상보험의 직원이 16만여건의 고객 신용정보를 보험대리점에 유출한 사실이 금감원에 적발됐다.이 직원은 지난 2월과 5월, 2차례에 걸쳐 고객의 신용정보 16만4009건을 이메일 또는 USB를 통해 에셋인슈 보험대리점과 인슈젠 보험대리점에 유출했다.
우리아비바생명과 신한은행, 하나SK카드도 개인정보 보호 관리를 허술하게 하다가 금감원에 적발된 바 있다. 또 지난해 SC은행과 씨티은행 고객정보 13만건이 내부자에 의해 유출된 사고도 발생했다. 이번 1억건 고객정보 유출사고 역시 SC은행과 씨티은행 고객정보 13만건 유출사고를 조사하는 과정에서 밝혀진 범죄다.
◇ 기본만 지켜도 사고 90% 막을 수 있어
이렇게 금융권에서 보안 사고가 끊이지 않는 이유는 무엇일까? 관련 전문가들은 수익을 앞세운 편의주의가 화를 불렀다고 지적한다.
DB보안전문업체 이글로벌시스템 조돈섭 이사는 "시스템 운영은 고객들의 주민등록번호 등 민감정보가 담긴 리얼데이터를 써야하지만 개발에는 암호화 등 기술적 조치를 취한 가상데이터를 써도 무방하다"며 "그러나 실제 개발현장에서는 편리성을 앞세워 리얼데이터를 그대로 넘겨주고 활용하는 경우가 다반사"라고 말했다.
시스템 개발 시 DB보안 등을 적용한 '테스트데이터변환솔루션'을 활용하면 개인정보 등 민감 정보가 담긴 DB를 가상의 데이터로 바꿔준다. 즉, 주민번호의 경우 실제 주민번호가 801234-1074512라면 123498-1243567과 같은 형태로 주민등록번호와 동일한 자릿수의 숫자를 그대로 사용하지만 의미 없는 번호로 바꿔주는 식이다.
개발자 입장에서는 주민번호와 동일하기 때문에 개발 과정에서 생기는 오류와 시행착오를 줄일 수 있고 기업 입장에서는 개인정보 유출 위험을 줄일 수 있어 일석이조다. 하지만 이같은 조치를 취하는 경우가 드물다는 것.
조 이사는 "외주 업체 활용 시 조금만 주의하면 사고를 막을 수 있지만 최소한의 규율만 지키자, 조금 더 편하게 사용하자는 관리소흘로 인한 예견된 사고"라며 "이번 사건은 검찰 조사 과정에서 드러났지만 실제 현장에서 고객정보가 유출되는 사고가 더 빈번하게 발생한다. 또 후폭풍이 두려워 드러나는 경우보다 묻고 넘어가는 경우가 더욱 많을 것"이라고 말했다.
내부 관리를 소흘히 한 금융사의 안이한 보안의식에 경종을 울릴만한 징계, 피해자에 대한 보상을 추진하는 등 사고를 일으킨 금융사에 대한 책임 강화 등 적절한 조치가 뒤따르지 않는 한 보안사고 발생은 계속 재발될 것이라며 관련 업계는 금융권의 변화를 촉구하고 있다.
<역대 금융 보안 사고 현황>
2011년 4월 현대캐피탈 175만건
2011년 4월 솔로몬신용정보 751건
2011년 5월 한화손해보험 15만8000건
2011년 5월 리딩투자증권 1만3000건
2011년 5월 솔로몬투자증권 32건
2011년 6월 NH투자증권 1만5000건
2012년 1월 나이스신용평가 317건
2012년 1월 삼성카드 47만건
2012년 8월 하나SK카드도 5만 1723건
2013년 5월 메리츠화재해상보험 16만건
2013년 12월 SC은행ㆍ씨티은행 13만건