윈도XP 지원이 중단될 것이라는 예고는 이미 10여 년 전부터 있었지만 국내 금융권, 정부는 대비책을 마련하는데 손을 놓고 있었다.
3~4년 전에만 준비했어도 국내 ATM 기기, POS 단말기의 해킹을 우려하지 않았을지도 모른다.
금융당국은 망 분리를 대안으로 추진하고 있지만 무조건 인터넷에서 망을 분리하면 안전할까?
인터넷과 분리돼있던 이란 핵 시설을 교란시켰던 ‘스턱스넷’ 악성코드를 떠올린다면 인터넷 연결을 차단시키는 것만이 능사가 아님을 쉽게 짐작할 수 있다.
올 초 대한민국을 떠들썩하게 했던 KB국민, NH농협, 롯데카드 1억건 이상 개인정보 유출사고도 내부자 정보유출 관리에 소흘했던 금융보안 관리 체계가 불러 온 예견된 사고다.
보다 빠른 시스템, 더 많은 거래를 성사시켜 수익을 올리자는 금융권의 실리우선주의가 보안을 뒷전으로 돌렸다. 안일한 금융권의 대응이 반복되는 금융보안 사고를 쉴 새 없이 양산하고 있다.
◆ 공격 기술은 변하는데 방어 기술은 그대로
금융권은 IT 기술, 특히 보안 인프라를 도입하는데 있어 가장 보수적인 집단중의 하나다.
한 금융기관의 관계자는 “만약 신규 시스템을 도입했다가 문제가 생긴다면 책임지기 어렵다”며 “가능한 다른 기관에서 먼저 도입해 안전하게 운영하고 있다는 것을 입증한 후에 도입해야 뒤탈이 없다”고 말했다.
지난 2011년 현대캐피탈 해킹 사건 이전까지 국내 주요 은행, 증권 등은 DB암호화를 도입한 기관이 단 한곳도 없었다. 현대캐피탈 사고 이후 금융권 개인정보보호의 문제점이 수면위에 부상하면서 DB암호화 도입이 시작됐다.
이후 개인정보보호법 발효로 DB암호화 시스템을 도입하거나 그에 준하는 조치 등을 취하게 됐지만 여전히 시스템을 느려지게 하는 DB암호화를 전 시스템에 도입한 금융사는 드물다.
금융 자산을 직접적으로 노리는 파밍 악성코드 기술도 날로 진화하고 있지만 선제적으로 이를 막을 솔루션을 도입한 금융 기관 역시 거의 찾기 어렵다.
하우리 최상명 팀장은 “최근 발견되는 파밍 악성코드는 ‘서버사이드 폴리모피즘(Server-side polymorphism)’ 기법을 사용, 감염되는 사용자마다 각각 다른 변종의 악성코드가 설치되기 때문에 감염된 사용자의 PC에서 나타나는 악성코드 파일이 전부 달라 동일한 치료법으로 한 번에 치료할 수 없다”며 “백신만으로 대응하기 어려워 취약점 차단솔루션 등으로 근본적인 대응이 필요하다”고 말했다.
◆ 예산도 없고 사람도 없고 정책도 없다
금융감독원이 새누리당 이노근 의원실에 제출한 ‘최근 4년간 금융회사 IT부문별 인력 및 예산현황’자료에 따르면 전 금융권이 IT보안 예산 기준치인 7%를 충족했지만 실제 보안 예산 규모는 상당히 낮은 수준인 것으로 나타났다.
더군다나 예산액보다 실제 집행된 금액은 훨씬 적었으며 IT보안 예산을 줄이고 있는 곳도 다수 발견돼 금융회사의 IT보안 불감증이 만연해 있음을 확인할 수 있다.
전문가들은 금융회사들이 수조에서 수천억원에 이르는 당기순이익과 보유 고객규모에 비해 보안 예산 및 전문 인력이 턱없이 부족하고 이 때문에 금융회사가 IT보안의 중요성을 낮게 인식하고 있다고 지적했다.
대표적인 예가 은행권이다. 은행권은 정보보호 예산 비율이 2012년 13.9%에서 2013년 9.3%로 줄었다. IT보안 규준이 명시한 7%를 넘겼지만 대부분 은행이 비용감축에 들어가면서 정보보안 예산을 삭감한 영향이 컸다.
카드사의 보안 불감증도 심각하다. 이번 개인정보 유출 사고 3사 중 KB국민카드와 롯데카드의 2013년 정보보호 예산비율은 각각 8.2%, 8.9%로 업계 평균인 11.2%에 미달했다.
보험업계 역시 정보보호 예산이 줄었으며 실제 사용금액도 저조했다. 증권업계는 전 금융업권 중 가장 낮은 정보보호 예산 평균을 기록했다.
업계 관계자는 “IT보안 부문 예산 권고치인 7%는 10~200억원대 수준으로 수조에서 수천억의 당기순이익을 기록하는 금융회사에 부담되는 금액이 아니다"라며 “따라서 모범규준의 역할을 제대로 한다고 볼 수 없으며 수억 건의 고객정보를 보유하는 금융회사의 보안금액 수준으로 적절치 않다”고 밝혔다.
심종현 지식정보보안산업협회 회장은 “금융 사고가 발생하면 보안업계의 매출이 증가하는 것이 아니라 오히려 진행 중이던 프로젝트가 중단되는 경우가 많다”며 “금융감독원 등 금융당국이 보안 사고와 관련해 지침을 내놓고 도입하라는 시스템을 결정해주기를 기다리기 때문에 금융사고 발생이 반갑지만은 않다”고 토로했다.
보안 전문인력 부족도 문제다.
김범수 연세대학교 정보대학원 부원장은 “금융 정보보호최고책임자(CISO)는 다른 분야에 비해 금융지식과 보안기술을 두루 알아야하지만 권한은 없고 책임만 많은 자리라 지원자가 적다”며 “금융권과 연계해 전문 교육과정을 개설, 교육비를 지원해도 공부하려는 사람들이 없어 전문인력 양성이 쉽지 않다”고 말했다.