저축은행 보안사고 “시스템 미비가 아닌 인재”

저축은행 보안사고 “시스템 미비가 아닌 인재”

작은 실수가 해킹 침해사고를 불러왔다. 지난 19일 경찰청 사이버테러대응센터가 발표한 저축은행 해킹사고는 ‘단순 실수’였던 것으로 파악됐다. 금융감독원에서도 “시스템이라기보다는 관리상 문제였다”고 29일 설명했다.

이번 해킹 사고에 포함된 7개 저축은행 중에는 보안에 대한 투자나 인식이 상대적으로 우위라고 평가되는 업계 최대 규모의 저축은행도 포함됐다. 저축은행중앙회에 따르면 소규모 저축은행 중에는 보안 담당자가 단 1명도 없는 곳도 있다. 하지만 대형 저축은행의 경우는 IPS(침입방지시스템), 방화벽 등이 비교적 잘 갖춰져 있다. 이번 해킹 역시원인은 보안시스템 부재가 아니었다.

해킹을 당한 대형 저축은행인 A저축은행이 밝힌 바에 따르면 이번 사고는 방화벽 부재나 보안 감독보다는 단순한 방화벽 설정 작업에 있었다. NT서버가 불안하다고 여겨 유닉스 서버로 마이그레이션하는 과정에서 방화벽에 대한 설정을 변경된 틈을 타 해커가 해킹을 한 것이다.

A저축은행 관계자는 “방화벽은 1차, 2차로 구분해 설치했으며 2차 방화벽은 2중으로 설치, 3중 방화벽 구조를 갖추고 있다”며 “보안 수준도 감독원 기준에 다 맞추고 전담인력도 운영중이라 시스템상의 문제는 아니다”고 설명했다. 또 “금감원이 2금융권 감사를 통해 점검할 사항인 인터넷과 내부망 분리작업도 이미 진행됐다”고 덧붙였다.

A저축은행의 경우에는 최근 시스템 개편 작업이 꾸준히 진행되면서 보안성 심사도 자주 받아 1년에 1번 이상의 심사를 통해 보안시스템의 성능도 검증받아왔다. 또 A저축은행에 앞서 알려진 B저축은행의 해킹도 시스템보다는 개인의 PC 관리 문제에서 비롯된 것으로 전해졌다. 이에 따라 시스템 구축도 중요하지만 사내의 세부적인 보안 규정 등이 더 세밀하게 강화돼야 할 것으로 보인다.