글
[취재수첩] 금융회사의 돌연사
 |
다행이 범인이 사전 모의단계에서 잡혔기에 망정이지 실제로 수백억원대의고객 돈이 해킹에 의해 사라졌다고 가정해보자. 당장 이 금융회사는 대규모 인출사태가 일어났을 것이고 존립 자체의위기에 빠졌을 수 있다.
나아가 경중에 따라서는국내 금융산업 전체의 신뢰를 무너뜨리는 충격으로 이어질 지도 모를 일이다.
광우병과 마찬가지로, 어쩌면금융회사의 보안 IT투자는 확률의 문제로 볼 것이 아니다. 단순히 '보험'을 든다는 차원에서 금융회사들이보안 IT투자를 바라보는 단계를 이제는 뛰어 넘어야 한다는 것이다.
설령 광우병이 일어날 확률이 지극히 낮다해도 그것이 실제 상황이 됐을 경우 그의 충격파를 아무도 예측할 수 없기 때문이다.
얼마전 미래에셋증권이 DDoS 공격으로 홍역을 치렀고, 15일에는 시스템을 해킹한 해커가 모아저축은행을 상대로 협박을 했다는 사실을 밝혀져 충격을 주고 있다. 앞서 금융권에서 가장 보안이 뛰어나다는 은행권에서도 2건의 시도가 있었다.
특히 모아저축은행의 경우에는 해커가 아예 전산시스템의 '루트 권한'을 획득한 금융권 최초 사례로 밝혀졌다.
금융기관이야 돈이 모이는 곳이고 돈이 모이는 곳에 범죄의 손길도 있을 것이다. 또 돈이 모여드는 곳이기 때문에 해킹 사고에 더 민감하기도 하다. 금융기관의 해킹 시도는 피할 수 없을 것이다.
그렇다면 보안 시스템 현황은 어떨까?
저축은행중앙회 관계자는 이번 모아저축은행 해킹 사건과 관련해 저축은행의 보안 현황에 대해 “열심히 계도는 하고 있으나 저축은행별로 달라 뭐라고 딱 잘라 말할 수는 없다”고 말한다. 또 “중요한 것은 솔루션이 아니라 인식의 문제”라고 덧붙이기도 했다.
몇몇 저축은행의 보안시스템을 살펴보면금융기관에서도 상당히 앞서 있다. 중앙회를 비롯한 DBMS 보안 도입 등은 오히려 은행권보다 빨랐을 정도다.
모아저축은행 역시 IT 보안 솔루션이 타 금융기관에 비해 결코 떨어지는 수준은 아니었다고 전해진다. 규모가 더 큰 금융기관에도 도입되지 않은 IPS(칩입예방시시스템) 등이 이미 이번 해킹 시도 이전에 구축돼 있었다.
이에 대해 보안업계나 저축은행 등에서는 PC 사고였다는 점 등을 고려할 때 ‘인재’였을 가능성도 크다고 입을 모으고 있다. 조금만 더 담당자가 주의를 기울였다면 막을 수 있는 사고였다는 것이다.
아무리 좋은 솔루션을 도입하고 앞선 제품을 구축하더라도 사고를 막을 수 있는 최적의 솔루션은 ‘사람’이라고도 한다. 이것은 그동안 주로 ‘내부보안’을 강조할 때 사용되는 개념이었으나 외부보안 역시 같은 개념이 적용돼야 한다.
방화벽 설정만 잘못해도 솔루션이 무용지물이 되는 경우가 있다. 또 PC에 좋은 백신제품이 깔려있다고 하더라도 사용자가 시스템 느려지는 것이 싫고 귀찮아서 꺼버리면 이 역시 차라리 없느니만 못할 수 있다.
이렇게 IT시스템을 사용하는 사람의 인식이 보안 솔루션, 해커들의 수준을 따라가지 못한다면 수십억원이 아니라 수백억원, 수천억원을 투자해 좋은 솔루션을 갖췄다고 하더라도 다 소용 없는 것이 되고 말 것이다. 금융기관은 항상 이런 점을 기억해 직원들의 보안의식에 좀 더 주의를 기울여야 할 것이다.
RECENT COMMENT