|
현대캐피탈 개인정보 유출사고가 터지면서 그동안 연례행사처럼 치러온 모의해킹의 실효성에 의문이 제기되고 있다.
모의해킹이란 보안 취약점을 분석해낼 목적으로 시스템에 해킹을 수행하는 것을 말한다.
그러나 금융감독위원회의 보안권고사항에 따라 모의해킹을 정기적으로 실시해온 현대캐피탈이 이번 해킹에 속수무책으로 당하면서 그간의 모의해킹이 요식행위에 불과했다는 지적을 받고 있다.
현재 주요 금융사들은 1년에 최소 두 차례 모의해킹 훈련을 실시하고 있다. 1년에 네 차례 모의해킹 훈련을 실시한다고 밝힌 한 시중은행 관계자는 “해킹기법이 오늘내일 달라져 모의해킹 훈련과 별도로 상시점검 필요성을 느낀다”면서 “정부가 보안인력 양성에 관심을 갖기를 바란다”고 밝혔다.
금융사들은 모의해킹 훈련 과정에서 매번 몇 건의 개선사항을 보안업체로부터 지적받는 것으로 파악됐다. 그러나 문제는 지적받은 취약성을 개선하지 않는다는 점이다.
한 보안컨설팅업체 관계자는 “모 금융회사는 3~4년 동안 모의해킹을 수행하면서 매번 똑같은 문제점을 지적받은 사례도 있다”며 “모의해킹이란 말 그대로 취약점 진단 수준에서 끝나기 때문에 반드시 시스템이 도입돼야 한다. 하지만 시스템을 도입하지 않으니 보안성이 개선될 리 없다”고 말했다.
제1 금융권은 안전진단 등을 수행하며 대부분 모의해킹을 실시하지만, 제2 금융권 등은 그간 신용정보통신법을 준수한다는 핑계로 안전진단의 예외 대상으로 방치되고 있다.
업계 한 관계자는 “현대캐피탈은 할부금융 업계 1위라 그나마 보안에 많은 투자를 하고 모의해킹 등을 수행해 왔음에도 불구하고 2개월여간 해킹당한 사실조차 몰랐다는데 나머지 제2 금융권, 할부금융 업계 등의 보안 수준이 어떨지 걱정스럽다”고 전했다.
모의해킹 수행업체들은 고객사들이 모의해킹에 예산투자를 꺼리며 시스템을 모두 오픈하지 않는 것도 문제라고 지적했다. 자사 시스템을 드러내놓고 진단받기를 기피하는 관습상 정확한 진단이 어렵다는 점도 보안 취약점이 개선되지 않는 주요 원인으로 꼽히고 있다.
짧게는 며칠에서 길게는 2개월까지 진행되는 모의해킹 훈련에 내부 협조가 어려운 것도 문제다. 모 시중은행 IT총괄부장은 “모의해킹 훈련이 상당히 번거로운 것이 사실”이라며 “일부에서는 ‘절차를 다 따라야 하냐’ ‘너무 심한 것 아니냐’고 비판해 설득을 해야 하는 경우도 있다”고 설명했다.
상당수 금융사는 대외적으로 모의해킹 훈련 실태 공개조차 꺼린다. 모 메이저 카드사 관계자는 “모의해킹 훈련을 하고 있다”면서도 “다만 해킹과 관련해 특정회사명이 거론돼 내용이 공개될 경우 오히려 악영향을 끼질 수 있다”며 밝히지 않았다.
업계 전문가는 “해킹 기법이 갈수록 고도화돼 가고 있는 현시점에서 정확히 시스템 문제점을 진단하고 취약성을 개선하기 위한 보안진단은 반드시 필요하다”며 “진단받은 수준에서 보고서를 받아 책상에 꽂아두는 것이 아니라 취약점을 실제로 개선하고 있는지, 사후 시행여부에도 정부 등 관계당국의 감독이 뒤따라야 할 것”이라고 지적했다.
| 
linda@etnews.co.kr