NEWS‎ > ‎

[디지털타임즈] “금융권 정보유출 구멍은 계정ㆍ접근제어 관리 소홀”

게시자: 김성진, 2014. 12. 22. 오후 4:10   [ 2014. 12. 22. 오후 4:29에 업데이트됨 ]
2014년 1월 22일

금융권 보안 전문가 지적 “USB 보안문제보다 심각”
신동규 기자 dkshin@ | 입력: 2014-02-02 19:54
 [2014년 02월 03일자 3면 기사]
 
이번 사태에서 협력업체 직원의 PC에서 USB가 대량으로 빠져나갔지만 정작 문제는 PC단의 보안이 아닌 다른 곳에 있다는 지적이 제기돼 주목된다. 카드부정사용방지시스템(FDS) 개발 시 테스트시스템 서버에서 어떻게 손쉽게 개발자의 PC단으로 정보가 대량 유출됐는지가 USB 보안 문제보다 더 중요하다는 지적이다.
2일 금융권 보안 전문가에 따르면, 금융권 IT프로젝트 개발은 본사 서버, 개발중인 시스템 (테스트 시스템) 서버, 그리고 개발자들의 개인PC단의 작업으로 크게 분류된다. 정보는 본사 서버에서 개발자들의 PC단으로 일련의 보안 정책을 갖고 전송된다.
이 관계자에 따르면, 대다수 금융권의 본사 서버에 대한 보안 조치는 굉장히 철저한 편이다. 문제는 본사 서버에서 테스트시스템 서버로 일부 정보를 옮기고 또 개발자들의 개인 노트북 등으로 정보를 옮기는 과정에서 계정 관리나 서버접근제어 솔루션 등이 제대로 작동하지 않으면 개발자의 PC까지 대량의 핵심 정보가 흘러나오는 문제가 언제든 생길 수 있다는 것이다.
이 관계자는 "이미 개발자의 PC까지 정보가 내려왔다면 그 정보는 이미 완전히 털렸다고 봐야 하고 거기서 USB보안을 언급하는 것은 의미가 없다"고 지적했다.
이 관계자는 "이번 사태를 보면 USB보안이나 데이터베이스(DB) 암호화 부분만 지나치게 부각이 됐다"며 "개발용 시스템 서버에서 개발자들의 PC단으로 정보가 흐르는 곳을 차단하고 관리할 수 있는 `접근제어 정책' 부분이 훨씬 중요하며, PC단까지 내려오기 전에 앞 선에서 미리 막는 정책 수립에 더 신경을 써야 한다"고 부연했다.
실제 삼성카드와 신한카드는 암호화조치도 상대적으로 잘 돼 있었지만 이 PC단으로 흐르는 정보를 효과적으로 차단해 KCB직원 박모씨가 나머지 3사(KB국민카드, 롯데카드, 농협카드)의 정보를 수천만건씩 빼갈 때 차단에 성공할 수 있었다.
금융권은 2000년대 중반부터 대다수 차세대시스템 도입을 통해 IT시스템에 대한 전반적인 효율성과 처리 용량 등을 향상시켰다. 하지만 계정관리 및 서버접근제어 관리 부문에 대한 인적 기술적 투자를 하지 않으면 유사한 대형 사고가 언제든 터질 수 있다는 것이 이 관계자의 주장이다.
신동규기자 dkshin@