DB서버 보다 통제 느슨한 웹 접속해 정보 빼낸듯개인정보 관리자 PC 해킹 가능성도… 전문가 "개인정보 이중 암호화 필요"
현대캐피탈의 고객정보 해킹은 어떤 방법으로 이뤄졌을까. 보안 전문가들은 웹 해킹 방법에 무게를 두고 있다.
웹 해킹이란 인터넷 홈페이지 등 웹에 접속해 정보를 훔치는 방법이다. 대기업이나 금융기관들은 자료 창고인 데이터베이스(DB) 서버에 철저한 보안 장치를 갖추기 때문에 외부에서 접속을 시도하면 서버 담당자에게 문자 메시지로 자동 통보된다.
하지만 하루에 수십 만에서 수억 건의 접속이 이뤄지는 웹은 그렇지 않다. 웹에 까다로운 보안 확인 절차를 갖추면 이용자들의 불편을 초래하기 때문이다. 보안업체 관계자는 "대형 포털이나 금융권은 고객들의 서비스 불편으로 이어질 수 있어 웹 접속을 DB만큼 까다롭게 통제하지 않는다"며 "대신 모니터링을 철저하게 한다"고 말했다.
따라서 보안전문가들은 해커들이 이 같은 점을 악용해 DB보다 웹을 경유한 웹 해킹을 노렸을 가능성이 크며, 이 경우 'SQL 인젝션' 또는 '블라인드 인젝션'이라는 방법을 사용했을 것으로 추정하고 있다. 이 방법은 웹 페이지에서 이용자 접속창이나 검색창에 입력한 값을 DB에 그대로 전달하는 성질을 이용해 접속 창에 정보를 가져오라는 해킹 명령어를 입력하는 방식이다. 한국인터넷진흥원(KISA) 관계자는 "이 방법을 사용하면 소량의 고객 정보를 날마다 조금씩 장기간에 걸쳐 빼낼 수 있다"며 "대량의 정보를 빼내는 것이 아니어서 해킹 당하는 쪽이 눈치를 채지 못할 수 있다"고 설명했다.
무엇보다 이 방법을 사용하면 관련 해킹 도구를 인터넷에서 손쉽게 구할 수 있다. 보안업체 관계자는 "중국에서 관련 해킹 도구를 많이 제작해 인터넷에 유포하므로 기초적인 해킹 지식만 있으면 얼마든지 활용할 수 있다"며 "그래서 SQL 인젝션은 위험도가 높은 해킹 방법"이라고 강조했다.
이와 함께 보안 전문가들은 악성코드를 활용해 개인정보 관리자의 컴퓨터(PC)를 해킹했을 가능성도 염두에 두고 있다. 미국 6위의 지불대행 업체인 하트랜드 페이먼트 시스템사도 2008년 5월부터 2009년 1월까지 6개월이 넘도록 악성코드를 이용한 해킹을 당해 1억3,000만 건의 개인 정보가 유출되면서 사상 최대의 해킹 사고라는 오점을 남겼다. 과거 국내 유명 인터넷 쇼핑몰 A사가 이 같은 방법으로 해킹당해 대규모 고객 정보가 유출된 적이 있다.
따라서 보안업계에서는 금융기관들의 철저한 개인정보 보호조치가 필요하다고 지적했다. 보안업체 관계자는 "개인정보에 대해 이중으로 암호화를 하면 웹 해킹을 당해도 해커가 쉽게 내용을 파악할 수 없다"고 말했다.
최연진기자 wolfpack@hk.co.kr
채희선기자 hschae@hk.co.kr
기사 URL이 복사되었습니다.
댓글0