[현대캐피탈 해킹 사태] 현대캐피탈 제휴사 접속 사이트가 '약한 고리'전문가 "너무 많은 금융업무 웹 처리 규제해야"
국내 1위 캐피탈사인 현대캐피탈의 고객정보가 해킹 당하자 금융거래고객들의 불안감도 고조되고 있다. 금융은 신뢰를 전제로 하는 것인데, "내 개인정보는 안전할까"라는 불신이 증폭될 경우 자칫 금융시스템 자체가 휘청거릴 수도 있다는 지적도 나오고 있다.
현대캐피탈은 고객정보가 담긴 데이터베이스(DB)는 암호화했지만 제휴사 고객이 서버에 접속해 정보를 열람하면 자동으로 생성되는 로그파일(서버에 기록되는 일지)을 암호화하지 않았다가 해킹을 당했다. 주요 금융사들은 "우리는 고객 DB는 물론 로그파일도 암호화하고 있다"고 주장하고 있지만, 제2금융권 보안 상태에 대한 고객 불신은 어느 때보다도 크다. 금융당국도 11일 오전 일찍 현대캐피탈에 대한 특별검사에 들어가고 금융권 전반의 보안상태를 점검키로 했다.
핵심은 로그파일
일반적으로 해커들은 방화벽과 암호로 중무장한 메인 서버를 정공법으로 공격하지는 않는다. 대규모 전산망을 유지하면서 외부와 자료를 일부 공유도 하다보면 보안에 허술한 '약한 고리'가 늘 있기 마련인데, 해커들은 바로 그 아킬레스건을 찾아 공격하는 것이다.
현대캐피탈의 '약한 고리'는 제휴사가 접속할 수 있는 응용 소프트웨어 서버의 로그파일이었다. 현대캐피탈은 리스사나 정비업체 등 제휴사가 접속하는 별도의 사이트를 만들어주었고, 이들 업체들은 이 사이트에 접속해 자신의 정비업체에서 정비를 받았던 고객의 정비내역 등을 검색해 왔다. 제휴사가 이 사이트에 접속했다가 고객 정보 등을 본 후 로그아웃을 하면 그 안에서 어떤 것들을 조회했는지 자동으로 서버에 기록이 남는데, 이것이 바로 로그파일이다.
문제는 현대캐피탈이 로그파일을 암호화하지 않았다는 것. 고객 DB를 암호화했지만 로그파일에 남는 기록은 모두 평문(암호화되지 않은 문장)으로 기록됐다. 즉 주민번호 등이 평범한 숫자로 기록돼 있는 것이다.
게다가 제휴사가 접속하는 애플리케이션 서버는 유휴시간에 신용대출인 '프라임론' 업무까지 처리했다. 이 때문에 1만3,000명의 프라임론 패스카드 번호와 비밀번호까지 함께 유출됐다. 프라임론 비밀번호는 4자리 숫자인데, 금융권을 이용하는 고객들은 대부분 은행 비밀번호 등 4자릿수 번호를 동일하게 사용한다는 점에서 파장이 클 것으로 보인다.
다른 금융회사들은 괜찮나
일단 주요 캐피탈ㆍ카드업체들은 자기들은 문제가 없다는 입장이다. 한 금융지주 계열 A캐피탈사는 "금융지주 차원에서 24시간 통합보안센터를 가동 중이며 제휴업체 등과 공유하는 보조 서버가 없어서 사외에서 고객정보를 조회할 수 없도록 차단돼 있다"고 밝혔다. B캐피탈사도 "제휴사와 공유하는 서버가 없다"고 밝혔다. 업계 상위권인 이들 업체들은 "로그파일도 모두 암호화한다"고 밝혔다.
2008년 7개 저축은행에서 대규모 고객정보 유출사건을 겪은 저축은행 업계도 "중앙회 전산망을 최근 업그레이드하는 등 고객정보 관리를 철저히 하고 있다"는 입장이다. 하지만 당시에도 저축은행 중앙회 서버가 해킹 당한 것이 아니라 저축은행들이 자체적으로 보관했던 대출고객 정보가 해킹 당한 것이었기 때문에, 이 같은 사고 위험은 상존한다는 것이 보안 전문가들의 지적이다.
한 보안 전문가는 "선진국과 달리 우리나라는 인터넷을 통해 굉장히 여러 가지 업무를 처리하고 제휴사 간 개인정보 공유도 매우 쉽게 하는데, 그만큼 허점이 생기기가 쉽다"며 "단순히 보안시스템을 돈 들여 업그레이드하는 차원에서 벗어나 대규모 전산 투자가 불가능한 중소규모 기업의 경우 웹에서 지나치게 많은 업무를 처리하지 않도록 규제하는 것이 보안에 최선"이라고 밝혔다.
최진주기자 pariscom@hk.co.kr
기사 URL이 복사되었습니다.
댓글0