[단독]금감원 2008∼2010년 금융권 조사서 드러난 ‘보안불감증’

고객에 임시번호 주고 두달 방치… 비밀번호 없이 거래한 셈

크게보기

금융감독원의 정보기술(IT) 검사요원들은 2008년 10월 A보험사의 전산망을 검사하다 깜짝 놀랐다. 회사 내부에서도 핵심 관계자만 볼 수 있는 고객의 계좌정보에 외부 협력회사 직원들이 자유롭게 접근할 수 있었기 때문이다. 마음만 먹으면 협력회사 직원들이 계좌정보를 이용해 고객 돈을 인출하는 것도 가능할 정도였다. 보안관리가 워낙 허술해 해킹을 당할 위험도 높았다.

농협과 현대캐피탈의 일로만 여겼던 ‘전산망 보안 둔감증’이 국내 금융회사 전반에 만연한 고질병으로 확인됐다. 금감원이 최근 한나라당 이성헌 의원실에 제출한 ‘2008∼2010년 전 금융권 IT 검사 명세’에 따르면 검사 대상 120건 가운데 무려 47%인 56건에서 보안관리를 허술하게 한 사실이 적발됐다. 검사 대상의 절반 정도에서 ‘보안 구멍’이 발견될 정도로 금융회사의 전산관리가 부실하게 이뤄지고 있는 것이다. 회사 차원에서 보안규정을 어겨 행정상 불이익이 따르는 ‘기관주의’ 조치를 받은 사례는 3년간 총 15건이나 됐다. 그간 드러나지는 않았지만 회사 보안이 총체적으로 문제가 돼 제2의 농협 사태를 일으킬 수 있었던 사례가 한 해 5건씩 터진 셈이다. 특히 보험사는 ‘숨겨진 화약고’였다. 2008∼2010년 적발 건수가 26건으로 전체 적발 건수의 46%였다. 보안이 생명인 은행권도 19건(34%)이나 됐다. 2월 말 현재 생명보험과 손해보험의 가입 건수는 1억6800만 건에 이른다. 보험사에서 농협과 같은 금융전산사고가 터지면 보험가입자 수천만 명의 미래가 모두 사라질 수도 있다. 이 의원실 측은 “농협처럼 전산망 비밀번호를 허술하게 관리하거나 외부 협력업체가 언제든 내부통제시스템에 접근하는 등 유사 사례가 수두룩했다”며 “제2, 제3의 농협 사태를 막으려면 금감원의 보안 점검을 강화하는 것은 물론이고 금융회사의 허술한 보안 관리에 대한 징계도 강화해야 한다”고 지적했다.

○ 유형① 외부에 활짝 열린 내부 시스템

외국계 보험사인 B사는 건물 같은 층에 근무하는 직원들이 수년간 동일한 인터넷주소(IP)를 사용하도록 방치했다. IP는 회사 내부의 주요 전산자료에 누가 어떤 시간대에 어떻게 접근했는지를 알려주는 지표. 수십 명이 한 개의 IP를 쓰다보니, 고객 정보 등을 누가 어떻게 활용했는지 알 방법이 없다. IP를 알아낸 외부 직원이 접속해도 몰랐을 개연성이 크다.

내부 시스템 접근권한을 통제하지 못하는 사례는 금융권 전체에서 가장 많이 발견되는 대표적인 보안관리 허점이다. 한 시중은행의 IT 담당자는 “수백 개의 프로그램에 여러 사람이 각기 다른 IP를 사용해 손을 대면 작업 시간이 지연될 수 있기 때문에 소규모 금융회사들은 여러 직원이 같은 IP를 공유한다”고 말했다. 전문가들은 “금융회사는 대부분 외부 협력업체 직원과 공동작업을 많이 하는 편이어서 내부 시스템으로 접근하는 ‘담벼락’을 견고하게 쌓지 않으면 언제 사고가 날지 아무도 모른다”고 경고한다.

○ 유형② 고객의 개인정보 멋대로 관리

C보험사의 프로그램 개발 담당 직원은 새로운 프로그램을 만드는 최종 단계에서 오류가 없는지 모의시험을 해봤다. 모의시험은 말 그대로 시험용이어서 방화벽이 제대로 작동하지 않아 해킹에 취약하다. 그런데 이 직원은 이 시스템에 고객의 이름, 주민등록번호 등을 그대로 넣고 돌려 버렸다.

금융권 관계자는 “테스트 시스템은 외부 해킹에 취약해 고객정보 원본을 반드시 암호화해서 활용해야 한다”며 “하지만 고객 수천만 명의 이름과 13자리 주민등록번호 등을 일일이 바꾸는 데 품이 많이 들어간다는 이유로 대부분의 회사가 암호화 작업을 소홀히 하고 있다”고 털어놨다.

D은행도 고객정보를 허술하게 다뤘다. 통상 대출 관련 부서 등에서만 고객정보 조회 권한을 갖지만, 이 은행에서는 고객정보를 조회할 필요가 없는 일반 부서에서도 조회 권한을 보유하고 있었다. 은행 직원이 마음만 먹으면 고객 정보를 악용할 수 있다는 얘기다.

○ 유형③ 더는 비밀이 아닌 비밀번호

초유의 전산망 마비사태로 물의를 빚은 농협중앙회는 ‘1’ ‘0000’ 등 단순한 숫자를 비밀번호로 사용해 해킹의 빌미를 제공한 것으로 드러났다. 사실상 ‘비밀’이 아닌 비밀번호를 쓰고 있었다는 뜻이다. 또 전산시스템 비밀번호를 길게는 6년 넘게 바꾸지 않고 사용했다. 농협 전산업무처리지침 등에 따르면 시스템 비밀번호는 3개월에 한 번 이상 바꿔야 한다. 하지만 농협은 비밀번호를 바꾸는 주기가 일정하지 않았고 비밀번호를 강제로 바꿔주는 시스템도 없었다. E보험사는 고객이 인터넷 뱅킹 등 전산 서비스에 가입할 때 비밀번호 대신 비교적 간단한 임시번호를 주고 60일이나 방치했다. 보통 임시번호는 발급된 지 2, 3일이 지나면 폐기돼 인터넷 뱅킹 접속을 차단한다. 임시번호는 편의상 정해주는 번호여서 보험사 직원이나 해커가 유추하기 쉽기 때문이다.
▼ 보험사, 적발건수의 46%차지 ‘화약고’ ▼

보험업계의 전산망 보안관리가 유독 허술한 것은 고객들을 직접 찾아가는 보험업의 영업 특성에서 나온다. 주소 전화번호 메일 등 고객 정보를 공유해 보험 신규 가입자를 유치하다보니 고객 정보는 사실상 누구나 접근할 수 있도록 관리되고 있다는 것이다.

조연행 금융소비자연맹 부회장은 “보험업계가 고객과의 대면 영업에 치중하면서 고객정보 보호는 소홀히 하고 있다”고 말했다. 은행처럼 실시간 거래가 이뤄지지 않다 보니 보안의 중요성을 제대로 인식하지 못하는 것도 문제다. 생명보험협회 관계자는 “계좌이체 등 실시간 거래가 이뤄지는 은행과 달리 보험사의 전산망에서는 계약조회가 주로 이뤄지는 등 금융거래가 적다 보니 보안 의식이 상대적으로 약하다”고 설명했다.

보안 투자도 소홀했다. 보험업계의 지난해 전체 정보기술(IT) 예산 대비 보안예산 비율은 생명보험사와 손해보험사가 각각 2.7%였다. 금융감독원 권고 기준인 5%에 크게 못 미치는 수준이다. 보험사가 50여 개에 이르다 보니 대형사와 소형사 간 보안 투자 격차도 크다.

보험회사들은 전산망 운영과 관련해 IT 협력업체 의존율이 매우 높은 편이다. 한나라당 이성헌 의원실에 따르면 지난해 8월 기준으로 22개 생보사들은 외부용역 비중이 64.6%, 16개 손보사는 86%에 이르렀다. 은행권의 43.6%를 훨씬 웃도는 수치다.

지난해 보험업계의 전자금융거래는 총 45만 건, 거래금액은 2260억 원이다. 1경 원을 넘어서는 은행 전자금융거래액에 비하면 거래금액이 적지만 약관대출 등 전산망에서 처리되는 금융거래들이 매년 크게 증가하는 상황이다. 만약 보험사 전산망이 해킹돼 백업서버까지 손상될 경우 약관대출 거래내용이 삭제돼 고객들이 피해를 볼 개연성을 배제할 수 없다. 올 2월 말 기준 생보 보유 계약건수가 7500만 건, 손보 보유 계약건수가 9300만 건에 이르면서 보험사 전산사고로 인한 초대형 개인정보 유출 우려도 높다. 유출된 개인정보로 메신저에 접속해 친구로 등록된 사람에게 급전을 요구하거나, 소액 결제를 부탁하는 수법으로 악용될 수 있다. 또 개인정보가 대부업체의 인터넷 대출에 악용돼 금전 피해로 이어질 수도 있다.

조은아 기자 achim@donga.com
장윤정 기자 yunjung@donga.com
김철중 기자 tnf@donga.com