개인정보유출 보안전문가에 물어보니 "예견된 인재"

입력 2014.01.21 14:02 수정 2014.01.24 09:20 윤정선 기자

현존하는 보안 시스템으로 충분히 막을 수 있었던 일

최근 카드사 회원정보 유출과 관련 보안전문가 모두 '예견된 인재'라며 현재 IT 정보 보안 기술로 충분히 막을 수 있었던 일이라고 말했다. ⓒ데일리안

최근 카드사 정보유출과 관련해 보안 전문가들은 '예견된 인재'라고 입을 모은다. 주민등록번호, 여권번호, 운전면호 등 개인을 식별할 수 있는 번호를 암호화하는 보안 시스템을 갖춰도 이를 제대로 운용하지 않으면 '빛좋은 개살구'라는 것이다.

21일 카드업계와 검찰에 따르면, 최근 1억400만건이 넘는 사상 최대 규모의 카드사 회원정보 유출 사태가 발생했다. 이번 사태는 외부 해커가 아닌 내부관리자가 이동식저장디스크(USB) 하나로 빼돌렸다는 점에서 심각성은 더 크다. 신용을 담보로 하는 금융권 전체가 이번 사태로 흔들리는 이유다.

보안전문가는 하나같이 현존하는 IT 보안 기술로 이번 사태를 충분히 막을 수 있다고 한다. 또한, 이들은 정보유출이 최종 확인된 3개 카드사(국민카드, 롯데카드, 농협카드) 모두 일정 수준 이상의 보안 시스템을 갖추고 있는 것으로 판단했다.

이번 정보유출 사태가 보안 기술이 부족해서 발생한 일이 아니라는 주장이다. 창보다 강한 방패를 갖고 있었음에도 방패를 제대로 활용하지 않았다는 설명이다.

정세웅 보안전문가는 "금융사 모두 보안 시스템을 갖추고 있으며 문제가 된 3개 카드사도 예외는 아니다"라며 "누구에게 얼마만큼의 권한을 주느냐가 이번 사태의 원인이자 근본적 해결책"이라고 분석했다.

이어 그는 "현존하는 보안 기술로 이번 사태를 충분히 막을 수 있었다"며 "하지만 구축된 보안 기술을 제대로 운용하지 않는 게 실정이다. 이는 공공기관도 마찬가지다"고 꼬집었다.

기업에서 비싼 돈을 들여 출입 통제를 잘 하더라도 청소하는 아줌마에게 이를 잘 적용하지 않는다면 결과적으로 무용지물이라는 얘기다.

이강산 보안전문가는 "보안 시스템을 갖추고 있더라도 귀찮다는 이유로 외부 용역 직원에게 루트(관리자) 권한을 부여하는 경우가 많다"며 "그러다보니 내부 직원보다 외부 용역 직원이 더 쉽게 고급정보에 접근할 수 있는 경우가 다반사"라고 전했다.

이번 사태를 피한 카드사 한 관계자는 "우리도 정보유출이 확인된 3개 카드사보다 IT 보안 기술이 뛰어나다고 보지 않는다"면서 "다만 보안 시스템 운용에 있어 내부 규정을 원칙적으로 지켜 피해를 막을 수 있었던 것"이라고 알렸다.

이번 사태의 근본적인 문제가 보안 시스템의 질적 문제가 아니라 허술한 운용에 있었다는 분석이다. 더불어 이번 사태를 계기로 보안 시스템 운용상에 문제를 기술적으로 보완해야 한다는 목소리도 이어졌다.

송창민 보안전문가는 "이번 카드사 고객 정보 유출 사태는 '물리적 보안'과 '시스템 보안' 모두 뚫린 것"이라며 "만약 USB를 몰래 반입했다고 하더라도 암호화돼 있다면 정보유출을 차단할 수 있었을 것"이라고 전했다.

물리적 보안은 핸드폰 카메라를 테이프로 막거나 USB 반입 자체를 금지하는 것을 말한다. 시스템 보안은 외부 저장 장치로 정보를 빼내더라도 암호화 기술이나 관리자 승인 등으로 정보 유출을 차단하는 기술이다.

정 보안전문가는 "보안 솔루션을 갖추고 있더라도 이를 보완하는 수단을 갖추지 않으면 보안 솔루션이 제 기능을 못 한다"면서 "외주 인력에게 루트권한을 주더라도 이를 통제할 수 있는 보완 수단이 반드시 병행돼야 한다"고 조언했다.

이어 그는 "결과적으로 이번 사태는 보안 시스템의 문제가 아닌 예견된 인재"라며 "물리적 보안과 시스템 보안이 아무리 잘 갖춰 있더라도 이를 제대로 운용할 수 있는 보완 수단 없이는 이런 피해가 계속 발생할 것"이라고 덧붙였다.

이 보안전문가도 같은 결론을 냈다. 그는 "적어도 외부 용역 직원 대상 보안교육과 감독을 철저히 했다면 이번 사태와 같은 일은 발생하지 않았을 것"이라고 말했다.

#카드사 정보유출

#IT 보안 카드

#카드 고객 정보 유출

#안랩

개인정보유출 보안전문가에 물어보니 "예견된 인재"

댓글 0