[금융시스템 불안 확산]정보보안 최대 취약고리는 ‘사람’
IT 개발/네트워크-보안 2011. 4. 16. 23:28
농협사태를 보면서 느끼는점.
1.소잃고 외양간 고친다. 소를 잃기 전에는 콧방귀도 뀌지 않는다.
2. 예전부터 사람이 최대 취약고리였다. 그동안 잘 돌아갔던것도 IT인력의 도덕성 덕분이었던 같다.
3. 이번일을 계기로 IT를 통채로 아웃소싱하는게 좋지 않을까라고 생각할 때 이런 문제도 같이 검토했으면 좋겠다.
http://news.naver.com/main/hotissue/read.nhn?mid=hot&sid1=101&gid=507869&cid=682447&iid=327228&oid=020&aid=0002231425&ptype=011
A3면3단 기사입력 2011-04-16 03:27 
[동아일보] 은행 보안담당자 평균 6명뿐… 전산관리자 감시도 안해
농협의 전산 시스템 중단 사고와 현대캐피탈의 고객정보 유출 사고 등 대형 금융사고가 잇따르면서 그동안 안전하다던 금융전산망이 허술하게 뚫린 데 대한 시민들의 불안감이 커지고 있다.
전문가들은 사태가 여기까지 이른 가장 큰 원인은 ‘사람’이라고 지적한다. 금융회사의 정보기술(IT) 담당자들이 보안 업무를 아웃소싱을 통해 협력업체에 통째로 맡기면서 정작 책임을 져야 할 담당자들의 보안의식과 관리 능력이 형편없어졌다는 것이다.
기업들이 정보보안 인력을 관리할 조직도, 의지도 갖고 있지 않은 점도 큰 문제점으로 꼽힌다.
이성헌 한나라당 의원에 따르면 국내 16개 은행의 보안담당 인원은 평균 6명. 수조 원의 고객 돈을 굴리는 은행들이 정보보호에 쓰는 돈은 연간 34억 원에 불과하다. 한 사람이 실수하더라도 이를 ‘더블체크’해서 잡아낼 수 있는 감시자도 없다. 이 모든 게 보안을 투자로 보지 않고 비용으로 보는 기업들의 안일한 인식 탓이다.
○ 허술한 ‘사람’ 관리
최근 발생한 농협의 전산 사고에 대해 검찰 수사가 ‘내부자의 사이버 테러’ 가능성을 언급하는 이유는 농협 서버를 마비시킨 노트북컴퓨터 때문이다. 검찰은 외부 용역을 맡은 한국IBM 직원의 이 노트북에 농협 직원들도 접근할 수 있었던 것으로 보고 있다.
이처럼 많은 기업이 동일한 ID와 패스워드 몇 가지를 여러 사람 또는 팀 전체가 공유해 사용하도록 하고 있다. 보안 전문가들은 이번 농협 사고도 작업 편의를 높이기 위해 한 컴퓨터에 여러 명이 접근할 수 있도록 했다가 문제가 생겼을 가능성이 있다고 지적했다.
그나마 금융권은 ID와 패스워드를 입력하더라도 몇 개의 관문을 더 거치도록 하지만 병원 같은 곳은 보안 시스템 구축에 허술하다. 환자의 질병 기록 등 중요한 정보를 다루지만 보안의식은 낮기 때문이다. 한 보안 전문가는 “같은 통신망을 쓰는 병원 내부에서는 보안을 위한 방화벽을 뚫기가 더 쉬운데도 병원 안에서 외부인의 인터넷 접속을 제한하는 병원은 드물다”고 말했다.
ID와 패스워드를 알아내는 기술도 발전하고 있다. 최근 인기를 끄는 소셜네트워크서비스(SNS)만 분석해도 찾아낼 수 있다.
예를 들어 기업 전산관리자가 페이스북에 자신의 애완견 이름을 올려놓는다면 해커들은 이 정보를 파악해 암호를 조합한다. 애완동물 이름이 비밀번호로 사용될 가능성이 높기 때문이다. 전문가들은 이를 기존의 공학적인 정보보안 공격이 아닌 사회관계를 이용한 정서적인 접근이라는 뜻에서 ‘사회공학적 공격’이라고 부른다.
정보보안업체 시만텍코리아의 윤광택 보안담당 이사는 “기업이 직원들에게 보안에 대한 체계적인 교육을 시켜서 사람의 부주의가 가장 큰 허점이라는 경각심을 일깨워야 한다”고 강조했다.
○ 턱없이 부족한 보안 투자
정부 당국은 은행 등 금융회사들이 IT 예산의 5%를 보안에 투자하도록 권고하고 있지만 이를 지키는 곳은 드물다. 이성헌 한나라당 의원이 금융감독원으로부터 받은 금융권 보안 예산 현황에 따르면 지난해 시중 16개 은행이 IT 예산 가운데 보안에 쓴 비중은 3.4%에 불과했다.
회사에 최고정보보호책임자(CISO) 직책이 있는 곳도 드물다. 방송통신위원회가 지난해 6529개 기업을 조사한 결과 14.6%만 CISO가 있었다. 기업들이 정보 암호화를 게을리 하는 것도 암호화한 것을 다시 복구해 들여다보려면 시간과 비용이 많이 들기 때문이다.
보안 컨설턴트 출신인 류한석 기술문화연구소장은 “보안 사고로 기업이 파산할 정도의 위기를 겪는다면 기업도 보안 투자를 늘릴 것”이라며 “하지만 지금까지 보안 사고가 나도 대충 넘어간 경우가 많아 기업들이 보안 투자는 적게 해놓고 나중에 문제가 생기면 그때그때 대처하려는 유혹을 받게 된다”고 지적했다.
김상훈 기자 sanhkim@donga.com
김현수 기자 kimhs@donga.com
[금융시스템 불안 확산]정보보안 최대 취약고리는 ‘사람’
A3면3단 기사입력 2011-04-16 03:27  |
[동아일보] 은행 보안담당자 평균 6명뿐… 전산관리자 감시도 안해
농협의 전산 시스템 중단 사고와 현대캐피탈의 고객정보 유출 사고 등 대형 금융사고가 잇따르면서 그동안 안전하다던 금융전산망이 허술하게 뚫린 데 대한 시민들의 불안감이 커지고 있다.
전문가들은 사태가 여기까지 이른 가장 큰 원인은 ‘사람’이라고 지적한다. 금융회사의 정보기술(IT) 담당자들이 보안 업무를 아웃소싱을 통해 협력업체에 통째로 맡기면서 정작 책임을 져야 할 담당자들의 보안의식과 관리 능력이 형편없어졌다는 것이다.
기업들이 정보보안 인력을 관리할 조직도, 의지도 갖고 있지 않은 점도 큰 문제점으로 꼽힌다.
이성헌 한나라당 의원에 따르면 국내 16개 은행의 보안담당 인원은 평균 6명. 수조 원의 고객 돈을 굴리는 은행들이 정보보호에 쓰는 돈은 연간 34억 원에 불과하다. 한 사람이 실수하더라도 이를 ‘더블체크’해서 잡아낼 수 있는 감시자도 없다. 이 모든 게 보안을 투자로 보지 않고 비용으로 보는 기업들의 안일한 인식 탓이다.
○ 허술한 ‘사람’ 관리
최근 발생한 농협의 전산 사고에 대해 검찰 수사가 ‘내부자의 사이버 테러’ 가능성을 언급하는 이유는 농협 서버를 마비시킨 노트북컴퓨터 때문이다. 검찰은 외부 용역을 맡은 한국IBM 직원의 이 노트북에 농협 직원들도 접근할 수 있었던 것으로 보고 있다.
이처럼 많은 기업이 동일한 ID와 패스워드 몇 가지를 여러 사람 또는 팀 전체가 공유해 사용하도록 하고 있다. 보안 전문가들은 이번 농협 사고도 작업 편의를 높이기 위해 한 컴퓨터에 여러 명이 접근할 수 있도록 했다가 문제가 생겼을 가능성이 있다고 지적했다.
그나마 금융권은 ID와 패스워드를 입력하더라도 몇 개의 관문을 더 거치도록 하지만 병원 같은 곳은 보안 시스템 구축에 허술하다. 환자의 질병 기록 등 중요한 정보를 다루지만 보안의식은 낮기 때문이다. 한 보안 전문가는 “같은 통신망을 쓰는 병원 내부에서는 보안을 위한 방화벽을 뚫기가 더 쉬운데도 병원 안에서 외부인의 인터넷 접속을 제한하는 병원은 드물다”고 말했다.
ID와 패스워드를 알아내는 기술도 발전하고 있다. 최근 인기를 끄는 소셜네트워크서비스(SNS)만 분석해도 찾아낼 수 있다.
예를 들어 기업 전산관리자가 페이스북에 자신의 애완견 이름을 올려놓는다면 해커들은 이 정보를 파악해 암호를 조합한다. 애완동물 이름이 비밀번호로 사용될 가능성이 높기 때문이다. 전문가들은 이를 기존의 공학적인 정보보안 공격이 아닌 사회관계를 이용한 정서적인 접근이라는 뜻에서 ‘사회공학적 공격’이라고 부른다.
정보보안업체 시만텍코리아의 윤광택 보안담당 이사는 “기업이 직원들에게 보안에 대한 체계적인 교육을 시켜서 사람의 부주의가 가장 큰 허점이라는 경각심을 일깨워야 한다”고 강조했다.
○ 턱없이 부족한 보안 투자
정부 당국은 은행 등 금융회사들이 IT 예산의 5%를 보안에 투자하도록 권고하고 있지만 이를 지키는 곳은 드물다. 이성헌 한나라당 의원이 금융감독원으로부터 받은 금융권 보안 예산 현황에 따르면 지난해 시중 16개 은행이 IT 예산 가운데 보안에 쓴 비중은 3.4%에 불과했다.
회사에 최고정보보호책임자(CISO) 직책이 있는 곳도 드물다. 방송통신위원회가 지난해 6529개 기업을 조사한 결과 14.6%만 CISO가 있었다. 기업들이 정보 암호화를 게을리 하는 것도 암호화한 것을 다시 복구해 들여다보려면 시간과 비용이 많이 들기 때문이다.
보안 컨설턴트 출신인 류한석 기술문화연구소장은 “보안 사고로 기업이 파산할 정도의 위기를 겪는다면 기업도 보안 투자를 늘릴 것”이라며 “하지만 지금까지 보안 사고가 나도 대충 넘어간 경우가 많아 기업들이 보안 투자는 적게 해놓고 나중에 문제가 생기면 그때그때 대처하려는 유혹을 받게 된다”고 지적했다.
김상훈 기자 sanhkim@donga.com
김현수 기자 kimhs@donga.com
'IT 개발 > 네트워크-보안' 카테고리의 다른 글
| 이벤트 사이트로 기업 정보 '줄줄 샌다' (0) | 2011.05.24 |
|---|---|
| [해킹사례] 세티즌 (0) | 2011.05.23 |
| 중국 잡지서 한국 해킹법 버젓이 소개 (0) | 2011.04.26 |
| 누구나 도심 전광판의 영상 정보 해킹 가능하다 (0) | 2011.04.14 |
| “금감원 내 IT검사국 운영해야” (0) | 2011.04.12 |