구슬이네 IT & Media / IT 와 미디어를 바라봅니다



정책, 현실에 관한 기사

○ [위키피디아] 2014년 대한민국 개인정보 대량유출 사건 (바로가기) ☞ 뭔가 국가적으로 굉장히 창피하네요. 

○ [엔하위키] 카드사 개인정보 유출사건 (바로가기)

○ 주민등록번호 KSSN 세계인의 공공재가 되어버린 주민등록번호 제도 폐지하자 (바로가기)

○ [블로터] “한국의 기형적 시스템, 주민번호” (14.02.18) (바로가기)

○ [블로터] “나를 유령으로 만드는 주민번호, 물렀거라” (14.02.19) (바로가기)

○ [블로터] “본인확인 요구하는 규제가 개인정보 유출 불렀다” (14.03.19) (바로가기)

○ [파이낸셜뉴스] 온 국민 개인정보 털렸다 (바로가기)

○ [블로그] 광파리의 IT 이야기 - 해커의 경고 "전 국민 누구든 신용불량자 만들 수 있다" (바로가기)

○ [뉴스] 한국인 주민번호 확인 사이트 중국서 활개 (14.03.19) (바로가기)

○ [SBS] 현장21 - 1원짜리 주민번호 부제:주민번호는 만능키 (14.04.08) (소개 블로그 바로로가기)


최신 정보유출 뉴스

○ [블로그] 보안블로그 울지않는 벌새 - 티켓몬스터(TicketMonster) 개인정보 113만명 유출 사고 발생 (14.3.7) (바로가기)

○ [블로그] 보안블로그 울지않는 벌새 - 천재교육 홈페이지 해킹 (14.04.13) (바로가기)



※ 참고자료1 : 김영홍 함께하는시민행동 정보인권국장이 토론회에서 배포한 ‘주민등록번호 유출 사례로 보는 개선의 필요성’




최근 국개 보안인력 통계를 알아볼일이 있어서 자료를 찾다보니

KISA에서 통계자료를 많이 제공하고 있네요.

주소는 아래와 같습니다.

http://www.kisa.or.kr/public/library/reportList.jsp?searchType=&searchKeyword=&pageIndex=6



http://www.ciobiz.co.kr/news/articleView.html?idxno=7711

 

#퇴사를 일주일 앞둔 K 부장은 외부에서 가상사설망(VPN)으로 문서에 접근해 최근 기획한 과제들에 대한 자료를 메일로 보내놓고 관련 기술 문서들을 일주일 동안 두 번 USB에 담았다.

#메신저로 동료와 이직 문제를 상의하던 H 과장은 문서관리시스템에서 접속해 본인이 등록되지 않은 타 부서 파일의 암호를 해제하고 문서를 프린트하는 일이 평소의 세 배로 잦아졌다.

기술 유출을 시도하는 직원들의 특정 행위들을 시나리오로 그려놓고 '잠재적 범죄자'를 선별해 내는 시스템 구축이 활기를 띠고 있다. 메신저-USB-프린터-메일 등 다수 시스템을 동시에 분석해 '블랙 리스트'를 집중 관리하는 것이 가장 큰 목표다.

24일 업계에 따르면 삼성전자, LG전자, 현대자동차, LG화학, GS칼텍스, GS건설 등이 최근 이같은 IT 통합관제 및 분석 시스템을 신규 혹은 재구축하고 가동에 돌입했다. 현대카드·현대캐피탈 등은 보안사고 발생 이후 시스템을 구축했으며 넥슨·삼성카드 등도 관련 시스템 도입을 검토하고 있다.

보안강화를 목표로 하는 이 기업의 통합 관제 시스템은 임직원이 여러 시스템에 접속하는 행위를 수집하고 특정 '패턴'과 일치하면 해당 직원을 자동추출 및 집중관리하는 기능을 제공한다. 전문 SW 도입으로 수작업 분석 업무를 시스템화해 실시간 대응력을 높였다.

퇴직 예정자 및 개인정보 취급 임직원, 핵심 기술 보유 직원 등이 주요 대상으로 사내 메신저부터 이메일, USB 저장장치, 프린터·복합기, 전자문서관리시스템(EDMS) 등 적게는 10개에서 많게는 20개 이상의 업무용 시스템의 로그 정보를 동시에 연계 분석한다.

디지털저작권관리(DRM) 시스템 등은 단일 채널에 대한 보안을 관리하지만 기술 유출 시도자들은 다양한 시스템에 걸쳐 이상 행위가 포착된다는 점에 착안한 것이다. 기업 당 보안 정책에 맞춰 200~500개의 보안 유출 시나리오를 보유, 패턴 유형도 급속히 진화하고 있다.

삼성전자는 핵심 시스템의 로그 정보를 빠르게 수집·분석할 수 있는 툴과 일부 시스템의 통합 관제를 위한 로그 수집 SW 등을 도입, 업그레이드 중이다. LG전자는 로그분석 및 시나리오 기반 통합관제 전문 SW를 도입해 본사 전 사업장에 시스템을 지난해 구축한 데 이어 올해 해외 사업장에 확산한다. 현대자동차와 LG화학도 올 상반기에 통합 관제 시스템 구축과 고도화를 각각 완료하고 적용을 시작한다.

임직원 수가 많은 대기업들은 로그 정보 데이터량만 해도 하루에 50~100GB에서 수 테라바이트(TB)에 달해 '빅데이터'를 위한 실시간 상관 분석도 핵심 관건으로 부상하고 있다. LG전자, 현대차 등은 시나리오별 보안 유출 가능성 자동 판단 기능이 탑재된 통합관제 SW를 도입해 데이터량을 줄이면서 대응력을 높인 경우다.

통합관제 업계 관계자는 “최근 개인정보보호법 등 대응을 위해 시스템을 개선하는 사례도 늘어나고 있다”면서 “금융뿐 아니라 대학가에서도 관심이 높아지고 있어 올해 시장이 작년 대비 약 30% 성장할 것으로 전망한다”고 말했다.

유효정기자 hjyou@etnews.com



출처 : http://media.paran.com/economy/view.kth?dirnews=3822689&year=2011&rtlog=TD

 

[이투데이 박은지 기자]
사용자가 기억하기 쉬운 단순한 비밀번호일수록 해커들의 좋은 먹잇감이 되는 것으로 나타났다.
미국 인터넷 서비스업체 AOL은 17일(현지시간) 올해 최악의 비밀번호 25개를 선정하고 그 중 ‘password(비밀번호)’가 1위에 올랐다고 인터넷 보안업체 스플래시데이터 조사를 인용해 발표했다.
단순한 숫자조합인 ‘123456’과 ‘12345678’이 각각 2위와 3위에 올랐다.
영문 자판 가장 왼쪽에 나란히 있는 알파벳 ‘qwerty’가 4위, 영문과 숫자를 단순하게 조합한 ‘abc123’이 5위를 각각 차지했다.
‘monkey’,‘1234567’,‘letmiin’,‘trustno1’,‘dragon’등이 10위권 내에 들었다.
이밖에 ‘baseball’, ‘1111’, ‘iloveyou’,‘master’,‘sunshine’, ‘123123’,‘football’,‘654321’ 등이 최악의 비밀번호로 꼽혔다.
스플래시데이터는 “해커들은 다양한 기술을 갖고 있지만 여전히 방어벽을 깨고 들어가는 가장 손쉬운 수법으로 쉬운 비밀번호를 먼저 시도한다”면서 “최소 8자 이상의 대·소문자, 숫자와 기호를 적절히 섞어 쓰는 것이 좋다”고 조언했다.
미래경제를 선도하는 바른뉴스 이투데이 | 행복한 부자 풍요로운 인생 Hello! money
Copyrightⓒ이투데이, All rights reserved. (무단 전재 및 재배포 금지)






 출처 : http://www.etnews.co.kr/news/detail.html?id=201105230124

#.지난해 LS네트웍스는 필리핀 출신 전문 해커에게 자사 ‘스케쳐스’ 브랜드 홍보사이트를 공격받았다. LS네트웍스 스케쳐스 사업본부 측은 “온라인에서 제품을 판매하지 않는 이벤트성 홍보 사이트는 정보통신망법에 적용되지 않는 것으로 잘못 알아서 회원 DB를 암호화하지 않았다”고 말했다.

#.지난 2009년 보안업체 잉카인터넷은 루마니아 해커 ‘우노’에게 자사의 엔프로텍트 사이트를 해킹당했다. 해커는 SQL 인젝션(SQL injection) 공격으로 엔프로텍트 사이트에서 수 백만개 고객 비밀번호와 제품 시리얼 넘버를 해킹했다. 해킹당한 엔프로텍트 사이트는 잉카인터넷이 개인용 고객의 불만사항 등을 접수하기 위한 이벤트 사이트였다.

이벤트 사이트가 위험하다.

최근 한국전자금융 홈페이지 해킹으로 8000여명의 입사지원자 개인정보가 유출되는 사고가 발생한 것처럼 대다수 기업과 기관이 단기간 운영하는 채용 공고나 경품 프로모션 같은 이벤트 사이트의 보안을 방치하고 있는 것으로 드러났다.

이벤트 사이트의 보안이 취약하면 SQL 인젝션 공격 등으로 DB 정보를 긁어가거나 이벤트 사이트를 경유해 내부 주요 서버 DB까지 침입이 가능, 심각한 사태를 불러올 수도 있다.

또 이벤트 사이트는 아웃소싱 업체에 하청을 주는 경우도 많아 더욱 보안에 취약하다. 영세 하청업체가 보안 지침에 따라 사이트를 개발하긴 어렵기 때문이다.

실제 모의해킹을 주로 담당하는 해커 P씨는 “정상적인 사이트보다 기업들이 단기간 운영하는 이벤트 사이트에서 주로 취약성을 찾는다”며 “이벤트 사이트는 방화벽, 침입방지장비(IPS), 침입탐지장비(IDS) 등 보안 시스템 밖에 두거나 시큐어코딩 없이 급하게 만들어 보안에 취약한 편”이라고 말했다.

오경수 롯데정보통신 사장은 “이벤트나 단기 포로모션 등을 사업부 단위로 국한하다 보니 보안을 검토할 여유가 없다”며 “보안 가이드라인을 준수하며 목적에 맞는 사이트를 만들어야 보안을 유지할 수 있다”고 말했다. 오 사장은 또 “프로그램 코딩부터 사후관리까지 전체를 총괄하는 최고보안책임자(CSO) 등도 반드시 필요하다”고 덧붙혔다.

장윤정기자 linda@etnews.co.kr



제 개인정보도 유출되었네요.

옥션 + 세티즌 + 농협 의 데이터를 한곳에 모을 수 있다면 제2, 제3의 피해를 입히는 것이 가능할것 같습니다. 보이스 피싱을 더 정밀하게 할 수도 있고, 계정정보로 다른 사이트에 로긴해서 추가 개인정보를 가져갈 수도 있구요.





중국은 이런잡지를 만드는거 보면 참 신기한 나라인것 같습니다.
그리고 자꾸 타겟이 우리나라가 되는 것 같아서 웹사이트를 운영하는 관리자는 이런 보안위협도 인지를 하고 있어야 할것 같습니다.
허허 하게 만드는 기사네요.


 출처 : http://www.etnews.co.kr/news/detail.html?id=201104250213

중국 잡지서 한국 해킹법 버젓이 소개

중국 잡지에서 한국 사이트에 웹셸(web-shell)을 심어 해킹하는 방법이 버젓이 공개됐다. 정부와 업체, 보안 당국의 적극적 대응이 필요하다는 지적이다.

중국 해킹 관련 잡지 중의 하나인 ‘해커방선(黑客防線)’은 4월호에 한국 인터넷 사이트 해킹법을 상세히 설명하는 기사를 게재했다.

그간 중국 내에서 한국 사이트를 해킹하는 동영상을 인터넷 사이트에 게재해두거나 해킹툴, 개인정보 등을 암암리에 판매하는 사례가 빈번한 것으로 알려졌지만 정식으로 서점에서 판매하고 있는 잡지에서 공공연하게 한국 사이트 해킹법을 강의하는 사례는 처음으로 포착됐다. 관련기사 일자 1면

기사에서 쓰인 대로 따라하면 초보자도 손쉽게 해킹이 가능해 모의범죄가 우려되는 상황이다.

해커방선은 지난 2001년 창간된 중국 해킹관련 잡지 가운데 하나로 중국의 길거리 가판대나 서점 등에서 손쉽게 구매할 수 있다. 해커방선은 이번 기사 이외에도 과거 한국의 유명 사이트에 올려둔 제로보드 취약점 공개, 한국 사이트 해킹 동영상 CD 부록 등을 제공한 바 있다.

중국 내 보안 동향을 파악하고 위협을 분석하는 중국 보안 전문업체 씨엔시큐리티의 류승우 사장은 “해커방선 4월호에 게재된 ‘리눅스(Linux) 사이트의 침투’라는 기사는 한국 사이트 ‘http://www.xxxxxxxx.kr/특정=1483’ 내에 SQL 인젝션 취약점이 존재하며 취약점이 존재하는 해당 페이지를 이용해 웹셸을 업로드한 후 서버 관리 자격을 획득, 개인정보 등을 빼내갈 수 있다는 내용을 담고 있다”고 설명했다.

류 사장은 “중국 내부에는 해커방선과 같은 잡지가 숱하게 많다”며 “기사에 나온 국내 온라인 사이트는 중국에서 침입한다는 사실을 모르고 웹셸과 같은 취약성을 없애지 않아 지속적으로 공격을 당하고 있다”고 말했다. 이 사이트는 한국어를 아는 사람이 사이트 화면을 보면 어느 사이트인지 바로 알 수 있다.

◇웹셸(web-shell)=공격자가 원격으로 웹 서버에 명령을 할 수 있도록 만들어진 해킹 툴이다. 이를 이용하면 서버 내의 거의 모든 자료를 들여다볼 수 있으며 웹 페이지 변환, 악성코드 업로드 등 사이트에 대한 모든 위·변조가 가능하다. 관리자 권한을 획득한 것이나 마찬가지의 기능을 수행할 수 있다.

장윤정기자 linda@etnews.co.kr




농협사태를 보면서 느끼는점.

1.소잃고 외양간 고친다. 소를 잃기 전에는 콧방귀도 뀌지 않는다.

2. 예전부터 사람이 최대 취약고리였다. 그동안 잘 돌아갔던것도 IT인력의 도덕성 덕분이었던 같다.

3. 이번일을 계기로 IT를 통채로 아웃소싱하는게 좋지 않을까라고 생각할 때 이런 문제도 같이 검토했으면 좋겠다.

 http://news.naver.com/main/hotissue/read.nhn?mid=hot&sid1=101&gid=507869&cid=682447&iid=327228&oid=020&aid=0002231425&ptype=011

[금융시스템 불안 확산]정보보안 최대 취약고리는 ‘사람’



[동아일보] 은행 보안담당자 평균 6명뿐… 전산관리자 감시도 안해

농협의 전산 시스템 중단 사고와 현대캐피탈의 고객정보 유출 사고 등 대형 금융사고가 잇따르면서 그동안 안전하다던 금융전산망이 허술하게 뚫린 데 대한 시민들의 불안감이 커지고 있다.

전문가들은 사태가 여기까지 이른 가장 큰 원인은 ‘사람’이라고 지적한다. 금융회사의 정보기술(IT) 담당자들이 보안 업무를 아웃소싱을 통해 협력업체에 통째로 맡기면서 정작 책임을 져야 할 담당자들의 보안의식과 관리 능력이 형편없어졌다는 것이다.

기업들이 정보보안 인력을 관리할 조직도, 의지도 갖고 있지 않은 점도 큰 문제점으로 꼽힌다.

이성헌 한나라당 의원에 따르면 국내 16개 은행의 보안담당 인원은 평균 6명. 수조 원의 고객 돈을 굴리는 은행들이 정보보호에 쓰는 돈은 연간 34억 원에 불과하다. 한 사람이 실수하더라도 이를 ‘더블체크’해서 잡아낼 수 있는 감시자도 없다. 이 모든 게 보안을 투자로 보지 않고 비용으로 보는 기업들의 안일한 인식 탓이다.

○ 허술한 ‘사람’ 관리

최근 발생한 농협의 전산 사고에 대해 검찰 수사가 ‘내부자의 사이버 테러’ 가능성을 언급하는 이유는 농협 서버를 마비시킨 노트북컴퓨터 때문이다. 검찰은 외부 용역을 맡은 한국IBM 직원의 이 노트북에 농협 직원들도 접근할 수 있었던 것으로 보고 있다.

이처럼 많은 기업이 동일한 ID와 패스워드 몇 가지를 여러 사람 또는 팀 전체가 공유해 사용하도록 하고 있다. 보안 전문가들은 이번 농협 사고도 작업 편의를 높이기 위해 한 컴퓨터에 여러 명이 접근할 수 있도록 했다가 문제가 생겼을 가능성이 있다고 지적했다.

그나마 금융권은 ID와 패스워드를 입력하더라도 몇 개의 관문을 더 거치도록 하지만 병원 같은 곳은 보안 시스템 구축에 허술하다. 환자의 질병 기록 등 중요한 정보를 다루지만 보안의식은 낮기 때문이다. 한 보안 전문가는 “같은 통신망을 쓰는 병원 내부에서는 보안을 위한 방화벽을 뚫기가 더 쉬운데도 병원 안에서 외부인의 인터넷 접속을 제한하는 병원은 드물다”고 말했다.

ID와 패스워드를 알아내는 기술도 발전하고 있다. 최근 인기를 끄는 소셜네트워크서비스(SNS)만 분석해도 찾아낼 수 있다.

예를 들어 기업 전산관리자가 페이스북에 자신의 애완견 이름을 올려놓는다면 해커들은 이 정보를 파악해 암호를 조합한다. 애완동물 이름이 비밀번호로 사용될 가능성이 높기 때문이다. 전문가들은 이를 기존의 공학적인 정보보안 공격이 아닌 사회관계를 이용한 정서적인 접근이라는 뜻에서 ‘사회공학적 공격’이라고 부른다.

정보보안업체 시만텍코리아의 윤광택 보안담당 이사는 “기업이 직원들에게 보안에 대한 체계적인 교육을 시켜서 사람의 부주의가 가장 큰 허점이라는 경각심을 일깨워야 한다”고 강조했다.

○ 턱없이 부족한 보안 투자

정부 당국은 은행 등 금융회사들이 IT 예산의 5%를 보안에 투자하도록 권고하고 있지만 이를 지키는 곳은 드물다. 이성헌 한나라당 의원이 금융감독원으로부터 받은 금융권 보안 예산 현황에 따르면 지난해 시중 16개 은행이 IT 예산 가운데 보안에 쓴 비중은 3.4%에 불과했다.

회사에 최고정보보호책임자(CISO) 직책이 있는 곳도 드물다. 방송통신위원회가 지난해 6529개 기업을 조사한 결과 14.6%만 CISO가 있었다. 기업들이 정보 암호화를 게을리 하는 것도 암호화한 것을 다시 복구해 들여다보려면 시간과 비용이 많이 들기 때문이다.

보안 컨설턴트 출신인 류한석 기술문화연구소장은 “보안 사고로 기업이 파산할 정도의 위기를 겪는다면 기업도 보안 투자를 늘릴 것”이라며 “하지만 지금까지 보안 사고가 나도 대충 넘어간 경우가 많아 기업들이 보안 투자는 적게 해놓고 나중에 문제가 생기면 그때그때 대처하려는 유혹을 받게 된다”고 지적했다.

김상훈 기자 sanhkim@donga.com  

김현수 기자 kimhs@donga.com



참 취약한 것들이 많네요. .별일이 안생기는게 신기한듯.

출처 : http://www.etnews.co.kr/201101210125

전광판에 포르노 영상이 버젓이 게시되는 등 우리나라 도심 곳곳에 설치한 전광판이 관리 업체의 허술한 보안 관리로 해킹에 취약한 것으로 지적됐다.

23일 보안 커뮤니티 시큐어연구회에 따르면 90% 이상의 전광판 업체들이 대기업 등 고객사의 전광판 제어 프로그램을 누구나 접근이 가능한 인터넷 홈페이지에 함부로 게재하고 있는 것으로 파악됐다.

특히, 고객사의 전광판 제어프로그램을 내려 받으면 전광판 영상 정보를 해커가 자유자재로 제어할 수 있는 고객 인터넷주소(IP)와 CDMA 번호가 노출돼 손쉽게 해킹이 가능한 것으로 드러났다.

전광판 해킹 과정은 매우 간단하다. 전광판 업체 홈페이지에 올려놓은 특정 기업의 전광판 프로그램을 내려 받은 후 프로그램 내부에 있는 IP주소나 CDMA 번호를 이용해 원하는 문구·영상을 전광판에 내보낼 수 있다. 네트워크 전송 프로토콜(TCP/IP) 기반의 전광판의 경우도 전광판 관리 업체의 홈페이지 서버를 경유해서 접근하면 손쉽게 영상 조작이 가능하다.

실제, 지난해 초 러시아 모스크바 시내에서 전광판을 해킹해 음란물이 나오게 한 혐의로 40대 남성이 체포된 사건이 발생한 바 있다. 지난 2006년에는 캐나다 토론토의 철도광고 전광판에 해커가 3일 동안 ‘캐나다 총리가 아이들을 잡아먹는다’는 괴 문구를 띄운 사건도 발생했다.

전광판 업체의 이 같은 소홀한 보안 관리로 전광판이 해커에 의해 사회적 혼란을 부추기는 도구로 활용될 수 있다는 지적이다. 교통·일반정보·재난통보·광고 등의 용도로 전광판이 이용되고 있지만 악의를 품은 해커가 전팡관 제어 PC 또는 전광판 CDMA 번호를 이용해 포르노 영상은 물론 전쟁 발발·방사능 누출 등 허위정보를 전광판에 게재할 수 있기 때문이다.

이경태 시큐어연구회 회장은 “국내 약 90% 이상의 전광판 관리 업체가 홈페이지에 고객의 전광판 제어 프로그램을 업로드하고 있어 이를 악의적인 목적을 가진 사람이 다운로드 받아 손쉽게 잘못된 정보를 게시할 수 있다”고 말했다.

이 회장은 “해킹 전문가가 아닌 컴퓨터 지식을 조금 가진 사람이라면 누구나 쉽게 전광판 영상 조작이 가능하다”며 “전광판 관리 업체는 해당 고객사만 전광판 제어 프로그램에 접근하는 관리자 권한을 설정하는 등 보안 대책을 세워야 한다”고 강조했다.

장윤정기자 linda@etnews.co.kr





 출처 : http://www.etnews.co.kr/news/detail.html?id=201104110177

현대캐피탈 고객정보 대량 유출사건이 IT보안시스템 투자 지연으로 인한 예고된 인재(人災)로 판명되면서, 금융감독당국 조직에 ‘IT검사국’을 만들어 상시 대응체제를 구축해야 한다는 목소리가 높아지고 있다. 이달 말 검사 조직·활동 강화에 초점을 맞춘 조직개편을 앞둔 금융감독원부터 금융권 IT운영시스템을 집중 검사할 수 있는 조직과 인력이 보강돼야 한다는 지적이다.

11일 금융권에 따르면 현재 금감원 내 금융IT시스템 관련 감독 및 대응 업무를 전담하는 인력은 IT서비스실 20명에 불과하다.

현 인력은 금융기관 IT시스템 감독이나 사고가 터졌을 때 사후 대응조차 하기 힘든 규모다. 금융 업무 50~70%가 IT를 통해 이뤄지는 상황에서, 사전에 취약 분야를 찾아내고 대응을 준비할 수 있는 체계가 원천적으로 불가능한 것이다.

전문가들은 금감원 내에 IT시스템 구축 지도 및 인프라운용 규준 실행에 초점을 맞춰 IT서비스실 이외에 상시적인 IT시스템 점검 및 취약·부실 분야 개선을 위한 ‘IT검사국’이 반드시 만들어져 한다고 입을 모은다.

금감원에 근무한 바 있는 한 IT전문가는 “IT검사 인력을 늘려도 모자랄 판에, 어떻게든 줄이려고 하는 게 현 실정”이라며 “IT검사 인력에 대한 보강이나, 정확한 역할 수행 없이는 앞으로도 사고가 터진 뒤에야 수습하고, 일시적으로 역할 강조하는 일이 되풀이될 수밖에 없다”고 지적했다.

업계 관계자들은 권혁세 금감원장이 취임 후 전 금융업권별로 검사국을 두겠다고 밝힌 것과 관련, 현장 금융업무의 50~70%를 담당하는 IT부문에 대한 검사국 설치가 필요하다고 주장했다.

특히 금융회사 보안을 책임지고 있는 정보담당임원(CIO)이 부행장 또는 부사장으로 구성돼 있으며, 스마트폰 및 스마트패드 확산에 따른 정보 누출, 해킹 등 각종 사고 우려가 커지고 있다는 점에서 이들에 대한 지도 및 원활한 정책 집행을 위한 국장급 IT 관련 책임자가 절실하다.

한 당국자는 “신임 금감원장의 검사 역할 강화 전략이 저축은행 등 금융시스템 전반의 부실 소지를 사전에 찾아내고 고치겠다는 의지인 것처럼, 이제 제2 금융권을 물론이고 금융업 전체에 대한 IT시스템 안전성을 선제적으로 지켜내기 위해서라도 IT검사국이 필요하다”고 말했다.

한편 금융감독원은 11일 오전 현대캐피탈 본사에 정보기술(IT) 전문가 등 검사인력 6명을 투입해 사고발생 경위 및 해킹정보 범위를 파악하고 있다고 밝혔다. 금감원은 해킹방지를 위한 침입 탐지(차단)시스템 설치·운영 여부, 외부 불법사용자의 정보시스템 접근 차단 대책 수립 여부, DB 불법 접근 방지를 위한 접근통제 실시 여부 등을 조사했다. 또, 공개용 서버 관리 및 아웃소싱 관리대책 적정성도 점검했다.

카드·은행·보험 등 금융업계 보안 담당자들도 주말부터 이상 여부를 체크하며 분주한 움직임을 보였다. 특히 제2 금융권 보안에 대한 우려가 커지자 일부 업체는 모의해킹 훈련 일정을 앞당기는 등 불똥이 튀는 것을 막기 위해 노력했다.

이명박 대통령은 금융감독원이 현대캐피탈에 대한 특별감찰을 실시할 것이라는 보고를 받은 뒤 이명박 대통령은 “기업들도 개인 정보를 철저히 보호해야 하고 감독기관도 각별히 관리·감독을 해야 한다”고 말했다.

박창규기자 kyu@etnews.co.kr

이진호기자 jholee@etnews.co.kr