2009년 7·7 DDoS, 2011년 3·4 DDoS, 농협과 현대캐피탈의 해킹사고, 2012년 3·20 전산망 마비, 6·25 DDoS 사고를 능가하는 대규모 보안사고가 드러났다. 검찰이 지난해 인터넷 도박사이트와 불법사금융업자에 대한 단속을 벌이던 중 금융기관 고객 정보가 대규모로 무단유출된 정황을 포착한 것이다.
수사결과 한국씨티은행의 대출담당 직원과 한국SC은행의 전산외주업체 직원이 고객정보를 무단으로 유출해 대출모집인 등에게 넘겨준 사실이 밝혀졌다. 이어 지난달 신용평가회사 코리아크레딧뷰로(KCB) 직원이 KB국민카드, 롯데카드, NH농협카드 전산시스템 개발 사업에 투입되면서 각 금융기관의 서버에서 직접 고객정보를 빼내 대출모집인 등에게 팔아넘겨 거의 대부분의 신용카드 사용자 정보가 불법으로 유출됐다.
보안사고 잇따르며 ‘규제 무용론’ 솔솔
‘눈 뜨면 사고’라는 말이 실감날 정도로 대규모 정보유출 사고가 연이어 발생하고 있지만, 정부는 실효성 있는 대안을 내놓지 못한 채 유명무실한 규제만 남발하고 있다. 3·20 사고 이후 금융위원회는 금융기관의 보안사고 방지를 위해 금융보안 관리체계를 마련해 2014년부터 의무적으로 시행하도록 한다는 방침을 밝힌 바 있다. 정보통신망법에 따라 의무화된 ISMS 인증이 시행되고 있지만, 금융기관의 관리체계는 이보다 더 강력한 수준이 될 것이라고 금융위는 설명했다.
금융기관의 자율보안체계 마련이 중요하다는 주장도 힘을 얻었다. 규제준수만을 위한 보안은 IT 시스템 내에 융합되지 않고 별도로 떨어져 설치되기 때문에 우회공격이 쉽다. 특히 우리나라에서는 규제가 등장했을 때 해당 규제만을 위한 포인트 솔루션이 쏟아져나오면서 가격 경쟁을 시작해 기술적으로 완성도 낮은 솔루션이 대거 공급되고 시스템 복잡도를 높이고 보안 취약점을 더욱 늘리는 악순환을 반복하게 된다.
이러한 문제를 해결하기 위해서는 규제가 아니라 중요한 정보를 보호하기 위한 근본적인 대책을 마련해야 하며, 금융기관별로 자율적인 노력으로 경영진이 참여하는 전사보안 체계 구축이 필요하다.
금융기관의 보안사고 방지를 위해 9월 전자금융사기 예방 서비스가 실행되고, 전자금융사기 사고가 발생했을 때 금융기관에서 많은 책임을 지도록 하고 있으며, 정보유출 사고가 발생했을 때 경영진에 대한 책임을 묻도록 했으나 지난해 말부터 유출 건수만 억단위가 넘는 대규모 정보유출 사고가 드러나면서 ‘규제 무용론’이 나오기도 했다.
대규모 개인정보 유출사고가 드러난 후 금융감독당국은 연이어 대책회의를 마련하고, 금융개인정보보호 대책 관련 태스크포스(TF)를 꾸려 대안을 마련했다. TF는 3·20 사고 이후 금융기관의 망분리 가이드라인을 발표한 바 있으며, 이번에는 개인정보 유출사고 재발방지를 위한 개인정보보호법 정비 방안이 논의된다.
더불어 사고를 일으킨 기관의 CEO 해임 등 중징계 방안을 검토하며, 2차 피해를 막기 위한 모든 조치를 취할 것을 강제했다. 이를 위해 개인정보 유출 여부를 검색할 수 있는 서비스를 마련하고, 신용카드 결제정보 SMS 서비스를 무료로 제공하기로 했다.
정보보안 컴플라이언스 대대적인 개편
대규모 보안사고로 인해 올해 정보보안 컴플라이언스는 대대적인 변화를 맞고 있다. 금융위원회에서 마련하고 있는 금융기관 개인정보 유출방지 대책을 비롯해 개인정보보호법 개정안, 정보통신망법 개정안 등이 시행되며, 이를 위한 정보보호 관리체계(ISMS), 개인정보 관리시스템(PIMS), 개인정보보호 관리 수준(PIPL) 등이 의무화된다.
더불어 소프트웨어 개발보안 규정으로 공공기관의 시큐어코딩 의무화가 확대된다. 한미FTA로 인한 국제분쟁이 잦아지면서 이디스커버리 시장도 주목되며, 정보보안 솔루션에 대한 국제CC인증 기준 변경으로 인한 보안 솔루션의 대대적인 업그레이드도 예상된다.
개인정보보호법은 오는 8월부터 개정안이 시행돼 인터넷뿐 아니라 오프라인에서도 주민등록번호 수집과 이용이 금지된다. 이에 따라 주민등록번호를 수집해온 기관과 기업들은 주민등록번호를 대체할 다른 인증수단을 마련해야 한다. 또한 이미 수집해둔 주민등록번호는 2016년 8월까지 모두 삭제해야 한다.
주민등록번호 수집이 전면 금지되면서 기업/기관들은 대체 수단 마련에 고심하고 있다. 주민번호는 개인 식별번호중 가장 강력한 수단으로, 마케팅과 회원관리 용도로 많이 사용해왔다. 이를 대체할 수 있는 수단으로 아이핀, 휴대전화 인증 등이 제안되며, 강력한 본인확인을 요구하는 곳에서는 OTP나 생체정보를 통한 본인인증도 고려된다.
가장 많이 사용되는 인증 수단은 ID와 비밀번호지만, 이 방식은 쉽게 유출될 수 있기 때문에 이외에 추가적인 인증방법을 사용하는 이중인증 혹은 다중인증이 이용된다. 다중인증은 ▲ID/PW 등 사용자가 알고 있는 것 ▲OTP, 보안카드 등 사용자가 갖고 있는 것을 함께 사용하는 것을 말한다.
우리나라에서는 ID/PW와 공인인증서의 조합을 가장 많이 사용하고 있지만, 공인인증서 자체의 보안취약점이 많아 최근에는 다른 방식의 인증을 추가하고 있다. 이에 따라 그래픽 인증이나 스마트폰을 이용한 지문인식·안면인식 등의 다중인증 시스템이 올해 국내 인증 시장의 새로운 화두가 될 것으로 예측된다.
상황인식 기술과 인증 시스템을 연동하는 방법도 제안된다. 인증 수단을 불법으로 획득한 사이버 범죄자를 확실하게 구분하는 방법으로, 인증 절차 자체는 정당했다 해도 정황상 이상행위로 의심할 수 있는 접속을 차단하는 것이다. 예를 들어 9시에 서울 사무실에서 정상적으로 VPN에 접속한 직원이 30분 후 중국에서에 VPN으로 접속했다면 둘 중 하나는 불법적인 접근이 확실하다. 이러한 상황을 발견했을 때 보안팀에 경고를 주어 불법적인 접근을 막도록 할 수 있다.
