[한국금융 이슈진단] 금융권 보안 시스템 갈 길 멀다

▒▒ 공인인증서 키(key)도 해킹에 노출돼 있어 ▒▒



금융권의 보안시스템은 아직 허점 투성인 것으로 나타나 이에 대한 보완이 필수적인 것으로 나타났다.
또 공인인증서에 대한 관리도 별도로 이뤄지지 않을 경우 별다른 보안효과를 거두기는 어렵다는 지적이다.

업계 관계자는 “많은 보안사고에도 불구하고 금융권 등에서도 아직 확실한 보안시스템을 구축한 것으로 보기는 어렵다”고 강조했다.



■ 홈페이지 통한 개인정보 유출 위험

국내 금융권의 홈페이지 가운데 상당수가 허술한 보안관리 체계로 인해 개인정보가 유출되고 있으며 인증을 거친다 하더라도 간단한 방법으로 통과할 수 있는 것으로 드러났다.
금융권의 개인정보 유출, 인터넷 뱅킹 사고와 더불어 최근에는 중요하게 생각하지 않는 홈페이지까지 보안 문제가 제기 된 것.

허술한 홈페이지의 경우 인터넷에 연결돼 있는 상태에서 웹 브라우저만 있으면 타인의 개인정보를 얻을 수 있으며, 인증절차가 있는 홈페이지라도 회원정보가 게재돼 있는 홈페이지 주소를 입력하면 개인정보가 나타나는 문제점이 발생하고 있다.

이에 대한 해결책으로 IDS(침입탐지시스템)같은 수동적인 보안제품을 도입하고 있으나 신규로 개발되는 각종 해킹에 대해서는 대책이 없는 것으로 전해졌다.

이에 따라 보안제품은 향후 개발될 해킹에 대해 업그레이드없이 차단이 가능한 능동적인 차세대 보안 제품이 도입돼야 한다는 지적이다.
최근 인터넷망과 내부 망을 물리적으로 분리하고 TCP/IP 헤더를 제거해 원천적으로 TCP/IP를 이용한 네트워크 공격에 대해서는 보안을 보장할 수 있는 제품에 관심이 모아지고 있다.

이러한 제품은 웜 같은 데이터를 이용한 해킹에 대해서도 웹 페이지가 보유하고 있는 URL 및 필드정보를 분석해 원천적으로 각종 해킹을 능동적으로 막아주는 것으로 알려졌다.



■ 공인인증서도 보안상 허점 존재

공인인증서에 대한 키관리의 중요성도 부각되고 있다.

현재의 인터넷뱅킹, 홈트레이딩 등을 비롯한 다양한 PKI(공개키기반구조)응용 솔루션들은 공개키와 개인키를 한 쌍으로 해서 상호간의 인증과 데이터 암·복호화를 수행한다.

하지만 서버의 개인키가 유출되면 이를 획득한 사람이 정당한 서버인 것처럼 가장해 서버와 클라이언트간의 암호 통신을 해독해서 볼 수 있게 된다.

업계 관계자는 현재 인터넷뱅킹이나 홈트레이딩 시스템의 서버 개인키 관리를 보면 보안상의 허점이 존재한다고 털어 놓고 있다.

이중 가장 큰 문제는 메모리에 상주하고 있는 개인키가 해킹 기법에 의해 해독될 위험에 노출돼 있다는 것.

특히 내부사용자는 서버의 접근이 용이해 서버 개인 키를 쉽게 획득할 수 있는 것으로 나타났다.

쉽게 획득된 키를 이용해 불법적인 용도로 사용하게 되면 전체 인터넷뱅킹이나 홈트레이딩 시스템의 신뢰성에 치명적인 결과를 초래할 수도 있다고 업계 전문가는 설명했다.

개인 키가 노출되면 PKI기반이 무너진다는 것을 의미한다.

이에 따라 서버의 개인 키를 관리하는 전용 하드웨어 장비(HSM)를 둘 필요성이 제기되고 있다.

이미 은행권에서는 HSM의 필요성에 따라 이미 도입을 끝내거나 도입을 추진하기 시작했으며, 증권계에서는 올 3월부터 시행되는 공인인증서 기반 시스템의 추이를 봐가며 HSM 도입을 검토 한다는 방침이다.

향후 은행권과 증권사들 뿐만 아니라 PKI 기반의 솔루션들을 활용하는 여러 분야(카드사, 보험사, 쇼핑몰 등등)에서 HSM에 대한 관심이 고조될 것으로 보인다.



장시형 기자 zang@fntimes.com