금융권, 웹 통한 해킹 무방비 노출

개발시 보안성 점검해야 방어 가능



금융권의 홈페이지 등이 해킹에 무방비로 노출돼 있다.
또 해킹 방지 등을 위해 사용하는 방화벽이나 침입탐지 시스템이 이러한 웹해킹을 거의 막지 못하는 것으로 알려졌다.

21일 관련업계에 따르면 금융권의 홈페이지가 해킹의 통로로 활용될 가능성이 높은 것으로 나타났다.

보안업계 관계자는 “홈페이지의 게시판 등은 해킹에 거의 무방비로 노출돼 있어 이에 대한 보안성 확보가 필수적”이라고 밝혔다.

홈페이지 등이 해킹에 무력한 것은 기존 보안기술을 피해서 침입하는 신종수법 등이 빠른 속도로 확산되고 있기 때문이다.

기존 보안기술은 방화벽과 침입탐지시스템(IDS).
방화벽이란 정식 출입문만 열어놓고 다른 문은 막아두는 것이며, IDS는 정식출입문에서 출입자의 신분을 확인하는 방식이다.

그러나 최근의 해킹방식은 웹서비스를 위해 열어두어야 하는 정식통로를 정식사용자로 가장해 침입하는 것이다.

최근 방화벽, IDS, 보안관제 등이 실시되고 있는 기업이 이러한 웹해킹 방식으로 고객정보가 유출된 사례가 있어 금융권도 이러한 사고에 대비해야 한다는 지적이다.

올초 모의해킹 테스트를 받은 일부 금융기관의 경우에도 이러한 해킹방식에 무방비 상태였던 것으로 알려졌다.

이는 금융권의 홈페이지 개발프로젝트 과정에 보안성 점검이 제대로 이뤄지지 않기 때문이다.

개발자들이 보안성에 대해 철저한 교육을 받아야 하지만 빡빡한 개발일정, 비용 등의 이유로 시행되지 않고 있으며, 개발자들도 업무 부담 때문에 이를 꺼리고 있다.

또 홈페이지 등은 수시로 개편되고 있어 이에 대한 보안 취약성 분석이 제때 이뤄지지 못하고 있어 허점이 노출되고 있다.

이에 따라 방화벽이나 IDS는 불법적인 침입을 막는 것이지만 합법적인 접속을 가장해 들어오는 웹해킹은 제대로 막을 수 없다는 게 업계 전문가의 설명이다.

금융권 관계자도 “이러한 웹해킹에 대한 방어에 대해서는 거의 전금융권이 대비하지 못하고 있는 것이 사실”이라고 말했다.



장시형 기자 zang@fntimes.com