한국금융신문 특별좌담…웹 해킹에 대한 대응방안은 무엇인가

양근원 대장 “금융권 노리는 해커 급증 추세”

이혁중 소장 “웹해킹, 정상 사용자로 가장해 침투”

정의석 차장 “경영진의 보안분야에 대한 관심 높아져야”
김인석 팀장 “보안성 제고위해 다양한 제도 실시”

문재철 사장 “웹 해킹 가능성에 적절히 대비해야”

김점구 교수 “개발단계에 보안성 검증절차 도입돼야”



최근 웹 애플리케이션 해킹방식이 최신 해킹기법으로 떠오르고 있다.
웹 해킹은 웹서비스를 위해 열어두어야 하는 통로를 정식사용자로 가장해 침입하는 방식이다.

최근 방화벽, IDS, 보안관제 등이 실시되고 있는 기업이 이러한 웹해킹 방식으로 고객정보가 유출된 사례가 있었다. 올초 모의해킹 테스트를 받은 일부 금융기관의 경우에도 이러한 해킹방식에 무방비 상태였던 것으로 알려졌다. 이는 금융권의 홈페이지 개발프로젝트 과정에 비용문제 등으로 보안전문가가 참여하지 않는 등 보안성 점검이 제대로 되지 않기 때문이다.

또 홈페이지 등은 수시로 개편되고 있어 이에 대한 보안 취약성 분석이 제때 이뤄지지 못하고 있어 허점이 노출되고 있다.

이에 따라 방화벽이나 IDS는 불법적인 침입을 막는 것이지만 합법적인 접속을 가장해 들어오는 웹 해킹은 제대로 막을 수 없다는 게 업계 전문가의 설명이다.
이에 본지는 금융감독원, 경찰청 사이버수사대, 보안업체, 은행 보안전문가 등이 참가한 좌담회를 통해 문제점과 대응방안을 정리해 본다. 〈편집자주〉



■ 웹 해킹의 현황과 문제점



△ 사회자 : 최근 웹 해킹이 기승을 부리고 있다. 웹 해킹에 대한 위험성이 부각되고 있지만 아직 금융권 등에서는 이러한 위험에 대한 인식이 낮은 것 같다.

△ 양근원 대장 : 최근 사이버수사대의 현황 파악에 따르면 97년과 비교해 보면 해킹 등에 따른 피해가 500배 증가한 것으로 나타났다. 물론 97년과 현재의 인터넷 환경을 비교하기에는 무리가 있다.

최근에는 웹 해킹으로 인한 정보 유출사고가 잇따르고 있는 실정이지만 홈페이지 구축사업을 진행하는 프로그래머가 이러한 보안요소를 고려하지 않는 것으로 나타났다.

특히 금융권은 해킹사고 발생시 금전적인 피해가 예상되는 만큼 민감하게 대처해야 할 부분이다.

△ 이혁중 소장 : 최신 기법으로 등장한 웹 해킹 방식은 주소창에 특정 문자를 치면 뚫리는 것으로 나타났다.

예전의 네트워킹 해킹방식은 DB서버를 직접 해킹해 모든 정보를 유출하는 것이다.

하지만 요즘은 방화벽, IDS 등을 갖춘 DB서버에 직접 침투하는 것은 거의 불가능해졌다. 웹 해킹방식은 정상적인 사용자를 가장해 ID, 패스워드를 획득해 해킹하는 방식이다. 정상사용자를 가장하기 때문에 잡아내기 어렵다.



△ 사회자 : 금융권은 지금까지 어느 산업분야보다 보안에 많은 투자를 해왔다. 금융권에 적용된 보안솔루션 등의 현황은 어떤가

△ 정의석 차장 : 하나은행만 해도 40여대의 방화벽, 30여 카피의 IDS(침입탐지시스템), DMZ지역에도 관리자 계정별 로그인을 위한 접근권한관리(Access Management) 등을 구축해 놓고 있다.

또 웹서버의 중요성에 비춰 별도의 IDS를 두고 있으며 2중 3중의 보안체계를 구축해 두고 있다. 하지만 웹 애플리케이션 해킹을 막을 수 있는 솔루션은 아직 도입된 사례가 없다.

△ 김인석 팀장 : 금융감독원도 금융기관의 보안성제고를 위해 다양한 방안을 마련하고 이를 유도하고 있다.

또 최근 신용카드 정보의 유출 진원지로 지목을 받고 있는 VAN사 등에 대한 관리 감독이 더욱 강화돼야 한다. 현재는 이들에 대한 사전 관리에 필요한 법적 근거가 미흡하다.

따라서 사고 발생시 법에 의해 처벌을 하는 사후적인 관리가 되고 있어 유출된 정보가 활용된 다음에 조치가 이루어지고 있는 것이 문제다. 앞으로는 전자금융거래법이 제정되면 VAN사도 금감원에서 감독할 수 있는 근거가 마련된다.

■ 웹 개발시 보안성 고려안해



△ 사회자 : 금융권에는 방화벽, IDS(침입탐지시스템) 등을 포함해 각종 보안솔루션이 장착돼 있다. 최근 금융결제원 등이 이러한 웹 해킹방식에 의해 뚫렸다는데 이러한 보안솔루션이 웹 애플리케이션을 통한 해킹을 막을 수 없는가

△ 정의석 차장 : 최근 금융결제원 등이 웹 해킹에 뚫린 것은 금융권의 상황과 조금 다르다. 금결원 등은 웹 서버를 인스톨하면서 Admin계정을 건드리지 않는 등 웹 애플리케이션 작업을 하면서 약간의 실수가 있었던 것으로 보인다.

은행 등 금융권의 웹 애플리케이션 해킹은 가능하지 않을 것으로 예상된다.

△ 이혁중 소장 : 금융권에서는 웹 서비스를 계속 개편하고 있어 이에 대한 취약성을 보완할 수 있는 시간적인 여유가 없다.

특히 웹 해킹은 눈으로 확인할 수 없어 이를 감지하기가 쉽지 않다. 실제 게시판 등에 실행가능한 모듈을 올려놓으면 사용자의 ID 패스워드 등을 쉽게 얻어 정상사용자로 가장해 침투가 가능하다.

△ 김인석 팀장 : 실제 어떤 기술로 해킹했는지 정확히 파악해야 한다. 일부 금융기관의 경우 자바(JAVA) 등으로 개발돼 있어 해킹이 가능하다. 이러한 기술 등은 웹서비스를 하려면 쓰지 않을 수 없는 것이다.

그러나 웹 애플리케이션 개발시 보안상 문제점을 최대한 제거하고 있다. 금감원은 고객이 웹프로그램 전체를 스스로 변환할 수 없도록 특정 스텝을 추가하도록 지도·감독하고 있다.

△ 문재철 사장 : 금융권도 웹 해킹이 가능한 것으로 파악되고 있다. 거의 80% 이상의 비즈니스가 웹으로 이뤄지고 있다. 애플리케이션 설정 오류 틈새를 노려 카드 정보가 유출된 전례가 있다.



△ 사회자 : 웹 서버와 금융망은 분리돼 있어 위험성이 적다는 것이 금융권의 시각이며, 산업계에서는 실제 결제가 오가는 계좌도 위험하다는 의견이다.

△ 김점구 교수 : 금융권도 웹 해킹에 의한 위험성이 존재한다.

만약 피해가 발생한다면 피해가 가장 큰 곳도 금융권이다. 웹 애플리케이션 개발과정에서 취약점이 발생하며 관리·운용중에도 이러한 문제점을 막을 수 없다. 실제 방화벽이 있더라도 웹은 열려 있기 때문에 개발단계에서 취약점이 있다면 문제의 소지가 있다.

웹 서비스를 위한 애플리케이션은 완벽하다고 보기 어렵다. 웹은 인터넷 80포트를 열어놓고 있어 웹 애플리케이션의 취약점을 통해 우회통과, 정상 사용자를 가장한 침투 가능성이 있다.

△ 김인석 팀장 : 금융권에는 공통적인 암호화 기준이 적용되기 때문에 웹 서버와 내부 서버의 완충지역인 DMZ존에서 전달되는 정보가 유출될 수 없다고 본다.

웹서버는 업무 성격상 오픈된 망에 접속되기 때문에 해킹의 가능성은 있다. 하지만 웹서버를 해킹하더라도 유출될 수 있는 정보는 공개된 정보로 한정돼 있다. 특히 계좌관련 정보나 비밀번호 등은 해킹 당하지 않을 것이다.

금감원은 이러한 해킹을 방지하기 위해 방화벽, IDS, 등의 사용을 제시하고 있으며, 한편으로는 웹사이트가 마비될 경우 신속한 복구가 가능하도록 대비책 등을 마련하고 있다. 현재의 신용카드 결제 방식은 카드번호와 유효기간을 사용해 이루어진다.

따라서 신용카드 번호와 유효기간은 유출 가능성이 높다. 그러나 카드번호, 유효기간 등이 유출되더라도 이용을 할 수 없도록 하는 다양한 방안이 개발되고 있다. VISA의 3D 시큐어, BC의 ISP 등이 좋은 예이며, 신용카드사와 금감원에서는 카드 결제시 공인인증서 적용을 검토하고 있다.



■ 기존 방화벽에서 막을 수 없어



△ 양근원 대장 : 고객 정보 등은 내부서버에 위치하고 있지만 웹에서도 내부DB와 연동돼 고객정보를 처리하고 있어 정상적인 흐름에서도 웹 해킹이 가능하다. 2001년 이중방화벽, IDS, 관제서비스를 받던 VAN사에서 750만명의 신용카드정보가 유출된 적이 있다. 특히 쇼핑몰 등에서 신용카드 정보 유출이 많았다.

또 일반PC방에서 접속이 가능한 사이버증권거래도 웹상에서 ID, 비밀번호를 획득해 주가조작한 사건이 있었다.

△ 문재철 사장 : 유출되는 정보의 위험성 정도가 문제가 아니다. 일단 웹 해킹이 가능한 것으로 나타났기 때문에 이러한 가능성에 어떻게 대처하느냐가 문제다. 금융권은 아직 이에 대한 대비가 없다.

웹 해킹은 기법 자체가 눈치 채기 어려운 것이어서 ISAC에서도 감지하기는 쉽지 않을 것이다. 웹 해킹은 추적이 어려우며 사전 탐지는 더욱 어렵다. IDS나 방화벽으로 해결할 수 있는 문제가 아니다.



△ 사회자 : 금융기관들은 보안에 대해 불안한 마음을 가지고 있지만 고객 편의를 위해 어쩔 수 없는 선택을 하는 경우가 있다. 특히 웹 해킹의 경우 고객접점인 웹사이트와 관련돼 있어 이러한 딜레마가 더욱 커지고 있는 것으로 보인다.

△ 양근원 대장 : 사이버증권거래의 경우 신속한 주문체결 등을 위해 거추장스런 여러 장치들을 제거해 버렸다. 이에 따라 단순한 기법으로도 해킹이 가능한 것으로 나타났다.

공인인증서 적용후 사이버수사대에 접수된 사례는 없지만 문제가 해결된 것으로 볼 수 없다. 공인인증서는 이동이 가능하며 최근에는 윈도우를 대상으로 한 해킹기법이 발전하는 추세이다.

△ 김인석 팀장 : 최근 금감원도 전자금융 보안성 제고 등을 위해 OTP 등을 사용하도록 지도 있다. 하지만 일부 업무의 경우 사용자 불편을 이유로 도입을 꺼리고 있다. 특히 증권사들은 업무의 신속성이 생명으로 이용상 불편이 없이 고객 정보보호를 하야 하는 문제로 매우 어려움을 겪고 있다.



■ 웹 해킹에 대한 대응 방안



△ 사회자 : 이러한 웹 해킹에 대한대응방안은 어떻게 진행중인가.

△ 정의석 차장 : 은행권에서도 방화벽, IDS 등 2중 3중의 보안체계를 구축하고 있다. 하지만 아직 웹 애플리케이션 해킹 솔루션은 없는 것으로 파악하고 있다.

△ 김인석 팀장 : 현재 상황은 문제는 있지만 대안은 없는 상황이다. 금감원도 웹 해킹에 대한 대응솔루션이 나온다면 금융권 도입을 적극 유도할 방침이다.

△ 문재철 사장 : 금융권은 보안분야에서 앞장서고 있지만 노력에 비해 해킹기술이 더욱 빠르게 발전하고 있어 이에 대한 대비가 필요하다.

웹 애플리케이션 해킹을 막을 수 있는 솔루션은 존재한다. 지난해부터 웹 해킹 트렌드를 예상하고 외산솔루션 도입을 검토하고 있다. 현재 국산화를 위한 검증단계를 거치고 있으며 조만간 국내에 출시하게 될 것이다.

△ 김점구 교수 : 정부당국의 보안정책이 지속적이지 못한 것이 계속 문제를 키우고 있다. 무엇보다 적정한 보안수준을 잡는 것이 중요하다.

지금 학계에서는 웹 애플리케이션 해킹에 대한 연구가 활발하게 진행중이다. 하지만 그동안의 동향을 보면 학계의 연구결과가 정책에 반영되지 않았다.

프로그램 개발단계에서부터 보안담당자가 참여해야 하며 검수 및 감리과정에 보안전문업체의 검증절차가 제도적으로 마련돼야 한다.

또 보안업계도 국제 경쟁력있는 기술 개발이 이뤄져야 하며 정부도 이러한 품질관리 노력을 기울여야 한다.

외국의 경우 우리나라의 4단계 정도의 보안수준보다 월등히 높은 7개 단계의 보안수준으로 이러한 문제에 대한 대비가 잘 돼 있다. 국내에서도 웹 애플리케이션 보안솔루션이 도입돼야 한다.

△ 양근원 대장 : 대부분의 금융기관들은 보안업체에 대한 신뢰감이 부족한 상태이며 정보보호기반보호법의 갑작스런 시행으로 전문업체의 인력과 기술에 대한 검증이 철저히 이뤄지지 않은 것은 문제로 지적되고 있다.

이에 따라 사용자가 믿고 쓸 수 있는 제도적 장치가 필요하다.

△ 정의석 차장 : 은행권 등에서는 인터넷뱅킹이 활성화된 후 프로그램 개발시 보안전문가가 참여하고 있다.

하지만 이들 보안전문가들이 최신 해킹기법에 따른 보안문제를 인식하기에는 한계가 있다. 금감원 등 감독기관의 역할도 중요하다.

△ 김인석 팀장 : 최근 금융권의 보안관련 사고는 IT분야보다 내부 인력을 통한 사고가 대부분이어서 내부통제에서 더 많은 문제점이 누출되고 있다. 금감원은 고객정보를 다루거나 접근할 수 있는 인력에 대한 내부통제에 중점을 두고 지도 감독할 필요가 있다.

웹 해킹에 대해서는 아직 구체적인 피해사례 등이 없어 어느 정도 수준의 정보유출이 가능한지 파악하기 어렵다. 웹 해킹에 대한 정확한 정보를 얻어야 적절한 대책을 세울 수 있다.



■ 전문인력 양성 필수적



△ 문재철 사장 : 프로그램 개발시 보안성을 점검할 수 있는 전문가 배치가 필요하다. 하지만 이러한 전문인력은 구하기 어렵다. 전문가를 양성할 수 있는 제도적 장치도 마련돼야 한다.

△ 김점구 교수 : 학계에서도 인재를 양성할 수 있는 교육과정 등을 체계화하고 있다. 하지만 몇 개 대학의 몇몇 학과에서만 인력이 양성될 뿐 이며 2005년에는 1만 3000명의 전문인력이 부족할 것으로 예상되고 있다. 또 보안사고에 대한 평소 훈련을 위해 실제 현업에 종사하는 인원에 대한 보안교육도 필요하다.

△ 정의석 차장 : 하나은행의 경우 1달에 한번 ‘보안의 날’ 행사를 개최하고 있다. 파트별 보안교육이 진행되며 사내 게시판, e-메일 등을 통해 전사적으로 이뤄진다. 보안의 날에는 IT부서에도 취약성 분석 등을 수행하고 있다.

하지만 보통 은행의 경우 보안담당자들이 1~2명에 거쳐 이러한 취약성 분석을 제대로 수행할 수 있을지는 의문이다.

또 보안전문가라도 국내 금융환경에 대한 전체적인 시각을 가져야 보안사고에 대응할 수 있기 때문에 이러한 인력을 구하는 것도 쉽지 않다.

특히 보안분야는 경영진의 마인드 제고가 필요하다. 보안사고는 흔하지 않지만 위험성은 항상 내포돼 있으며 이에 따라 투자에 따른 효과도 가시적이지 않아 투자 분야에서 밀리는 경우가 흔하기 때문이다.

△ 양근원 대장 : 전문가 육성이 절실하지만 아직 제도적 장치를 통한 인력 양성은 어려울 것으로 보인다. 단적인 예로 관련법에서는 정보보호담당관을 두도록 했지만 이러한 담당관의 기준 등에 대한 언급은 없는 실정이다.

지금 세계적으로는 해킹에 대한 단일화법 제정 움직임이 있다. 이제 해커들이 세계 어느 곳에서도 발 붙일 곳은 없을 것이다.

△ 김인석 팀장 : 금감원도 보안교육, 패치 프로그램 설치 등에 대해 검사를 통해 점검을 하고 있다. 또 보안점검반을 통한 상시적인 모니터링도 실시하고 있다.

사회 및 정리 = 장시형 기자



장시형 기자 zang@fntimes.com