카드사 웹 해킹 대책마련 ‘시급’

보안업체 “기존 제품으로 웹 해킹 차단 어려워”



최근 웹 해킹에 대한 우려가 높아짐에도 불구하고 신용카드 업체들의 대응이 미비해 이에 따른 고객 정보유출이 우려되고 있다.
3일 보안업계와 금융 관련업계에 따르면 웹 해킹에 대비해 솔루션을 도입한 카드업체는 매우 드물어 웹 해킹시 대형 금융사고가 발생될 수 있는 것으로 나타났다.

그러나 이에 대해 카드사들은 기존에 구축한 보안 솔루션과 주기적으로 실시되는 모의 해킹 테스트 등으로 인해 별 문제는 없다고 밝히고 있다.



▲ 웹 해킹 사례와 보안 취약점 = 현재 웹 해킹은 인터넷우체국과 금융결제원 사고 이후 금융권에서도 이에 대한 우려가 높아지고 있다.

금융결제원은 지난 5월 웹 관리자 실수로 인해 웹사이트 주소를 입력하고 뒷부분에 관리자를 뜻하는 ‘admin’을 추가 입력하면 관리자 권한으로 접속이 이뤄지는 사고가 발생됐다.
보안 전문가들은 이러한 사례가 금융권에서 발생될 경우 개인정보 유출이라는 차원을 넘어 거대한 금융사기 사고로 번질 위험이 있다고 우려하고 있다.

특히 카드사의 웹에서 해킹이 이뤄질 경우 웹 관리자의 아이디와 패스워드를 이용, 우수 고객 정보를 악용해 불법 카드 대출을 받을 수 있는 상황도 벌어질 수 있다고 경고하고 있다.

이러한 문제의 원인에 대해 보안 전문가들은 웹서비스를 실시하며 업로드를 하는 파일을 확실히 점검할 수 있는 방안이 없기 때문이라고 분석했다. 또 관리자의 권한을 무제한 부여했다는 점도 문제로 지적했다.

현재 웹서비스를 실시하고 있는 금융권들은 웹에 대해 주기적으로 모니터링을 하며 취약점을 분석, 수정하고 있으나 새로 웹서비스를 업그레이드하면서 취약성을 다시 만드는 것이 문제라고 전문가들은 지적하고 있다.

그러나 이보다 더 큰 문제는 이를 막아줄 수 있는 보안 제품이 없다는 것과 관리자를 비롯, 회사 경영진이 원가 절감이라는 차원에서 한정적으로만 보안 시스템을 갖추고 있다는 것이다.

또 자바 프로그램의 구조적인 보안 취약점도 문제로 지적되고 있다.

보안전문가는 “해커가 인터넷 익스플로우 메뉴를 조정, 인증 프로그램을 사용하지 않는 것으로 인식하게 만들어 해당 인증 프로그램을 무용지물로 만들 수도 있다”고 설명했다.



▲ 금융권의 도입 현황 = 현재 은행과 증권사를 중심으로 웹 해킹 보안 솔루션을 도입하기 위한 테스트를 실시하고 있는 것으로 알려지고 있다.

이는 최근 인터넷 뱅킹과 사이버트레이딩이 급격하게 증가하면서 이에 대한 보안 요구가 높아지고 있기 때문으로 분석되고 있다.

이밖에도 일부 카드사들이 웹 해킹에 대한 자료 수집과 환경 분석에 대해 연구중에 있다.

보안 전문가들은 실제 웹 해킹이 발생될 경우 가장 치명적인 피해를 입게되는 곳은 카드사가 될 것이라고 경고하고 있다.

그러나 이런 경고만큼 카드사들은 웹 해킹에 대한 대응은 매우 미흡한 것으로 평가되고 있다.

그나마 대형 카드사 중심으로 기존의 보안시스템을 활용, 웹 해킹에 대응하고 있는 정도이다.

BC카드사의 경우 올해 초 기존 보안 제품을 업그레이드 해 인터넷 서비스를 위해 열어 둔 80포트와 메일에 한해 바이러스를 탐지하고 차단할 수 있는 솔루션을 구축했다고 밝혔다.

그러나 바이러스를 탐지해 차단할 수 있는 바이러스월로 웹 해킹에 대응하기에는 역부족인 것으로 보안전문가들은 분석하고 있다.

삼성카드는 웹 사용자가 해킹을 시도했을 때 경보기능을 통해 해킹을 방지할 수 있는 보안 프로그램을 가동중에 있다.

그러나 이 프로그램은 PC 보안 제품으로 웹 해킹을 차단하기에는 어려운 제품으로 평가되고 있다.

이밖에 외환카드, LG카드, 국민카드 등은 웹 해킹 보안 솔루션을 구축하지 않은 상태이다.

외환카드는 이와 관련해 자료 수집과 연구를 진행중에 있다고 밝혔다.

현재 모든 카드사들은 방화벽, 서버보안, 침입탐지, 보안관제 등 다양한 장비와 툴을 통해 전자보안 시스템을 갖추고 있으나 웹 해킹에 대한 보안은 전반적으로 미흡한 것으로 평가되고 있다.



▲ 웹 해킹 솔루션 시장 = 현재 국내에는 웹 해킹을 차단하는 솔루션은 한 개 제품 정도에 불과하다. 그나마 지난 7월초에 출시돼 아직 그 효과에 대해서는 검증되지 못한 상황이다.

그만큼 웹 해킹 솔루션 시장은 수요, 공급 모두 미미한 상태이다.

일부 금융권 보안 담당자들은 웹해킹 제품을 구입, 구축하려 해도 투자대비효과가 과연 있을 것인가 하는 의문이 생긴다고 말한다.

이러한 원인에 대해 보안업계나 금융권 보안 담당자 모두 국내에서 웹 해킹에 대한 논의가 올해 초부터로 이뤄지는 등 아직 인식 자체가 매우 부족하기 때문이라고 보고 있다.



신혜권 기자 hkshin@fntimes.com