금융권 고객 정보보호 대책 ‘시급’

시스템 강화보다 정보보호의식 선행돼야



금융권 고객 정보보호 대책이 시급한 것으로 나타났다.
최근 인포섹이 주최한 금융기관을 위한 고객 정보보호세미나에 참가한 금융감독원 IT업무실 김인식 기획총괄팀장은 ‘금융기관 개인 고객정보관리 방안’이라는 주제를 통해 이 같이 주장했다.

김 팀장은 전자금융거래 수단은 은행, 증권, 보험, 전자지불, 통신사, 사이버 부분 등에서 다양하게 생겨나고 있는 가운데 해킹 등의 기술 지능화, 고도화와 이용자의 정보보호 인식 부족 등으로 인해 개인 정보 유출 사례가 늘어나고 있다고 지적했다.



■ 정보 유출 취약점 = 인터넷 뱅킹에서의 정보 유출이 우려되는 취약점은 다양하게 산재돼 있다. 우선 가장 앞단의 사용자 부분에 있어 백도어 프로그램, 키스트록 프로그램 등을 이용, 거래시 입력하는 정보를 해킹하는 경우가 있다.

이러한 해킹으로 인해 고객의 계좌번호, 계좌비밀번호, PIN, 사용자계정, 신용카드번호 등이 유출될 수 있다. PC에 보관중인 계좌정보 유출과 공인인증서 복제도 가능하다.
사용자PC에서 인터넷 뱅킹 서버로 전송되는 과정에서는 통신회선 도·감청에 의해, 단자함 등의 도청에 의해, 통신사, 중계기지국 등에서의 유출 등이 이뤄질 수 있다.

인터넷 뱅킹 서버와 웹서버에서 발생될 수 있는 해킹 사례는 내부 직원에 의한 유출이 다수를 이루고 있으며 서버 해킹에 의한 유출도 다양하게 발생되고 있다.

최근 해킹 동향은 운영체계 기반의 해킹이 감소하는 반면 다양한 취약점이 존재하는 웹 해킹이 집중적으로 발생되고 있다. 웹 해킹은 방화벽과 IDS 등으로도 방지가 어려운 것이 현실이다.

은행 호스트에서 프로그램 개발 및 시스템 운영직원에 의해, 불법조회에 의해, 프로그램 불법 조작에 의해 유출 사례들이 발생되고 있다. 이밖에도 인터넷 계좌이체와 신용카드 결제 처리과정, 고객 부주의 등으로 인해 정보 유출이 발생되고 있다.


■ 보호현황과 대책 = 고객 정보 유출을 막기 위해서는 사용자단에 PC용 보호 툴인 방화벽, 바이러스백신, 키스트록 방지 등을 설치해야 한다.

네트워크에는 통신선로 물리적 보호와 전용회선이나 VPN망을 이용해야 한다. 또 암호화 통신과 엔드투엔드(end to end) 암호화와 서버 인증을 실시해야 한다.

뱅킹서버도 방화벽, IDS, 바이러스 서버 등 보호장비를 설치하고 중요 정보는 웹서버를 피하고 암·복호화 실행으로 접근 통제 등이 강화돼야 한다. 원격 유지보수 금지와 패치 등에 대한 정기적인 점검도 실시해야 한다.

호스트단은 프로그램 변경에 따른 엄격한 통제와 데이터베이스 수록 정보 암호화, 데이터베이스에 대한 접근 통제 강화 등이 이뤄져야 한다.

이와 함께 테스트 및 개발용 DB는 별도 생성하고 웹서버 등이 위치한 DMZ 구간 격리, 배치(Batch) 작업에 대한 통제, 암호프로그램 및 키 관리 통제, 아웃소싱 업체에 대한 통제 등도 함께 실행돼야 한다.

인터넷 쇼핑몰 등의 전자상거래 상의 정보 유출 방지를 위해서는 상거래에 수반되는 계좌 및 신용카드 정보 암호화와 공인인증서 사용, 중계기관 등의 복호화와 개인신용정보 기록, 보관이 금지돼야 한다. 신용카드 정보 대신 인증번호 등 대체 정보 개발도 필요하다.

김 팀장은 “보안은 시스템 강화도 중요하지만 무엇보다도 개인 스스로의 정보보호 인식 제고가 가장 중요하다”고 말했다.



신혜권 기자 hkshin@fntimes.com