로그기록 암호화 방치…금융권 2차피해 키운다

현대캐피탈 해킹 파장… 아이핀 지연도 문제

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리
금융사들의 로그 기록 방치, 주민번호 대체 수단 도입 지체가 대량의 주민번호 유출사고로 이어지고 있는 것으로 확인됐다. 명의도용, 보이스피싱 등 2차 피해를 만들 수 있기 때문이다.

12일 관련업계에 따르면, 대부분의 금융사들이 아이디, 주민번호 등 로그 기록을 암호화하지 않은 채 방치하고 있어 해킹 후 이들 정보가 쉽게 노출되고 있는 것으로 밝혀졌다.

현재 대부분의 은행 및 카드, 캐피탈 등은 비밀번호, 금융거래 정보 등 중요 데이터베이스(DB)를 암호화하고 있으며, 제2금융권도 암호화 솔루션 도입을 늘리고 있다. 하지만 이번 현대캐피탈 사태에서 드러났듯 로그 기록은 대부분 암호화하지 않거나 일부 정보만 저장하고 있는 것으로 나타났다.

한 보안업계 관계자는 "보통 로그 기록은 정기적으로 암호화해 보관ㆍ관리하거나 통합로그관리 도구(툴킷)를 활용하는 데 대부분의 금융업체들은 이를 네트워크 단의 기록으로 보고 암호화하지 않고 있다"고 말했다.

이와 관련해 이미 지난해 일부 금융사에서 로그 기록 암호화 및 관리가 필요하다는 지적이 있었다. 하지만 투자에 대한 부담과 감독 규정 부재 등을 이유로 무산되고 말았다. 금융감독원 관계자는 "로그 기록에 관한 암호화 조치가 감독 규정에 없기는 하지만 주민번호 등 민감한 개인정보에 대한 암호화가 이뤄져야 한다"며 "로그 기록 보호 관련 법규를 추가하거나 수정하기보다 해당 사항을 지도하는 방식으로 금융사들의 참여를 유도하겠다"고 말했다.

금융권의 주민번호 대체 수단인 아이핀(i-PIN) 도입도 지지부진하다. 이 때문에 대량의 주민번호를 키(Key) 값으로 이용하고 있는 금융사가 주민번호 유출의 주요 표적지가 되고 있다는 지적이다.

현재 금융실명거래법 3조에 따르면 금융거래시 성명ㆍ주민번호 등으로 실제 명의자임을 확인하도록 돼있다. 이 법의 적용에 따라 금융권은 그동안 아이핀 도입의 사각지대로 여겨져 왔다. 또 몇 천만명의 고객 주민번호를 아이핀 체계로 변환하는 작업에는 적지 않은 비용과 시간이 투자된다는 이유도 있었다.

그러나 이번 현대캐피탈 사건을 계기로 그동안 개인정보 유출 사고가 적었던 금융권도 해커의 공격 대상에 포함됐다는 시각이 큰 만큼 주민번호 대체수단을 서둘러 도입해 보이스피싱 등에 악용되는 사례를 막아야 한다는 지적이다.

이에 방통위에서는 오는 2015년까지 예정된 조세ㆍ금융분야까지 전 분야 아이핀 도입 시기를 앞당기기 위한 방법을 연구하고 상반기 중으로 로드맵을 발표할 예정이다. 방통위 관계자는 "만약 이번 현대캐피탈 사태에서도 유출된 정보가 주민번호가 아니라 아이핀이었더라면 집단 소송 논란 등 문제가 커지진 않았을 것"이라며 "금융실명제 법 개정을 비롯해, 다각도로 금융권 아이핀 도입 방법을 연구할 계획"이라고 말했다.

김지선기자 dubs45@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사



가장 많이 본 기사

스타 포토