[2002/05/27]

솔루션업체 고객정보유출 '충격'

최근 인터넷뱅킹·원격관리·보안 등 각종 인터넷 솔루션 업체들이 잇따라 고객 정보시스템을 해킹하거나 관리 과정에서 고객정보를 유출한 것으로 밝혀져 충격을 안겨주고 있다.

서울경찰청 사이버범죄수사대는 지난 24일 H은행의 인터넷뱅킹 서버에서 고객 개인정보를 빼내고 이들의 은행계좌에서 거액을 인출한 혐의(정보통신망이용촉진 및 정보보호 등에 관한 법률위반 등)로 인터넷뱅킹 솔루션 개발업체 W사의 직원 고모(21)씨 등 2명을 구속했다.

수사대에 따르면 고씨는 H은행 인터넷뱅킹 시스템 개발과정에서 고객 18명의 이름·계좌번호·비밀번호 등 개인정보를 빼낸 뒤, 인터넷 동호회에서 알게 된 김모(21)씨와 공모해 이들 명의로 인터넷 뱅킹 사설 인증서를 발급 받고, 3명의 계좌에서 10여 차례에 걸쳐 모두 7000여만원을 빼낸 혐의를 받고 있다.
또 지난 22일 경찰청 사이버테러대응센터는 국내 53개 병·의원으로부터 230여만건의 환자 진료정보를 빼낸 진료차트 관리 솔루션 개발업체 J사의 대표와 직원 11명을 검거, 이중 2명을 구속하고 나머지 9명을 불구속 입건했다. 이들은 병·의원들의 진료차트 관리 솔루션을 개발하고, 이를 원격으로 관리하는 과정에서 환자정보를 통째로 빼내 온라인게임 ID 등을 대량으로 제작한 협의를 받고 있다. 특히 이 사실을 대표이사 등 임원들이 알고도 방치한 것으로 알려져 문제의 심각성을 더하고 있다.

이에 앞서 지난해에는 정보보안 업체인 C사 연구원들이 금융권을 비롯, 80여개의 인터넷 사이트를 집단적으로 해킹해 오다가 경찰청 사이버테러대응센터에 의해 적발돼 사회적으로 큰 반향을 불러일으킨 적이 있다.

◆ 보안의식 및 제도·정책 전면 재정립해야

고객정보를 관리하고 보호해야할 책임이 있는 업체들이 조직적으로 해킹을 주도해 온 충격적인 사건들은 업계 전반의 보안 의식 및 정책에 문제가 있음을 시사하고 있다. 일각에서는 일부 업체 종사자들의 부도덕한 소행으로 애써 그 의미를 축소하고 있지만, 대다수의 전문가들은 이같은 일련의 사건을 계기로 업계 전반의 보안의식과 관련정책을 전면 재정립해야 한다고 주장한다.

먼저 인터넷 솔루션 업체들은 그간 무리한 인력 수급 경쟁과 기술중심의 사업에만 치중한 나머지, 인력 운용이나 업무사규 및 내부 감사 시스템 운용에는 소홀했던 것으로 지적되고 있다. 특히 이번에 연루된 업체들은 그 업무의 특성상 마음만 먹으면 고객의 핵심기밀에까지 쉽게 접근할 수 있어 엄격한 도덕성과 신뢰성이 요구된다. 그럼에도 불구하고 이들 업체들은 이를 통제하는 강력한 감사 시스템이나 엄격한 사규를 마련하지 않을 것으로 밝혀졌다.

또한 고객정보에 쉽게 접근할 수 있는 만큼 직원 채용과정에서 엄격한 신원확인 절차를 거쳐야 했음에도 불구, 인력 부족을 이유로 일정한 선별기준 없이 직원을 채용하고, 채용한 후에도 직업윤리같은 교육과정이 거의 없었다는 지적도 받고 있다.

여기에 피해자이면서도 가해자인 해당 기관 역시 내부 보안관리체계의 허술이라는 지적을 피할 수 없다. 실제 이번에 피해를 당한 은행과 병·의원을 비롯 국내 대다수의 기업 및 기관들은 그간 적극적인 정보보안 시스템의 도입으로 외부로부터의 해킹에는 어느 정도 대응체계를 갖추고 있었지만, 정작 보안사고의 대부분을 차지하는 내부 보안관리에는 전혀 신경을 쓰지 않았던 것이다.

이번 인터넷 뱅킹 사건의 경우 1차적으로는 직원관리를 잘못한 W사에 책임이 있겠지만, 인증서 발급과정이나 용역업체 직원관리에서 허점을 드러낸 H은행 역시 책임이 있다는 게 전문가들의 중론이다. 아울러 중요정보를 일개 용역업체에 특별한 검증절차 없이 맡겨버린 병·의원들도 책임을 면키 어렵다. 이에 전문가들은 사내 모든 정보에 대해 등급제를 매기는 등 제도적이고 정책적인 보안관리체계 마련이 시급하다고 주장했다.

한민옥 mohan@dt.co.kr