BLOG ARTICLE IT뉴스/보안관련 | 7 ARTICLE FOUND

  1. 2011.04.12 현대캐피탈 고객정보 'DB암호화' 안 했다…해킹 피해 직접적 원인
  2. 2011.04.12 금융권, DB 암호화 허술

현대캐피탈 해킹사태는 회사의 고객정보에 대한 ‘데이터베이스(DB) 암호화’ 조치가 이뤄지지 않아 발생한 것으로 파악됐다. 현대캐피탈 측은 암호화 작업에 철저를 기했다고 밝히고 있으나, 전자신문 취재 결과 이 회사는 지난 2009년 DB암호화 작업을 진행하다 중단한 것으로 확인됐다.

 10일 관련 업계에 따르면 현대캐피탈은 고객정보 DB를 암호화해 해킹 후에도 고객 정보 해독을 차단하는 ‘DB 암호화’ 솔루션을 도입하지 않은 상태인 것으로 파악됐다.

 업계에선 DB암호화 장치만 제대로 돼 있었다면, 막을 수 있었던 ‘보안 불감증’ 사고로 지적했다. 현대캐피탈은 지난 2009년 초 보안업체를 통해 DB 암호화 도입을 진행하던 중 투자비 등을 이유로 중단했다.

 보안업체 한 관계자는 “DB암호화 도입을 진행하다가 녹록지 않은 투자와 시스템 교체 그리고 성능 저하 등을 이유로 들면서 현대캐피탈이 몇 개월 후 DB암호화 계획 자체를 무효화했다”고 전했다.
 이같은 보안 시스템 부재로 현대캐피탈은 고객정보 해킹 사실을 뒤늦게 확인한 것으로 추정된다. 현대캐피탈은 지난 7일 해커가 보낸 협박 이메일을 받고 나서야 지난 2월 해킹이 시작된 것으로 분석했다.

 현대캐피탈 고위 관계자는 “금융감독원 기준을 지키기 위해 최선을 다했다. 고객 중요 정보에 대한 암호화 작업도 철저하게 진행했다”고 설명했다. 하지만 대용량 고객DB를 제대로 암호화 하는데 있어선 부족하다는 보안전문가들의 지적이다.

 이에대해 보안 업계에서는 현대캐피탈 이외에도 국내 금융권 상당수 기업들이 고객정보 DB암호화 작업을 하지 않은 것으로 보고 있다.

 보안 업계 한 관계자는 “현재 시스템 성능 저하 등을 이유로 고객 주민번호, 이메일, 아이디·패스워드 등이 저장된 DB를 암호화하는 솔루션을 적용한 금융기관은 거의 전무한 상태”라며 “제 1금융권은 물론 일부 보험 등 제 2금융권 몇몇 업체를 제외하고 DB보안을 적용한 금융기관이 없다”고 말했다.

 현대캐피탈은 이날 기자회견에서 일부 고객의 신용등급·비밀번호 등 신용정보가 해킹당했다고 추가 공개했다. 고객 1만3000여명의 프라임론 패스번호 등이 해킹된 것으로 알려졌다. 또한 사건을 수사 중인 서울지방경찰청 사이버범죄수사대는 회사 자료를 분석한 결과, 해커가 필리핀과 브라질 서버를 통해 회사 서버에 침투한 흔적을 찾아냈다.

 정태영 사장은 이 자리에서 “개인적으로 죄송스럽고 수치스럽다. 우리 회사는 이런 일이 없을 것이라며 철저를 기한다고 생각했다”면서 “앞으로 파장 확대를 막기 위해 최선의 노력을 다하겠다”고 말했다.

 김준배·장윤정기자 joon@etnews.co.kr

http://www.etnews.co.kr/news/today_detail.html?id=201104100052
AND

금융권, DB 암호화 허술지면일자 2011.04.12     장윤정 기자 linda@etnews.co.kr    

현대캐피탈의 개인정보 유출 사고로 금융권의 허술한 데이터베이스(DB) 암호화가 도마에 올랐다.

캐피털·은행·증권사 등이 현재 정보통신망법에 따라 DB 암호화를 의무적으로 시행하고 있으나 대부분 국가정보원 국가 암호화 제품 검증을 거치지 않은 DB관리솔루션(DBMS)의 무료 보안 모듈이나 옵션 프로그램을 사용 중인 것으로 나타났기 때문이다.

해킹을 당하더라도 DB 암호화만 제대로 되면 개인정보가 쉽게 유출되지 않지만, 이런 장치가 미흡해 ‘제2의 현대캐피탈 사태’가 우려된다는 지적이다. 관련기사 3·8면

11일 전자신문이 은행·증권사·생명보험사·캐피털 등 금융권 DB 암호화 현황을 조사한 결과, 대부분의 기업은 오라클·마이크로소프트 등 DBMS 솔루션 구축 시 제공하는 DB 암호화 무료 모듈이나 추가 보안 옵션 프로그램을 사용 중인 것으로 나타났다.

대규모 개인정보가 유출된 현대캐피탈도 오라클 DBMS의 무료 모듈만 채택한 것으로 드러났다.

국정원 검증을 받은 상용 솔루션으로 DB 암호화를 한 곳은 국민은행 계열 국민지주, ING생명 등 일부에 불과했다. 메리츠화재·신한카드·현대카드 등도 조만간 국정원 검증을 받은 솔루션으로 DB 암호화 프로젝트를 시작할 예정이다.

전문가들은 DBMS 무료 모듈이나 옵션으로 제공되는 보안 프로그램은 일부 데이터만 암호화하고, 암호를 푸는 복호화 키 저장 방식도 국정원 규격에 부합하지 않아 DB 유출 시 손쉽게 개인정보를 해독할 수 있다고 지적한다.

실제로 외산 DBMS의 DB 보안 옵션 프로그램은 복호화 키를 암호화 DB 속에 저장한다. 이는 복호화 키는 암호화 DB와 별도로 보관해야 한다는 국정원 규정과 배치되는 것이다.

DB보안 한 전문가는 “대부분의 금융권에서 오라클 DBMS 무료 모듈 등을 적용해 암호화를 했다고 말하지만 이는 문을 잠그고 열쇠를 꽂아두는 것이나 마찬가지”라고 꼬집었다.

그는 “제1 금융권에서 국정원 국가용 암호 제품 검증을 통과한 상용 DB 암호화 제품을 사용하고 있는 사례는 보고된 적이 거의 없다”며 대부분의 금융권이 수준 낮게 DB 암호화 프로그램을 가동 중임을 확인했다.

국정원 검증을 받은 솔루션은 이글로벌시스템·펜타시스템·케이사인·이니텍·소프트포럼 등에서 판매 중이다.

금융권이 국정원 인증 등 보안성이 높은 솔루션을 사용하지 않는 것은 DB 암호화를 규정한 법조항이 있으나 구체적인 규격을 명시하지 않은 관계 당국의 책임도 크다. DB 암호화를 의무화했을 뿐 구체적인 가이드라인이 미흡하다는 것이다.

김상광 행정안전부 개인정보보호과 법제팀장은 “금융업체나 캐피털은 그간 신용정보보호법과 정통망법이 정하는 기준이 달라 사각지대에 놓여 있었던 것이 사실”이라며 “오는 9월부터 시행될 개인정보보호법에서는 이런 경계에 놓여 있는 업체들에서 사고가 발생하지 않도록 시행령, 시행규칙, 기본계획 등을 세부적으로 정할 예정”이라고 말했다.

김준배·장윤정기자 joon@etnews.co.kr

<표> 국정원 DB암호화 보안 요건 충족 여부

기준내용 상용 DB암호화 제품 오라클 TDE MS SQL TDE
사용자 입력으로부터 유도되는 암 호키는 안전성이 검증된 국제표준 알고리즘을 사용해 생성해야 한다. × ×
모든 암호 키는 DB서버 내 외부에 암호화해 저장해야 하며, 키를 암호화하는 핵심보안 매개변수도 안전하게 관리해야 한다. × ×
중요데이터는 안전성이 확인된 암호모듈을 통해 암 복호화해야 한다. × ×
중요데이터의 암호문은 비인가자에 의해 복호화될 수 없어야 한다. × ×
제거된 원본데이터는 비인가자에 의해 복구 또는 노출되지 않아야 한다.
접근통제 정책은 인가된 사용자만이 접근 및 수정할 수 있어야 한다. × ×
백업 시 암호 키는 암호화돼 저장돼야 한다. ×(인코딩된 상태에서 저장됨) ×(인코딩된 상태에서 저장됨)

http://www.etnews.co.kr/news/detail.html?id=201104110160&mc=m_014_00002
AND