현대캐피탈 해킹사태는 회사의 고객정보에 대한 ‘데이터베이스(DB) 암호화’ 조치가 이뤄지지 않아 발생한 것으로 파악됐다. 현대캐피탈 측은 암호화 작업에 철저를 기했다고 밝히고 있으나, 전자신문 취재 결과 이 회사는 지난 2009년 DB암호화 작업을 진행하다 중단한 것으로 확인됐다. 10일 관련 업계에 따르면 현대캐피탈은 고객정보 DB를 암호화해 해킹 후에도 고객 정보 해독을 차단하는 ‘DB 암호화’ 솔루션을 도입하지 않은 상태인 것으로 파악됐다. 업계에선 DB암호화 장치만 제대로 돼 있었다면, 막을 수 있었던 ‘보안 불감증’ 사고로 지적했다. 현대캐피탈은 지난 2009년 초 보안업체를 통해 DB 암호화 도입을 진행하던 중 투자비 등을 이유로 중단했다. 보안업체 한 관계자는 “DB암호화 도입을 진행하다가 녹록지 않은 투자와 시스템 교체 그리고 성능 저하 등을 이유로 들면서 현대캐피탈이 몇 개월 후 DB암호화 계획 자체를 무효화했다”고 전했다. |
이같은 보안 시스템 부재로 현대캐피탈은 고객정보 해킹 사실을 뒤늦게 확인한 것으로 추정된다. 현대캐피탈은 지난 7일 해커가 보낸 협박 이메일을 받고 나서야 지난 2월 해킹이 시작된 것으로 분석했다. 현대캐피탈 고위 관계자는 “금융감독원 기준을 지키기 위해 최선을 다했다. 고객 중요 정보에 대한 암호화 작업도 철저하게 진행했다”고 설명했다. 하지만 대용량 고객DB를 제대로 암호화 하는데 있어선 부족하다는 보안전문가들의 지적이다. 이에대해 보안 업계에서는 현대캐피탈 이외에도 국내 금융권 상당수 기업들이 고객정보 DB암호화 작업을 하지 않은 것으로 보고 있다. 보안 업계 한 관계자는 “현재 시스템 성능 저하 등을 이유로 고객 주민번호, 이메일, 아이디·패스워드 등이 저장된 DB를 암호화하는 솔루션을 적용한 금융기관은 거의 전무한 상태”라며 “제 1금융권은 물론 일부 보험 등 제 2금융권 몇몇 업체를 제외하고 DB보안을 적용한 금융기관이 없다”고 말했다. 현대캐피탈은 이날 기자회견에서 일부 고객의 신용등급·비밀번호 등 신용정보가 해킹당했다고 추가 공개했다. 고객 1만3000여명의 프라임론 패스번호 등이 해킹된 것으로 알려졌다. 또한 사건을 수사 중인 서울지방경찰청 사이버범죄수사대는 회사 자료를 분석한 결과, 해커가 필리핀과 브라질 서버를 통해 회사 서버에 침투한 흔적을 찾아냈다. 정태영 사장은 이 자리에서 “개인적으로 죄송스럽고 수치스럽다. 우리 회사는 이런 일이 없을 것이라며 철저를 기한다고 생각했다”면서 “앞으로 파장 확대를 막기 위해 최선의 노력을 다하겠다”고 말했다. 김준배·장윤정기자 joon@etnews.co.kr |
http://www.etnews.co.kr/news/today_detail.html?id=201104100052