정보보안 허술 카드·보험사 무더기 제재

[아시아경제 최일권 기자] 정보보안이 허술한 카드사와 보험사들이 무더기 제재를 받았다.

금융감독원은 지난해 15개 금융회사를 상대로 한 IT 관련 테마검사에서 신한카드ㆍ신한생명ㆍ푸르덴셜생명ㆍPCA생명 등 4곳이 전자금융감독규정을 어겼다면서 실무자에 주의처분을 내렸다고 12일 밝혔다.

신한카드는 악의적인 명령어를 주입하는 방식으로 웹 서버를 공격하는 '구조화조회언어(SQL) 주입공격'을 예방하는데 필요한 프로그램을 설치하지 않아 해킹공격에 취약한 것으로 나타났다.

신한생명과 푸르덴셜생명은 외부인이 공인인증서 등 추가 인증 없이 아이디와 비밀번호만으로 홈페이지 관리자 페이지에 접속할 수 있도록 시스템을 운영했다. 이는 전자금융감독규정 제7조와 17조 위반이다.

해당 감독규정에 따르면 공개용 웹서버의 안전한 관리를 위해 관리자 등 사용자계정으로 접속할 때는 아이디와 비밀번호 이외에 공인인증서 등 추가 인증수단을 적용해야 한다.

푸르덴셜생명은 또 자회사 통신망을 자사 내부통신망과 분리하지 않은 것도 문제로지적됐다. 금융기관은 정보통신망을 해킹 등에서 보호하기 위해 침입차단시스템 등 정보보호시스템을 설치하고 내부통신망을 다른 기관 내부통신망과 분리해야 한다.

PCA생명은 내부업무시스템의 비밀번호를 암호화하지 않아 IT담당자가 내부 직원의 개인정보에 접근할 수 있는 여지를 뒀다.

최일권 기자 igchoi@