금융·보험사 절반 정보보호 투자 없다

해킹 무방비 노출..위험한 'IT강국' 코리아

[아시아경제 김철현 기자]정보통신(IT) 강국을 자처하는 우리나라가 연이은 해킹 사고로 곤욕을 치르고 있다. 국내 주요 사이트를 겨냥한 분산서비스거부(DDoS) 공격 이후 현대캐피탈 개인 정보 유출, 농협 전산망 장애, 최근 리딩투자증권과 한국전자금융 홈페이지 해킹까지 올해 들어 해커들은 정부, 대기업, 금융권, 중소기업을 가리지 않고 우리나라 정보 인프라에 대한 전방위 공격을 퍼붓고 있다.

옥션의 대규모 개인정보 유출 사태 이후 각 기업들이 해킹 사실을 숨기기보다는 이를 공개하고 조기에 해결하려는 노력을 보이고 있지만 보안 시스템에 대한 투자가 여전히 부족한 실정이라는 것이 전문가들의 지적이다.

19일 관련 업계에 따르면 3.4 DDoS 공격에 이어 국내 기업에 대한 해킹 시도가 계속되고 있어 우리나라 사이버 보안에 비상등이 켜졌다. 특히 현대캐피탈, 농협, 리딩투자증권, 한국전자금융 등 금융권 기업에 대한 해킹이 잇따르고 있어 이들 기업에 개인 정보를 맡긴 사용자들의 2차 피해가 우려되고 있다.

보안 업계는 금융권 기업이 개인의 신상 정보를 비롯해 신용 정보, 결제 정보, 투자 정보 등 민감한 정보들을 보유하고 있어 해커들의 표적이 되기 쉽다고 설명했다. 안철수연구소 관계자는 "최근 금융권 해킹이 계속 발생하고 있는 것은 개인 정보를 노리는 해커들이 개인의 민감한 금융 정보를 확보할 경우 대상 기업에 대한 금전 요구 등이 보다 수월할 것으로 판단했기 때문으로 보인다"고 말했다. 최근 현대캐피탈과 리딩투자증권의 경우도 해커들이 개인정보 유출을 함구하는 대가로 금전을 요구했다.

하지만 금융권을 노린 해킹이 기승을 부리고 있지만 국내 기업들의 정보보호 투자는 여전히 미흡한 것으로 나타났다. 문제가 발생하면 이를 해결하는 데 급급할 뿐 해킹 등을 예방하는 노력은 부족하다는 지적도 제기되고 있다. 한국인터넷진흥원(KISA)이 최근 실시한 기업 정보보호 실태조사에 따르면 국내 기업 중 정보보호에 전혀 투자하지 않는 기업이 63.5%에 달했다. 금융·보험업은 49.8%가 정보보호에 전혀 투자하지 않고 있었다. 또 전체 기업 중 IT 투자비율 대비 정보보호 투자비율이 1% 미만인 기업은 17.9%였지만 금융·보험업은 평균을 웃도는 20.0%를 기록했다.

침해사고가 발생한 다음도 문제다. KISA에 따르면 금융권 기업의 절반이 넘는 56.7%가 재해나 침해사고에 대비한 비상복구계획이 없다고 밝혔다.

해킹이나 개인 정보 유출 사고가 발생했을 때 이를 책임질 수 있는 조직도 갖춰지지 않고 있다. KISA는 정보관리책임자(CIO)를 공식적으로 임명하는 기업은 금융권 기업의 52.7%에 그쳤다고 지적했다. 정보보호책임자(CISO), 개인정보관리책임자(CPO) 등 보안 업무의 총괄책임자를 임명한 금융권 기업은 각각 42.6%, 30.6%에 불과했다.

또한 정보보호 전담조직을 공식적으로 운영하는 금융권 기업은 35.3%로 집계됐고, 개인정보보호 전담조직을 운영하는 금융권 기업은 48.3%로 나타났다. 이는 전체 기업보다는 높은 수준이지만 금융권에서 다루는 정보의 중요성과 민감도를 고려할 때 개선할 부분이 많다는 것이 보안 전문가들의 지적이다.

보안 업계는 문제가 드러난 금융권뿐만 아니라 최근 해킹이 전체적으로 증가하고 있다고 밝혔다. KISA가 발표한 '인터넷 침해사고 동향 및 분석 월보'에 따르면 3월 KISA가 처리한 해킹사고는 1002건으로 2월(854건)에 비해 17.3% 증가했다. 안철수연구소 관계자는 "금융권 해킹이 사회문제로 비화되고 있지만 최근 웹하드 업체 등 인터넷 서비스를 하는 중소기업을 노린 해킹도 빈번하게 발생하고 있다"고 밝혔다.

KISA 관계자는 "금융권을 포함한 국내 기업들의 해킹 사고를 방지하기 위해서는 전사적 통합 위험 관리 체계를 구축하고 데이터베이스를 암호화 하는 등 사용자 정보 관리를 강화해야 한다"며 "이를 위해서는 정보보호 관련 내부 통제 기능 강화와 전담조직 및 전문가 양성 등이 시급하다"고 강조했다.

김철현 기자 kch@