현대캐피탈·리딩투자 어떻게 해킹당했나

로그인 창이 '해킹창구'로…안전수칙 '불감증'이 문제

[아시아경제 이지은 기자]현대캐피탈과 리딩투자증권 해킹 사태를 지켜본 금융권과 보안업계는 이번 사건이 기본 안전 수칙만 지켰다면 충분히 예방할 수 있는 '인재(人災)'라는 데 동의한다.

이번 리딩투자증권 해킹에 사용된 해킹 방법은 'SQL인젝션 공격'으로, 웹페이지의 로그인 창에 특정 명령어를 넣어 가입자들이 로그인 창에 입력한 이름, 주민등록번호 등을 빼내는 방법이다.

이 방법은 내부 시스템에는 영향을 주지 않기 때문에 정보기술(IT) 및 보안 업계에서는 초보적인 방법으로 평가된다. 그런데 왜 리딩투자증권은 이런 초보적 해킹에 고객 정보를 유출하게 된 걸까.

보안업계 관계자는 "SQL인젝션 공격은 어느 정도 기술을 가진 사람이라면 사용할 수 있는 방법이다. 이 방법에 당했다는 것은 홈페이지를 빨리 완성하는 데 치중하다 설계를 제대로 안 했다는 뜻이다"라고 지적했다.

SQL인젝션 공격을 예방하기 위해서는 보안을 염두에 두고 인터넷 사이트를 설계해야 한다. 이 관계자는 "외국의 경우 인터넷 사이트 설계 단계부터 유지보수를 감안해 설계하고, 관리감독도 중요하게 생각한다"고 전했다.

현대캐피탈 해킹 사건은 리딩투자증권보다는 다소 복잡한 해킹 방식이 동원됐다. 해커가 직접 현대캐피탈의 광고메일 발송 서버에 접속, 업무관리자의 아이디(ID)와 패스워드를 해킹해 대부업체 관계자에게 넘겼다. 이 과정에서 175만명에 달하는 고객들의 정보가 유출됐다.

보안업계에서는 결국 '안전불감증'이 주요 원인이라는 지적이다. 업무 성격상 불필요한 ID를 5개나 두고 있었을 뿐 아니라, 퇴직직원의 ID를 삭제하지 않는 등 ID 관리에 소홀했다. 침입방지 시스템과 침입차단 시스템이 있었음에도 불구하고 IP를 차단하거나 해킹패턴을 분석하려는 시도를 하지 않은 것도 문제다.

보안업계 관계자는 "기업이나 기관이 ID나 패스워드를 제대로 관리하지 않는 것은 보안의 기본수칙이 안 되어 있다는 증거"라며 "고가의 보안 장비보다도 사람에 대한 보안의식, 관련사나 협력사에 대한 보안이 철저하게 갖춰져 있어야 한다"고 지적했다.