거래 고객을 가장한 모의해킹에 대형 은행인 국민은행도 3개월 만에 전산망이 뚫렸던 것으로 뒤늦게 확인됐다. 모의해킹이어서 실제 피해가 없고 은행 측도 바로 미비점을 보완했지만 국내 은행의 보안 수준이 그만큼 낮다는 증거다.
카드정보 유출 사태 이후 금융권의 보안이 강조되고 있지만 국내 은행은 언제든 뚫릴 수 있다는 게 보안업계의 지적이다.
KB금융의 한 고위관계자는 24일 "2011년 농협 전산망 대란 이후 은행에서 모의해킹을 했는데 3개월 만에 내부 데이터베이스(DB)까지 접근이 허용됐다"며 "당시 은행권에서는 높은 보안 수준을 갖고 있다는 내외부의 평가를 받고 있었지만 별다른 소용이 없었다"고 전했다.
이 관계자가 전하는 상황은 이렇다. 당시 모의해킹을 한 A단체는 거래 고객으로 위장해 콜센터에 연락, e메일을 보내겠다고 했다. 첨부파일에는 악성코드가 숨어 있었다. 콜센터에서 해당 메일을 확인했고 악성코드가 활동할 수 있는 발판이 만들어졌다.
A단체는 10일 만에 은행 내 30~40개의 감염 컴퓨터(좀비PC)를 만들어냈다.
한달쯤 뒤 은행 보안담당 부서에서 악성코드 유입 사실을 알아내고 "공격을 그만하라"는 연락을 취해왔다. 하지만 A단체는 공격을 계속했고 3개월 만에 내부 DB까지 도달했다.
KB금융 고위관계자는 "모의해킹을 진행한 곳은 감사실 쪽과 해당 업무를 수행했던 것으로 안다"며 "당국의 권고도 있었지만 이 일이 전산망 망분리를 시작한 계기가 된 것으로 안다"고 설명했다. 실제 국민은행은 지난해 3월부터 망분리 작업을 시작했다.
업계에서는 은행들의 전산망도 해커들이 마음만 먹으면 뚫릴 수 있다고 보고 있다.
외부에서 악성코드를 심는 방법은 크게 웹사이트와 e메일, 외주직원 접촉 등 3가지인데 이에 대한 관리감독을 철저히 하지 않으면 언제든 문제가 생길 수 있다는 얘기다.
카드정보 유출 사건은 외주직원과의 접촉과정에서 일어났고 국민은행 사례는 고객과의 상담과정(e메일)에서 생겼다.
금융계의 한 IT담당 관계자는 "외부에서 일을 하기 위해 내부망을 열어놓았다가 닫지 않거나 외부와 e메일을 주고받다가 악성코드에 감염되는 등 전산망을 공격할 수 있는 방안은 너무나 많다"며 "은행 최고경영자(CEO)가 관심을 갖고 보안지표와 예산을 일일이 챙기지 않으면 사고는 또 날 수밖에 없다"고 지적했다.
국민은행 측은"모의해킹은 정기적으로 내부 방침에 의해 시행되고 있고 미비점은 곧바로 보완하고 있다"면서도 "해당 모의해킹에 대해서는 아는 사람도, 아는 바도 없다"고 공식 해명했다.
