카드·생보사 IT보안 규정위반 무더기 제재

정보처리시스템 보안을 허술하게 한 카드사·생명보험사가 무더기 제재를 받았다.

금융감독원은 지난해 15개 금융회사를 상대로 한 테마검사에서 신한카드·신한생명·푸르덴셜생명·PCA생명 등 4곳이 전자금융감독규정을 어긴 사실을 적발해 실무자에 주의처분을 내렸다고 12일 밝혔다.

신한카드는 악의적인 명령어를 주입하는 방식으로 웹 서버를 공격하는 ‘구조화조회언어(SQL) 주입공격’을 예방하는 데 필요한 프로그램을 설치하지 않아 해킹공격에 취약한 것으로 나타났다.

SQL 주입공격은 웹 클라이언트의 반환 메시지를 이용해 불법 인증을 받고 정보를 유출하는 해킹방식이다.

신한생명과 푸르덴셜생명은 외부인이 공인인증서 등 추가 인증 없이 아이디와 비밀번호만으로 홈페이지 관리자 페이지에 접속할 수 있도록 시스템을 운영해 전자금융감독규정 제7조와 17조를 위반했다.

해당 감독규정에 따르면 공개용 웹서버의 안전한 관리를 위해 관리자 등 사용자 계정으로 접속할 때는 아이디와 비밀번호 이외에 공인인증서 등 추가 인증수단을 적용해야 한다.

푸르덴셜생명은 자회사 통신망을 자사 내부통신망과 분리하지 않은 것도 문제로 지적됐다. 금융기관은 정보통신망을 해킹 등에서 보호하고자 침입차단시스템 등 정보보호시스템을 설치하고 내부통신망을 다른 기관 내부통신망과 분리해야 한다.

PCA생명은 내부업무시스템의 비밀번호를 암호화하지 않아 IT담당자가 내부 직원의 개인정보에 접근할 수 있는 여지를 뒀다.

금감원 관계자는 “실제로 IT사고가 발생한 것은 아니나 보안 규정을 제대로 지키지 않은 책임을 물었다”고 제재 이유를 설명했다.

/디지털미디어부

<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>