현대캐피탈·농협 사태 등으로 보안의 중요성이 고조되는 가운데 제2 금융권에서 사용 중인 각종 금융보안 솔루션에서 출력 증명서의 위·변조 및 개인정보 유출 가능성이 포착됐다. 대형 보안사고 재발을 막기 위해선 특단의 대책이 요구된다.
12일 전자신문이 보안 전문가들과 함께 확인한 결과 금융권에 적용된 일부 보안 솔루션에서 각종 개인용 납입료 증명서 원본 복사 및 변조를 막지 못하는 것으로 드러났다. 특히 국정원 국가공인인증을 받지 않은 저가 솔루션 상당수가 위변조 실험에서 취약성을 드러냈다.
국정원 인증 솔루션을 도입한 제1금융권 등은 상대적으로 위·변조에 안전했다. 반면 비용절감을 위해 비인증 솔루션이 사용된 증권, 카드사 등 제2금융권 상당수에선 보안상 취약점이 노출됐다.
비인증 솔루션이 사용된 A보험사의 인터넷사이트에서 소득공제용 보험납입증명서를 출력한 결과 출력용 화면에서 이름, 주민등록번호, 주소, 납입액 등의 항목을 임의로 조작할 수 있었다. 이름, 주민번호를 바꿔 출력하자 육안으로 식별 불가능한 원본 수준의 사본이 만들어졌다.
위조된 증명서를 금융기관 등에 제출하면 의심 없이 대출 등 각종 서류심사를 통과할 수 있다. 또 이름, 주민번호 등을 텍스트로 복사, 저장할 수 있어 만약 해커가 이를 데이터베이스화할 경우 개인정보 유출로 인한 2차 범죄에 악용될 수 있다.
국정원 인증 과정에서는 암호화 방식 및 시스템 프로세스가 보안상의 문제점을 회피하는지를 검증하게 된다. 하지만 이 같은 인증과정을 거치지 않은 보안 솔루션은 서버에서 보안 처리해야 할 프로세스를 개발상 편의를 위해 클라이언트단에서 처리하게 한다. 때문에 위·변조에 취약할뿐 아니라 개인정보 노출 및 해킹 대상이 될 가능성이 높다는 게 보안전문가들의 지적이다.
물론 국가보안성 심사에 통과한 제품이더라도 해커의 공격을 완벽히 차단하는 것은 불가능하겠으나 최소한 승인제품은 취약성에 대한 지속적인 패치를 내놓는 등 안전성을 보장한다.
실험에 참가한 보안 전문가는 “금융 보안사고가 이어지는 상황에도 보안 솔루션 도입과 관련해선 국가보안성 인증을 무시한 저가 제품 구입 관행이 여전하다”며 “성능보다는 가격에 맞춘 저가 제품을 가져오라는 공사업체의 횡포가 보안 불감증을 유발하는 근본 원인”이라고 지적했다.
임종인 고려대학교 정보보호대학원 교수는 “국가 비인증 보안 제품을 도입해 보안사고가 발생하면 모든 책임은 서비스 제공사에 돌아가기 마련”이라며 “비인증 제품의 보안 결함에도 불구하고 일단 사고만 나지 않으면 된다는 안일한 사고방식이 개선되지 않는다면 금융보안의 안전은 담보되지 않는다”고 지적했다.
장윤정기자 linda@etnews.co.kr
