고객정보 술술~ 현대캐피탈 해킹 어떻게 이뤄졌나?
2011-04-12 강세훈 기자
지난 2008년 2월 옥션의 개인정보 유출사건, 같은 해 9월 GS칼텍스 개인정보 유출사건, 지난해 3월 신세계몰 고객 개인정보 유출 사건에 이어 1년 만에 현대캐피탈 고객정보 유출 사건이 터지면서 또다시 사이버테러가 사회이슈로 부각되고 있다.
전문가들은 기존 해킹은 단순히 자신의 실력을 과시하는 반면 최근의 해킹은 금전적인 이익을 노리고 발생하고, 점차 지능화된다는 점에 주목하고 있다.
이번 현대캐피탈 해킹은 어떻게 이뤄졌을까?
우선 웹 해킹 방법을 통해 시도됐을 가능성이 제기되고 있다. 금융기관은 데이터베이스(DB) 서버 보안장치를 갖추고 있어 해킹이 쉽지 않은데 비해 웹을 경유한 해킹은 다소 느슨하기 때문이다.
이 경우 '블라인드 SQL 인젝션(Blind SQL Injection)'이라는 방법을 이용해 이뤄진 것으로 추정된다. 이 방법은 공격자가 별다른 작업을 수행하지 않아도 자동으로 공격하고 그 결과 데이터베이스의 정보까지 빼낼 수 있다.
특히 이 방법을 이용하면 소량의 고객 정보를 조금씩 장기간에 걸쳐 빼내기 때문에 해킹을 당하는 쪽에서 알아차리기 힘들다는 특징이 있다.
현대캐피탈 개인정보 해킹사건이 두 달이 지난 후에야 확인될 정도로 알아차리기 힘들었던 것도 이런 이유 때문으로 업계에서는 보고 있다.
또한 현대캐피탈이 DB 암호화를 제대로 하지 않은데 따른 해킹 가능성도 제기되고 있다. 현대캐피탈은 고객 DB를 암호화하고 있지만, 지난 2009년 투자비 등을 이유로 업그레이드를 하지 않은 것으로 알려졌다. 지난 2008년 2월 옥션의 개인정보 유출사태 당시도 DB를 암호화하지 않아 문제가 발생했었다.
아울러 리스·렌터카 보조서버를 통해 유출됐다는 주장도 나오고 있다. 현대캐피탈 홈페이지 자동차 금융부문은 공인인증서 없이도 가입할 수 있다는 점을 알고 해킹을 시도했다는 것.
현재 어떤 경로를 통해 해킹이 이뤄졌는지 아직 확정되지 않았지만 어떤 식으로든 허술한 보안 문제에 대한 책임이 불가피할 전망이다.
보안업계 전문가들은 "해킹 경로를 추정하기는 쉽지 않지만 몇 년 전부터 빈번하게 비슷한 해킹문제가 일어났다는 점에서 경각심이 필요하다"고 지적했다.
이 관계자는 "한국은 인터넷 사용이 발달되다보니 범죄의 대상이 되기도 한다"며 "또한 해킹 도구를 인터넷에서 손쉽게 구할 수 있고 일반인도 쉽게 범죄자가 될 수 있다는 점에서 사이버 전장화(戰場化)는 더욱 빨라질 것"이라고 우려했다.
기업의 경우 개인정보를 암호화 하는 등 철저한 기술적 보호조치를 할 필요가 있다고 전문가들은 입을 모았다.
보안업계의 다른 관계자는 "기업들이 개인정보를 이중으로 암호화 하거나 데이터손실방지(DLP) 솔루션 등을 도입하는 등 해킹에 대비하고 있지만 범죄방법이 점차 지능화되고 있어 방어가 쉬운 일은 아니다"고 말했다.
또한 개인 차원에서도 보안에 대해 각자가 철저히 대비하는 자세가 필요하다는 지적이다.
임종인 고려대 정보보호대학원 교수는 "개인차원에서도 비밀번호를 여러 개로 나눠 사용하고 자주 바꾸는 습관을 갖고, 공인인증서 관리를 철저히 해야 한다"고 말했다.