파국으로 치닫고 있는 현대캐피탈 해킹사태가 '데이터베이스(DB)암호화' 솔루션 때문이 아니라는 의견이 제기됐다. 일부 언론에서는 현대캐피탈 고객정보에 대한 DB암호화 조치가 이뤄지지 않았기 때문이라는 지적도 있었다. 또한 지난 2009년 추진 중이던 암호화 솔루션 구축 중단이 원인이었다는 의견도 제기됐다.
하지만 11일 대다수 보안업계 관계자들은 실제 웹페이지를 구동할 때 사용하는 애플리케이션 서버를 해킹했다면, DB암호화 솔루션이 적용됐더라도 해킹이 가능하다고 말했다. 해킹이 단순 DB암호화 솔루션에 문제가 아니라는 얘기다.
이번에 유출된 파일은 여러 개의 파일을 하나로 묶는 'tar파일'로 개인정보가 포함되어 있었다. 때문에 실제로 해커들이 가져간 파일에 그 외 어떤 정보가 더 들어있었는지도 모른다고 설명했다.
또한 관련업계 확인결과 암호화 솔루션을 적용하고 있다는 현대캐피탈의 주장은 사실인 것으로 보인다. 현재 현대캐피탈은 한 글로벌 업체의 DB암호화 솔루션을 적용하고 있는 것으로 알려졌다.
현대캐피탈은 지난해 2009년에 투자비를 이유로 DB솔루션을 업그레이드 하지 않았다는 의견에 대해서도 부인했다.
현대캐피탈의 한 관계자는 중단된 구축사업은 DB암호화 구축 솔루션이 아니라 암호화 속도를 높여주는 솔루션 구축사업이었다면서 하지만 구축비용대비 효율성이 떨어진다는 판단에 의해 중단한 것일 뿐이라고 말했다.
그러나 일부 중요한 파일 외에는 암호화 작업이 되지 않은 것은 사실로 드러났다. 실제 로그 암호화 기능 중 일부 로그는 암호화 되지 않았다.
대부분 금융권에서는 DB솔루션 등을 도입해 보안강화에 힘쓰고 있다. 그러나 국내 금융권 관계자들은 보안만 강조하기에는 다소 무리가 있는 것이 현실이라고 항변했다. 솔루션을 구축하면 성능이나 장애가 빈번히 발생해 서비스에 차질을 빚기도 하고, 복잡한 업무구조상 담당자들의 업무 효율성도 떨어진다는 것이다.
그들은 금융권 업무 특성상 암호화를 하더라도 중요한 일부파일만 하는 경우가 있는 것은 사실이지만, 금융권들의 투자비 때문이라는 것은 잘못된 루머라고 일축했다. 금융권에서 고객정보를 무방비상태로 방치한다는 의견에 대해서는 더욱 억울하다는 입장이다.
금융업계 한 IT담당자는 금융권 업무들이 워낙 복잡해 보안을 적용하는 것 자체가 쉽지 않은 작업이라며 특히 담당자들이 업무를 처리할 때 성능문제나 장애서비스 등의 부정적 이슈가 빈번히 발생해 DB암호화 솔루션 구축이 쉽지 않을 뿐이라고 말했다.
특히, 관계자들은 DB암호화 솔루션 구축을 하더라도 보안 효율성이 높지 않다는 점을 지적했다. 때문에 보안과 업무 효율성이라는 두 마리 토끼를 모두 놓치는 것보다 업무 프로세스 도입을 통해 보안문제를 보완하는 방향으로 운영하고 있다.
관련기사
- 메신저 피싱, '현대캐피탈 탓?'...루머 확산2011.04.12
- 현대캐피탈 해커들 '필리핀·브라질' 거쳤다2011.04.12
- 현대캐피탈 해킹...현대카드까지 불똥?2011.04.12
- RSA 해킹 피해 '함구'…기업 대응 방안은?2011.04.12
보안업계 관계자들은 무엇보다 시장에 출시된 DB솔루션들이 금융권 환경에 적합하지 않은 경우도 많아 적용하기 쉽지 않은 부분도 있을 것이라며 복잡한 구조만큼 기술만으로 해결될 수 없는 보안적 측면도 존재한다고 말했다.
또 이번 현대캐피탈 해킹사건으로 금융권 보안이 도마 위에 오르고 있지만 기존 보안 솔루션이 금융업무환경에 적합하지 않은 부분도 있다고 지적했다.
