현대캐피탈 해킹, 농협 전산망 불통 사고가 확대되고 있는 가운데 금융뿐만 아니라 유통·의료·통신 등 우리나라 산업계 전반이 보안 사각지대에 놓여 있는 것으로 나타났다.
정부가 마련한 개인정보보호 가이드라인이 휴지조각으로 방치되는가 하면 해커가 마음만 먹으면 고객정보를 털 수 있는 구멍도 곳곳에서 발견됐다.
14일 전자신문이 금융·통신·의료·유통·산업 기반시설 등 업종별 보안 전문가와 함께 긴급 보안 실태를 점검한 결과, 보안 불감증은 우리 산업계 곳곳에 만연한 것으로 드러났다. <관련기획 4·5면>
환자의 병력이나 신체정보를 다루는 병원에서는 보건복지부가 지난해 마련한 ‘의료기관 개인정보보호 가이드라인’이 사실상 ‘휴지조각’으로 방치되고 있다.
박세현 에이쓰리시큐리티 수석컨설턴트는 “복지부 가이드라인에는 500병상 이상의 병원은 5인 이상의 개인정보보호위원회를 두고 2~3년마다 정보보호 감사를 받아야 하지만 이를 지키는 곳은 서울아산병원·순천향병원 등 극히 일부에 불과하다”고 말했다.
현재 500병상 이상 대형병원의 전자의무기록(EMR)과 의료영상저장전송시스템(PACS) 도입률이 각각 50%, 95%를 넘어서 자칫 대규모 개인정보 유출사고로 이어질 수 있다는 지적이다.
백화점·할인점·슈퍼마켓 등 유통 분야에서는 허술한 보안시스템이 ‘지뢰밭’처럼 펼쳐져 있다.
최동근 롯데정보통신 이사는 “웬만한 유통점에서 사용 중인 판매관리시스템(POS)은 USB포트가 외부에 노출돼 있다”며 “하지만 대부분 거래나 고객정보가 암호화되지 않고 평문으로 저장돼 누군가 USB 저장장치에 담아가며 꼼짝없이 당할 수밖에 없다”고 지적했다.
할인점 직원이 PDA 업무를 보는 동안 비인가자인 해커가 네트워크에 자유롭게 접속할 수 있는 위험도 제기됐다.
제조·생산 등 전통산업에서는 산업자동제어시스템을 마비시키는 ‘스턱스넷’이 복병으로 떠올랐다. 정진교 안철수연구소 팀장은 “이란 핵발전소 공격으로 전 세계가 경악하는 ‘스턱스넷’으로 인한 우리나라 산업시설 피해는 없었지만 현재 산업기반시설 보안 전문가가 부재하고 보안 기술과 시스템도 미비해 해커가 침투할 경우 속수무책으로 당할 수밖에 없다”고 말했다.
보안시스템이 잘 갖춰졌다는 통신업계도 스마트폰 확산으로 무선인터넷 취약점이 핫이슈로 떠오른 상태다.
현재 몇몇 통신사의 경우 와이파이 접속 시 자사 고객에는 보안모듈을 제공하지만, 타사 고객은 제공하지 않아 모바일 뱅킹이나 모바일 트레이딩 과정에서 주요 정보가 유출될 가능성이 높다는 지적이다.
임관수 시만텍코리아 차장은 “어느 네트워크 방어시스템도 통신망의 취약점을 100% 막아내기는 어렵다”며 “정보시스템에 대한 투자뿐만 아니라 정보 유출을 미연에 차단하고 관리를 잘하는 정보 중심의 보안 전략이 시급하다”고 강조했다.
장지영·장윤정기자 jyajang@etnews.co.kr