관련 통계자료 다운로드 금감원 금융기관 전산망 지적 사항
현대캐피탈과 농협 사태에서 촉발된 금융권 해킹 사고 불똥이 증권업계로 튀고 있다. 최근 발생한 리딩투자증권 피해 사례는 ‘빙산의 일각’에 불과하다는 게 업계 지적이다.
23일 본지 조사 결과, 시중 증권사 가운데 5곳이 침입탐지장비(IDS)와 침입차단장비(IPS), DDoS 공격 대응장비(안티 DDoS 공격) 중 한 가지도 갖추지 않은 것으로 드러났다. ‘전자금융 감독규정 시행세칙’ 제2절 제7조에 따르면 해킹 방지를 위해 각 금융기관은 침입차단시스템과 침입탐지시스템을 설치해야 한다.
보안 장비를 갖추지 않은 증권사들은 “코스콤에 홈트레이딩시스템(HTS) 운영을 위탁했기 때문에, 자체 보안 장비를 갖추지 않은 것”이라고 해명했다. 현재 코스콤에 HTS 운영을 위탁한 증권사는 10여곳.
문제는 코스콤조차 IDS와 IPS를 도입하지 않았다는 점이다. 지난해 6월 이후 코스콤은 기존 장비 업체와 계약을 연장하지 않고 있다.
HTS 자체도 해커 공격에 취약할 수밖에 없는 약점을 지녔다. 대다수 증권사가 HTS 시스템에 보안 솔루션을 적용하기를 꺼리는 탓이다. 증권사 내부직원 PC의 안티 바이러스 프로그램도 장중에는 실시간 감시 기능과 업데이트 기능 등이 작동되지 않도록 프로그래밍된 경우가 대다수다.
H증권사 관계자는 “HTS 거래는 시간이 생명인데, 방화벽 설치 등으로 거래가 1초라도 지연될 경우 고객 항의가 빗발친다”며 “어쩔 수 없이 장중에는 처리 속도를 높이기 위해 방화벽을 구동하지 않는다”고 말했다.
HTS 외부 위탁을 이유로 자체 보안 장비를 구축하지 않은 업체도 해킹 위협에 항상 노출돼 있다. 최근 해킹당한 리딩투자증권과 한국전자금융은 SQL 인젝션(SQL Injection)이라는 가장 초보적인 보안 공격에 당했다.
최근 금융감독원의 조사에서 이 같은 상황이 드러나지 않는 것도 문제다. 금감원이 최근 한나라당 이성헌 의원실에 제출한 ‘2008~2010년 전 금융권 IT검사 명세’에 따르면, ‘기관주의’ 조치를 받은 증권사는 한 곳도 없었다. 보험과 은행, 캐피털사 등이 각각 12건과 2건, 1건씩 받은 것에 비하면 이례적이다.
‘기관주의’는 행정상 불이익을 받는 조치로 ‘경영유의’나 ‘개선’ ‘주의’ 등에 비해 높은 제재에 해당한다. 전체적으로도 보험, 은행이 각각 26건, 19건 적발됐으나 증권사는 7건에 그쳤다.
전문가들은 증권사에 만연한 보안 불감증을 서둘러 수습하지 않으면 증권사 모두가 ‘사이버 테러’ 대상이 될 수 있다고 경고했다.
임종인 고려대 정보보호대학원 교수는 “동일한 수법에 비슷하게 당할 정도로 전반적인 금융권 보안 상태가 미흡하다”며 “정부에서 전 금융권에 일제히 보안 시스템을 도입, 적용하도록 강제성을 띄는 등 강력한 행정조치를 취해야 한다”고 주장했다.
장윤정·박창규 기자 linda@etnews.co.kr