[현대캐피탈 고객정보 해킹] "현대캐피탈 관리자 교대 때 패스워드 안 바꿔…상식 밖"

● 보안 전문가들이 보는 허점

현대캐피탈은 제휴 자동차 정비 사이트에서 로그 기록이 암호화되지 않아 고객정보가 빠져나갔다고 주장하지만 보안전문가(화이트 해커)들 얘기는 다르다. 현대 측 주장과 달리 고객 데이터베이스(DB)가 제대로 암호화되지 않았고 포트 관리도 허술했다는 것이다.

현대캐피탈 측은 "고객정보를 암호화했고 고객 DB가 해킹당한 게 아니다"고 설명하고 있다. 하지만 한 보안전문가는 "자세한 내용을 말할 순 없지만 암호화를 제대로 안 했다"고 반박했다. 이름 주민등록번호 계좌번호 등을 따로따로 암호화해야 하는데 현대는 한꺼번에 한 것 같다는 설명이다. 새 암호화 솔루션 도입을 중단한 것도 문제로 꼽혔다.

다른 보안전문가는 "현대캐피탈의 경우 관리자계정 패스워드 관리가 허술해 악질 해커들의 손에 넘어갔다"고 지적했다. 금융기업의 경우 24시간 단위로 관리자가 바뀔 때마다 패스워드를 바꾸든지,적어도 1주일에 한 번은 바꿔야 하는데 현대캐피탈 관리자들은 이런 기본적인 수칙조차 제대로 지키지 않았다는 것이다.

이 전문가는 접속 포트 관리와 통합보안장비(UTM) 관리도 허술했다고 지적했다. 관리자는 사용하지 않는 포트도 철저히 관리해야 하는데 포트 관리를 제대로 하지 않았고 UTM 관리도 허술했다는 얘기다. 그는 "사건이 터진 뒤에도 포트를 열어둔 채 방치했는데,이해하기 힘든 일"이라고 말했다.

또 다른 전문가는 "현대캐피탈 관리자들이 접속하지 않는 시간대에 해커가 접속한 것으로 봐서는 내부 사정을 아는 사람이 직 · 간접적으로 관련됐을 가능성이 있다"며 "내부자 연계 흔적이 몇 가지 있다"고 설명했다. "그렇다면 내부인 소행으로 보느냐"는 질문에 대해서는 '99.9%'라고 잘라 말했다.

한 보안업체 대표는 "삼풍백화점 붕괴가 한두 사람의 잘못에서 비롯된 것이냐"고 반문하면서 "이번 사건은 우리 사회의 총체적인 보안의식 결핍에 따른 결과"라고 진단했다.

김광현 IT전문기자 khkim@hankyung.com