비밀번호 평문 저장 등 기본 원칙 위반
[HBN뉴스 = 홍세기 기자] 모아저축은행이 기본적인 정보보호 관리마저 소홀히 한 것으로 드러났다.
금융감독원이 최근 적발한 과거 3년간의 IT 보안 위반 내용에서 비밀번호 미암호화 저장, 방화벽 부실 운영, 로그기록 공백 등 치명적 결함들이 집중된 것으로 확인됐다.
 |
| 모아저축은행 |
29일 금융감독원 수시검사 결과에 따르면, 모아저축은행은 웹서버 접근 기록에 대한 관리가 극도로 부실했다. 2020년 12월 7일부터 2023년 10월 30일까지 총 3년 10개월간 웹서버에 대한 해킹 공격이 지속되었는데, 방화벽 등 자동 차단 장치가 일부 작동했음에도 불구하고 구체적인 로그 기록이 최대 8년 8개월간 전혀 남지 않은 상태였다.
IT보안의 기초는 누가, 언제, 무엇을 했는지 추적 가능하도록 로그를 남기는 것이다. 모아저축은행의 경우 이 가장 기본적인 원칙마저 지키지 않았던 것으로 드러났다.
더욱 충격적인 것은 비밀번호 관리 체계다. 모아저축은행은 비밀번호 9개를 암호화하지 않은 채 평문(평문텍스트) 상태로 관련 파일과 프로그램에 보관·사용한 사실이 적발됐다.
이는 현대 정보보호 기준에서 가장 기초적이고 필수적인 암호화 원칙을 전면 위반한 것이다.
비밀번호를 암호화하지 않고 평문으로 보관한다는 것은 누군가 접근 권한을 얻는 순간 모든 정보가 노출된다는 의미다. 금융기관으로서 고객 정보와 내부 자산을 다루는 기업이 이 같은 초보적 오류를 범했다는 것 자체가 보안 관리의 실패를 여실히 보여준다.
또 금감원의 검사 결과는 모아저축은행의 암호화 키 관리 체계도 심각한 수준임을 드러냈다. 모아저축은행은 금융사와 송수신에 사용되는 암호키를 제대로 관리하지 않았고, 비밀번호를 파기하지 않아 암호키가 유출된 것으로 판단되었다.
이는 단순히 개별 고객 데이터를 넘어 금융기관 간 자금이동 과정에서의 보안을 훼손하는 행위다. 암호키가 유출될 경우 금융거래의 무결성 자체가 침해될 수 있다.
아울러 해킹에 대한 방어 체계도 허술했다. 모아저축은행은 해킹 공격을 방어하기 위한 방화벽 설정이 미흡했으며, 이로 인해 2023년 9월 10일부터 11일 사이 개인정보가 외부에 유출되었다. 방화벽이 설정되었음에도 불구하고 기본적인 보안 설정이 부족해 실질적인 방어 기능을 하지 못했던 것이다.
금감원 검사 당시 웹서버의 해킹 공격을 추적한 결과, 방화벽의 실제 설정이 해킹 시도를 제대로 방어하기에 불충분했으며, 이로 인해 대출 신청 고객들의 이름, 휴대전화번호, 주민번호 등이 유출되는 사태로 이어졌다.
특히, 금감원이 적발한 또 다른 문제는 내부 감시 체계의 부재였다. 모아저축은행은 8종의 정보보호 시스템을 운영하고 있었으나, 관리 시스템 등 일부 시스템이 처음 도입 시부터 방치되었으며, 자체 감사 제도가 미흡했다.
금감원은 이번 검사를 통해 모아저축은행에 내부 IT 감사 제도가 구축되어 있지 않다는 점을 지적하고, IT 및 정보보호 부문에서 자체 감사의 실효성을 보강하라는 경영 유의사항을 부과했다.
금융감독원은 모아저축은행에 기관주의와 함께 과태료 1억6400만원을 부과했으며, 12억4300만원의 추가 제재 조치를 내렸다. 또 임원과 직원 등 관련 인사에 대해 주의부터 견책에 이르는 인사 조치 제재를 내렸다.
이번 제재는 단순한 기술적 결함을 넘어 조직 차원의 안이한 태도와 경영진의 관심 부족을 반영하고 있다. 내부통제와 정보보호가 경영의 우선순위에서 밀려난 결과라는 평가가 나온다.
[저작권자ⓒ HBN뉴스. 무단전재-재배포 금지]
