금융권, 공짜 DB 암호화는 문걸고 열쇠 놔둔 꼴(전자신문 2011.04.12 )
금융권, 공짜 DB 암호화는 문걸고 열쇠 놔둔 꼴
`제2의 현대캐피탈 사태` 우려 지적
현대캐피탈의 개인정보 유출 사고로 금융권의 허술한 데이터베이스(DB) 암호화가 도마에 올랐다.
캐피털·은행·증권사 등이 현재 정보통신망법에 따라 DB 암호화를 의무적으로 시행하고 있으나 대부분 국가정보원 국가 암호화 제품 검증을 거치지 않은 DB관리솔루션(DBMS)의 무료 보안 모듈이나 옵션 프로그램을 사용 중인 것으로 나타났기 때문이다.
해킹을 당하더라도 DB 암호화만 제대로 되면 개인정보가 쉽게 유출되지 않지만, 이런 장치가 미흡해 ‘제2의 현대캐피탈 사태’가 우려된다는 지적이다. 관련기사 8·면
11일 전자신문이 은행·증권사·생명보험사·캐피털 등 금융권 DB 암호화 현황을 조사한 결과, 대부분의 기업은 오라클·마이크로소프트 등 DBMS 솔루션 구축 시 제공하는 DB 암호화 무료 모듈이나 추가 보안 옵션 프로그램을 사용 중인 것으로 나타났다.
대규모 개인정보가 유출된 현대캐피탈도 오라클 DBMS의 무료 모듈만 채택한 것으로 드러났다.
국정원 검증을 받은 상용 솔루션으로 DB 암호화를 한 곳은 국민은행 계열 국민지주, ING생명 등 일부에 불과했다. 메리츠화재·신한카드·현대카드 등도 조만간 국정원 검증을 받은 솔루션으로 DB 암호화 프로젝트를 시작할 예정이다.
전문가들은 DBMS 무료 모듈이나 옵션으로 제공되는 보안 프로그램은 일부 데이터만 암호화하고, 암호를 푸는 복호화 키 저장 방식도 국정원 규격에 부합하지 않아 DB 유출 시 손쉽게 개인정보를 해독할 수 있다고 지적한다.
실제로 외산 DBMS의 DB 보안 옵션 프로그램은 복호화 키를 암호화 DB 속에 저장한다. 이는 복호화 키는 암호화 DB와 별도로 보관해야 한다는 국정원 규정과 배치되는 것이다.
DB보안 한 전문가는 “대부분의 금융권에서 오라클 DBMS 무료 모듈 등을 적용해 암호화를 했다고 말하지만 이는 문을 잠그고 열쇠를 꽂아두는 것이나 마찬가지”라고 꼬집었다.
그는 “제1 금융권에서 국정원 국가용 암호 제품 검증을 통과한 상용 DB 암호화 제품을 사용하고 있는 사례는 보고된 적이 거의 없다”며 대부분의 금융권이 수준 낮은 DB 암호화 프로그램을 가동 중임을 확인했다.
국정원 검증을 받은 솔루션은 이글로벌시스템·펜타시큐리티·케이사인·이니텍·소프트포럼 등에서 판매 중이다.
금융권이 국정원 인증 등 보안성이 높은 솔루션을 사용하지 않는 것은 DB 암호화를 규정한 법조항이 있으나 구체적인 규격을 명시하지 않은 관계 당국의 책임도 크다. DB 암호화를 의무화했을 뿐 구체적인 가이드라인이 미흡하다는 것이다.
김상광 행정안전부 개인정보보호과 법제팀장은 “금융업체나 캐피털은 그간 신용정보보호법과 정통망법이 정하는 기준이 달라 사각지대에 놓여 있었던 것이 사실”이라며 “오는 9월부터 시행될 개인정보보호법에서는 이런 경계에 놓여 있는 업체들에서 사고가 발생하지 않도록 시행령, 시행규칙, 기본계획 등을 세부적으로 정할 예정”이라고 말했다.
[기사 원문 보기 – 전자신문 http://www.etnews.com/201104110160]