• 리딩투자증권의 홈페이지가 해커의 공격에 무방비로 노출되면서 금융권 IT보안의 허술함이 또 한 번 드러났다.

    이번 해킹으로 빠져나간 고객 정보는 1만2천건으로 금융감독원과 리딩투자증권이 파악했다. 고객 이름과 주민등록번호, 휴대전화번호 등과 관련한 정보다.

    리딩투자증권은 해킹시도가 있다는 점을 미리 인지하고도 늑장 대응해 피해를 키웠다. 이달 8일 코스콤에서 해킹시도가 있다는 연락을 받았으나 대수롭지 않게 생각하고 내버려뒀다가 사흘 뒤인 11일 해커로부터 협박 메일을 받고서야 진위를 조사했다.

    고객 보호에 특별히 신경 써야 한다는 직업윤리를 망각한 증권사의 무사안일한 태도 때문에 피해는 고스란히 고객에게 돌아가게 됐다.

    금감원 IT조사국 관계자는 "이번 정보 유출에 따른 금융피해는 아직 없으나 해커가 이 정보를 악용할 수 있는 여지는 많다"고 지적했다.



    ◇ 다른 증권사 홈페이지도 `위험'

    리딩투자증권의 초기 대응이 허술한 탓에 피해를 키운 측면이 있지만, 증권업계의 보안시스템 결함도 해킹의 원인이 됐다. 다른 증권사들도 언제든지 정보를 도난당할 여지가 있다는 얘기다.

    금감원 IT감독국 관계자는 "증권사 홈페이지는 인터넷에 오픈 돼 있기 때문에 해킹을 원천적으로 차단할 수 없다. 물샐 틈 없이 점검해야 하는데 하나라도 빠뜨리게 되면 그 취약점을 뚫고 해커들이 들어온다"고 말했다.

    리딩투자증권 측도 홈페이지 해킹 사건을 단순히 중소형 증권사의 보안 시스템 문제로만 치부할 수는 없다고 항변한다.

    이 증권사 IT기획팀 담당자는 "금융위원회 산하 금융보안연구원에서 3개월에 한 번씩 홈페이지와 홈트레이딩시스템(HTS) 취약성 검사를 한다. 올해 2월 검사에서는 취약한 부분이 없는 것으로 확인됐다. 소형사, 대형사의 문제가 아니다"고 주장했다.

    주민등록번호와 휴대전화번호 등 주요 고객 정보를 암호화하면 해커가 정보를 빼내더라도 읽을 수 없지만, 암호화가 현실적으로 불가능하다는 것도 한계다.

    다른 증권사 IT팀 관계자는 "주민등록번호는 고객을 분류하는 핵심 정보인데 암호화하면 시스템이 굉장히 느려진다"고 말했다. 이러한 사정을 고려해 금감원도 계좌 비밀번호의 암호화만 의무화하고 나머지 정보는 각 증권사 자율에 맡기고 있다.



    ◇ 리딩투자증권 사후 대응에도 `느림보'

    리딩투자증권과 금융감독당국 모두 대책 마련에 고심하고 있지만 뾰족한 수를 찾지 못하고 있다.

    리딩투자증권은 일단 게시판에 사과문을 올리고 개인 고객이 홈페이지에서 개인 정보 유출 여부를 확인할 수 있도록 했다.

    그러나 아직 개별 고객에게는 유출 사실을 통보하지 않았다. 언론 보도를 통해서 해킹 사실을 알게 된 고객들이 게시판과 전화로 문의해오면 대답해주는 정도가 사후 대책이다.

    자신의 개인정보가 유출된 사실을 모르는 고객을 상대로 전화금융사기(보이스피싱) 등 각종 범죄가 저질러질 개연성이 높은데도 너무 안일하게 대응하는 게 아니냐는 지적을 받고 있다.

    금융당국의 대응 태도도 느긋하다. 농협과 현대캐피탈에 이어 증권사에서도 해킹 사고가 터졌음에도 고민만 할 뿐 재발 방지책을 내놓지 못하고 있다. IT보안 대책이 나올 때까지는 좀 더 시간이 걸린다는 이유에서다.

    금감원 IT감독국 관계자는 "리딩투자증권 해킹 사고는 현대캐피탈 모방범죄인 것으로 보고 있다. 이 사건 하나 때문에 당장 대책을 발표하기는 어려울 것 같다. 6월에 종합적인 대책을 선보일 예정이다"고 말했다.(서울=연합뉴스)