'IT보안 허점' 카드·생보사, 금감원 제재

아주경제 김부원 기자= 정보처리시스템 보안에 허술한 카드사와 생명보험사가 금융당국으로부터 제재를 받았다.

12일 금융감독원에 따르면 지난해 15개 금융회사를 상대로 한 테마검사에서 신한카드·신한생명·푸르덴셜생명·PCA생명 등 4곳이 전자금융감독규정을 위반해 실무자에게 주의처분이 내렸졌다.

신한카드는 악의적인 명령어를 주입하는 방식으로 웹 서버를 공격하는 '구조화조회언어(SQL) 주입공격'을 예방하는 데 필요한 프로그램을 설치하지 않아 해킹공격에 취약한 것으로 나타났다.

신한생명은 외부인이 공인인증서 등 추가 인증을 하지 않아도 아이디와 비밀번호만으로 홈페이지 관리자 페이지에 접속할 수 있도록 시스템을 운영했다.

푸르덴셜생명은 추가 인증 없이 공개용 웹서버(오피스 웹하드 시스템)에 들어갈 수 있도록 한 것이 문제로 지적됐다.

감독규정에 따르면 공개용 웹서버의 안전한 관리를 위해 관리자 등 사용자 계정으로 접속할 때는 아이디와 비밀번호 이외에 공인인증서와 같은 추가 인증수단을 적용해야 한다.

푸르덴셜생명의 경우 자회사 통신망을 자사 내부통신망과 분리하지 않은 점도 문제로 지적됐다. 금융기관은 정보통신망을 해킹 등에서 보호하고자 침입차단시스템 등 정보보호시스템을 설치하고, 내부통신망을 다른 기관 내부통신망과 분리해야 한다.

PCA생명은 내부업무시스템의 비밀번호를 암호화하지 않아, IT담당자가 내부 직원의 개인정보에 접근할 수 있도록 방치해뒀다.