비밀번호를 지켜라

 

이런 경험 한 번쯤 있을 거라 생각한다. 누군가의 핸드폰 비밀번호를 알아내기 위해 생일을 비롯해 1004, 2580 등 일반적인 번호부터 0000~9999까지 열심히 조합하며 눌러댔던 기억 말이다. 사실 시간만 허락된다면 언젠가는 알아낼 수도 있다. 하물며 해킹 툴을 이용한 무차별적인 공격은 당해 낼 재간이 없다. 이런 공격에 대비하려면 다음과 같은 비밀번호 수칙은 최소한 지켜야 한다.

 

1. 영문, 숫자, 특수문자 등 3종류 이상으로 조합한다.

2. 1234와 같이 연속된 숫자나 유추하기 쉬운 단어사용은 피한다.

3. 생년월일, 연락처 등 개인정보와 연관성 없는 문자로 구성한다.

4. 사이트 별로 다른 비밀번호를 사용한다.

5. 웹사이트의 비밀번호는 최소 3개월마다 주기적으로 변경한다.

 

 

정공법이 답이다

 

3·20 대란은 2013년 3월 20일 대한민국의 주요 언론과 기업의 전산망이 마비되고, 다수의 컴퓨터가 악성코드에 감염되어 피해를 입은 사건이다. 이러한 국가적 규모의 대란에 일부 은행과 보험사들도 자유로울 수 없었다. 3.20 대란 이전 대부분의 금융회사들은 웹 서버 관리자 계정을 추가 인증 없이 ID와 패스워드로만 업무시스템에 접속하도록 허용해 왔다. 또한 서버 및 사용자 계정의 비밀번호를 암호화하지 않고 평문으로 저장하거나 보안상 취약한 비밀번호 설정, 비밀번호 변경주기 및 오류 횟수를 미설정하는 등 문제점을 지니고 있었다.


금융감독원이 지난해 7월부터 9월까지 15개 금융회사들을 상대로 전산 및 보안실태를 점검한 결과, 일부 보험사, 증권사 등이 비밀번호를 암호화하지 않거나 공인인증서 등의 추가 인증수단 없이 전산시스템을 운영하고 있는 것으로 밝혀졌으며 어떤 곳은 지난해 4월부터 9월까지 공인인증서 등의 추가인증 없이 아이디와 비밀번호만으로 업무용 시스템의 관리자 페이지를 접속할 수 있도록 운영하고 있었다.


업계의 이러한 분위기 속에서도 현대카드·현대캐피탈(이하 현대카드)은 2011년 해킹사고 이후 내부적으로 많은 자성과 노력을 통해 보안에 대한 체질을 완전히 바꿔 나가고 있었다. PC접속 시 3중의 인증과정을 거치도록 강제화 한 것이 일례다. 즉, PC부팅 시 CMOS패스워드를 입력한 후 OS의 기본 인증과정을 거친 다음 해당 업무시스템 접속 시 개별 OTP인증을 통해 접속하는 등 최소 3번의 인증과정을 거쳐야만 해당 업무를 수행할 수 있도록 한 것이다.


일반적으로 보안시스템이 잘 구축된 회사의 경우에도 중요시스템이나 개인정보처리시스템에 국한하여 OTP인증을 거치도록 하고 있다. 현대카드는 더 나아가 고객정보 취급 정도에 따라 4단계의 보안등급을 부여하고 보안등급에 맞는 OTP지급과 보안체계를 적용하는 등 아주 까다로운 보안정책을 펼치고 있다. 더불어 통합보안관제 시스템도 3중의 방어막을 통해 내외부의 트래픽을 철저히 모니터링하며, 협력사에는 보안솔루션의 무상지원과 보안관리 우수업체에 대한 포상지원 등 실질적인 관리감독을 이행하고 있다.

 

 

정보보안은 선택이 아닌 필수

 

기업이 이윤을 창출하고 비즈니스를 지속적으로 영위해 나가기 위해서는 내부의 핵심정보와 더불어 고객의 개인정보를 지키지 못하면 안 되는 시대이다. 강화된 법규 준수뿐 아니라 기업의 신뢰도 및 이미지 제고를 위해서도 선택이 아닌 필수적인 경영전략이 된지 오래이다. 이러한 까닭에 비즈니스의 기본 요소로서 정보보안이라는 체계를 기본적인 인프라로 구축해야만 한다. 기업이 정보보안에 대한 철학과 시스템을 구축하고 지속적으로 점검하지 않는다면 기업의 존립 자체를 장담할 수 없는 것이 작금의 현실이다. 이에 현대카드와 같이 정보보안에 대한 확고한 책임의식을 가지고 모든 업무와 생활에 자연스럽게 스며든 보안 문화가 모든 기업에 확산되기를 기대해 본다.




writer. 박억남
국제 정보보호 선임 심사원, 개인정보보호 심사원


저작자 표시 비영리 변경 금지
신고
Posted by 금융공학

댓글을 달아 주세요