잇단 정보유출에도 증권사는 "보안보다 돈"

아주경제 서동욱 기자 = 국내 대형 증권사들이 정보유출을 막기 위해 전산망을 분리하는 과정에서 보안보다 돈을 택했다는 지적이 나온다.

13일 금융투자업계에 따르면 미래에셋대우, NH투자증권, 삼성증권, 한국투자증권 등 주요 대형 증권사를 포함해 상당수 증권사가 본·지점 외부 인터넷망과 내부 업무망을 분리하면서 돈이 많이 드는 물리적 분리 방식 대신 논리적 방식을 택했다.

물리적 분리 방식을 택한 증권사는 IBK투자증권, 하이투자증권, 키움증권 세 곳에 불과했다. KB증권과 SK증권은 각각 합병과 사옥 이전을 이유로 망분리를 5월께로 미뤘다.

금융위원회는 2013년 3월 '카드 정보유출 사태'를 계기로 모든 금융사를 대상으로 외부 인터넷망과 내부 업무망을 물리적으로 분리하도록 했다.

중앙전산센터를 제외한 증권사 본점·영업점은 지난 연말까지 선택적으로 물리적 또는 논리적 분리를 마쳐야했다. 이 과정에서 대부분 증권사가 돈을 아끼기 위해 논리적 분리를 택한 것이다.

물리적 망분리는 통신망을 업무용과 인터넷용으로 각각 분리하고, 별도 피시(PC)를 사용하는 것을 의미한다. 이에 비해 논리적 망분리는 피시 1개를 쓰면서 소프트웨어적으로 통신망을 업무용과 인터넷용으로 나눈다.

일반적으로 물리적 망분리는 논리적 망분리에 비해 1.5~2배가량 많은 비용이 든다. 피시를 두 대 사용해 불편하고 업무 과정에서 보안을 해제하는 과정도 까다롭다.

하지만 보안면에서는 더 안전하다. 논리적 망분리는 소프트웨어로 내부망과 외부망을 차단하는 구조로, 서버를 인터넷에 연결하는 형태를 벗어날 수 없다. 중앙 서버가 해킹당할 경우 모든 피씨가 위험에 빠질 수 있다는 얘기다.

실제로 지난해 6월 벌어진 인터파크 회원 1094만 명의 개인정보 유출 사건은 논리적 분리 방식의 허점을 보여줬다. 일반 직원이 논리적으로 보호되고 있는 가상화 공간에 연결을 유지하고 있을 때 해커가 이를 활용해 내부 정보를 빼낸 것이다.

한국인터넷진흥원 관계자는 "물리적 망분리였으면 해커가 분리된 망 사이를 건너뛰기 어려웠겠지만 논리적 방식이었기에 해킹 가능성이 생긴 것"이라고 설명했다. 사건 후 인터파크는 물리적 망분리로 전환하는 방안을 고려 중인 것으로 알려졌다.

증권사 중 하나금융투자는 논리적 망분리의 약점을 보완하기 위해 영업부서 등 외부 접촉이 잦은 부서 피시는 물리적 망분리를 통해 보안을 강화했다.

망분리 방식을 선택할 수 있도록 한 당국의 무책임에 대한 비판도 나온다. 한 증권사 관계자는 "당국이 빠른 시행을 위해 면밀히 안전성을 따져보지 않은 채 업계에 선택권을 넘긴 것"이라고 말했다.

금융사에 보안솔루션을 제공하는 한 IT업체 관계자는 "물리적 망분리가 더 안전하다는 것이 증명되고 있다"며 "비용 면에서 유리한 논리적 망분리를 우선 소개하지만, 보안을 강화하려는 업체에는 물리적 망분리를 권하는 추세"라고 전했다.