[금융권 공부로그] 보험대리점(GA)해킹 사건

금융감독원이 최근 GA해킹 사건으로 보험사로 부터 오는 개인정보 유출을 언급하는 URL을 클릭하지 말라고 권고했어요.

최근 뉴스에서 꽤 충격적인 사건을 접했습니다. 대형 보험대리점(GA)에서 무려 1,100명의 개인정보가 유출됐다는 내용이었어요.개인정보 유출 사고는 이제 놀랍지도 않다고 말할 수 있을 정도지만, 이번 사건의 ‘출발점’이 꽤 인상 깊다고 할 수 있어 포스팅을 하게되었습니다.

개발자 한 명의 PC에서 시작된 보안 사고.

이 한 줄이 나한테는 단순히 해킹 뉴스가 아니라, ‘금융 IT 기획자가 어디까지 생각해야 하는가’에 대해 다시 질문을 던져준 계기가 됐어요.

1. 사건 요약: 개발자 PC, 그 한 지점의 허술함

•피해 기관: 유퍼스트보험마케팅, 하나금융파인드 (대형 GA)
•유출 규모: 고객 및 임직원 포함 총 1,100명
•유출 정보: 보험 종류, 증권번호, 보험사, 보험료 등 신용정보 포함
•원인: 시스템 개발사 소속 개발자가 해외 이미지 공유 사이트 접속 →
악성코드 감염 → 개발자 PC에 저장된 GA 웹서버 주소, 관리자 ID/PW 유출

사실 여기까지만 읽으면 “개발자가 조심하지 그랬어”라고 말할 수도 있어요.
하지만 중요한 건,
이런 ‘사소한 구멍’이 왜 시스템 전반을 흔들었는지를 생각하는 것.
그리고 그것을 방지하는 대안에는 아키텍쳐와 IT기획자의 몫이 크다고 생각해요.

2. 기획자는 어디까지 생각해야 할까?

 

(1) 개발 환경 = 설계의 일부

사건을 단순화해서 보면 이렇습니다. 
’개발자가 업무 시간 중 외부 사이트에 접속했고,그걸 통해 악성코드가 깔렸고,그 결과로 시스템의 열쇠가 통째로 해커 손에 넘어갔다.‘

하지만 더 깊이 들여다보면, 이건 개인 실수가 아닌 것 같아요.“개발 환경이 그렇게 설계되어 있었다” 시스템 자체가 문제 아닐까요??

•외부 접속이 가능한 개발용 PC
•인증정보가 평문으로 저장된 상태
•웹서버 접근 정보가 개인 로컬에 저장돼 있던 구조

이건 결국, ‘개발자는 실수할 수 있다’는 가정 하에 설계되지 않은 시스템이었고,
그걸 미리 막는 역할이 바로 아키텍쳐와 IT기획자의 몫이 아닐까 생각이 듭니다.

(2) 인증정보는 ‘숨겨야’ 보호된다

개발자 PC에 관리자 계정이 저장돼 있었다는 건,
곧 누구나 복사해서 사용할 수 있는 마스터키가 존재했다는 뜻일 거예요.

이건 개발자의 책임이 아니라, 설계의 실패!!! 

•계정은 시크릿 매니저를 통해 관리하고
•중요 인증정보는 로컬 저장이 아닌 서버 기반 호출로 구성하고
•접근 권한은 RBAC(역할 기반 접근 제어)로 최소화하는 것

이런 시스템을 기획 단계부터 반영하는 게 기획자의 역할이라는 걸,
이 사례를 통해 생각하게 만듭니다.

 (3) 나에게 남은 질문들

이번 사고를 보고, 나 스스로에게 질문을 던져본다. 

•나는 기능 중심 기획에서 벗어나, ‘리스크 관점’으로 시스템을 설계하고 있는가?
•개발자와 운영자, 보안 담당자 간의 경계가 모호해질 때,
그 사이를 어떻게 채워줄 수 있을까?
•만약 내가 GA 시스템 기획자였다면,
어떤 사전 체크리스트를 만들었을까?

이 질문들에 답을 찾고, 포트폴리오로 정리해서 남겨보려 합니다.
뉴스 한 줄도 공부 자료가 될 수 있고, 현실 사례는 이론보다 훨씬 강하게 다가오니까.

 (4) IT 기획자에게 필요한 감각

Sk텔레콤, lG등 매해 반복되는 보안이슈로 인해서,보안 사고는 어쩌다 한 번씩 터지는 ‘이벤트’가 아니라, 언제든지 반복될 수 있는 ‘패턴’이고, 그 패턴이 반복되지 않도록 설계하는 건 결국 사람이 해야한다고 생각해요.

기능을 잘 기획하는 것도 중요하지만, 리스크를 잘 차단하는 대안을 미리 설계에 짚어 넣는 것이 환영받는 기획자가 아닐까 싶습니다.

이번 사건이 제게 남긴 가장 현실적인 교훈은,
‘다음에 시스템을 설계할 기회가 온다면, 개발자의 실수까지 품어줄 수 있는 구조를 만들고 싶다‘ 인 것 같습니다.

[네이버뉴스] 출처:https://n.news.naver.com/mnews/article/421/0008263468