NH needs to explain itself

Bilingual News

Published: 21 Apr. 2011, 19:28

NH needs to explain itself

We are dumbfounded by the porous electronic banking management systems of Nonghyup, Korea’s fourth-largest retail bank, with 30 million customers. The Financial Supervisory Service’s latest investigation found that among the NH’s 686 identification numbers, which allow major servers and databases access to its control system, there were several passwords particularly vulnerable to hacking. For example, NH has been using simple passwords like “1” or “000.”

As it turns out, the bank was using the very passwords it had not allowed its customers to use. In some cases, the bank didn’t change some passwords for seven years, ignoring a FIS regulation that says banking companies should change them every three months. It was also revealed that even when it did change passwords, NH opted to add only one- or two-digit numbers to them.

NH also continued to use a temporary password provided by a contractor that installed software in NH’s computer networks. The FIS stipulates that banking institutions as well as their customers use passwords that are longer than six digits, and NH mandates passwords combining more than eight English characters and numbers. But these guidelines were ignored.

A politician argued that NH had attempted to cover up the hacking incident, which resulted in a leak of its customers’ private information. Kang Suk-ho, a lawmaker with the ruling Grand National Party, said that the bank’s IT headquarters didn’t report the incident to the police even after arresting the hacker in 2008. If the lawmaker’s words are true, it means the bank attempted to silence the offender by giving him money.

And that amounts to rewarding, not punishing, a criminal for his crime. If this is really what happened to the bank, it has no excuse for the breakdown of its electronic banking system. No matter how hard the bank shouted for internal reform, the latest fiasco vividly shows it has failed to revamp its bureaucratic image.

Prosecutors investigating the NH crisis mentioned Wednesday the possibility that a highly-trained hacker group committed the crime. Yet the bank has consistently been saying there is no such possibility at all. Whenever an accident occurs, the prosecution has to investigate it by leaving the door wide open to any possible scenarios. Choi Won-byeong, the bank’s CEO, must explain why it continues to deny the possibility that someone could have hacked into the bank’s system.

동네 구멍가게만도 못한 농협 보안의식

갈수록 태산이다. 3000만 명의 고객을 두고 있는 농협의 전산시스템 관리에 대해서는 이 말밖에는 쓸 것이 없다. 지난해 10~11월 실시된 금융감독원 조사 결과에 따르면 주요 서버와 데이터베이스(DB) 통제시스템에 접근할 수 있는 686개 계정(아이디)의 비밀번호 중에는 ‘1’이나 ‘0000’같이 보안에 취약한 것이 여러 개였다고 한다. 고객들에겐 절대 사용하지 못하게 하는 번호를 자신들은 버젓이 썼던 것이다. 어떤 계정의 비밀번호는 거의 7년 동안 바꾸지 않기도 했다. 석 달에 한 번씩 비밀번호 변경을 요구하는 금융당국의 규정은 그저 무시할 대상이었다. 비밀번호를 바꾼 경우라도 아이디와 같거나 아이디에 숫자 한두 개를 붙인 경우도 많았다고 한다.

농협은 전산망에 소프트웨어를 설치할 때도 납품업체가 설정한 임시 비밀번호를 바꾸지 않고 그대로 사용하기도 했다. 금융감독원은 숫자와 문자를 섞어 6자 이상의 비밀번호를 쓰도록 규정하고, 농협중앙회 자체 전산업무 지침도 영문과 숫자를 섞어 8자 이상을 요구하고 있지만 다 말장난에 지나지 않았다.

3년 전에도 홈페이지가 해킹 당해 고객 개인정보가 유출됐지만 농협은 이 사실을 공개하지 않고 그냥 유야무야했다는 주장도 나왔다. 한나라당 강석호 의원은 “2008~2009년 해킹 당한 적이 있는데 당시 농협 IT본부가 해커를 붙잡고도 경찰에 신고하지 않았다”고 말했다. 해커에게 돈을 주고 입막음을 했다는 것이다. 범인을 단죄하기는커녕 표창을 한 셈이다. 이게 사실이라면 농협은 동네 구멍가게만도 못하다. 그 동안 대외적으로 혁신을 수없이 외쳤지만 주인의식이라곤 전혀 없는 공기업 체질이 그대로 남아 있는 조직이라는 말이다.

나흘간 전산망 마비를 불러온 사상 최악의 이번 사고를 조사하고 있는 검찰은 20일 고도로 훈련된 외부인에 의한 해킹 가능성을 언급했다. 하지만 농협은 사고 직후부터 줄곧 해킹 가능성은 없다고 말해왔다. 사고가 터지면 모든 가능성을 열어두고 조사하게 마련이다. 그런데도 농협이 무슨 근거로 해킹 가능성을 전면 부인해 왔는지 최원병 회장이 직접 해명해야 한다.