Notch up the cybersecurity
The recent hacking incident at Hyundai Capital turned out to have originated from human error: the financial company’s lax sense of security in cyberspace. In an announcement made yesterday after months of investigation into the case, the Financial Supervisory Service concluded that the breach was caused by the company’s inability to implement preventive measures, adding that the company leadership is ultimately responsible for a massive leakage of customers’ information to a loan broker.
Hyundai Capital admitted that it didn’t properly manage a number of identification numbers and passwords that allow access to its main server. The company also conceded that its retired employees had accessed the server on seven occasions by the IDs and PWs they used when they worked for the company. Being aware of the fact that similar hacking incidents occurred previously, the company, however, didn’t take action to prevent a recurrence of hacking, including basic encoding mechanisms even department stores maintain to protect their customers privacy.
Customers are utterly dismayed at Hyundai Capital’s terribly slack attitude regarding the issue of privacy protection. If Hyundai Capital, a leading investment company in Korea, maintains such a porous system for cyberattacks, what about other financial agencies? It appears almost natural that a colossal electronic banking glitch debilitated Nonghyup Bank right after the hacking on Hyundai Capital. These can be dubbed archetypal dereliction of duty by financial institutions.
The FSS explained that the latest hacking incident has not yet caused financial damage to customers of Hyundai Capital. It also said that no information on 1.75 million customers was exposed on the Internet, either. Yet it’s too early to feel relieved. First, the amount of investors’ information that had been leaked turned out to be four times bigger than the original estimate. Therefore, they run the risk of further leaks which would inflict damage on themselves. The government and the industry must establish a solid system that would enable them to prevent cyberattacks.
It may be equivalent to mending the barn after the horse is stolen. Yet all financial entities, including Hyundai Capital and Nonghyup Bank in particular, must do their best to boost their cybersecurity. Hyundai Capital announced plans to reinforce its security competence by appointing a chief information officer in short order. We hope it’s not an empty promise.
해킹 초래한 현대캐피탈의 보안불감증
현대캐피탈 해킹 사고는 역시 인재(人災)였다. 대형 금융사의 보안불감증이 빚어낸 참사다. 금융감독원은 그 동안 조사한 사고 경위를 어제 발표했다. 금융사라면 당연히 해야 할 예방 대책을 이행하지 않았기 때문이라고 결론 내렸다.
현대캐피탈이 서버에 접근할 수 있는 계정과 비밀번호를 제대로 관리하지 않았기 때문이라고 했다. 심지어 퇴직한 직원도 재직 시절의 계정과 비밀 번호를 이용해 서버에 무려 7차례나 무단 접속했다고 밝혔다. 비슷한 해킹 사건이 진작 일어났고, 이를 알고 있었음에도 불구하고 예방조치를 하지 않았다. 게다가 백화점들도 하는 암호화 작업마저 제대로 하지 않았던 것으로 드러났다.
믿고 돈을 맡긴 국민들로서는 기가 찰 노릇이다. 업계 1위를 자부해온 현대캐피탈이 이 정도면 다른 캐피탈사는 오죽 하겠는가. 은행 등 제1금융권도 큰 차이가 없을 것으로 추정된다. 현대에 이어 터진 농협 전산망 사고도 비슷한 문제에서 비롯된 것이란 분석이 이어지고 있다. 전자금융 거래액이 무려 1경원을 넘어가는 마당에 있을 수 없는 직무유기다. 금융사들은 입만 열면 외쳐온 ‘신용’을 스스로 팽개쳤다.
금감원에 따르면 아직 현대캐피탈 고객들의 금전적 피해는 없다. 해커가 빼내간 175만명의 고객 정보가 인터넷상에 노출되지도 않았다고 한다. 그렇다고 안심할 일은 아니다. 유출된 고객 정보가 당초 예상보다 4배나 많다는 점이 놀랍다. 게다가 언제든 정보가 유출될 위험은 있고, 그에 따라 금전적 피해가 일어날 가능성도 배제하지 못한다. 이런 사태가 일어나지 않도록 정부와 금융사는 사후 점검을 지속적으로 해야 할 것이다.
비록 소 잃고 외양간 고치는 격이긴 하지만, 그렇더라도 현대캐피탈과 농협 등 금융사들은 보안대책에 만전을 기해야 할 것이다. 현대캐피탈은 보안전문인력을 보강하고, 최고 정보보호책임자(CIO)를 선임하겠다고 발표했다. 이런 대책이 다시 구호에 불과해선 안 된다. 다른 금융사도 마찬가지다. 사고가 터지지 않았다고 안주해선 안 된다. 현대캐피탈과 농협에서 교훈을 얻어야 한다. 중요한 것은 보안에 대한 최고경영자의 지속적인 관심이다.
with the Korea JoongAng Daily
To write comments, please log in to one of the accounts.
Standards Board Policy (0/250자)