현대캐피탈이 해킹에서 얻은 교훈 5가지 - 해킹사고에 대한 우리나라 기업과 CEO가 대처해야 하는 자세

현대캐피탈이 해킹에서 얻은 교훈 5가지 - 해킹사고에 대한 우리나라 기업과 CEO가 대처해야 하는 자세

 

 

By Evan Ramstad

 

한국 최대 소비자금융업체인 현대캐피탈의 정태영 CEO는 4월 초 덴마크 출장 중 업무방식에 대전환을 이루게 하는 전화 한 통을 받았다.

 

현대캐피탈 컴퓨터시스템을 해킹했다는 전화를 받았다고 동료직원이 걸어온 전화였다. 발신자는 돈을 주지 않으면 극비정보를 유출하겠다고 협박했다.

 

정 CEO는 모든 것이 불확실했기에 깜짝 놀라지는 않았다고 회상한다. “충격받기에는 너무 불확실한 상황이었다. 실제로 무슨 일이 일어났는지 먼저 알아내야 했다.”

 

그 후 2주에 걸쳐 현대캐피탈은 경찰에 협력해서 사건과 연관된 2개 해커집단을 찾아냈다. 경찰은 한국에 소재를 둔 첫째 집단과 관련된 용의자 3명을 체포했고 다른 집단은 한국사법권 밖인 필리핀에 있다고 밝혔다.

 

당시 경험을 통해 정 CEO 및 현대캐피탈 관계자는 경영방식에 대한 생각을 바꾸었을 뿐 아니라 회사 구조를 근본적으로 개선했다.

 

 

정 CEO는 IT부서를 다른 부서와 마찬가지로 대했다는 점이 가장 큰 실책이었다고 말한다. 현재 그는 IT부서를 현대캐피탈의 중심부로 간주하고 있다. 당시 사건 이래 정 CEO는 수 주에 걸쳐 네트워크 아키텍처 및 보안 인프라, 데이터보호와 고객만족 간 상충관계에 대해 공부했다.

 

“안방에 있는 보석을 지키기 위해 화장실과 차고문까지 잠그면 가족들이 불평할 뿐 아니라 피해갈 방법을 찾게 된다. 다른 모든 것과 마찬가지로 IT보안에도 철학이 필요하며 최고경영자만이 그러한 결정을 내릴 수 있다.”

 

보안과가 새로 추가된 IT부서는 CEO 직속부서가 되었다. 현대캐피탈은 보안에 허점이 생기는 것을 방지하기 위해 신규 상품 일부의 출시를 늦추었다.

 

해커로부터 첫 전화가 걸려온 다음날 귀국한 정 CEO는 다음날 곧바로 기자회견을 열어 무슨 일이 일어났는지, 현재까지 알려진 것은 무엇인지 고객과 투자자에게 공개했다.

 

한국 업계에서 이러한 개방성은 흔치 않은 것이다. 사건 공개로 인해 미디어와 정부규제기관의 이목이 현대캐피탈에 집중되었다.

현대캐피탈은 현재 해킹사건과 관련해 자사 책임이 있는지 정부기관의 판결을 기다리고 있다.

 

 

다음은 정 CEO가 당시 경험에서 얻은 5가지 교훈이다.

 

 

-정부를 신뢰할 것

 

“경찰의 전문성과 신속함에 깊은 인상을 받았다. 경찰인력은 IT시스템에 대해 잘 이해하고 있었으며 예상보다 훨씬 신속하게 움직였다. 문제는 필리핀으로 도망가면 잡을 수 없다는 것이다.

 

우리는 최우선으로 경찰에 신고하고 계속해서 연락을 취했다. 해킹의 범위는 정확하게 알 수 없었지만 해커 흔적을 발견했다. 해커집단은 내일 전까지 거액을 지불하라고 협박했고 우리는 의논 끝에 일부 금액을 지불하기로 했다. 돈을 다시 찾지 못할 것이라 경찰이 경고했지만 되찾으려는 게 아니라 해커가 더 많은 흔적을 남기게 하는 게 목적이라고 말했다.

요구액 5억원 중 1억원을 보내고 계속해서 해커와 연락을 취한 끝에 경찰이 범인을 붙잡을 수 있었다.”

 

- 개방성과 투명성을 유지할 것

 

“고전적인 교훈이다. 우리는 항상 투명성을 유지한다. 사건 다음날 기자회견을 열었고 고객에게 연락을 취해 무슨 일이 있었는지 알렸다. 개방성과 투명성을 유지했기에 많은 도움을 받을 수 있었다. 개방된 상태를 유지하면 도움을 청하기 쉬운 것이다.

현대캐피탈이 사건을 공개한 후 많은 기업들이 해킹당한 사실을 신고한 데는 우리의 공이 있었다고 생각한다. 우리 사건 이후 갑자기 해킹이 증가한 걸까? 아니라고 생각한다. 우리가 깃발을 들고 나선 이후 다른 기업들도 해커에 대한 싸움에 동참하기 시작했다.”

 

-IT를 익히고 취약성을 파악하라

 

“오늘날의 CEO는 프로그래밍을 할 줄 모르더라도 해킹의 기본 구조를 이해하고 있어야 한다. 보안과 고객만족 간 상충관계에 대한 결정 및 조직 관련 결정을 내려야 하기 때문이다.

 

IT에 관심을 기울이지 않는 어리석은 CEO는 없다. 하지만 내가 과거에 그랬던 것처럼 IT부서에 예산을 증편하고 격려해 주지만, 프로그래밍에 대해 모르겠다는 태도를 보이는 CEO도 있을 것이다. 이는 잘못된 생각이다.

 

IT를 이해하기 위해 시간을 투자해야 한다… 나는 내가 IT보안을 이해하기에는 나이가 너무 많다고 생각했지만 나이나 장소에 상관 없이 모두가 이해할 수 있다는 사실을 알게 되었다.”

 

-IT 관련 결정의 기반을 이루는 철학을 창조하라.

 

“몇 년 전까지만 해도 해킹경로는 매우 단순했다. 하지만 요즘은 해킹할 수 있는 틈이 수없이 많다. 스마트폰 앱, 수많은 웹사이트… 따라서 CEO는 여러 결정을 내려야 한다.

 

일례로, 보안시스템을 대폭 강화할 경우 고객이 웹사이트에 접속할 때마다 몇 분씩 기다리게 된다. 이는 IT문제가 아니다. 어떤 종류의 철학 혹은 정책방향을 선택할지 결정해야 하는 것이다. 모든 기업에게 적용되는 정답이 있는 게 아니다.”

 

- 제품과 서비스 계획을 재점검하라.

 

“IT관련 결정의 실제 비용을 생각해 보아야 한다. 예를 들어 새로 웹사이트를 개발하는 비용이 5억원이라고 하더라도 사이트 개설로 인해 추가 해킹경로가 생기기 때문에 관련 비용도 고려해야 한다.

 

이번 사건 전에는 앱 제작에 집중했었다. 고객과 우리 모두에게 간편한 선택이기 때문이다. 하지만 이제는 앱 하나마다 해킹경로가 늘어난다는 사실을 이해하고 있다. 실질비용은 개발비용 더하기 해킹노출비용이다.

 

우리는 현재 회사 전체 속도를 늦추어 나가고 있다. 어떻게 보이고 작동하는지는 차후 문제이고 보안이 제1순위이다.”

 

 

기사원문 : 코리아리얼타임

 

지우아빠 : 숨기고 감추는 것은 이제 미덕이 아닙니다. 공개하고 공유하고 도움을 요청하는 자세가 가장 중요한 시대가 아닌가 생각되는 기사입니다.

http://yayatom.blog.me/10111795334