최근 하나은행이 책을 한권 펴냈습니다. 2년 동안 2천억 이상이 투입돼 지난해 오픈한 차세대 시스템 개발과정을 소설로 담아낸 ‘팍스하나 스토리’가 바로 그것입니다.


일반 기업의 경우 IT프로젝트가 완성된 후에 개발 과정을 별도의 단행본으로 펴내는 것은 흔치 않은 일입니다. 있다고 하더라도 사보에 특집 형식으로 게재되는 경우가 다반사입니다.

실제로 몇몇 기업들은 전사자원관리(ERP) 등 대규모 프로젝트가 완료되면 사보에 이를 게재하곤 합니다. 이유야 여러 가지가 있겠지만 그동안의 노고를 치하하는 동시에 내부적으로 시스템 개편에 대해 널리 홍보하려는 의도가 깔려있습니다.

반면 시중은행들은 IT프로젝트, 특히 차세대시스템을 완료하고 구축과정의 경험을 책으로 내는 것이 보편화돼있습니다. 기업은행, 신한은행, 농협 등이 차세대시스템 구축을 완료하고 백서형식의 단행본을 출간했습니다.

이 같은 이면에는 은행권의 차세대시스템 사업이 대규모로 진행된다는 점이 한 몫합니다. 사실 국내에서 단일 기업이 수천억원 규모로 IT프로젝트를 진행하는 것은 은행권이 거의 유일합니다.

기간도 최소 2년이 넘는 장기프로젝트로 임직원의 땀과 애환은 이루 말할 수 없을 정도라고 합니다. 은행입장에서도 은행의 경쟁력을 결정하는 사활이 걸린 프로젝트인 만큼 나름의 의미를 부여하게 마련이지요.

다시 하나은행의 ‘팍스하나 스토리’얘기를 해볼까요. 그동안 시중은행의 차세대시스템 백서를 살펴보면 사실 전문가가 아니고서는 쉽게 이해할 수 없는 내용이 대부분입니다.

계정계시스템, 정보계시스템, 여수신 시스템, 파생상품시스템 등등 일반인들에겐 생소한 부분이 많습니다. IT업계 종사자에게도 은행의 IT시스템은 다가가기 어렵습니다. 금융거래와 상품에 대한 이해가 없이는 시스템을 이해하는 것이 힘들기 때문입니다.

따라서 이들 은행들이 내놓는 백서는 그들만의 잔치가 될 가능성도 높습니다. 이에 하나은행은 백서를 2가지 버전으로 내놓기로 결정했습니다.

사실 이번에 나온 ‘팍스하나 스토리’ 이전에 하나은행은 이미 내부용으로 600페이지 분량의 백서를 선보였습니다. 앞서 말한 것처럼 IT전문가와 은행IT에 익숙한 사람들을 위한 책이 이것이었다면 이번에 나온 팍스하나 스토리는 일반인을 대상으로 한 것입니다.

하나은행 관계자는 “대중적으로 차세대시스템에 대한 홍보를 위해선 일반적인 독자들이 쉽게 이해할 수 있어야 한다고 생각했다”며 “그래서 외부전문작가와 공동으로 소설 형태로 진행키로 했다”고 설명했습니다.

여기서 잠시 다른 은행들이 펴낸 차세대시스템 백서를 살펴볼까요. 2007년 4월에 출간된 ‘차세대 프로젝트-IBK기업은행 차세대시스템 성공사례’의 경우 당시 CIO와 교수, 기자가 공저자로 참여했습니다.

내용은 차세대시스템 구축과정에서 벌어진 일반적인 내용들과 위기극복 사례 등으로 이뤄져있습니다. 시그마인사이트라는 출판사에서 나왔고 일반 서점에서 구할 수 있습니다.

지난해 1월 차세대시스템을 오픈한 농협의 경우 같은 해 5월 ‘농협 신용신시스템 구축 백서- Perfect D day'를 출간했습니다. 내용은 비슷하지만 개발 담당자들이 수필 형식으로 개발 과정에 있었던 얘기들을 풀어놓아 좀 더 쉽게 읽을 수 있습니다.

다만 비매품으로 발간되서 쉽게 구할 수 있을지는 의문입니다.

하나은행의 팍스하나 스토리는 제작기간 6개월에 초판은 4000부 정도를 찍었다고 합니다. 현재 교보문고 등 시중 서점에서 구할 수 있습니다. 여기서 나오는 수익금은 하나금융공익재단에 기부할 예정이라네요.

저도 아직 책은 읽어보지 못했지만 관계자의 얘기를 들어보면 소설로 풀어낸 만큼 쉽게 이해가 가능할 것이라는 설명입니다. 또 백서를 도배하는 시스템 개요도나 그림을 배제했다는 군요. 참고로 소설에 등장하는 개발인력 등 인물은 실명이 아니라 가명으로 등장하지만 사건 들은 모두 사실에 기초했다고 합니다.

올 2월에 국민은행의 차세대시스템이 오픈하는 만큼 국민은행도 올해안에 관련 백서를 선보일 것은 분명해보입니다.  

공식적인 집계가 어려우므로 이들 단행본 중 어느 것이 더 많이 나갔을까를 알 수는 없지만 책의 내용이나 구성이 해를 갈수록 나아지고 있는 것은 사실입니다. 과연 차세대시스템 백서의 베스트셀러는 어느 은행이 차지할까요.

객관적인 측정이 불가능한 점이 아쉬운 대목입니다.
2010/01/12 10:21 2010/01/12 10:21
지난 5일부터 국회의 국정감사가 시작됐습니다. 국정감사 자체는 국민들에게 별 관심대상이 되지 못합니다. 딱딱하기 그지없고 이따금 오고가는 고성이 가끔 생동감을 더해줄 뿐입니다.

저 역시 별로 관심은 없었습니다. IT부분에 있어서도 정책관련한 내용이 많이 오고가고 특히 통신분야에서 요금정책 등 그나마 알아먹기 쉬운 내용이 나오는 것 빼고는 고리타분하기 그지 없기 때문입니다.

그런데 저와는
전혀 상관이 없을 듯 한 농림식품위원회의 국감이 관심을 끌더군요. 바로 농협에 대한 흥미로운 감사가 진행돼서 저의 시선을 끌었던 것입니다. 5일 모 국회의원실에서 오전에 배포한 보도자료에 따르면 농협의 OTP(보안토큰)에 허점이 노출돼 인터넷 뱅킹의 해킹이 가능하다는 내용이었습니다.

특히 의혹을 제기한 의원은 국감 현장에서 시연을 통해 이를 증명하겠다고 했습니다. 흥미로운 부분이 아닐 수 없지요. 직접 OTP 허점을 이용해 해킹을 하는 장면은 범죄자 친구를 두지 않은 이상 경험하기 어려운 일일테니깐요.

하지만 결과적으로 해킹 시연은 이뤄지지 않았습니다. 국회에서 도입한 IT시스템 중에 가장 쓸만한 솔루션인 '영상회의록시스템'을 통해 국감장면을 시청했는데요 시연 부분은 커녕 이 부분 자체가 질문에서 빠졌더군요.

국감에선 십수명의 의원들이 돌아가면서 질의를 하게 돼 있습니다. 국감은 자연히 질의과정에 시간이 많이 걸리고 예정된 시간이라는 것이 애시당초 존재하지 않는 시스템입니다.

따라서 애초 의원들이 준비한 질문 중 대부분은 서면질의로 처리되게 됩니다. 실제로 이번 국감에서도 추후에 서면질의로 답변을 바란다는 의원들의 말이 마무리 멘트로 자주 사용되더군요.

처음에는 시연이 언제 이뤄질 지 해당 의원실에 문의했는데요 시간 상 실제 시연이 이뤄질 지는 장담하지 못한다고 했는데 결국 그냥 넘어가더군요.

문제는 애초에 농협의 전자금융시스템에 대한 허점과 여기에 낭비된 농민들을 위한 자금이 허투로 쓰여졌다는 점을 부각시키려 했다는 것인데 여기에 약간의 무리가 있었다는 점입니다.

결론적으로 농협의 OTP는 아무런 문제가 없었습니다. 굳이 문제가 있었다면 키보드 보안에서 생겼다고 할 수 있지요.

OTP는 금융권 최후의 보안수단으로 각광받고 있습니다. 시간에 따라 비밀번호가 다르게 생성되기 때문에 현실적으로 비밀번호를 외부에서 알아내기가 어렵죠.

어쨌든 이번 시연이 진행됐다면 OTP보다는 OTP 번호를 사용자가 키보드로 누르는 과정에서 이를 해킹하는 키보드 해킹을 통한 인터넷 뱅킹 해킹 방법이라고 보는 것이 정답일 듯 합니다.

의원실에선 농협의 방만한 경영을 지적하면서 수십억이 투자된 농협의 인터넷 뱅킹 보안에도 문제가 있다. 따라서 시정해라 뭐 이런 의도로 질의를 준비한 것 같습니다.

하지만 업계에서는 이번 의혹 제기가 OTP 자체에 초점이 맞춰져 있었지만 OTP보다는 키보드 보안에 대한 문제라는 의견을 내비치고 있습니다.

OTP를 통한 해킹은 현실적으로 어렵다고 합니다.  공인인증서, 인증서 패스워드, 계좌이체 비밀번호 등 민감한 고객 정보가 모두 유출되어 공격자가 의미 있는 OTP 값을 얻어내었다 하더라도, 1분 이내에 공격을 성공해야 하므로, 공격이 성공할 확률은 거의 없는 것으로 알려져있는데요.

하지만 농협의 경우 그동안 법인 사용자의 편의성을 제고하기 위해 1분 이내에 2번의 로그인을 허용했습니다. 농협 관계자 말로는 멀티 로그인이라는 것인데 이를 통해 OTP 값을 얻어내고 공격할 수 있는 가능성이 내비쳐진 것이지요.

어쨌든 이는 OTP의 결함이라고 보기에는 어렵고 메모리 해킹과 키보드 해킹 등을 통한 해킹 방법으로 보는 것이 타당할 것 같습니다. 의원실에서는 '농협 OTP, 뚫려도 너무 쉽게 뚫린다' 라는 내용으로 보도자료도 배포했는데요.(보도자료는 파일로 첨부하니 참고하세요)

결과적으로 보도자료의 제목이 좀 비약된 것 같습니다. 의원실에서도 이러한 문제를 감지해 국감에서 질의를 뺀 것으로 추측됩니다.

차라리 농협 키보드해킹에 속수무책 정도로 질의를 꾸몄으면 시연이 가능했을 수도 있겠네요.

한편 농협은 위에 거론된 문제점에 대비하기 위해 관련 시스템을 오는 11월 도입할 계획으로 알려져 있습니다.
2009/10/06 10:53 2009/10/06 10:53