농협 전산망 마비 사태, 한국 IT 보안 의식 제고해야

또다시 한국이 보안 관련 이슈로 몸살을 앓고 있다. 올해 3월 4일 '디도스 공격' 사건 이후로 4월 7일 현대캐피탈의 정보유출 사건이 일어나더니, 이번에는 제1금융권인 농협에서 보안 관련 사건이 터졌다.

지난 4월 12일 발생한 농협 전산 장애로 창구거래 등 농협의 전반적인 금융 서비스가 마비되는 사건이 일어난 것이다. 사건 발생 3일째가 되어서야 뒤늦게 단순 전산 장애만은 아닌 것으로 밝혀졌다. 그 이후로도 농협 전산 장애에 대한 농협 측의 언급은 번복을 거듭했다. 처음에는 협력업체 직원의 단순 실수로 인한 것처럼 알려졌지만, 검찰 조사 결과 농협 서버에 입력된 삭제명령은 협력 업체 직원의 손이 아닌, 다른 루트로 입력된 것이었다. 스크립트(간단히 작성된 짧은 프로그램) 형식으로 이루어진 삭제명령은 단계적으로 실행되어 순식간에 서버를 파괴했다.

검찰은 범인이 외부에서 농협 네트워크 방화벽 시스템을 뚫고 서버에 침입했을 가능성과 농협 내부에 노트북을 두고 파일을 내려 받아 작업했을 가능성 등 여러 방향으로 수사를 진행하고 있다. 다만 협력업체 직원 노트북에 스크립트를 집어 넣기 위해서는 내부자가 공모했거나, 최소한 농협 시스템을 잘 아는 인물이 개입됐을 확률이 높다는 의견이 설득력을 얻고 있다.

상당수의 전문가들이 내부 공모자가 있을 것이라고 보고 있는 가운데, 전문 해커에 의한 사이버 테러 가능성도 완전 배제할 수는 없다는 의견도 나왔다. 전산 방화벽 시스템 내부에서 몇 번의 침입 흔적이 발견됐고, 단순한 '삭제' 명령만 내려졌다는 면에서 최근 일어난 디도스(DDos) 공격과 같은 사이버 테러일 수도 있다는 것이다.

검찰은 노트북과 서버에 남은 흔적을 분석해 경로를 파악하는 쪽으로 수사 방향을 정했다고 발표했다.

보안불감증이 부른 인재(人災)

농협 사태는 만성화된 보안 경시 의식이 빚어낸 인재(人災)라 할 수 있다. 금융감독원은 지난해 농협에 대한 종합검사 후 IT 보안 강화에 대해 시정 조치를 내린 바 있다. 하지만 농협은 이에 대한 강화 조치를 취하지 않았다.

검찰의 조사로 농협 보안 시스템의 허점이 곳곳에서 드러났다. 농협은 전산망의 비밀번호를 6~7년 동안 바꾸지 않고 그대로 사용하거나, 협력업체가 처음 설정한 비밀번호를 그대로 사용한 경우도 있는 것으로 밝혀졌다. 또한 규정상 엄격히 제한되어 있는 서버 작업 권한을 업무 편의의 이유로 협력업체 및 하청업체 직원들까지도 가졌을 뿐 아니라, 파견 직원 노트북이 외부로 반출된 전황이 드러나는 등 내부통제도 전혀 되지 않은 것으로 알려져 충격을 주고 있다.

즉, 협력업체 직원이 마음만 먹는다면 노트북 한 대로 모든 서버를 삭제할 수 있었다는 뜻이며, 해당 노트북 반출 조차 어렵지 않게 가능했다는 것이다.

그 동안 잘 알려지지 않고 지나간 농협의 보안 문제도 불거져 나왔다. 농협이 이미 2008년도에 해킹을 당했던 사실들이 밝혀진 것. 4월 20일 회의장에서 한나라당의 강석호 의원은 2008년도에 농협이 해커를 찾았음에도 불구하고 경찰에 신고하지 않고, 합의 하에 덮어버린 적이 있다고 주장했다.

사건 직후 사후처리도 비난 받을 만하다는 평이다. 삭제 명령으로 고객 정보가 삭제됐지만, 바로 관련 기관에 알려 조치를 취하지 않고 사건을 축소시키기에만 급급했기 때문이다. 거기다 최원병 농협 중앙회 회장은 책임회피성 답변으로 일관해 여론의 질타를 받기도 했다.

고객들만 피해 입어

이번 사태로 가장 많은 피해를 보게 된 쪽은 애꿎은 고객들이다. 농협 계좌가 동결 돼 한정판매 상품을 사지 못한 사람부터 카드 결제가 되지 않아 숙박비를 내지 못해 노숙한 사람까지 그 피해는 광범위하다. 또한 장애 사태가 장기화됨에 따라 항의는 더욱 빗발치고 있는 실정이다. 접수된 항의 건만 해도 31만 건에 달하고 있는 가운데, 농협은 최근 23,000여 명의 카드 이용대금에 실수로 연체료까지 부과해 비난을 받기도 했다.

농협은 일단 계좌이체나 입금이 되지 않아 발생한 피해는 모두 보상하겠다고 밝혔다. 또한 이 때문에 신용상의 피해를 봤다면 그것도 신용정보회사에 연락해 신용 기록을 다 없애겠다고 약속했다.

이러한 농협의 보상 의지 표명에도 시민들의 반응은 시큰둥하다. 고객이 입증 가능한 피해만 보상한다는 방침과 통장이나 카드 사본 등 명확한 자료를 제출해야 한다는 조건이 시민들의 공분을 산 것이다. 피해를 입은 일부 고객들은 집단 소송에 대한 목소리를 내고 있다.

보안의식 고취가 가장 시급

농협의 IT 부문 전체 예산에서 보안이 차지하는 비중은 고작 2%에 불과했다. 반드시 필요한 보안 시스템에만 투자하는 비용으로 인식하여 별다른 관심은 두지 않은 것이다. 게다가 금융권 기업들은 대체로 전산망 관리를 2차, 3차에 이은 하도급 업체에 일임하고 비용을 아끼는 경우가 허다하다. 하청에 하청을 거듭하다 보니 책임소재는 모호해지고, 저비용과 무리한 기한 요구에 이은 부실한 결과가 나타나게 마련이다. 그러다 보니 관리도 힘들어진다. 이번 농협 사태도 외주업체가 통째로 일급 보안을 맡고 있었다. 누가 봐도 분명 문제가 있어 보였다. 당장 눈앞의 단편적인 비용절감만이 중요한 것이 아니라는 사실을 금융권은 깨달아야 한다. 좀 더 전문성 있는 내부 자체 IT 인력을 키우고, 보안 시스템에 투자해야 한다.

IT 강국이면서 인프라도 세계 1위에 달하는 한국이 유독 보안 문제에서는 약한 모습을 보이는 일이 잦다. 세계적으로 금융 업계뿐 아니라 사회 전반에 걸쳐 IT 보안의 중요성은 점차 높아지고 있다. 실무 편의와 비용 절감만을 위해 보안에 등한시한다면 머지 않아 제2, 제3의 농협 사태가 재발할 것이 자명하다. 앞으로 닥칠 수 있는 더 큰 피해를 줄이기 위해서라도 보안에 대한 의식 전환이 절실한 시기이다.

글 / IT동아 김민환(kimmh82@itdonga.com)