3·20 사이버 테러로 농협 ATM에는 이 날 하루에만 8000억원의 돈이 묶였다. 이 날 2시 15분을 기해 농협 영업 단말기 2만여대와 전국 ATM 1만6000여대가 먹통되는 초유의 사태가 벌어졌다. 금융당국이 집계한 3·20 전산 장애 피해는 상상을 초월했다. 정부조차도 북한 소행으로 추정되는 사이버 테러의 여파가 이 정도일 줄은 미처 몰랐다는 반응이다.
특히 표적이 된 농협 피해는 막대했다. 소 잃고 외양간을 단단히 고쳤다는 농협은 또 한번 사이버 테러로 단위조합을 포함해 영업점 단말기 2만6693대가 멈췄다. 업무지연 등으로 인한 피해규모는 추정조차 되지 않는다. ATM도 절반 이상인 1만6000여대가 작동 불능 상태였다. 금융권의 취약한 보안 의식과 정부의 사후약방문식 관리 체계 부실을 여실히 보여줬다. 2년 전 농협 사태와 별반 다르지 않다.
정부 기관이 모여 만든 금융전산 TF는 3·20 테러 피해 현황을 각 금융사로부터 보고받았다. 또 북한 소행으로 추정되는 금융전산망 해킹 기법에 대해서도 상당부분 점검을 통해 알아낸 것으로 확인됐다.
금융TF에 참여한 금융권 관계자는 “3·20 전산망 마비사태의 해킹 기법은 악성코드 탐지가 불가능한 변종코드가 원인”이라며 “서버에 보안이 취약한 PC 단말기를 공격 대상으로 삼은 것이 주효했다”고 평가했다.
북한 추정 해커들이 과거 획일화한 기법을 사용하지 않고 다양한 공격방법을 사용했다는 것이다. 웹서버, PMS 서버 취약점도 표적 대상이었다. 가장 큰 문제는 농협, 신한은행, 제주은행 등 표적 대상이 된 은행들이 금융ISAC 공동보안관제시스템을 활용하고 있지만 악성코드 정보 공유는 커녕 보안 위협에 대한 초보적인 점검 체계조차 없다는 점이다.
이중화된 서버에서 일부 기능 장애가 발생하면 전체 서비스 불능으로 이어지는 재래식 보안 시스템을 고수하고 있다는 것도 제2 해킹 사태 가능성을 높이고 있다. 3·20 전산망 마비 사태 이후 복구에 상당한 시간이 소요됐고, ATM 복구에만 1주일 이상 소요됐다. 이중 서버 장애복구는 평균 3시간 이상이 걸렸다.
농협 등 은행들이 연 1회 이상 실시 중인 재해복구 훈련도 무용지물이다. 금융당국은 농협 사고복구 과정에서 드러난 문제점에 대해 `개선 명령`을 내렸다. 금융보안 전문가들은 민관 합동으로 오는 6월 말 발표 예정인 종합 보안대책에 인력 강화와 별도의 컨트롤타워 신설이 필요하다는 주장을 강력하게 제기했다.
보안 금융사고 방지책으로 정부 차원에서 금융보안 인력의 양성 플랜 수립과 금융 보안등급 공시제 도입이 거론된다. 실효성이 떨어지는 보안 인력 5%룰의 운용을 재검토해야 한다는 목소리도 나왔다.
한 금융보안 전문가는 “모든 보안 강화의 핵심은 인력이며 전국에 산재한 대학교 정보보호학과 등을 연계해 금융보안전문가를 양성해야 한다”고 말했다.
범용적 보안인력은 입사 이후 또 다시 재교육을 거쳐야 하고, 회사는 거금을 들여 재교육하는 악순환을 끊어야 한다는 말이다. 금융사의 적극적인 보안투자를 유도하기 위해 국내 신용평가기관과 연계한 `금융 보안등급 공시제` 도입도 서둘러야 한다는 의견이다.
임종인 고려대 정보보호대학원장은 “은행별 보안 상태 등급을 매겨 가점과 패널티를 주는 정책안을 마련해야 한다”고 말했다.
길재식기자 osolgil@etnews.com
