3·20 사태 첫 조사 결과…농협 ATM과 단말기 절반 멈췄다

`3·20 사이버테러`로 농협 영업점 단말기 2만6693대, ATM은 1만6121대가 멈춰선 것으로 최종 확인됐다. 해킹으로 인한 전산망 마비 사고 중 역대 최대 규모다. 이는 시장 예상치를 훨씬 뛰어넘는 수준으로 기기 오작동으로 인한 피해 규모만 최소 수백억원대에 이를 것으로 추정된다. 3·20 사이버테러와 관련해 세부 조사 결과가 공개되기는 처음이다.

14일 전자신문이 입수한 금융위원회의 `3·20 테러 피해 현황` 내부 문건에 따르면 농협은행과 농협 단위조합(농·축협) 영업점 단말기 4만4007대 중 절반이 넘는 2만6693대가 3·20 사이버테러로 작동이 되지 않았다. 소비자 이용이 빈번한 농협 ATM도 3만2072대 중 1만6121대가 멈춰서 먹통 ATM이 50%를 넘은 것으로 확인됐다. 이외에 농협 생보 영업점 PC 298대, 농협 손보 PC 103대에도 같은 장애가 발생했다. 농협 영업점 단말기 PC와 자동화기기는 악성코드에 감염돼 영업점 거래가 중단되는 초유의 사고가 발생한 것이다.

농협 단말기 PC와 ATM은 악성코드 탐지 기능이 있지만 해커들은 이를 피하기 위해 신종, 변종 코드를 사용했다. 이중 장치가 없어 변종 코드는 그대로 유입됐다. 이후 농협의 웹서버, PMS서버, PC단말기를 공격해 절반 이상의 기기가 멈춰 섰다.

ISAC을 통해 공동 관제를 실시하고 있지만 악성코드 정보와 서버, 단말기 취약점에 대한 정보 공유와 대응은 전혀 이뤄지지 않았다. 농협은 3·20 전산장애 발생 이후 피해 규모 등에는 함구했다. 하지만 금융위원회 주도로 지난 4월 30일 개최한 금융전산 보안TF 1차 회의 때 이미 피해규모를 집계해 금융당국에 보고한 것으로 알려져 피해 은폐 논란까지 일 전망이다.

3·20 테러로 긴급 복구에 나섰던 신한은행과 제주은행은 3·20 사이버테러 직후 PC에 바이러스가 감염된 사실도 최초로 드러났다. 농협과 유사하게 신한은행도 악성코드에 PC 169대가 감염된 것으로 확인됐다. 당초 신한은행은 금융 거래 기록과 고객정보가 담긴 원장을 관리하는 DB서버에서만 일부 장애가 있었다고 밝힌 바 있다. 제주은행도 영업점 PC 320대가 감염돼 장애가 발생했다. 신한은행 관계자는 “영업점 PC는 감염이 없었지만 IT 쪽 일부 부서 PC가 감염됐다”고 밝혔다.

3·20 사이버테러로 인한 금융기관의 피해 규모가 당초 예상보다 심각하자 금융당국은 종합대책 마련은 물론이고 해당기관의 징계 수위를 어떻게 정할지 골몰하고 있다. 긴급 복구로 은행 고객의 금전적 피해는 거의 없었지만 총체적 관리 부실과 장애복구 지연, 보안취약점이 여실히 드러났다는 평가다.

금융위원회는 4월 10일 발생한 농협의 전산 장애와 관련해서도 농협 측에 문제점 개선을 요구한 것으로 알려졌다 당시 농협 DB서버 주요부품 고장으로 3시간 25분간 인터넷 서비스 등이 정지됐다. 금융사들이 연 1회 이상 재해복구 훈련을 실시하고 있지만, 이번 사고 복구 과정에서 실효성이 없다고 판단해 별도의 고강도 조치를 마련할 방침이다. 금융전산 보안TF는 6월 말까지 실태조사를 거쳐 `금융전산 보안 강화 종합대책`을 마련하기로 했다.


[표] 3·20 사이버 테러 피해현황

3·20 사태 첫 조사 결과…농협 ATM과 단말기 절반 멈췄다

길재식기자 osolgil@etnews.com