지난 3월 20일 오후 2시 30분께 전국 신한은행 영업점의 갑작스런 거래 중단에 고객들이 큰 불편을 겪었다. 현금인출기(ATM)는 물론이고 인터넷 뱅킹, 스마트 뱅킹도 모두 멈췄다. 식당이나 일부 상점에서는 체크카드 불통으로 계산이 안 돼 고객들이 애를 먹기도 했다.
같은 시각 급하게 돈을 찾으러 농협 자동화 코너를 찾은 직장인 김미숙 씨(40·가명)는 현금인출기 앞에 길게 늘어선 줄을 보고 깜짝 놀랐다. 나머지 두 대의 현금인출기에는 사용 불능 메시지가 깜빡거리고 있었다. 김씨는 무슨 일인지 영문도 모른 채 긴 시간 발을 동동 굴러야 했다.
‘해킹’. 이날 두 시간가량 금융거래가 마비된 원인은 이 두 글자로 밖에 설명이 안 되고 있다. 북한 공격이란 설만 분분한 가운데 20여일이 지난 현재까지 정확한 원인과 뾰족한 대응책이 나오지 않고 있다. 금융기관만 믿고 돈을 맡긴 고객들만 불안에 떨고 있을 뿐이다.
반복되는 소 잃고 외양간 고치기
금융기관을 노린 외부의 해킹 공격은 이번이 처음이 아니다.
농협은 2년 전에도 해킹 공격을 받고 전산망에 있는 자료가 대규모로 삭제돼 며칠간 은행 업무 전체가 마비되는 초유의 사태를 경험했다. 당시 해당 자료에 대한 삭제 명령은 협력업체 직원 노트북에서 내려진 것으로 확인됐다. 내부자에 의한 테러 가능성이 제기되기도 했지만 검찰은 인터넷 프로토콜(IP) 주소를 추적한 끝에 북한 소행이라는 결론을 내렸다. 마찬가지로 같은 해 발생한 현대캐피탈 해킹범은 최근 구속 기소됐다. 필리핀에서 잡힌 해커 신씨는 공범의 사주를 받고 현대캐피탈 서버에 해킹프로그램을 설치해 고객 148만명의 개인정보를 빼돌린 것으로 조사됐다.
경찰과 인터폴의 공조 수사 끝에 필리핀에서 검거된 신씨는 과거 대형 포털사이트를 해킹한 전력까지 있었다. 범인의 검거와 원인 규명으로 사건이 잘 마무리된 줄 알았다. 당시 크게 놀란 금융업계에서는 보안 관련 인력과 장비를 대폭 보강하겠다고 큰소리쳤다.
하지만 올해 또다시 금융 전산망의 허점이 만천하에 드러나면서 금융업계는 ‘소 읽고 외양간 고친다’는 비판에서 자유롭지 못하게 됐다. 금융기관들의 보안 불감증이 다시 도마에 오른 것이다.
농협·신한은행 등 망 분리조치 안해
해킹당한 은행들은 기본적인 망분리마저 하지 않은 것으로 드러났다. 망분리는 내부 직원이 사용하는 업무망과 외부망(인터넷) 자체를 분리 운용하는 것을 말한다.
망분리로 회선 자체를 물리적으로 격리시키면 해커가 인터넷을 통해 사내망에 침투하더라도 내부 업무망에는 침입하지 못하도록 차단할 수 있다. 지난 농협 해킹사태 이후 주요 시중 은행들은 내외부망 분리를 추진해왔으나 완벽하게 적용하지 않았다.
신한은행은 자체적으로 망분리 솔루션을 개발했지만 일부 본부부서에만 적용했으며, 이번에 악성코드 유포 경로로 활용된 업데이트관리시스템(PMS)은 망분리 대상에 포함되지 않은 것으로 드러났다.
농협도 망분리 사업을 검토해왔지만 지지부진했다. 3월 20일 해킹 당시 바이러스 감염 징조가 나타나자 농협 측은 PC, 단말기 감염 확산을 막기 위해 외부 인터넷 연결선을 뽑아버리는 식으로 가장 기초적인 망분리 조치를 취했다.
그동안 금융기관들은 망분리 필요성을 절감하면서도 비용과 기술 문제로 주저해왔다. 사내망과 외부망을 따로 구축하면 비용이 두 배로 들기 때문이다. 2011년 금융위원회가 정보기술(IT) 보안 강화 종합대책을 발표하면서 망분리 의무화를 추진했으나 비용 문제로 불발되기도 했다.
최근 금융기관을 노린 해킹 시도가 잦아지면서 망분리 작업이 가속화될 것으로 전망된다. 시중은행 관계자는 “망분리 작업 자체가 방대해 그동안 미뤄왔는데 IT규제 당국의 점검이 강화되는 만큼 예산을 충분히 투자할 계획”이라고 말했다.
금융감독원은 정보 보안 사고를 예방하기 위해 각 금융기관에 전체 인력의 5%를 IT정보화 인력에 배치하고, 그중 5%를 보안 인력으로 두며, IT정보화 예산 중 7%를 정보 보호 예산으로 배정하도록 권고하고 있다. 이른바 ‘575 원칙’이다.
대부분 은행들은 이 권고안을 준수하고 있으며, 이번에 피해를 본 은행들은 기준보다 더 많은 예산과 기술을 투자해온 것으로 알려졌다. 하지만 이번 사건에서도 드러났듯이 보안 수준은 아직 크게 뒤떨어지는 것으로 보인다.
진화하는 해킹… 화이트 해커 육성해야
현장 전문가들은 외형뿐 아니라 내실을 키우는 것이 중요하다고 지적한다. 인력, 장비 등 시스템에 대한 투자는 늘었지만 전문 인력뿐 아니라 일반부서와 직원들의 보안 수준은 크게 뒤처져 있다는 것이다. 지난해 해킹 사건 이후 농협은 IT본부를 전면 조직 개편하고 별도 센터를 마련하는 등 장비와 인력을 대거 보강했다.
하지만 올해도 농협 내부 IP를 통해 바이러스가 침투했으며 전산망이 전 회사로 퍼져나간 것으로 알려졌다.
목표와 타깃을 정한 해커들은 IT 부문에서 취약한 통로를 노리고 침투할 가능성이 크다. IT본부뿐 아니라 전사적으로 보안 교육을 강화하고 전문 인력에 대한 투자를 늘릴 필요성이 커지는 이유다.
더군다나 해커들의 수법도 나날이 진화하고 있다. 한 금융사 대표는 “외형을 아무리 보강해도 뛰어난 해커를 당해내기는 어렵다”며 “완벽하게 안전하다고 말할 수 없는 난감함이 있다”고 털어놨다.
이번 공격 방식도 지난번 디도스(DDoS) 공격과 달리 지능형 지속 해킹(APT)이었다.
디도스가 대형 서비스나 사이트를 순간 정지시켜 서비스를 방해하는 식이었다면 APT 공격은 악성코드를 내부망에 잠입시킨 후 백신 관리 시스템 업데이트와 동시에 악성코드를 퍼뜨렸다. 보안 시스템을 활용해 악성코드를 퍼뜨렸다는 점에서 훨씬 지능적이고 영향력도 컸다. 일개 금융회사를 넘어서 금융권 공동으로 지능적인 해킹에 대응하는 시스템과 전문 인력을 구축해야 할 필요성이 제기되는 이유다. 단순히 예산을 늘리는 것뿐 아니라 악의적인 해커에 맞서 화이트 해커를 육성하고 해킹 기술에 대한 대응 매뉴얼을 구축해야 한다.
