[토요경제=유지만 기자] 지난 20일 전산망 마비 사태가 발생한 가운데 금융당국이 전 금융권에 대한 IT 보안실태 점검에 나선다. 사이버 공격에 맥을 못 쓰고 전산망이 마비돼 업무에 지장을 초래한 것에 대한 고강도 조사에 착수할 것으로 보인다.
특히 2011년 해킹을 당했음에도 내·외부 망 분리를 제대로 완료하지 않아 또 다시 피해를 입은 농협에 대해서는 제재도 예상되고 있다.

금감원은 27일 그동안 해킹피해 복구조치 및 고객피해예방 지도 등의 활동을 했던 것에서 벗어나 이번 사고의 원인 및 금융사의 해킹방지 내부통제시스템의 적정여부 등을 점검하는 사고검사체제로 전환한다고 밝혔다.
이번 전산장애 사고검사의 대상은 전산망 장애를 겪은 신한은행·농협은행·제주은행·농협생명보험·농협손해보험 등이며 27일부터 10일간 이뤄진다.

이번 실태조사는 신제윤 금융위원장도 강력하게 실시할 것임을 암시했다. 신 위원장은 25일 중구 프레스센터에서 열린 '금융상황점검회의'에서 "철저히 원인을 규명하고 피해는 충분히 보상하는 동시에 담당자의 위규 여부를 엄정하게 조사해 이런 사고가 다시 일어나지 않도록 이번 일을 확실한 선례로 삼아야 한다"고 강조했다. 이전처럼 쉽게 넘어가지는 않을 것이라는 각오가 엿보인다.

◇농협 ‘망 분리’ 미완료로 피해 키워...제재 불가피할 듯
가장 먼저 실태조사에 착수한 곳은 지난 ‘3.20 사이버테러’에 전산망이 마비돼 혼란을 빚은 농협은행과 신한은행이다.
농협은행은 2011년에 이어 또 해킹을 당한데다 당시 지적된 문제가 아직 고쳐지지 않아 고강도 제재를 받을 것으로 전망된다.
금감원은 해킹을 제대로 방어할 수 있는 시스템이 구축됐는지, 보안 프로그램이나 전문 인력이 충분히 갖춰졌는지, 외주업체를 제대로 관리했는지 등을 점검한다.
이민순 금감원 IT감독국 팀장은 "원인을 철저히 밝혀 규정 위반 사항이 발견되면 엄중하게 책임을 물어 다시는 이런 사고가 발생하지 않도록 하겠다"고 말했다.

이들 5개 금융회사는 내·외부 전산망이 제대로 분리되지 않은 탓에 해킹 공격에 무방비로 당했던 것으로 알려졌다.
금감원 관계자는 “농협은행은 2011년 해킹으로 전산망이 마비됐을 때도 내·외부망을 분리하지 않은 점이 지적됐지만, 이를 여태껏 개선하지 않았다”면서 “농협은행 길동지점의 단말기로 침입한 악성 코드가 서버를 거쳐 각 지점의 컴퓨터와 자동화기기(CD·ATM)로 번졌다”고 말했다.

농협중앙회 IT본부가 모든 금융 계열사를 관리하는 시스템이 아직 개편되지 않은 탓에 농협은행의 해킹이 계열 생·손보사로 번진 것으로 금감원은 파악했다. 이에 2년 전 한바탕 곤욕을 치렀음에도 해킹의 표적이 되는 일이 반복됐다는 점에서 농협금융지주나 산하 계열사는 검사가 끝나면 제재가 불가피할 것으로 전망된다.신동규 농협금융지주 회장이나 신충식 농협은행장의 징계 가능성도 점쳐지고 있다. 한 금융당국 관계자는 “각 경영진들은 신경분리(금융사업과 경제사업의 분리)를 했으면 IT 조직도 서둘러 정비해야 했다”고 지적했다.

지난 2011년 최원병 농협중앙회장은 상황을 몰랐다는 이유로 징계를 피했지만, 이번에는 문제점을 알고도 대비하지 않았기 때문에 일정 부분 책임을 져야 하는 상황이다.

◇‘보안 취약’ 생보·손보, 바짝 긴장
절반 이상이 금융당국의 관련 모범규준을 충족시키지 못하고 있는 보험업계는 긴장하는 분위기다.
현재 금융당국은 전자금융감독규정 개정에 따른 정보보호 강화 시책으로 금융회사는 전체 직원 수 대비 5% 이상 자체 IT 인력을 확보하도록 하고 있다. 또 IT 예산의 7% 이상을 정보보호에 투자하도록 권장하고 있다.
하지만 그동안 다른 금융업계에 비해 상대적으로 정보보호에 소홀했던 손해·생명보험업계는 바짝 긴장한 분위기다.

금감원에 따르면 손보업계의 경우 지난해 9월 기준으로 전체 조사대상 18곳 중 IT 인력 비율을 맞추고 있는 보험사는 단 9곳(50%)에 불과했다. 더욱이 정보보호 예산 비율을 충족시키지 못하는 곳은 13곳(72%)으로 나타나 IT보안에 취약점을 보였다.

IT보안에 취약하기는 생보업계도 마찬가지다.
생보업계는 전체 조사대상 24곳 중 9개 보험사(38%)가 IT 인력 비율에 미달됐고, 12곳(50%)이 정보보호 예산 비율을 맞추지 못했다.

보험업계 관계자는 "중소형 보험사의 경우 대형사에 비해 유동 가능한 예산이 부족하기 때문에 IT인력 확충과 정보보호 예산 할당 등에 어려움을 겪을 수 있다"며 "IT인력이 부족하고 그들이 원하는 조건을 충족시켜 줄 수 없는 경우가 많은 것도 한 요인"이라고 설명했다.

증권업계도 이번 실태점검에서 결코 자유롭지는 않다. 5개 증권사 중 1곳은 해당 모범규준을 충족시키지 못하고 있기 때문이다.
증권업계는 지난해 9월기준으로 전체 조사대상 48개 증권사 중 11곳(23%)이 모범규준의 IT인력 비율보다 적은 인력을 채용하고 있었고, 정보보호 예산 비율을 맞추지 못한 증권사도 9곳(19%)이 있는 것으로 나타났다.

은행의 경우 지난해 말 기준 IT인력 모범규준 선을 지키지 못한 곳이 한 곳도 없고, 정보보호 예산 기준에 미달된 곳도 단 2곳(11%)에 불과했다.

다만, 지난 20일 전산망 장애에서 볼 수 있듯이 은행에 문제가 생기면 카드 등 다른 금융권까지 미칠 수 있는 파급력이 크기에 보다 정밀한 검사가 이뤄질 것으로 보인다.
금감원 관계자는 "금융업권은 금융소비자의 개인정보 및 신용정보를 보유하고 있고, 생활과 밀접한 관계를 맺고 있어 전산망 마비 시 큰 혼란을 초래한다"며 "이번 검사를 통해 위규사항을 발견하면 책임을 물을 것"이라고 말했다.

◇미래부, 민간 정보통신 분야 보안점검 실시
한편 금융권 보안실태 점검에 발맞춰 미래창조과학부도 3·20 방송사·금융기관 해킹사건과 관련, 철도, 공항, 원자력발전소 등 75개 민간분야의 주요 정보통신기반시설에 대한 긴급 보안점검을 실시한다고 28일 밝혔다.

미래부는 정부와 민간 보안 전문가로 구성된 합동 점검반을 구성하고 민간 IT 기반시설의 기술·물리·관리적 보안 체계에 대한 안전성을 종합적으로 정밀 점검할 계획이다. 이를 통해 안전성이 낮은 부분은 즉시 개선할 수 있도록 조치하고, 상시 모니터링 체계도 강화한다.

특히 지난 3월 20일 발생한 해킹사고에서 드러난 악성코드, 지능형 지속공격(APT) 등에 대해서는 긴급점검 확인목록을 만들어 집중 점검할 예정이다. 미래부 관계자는 "민간 IT 기반시설에 대한 사이버 테러 위협을 예방하기 위해 긴급 점검을 하는 것"이라며 "기반 시설의 정보보호 수준을 강화할 수 있는 근본적인 대책을 빠른 시일내 마련하겠다"고 말했다.

[ⓒ 토요경제. 무단전재-재배포 금지]