‘기술만 있고 관리는 없다.’
농협 전산망 마비 사고가 ‘내부자에 의한 사이버테러’일 가능성이 높아지면서 그간 기술 중심으로 진행된 보안 정책의 패러다임 변화가 시급하다는 목소리가 커지고 있다.
아무리 좋은 기술과 시스템을 갖추더라도 이번 농협 사태처럼 사람이나 시스템 접근 프로세스 등과 같은 내부 관리영역의 보안이 제대로 이뤄지지 않으면 ‘사상누각’이 될 수 있다는 지적이다.
현재 금융권이 보안 등 정보시스템 개발 시에는 ‘개발 감리’를 받고 있으나 ‘운영 감리’는 전혀 받지 않아 ‘반쪽 보안’에 그치고 있다는 비판도 고조되고 있다.
농협은 19일 전산장애 관련 2차 브리핑을 열고 협력업체 노트북PC에서의 삭제명령이 농협 정보기술본부 분사에 있는 시스템작업실 내부에서 시작됐다고 밝혔다. 이번 사건을 수사 중인 검찰도 문제의 노트북PC에 내부 보안 지침상 금지돼 있는 USB 접속 흔적을 발견해 경로를 역추적 중이다.
외부의 해킹이나 기술적 오류보다는 내부의 허술한 보안관리 허점을 노린 ‘사이버테러’일 가능성이 높다는 이야기다.
실제로 이번 사태가 터지면서 아웃소싱 직원 관리 방법, 최고 접근권한 통제 절차, 서버 비밀번호 운영 등 각종 보안 운영과 관리의 허점이 곳곳에서 노출되고 있는 상황이다. 전문가들은 이 같은 허술한 보안관리체계로 내부자에 의한 사이버테러가 이뤄진다면 백업센터를 3중, 4중으로 하는 최첨단 보안시스템도 무용지물이 될 수 있다고 입을 모은다.
이우용 한국정보기술단 사장은 “보안은 크게 기술적인 부문과 운영·관리 부문으로 구분되는데 그동안 금융권은 눈에 보이는 기술이나 시스템과 같은 반쪽 투자에만 신경을 써왔다”며 “시스템 개발 시 개발 감리는 받지만 내부 운영, 서비스, 유지보수 등을 점검하는 운영 감리를 받는 금융사가 거의 없다는 것은 이를 단적으로 보여준다”고 지적했다.
실제로 이번에 사태가 터진 농협은 보안을 비롯한 IT 운영 감리를 한번도 받은 적이 없는 것으로 나타났다. 시중 은행이나 증권사 가운데 ‘운영 감리’를 받는 곳은 1~2곳에 불과한 실정이다.
정부가 지난 2007년 공공기관의 정보시스템 감리를 의무화하면서도 ‘개발 감리’만 강제하고 ‘운영 감리’는 포함시키지 않아 금융권뿐만 아니라 공공기관도 비슷한 위험을 안고 있다.
정태명 성균관대 교수는 “이번 농협 사태로 통제와 관리 등 정보보호를 둘러싼 환경의 재정비도 시급해졌다”고 강조했다.
비상상황 시 대처 매뉴얼과 모의 훈련이 전혀 이뤄지지 않는 대응체계도 도마에 올랐다.
이철수 국가정보화전략위원회 실무위원장은 “농협이 이번 장애로 일주일이 넘도록 데이터 복구를 못하면서 현재 백업센터를 잘 갖췄다는 금융권도 실제 사고를 당하면 상당 기간 데이터 복구에 고충을 겪을 가능성이 높다”며 “현재 우리 금융권에서는 최고의 시스템을 구축했다고 홍보를 하지만 모의훈련 등은 거의 하지 않아 실제상황이 터지면 이번 농협 사태처럼 번번이 복구 시점을 공언했다가 지키지 못하는 일이 벌어질 것”이라고 우려했다.
장지영기자 jyajang@etnews.co.kr