농협과 안랩 간 진행 중인 3·20 전산장애 관련 손해배상 협상이 금융 당국의 유권해석이 나오면서 새로운 국면을 맞았다. 그동안 농협은 안랩에 전적으로 책임이 있다고 주장한 반면에 안랩은 일부 잘못만 인정해 농협이 요구한 50억원 손해배상은 받아들일 수 없다며 상이한 주장을 고수해왔다. 그렇지만 금융 감독당국은 안랩의 백신 업데이트 서버 취약점을 전산장애의 직접 원인이고 농협의 보안관제 관리도 문제가 있었다고 발표하면서 양측 모두 일부 책임이 있는 것으로 결론냈다.
금융감독원 관계자는 “금감원 조사 결과 안랩 업데이트 서버에 취약점이 있었고 취약점이 해킹당해 악성 프로그램이 농협 영업점으로 배포된 것은 맞다”고 5일 밝혔다. 이 관계자는 이어 “농협도 보안관제 등 관리 문제가 있어 기관주의와 임직원 엄중 재제를 조치했다”고 설명했다.
현재 농협과 안랩은 협상을 재개, 진행 중이지만 합의 내용을 놓고 여전히 평행선을 달리는 상황이다. 농협은 50억원 규모의 현금과 현물에 대한 손해배상을 요구하고 있다. 안랩은 서버 업데이트 취약점으로 인해 발생된 피해는 극소수에 달한다며 전액 배상을 전제로 한 협상은 하지 않겠다는 방침을 보이고 있다.
그러나 이번 금감원 검사결과 발표에 따라 협상이 달라질 수도 있을 것으로 보인다. 앞으로는 무조건적인 책임전가가 불가능할 것이라는 게 업계의 중론이다. 농협은 보안관제 등 관리 소홀에 대한 책임을, 안랩은 발단이 된 백신 업데이트 서버 취약점 문제에 대한 책임을 각각 지게 될 것으로 전망된다. 이러한 책임공방이 진전되면 실질적인 안랩의 손해배상 규모와 방식도 논의될 것으로 예상된다.
손해배상 방법으로 2011년 전산장애 발단이 된 한국IBM과의 합의한 `현금+현물` 지급 방식이 논의될 수 있다. 한국IBM은 2011년 4월 발생된 농협 전산장애가 한국IBM의 직원 노트북을 통한 사이버해킹으로 밝혀짐에 따라 110억원 규모의 손해배상을 현금과 현물로 지급했다.
농협은 당초 김앤장법률사무소를 통해 안랩을 상대로 제기하려 했던 손해배상 소송은 유보하 상태다. 농협 관계자는 “안랩 대상의 소송은 현재로서는 검토하지 않고 있지만 상황에 따라 다시 진행할 수 있다”고 말했다. 협상을 통해 합의를 하겠다는 것으로 풀이된다. 이에 대해 안랩 관계자는 “농협과 협상을 진행하고는 있지만 언제든지 무리한 요구를 하면 소송으로 직행할 것”이라고 말했다.
한편 금융감독원은 3·20 전산사고 관련 농협중앙회와 농협은행 등 5개 금융회사를 기관주의 조치하고 관련 임직원 23명을 엄중 제재 조치했다. 제재 대상은 농협은행 5명, 농협생보 4명, 농협손보 6명, 신한은행 5명, 제주은행 3명 등이다.
신혜권기자 hkshin@etnews.com
