지난달 북한의 사이버테러에 금융전산망이 노출된 건 금융권 2차 협력업체의 보안 프로그램이 뚫렸기 때문인 것으로 확인됐다. 10일 금융당국의 중간조사 결과 북한은 2차 협력업체 프로그램에 악성코드를 심어 1차 협력업체와 금융회사의 전산망을 차례로 감염시키려 했다.
지난달 인터넷뱅킹 보안업체 침투
정부 관리망 우회해 공격 드러나
백신업체서 포착, 금융 마비 막아
2014년 3월 카드 개인정보 유출 사태 때 마련된 정부의 해킹방지대책이 금융회사와 1차 협력업체에 집중됐다는 허점을 파고들었다. 2차 협력업체가 정부 보안 관리 체계의 사각지대에 놓여 있다는 걸 노렸다는 얘기다.
앞서 국가정보원은 8일 긴급 국가사이버안전대책회의에서 “인터넷뱅킹 보안 업체의 코드서명인증서(공인인증서 정품 확인서)가 북한 해킹조직에 탈취당했다”고 밝혔지만 구체적인 침투 경로(2차 협력업체→1차 협력업체)는 공개하지 않았다.
금융당국에 따르면 코드서명인증서를 탈취당한 곳은 국내 대다수 금융회사의 인터넷 공인인증서 보안을 관리하는 1차 협력업체 이니텍이다. 그러나 북한은 이니텍의 시스템을 직접 공격하지 않았다. 이니텍의 보안망이 견고해 침투하기가 쉽지 않다는 걸 알아챘기 때문이다.
대신 이니텍에 ‘세이프(Safe) PC’라는 내부정보 유출 방지 프로그램을 납품하는 2차 협력업체 닉스테크를 공격 대상으로 정했다. 세이프 PC의 보안망에서 취약점이 드러났기 때문이다. 결국 북한은 세이프 PC를 해킹해 이니텍의 방화벽에 침투한 뒤 코드서명인증서를 빼내는 데 성공했다.
그러나 다행히 인터넷 바이러스 백신업체 안랩이 인증서 탈취 정황을 곧바로 포착했다. 안랩으로부터 이 사실을 전달받은 국정원·금융당국이 긴급 보안조치를 시행하면서 금융전산망 해킹을 차단할 수 있었다. 국정원은 “사전에 발견 못했다면 인터넷뱅킹 마비, 무단 계좌이체 같은 대규모 금융혼란이 생길 수 있었다”고 설명했다.
금융당국은 북한이 사이버테러를 재시도할 수 있다고 보고 금융권의 보안을 강화하기로 했다. 임종룡 금융위원장은 이날 서울 여의도 KB국민은행 본점에서 개인 신용정보 보호 실태를 점검한 뒤 “외부 침투에 대비해 금융회사가 자체적으로 보안을 재점검하고 금융보안원 등 관계기관과 긴밀히 협조해 비상대응 체계를 갖춰야 할 것”이라고 말했다.
정은보 금융위 부위원장도 금융권 사이버테러 대응현황 점검 회의를 열어 “금융회사 책임으로 사이버보안 침해사고가 발생하면 대표이사를 문책하겠다”고 했다.
그러나 전문가들은 금융회사에 대한 책임 강화만으로는 재발 방지에 한계가 있다고 지적한다. 테러 시도의 원인이 2차 협력업체에서 비롯된 점을 감안해 금융회사와 1~2차 협력업체를 아우르는 종합대책을 마련해야 한다는 얘기다.
손영동 고려대 정보보호대학원 초빙교수는 “이번 사이버테러를 계기로 북한이 국내 금융 보안체계의 약점을 손바닥 보듯이 꿰뚫고 있다는 게 드러났다”며 “보안을 잘 유지하는 협력업체에는 제품 납품 시 혜택을 주고 보안사고가 난 업체에는 확실한 책임을 지우는 신상필벌이 이뤄져야 한다”고 말했다.
이태경 기자 unipen@joongang.co.kr
