![[오늘의 운세] 5월 29일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/29/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
대형 금융망 사고의 가능성을 금융감독 당국이 2년 전 예측하고도 제대로 대응하지 않았던 것으로 드러났다.
17일 금융권에 따르면 금융감독원은 ‘2009년 정보기술(IT) 및 전자금융 중점 감독·검사 방향’에서 ‘대형 금융회사의 경우 시스템 마비 공격이, 중소형 금융회사는 고객정보 절취 공격이 증가할 것으로 예상된다’고 지적했다. 최근 잇따른 농협 전산망 마비 사태와 현대캐피탈 해킹 사건을 정확히 예견한 것이다.
이번 사고에서 드러난 해킹 수법이나 전산망 마비 원인도 구체적으로 예시했다. 금감원은 이 자료에서 ‘홈페이지 등 공개용 서버의 관리 강화’를 중점적인 감독·검사 항목으로 꼽았다. 제휴업체와 공유하는 자동차리스 고객 관리서버와 고객용 홈페이지에서 정보가 유출된 현대캐피탈이 해커에게 허를 찔린 게 이 부분이다.
‘아웃소싱(협력업체) 상주직원의 시스템에 대한 접근 통제’와 ‘내부직원의 내부 서버에 대한 접근통제’를 강화해야 한다는 지적도 있었다. 협력업체 직원의 데이터베이스 접속권한과 작업내역 자동저장을 제한해야 한다는 것이다. 내부직원도 직무에 따라 서버 접근권한을 차등화하고 사용자 계정(ID)의 공동사용을 방지하는 등의 조치가 필요하다고 강조했다.
농협 전산망 마비는 서버관리를 지원하는 협력업체 직원의 노트북에서 전체 시스템파일을 삭제하라는 명령이 나가면서 비롯됐다. 시중은행의 한 전산 담당자는 “금감원이 말한 내부통제 시스템을 제대로 지켰다면 이런 일이 생기지 않았을 것”이라고 말했다.
하지만 여기까지였다. 정확한 예측을 뒤따르는 감독과 검사가 제대로 이뤄지지 않았다. 현대캐피탈의 경우 지난해 12월까지 금감원의 종합검사를 받았지만 IT 분야에 대한 검사는 제외됐다. “검사인력이 부족해 IT 부문 검사는 시중은행과 대형 증권·보험사, 저축은행중앙회 등에 한정할 수밖에 없었다”는 게 금감원의 말이다. 농협에 대해서도 매년 종합검사를 하고 IT 분야에서 숱한 개선사항을 지적했지만 대형사고를 막는 데 실패했다.
금감원이 가계부채와 저축은행 등 대형 이슈에 정신을 쏟다 금융망 보안에 대한 관심을 소홀히 했다는 지적도 나온다. 금융감독원은 지난 2월 총론과 은행·비은행·보험·중소금융 등으로 나눠 2011년 업무계획을 발표했다. 200쪽이 넘는 이 책자엔 ‘금융보안’이란 단어가 한 차례도 등장하지 않는다. 금감원은 이에 대해 “‘새로운 전자금융 환경에 대응한 검사체제 구축’이란 항목이 있다”고 해명했다. 하지만 또 다른 관계자는 이에 대해 “스마트폰·무선랜·IPTV 등을 기반으로 한 신기술에 대비하자는 얘기이지 핵심 금융망의 안전성을 높이자는 건 아니다”고 말했다. 금감원은 금융회사의 올해 IT 투자 규모도 아직 파악하고 있지 않다.
한편 한국은행에 따르면 금융회사들의 전산 투자는 2008년 1조2000억원대에서 2009년 7700억원대로 크게 줄었다.
나현철·윤창희 기자
