해킹 등 사고예방장치 미흡

보안책 수립·운영에도 허점

예산·인력은 시중銀 절반이하




농협의 정보기술(IT) 보안 관리 곳곳에 허점이 있는 것으로 확인되고 있다. 농협의 IT 전산시스템을 대상으로 검사를 진행중인 금융감독원은 농협의 보안 관련 내부통제와 암호프로그램 통제 등에 중대 과오를 발견하고, 집중 조사 를 벌이고 있는 것으로 알려졌다.

▶관리적·기술적 보안에 문제 있다=IT 보안은 크게 △보안정책을 세우고 보안실행 표준을 정의해 운영하는 관리적 보안△ IT 관련 주요 시설물에 대한 출입을 통제하는 물리적 보안,△ 실제 보안장비를 구축하고 운영하는 기술적 보안으로 구분된다. 

이와관련, 지금까지 금감원 조사결과로는 농협의 경우 물리적 보안에는 큰 흠결이 없는 것으로 알려졌다. 감독원은 다만 보안정책수립, 전산사고 보고체계 등 관리적 보안에 있어 내부통제시스템이 허술하게 작동되고 있었던 점을 목격하고, 이에 대한 최종 확인 작업을 진행중인 것으로 전해졌다. 또 해킹방지를 위한 대책 수립과 사후관리 등 기술적 보안에 있어 농협측의 충분한 대응이 없었던 것으로 보고, 이를 집중 조사중인 것으로 알려졌다. 전자금융감독규정시행세칙에 따르면 금융회사는 해킹방지를 위해 △주기적으로 침입차단시스템의 상태를 점검해야하고 △침입차단시스템의 장애와 가동중지 등 긴급사태에 대비해 백업 및 복구절차 등을 수립·시행해야한다.

금감원은 현재 농협의 IT 보안책임자와 담당자들을 불러 해킹방지 대책을 실행했는 지, 바이러스 보안장치와 방화벽을 제대로 설치·관리했는 지 여부에 대해 캐묻고 있다. 이와함께 농협이 지난 해 10~11월중 정기검사에서 패스워드 관리가 허술했던 점을 감안해 당시 검사반장이 조치했던 시정명령 이후 패스워드 관리가 제대로 이뤄지고 있는지도 살펴보고 있다.

▶보안 인력과 예산이 화를 자초했다=농협은 전산시스템 유지 및 관리를 외주업체에 맡기고 있는 데다 IT 보안관련 인력과 예산이 일반 시중은행의 절반 수준에도 못미쳐 전산사고는 예고돼 있었다는 주장이 설득력을 얻고 있다. 농협은 IT 분사 인력이 계약직을 포함해 553명에 달하지만 이 가운데 보안 관련 인력은 11명에 불과한 것으로 확인됐다. 시중은행의 평균 보안 인력이 20명에 이르고 있는 점을 감안할 때 절반에 불과한 것이다. 특히 A은행의 경우 내부 보안 인력만 22명, 외부인력까지 포함할 경우 37명으로 농협의 3배에 달한다. 보안 예산도 절대 규모나 비율에 있어 은행 평균의 절반에 못미친다. 농협은 2008년에는 1535억원의 IT 예산중 48억원(이하 IT 전체예산 대비 보안예산 3%)을 보안에 배정했고, 2009년에는 1275억원 중 25억원(2%)을, 2010년에는 935억원 중 15억원(1.6%)을 각각 배정했다.

금감원의 한 관계자는 “보안 조직과 인력, 예산을 감안할 때 농협은 전산사고를 자초한 측면이 크다”며 “현재 권고사항으로 돼 있는 보안 예산과 인력을 일정 규모로 특정해 의무화하는 방안을 신중히 검토하겠다”고 밝혔다.

윤재섭·신창훈·박정민 기자/ is@heraldcorp.com