[사설]IT보안 낙제점 농협, 다른 금융회사도 걱정

농협의 전산대란(大亂)은 우연이 아니었다. 농협은 서버의 일부 비밀번호를 최장 6년 9개월간 바꾸지 않고 사용하다가 지난해 11월 금융감독원의 지적을 받고서야 바꿨다. 서버 계정의 비밀번호를 1이나 0000 같은 단순 숫자로 설정했다. 일반 인터넷 사이트에서도 비밀번호로 받아주지 않는 숫자 조합을 2000만 명 이상의 고객을 상대하는 공룡 금융사에서 쓴 것이다. 보안의식이 한마디로 낙제점이다.

전산실과 협력업체 직원들의 보안 허점 탓에 해커의 공격이 수월했을 것이다. 전산실의 노트북이 수차례 외부로 반출돼 바이러스나 삭제명령 프로그램이 심어졌을 수도 있다. 농협은 2008년 농협닷컴 홈페이지가 해킹을 당하자 경찰에 신고하지 않고 해커에게 돈을 주고 무마한 적도 있다. 당시 해커가 빼간 개인정보가 악용됐을 가능성도 있지만 농협은 피해 회원들에게도 감췄다. 농협이 전산망 마비 직후 “외부에서는 방어벽을 뚫을 수 없다”고 큰소리친 게 무색하게 됐다.

금감원은 금융회사에 정보기술(IT) 예산의 5% 이상을 보안을 위해 배정하도록 권고하지만 은행은 평균 3.4%, 보험은 2.7%에 그친다. 내부의 보안 전문 인력이 부족해 외부에 하청을 주고 가격이 싼 곳만 찾다 보니 허점이 많아질 수밖에 없다. 은행과 증권사 중 두 곳 외에는 언제라도 사고가 터질 수 있을 정도로 취약하다. 데이터 백업센터가 한 곳뿐이어서 재해나 테러에 무방비 상태인 은행도 많다. 중국 등에 있는 전문 해커들은 국내 상당수 인터넷 사이트에 악성코드를 심어놓고 사용자 개인정보와 비밀번호 등을 실시간으로 빼내간다. 대기업과 중견기업의 3분의 1도 전산보안 및 비상대책이 부실하다.

농협 사태 이후 금융회사들은 직원의 휴대용 저장장치(USB 메모리) 사용을 금지하거나 일회용 비밀번호 발생기(OTP)가 없으면 서버 접속을 막으며 보안을 강화했다. 외부기관에 보안점검을 맡기거나 모의 해킹 대비훈련을 하는 곳도 있다. 9월 30일 개인정보보호법이 시행되면 금융권을 포함해 민간 및 공공기관의 개인정보 보호 의무가 강화된다. 이번 사건이 전산보안에 대한 의식과 투자를 한층 끌어올리는 계기가 돼야 한다.