[디지털투데이 강진규 기자] 코로나19 확산으로 금융권에 재택근무가 도입되면서 보안에 대한 우려가 높아지고 있다. 이에 금융당국은 금융회사들에 보안 조치와 솔루션 도입 등을 요청하고 있다. 하지만 결국 관건은 내부자 보안 관리에 있다. 과거 카드사 1억건 정보유출, NH농협 전산망 마비 사건 등 대형 금융사고는 모두 내부자 보안이 문제였다. 원격근무, 재택근무가 일상화되는 상황에서 직원, 협력업체 관계자 등 내부자에 대한 교육과 보안이 시급하다는 지적이다.

10일 금융권에 따르면 최근 지인의 부탁을 받고 은행 내부망에 해킹 프로그램을 설치한 혐의로 재판에 넘겨진 은행원이 2심에서 징역 1년6개월을 선고받았다.

2017년 12월 은행원으로 근무하던 A씨는 지인으로부터 외환 업무 관련 정보가 필요하다며 이메일로 받은 프로그램을 한번만 클릭해주면 그쪽에서 알아서 정보를 가져가겠다는 요청을 수락했다. 이렇게 설치된 프로그램으로 범죄자들은 2018년 4월까지 117회에 걸쳐 은행 내부전산망에 접근했던 것으로 알려졌다.

범인들은 수집된 정보를 바탕으로 은행 해킹을 본격화하기 위해 또 다른 은행원에게 접근했는데 그 은행원은 사실 경찰이 위장한 사람이었다. 그리고 이렇게 체포된 범인들이 갖고 있던 1.5테라바이트(TB) 용량의 외장하드 속에 해킹으로 수집한 개인정보, 금융정보가 저장된 것을 확인된 바 있다. 범죄자들이 이 사건으로 빼낸 구체적인 정보에 대해서는 아직 알려지지 않고 있다.

이 사건은 해커, 범죄자들이 은행 전산망에 직접 접근했다는 점에서 금융권에 충격을 줬다. 자칫 더 큰 금융사고로 이어질 수도 있었던 사안이다. 이런 사태가 벌어진 것은 내부자 직원의 협조가 있었기 때문에 가능했다.

이번 사건 뿐 아니라 금융권 대형 사고의 이면에는 늘 내부자 문제가 있었다. 지난 2014년 1월 KB국민카드, NH농협카드, 롯데카드에서 1억건의 개인정보가 유출된 사실이 알려져 국민들에게 충격을 줬다. 1억건 개인정보 유출 기록은 아직도 최대 규모 정보유출 사건으로 기억되고 있다.

사건 조사 과정에서 더 놀라온 사실이 밝혔다. KB국민카드, NH농협카드, 롯데카드는 부정사용방지시스템(FDS) 개발을 코리아크레딧뷰로(KCB)에 맡겼다. 그런데 KCB 직원이며 프로젝트 책임자였던 박모씨가 개인정보를 수집해 유출했던 것이다. 카드3사는 부정사용방지 즉 보안을 위해 시스템 개발을 추진했는데 개발사 직원이 오히려 정보를 유출했다. 고양이에게 생선을 맡겼던 것이다. 카드사들이 개발 과정에서 개인정보와 USB 사용 등에 관한 보안 관리를 철저히 해야 했지만 그렇지 못했다. 박모씨는 2012년, 2013년 3개 카드사 프로젝트를 진행하면서 1억건의 개인정보를 USB로 빼돌려 다른 사람에게 전달했다.

한국IBM 직원 허술한 보안...NH농협 전산망 마비 단초 돼

금융권의 또 다른 대표 보안 사고인 NH농협 전산망 사건도 내부자 보안이 원인이었다. 2011년 4월 12일 NH농협 전산망의 데이터가 대규모로 손상되면서 약 18일 간 전산 시스템이 파행적으로 운영됐다. 워낙 피해가 크고 전대미문의 사건이었기 때문에 원인을 놓고 의견이 분분했다. 정부는 북한 해커의 공격에 의한 것이라고 발표했다.

그런데 해커의 공격 과정이 알려지면서 내부자 문제가 불거졌다. 수사당국에 따르면 당시 NH농협 IT 외주 업체였던 한국IBM 직원이 2010년 9월 한 커피숍에서 웹하드 무료 다운로드 쿠폰으로 서버관리 업무를 하는 노트북에 영화를 다운로드 받았다. 이 과정에서 한국IBM 직원 노트북이 악성코드에 감염됐다. 해커들은 수개월 간 한국IBM 직원의 노트북에서 정보를 빼내갔다고 한다. 이렇게 NH농협 전산망에 대한 정보를 확보한 해커들이 2011년 4월 공격을 한 것이다.

2013년 12월 SC제일은행과 한국씨티은행에서 고객 개인정보 약 13만건이 유출된 사실이 적발됐다. 다른 정보유출 사건에 비해 규모가 상대적으로 작았지만 은행에서 정보가 직접 유출됐다는 점에서 당시 금융권에 충격을 줬다. 더구나 이때 유출된 정보 중 일부가 보이스피싱에 사용됐고 실제 금전적 피해도 발생했다. 한국씨티은행은 피해자에게 보상을 하며 사태 수습에 나서기도 했다.

두 은행의 사건도 내부자 소행이었다. 한국씨티은행의 경우 한 지점 직원이 회사 전산망에 접속해 대출고객 3만4000명의 정보를 A4 용지에 출력한 뒤 이를 대출모집인에게 전달했다. SC제일은행의 경우는 전산프로그램 개발을 맡은 외주업체 직원이 은행 전산망에 저장된 10만명의 정보를 빼내 대출모집인에게 넘겼다.

이처럼 대형 금융사고는 금융회사 직원이나 협력업체 직원들이 관련돼 있다. 유형은 악의적으로 가담하는 경우와 보안을 허술하게 한 실수로 나눌 수 있다.

이런 내부자 문제는 앞으로 더 많아질 수 있다는 지적이다. 올해 초 코로나19 확산 후 금융권 전반에 재택근무, 원격근무가 확산되고 있기 때문이다. 

재택근무를 위해 금융위원회, 금융감독원은 기존 망분리 규제도 완화할 방침이다. 망분리는 은행 핵심 전산망에 접근할 수 있는 업무용 컴퓨터와 인터넷 등에 연결된 컴퓨터를 분리해서 사용하도록 한 제도다. 이는 금융권 보안 사고가 계속 이어지면서 대책으로 추진됐다. 금융당국은 망분리 규제를 완화하는 대신 철저한 보안 관리를 금융회사에 당부하고 있다.

그러나 내부자 보안이 제대로 지켜질지 여부에 대해 회의적인 시선도 많다. 올해 10월 18일 금융감독원이 국회 정무위원회에 제출한 ‘조치보고서’에 따르면 분쟁조정국 소속 직원이 3차례에 걸쳐 근무시간 중 피부관리업체를 방문한 사실이 적발됐다. 해당 직원은 재택근무 중 지침을 어기고 마사지를 받았으며 그곳에서 업무용 컴퓨터로 상담, 분쟁 처리 등을 했다. 금융당국에서도 이런 상황이다 보니 일선 금융회사의 실태는 더 열악할 수 있다는 지적이다.

만약에 금융회사 직원들이 재택근무 중 업무용 노트북 등으로 보안이 되지 않는 장소에서 일을 할 경우 정보가 유출되거나 노트북이 악성코드에 감염될 수 있다. 해커는 좀비가 된 노트북 등을 활용해 금융회사 전산망에 접근할 가능성이 있다. 이렇게 될 경우 또 다시 대형 금융사고가 발생하는 것이다.

즉 직원들, 협력업체 관계자들의 보안이 제대로 되지 않으면 아무리 보안 솔루션을 설치하고 보안 체계를 운영한다고 해도 무용지물이 될 것이라는 우려가 나온다. 한 보안업계 관계자는 “결국 사용하는 사람의 문제가 아니겠느냐”며 “가지 말라는 곳에 가고 또 하지 말라는 것을 하게 되면 보안을 유지할 수가 없다”고 지적했다.

결국 보안 전문가들은 금융회사들이 직원, 협력업체 관계자 등 내부자에 대한 관리를 철저히 하고 재택근무, 원격근무에 따른 보안교육도 강화해야 한다고 조언한다.