“보증서 없이 600억 대출”…서울보증 전산 마비 사태로 드러난 '민낯'

보증시장 50% 점유 서울보증, 보안 리스크 '경고등'

▲SGI서울보증 전산 시스템이 랜섬웨어 공격으로 마비된 14일, 건물 위에 설치된 빨간 신호등이 정지된 금융 업무 상황을 상징하고 있다. (사진제공=연합뉴스)

SGI서울보증의 전산 시스템이 랜섬웨어 공격으로 마비되면서 하루 동안 600억 원 규모의 전세대출이 보증서 없이 '선 집행'되는 초유의 사태가 벌어졌다. 특히 국내 보증보험 시장의 핵심 기관인 서울보증이 정보보호 및 개인정보 보호 관리체계 인증조차 받지 않았다는 사실이 드러나면서 ‘보안 불감증’에 대한 민낯을 보여줬다는 지적이 나온다. 금융당국이 뒤늦게 대응에 나섰지만 전문가들은 보증기관에 대한 보안인증 의무 강화와 보증시장 다원화 등 구조적 개선 없이는 이번 사태가 언제든지 재발할 수 있다고 경고했다.

보증기관 생명은 신뢰인데⋯ISMS도 없이 버텼다

이달 14일 새벽 SGI서울보증의 전산시스템은 랜섬웨어 공격에 멈췄다. 전세자금대출, 휴대폰 단말기 할부 등 실생활 금융과 밀접한 보증서 발급 업무가 전국적으로 중단됐다. 일부 은행은 서울보증과 협의해 ‘보증서 없는 선대출’로 임시 대응했다. 사고 발생 당일 5대 시중은행에서만 236건, 총 600억원 규모의 전세대출이 보증서 없이 먼저 실행됐다.

이번 사고는 단순한 시스템 오류가 아니라 금융 인프라 기업의 보안 무대응 실태를 드러낸 사건으로 평가된다. 서울보증은 정보보호관리체계(ISMS) 및 개인정보보호관리체계(ISMS-P) 인증을 모두 받지 않은 상태였다. ISMS·ISMS-P는 한국인터넷진흥원이 운영하는 사이버 보안 인증 제도로 주요 금융·통신 인프라 기업들은 자율적으로 도입해왔다. 서울보증은 법적 의무 대상은 아니지만 지난 3월 상장 당시 "ISMS 인증을 추진하겠다"고 밝힌 바 있어 사전 대응 미흡에 대한 비판이 커지고 있다.

“대체 수단도 없다”…독점 구조가 만든 시스템 리스크

이번 사고로 인해 국내 보증보험 시장의 독과점 구조가 낳은 구조적 취약성도 수면 위로 떠올랐다. 서울보증은 국내 유일의 전업 보증보험사로 민간 부문 기준 보증시장 점유율은 50%를 웃돈다. 정부가 외환위기 당시 서울보증에 투입한 공적자금 회수 안정성을 이유로 보증보험 신규 허가를 제한했기 때문이다. 그러나 이번 사태와 같이 단일 기관에 문제가 발생할 경우 사실상 대체 수단이 부재하다는 문제가 있다.

결과적으로 서울보증 한 곳의 전산시스템이 멈췄을 뿐인데도 전국의 보증 기반 금융 흐름은 요동쳤다. 은행은 보증서 없이 대출을 집행하는 전례 없는 결정을 내릴 수밖에 없었다. 금융권 관계자는 “이번 사태는 서울보증에 과도하게 의존하고 있는 보증보험 시장 구조의 위험성을 보여줬다”며 “보증 사고 리스크를 분산할 수 있는 대안을 고민해야 할 시점”이라고 말했다.

“다음엔 더 큰 사고”…제도 개선·보안 인증의무 강화해야

금융당국은 서울보증 전산 장애 사태를 계기로 금융권 전반의 대응책 마련에 나섰다. 금융감독원은 18일 서울보증 사고 원인이 파악되는 대로 금융권과 협의해 새로운 유형의 사이버 위협과 전산 장애에 대한 종합적인 대응 방안을 마련할 계획이라고 밝혔다.

그러나 전문가들은 이번 사고를 계기로 금융기관에 대한 보안 인증 의무 강화 등 정보보안 체계 전반의 재정비가 필요하다고 지적했다. 올해 6월 예스24가 랜섬웨어 공격으로 서비스 장애를 겪는 등 피해가 더욱 빈번해지고 있어서다. SK쉴더스가 발표한 랜섬웨어 동향 보고서에 따르면 올해 1분기 글로벌 랜섬웨어 피해 건수는 2575건으로 지난해 같은 기간보다 122% 증가했다.

염흥열 순천향대 정보보안학과 교수는 “금융권에서 가장 유효한 보안 인증 제도는 ISMS-P”라며 “보안사고가 발생 시 국민 피해로 이어질 수 있는 영향력이 큰 기업들에 대해서는 인증 획득을 강하게 권고하거나 일정 수준의 의무화를 검토할 필요가 있다”고 말했다.

이어 “2016년부터 일정 규모 이상의 대학과 병원은 ISMS 인증이 의무화 돼 있었지만 금융기관은 ‘이중규제’ 우려로 대상에서 제외돼 왔다”며 “다만 최근에는 시스템 개방성이 커지면서 공격 가능성도 높아지고 있는 만큼 이중규제 문제가 발생하지 않는 범위 내에서 인증을 권고하는 등의 정보보안 기준 개선이 필요하다”고 설명했다.