[사이버 금융보안 현주소]금융 전산보안 위협 ‘현재진행형’

2003년 ‘125 대란’ 국제적 혼란대응센터법 정비에도 속수무책

국내에 국가 단위의 해킹 피해가 처음으로 발생한 것은 2003년으로 거슬로 올라간다.

그해 1월 25일 마이크로소프트(MS)의 데이터베이스용 소프트웨어인 ‘SQL 서버’가 공격당하면서 인터넷을 마비시킨 이른바 ‘1·25 대란’이 발생했다. 전 세계에 인터넷 접속장애를 호소하는 신고가 폭주했고, 불과 수십분 만에 전 세계 7만5000여개의 시스템이 감염됐다.

국내에서는 8800여개의 서버가 공격당하면서 7시간 동안 전국적으로 인터넷이 두절되는 등의 국가적 혼란 사태가 발생했다.

이후 인터넷 이상 징후를 모니터링하고 대응할 수 있는 인터넷침해대응센터가 설립돼 모니터링 체계가 구축됐고 정보통신망법이 개정되는 등 법체계도 정비됐지만 2009년 7월 7일 청와대와 국방부, 금융기관 등 22개 국내 주요 인터넷 사이트가 ‘디도스’(DDoS·분산서비스 거부) 공격으로 최장 72시간까지 마비되는 ‘7·7 대란’이 벌어졌다. 당시 피해액만 500억원이 넘는 것으로 추산됐다.

이같은 해킹피해가 금융권에까지 본격 전이된 것은 지난 2011년. 그해 4월 현대캐피탈에서는 웹사이트에서 서버로 침입한 해커에 의해 고객정보가 유출되는 사태가 터졌다.

특히 업계 1위 캐피털업체인 현대캐피탈은 당시 전산망 해킹으로 전체 고객 180여만명의 4분의 1인 43만명의 이름, 주민번호, 이메일 주소 등 개인정보가 유출됐다.

특히 유출된 고객정보 가운데 프라임론패스 고객 1만3000명은 신용등급과 비밀번호 등의 신용정보까지 노출됐다. 이에 따라 제2금융권 전반에 대해 해킹 우려가 커짐과 동시에 국내 금융사 전체의 전자금융거래 시스템 자체에 대한 신뢰도에도 큰 오점을 남기게 됐다.

같은 시기 금융사 전산망 마비사태는 NH농협에도 상당한 피해를 입혔다. 농협 전산망은 해외 13개국에서 27대의 서버에 의해 해킹을 당하면서 농협 PC 270여대가 악성코드로 인해 파괴됐다.

이에 따라 3일 동안 농협의 금융서비스가 전면 또는 일부 중단됐으며 대출금상환, 상품거래대금수수, 기업어음(CP)결제 중단 등 고객의 피해가 이어졌다. 농협의 전산망 장애로 인한 피해 건수는 1400건이 넘었고 이 가운데 300여건 정도만이 피해를 입증해 보상을 받는데 그치면서 당시 온라인상에는 ‘농협 전산장애 피해카페’가 개설되기도 했다.

이런 전례에도 불구하고 금융권의 해킹 사례는 계속됐다. 지난 3월 20일 일부 방송사와 함께 금융권을 덮친 전산망 마비 사태는 또 다시 금융전산보안의 경각심을 일깨웠다.

이날 오후 2시께 KBS·MBC·YTN 등 3개 방송사와 신한·농협·제주은행 등 3개 은행, NH생명보험·NH 손해보험 등 2개 보험사 전산망에서 동시다발적 장애를 발생 시킨 이번 해킹에서는 PC 4만8000여대 손상됐으며 이들 전산장비에서 총 70여종의 악성코드가 나온 것으로 집계됐다. 금융권의 경우 NH농협은행과 신한은행의 창구 단말기와 ATM기가 주요 공격대상이 돼 피해를 입었다.

금감원 관계자는 이에 대해 “특히 내·외망 분리가 되지 않은 탓에 농협은행 길동지점의 단말기로 침입한 악성 코드가 서버를 거쳐 각 지점의 컴퓨터와 자동화기기(CD·ATM)로 번졌다”고 설명했다.

이후 6·25 전쟁 발발일인 지난 6월 25일 오전 청와대와 국무조정실의 홈페이지가 위변조되고, 일부 언론사 홈페이지의 서버가 멈추거나 접속 불가상태에 빠지는 등 총 16개 기관에서 사이버 공격이 발생했지만 더 이상 금융권의 피해는 알려지지 않았다.

한편 금융권 등을 대상으로 한 이같은 사이버 태러는 북한 정찰총국의 소행으로 추정되며 장기간 준비된 공격이라는 특징을 가진 것으로 나타났다.

이와 관련 정부의 민관군 합동대응팀은 사이버테러의 접속기록, 악성코드 등에 대한 조사결과와 대북정보 등을 종합적으로 분석한 결과 이번 3.20 사이버테러에서 북한 정찰총국의 해킹 수법과 유사한 증거들을 발견했다고 밝혔다.

또한 합동대응팀은 북한측이 이미 8개월 전부터 우회 접속 경로를 통해 피해 업체에 악성코드를 한꺼번에 유포하는 등 치밀하게 준비한 특징을 보였다고 언급했다. 실제로 지난해 6월이후 북한 내부 PC 6대는 모두 1590회에 걸쳐 국내 금융사 등에 접속했다.

접속 경로 추적 결과 또한 지난 2월 하순 북한측이 우회 접속 경로를 통해 피해 업체에 악성코드를 심은 사실을 파악했으며, 북한 정찰총국이 그간 수십종의 악성코드를 유포·활용했고 이 중 일부를 이번 공격에 재활용하는 방식을 채택했다는 설명이다.