24일 민·관·군 합동대응팀 등에 따르면 KBS·MBC·YTN 등 방송사와 농협·제주은행은 내·외부망을 통합 운영하고 있다.
신한은행은 작년 10월 말 망 분리 작업에 착수했으나 이번 해킹에 악용된 '업데이터 관리서버(PMS)' 영역에는 적용하지 않았다.
망 분리는 직원이 업무 용도로 사용하는 내부망과 인터넷 접속이 가능한 외부망을 따로 구축하는 것이다. 업무용 통신망의 속도를 높이고 외부인이 인터넷을 통해 사내 중요 정보가 담긴 내부망에 침입하지 못하도록 하는 효과가 있다.
금융사들은 해킹의 표적이 될 위험이 크고, 개인·법인의 자산과 민감한 정보를 보유했다는 점에서 망 분리와 같은 강력한 통신 보안 요구를 받고 있다.
특히 농협은 2011년 전산마비 해킹 때도 서버의 내·외부망을 분리하지 않았다는 지적을 받았는데 이를 개선하지 않았다. 같은 해 SK커뮤니케이션즈[066270]와 넥슨은 해킹으로 각각 3천500만건, 1천320만건의 회원 개인정보를 유출 당하고 나서 늦게나마 망 분리 정책을 도입했다.
국가 공공기관이 아닌 대부분의 민간에서는 망 분리 대신 보안 소프트웨어(SW) 등을 사용하는 경우가 많다.
망을 분리하면 내·외부용 PC를 따로 써야 하기 때문에 최소 2배 이상의 비용이 들기 때문이다. 또 방송사의 취재 기자들처럼 외부와 자주 접촉해야 하는 직군에서는 망 분리 시 큰 불편을 겪는 것는다는 점도 망 분리를 꺼리는 이유이다.
미래창조과학부(옛 방송통신위원회)의 한 관계자는 "망 분리를 확대하는 제도 추진을 검토하고 있지만 민간에 망 분리를 의무화하기가 쉽지 않다"고 말했다.
한편 이번 해킹 대상이 된 금융사들은 정보보안인증제도(ISMS) 인증도 대부분 외면한 것으로 나타났다.
일정 규모 이상의 포털·쇼핑몰 등 주요 정보통신서비스 제공자들은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 개정에 따라 지난달 18일부터 보안에 관한 137개 항목, 446개 세부항목으로 구성된 ISMS 인증을 의무적으로 받아야 한다.
미래부는 은행도 ISMS 의무 대상으로 해석하고 지난 주 은행연합회에 협조 공문을 발송하기도 했지만, 대부분의 은행은 "이미 전자금융거래법과 전자금융감독규정 등에 따라 높은 수준의 규제를 받는다"는 이유로 소극적인 태도를 보이고 있다.
신한·제주·농협은행, 농협생명, 농협손보 등 이번 해킹 피해기관 중 농협은행만이 2009년 인터넷뱅킹 분야, 2012년 금고시스템 개발·운영 분야에 관한 ISMS 인증을 획득했다. 그마저도 인터넷뱅킹 분야 인증은 작년 11월 만료돼 갱신해야 한다.
해당 기관들은 모두 'IT 인력이 전체 인력의 5% 이상, 보안 인력이 IT 인력의 5% 이상' 배치하고, 정보보호최고책임자(CISO)를 둬야 한다는 등의 전자금융감독규정은 지키고 있다.
신영수 기자
news@ejanews.co.kr