|
지난 주말까지 모든 시스템의 복구를 완료하겠다는 농협의 약속은 이번에도 지켜지지 않았다. 또한 전혀 문제가 없다던 카드 고객정보 원장이 훼손된 사실이 확인되면서 농협이 계속해서 피해 규모를 숨기고 있다는 고객들의 비난이 거세지고 있다.
IT전문가들은 △협력사 직원에게 지나친 권한을 부여했고 △평상시 형상관리(Configuration Management)가 제대로 이뤄지지 않는 등 IT거버넌스 체계가 총체적으로 부실했기 때문이라고 지적하고 있다.
검찰의 수사가 진행 중인 가운데 농협은 이번 사태를 ‘사이버테러’로 규정지었다. 농협은 유닉스 명령어를 통해 전 서버를 공격할 수 있도록 만들었다는 점, 그리고 상대적으로 보안이 취약한 중계서버를 대상으로 삼았다는 점 등을 토대로 농협 전산망을 속속들이 알고 있는 내부자 소행에 가능성을 두고 있다.
검찰의 조사 결과가 나와 봐야 알겠지만 업계 관계자들은 이번 사태를 결국 체계적인 시스템과 인력 관리가 부족했기 때문에 발생한 인재로 보고 있다. 우선 협력업체 직원 PC 1대를 통해 수백여 대의 서버를 쉽게 조작할 수 있었다는 점이 비판의 도마에 오르고 있다.
금융IT 전문가는 “하나하나가 매우 중요한 은행 IT시스템이 협력업체의 노트북PC 한 대에 의해 쉽게 조작이 가능한 것 자체가 잘못된 것 아니냐”며 “더군다나 이 노트북PC는 외부에 반출이 가능했는데 보안 검사를 철저하게 했느냐도 논점이 되고 있다”고 말했다.
일각에서는 ID와 패스워드를 가진 내부 직원들의 승인이 있어야만 시스템 조작이 가능하다지만 농협이 이 ID와 패스워드를 평상시에도 협력업체에 제공하고 있을 가능성도 있다고 지적했다.
해당 시스템에 대한 내부 전문가가 드물고 인력도 부족하기 때문에 일일이 시스템 변경 사항을 협의 하에 관리하기가 힘들어 협력업체에 대부분의 형상관리를 일임했을 가능성이 높다는 설명이다. 형상관리는 주로 애플리케이션의 변경관리를 의미하지만 넓은 의미에서는 시스템 환경을 바꾸는 것을 모두 포함한다.
이번 사태가 외부 해킹이 아니라 협력업체나 내부 직원에 의한 고의적 소행으로 밝혀지게 되면 농협이 과연 형상관리와 권한 통제를 얼마나 제대로 해왔는지도 논란의 쟁점이 될 전망이다.
통상 기업에서 주요한 정보시스템 변경은 최고정보책임자(CIO)의 승인을 거치서 이뤄지게 된다. 하지만 이런 체계가 무시되고 IT거버넌스가 제대로 작용하지 않았다면 충분히 이런 사태가 발생할 가능성이 높다는 분석이다.
18일부터 금감원과 한국은행 관계자들이 투입돼 농협이 전자금융감독업무 규정세칙을 잘 지켰는지를 검사하고 있다. 농협의 시스템과 내부통제에 문제가 있었는지가 이번 검사를 통해 밝혀질 예정이다.
| 
hcan@etnews.co.kr