랜섬웨어 한 달간 잠복…VPN 취약점 발견 후 침투
전산망에 소산백업 연결해 해킹 위험 자초
보안 직원 4명에 불과…주말엔 외주에 맡겨 원격 관리
직원 계정 1곳이 32개 서버 관리하기도
![[서울=뉴시스] SGI서울보증 본사 사옥 주경 전경. (사진=SGI서울보증 제공) 2025.04.17. photo@newsis.com *재판매 및 DB 금지](https://img1.newsis.com/2025/04/17/NISI20250417_0001820600_web.jpg?rnd=20250417154633)
[서울=뉴시스] SGI서울보증 본사 사옥 주경 전경. (사진=SGI서울보증 제공) 2025.04.17. [email protected] *재판매 및 DB 금지
[서울=뉴시스] 최홍 기자 = 랜섬웨어 공격을 받아 사흘간 시스템 장애를 겪은 SGI서울보증이 내부통제 부실로 도마 위에 올랐다.
백업 관리가 미흡했고 보안 담당 직원이 4명에 불과했으며, 가장 흔한 방식으로 비밀번호를 설정하는 등 총체적 부실이 드러났다.
2일 뉴시스 취재를 종합하면 SGI서울보증에서 발생한 랜섬웨어 침해사고는 금융회사가 지켜야 할 기본적인 내부통제조차 제대로 작동하지 않았음을 보여준다.
랜섬웨어는 컴퓨터나 서버에 바이러스를 침투시켜 내부 파일을 감염시킨 뒤 암호화하는 프로그램이다. 해커는 감염된 파일을 정상 상태로 되돌려주는 조건으로 금전적 대가를 요구한다.
통상 해커들은 랜섬웨어를 불특정 다수에 퍼트리고 가상사설망(VPN)의 취약점을 집중 타깃하는 방식으로 침투한다. 제품 자체에 결함이 있거나, 오래돼 버려진 장비를 타고 들어오는 경우가 많다.
지난 7월 SGI서울보증의 악성코드도 약 한 달간 잠복해 있다가 VPN의 보안 취약점을 발견하고 들어왔다.
당시 해커들은 SGI서울보증의 재해복구(DR)센터, 일별·월별 백업을 차례로 암호화해 마비시키고, 데이터를 완전히 복구할 수 없도록 최후의 보루에 속하는 '소산백업'마저 삭제했다.
수시로 또는 주기적으로 백업하는 DR센터와 일별·월별 백업은 전자감독규정에 따라 전산망에 연결하게 돼 있다.
이와 달리 소산백업은 랜섬웨어 등 악성코드가 외부에서 침투하더라도 보안이 유지되게 하기 위해 별도 네트워크나 저장소에 물리적으로 분리하도록 돼 있다.
그러나 SGI서울보증은 소산백업을 편의상의 이유로 전산망과 연결해 놓았고, 결과적으로 랜섬웨어가 가장 중요한 백업 시스템을 공격할 수 있는 상황을 초래했다.
금융당국이 현장점검에 돌입했을 때 SGI서울보증에 남아있는 백업은 전체 중 20%에 불과했다. 금융보안원 직원이 가까스로 암호화를 해제했기 때문에 사흘 만에 정상화할 수 있었던 것이지, 원래대로라면 복구가 어려운 상황이었다.
상주해야 하는 보안 관제 직원도 4명에 불과했다. 이들은 평일 낮에만 근무하고, 야간과 주말에는 외주 직원들이 원격으로 관리했다. 이번 랜섬웨어의 공격도 외주 직원이 관리하는 주말(토요일)을 틈타 이뤄졌다. SGI서울보증 직원들은 하루가 지난 일요일 오후에서야 사고를 인지했다.
랜섬웨어의 침투 경로로 활용된 VPN 관리도 부실한 것으로 드러났다.
SGI서울보증은 VPN 장비 제조사가 기본적으로 설정한 비밀보호 '0000'을 장기간 바꾸지 않고 그대로 사용했고, 이를 쉽게 추측할 수 있었던 해커는 해당 비번을 입력해 내부로 침투했다.
또 해커는 두 번째 관문에 해당하는 관리자 계정을 뚫기 위한 시도를 했는데, 이 비밀번호마저도 SGI서울보증 직원들이 단순 문자 조합으로 설정함으로써 쉽게 들어올 수 있었다.
권한이 있는 IP만 들어올 수 있도록 방화벽 등을 둬야 함에도 이런 수단이 전무했다. 직원 계정 1곳이 다수의 서버를 관리함으로써 계정 1곳이 뚫리면 서버 32곳이 해킹되는 상황도 초래했다.
현재 SGI서울보증 업무는 정상화됐으나, 이번 사고는 자칫 금융시스템 리스크로 번졌을 수 있는 중대 사안으로 평가된다.
SGI서울보증에 대한 운영리스크로 은행들이 보증대출 업무를 거부하고, 이에 따라 전세자금 대출 등 서민 금융정책에 차질이 생겼을 수도 있기 때문이다.
특히 대출 중단으로 은행의 예금 이탈 등 유동성 위기가 발생하고, SGI서울보증의 주가가 급락하는 등 연쇄적인 영향이 발생했을 수도 있다.
실제 이번 랜섬웨어 침투 사태 때 일부 시중은행은 SGI서울보증의 보증대출 업무를 못 믿겠다며 거부한 것으로 알려졌다. 다만, 시스템리스크를 우려한 금융당국이 은행들을 달랬기 때문에 고비는 일단 넘긴 것으로 전해졌다.
현재 금융당국은 SGI의 현장검사를 마치고 제재 등 후속 조치에 들어간 상태다.
흔적을 지우고 빠져나가는 악성코드의 특성상 개인정보 유출 여부는 아직 파악하기 어려운 상황이다.
내부통제 부실을 비롯해 개인정보 유출이 현실화하면, 관련 법령에 따라 기관·인적 제재 및 과징금이 부과될 수 있다. 특히 과징금은 금융위원회와 개인정보보호위원회의 각 소관법에 따라 별도 제재가 가능하다.
전자금융거래법 제21조 '안전성의 확보의무' 1항에 따르면 금융사는 전자금융거래가 안전하게 처리될 수 있도록 선량한 관리자로서 주의를 다해야 한다.
같은법 2항에 따르면 금융사는 전자금융거래 안전성과 신뢰성을 확보할 수 있도록 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치, 소요경비 등의 정보기술부문, 전자금융업무 등에 대해 금융위가 정하는 기준을 준수해야 한다.
금융권 관계자는 "공적자금을 받은 서울보증보험이 민간기관으로 전환을 시작한 지 얼마 안 된 상황에서 금융사고가 터졌다"며 "강도 높은 조직문화 개혁과 내부통제 강화가 필요해 보인다"고 말했다.
◎공감언론 뉴시스 [email protected]
