USB로 문서 외부로, 하드 복구 외부업체 위탁 정보 유출보안투자 비용 5000억원 건물짓는데만 90% 사용
농협이 3.20 전산대란을 겪고도 여전히 안일한 자세를 취하고 있다. 심지어는 ‘전산대란’ 자체를 잊지버리는 것이 아니냐는 지적까지 나올 정도로 심각한 수준인 것으로 나타났다.
18일 국회 농림축산식품해양수산위원회 소속 김승남 의원이 올 9월1일부터 30일까지 고려대학교 정보보호대학원 교수들과 분석한 자료에 따르면 농협은 3.20 전산대란 이후에도 총 11건의 크고 작은 전산사고가 발생했다.
전산장애 원인으로는 전문보안인력 부족과 허술한 보안정책관리가 문제였다. 보안투자도 비효율적으로 투자해온 것으로 나타났다. 농협은 3월 전산사고 이후 대책을 강구하겠다고 했지만 그동안 사실상 방치해온 것이 다름없는 상황이다.
보안인력과 관련해서는 사고에 전혀 대응하지 못하는 수준인 것으로 나타났다. IT본부 CIO(최고정보관리책임자) CISO(최고정보보호책임자)가 소속돼 보안업무를 하고 있어 사실상 IT본부를 감사할 수 없는 구조로 만들었다.
또 순환보직 인사를 운용해 외부업체에 의존할 수밖에 없도록 했다. 솔루션만 구축하고 이를 활용하는 부문이나 계열사, 외부기관간 보안분석과 대응업무가 수행하지 못하는 방식이다.
현재 수백대의 보안시스템을 담당하는 전문인력도 5명에 불과해 사실상 실효성은 제로 상태다.
보안정책과 관련해서는 보안시스템을 도입 구축을 완료했지만 이를 운용하는 프로세스는 지켜지지 않고 있는 것으로 드러났다.
보안시스템을 모두다 적용하면서 문서의 외부교류가 차단돼 내부정보가 USB를 통해 외부로 유출되고 있는 것으로 나타났다. 3.20 전산대란 사고 당시에도 하드디스크 복구를 외부 업체에 대량 위탁해 민감한 내부정보가 외부로 유통되는 상황도 발생했다.
보안투자와 관련해서는 실소를 금할 정도다 금융위원회의 보안 투자 가이드라인을 지키기 위해 5000억원을 보안 분야에 투자하기로 했지만 4300억원을 IDC 건축에 활용했다. 즉 건물을 짓는데 보안비용을 90%를 사용한 셈이다.
이 때문에 전문인력 양성과 보안프로세스 운영을 위한 비용은 집행하지 못하고 있다.
농협의 구조도 문제다. 현재 농협IT본부 분사와 농협정보시스템간 IT업무 위·수탁계약을 보면 보안교육 이수율과 백신 등 보안시스템 설치 여부만 점검하고 있다.
3.20 공격을 막을 수 있는 보안분석체계 운영이나 신종 공격을 탐지하는 분야는 계약 대상에 포함되지도 않았다. 이때문에 농협정보시스템 실수로 사고가 발생하면 모든 책임은 농협중앙회에서 지는 구조다.
수백조에 자산을 운영하는 금융회사 IT를 위탁하는 계약서도 보안에 대한 실효적 조치내역이 존재하지도 않아 보안데 불감증 여전했다.
김 의원은 “실효적인 보안대책이 마련되지 않는다면 3.20 전산대란은 또다시 발생할 수 있다”며 “농협은 대형 인프라 구축만 보안 해법이 아니라 체계적이고 실효성 있게 제도를 개선해 보안전문 인력 양성과 IT 위·수탁 계약에 대해 책임성을 명확하게 할 필요가 있다”고 말했다.
최재영 기자 sometimes@
18일 국회 농림축산식품해양수산위원회 소속 김승남 의원이 올 9월1일부터 30일까지 고려대학교 정보보호대학원 교수들과 분석한 자료에 따르면 농협은 3.20 전산대란 이후에도 총 11건의 크고 작은 전산사고가 발생했다.
전산장애 원인으로는 전문보안인력 부족과 허술한 보안정책관리가 문제였다. 보안투자도 비효율적으로 투자해온 것으로 나타났다. 농협은 3월 전산사고 이후 대책을 강구하겠다고 했지만 그동안 사실상 방치해온 것이 다름없는 상황이다.
보안인력과 관련해서는 사고에 전혀 대응하지 못하는 수준인 것으로 나타났다. IT본부 CIO(최고정보관리책임자) CISO(최고정보보호책임자)가 소속돼 보안업무를 하고 있어 사실상 IT본부를 감사할 수 없는 구조로 만들었다.
또 순환보직 인사를 운용해 외부업체에 의존할 수밖에 없도록 했다. 솔루션만 구축하고 이를 활용하는 부문이나 계열사, 외부기관간 보안분석과 대응업무가 수행하지 못하는 방식이다.
현재 수백대의 보안시스템을 담당하는 전문인력도 5명에 불과해 사실상 실효성은 제로 상태다.
보안정책과 관련해서는 보안시스템을 도입 구축을 완료했지만 이를 운용하는 프로세스는 지켜지지 않고 있는 것으로 드러났다.
보안시스템을 모두다 적용하면서 문서의 외부교류가 차단돼 내부정보가 USB를 통해 외부로 유출되고 있는 것으로 나타났다. 3.20 전산대란 사고 당시에도 하드디스크 복구를 외부 업체에 대량 위탁해 민감한 내부정보가 외부로 유통되는 상황도 발생했다.
보안투자와 관련해서는 실소를 금할 정도다 금융위원회의 보안 투자 가이드라인을 지키기 위해 5000억원을 보안 분야에 투자하기로 했지만 4300억원을 IDC 건축에 활용했다. 즉 건물을 짓는데 보안비용을 90%를 사용한 셈이다.
이 때문에 전문인력 양성과 보안프로세스 운영을 위한 비용은 집행하지 못하고 있다.
농협의 구조도 문제다. 현재 농협IT본부 분사와 농협정보시스템간 IT업무 위·수탁계약을 보면 보안교육 이수율과 백신 등 보안시스템 설치 여부만 점검하고 있다.
3.20 공격을 막을 수 있는 보안분석체계 운영이나 신종 공격을 탐지하는 분야는 계약 대상에 포함되지도 않았다. 이때문에 농협정보시스템 실수로 사고가 발생하면 모든 책임은 농협중앙회에서 지는 구조다.
수백조에 자산을 운영하는 금융회사 IT를 위탁하는 계약서도 보안에 대한 실효적 조치내역이 존재하지도 않아 보안데 불감증 여전했다.
김 의원은 “실효적인 보안대책이 마련되지 않는다면 3.20 전산대란은 또다시 발생할 수 있다”며 “농협은 대형 인프라 구축만 보안 해법이 아니라 체계적이고 실효성 있게 제도를 개선해 보안전문 인력 양성과 IT 위·수탁 계약에 대해 책임성을 명확하게 할 필요가 있다”고 말했다.
최재영 기자 sometimes@
뉴스웨이 최재영 기자
sometimes@newsway.co.kr
<저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지>
댓글