수협은행

금융감독원이 5일, 수협은행에 대해 전자금융거래 안전성 확보 의무 위반을 이유로 과태료 4000만 원을 부과하고, 관련 임직원에게는 '주의' 등 제재를 내렸다. 인터넷뱅킹 시스템을 운영하면서 '데이터 보호'를 소홀히 해서다.

금융회사는 전산 자료가 파괴되거나 소실되는 것을 막기 위해 중요 자료를 정기적으로 백업하고, 이를 안전한 원격지(소산)에 보관해야 한다. 

4년 넘게 방치된 '백업' 시스템

본점 전산실이 지진이나 화재로 마비되더라도, 멀리 떨어진 곳에 보관된 백업 자료를 이용해 시스템을 복구해야 하기 때문이다.

수협은행은 2019년 5월 1일부터 2023년 9월 22일까지 무려 4년 4개월 동안 이 원칙을 무시했다. 문제가 된 시스템은 외부 업체에 위탁해 운영하던 '인터넷뱅킹 채널 시스템'(사용자 인터페이스와 본인 인증 기능 담당)이었다.

프로그램 소스 등 중요 전산 자료를 백업하거나 별도 장소에 보관하지 않았고, 백업 내역조차 기록하지 않았다. 

이 기간에 시스템 장애나 재해로 데이터가 날아갔다면, 고객들은 인터넷뱅킹에 접속조차 못 하는 초유의 사태를 맞을 뻔했다.

해커에게 뒷문 열어준 '가짜 망분리'

수협은행의 '안전 불감증'은 여기서 끝이 아니었다. 은행 전산망은 해킹을 막기 위해 외부 인터넷망과 철저히 분리되어야 한다. 

법적으로 전산실 내 시스템에 접속해 개발이나 보안 업무를 하는 단말기는 아예 물리적으로 선을 뽑아 인터넷을 차단하는 '물리적 망분리'를 해야 한다.

그럼에도 수협은행은 2023년 9월 4일, 인터넷뱅킹 시스템을 관리하는 단말기를 외부 인터넷망과 물리적으로 분리하지 않았다. 대신 소프트웨어적으로만 나누는 '논리적 분리(가상 데스크톱·VDI)' 방식을 사용했다.

물리적 망분리는 해커가 들어올 길을 원천 봉쇄하는 것이지만, 논리적 분리는 악성코드가 침투할 틈이 생길 수 있다. 

법이 굳이 '물리적 분리'를 강제한 이유다. 편의성을 핑계로 보안 원칙을 어겨, 해커가 들어올 여지를 준 셈이다.