▲SGI서울보증 시스템에 장애가 발생해 금융 소비자들이 불편을 겪었다.SGI서울보증 웹사이트 팝업창/사진=연합뉴스 자료/최성호기자

 

[소셜밸류=최성호 기자] 국내 최대 보증보험사인 SGI서울보증보험이 최근 랜섬웨어 공격을 받아 전산망이 마비된 가운데, 최초 침투 경로가 SSL-VPN(가상사설망)으로 확인됐다. 그러나 더욱 충격적인 사실은 해당 VPN 시스템에 로그인 시도 횟수를 제한하는 보안장치조차 없었다는 점이다.

보안업계에서는 “이 정도면 해커가 아니라 초등 수준 기술자도 침입할 수 있었을 것”이라며 서울보증의 보안 시스템을 ‘개문발차’(開門發車)에 비유하고 있다.

◆로그인 제어 장치도 없는 SSL-VPN…‘기초 보안 실종’

서울보증에 침입한 해커는 SSL-VPN 포트를 통해 무차별 대입(brute-force) 방식으로 수천 건의 비밀번호 조합을 입력했고, 그 과정에서 관리자 계정에 접근하는 데 아무런 제약이 없었던 것으로 드러났다.

즉, 비밀번호를 수백 번 틀려도 경고 메시지나 접속 차단은 없었다.이 같은 시스템 구성은 보안업계에서는 상상하기 어려울 만큼 기초적인 방어조차 없던 셈이다.

금융보안업계 한 관계자는 “기업형 VPN 시스템에서는 반드시 로그인 횟수 제한, 다중인증(OTP), 접근 IP 필터링이 기본인데, 서울보증은 이 모든 걸 비워둔 상태였다”고 말했다.

◆금융보안원 지침도 무시…사고는 예고돼 있었다

더 큰 문제는 정부 차원의 보안 지침조차 서울보증이 따르지 않았다는 점이다. 금융보안원은 지난해부터 SSL-VPN 보안 취약성과 관련한 기술경보와 개선 권고를 수차례 배포해왔다. 

 

특히 “다중 인증이 불가능한 VPN은 사용을 중단하라”는 긴급 권고가 내려졌지만, 서울보증은 이를 따르지 않았다.

업계 전문가들은 이번 사건을 두고 “단순 해킹 피해가 아니라, 보안 불감증과 시스템 태만이 만든 인재(人災)”라고 입을 모은다.

◆유출 피해는 ‘깜깜이’…사후 대응도 투명성 실종

서울보증은 사고 발생 직후 전산망을 차단하고 외부 포렌식 업체를 통해 복구 작업에 들어갔지만, 해커 침입 경로, 랜섬머니 지불 여부, 유출된 정보 범위 등에 대해 명확한 발표를 하지 않고 있다.

보증보험은 대출 연계, 신용심사, 정부협약 상품 등에 활용되는 공공성 높은 금융서비스지만, 서울보증은 이에 걸맞은 투명한 해명이나 사후 보고를 내놓지 않고 있어 공공기관으로서의 신뢰를 스스로 저버리고 있다는 비판이 제기된다.

◆“해커보다 더 위험한 건 시스템을 방치한 관리자”

정보보호 전문가들은 이번 사건을 두고, “해커의 기술이 정교해서가 아니라, 시스템이 지나치게 허술해서 당한 것”이라고 평가했다.

한 보안전문가는 “기초 보안도 안 돼 있는 상태에서 국민 데이터를 맡았다는 사실이 더 충격적”이라며 “서울보증이 보안의식이 있는 조직이었다면 이 사고는 충분히 막을 수 있었다”고 말했다.

◆“공공기관 보안, 여전히 구멍 뚫려 있다”

국가 주요 기반기관이나 금융 인프라를 담당하는 기업의 VPN 보안이 이처럼 허술했다는 사실 자체가 보안 시스템 전반의 위기를 보여주는 단면이라는 지적도 나온다.

서울보증은 지금이라도 해킹 피해 범위, 랜섬머니 지불 여부, 내부 보안 시스템 개선 계획을 명확히 공개하고, 전면 재정비에 나서야 한다는 지적이다.

[ⓒ 사회가치 공유 언론-소셜밸류. 무단전재-재배포 금지]