SGI서울보증보험이 랜섬웨어 공격으로 중단됐던 보증서 발급 등 일부 업무를 재개했다. 다만 여전히 내부 시스템 일부는 화면이 뜨지 않는 등 오류가 이어지고 있다. 경찰이 해킹범 수사에 나선 가운데, 서울보증의 보안 책임과 제재 가능성에 관심이 쏠린다.
서울보증은 18일 “전날 오전부터 대고객 업무는 정상화됐으며, 일부 직원용 내부 시스템은 복구 중”이라고 밝혔다. 이번 사고는 지난 14일 새벽 발생한 랜섬웨어 공격으로 시작됐다. 랜섬웨어 공격은 해커가 시스템을 암호화해 사용할 수 없게 만든 뒤 풀어주는 대가로 금전을 요구하는 방식이다.
랜섬웨어 공격으로 중단된 시스템을 복구하려면 복호화 키를 확보하거나, 시스템을 원점으로 되돌리고 데이터를 복원해야 한다. 서울보증은 랜섬웨어 그룹의 금전 요구에 응하지 않고 자체 복구하고 있다고 밝혔다. 일부 랜섬웨어는 백업 서버까지 감염시켜 복구가 더 길어지는 경우도 있는 것으로 알려졌다.
공격으로 3일간 보증서 발급이 중단되며 전세대출‧휴대폰 신용대출 등 업무에 차질이 생겼다. 시중은행 등 대출기관과 통신사도 혼란을 겪었다. 다만 서울보증은 지금까지 확인 가능한 금전적 피해가 발생한 사례는 1건에 그쳤다고 밝혔다. 현재는 보증서 발급 등 고객 대응 업무가 정상 수행되고 있다.
금융감독원과 금융보안원은 서울보증 내부에서 악성코드의 실제 기능과 침입한 경로 등 랜섬웨어 그룹의 범죄 수법을 분석 중이다. 감염 경로와 범위를 명확히 판별해야 시스템의 안전을 담보할 수 있기 때문이다. 금보원 관계자는 “사고 흔적을 찾는 단계”라고 밝혔다. 경찰도 사이버테러수사대에 사건을 배당해 해킹 배후를 찾기 위한 수사에 착수했다.
금융권 해킹은 꾸준히 발생하고 있지만, 배후를 찾기 어렵다. 국회 강민국 국민의힘 의원이 금융감독원에서 받은 자료에 따르면 지난 2020년부터 이후 금융권에서 발생한 해킹 침해 사고는 27건으로, 5만건 이상 정보가 유출됐다. 이 가운데 배후국가가 확인된 건은 5건에 불과했다.
서울보증이 보안 관리 의무를 다했는지 여부도 중요한 쟁점이다. 서울보증은 정보보호 및 개인정보 보호 관리체계(ISMS‧ISMS-P) 인증을 받지 않았다. 해당 인증은 의무사항이 아니지만 많은 금융사들이 보안 관리 차원에서 받고 있다. 따라서 관리 의무를 충실히 이행했는지 논란이 되는 상황. 서울보증 관계자는 “내년 중으로 인증을 받을 계획이었다”고 해명했다.
보안 점검 체계도 검토 대상이다. 서울보증은 그동안 매년 전자금융기반시설 보안 취약점을 점검받고 침해사고 대응 및 복구훈련 계획을 제출해 왔다. 취약점 점검을 위해 정보보호최고책임자가 고급 기술 인력이 포함된 자체 전담반을 꾸리고 외부 전문 기관의 평가를 받았다. 특히 모바일 앱과 웹사이트에 대해서는 연 2회 점검해 왔다. 다만 매년 10월쯤 해왔기 때문에 올해는 아직 하지 않은 것으로 파악됐다.
취약점 점검에서 미흡한 점이 발견되면 금융당국이 개선이나 보완을 요구할 수 있다. 서울보증은 매년 해당 절차를 수행했고, 미흡한 부분은 보완해 왔다는 입장이다. 금융감독원 관계자는 “통상적으로 기재된 수준의 보안 관리 대책 의무를 다했는데도 해킹이 발생했다면 책임을 묻기 어려울 것”이라며 “원인이 파악되어야 의논할 수 있을 것”이라고 밝혔다.
개인정보 유출 가능성도 남아 있다. 랜섬웨어 그룹이 시스템을 악성코드로 감염시키고 내부 데이터를 암호화한 만큼, 시스템 내부에 개인정보가 있었다면 이를 유출했을 수 있다. 개인정보 유출이 있었다면 개인정보보호법 위반에 따라 과징금이나 시정명령 등 조치를 받을 수 있다.
서울보증은 이번 사태를 계기로 시스템 보안을 강화해 나가겠다는 입장이다. 서울보증 관계자는 “ISMS 등 인증뿐 아니라 전반적으로 보안 체계를 다시 점검하고 강화하겠다”고 말했다.
