-허술한 보안정책관리, 전문 보안인력 부족으로 사고 대응 및 예방 불가

[디지털데일리 이상일기자] 농협의 전산사고 위험성이 아직도 해결되지 않았다는 주장이 제기됐다.

국회 민주당 김승남 의원(농림축산식품해양수산위원회)은 18일 고려대 정보보호대학원(원장  임종인 교수) 교수들과 공동분석을 한 결과 농협 전산사고의 위험성이 아직도 높다는 결론을 내렸다고 밝혔다.

김 의원은 “농협은 크고작은 전산장애를 연이어 겪어 왔다. 전산장애가 계속되는 원인이 전문보안인력 부족, 보안정책관리의 허술, 비효율적인 보안투자, IT업무 위·수탁 계약의 문제 등이며, 이러한 문제점들이 제도적으로 개선되지 않는 한 또 다른 전산사고가 발생할 위험성이 높다”는 결론을 얻었다고 밝혔다.

김 의원에 따르면 농협의 IT본부 CIO(최고정보관리책임자) 산하에 CISO(최고정보보호책임자)가 소속돼 보안업무를 운영하고 있어, 독립성이 결여돼 IT본부를 감사하고 견제할 수 없는 구조라는 지적이다.

다만 농협 CISO는 정보보호부문에 대해 임원의 전결권을 가지고 있는 만큼 김 의원의 주장대로 CISO 독립성이 결여됐다는 지적은 무리가 있다는 관측도 있다. 다만 전결권을 가지고 있더라도 조직 논리가 결부될 수 있다는 점은 해결해야 할 과제로 지적된다.  

또한 김 의원은 순환보직 인사운영으로 외부업체에 의존할 수밖에 없는 상황이어서 솔루션만 구축하고 이를 활용하는 부문간, 계열사간, 외부기관간 보안분석 및 대응업무가 수행되지 못하고 있다고 밝혔다. 

한편 김 의원은 보안투자는 금융위원회의 보안 투자 가이드라인(IT 예산의 7%)을 지키기 위해 5000억원을 보안분야에 투자하기로 했으나, 이 중 4300억원을 IDC(Internet Data Center) 건축에 활용함으로써 정작 투자가 필요했던 전문인력 양성과 보안프로세스 운영을 위한 비용이 집행되지 못하고 있다고 밝혔다.

물론 농협은 보안투자에 여태까지 982억원을 투자한 것으로 알려졌다. 다른 은행들에 비해 보안투자 금액 자체는 높은 편이다. 하지만 이처럼 시스템에 대한 투자는 이뤄지고 있지만 이를 운영하는 프로세스 부분에서 문제를 보이고 있다는 지적도 나왔다. 

농협은 전산사고 이후 대규모 보안투자를 예고하며 관련 시스템 구축을 진행한 바 있다.

이에 대해 김 의원은 “보안시스템 도입은 충분히 구축했으나 이를 운영하는 프로세스를 지키지 않고 있다”며 “보안시스템의 과다 적용으로 문서에 대한 외부 교류가 차단되고 내부에서도 USB를 사용하지 못해 외려 내부정보가 USB를 통해 외부로 유출되고 있다”고 지적했다.

김 의원은 “실효적인 보안대책이 마련되지 않는다면, 제2, 제3의 3.20 전산대란이 발생할 수 있다. 농협은 대형인프라 구축만이 보안의 해법이 아니라 체계적이며 실효성 있게 제도를 개선하고 동시에 보안전문 인력양성과 IT업무의 위·수탁 계약에 대한 책임성을 명확하게 하는 것이 무엇보다 필요한 시점이다”라고 주장했다.

<이상일 기자>2401@ddaily.co.kr