전산대란에 빠진 농협의 허술한 전산시스템 관리 실태가 속속 드러나고 있습니다. 금융감독원은 지난해 10월 감사에서 농협이 일부 비밀번호를 최고 6년 9개월간 바꾸지 않고 사용한 사실을 적발했습니다. 농협은 1이나 0000 같은 단순 숫자를 비밀번호로 설정하기도 했죠. 은행 고객도 이런 비밀번호를 쓰려고 하면 거부당합니다. 고객이 3000만 명이나 되는 공룡 금융사의 `보안 구멍`이 놀랍기만 합니다.
농협 사태는 외부 전문가의 치밀하고 조직적인 해킹일 가능성이 높다고 합니다. 전산실과 협력업체 직원들의 보안의식이 약해 해커의 침입이 더 수월했을 것입니다. 핵심적인 노트북이 수차례 외부로 반출돼 해킹 도구로 사용될 여지를 남겼죠. 해킹사고가 터지니까 해커에 돈을 주고 슬그머니 넘어간 적도 있습니다.
농협만이 아닙니다. 금감원은 국내 금융회사들이 IT 예산의 5% 이상을 보안에 배정하도록 권고하고 있는데 실적은 3.4%에 불과합니다. 그나마 장비 구입에 주로 씁니다. 대부분 보안 전문 인력이 부족해 외부에 싼 값에 용역을 맡깁니다. 보안 투자를 비용으로만 생각하기 십상이죠. 은행과 증권사 중 두 곳을 제외하면 언제 사고가 터져도 할 말이 없는 실정이라고 합니다. 주센터와 백업센터에 데이터가 모두 보관돼 있어 이들 두 군데가 재해나 테러를 당하면 은행의 전체 전산망이 마비될 수 있습니다.
일반 기업도 심각합니다. 한국인터넷진흥원이 지난해 말 직원 수가 5명 이상인 6500여 개 기업을 조사한 결과 63%가 방화벽 구축과 유지보수 등 정보보호 투자 예산이 한 푼도 없었다고 합니다. 재해나 해킹에 대비한 비상복구계획이 없는 기업이 83%나 됐습니다. 대기업과 중견기업의 경우도 이 비율이 28%, 40%로 결코 낮지 않습니다. 3분의 1 가량은 전산 보안 및 비상대책이 부실하다는 것이죠.
9월 30일부터 개인정보보호법이 시행돼 민간과 공공기관이 개인정보 유출을 막을 의무가 무거워집니다. 지금부터라도 전산대란 재발 방지 투자를 강화해야 할 것입니다. 동아논평이었습니다.