[MBA Special] "설마가 농협 잡았다"

정진홍 서울과학종합대학원 산업보안 MBA 대학원장

[아시아경제 박현준 기자] 농협 전산망 파괴공작의 주범이 밝혀졌다. 수사당국은 북한의 정찰총국을 배후로 지목했다. 하지만 농협에 대한 사이버 테러는 상당부분 예견된 일이었다. 식량난에 봉착한 북한이 경색된 남북관계를 풀어보자는 신호를 계속 보내왔지만 뜻을 이루지 못했기 때문이다. 북한의 다음 행보는 예측한 대로다. 남한내 반정부 여론을 조성할 '계기'를 만드는 것이다. 이런 흐름에서 농협 전산망 파괴라는 목표를 세웠다는 것이 수사 검찰의 의견이다. 남한내 농민, 노동자를 활용한다는 대남 전술을 갖고 있는 북한의 시각에서 농협은 이름부터 '농민'을 걸어놓고 있어 딱 좋은 전술적 먹잇감이란 이야기다.

그렇다고 당사자인 농협의 책임이 면제되는 것은 아니다. 일차적인 책임은 북한에 있지만, 산업보안 측면에서 보면 농협 역시 '주의 의무'를 다하지 못한 책임에서 벗어날 수 없는 것이다. 이번 사건에서 농협이 잘못한 것은 무엇인지 따져보기로 하자.

첫째, 농협은 시중은행과 저축은행, 수협중앙회도 두고 있는 '최고정보안전책임자'(CISO, Chief Information and Security Officer)를 임명하지 않았다. CISO는 방대한 'Information'(첩보)을 수집해 'Intelligence'(정보)로 가공한 다음 경영진에게 예상되는 리스크를 보고하고 대응하는 임무를 담당한다. 세계 곳곳에서 들어오는 보안위협 요인을 총괄적으로 파악해 분석하고 이를 지휘, 통제하는 자리다. 그러나 농협을 비롯한 대부분의 기업은 CISO를 일종의 실무직으로 이해하고 있다. 그것도 실무부서 중견 간부가 다른 업무를 담당하면서 형식적으로 병행토록하는 게 태반이다. 그러나 산업보안은 실무부서 중간 간부가 맡을 업무가 아니다. 농협 전산망 파괴에서 보듯 우리 기업들은 보안 영역에서 '북한 리스크'를 안고 있다. 시장경제의 핵심 인프라를 맡고 있는 금융 및 제조 업체들은 북한의 원 포인트 공격 목표물이 될 위험을 항상 안고 있다. 최소한 상무급 이상의 임원진이 맡아서 보안과 관련한 모든 일을 언제든 CEO에게 직접 보고할 수 있는 라인을 갖춰야 한다고 본다.

둘째로, 각 부서에서 지켜야 할 중요한 업무 내용은 서로 간에도 모르게 방어벽을 쳐야 하는 데, 농협은 시스템팀 직원 3명을 비롯해 유지 보수 업체인 IBM 직원 2명과도 최고 접근 권한을 공유했다. 이는 보안을 위해서는 내부와 외부를 철저히 차단한다는 '차단 원칙'을 전혀 지키지 않은 것이다. 북한은 앞서도 7ㆍ7 디도스 공격과 3ㆍ4 디도스 공격 등 중앙기관을 대상으로 사이버 테러를 저질렀지만 그리 성공적이지는 못했다. 내부 서버를 철저히 분리하는 차단 원칙을 지켰기 때문이다. 그래서 북한은 이번에 우회공격 방법을 선택했다. IBM 직원이 사용하는 노트북에 악성코드를 심어놓고 농협서버와 연결됐는지를 7개월간이나 주시한 뒤 암호를 확보하고는 공격에 나선 것이다. 농협서버 자체에 대한 직접 공격은 어렵기 때문에 이와 연결된 외부 협력업체를 통해 들어간 것이다. 만일 농협도 다른 곳처럼 차단 원칙을 지켰다면 이야기는 달라졌을지 모른다.

또 한가지 덧붙이자면, 농협은 만일의 사고를 대비한 백업도 미비했다. 보안상 중요한 내용은 분산해야 하는 게 원칙이다. 그런데도 농협은 서울 양재동의 주센터뿐만 아니라 안성에 있는 백업센터(재해복구센터)를 비롯해 장애대응 서버까지 파괴됐다. 주센터와 분리해 운영해야 하는 기본 원칙도 지키지 않았기 때문이다. 세계 전역에서 데이터 센터를 설치하고 이중 삼중으로 각 지역의 데이터를 백업하는 구글의 사례를 배울 필요가 있다. 이를 통해 구글은 한 국가의 데이터 센터가 불의의 사고로 손상돼도 다른 국가의 데이터 센터로 복구하는 체제를 갖춰놓고 있다.

보안은 최신 보안장비를 구입해놓기만 하면 끝나는 게 아니다. 핵심은 사람에 대한 관리다. 몇 년 전에는 이런 일도 있었다. 양방향 단말기 핵심기술을 보유한 외국인 전문가가 우리나라의 중견 벤처회사에 입사한 뒤 돌연 출국한 일이 있었다. 그 외국인 전문가가 핵심기술 자료를 CD에 담아 나간 사실이 뒤늦게 밝혀졌다. 더구나 그의 실체가 외국 정보요원이란 단서까지 잡혔지만 해당국은 전혀 모르는 일이라고 잡아뗐다. 그 전문가는 출국하면서 원래 기업이 보관하던 자료를 전부 없애버려 결국 그 중견 벤처기업은 도산하고 말았다. 이번 농협사태도 사람에 대한 관리를 소홀히 하지는 않았는지 되새겨 볼 일이다.

◆정진홍 원장=국가정보원 산업기밀보호센터 처장과 국가정보대학원 교수를 지냈다. 산업기밀유출방지법 입법 제정에 핵심 역할을 하고 산업 보안과 관련한 주요 책들을 집필했다. 2009년 홍조근정훈장을 받았다.