"보안직원 단 4명, 비밀번호는 0000".. SGI서울보증 내부통제 도마

 

반응형

 

백업 관리가 미흡했고 보안 담당 직원이 4명에 불과했으며, 가장 흔한 방식으로 비밀번호를 설정하는 등 총체적 부실이 드러났다.
​
2일 뉴시스 취재를 종합하면 SGI서울보증에서 발생한 랜섬웨어 침해사고는 금융회사가 지켜야 할 기본적인 내부통제조차 제대로 작동하지 않았음을 보여준다.
​
랜섬웨어는 컴퓨터나 서버에 바이러스를 침투시켜 내부 파일을 감염시킨 뒤 암호화하는 프로그램이다. 해커는 감염된 파일을 정상 상태로 되돌려주는 조건으로 금전적 대가를 요구한다.
​
통상 해커들은 랜섬웨어를 불특정 다수에 퍼트리고 가상사설망(VPN)의 취약점을 집중 타깃하는 방식으로 침투한다. 제품 자체에 결함이 있거나, 오래돼 버려진 장비를 타고 들어오는 경우가 많다.
​
지난 7월 SGI서울보증의 악성코드도 약 한 달간 잠복해 있다가 VPN의 보안 취약점을 발견하고 들어왔다.
​
당시 해커들은 SGI서울보증의 재해복구(DR)센터, 일별·월별 백업을 차례로 암호화해 마비시키고, 데이터를 완전히 복구할 수 없도록 최후의 보루에 속하는 '소산백업'마저 삭제했다.
​
수시로 또는 주기적으로 백업하는 DR센터와 일별·월별 백업은 전자감독규정에 따라 전산망에 연결하게 돼 있다.
​
이와 달리 소산백업은 랜섬웨어 등 악성코드가 외부에서 침투하더라도 보안이 유지되게 하기 위해 별도 네트워크나 저장소에 물리적으로 분리하도록 돼 있다.
​
그러나 SGI서울보증은 소산백업을 편의상의 이유로 전산망과 연결해 놓았고, 결과적으로 랜섬웨어가 가장 중요한 백업 시스템을 공격할 수 있는 상황을 초래했다.
​
금융당국이 현장점검에 돌입했을 때 SGI서울보증에 남아있는 백업은 전체 중 20%에 불과했다. 금융보안원 직원이 가까스로 암호화를 해제했기 때문에 사흘 만에 정상화할 수 있었던 것이지, 원래대로라면 복구가 어려운 상황이었다.
​
상주해야 하는 보안 관제 직원도 4명에 불과했다. 이들은 평일 낮에만 근무하고, 야간과 주말에는 외주 직원들이 원격으로 관리했다. 이번 랜섬웨어의 공격도 외주 직원이 관리하는 주말(토요일)을 틈타 이뤄졌다. SGI서울보증 직원들은 하루가 지난 일요일 오후에서야 사고를 인지했다.
​
랜섬웨어의 침투 경로로 활용된 VPN 관리도 부실한 것으로 드러났다.
​
SGI서울보증은 VPN 장비 제조사가 기본적으로 설정한 비밀번호 '0000'을 장기간 바꾸지 않고 그대로 사용했고, 이를 쉽게 추측할 수 있었던 해커는 해당 비번을 입력해 내부로 침투했다.
​
또 해커는 두 번째 관문에 해당하는 관리자 계정을 뚫기 위한 시도를 했는데, 이 비밀번호마저도 SGI서울보증 직원들이 단순 문자 조합으로 설정함으로써 쉽게 들어올 수 있었다.
​
권한이 있는 IP만 들어올 수 있도록 방화벽 등을 둬야 함에도 이런 수단이 전무했다. 직원 계정 1곳이 다수의 서버를 관리함으로써 계정 1곳이 뚫리면 서버 32곳이 해킹되는 상황도 초래했다.
​
현재 SGI서울보증 업무는 정상화됐으나, 이번 사고는 자칫 금융시스템 리스크로 번졌을 수 있는 중대 사안으로 평가된다.
​
SGI서울보증에 대한 운영리스크로 은행들이 보증대출 업무를 거부하고, 이에 따라 전세자금 대출 등 서민 금융정책에 차질이 생겼을 수도 있기 때문이다.
​
특히 대출 중단으로 은행의 예금 이탈 등 유동성 위기가 발생하고, SGI서울보증의 주가가 급락하는 등 연쇄적인 영향이 발생했을 수도 있다.
​
실제 이번 랜섬웨어 침투 사태 때 일부 시중은행은 SGI서울보증의 보증대출 업무를 못 믿겠다며 거부한 것으로 알려졌다. 다만, 시스템리스크를 우려한 금융당국이 은행들을 달랬기 때문에 고비는 일단 넘긴 것으로 전해졌다.
​
현재 금융당국은 SGI의 현장검사를 마치고 제재 등 후속 조치에 들어간 상태다.
​
.. 후략 ..

 

(출처: "보안직원 단 4명, 비밀번호는 0000"…SGI서울보증 내부통제 도마)