한국은행 보안시스템이 시중은행보다 취약하다는 주장이 제기됐다. 특히 단말기 부문에서는 한은금융결제망과 연결된 시중은행보다도 보안점수가 더 낮다는 지적이다.
기획재정위원회 소속 심재철 국회의원(안양 동안을)은 “한국은행의 최근 5년간 ‘정보처리시스템 취약점 분석평가 결과보고서’를 제출받아 분석한 결과, 보안점수를 조작한 의혹도 발견됐다”고 주장했다.
2011년에 시스템 취약점 분석결과 종합점수가 95점, 2012년에는 96점이던 것이 2013년에는 94.5점, 2014년에 93.5점, 그리고 올해에는 90.7점까지 떨어져 우수등급에 겨우 턱걸이를 했다. 이 가운데 단말기 부문에서는 67.9점으로 보통등급을 받았는데, 한은 금융결제망과 연결된 시중금융권의 단말기도 함께 분석해본 결과는 84점으로 나와 한국은행의 보안수준이 시중은행에 비해 현저히 떨어지는 것으로 나타났다는 것.
한국은행이 평가받은 67.9점은 한국은행 자체의 평가기준으로는 보통등급에 해당하지만, 국가정보보안 기본지침상 평가기준에 따르면 취약등급에 해당된다. 한국은행은 기본지침보다 보통등급은 10점을 낮추고 취약등급은 20점이나 낮춰서 보안점수가 낮아도 취약 및 위험등급을 벗어나도록 기준을 만들었다.
이와 관련 미래창조과학부에서는 2013년 8월에 ‘주요정보통신기반시설 취약점 분석?평가 기준’ 고시를 만들어 IT취약점 분석·평가시에는 이 기준에서 정한 체크리스트를 따르도록 했다. 한국은행의 금융망시스템도 2014년에 주요정보통신기반시설로 지정돼 올해부터는 위 기준을 따른다고 밝힌 바 있다.
심 의원이 위 기준에 따른 체크리스트와 한국은행의 취약점 진단항목을 비교해본 결과, 67.9점이 아니라 51.5~54.2점(체크리스트와 한국은행의 진단항목이 불일치하는 것이 5건이 있어 이를 상, 중, 하 점수 모두를 대입하여 최저점과 최고점을 산출)이 나오는 것으로 계산되었다. ‘국가정보보안 기본지침’에 따른 평가기준상 위험(불량)등급에 해당한다. 한국은행측에서 평가기준점수를 낮춘 데 이어 보안점수까지 조작했다는 의혹이 있는 것이다.
이 경우 종합점수는 90.7점이 아닌 86.5~87점이 되어 우수등급에서 양호(안전)등급으로 한 단계 떨어진다는 설명이다.
심 의원은 “한국은행은 우리나라 은행의 중심으로서 한은의 금융결제망이 무너지면 금융 대혼란이 일어나기 때문에 보안사고 예방에 각별한 주의를 기울어야 하는데도 한국은행이 보안업체를 선정한 후 보안평가까지 다 맡겨버렸다는 것은 보안사고에 대한 경각심이 없다는 것을 의미한다”며 “한국은행이 보안업체에 대한 감독기능을 강화할 필요가 있다”고 강조했다.
박종준 기자 junpark@
기획재정위원회 소속 심재철 국회의원(안양 동안을)은 “한국은행의 최근 5년간 ‘정보처리시스템 취약점 분석평가 결과보고서’를 제출받아 분석한 결과, 보안점수를 조작한 의혹도 발견됐다”고 주장했다.
2011년에 시스템 취약점 분석결과 종합점수가 95점, 2012년에는 96점이던 것이 2013년에는 94.5점, 2014년에 93.5점, 그리고 올해에는 90.7점까지 떨어져 우수등급에 겨우 턱걸이를 했다. 이 가운데 단말기 부문에서는 67.9점으로 보통등급을 받았는데, 한은 금융결제망과 연결된 시중금융권의 단말기도 함께 분석해본 결과는 84점으로 나와 한국은행의 보안수준이 시중은행에 비해 현저히 떨어지는 것으로 나타났다는 것.
한국은행이 평가받은 67.9점은 한국은행 자체의 평가기준으로는 보통등급에 해당하지만, 국가정보보안 기본지침상 평가기준에 따르면 취약등급에 해당된다. 한국은행은 기본지침보다 보통등급은 10점을 낮추고 취약등급은 20점이나 낮춰서 보안점수가 낮아도 취약 및 위험등급을 벗어나도록 기준을 만들었다.
이와 관련 미래창조과학부에서는 2013년 8월에 ‘주요정보통신기반시설 취약점 분석?평가 기준’ 고시를 만들어 IT취약점 분석·평가시에는 이 기준에서 정한 체크리스트를 따르도록 했다. 한국은행의 금융망시스템도 2014년에 주요정보통신기반시설로 지정돼 올해부터는 위 기준을 따른다고 밝힌 바 있다.
심 의원이 위 기준에 따른 체크리스트와 한국은행의 취약점 진단항목을 비교해본 결과, 67.9점이 아니라 51.5~54.2점(체크리스트와 한국은행의 진단항목이 불일치하는 것이 5건이 있어 이를 상, 중, 하 점수 모두를 대입하여 최저점과 최고점을 산출)이 나오는 것으로 계산되었다. ‘국가정보보안 기본지침’에 따른 평가기준상 위험(불량)등급에 해당한다. 한국은행측에서 평가기준점수를 낮춘 데 이어 보안점수까지 조작했다는 의혹이 있는 것이다.
이 경우 종합점수는 90.7점이 아닌 86.5~87점이 되어 우수등급에서 양호(안전)등급으로 한 단계 떨어진다는 설명이다.
심 의원은 “한국은행은 우리나라 은행의 중심으로서 한은의 금융결제망이 무너지면 금융 대혼란이 일어나기 때문에 보안사고 예방에 각별한 주의를 기울어야 하는데도 한국은행이 보안업체를 선정한 후 보안평가까지 다 맡겨버렸다는 것은 보안사고에 대한 경각심이 없다는 것을 의미한다”며 “한국은행이 보안업체에 대한 감독기능을 강화할 필요가 있다”고 강조했다.
박종준 기자 junpark@
뉴스웨이 박종준 기자
junpark@newsway.co.kr
<저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지>
댓글