한국은행 IT보안 수준이 시중은행보다 취약한 것으로 드러났다.
17일 심재철 의원(기재위)이 최근 5년간 한국은행 정보처리시스템 취약점 평가보고서를 분석한 결과 최근 5년간 보안 점수가 가장 낮아졌다고 지적했다. 단말기 부문에서는 시중은행보다 보안점수가 더 낮은 것으로 나타났다. 심 의원은 보안점수 조작 의혹까지 있었다고 밝혔다.
한국은행은 2011년 시스템 취약점 분석 결과 종합점수가 95점, 2012년에는 96점이었으나 2013년 94.5점, 2014년 93.5점, 올해 90.7점까지 떨어졌다. 단말기 부문에서는 67.9점으로 보통등급을 받았다. 시중은행 단말기 부문 보안 점수는 84점이다.
한국은행이 받은 67.9점은 한국은행 자체 평가기준으로는 보통등급에 해당하지만 국가정보보안 기본지침상 평가기준에 따르면 취약등급에 해당된다. 한국은행은 기본지침보다 보통등급은 10점을 낮추고 취약등급은 20점이나 낮춰 보안점수가 낮아도 취약 및 위험등급을 벗어나도록 기준을 만들었다.
미래창조과학부는 ‘주요정보통신기반시설 취약점 분석〃평가기준’ 고시를 만들어 IT 취약점 분석·평가 시 이 기준에서 정한 체크리스트를 따르도록 했다. 한국은행 금융망시스템도 지난해 주요정보통신기반시설로 지정돼 올해부터는 기준을 충족해야 한다.
심 의원은 한국은행 취약점 진단항목을 비교해본 결과 실제 점수가 67.9점이 아닌 51.5~54.2점이라고 주장했다. 평가과정에서 진단항목이 일치하지 않았으며 이 때문에 실제 점수가 높게 평가된 것이라고 지적했다. 심 의원 주장대로라면 한은은 평가기준상 위험(불량)등급에 해당한다. 심 의원은 한국은행이 평가기준점수를 낮춘 데 이어 보안점수까지 조작했다고 의혹을 제기했다. 심 의원 주장대로 불일치 진단항목을 재평가하면 종합점수는 90.7점이 아닌 86.5~87점으로 우수등급에서 양호(안전)등급으로 한 단계 떨어진다.
심 의원은 한은 IT보안 실태가 취약한 이유로 보안관제를 맡은 용역업체가 IT 취약점 진단·평가 컨설팅 용역을 3년간 독점했기 때문이라고 주장했다. 보안을 집행하는 업체가 스스로 보안수준을 평가했기 때문이다. 업체는 지난해 대외시스템 개인정보보호 실태평가 컨설팅 용역까지 맡은 것으로 나타났다.
한국은행은 보안 인력 현황에 입을 닫았다.
한은 인사팀 관계자는 “내부 인력 현황을 외부에 공개한 적이 없어 IT전담 인력현황을 알려줄 수 없다”며 “IT관련 업무를 전담하고 있는 부서는 전산정보국이지만 해당 부서뿐만 아니라 다른 부서에서도 어느 정도 IT업무를 하고 있어 전문인력 산출은 불가능하다”고 말했다.
심 의원은 “한은 금융결제망이 무너지면 금융 대혼란이 일어나기 때문에 보안사고 예방에 각별한 주의를 기울여야 하지만 보안업체 선정 후 보안평가까지 다 맡겨버리는 안전 불감증에 걸렸다”며 “한국은행이 보안업체 감독기능을 강화할 필요가 있다”고 말했다.
<한국은행의 IT취약점 보안점수 (자료-심재철 의원실)>
길재식기자 osolgil@etnews.com, 박소라기자 srpark@etnews.com
