3·20 사이버 공격으로 전산망 장애를 겪은 농협이 보안 솔루션 공급업체인 안랩을 상대로 손해배상을 요구하기로 했다. 보안 솔루션을 사용한 고객사가 납품사를 대상으로 유무형 피해에 보상을 요구하는 건 이례적이다. 법조계에서는 사이버 공격이 날로 증가하는 상황에서 양사 간 협의 결과가 향후 보안 시장에도 중요한 의미를 가질 것이라고 내다봤다.
11일 업계에 따르면 농협 경영진은 안티 바이러스 백신 공급업체인 안랩을 상대로 피해보상을 요구한다는 방침을 정했다. 농협은 현재 내부적으로 사고 발생에 따른 피해액을 산정하고 있으며, 피해액이 집계되는 대로 협상에 들어갈 예정이다.
농협 고위관계자는 “내부적으로 3·20 해킹이 발생된 시점에 로그분석을 마친 결과를 안랩 측에 보냈다”며 “자체 조사 결과 이번 해킹의 책임소재에 대한 결론을 내리고 물질적 피해보상은 물론이고 이미지 추락으로 발생한 손해배상 책임을 지우는 방안도 검토하고 있다”고 말했다.
이 관계자는 “농협이 원하는 수준의 합의안이 마련되면 협상을 거쳐 원만하게 마무리되겠지만 피해금액 전액을 배상하라는 게 농협의 주장”이라고 덧붙였다.
농협은 사고 당일 본사와 영업점 PC 파일이 삭제되거나 PC 가동이 되지 않는 현상을 겪었다. 고객들의 인터넷뱅킹은 문제가 없었지만, 창구거래 및 CD ATM 거래가 중단됐다. 이에 대해 안랩 측은 “농협 측으로부터 아직 피해보상에 대한 어떠한 통보도 받은 게 없다”면서 조심스러운 모습이다.
앞서 안랩은 사건 발생 10일 만인 지난달 29일 부분적 과실은 인정했다. 결과적으로 공격자가 농협 내부 PC를 악성코드로 감염시킨 후 농협 내부망에 있는 APC(AhnLab Policy Center) 서버 취약점을 이용해 악성코드가 배포됐기 때문이다. 일부 APC 버전에 아이디·패스워드 인증 없이도 파일 업로드가 되는 버그가 있었으며, 공격자가 이 구멍(hole)을 통해 침투했다.
보안 업계 관계자는 “이번 3·20 사이버 공격의 가장 큰 특징은 대부분이 신뢰하는 보안 솔루션이 공격대상이라는 점”이라며 “보안회사 제품 해킹을 시도하고, 침해를 일으킨 게 눈에 띈다”고 강조했다.
법조계 및 업계 전문가들은 피해를 당한 방송사와 신한은행 등의 움직임도 주목하면서 두 회사 간 협의 결과에 큰 관심을 보이고 있다. 개인정보를 유출당한 가입자들이 포털 등을 상대로 소송을 진행하는 것은 많았지만, 솔루션이 해킹 공격의 채널로 활용되고 고객이 이에 대한 책임을 보안업체에 묻는 건 이번이 처음이기 때문이다.
한 변호사는 “일반 기업에 요구되는 기술조치 보호의무 수준보다 보안업체는 보다 높게 봐야 한다”며 이번 3·20 사건의 후폭풍이 확대될 것으로 내다봤다.
김원석·길재식 기자stone201@etnews.com
