[한국정경신문=조승예 기자] 한국씨티은행이 정보통신망을 해킹에 무방비하게 노출된 상태로 운영해온 사실이 드러났다. 특히 재택근무하는 직원들의 경우 보안이 이뤄지지 않은 상태에서 내부업무용 시스템을 이용하는 등 보안 불감증이 심각한 수준인 것으로 나타났다.

■ 물리적 망분리 불구 일부 사이트 연결 허용 사실상 불법

17일 금융당국에 따르면 한국씨티은행은 정보처리시스템의 운영·개발·보안 목적으로 직접 접속하는 단말기에 인터넷 사이트 연결을 허용한 사실이 적발됐다. 이는 정보처리시스템과 인터넷망이 연결됨으로써 해킹 위험에 고스란히 노출시킨 행위다. 

전자금융거래법 제21조 제2항 등에 의하면 금융회사는 전산 실내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영·개발·보안 목적으로 직접 접속하는 단말기에 대해 인터넷 등 외부 통신망으로부터 물리적으로 분리해야한다. 이는 정보처리시스템 및 정보통신망을 해킹하는 등 전자적 침해 행위를 방지하기 위해 마련된 법안이다. 

한국씨티은행은 법적 기준에 맞춰 물리적으로 망분리를 도입했지만 일부 인터넷사이트에 대해 연결을 허용해 법을 위반했다.

정보처리시스템을 관리하는 과정에서도 허술한 운영이 드러났다.

한국씨티은행은 정보처리시스템 제조·공급사가 인터넷망을 통해 대용량 저장장치 장비에 원격 접속하도록 허용했다. 일부 정보처리시스템의 경우 시스템운영 상태 및 장애발생 정보를 인터넷망을 통해 각 제조사의 모니터링 센터로 송신했다.

은행 내부 통신망을 이용하는 임직원들에 대한 보안 관리도 제대로 이뤄지지 않았다. 

전자금융거래법은 내부 통신망과 연결된 내부 업무용 시스템은 인터넷 등 외부통신망과 분리 차단하고 접속을 금지하도록 규정하고 있다.

하지만 한국씨티은행은 모든 정부 홈페이지 및 일반 홈페이지, 그룹사에서 사전 정의한 인터넷사이트에 대해 접속을 허용했다. 내부통신망과 연결된 전 부서 임직원 업무용 단말기의 망분리 예외 처리 대상을 정보보호위원회에서 승인한 특정 외부기관으로 제한하지 않은 것이다. 

■ 보안 허술 재택·출장 등 외부 근무자, 내부업무용 시스템 접속 

특히 재택근무 및 출장 등으로 회사 밖에서 근무하는 직원들은 보안이 전혀 이뤄지지 않은 상태에서 업무를 처리했다. 은행 내부통신망을 이용하려면 인터넷 접속이 차단된 상태여야 하지만 인터넷망을 통한 원격접속 시스템을 운용했기 때문이다. 

이로 인해 임직원 수십명은 은행 내부통신망과 연결된 내부업무용 시스템에 수천회에 걸쳐 원격으로 접속해 해킹 위험에 노출시켰다. 

앞서 한국씨티은행은 지난 2017년 국제 현금카드인 ‘씨티 에이플러스(A+) 체크카드가 해킹에 노출돼 해외부정사용 사례가 발생하며 문제가 됐다. 과거 해킹사고 발생 이력이 있는데도 여전히 보안 불감증을 방치해 고객들의 불안을 야기하고 있다. 

한국씨티은행 관계자는 "지금은 아니지만 과거 망분리 불철저로 지적을 받은 것은 맞다"면서 "한국씨티은행은 현재 해킹에 철지히 대비하고 있으며 과거 해킹을 당한 사례도 없다"고 밝혔다.

한편 한국씨티은행은 꺾기, 파생상품 불완전 판매 등 자본시장법, 은행법 등을 위반한 사실이 적발돼 금융감독원으로부터 기관주의 및 과태료 6억1250만원 조치를 받았다. 

한국정경신문 조승예 기자 csysy24@daum.net 조승예 기자의 기사 더보기

저작권자 <지식과 문화가 있는 뉴스> ⓒ한국정경신문 | 상업적 용도로 무단 전제, 재배포를 금지합니다.