[뉴스핌=노희준 기자] NH농협의 전산사고에 대한 실효적인 보안대책이 마련되지 않는다면, 제2의 3.20 전산대란이 발생할 수 있다는 지적이 나왔다.
국회 민주당 김승남 의원(농림축산식품해양수산위원회)은 18일 보도자료를 통해 지난달 한달 동안 고려대 정보보호대학원의 교수들과 공동분석을 한 결과, 농협 전산사고의 위험성이 아직도 높다는 결론을 내렸다며 이같이 밝혔다.
김 의원은 분석한 결과를 바탕으로 농협의 전산장애가 계속되는 원인으로 전문보안인력 부족, 보안정책관리의 허술, 비효율적인 보안투자, IT업무 위·수탁 계약의 문제 등을 꼽았다.
그는 보안인력면에서 "IT본부 CIO(최고정보관리책임자) 산하에 CISO(최고정보보호책임자)가 소속, 독립성이 결여돼 IT본부를 감사하고 견제할 수 없는 구조"라며 "순환보직 인사운영으로 솔루션만 구축하고 이를 활용하는 부문간, 계열사간, 외부기관간 보안분석 및 대응업무가 수행되지 못하고 있다"고 지적했다.
보안정책관리에 대해서는 "보안시스템 도입은 충분히 구축했으나 이를 운영하는 프로세스를 지키지 않고 있다"며 "보안시스템의 과다 적용으로 문서에 대한 외부 교류가 차단되고 내부에서도 USB를 사용하지 못해 외려 내부정보가 USB를 통해 외부로 유출되고 있다"고 말했다.
보안투자를 두고는 "금융위원회의 보안 투자 가이드라인(IT 예산의 7%)을 지키기 위해 5000억원을 보안분야에 투자키로 했으나, 이 중 4300억원을 IDC(Internet Data Center) 건축에 활용했다"며 "정작 투자가 필요했던 전문인력 양성과 보안프로세스 운영을 위한 비용이 집행되지 못하고 있다"고 분석했다.
그는 "농협IT본부 분사 및 농협정보시스템 간의 IT업무 위·수탁 계약을 보면, 보안교육 이수율과 백신 등 보안시스템 설치 여부만 점검하고 있다"며 "3.20 공격을 막을 수 있는 보안분석체계 운영이나 신종 공격을 탐지하는 분야는 계약 대상에 포함돼 있지 않다"고 질타했다.
김 의원은 "농협은 대형인프라 구축만이 보안의 해법이 아니라 체계적이며 실효성 있게 제도를 개선해야 한다"며 "보안전문 인력양성과 IT업무의 위·수탁 계약에 대한 책임성을 명확하게 하는 것이 무엇보다 필요하다"고 강조했다.
[뉴스핌 Newspim] 노희준 기자 (gurazip@newspim.com)