[하비엔뉴스 = 홍세기 기자] 국내 최대 종합보증보험사인 SGI서울보증이 랜섬웨어 공격을 받아 전산시스템이 마비되면서 금융권 보안의 심각한 취약점이 드러났다. 

 

특히, 해킹 그룹 '건라'가 13.2TB 규모의 내부 데이터를 탈취했다고 주장하는 가운데, 이 사태는 단순한 기술적 장애를 넘어 국가적 차원의 보안 위기로 확산되고 있다.

 

  SGI서울보증 [사진=연합뉴스]

 

6일 보안업계에 따르면, 지난달 14일 새벽 SGI서울보증이 랜섬웨어 공격을 받아 전 시스템이 마비됐다. SGI서울보증은 전세보증, 주택담보대출 보증, 휴대폰 할부 개통 보증 등 국민 생활과 밀접한 금융 서비스를 제공하는 기관이었기에 국민들의 생활에 직접적인 영향에 줬다.

공격 초기 3일간 모든 핵심 업무가 중단되면서 은행들은 'SGI서울보증의 보증서 없이는 대출이 불가능하다'는 금융 현실에 직면했다. 

 

이에 따라 일부 금융기관은 전례 없는 '선 대출 후 보증' 방식을 도입해 약 600억원 규모의 전세대출을 긴급 처리하는 초유의 사태가 벌어졌다.

이후 17일 금융보안원의 복호화 키 추출 성공으로 시스템이 복구되면서 서비스가 재개됐지만 이는 시작에 불과했다. 

 

랜섬웨어 공격에서 데이터 복호화에 성공한 사례는 극히 드물며, SGI서울보증이 해커에게 '몸값'을 지불하지 않고 복구에 성공한 것은 불행 중 다행이었다.

보안 전문가들의 조사 결과, 이번 공격의 배후는 올해 4월 등장한 신종 랜섬웨어 조직 '건라'(Gunra)로 확인됐다. 건라는 러시아 기반 해킹 그룹 '위저드 스파이더'가 개발한 랜섬웨어 '콘티'의 소스코드를 기반으로 발전시킨 조직으로, 제조·헬스케어·IT·소비자 서비스 등 고가치 산업을 표적으로 삼는다.

공격 경로는 SSL-VPN 장비의 SSH 서비스 포트를 통한 침입이었다. 해커들은 무차별 대입(Brute Force) 공격을 통해 SGI서울보증의 내부망에 침투했는데, 이 과정에서 SGI서울보증의 기본적인 보안 장치가 미비했던 것으로 드러났다.

구체적으로는 로그인 시도 횟수 제한, 속도 제한, 다중 인증 등의 기본적인 보안 조치가 충분히 마련되지 않았으며, 접속 가능한 IP 제한도 소홀했던 것으로 분석됐다. 더욱 심각한 것은 해커들이 6월 중순부터 시스템에 잠입해 한 달여 동안 내부 구조를 파악한 후 7월 14일 본격적인 공격을 감행했다는 점이다.

건라 랜섬웨어는 ChaCha20 대칭키 알고리즘으로 데이터를 암호화하고 대칭키는 다시 RSA-2048 공개키로 암호화하는 하이브리드 방식을 사용한다. 또 시스템 복원 기능을 무력화하기 위해 VSS(볼륨 섀도우 복사본)를 삭제하고, 암호화된 파일에는 '.CRYPT' 또는 '.ENCRT' 확장자를 붙인다.

◆ 13.2TB 데 이터 탈취 주장과 논란
 

지난 5일 아랍에미리트(UAE) 소재 보안업체 핵마낙(Hackmanac)이 '건라'가 SGI서울보증으로부터 13.2TB에 달하는 오라클 데이터베이스를 탈취했다고 다크웹에 공개했다고 전했다. 

이는 A4 용지 약 30억 장 분량으로 400km 높이의 종이탑을 쌓을 수 있는 방대한 규모로 해당 주장이 사실이라면 휴대전화를 할부로 개통할 때도 SGI서울보증이 이용되기 때문에 사실상 전 국민 정보에 해당할 수 있다고 전문가들은 경고한다.

그러나 건라의 다크웹에는 다른 피해 기업들의 경우 유출된 데이터가 함께 게시되는데 비해, SGI서울보증의 경우만 유독 데이터가 업로드되지 않아 실제 유출 여부를 확인할 수 없는 상황이다.

 

건라 측은 "방대한 데이터를 보유하고 있지만 이를 분석할 인력이 충분하지 않다"며 데이터 공개를 미루고 있다.

SGI서울보증은 이러한 주장을 강력히 부인했다.

 

회사 측은 "시스템 장애 발생 초기부터 관계 보안기관과 함께 조사했으나 현재까지 고객정보를 포함한 대용량 내부정보가 실제로 유출된 정황은 확인되지 않았다"고 밝혔다. 

 

또한 해커 조직으로부터 어떠한 금전적 대가 요구나 협박성 연락도 받지 않았다고 강조했다.

◆ 보안 체계의 심각한 허점
 

이번 사태를 통해 SGI서울보증의 보안 관리 실태가 적나라하게 드러났다. 가장 충격적인 것은 SGI서울보증이 정보보호 및 개인정보 보호 관리체계 인증(ISMS, ISMS-P)을 받지 않았다는 점이다. ISMS는 법적 의무사항은 아니지만 보안에 민감한 기업들에게는 사실상 필수 인증으로 여겨진다.

보안 전문가들은 SGI서울보증의 보안 체계를 "기본적인 보안 원칙을 위반한 수준"이라고 혹평했다. 

 

특히 망분리 체계가 오히려 위험을 증대시킬 수 있다는 문제점도 제기됐다. 외부 접속을 위한 VPN 장비가 제대로 보안 설정이 되지 않은 상황에서는 망분리가 의미를 잃기 때문이다.

전산장애 복구 목표 시간도 문제였다. 전자금융감독규정에 따르면 보험사 핵심 업무의 복구 목표 시간은 24시간 이내로 규정되어 있으나, SGI서울보증은 이를 크게 초과해 3일이나 걸렸다. 이는 향후 금융감독원의 제재 사유가 될 가능성이 높다.

◆ 금융당국의 대응과 후속 조치
 

금융당국은 이번 사태를 계기로 전방위적인 대응에 나섰다. 금융위원회는 지난달 30일 '금융권·공공기관 침해사고 대비태세 점검회의'를 개최하고 강력한 제도 개선 방안을 발표했다.

주요 조치사항은 다음과 같다. ▲ 징벌적 과징금 도입: 보안 체계 미흡으로 중대한 보안 사고 발생 시 징벌적 과징금을 부과한다 ▲ CISO 권한 강화: 정보보호최고책임자가 주도적으로 보안 강화를 할 수 있도록 권한을 확대한다 ▲ 통합관제시스템 구축: 금융권 침해 위협정보를 체계적으로 관리·전파하는 시스템을 조속히 구축한다 ▲ 전면적인 보안 점검: 8월까지 자체 점검을 실시하고, 9월부터는 금융감독원이 직접 현장 점검에 나선다 등이다.

 

금감원과 금융보안원이 합동으로 전 금융권을 대상으로 블라인드 모의 해킹도 실시할 예정이다.

이번 사태는 단순한 개별 기업의 보안 사고를 넘어 한국 금융 시스템의 구조적 문제를 드러냈다.

 

특히 전세대출, 주택담보대출, 휴대폰 할부 개통 등 서민 생활과 직결된 서비스가 중단되면서 디지털 금융 의존도가 높아진 현실에서 사이버 보안의 중요성이 재조명됐다. 

개인정보보호위원회는 개인정보 유출 정황이 확인되면 72시간 내 신고를 받게 되어 있지만, 아직 SGI서울보증으로부터 신고가 접수되지 않았다고 밝혔다. 

 

하지만 랜섬웨어 조직이 '이중 갈취' 수법을 사용해 시스템 복구 후에도 탈취한 데이터를 다크웹에 공개한다고 협박하는 것이 통상적 수법이라는 점에서 개인정보 유출 우려는 여전히 남아있다.

 

[ⓒ HBN뉴스. 무단전재-재배포 금지]