3.20 전산망 사이버 공격에 대해 3월 29일 안랩 측은 “농협에 납품한 APC서버(자산 및 중앙관리서버)의 계정이 안랩의 관리소홀로 탈취된 흔적이 있으며, 해당 APC서버의 '로그인 인증 관련 취약점'으로 인해 악성코드가 내부망으로 배포될 수 있었다"고 밝히고 “안랩의 관리 소홀 및 제품 기능 상 이슈에 대해서는 책임을 통감한다. 신속히 보완대책을 강구 중이며 또한 이와 관련해 고객사인 농협에 대해 진심으로 사과의 뜻을 전한다”고 발표한 바 있다.
 
이에 농협 측은 "안랩이 밝힌 바와 같이 악성코드는 APC(AhnLab Policy Center)서버를 통해 농협 내부망에 유포됐다. 안랩의 관리자 아이디·패스워드 관리소홀이나 APC서버의 취약점이 없었다면 악성코드는 농협 내부 컴퓨터에 전파되지 않았을 것"이라고 밝혔다.
 
즉 농협은 안랩 APC서버의 취약점을 전산망 마비 사태의 결정적 원인으로 지목하고 있는 것이다. 하지만 과연 그럴까. 농협은 안랩의 사과문 덕분에 자신들의 잘못을 면피하려 한다는 의견이 있다.
 
이번 사태의 핵심은 농협 사내 PC가 관리 소홀로 인해 해킹을 당한 후 전산망을 파괴할 수 있는 악성코드가 유입됐다는 그 사실이다. 농협 직원PC에 침투한 원격 조정이 가능한 악성코드는 내부망에 악성코드를 원활하게 확산시키기 위한 방편으로 안랩 APC의 버그를 이용했을 뿐이라는 것.
 
안랩은 왜 모든 십자가를 자신들이 지겠다는 식으로 발표했을까. 안랩 측 관계자는 “우선 APC 버그가 악성코드 확산에 이용된 것이 사실이기 때문에 할 말이 없다”며 “농협도 중요한 고객사인 만큼 확인된 사실을 먼저 공개하고 사과하는 것이 맞다고 생각해 보도자료를 배포하게 됐다”고만 밝히고 말을 아꼈다. 
 
안랩은 ‘갑’사인 농협의 ‘을’로서, 눈치를 볼 수밖에 없는 입장이다. 앞으로도 계속 금융기관을 대상으로 사업을 해야 하기 때문이다. 금융기관은 보안업체들에게 있어 중요한 돈줄이다. 안랩은 국내에서 가장 규모가 큰 보안업체임에도 불구하고 농협 사태에 대해 하고 싶은 말들을 못하고 있는 눈치다. 안랩 금융기관 영업부에서 공격적인 대응을 피해달라는 주문도 있었던 것으로 보인다.  
 
그렇다면 이번 사태의 근본 책임은 누구에게 있을까. 익명을 요구한 한 보안전문가는 “3.20 농협 전산망 마비의 가장 큰 책임은 당연히 농협에 있다. 농협 직원 PC가 관리 소홀로 인해 해킹을 당해 문제의 악성코드가 내부로 유입된 것이 가장 큰 문제”라며 “APC 버그를 이용한 것은 이미 들어온 악성코드의 확산 도구로 이용된 것일 뿐 문제의 핵심은 농협 직원 PC가 해킹으로 인해 악성코드에 감염되는 것을 사전에 탐지하고 막지못한 농협 측에 있다”고 밝혔다.
 
그는 또 “이미 내부로 들어와 원격조정과 권한획득이 가능한 상황에서 해커는 못할 것이 없다. 도화선에 불이 붙도록 한 것은 당연히 농협 책임이지 마치 모든 책임이 보안업체에 있는 것처럼 책임을 전가해서는 근본 대책이 나올 수 없다”고 강조했다.
 
또 다른 전문가는 “농협은 이미 2011년 악성코드에 의해 대형 사고를 당한 바 있다. 이번에 또 악성코드 공격에 대한 대응을 못했다는 것은 지난번 사고 이후 악성코드 유입에 대한 근본적인 대책을 마련하지 못한 것”이라며 “농협이 또 다시 사고를 당하지 않기 위해서는 안랩의 APC 때문에 모든 사태가 발생했다고 책임전가만 할 것이 아니라 악성코드 공격에 대한 근본적인 대책을 마련하지 못한 것에 대한 책임을 통감하고 인정하는데서 부터 시작해야 한다”고 강조했다.
 
또 다른 전문가는 “농협은 지난 2011년 IBM직원 노트북에 의한 악성코드 유입으로 인해 큰 사고를 당한바 있다. 당시에는 악성코드 유입의 원인제공자로 IBM 직원이 지목됐지만 이번 건은 먼저 농협 내부 직원의 PC가 해킹을 당해 악성코드가 유입된 것”이라며 “2011년 악성코드에 의한 대형 사고를 당하고도 여전히 악성코드 공격에 대한 대책을 마련하지 못했다는 것은 큰 문제”라고 지적했다.
 
더불어 “농협 PC에 대한 권한장악을 한 해커는 안랩 APC가 없었더라도 또 다른 방법으로 악성코드 확산을 성공시켰을 것”이라며 “농협 측은 문제의 핵심이 자신들 내부에 있다는 것을 인정하고 이 부분에 대한 집중적인 보안 대책을 마련해야 한다”고 덧붙였다.
 
한 보안업체 관계자는 “보안사고가 발생했다고 해서 모든 책임을 보안업체가 져야 한다는 것은 향후 보안산업에도 악영향을 미칠 것으로 보인다”며 “안랩이 APC에 대한 관리소홀 부분은 책임을 져야겠지만 이번 사건 전체에 대한 책임이 안랩에 있다고 몰고 가고 있는 농협에 휘둘린다면 앞으로 사고가 터질 때마다 보안업체들은 파리목숨이 될 수밖에 없다. 정확하게 대응해 주길 바란다”고 말했다.
 
또 모 금융보안 관계자는 “지난 2011년 농협은 사고 이후 5000억원을 투입해 보안시스템을 정비하고 IT보안인력을 1000여 명으로 늘리는 등 보안강화 대책을 발표한 바 있다. 현재에도 농협은 IT예산의 10%를 보안예산으로 사용하고 있다”며 “하지만 이런 투자에도 불구하고 이번에도 악성코드 하나에 무너진 것이다. 과연 그 많은 돈과 인력을 효과적으로 사용했는지 의문이 든다. 악성코드에 의해 사고가 났음에도 불구하고 그에 대한 대책을 마련하지 않았다는 것이 이해가 되질 않는다”고 꼬집었다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com