전산망 마비사태를 겪고 있는 농협이 수백 개의 전산망 비밀번호를 '1' 또는 '0000'처럼 단순 숫자로 설정해두거나, 최대 7년 가까이 똑같은 비밀번호를 유지하는 등 전산 보안을 허술하게 관리해온 것으로 확인됐다.
농협은 특히 작년 11월 금융감독원으로부터 이런 사항이 규정 위반이라는 지적을 받고도 일부 비밀번호에 대해서는 금감원 지적을 묵살해온 것으로 알려졌다.
미래희망연대 김혜성 의원실은 20일 이 같은 내용과 함께 작년 11월12일 금감원이 농협중앙회로 발송한 '검사결과 현지조치사항 통보' 공문을 공개했다.
작년 10월18일부터 11월12일까지 실시한 전산시스템 검사 결과를 담은 이 공문에 따르면, 농협은 인터넷뱅킹 등과 관련한 시스템 계정 15개의 비밀번호를 최장 6년9개월간 바꾸지 않은 것으로 나타났다.
농협은 ‘전자금융감독규정시행세칙’과 자체 ‘전산업무처리지침’ 등에 따라 3개월마다 한 번씩 비밀번호를 바꿔야 하지만, 농협은 이를 제대로 이행하지 않은 것이다.
신용사업과 경영정보가 담긴 주요 서버와 데이터베이스(DB) 관련 비밀번호도 허술하게 관리된 것으로 나타났다. 금감원은 농협 내 21개의 주요 서버시스템 내 77개 계정과 22개의 DB 서버시스템 내 145개 계정, DB접근통제시스템 내 464개 계정의 비밀번호에 문제가 있다고 판단, 시정을 요구했다.
금감원이 시정을 요구한 문제의 비밀번호들은 ▲‘1’, ‘0000’ 등 지극히 단순한 숫자로 구성되거나 ▲계정 명칭과 비밀번호가 똑같이 설정된 경우, ▲소프트웨어 설치 시 기본 비밀번호가 그대로 방치된 경우 등이다.
이 역시 ▲숫자와 문자를 섞어 8자리 이상으로 만들도록 하고, ▲간단한 문자나 숫자의 반복을 금지하는 현행 규정을 위반한 것들이다.
특히 서버·DB 관련 비밀번호 686개에 대한 지적 사항의 경우, 이번 사고가 터질 때까지 농협의 전산 담당 부서에 전달되지도 않은 것으로 나타나, 이번 사고의 주요 원인이 됐을 가능성도 제기된다.
김혜성 의원실은 “농협은 대표이사에게 전달된 이 문건을 무려 5개월 이상 내부에서 묵혀두다 사건이 터지고 난 지난 4월 16일에야 담당 부서인 ‘IT본부분사 기획부’와 ‘시스템부’에 공문을 전달한 것으로 확인됐다”고 말했다.
이에 따라 전문가들은 농협 전산시스템을 단시간에 무력화시킨 전산 대란의 주요 원인 중 하나가 바로 이런 허술한 비밀번호 관리였을 가능성이 있는 것으로 보고 있다.
금감원 관계자는 “제3자가 전산시스템에 접근하려면 비밀번호를 알아야 하는데 비밀번호의 불철저한 관리가 사고의 원인으로 작용했을 가능성이 있다”고 말했다.