금감원, ATM기 보안점검 고작 1번?...윈도우XP 해킹위험 '수수방관'

윈도우 XP에 대한 보안 지원이 지난해 종료되면서 현금인출기 등 자동화기기의 보안문제가 불거지자 현장점검을 공언했던 금융당국이 사실상 팔짱만 끼고 있는 것으로 드러났다.

금융감독원(원장 진웅섭)은 윈도우XP 보안지원이 끝난 지난해 4월 비상대응반을 꾸리고 자동화기기의 보안상황을 상시감시하기로 했지만, 10월에 단 한 번 현장점검을 실시한 게 고작이고 비상대응반도 사실상 해체된 상황이다.

금감원이 당시 비상대응반을 꾸린 것은 CD·ATM 등 자동화기기의 운영체제가 대부분 윈도우XP인 상황에서 보안서비스가 종료돼 해킹 위험이 높아졌기 때문이다.

글로벌 보안업체인 시만텍은 윈도XP가 깔린 은행 ATM에 해커가 USB를 통해 악성코드를 심어놓고 스마트폰으로 돈을 마음대로 인출하는 장면을 시연하며 위험성을 경고하기도 했다.

금융결제원도 윈도우XP 이하 버전의 운영체제가 설치된 자동화기기를 대상으로 기술적·물리적·관리적 취약점에 대한 모의 분석을 진행한 결과, 420개의 점검 항목 중 39개에서 취약점이 발견됐다고 밝힌 바 있다.

윈도우XP 이하 버전이 설치된 자동화기기 비율은 2013년 12월 말 96.4%에서 지난해 10월 74.5%로 낮아졌지만 여전히 자동화기기 4대 중 3대 꼴은 구 버전 운영체제를 사용하고 있다.

금융당국이 비상대응반을 꾸리며 상시점검에 나서기로 한 데 비춰보면 전환율이 크다고는 볼 수 없다. 비율 집계도 지난해 10월 단 한 차례만 이뤄졌을 뿐 이후 6개월이 넘도록 수수방관하고 있는 셈이다.

시중은행에서 보안을 위해 자동화기기를 인터넷과 분리한 폐쇄망으로 운영하고 있는 점이 그나마 해결책으로 이용되고 있을 뿐이다.

이에 대해 금감원 관계자는 “상시점검이라고 해도 인력 등의 문제로 1년에 1~2번에 그칠 수밖에 없는 형편”이라며 “조사를 하기로 한 방침 자체가 금융사에게 개선을 유도하는 방법”이라고 말했다.

이어 “자동화기기 교체 등의 문제로 금융사가 비용 부담을 느낄 수 있어 당장 성과가 나오지 않고 있다”며 “빠른 시일 내에 금융소비자가 안전하게 이용할 수 있도록 점검을 이어갈 것”이라고 덧붙였다.

금감원은 이르면 올해 5~6월 중에 다시 한 번 현장점검을 실시할 방침이다.

한편 시중은행은 자동화기기 운영체제 전환에 드는 비용과 시간이 막대해 2017년까지 모두 전환한다는 계획만 세원둔 상태다. 현재 은행별 전환율은 공개되지 않아 진척 사항을 알기는 어렵다.

한 시중은행 관계자는 “각 사별로 ATM 운영체제 전환 스케줄을 금융당국에 제출한 것으로 안다”며 “향후 3~4년 뒷면 완료될 것”이라고 말했다.

[소비자가만드는신문 = 유성용 기자]