랜섬웨어 공격으로 전산 시스템이 마비됐던 SGI서울보증이 81시간 20분 만에 주요 전산망을 복구하고 보증서 발급 업무를 재개했다. 하지만 수일간 멈췄던 업무 여파는 국민 금융 생활 곳곳에 적잖은 불편을 초래했고, 무엇보다 개인정보 유출 가능성이 완전히 배제되지 않으면서 불안감은 여전하다.

이번 사태는 금융 공공기관이 갖춰야 할 보안 관리 체계가 얼마나 허술한지, 그리고 위기 대응 능력은 또 얼마나 부실한지를 고스란히 드러냈다는 점에서 더 큰 문제다.

SGI서울보증은 연간 300조 원 이상 규모의 보증을 취급하는 업계 1위 보증기관이다. 그러나 이런 ‘국가 금융 기반시설’에 준하는 기관이 기본적인 정보보호 관리체계(ISMS·ISMS-P) 인증조차 취득하지 않은 상태였다는 점에서 충격은 더 크다. 민간 기업이라면 금융거래가 없더라도 의무적으로 받는 인증을, 수백조 원 규모 보증 업무를 담당하는 금융 공공기관이 받지 않았다는 사실은 단순한 행정적 미비가 아니라, 구조적 보안 방기라고 봐야 한다.

금융당국은 각 금융기관에 대해 “핵심 업무는 사고 발생 후 24시간 내 복구”를 원칙으로 규정하고 있다. 이를 위해 대다수 금융기관은 ‘재해복구망(DR망)’을 별도로 구축해 운영 중이다. 본 서버가 마비돼도 DR망을 통해 업무가 지속되도록 하는 기본적 이중화 구조다.

그러나 이번 SGI서울보증 사태에서는 DR망마저 뚫렸다. 랜섬웨어가 재해복구 시스템까지 동시에 감염시키며 이중화 체계가 사실상 무력화됐다. 이는 단순한 기술적 실패를 넘어, DR망과 본망 간 망 분리가 제대로 이루어지지 않았거나, 백업 자체가 안전하지 않았다는 방증이다.

시스템 장애로 인해 전세자금대출, 휴대폰 할부, 자동차 할부, 보험 계약 관련 업무 등 국민의 일상생활과 직결된 금융 서비스가 전국적으로 멈춰 섰다. 실제로 여러 시중은행 창구에서는 “보증서 발급이 되지 않아 대출 실행이 불가하다”는 안내가 이어졌고, 일부 보험설계사는 수수료 지급이 지연되며 생계에 직접적 영향을 받았다.

이처럼 보증 시스템이 정지된 3일 이상 동안 보증서 발급이 필수적인 금융거래는 모두 중단됐다. 그러나 피해 고객에 대한 사전 공지나 충분한 안내는 없었고, 피해 보상 체계 또한 명확히 고지되지 않아 소비자 불만이 커졌다.

초기 대응과 내부 보고, 외부 공지 역시 도마 위에 올랐다. 랜섬웨어 공격이 발생했음에도 금융보안원에 대한 보고가 지연됐고, 언론과 국민에게 사고 사실이 알려진 것은 그로부터 하루 이상이 지난 뒤였다. 복구 예상 시간이나 피해 범위 역시 제대로 공개되지 않아 국민적 불안만 키운 셈이다. 이는 단순한 위기 대응 실패를 넘어, 금융기관으로서의 최소한의 투명성과 책임감마저 결여됐다는 비판을 피할 수 없다.

금융당국의 감독 책임도 피할 수 없다. 금융감독원은 사고 발생 이후 IT검사국을 투입해 현장 점검에 나섰으며, 보험업법과 전자금융감독규정 위반 여부에 대해 조사 중이다. 규정 위반이 확인될 경우 과징금이나 업무 정지 등 제재가 불가피하다는 입장이다. 하지만 이는 소 잃고 외양간 고치는 식의 사후 대응에 불과하다.S

ISMS 인증 여부, 망 분리 현황, 침해 대응 시나리오 등 핵심 보안 항목에 대한 점검이 제대로 이루어졌다면 이 같은 사고는 미연에 방지할 수 있었을 것이라는 지적이 나온다. 결과적으로 금융당국 역시 이 사태의 공범이라는 비판이 설득력을 얻고 있다.

이번 SGI서울보증의 해킹 사태는 단순한 보안사고나 일시적 장애가 아니라, 금융 공공기관의 보안 체계가 얼마나 취약한지를 드러낸 구조적 참사다. 공공기관이 민간보다 보안 수준이 낮고, 침해 사고 발생 시 대응 체계도 부실하다면, 국민은 금융 생활의 안전을 어디에 맡길 수 있을까.

지금이라도 모든 금융 공공기관의 보안 인증, 백업 체계, 위기 대응 시나리오, 고객 피해 보상 체계를 전면 점검하고, 감독당국은 '사후 조사'가 아니라 '사전 관리'에 집중해야 한다.

문채형 뉴스룸 국장