금융감독원은 3월20일 발생한 금융권 전산사고 이후 농협중앙회와 농협은행·농협생명보험·농협손해보험·신한은행·제주은행을 검사한 결과 전산 보안 대책 수립·운용 과정에서 위규사항이 확인돼 중앙회를 제외한 5곳을 기관주의 조치하고 임직원 23명을 제재했다고 5일 밝혔다.
이 가운데 농협중앙회는 농협은행과 농협생보·손보의 정보기술(IT)업무를 위탁받아 운영하면서 방화벽 보안 정책과 백신 업데이트 서버를 제대로 관리하지 않아 사고 원인을 제공한 것으로 지적됐다.
농협중앙회는 특히 장애가 생겼는데도 별도의 대책을 마련하지 않아 같은 장애가 생기게 하고 일부 백업 데이터가 손실됐는데도 이를 알지 못했던 것으로 드러났다.
금감원은 다만 농협중앙회에 대한 제재 권한이 없어 감독관청인 농림축산식품부에 검사 결과를 통보했다고 설명했다.
농협은행과 농협생보·손보는 중앙회에 위탁한 IT업무를 통제할 자체 인력이 부족하고 자체적인 전산장애 대책과 정보보호 대책, IT업무 위탁에 대한 내부통제 방안도 없었던 것으로 드러났다.
농협은행은 제대로 된 사후조치를 하지 않아 전산사고가 일어난 지 3주 만인 4월10일에도 인터넷뱅킹 시스템 장애가 일어났다.
신한은행과 제주은행의 경우 백신 업데이트 서버 관리를 소홀히 하고 관리자 계정 관리도 제대로 하지 않은 점이 지적됐다.
3·20 전산사고는 올해 3월20일 KBS·MBC·YTN 등 언론사와 농협은행·신한은행 등 금융기관 전산이 동시에 마비된 사건으로 금융감독원은 이들 회사의 직원 컴퓨터를 통해 침투한 악성코드가 하드디스크와 자동화기기 등을 파괴해 전산장애를 일으킨 것으로 분석했다.
