USB 드라이브를 ATM에 꽂아 악성코드를 설치, 돈을 빼가는 신종 해킹 수법이 등장한 가운데 국내서도 ATM 및 은행 내부 시스템에 대한 운영체제(OS) 업그레이드 작업이 한창이다.
특히 마이크로소프트(MS)가 윈도XP에 대한 보안업데이트 등 지원 서비스를 오는 4월8일 종료한다고 발표하면서 우리나라 금융권도 시스템 업그레이드에 비상이 걸렸다.
윈도XP 서비스 종료를 불과 3개월 앞둔 시점에서 은행들은 예정대로 윈도7 등 OS로 업그레이드를 준비하고 있다. 반면 일부 은행들은 아직 예산, 절차 등을 이유로 시한 내에 업그레이드가 어렵다고 호소하는 상황이다.
3일 금융감독원 IT보안팀 정기영 팀장은 지난해 조사 결과 은행들 중 서비스 종료일까지 업그레이드를 완료하겠다고 밝힌 곳들이 있었으며 이와 함께 예산이나 비용상 문제로 시한을 맞추기 어렵다는 얘기도 나오고 있다고 전했다.
지난달 30일 독일 함부르크에서 열린 해킹컨퍼런스 카오스 컴퓨팅 콩그레스에서는 유럽 소재 은행 ATM을 털어간 절도범들이 사용한 신종 해킹 수법이 공개됐다.
이들은 ATM 내에서 시스템을 재부팅 시키는 등의 용도로 사용되는 USB슬롯에 악성코드가 담긴 USB드라이브를 꽂는 방식으로 기기를 조작해 가장 액면가가 높은 지폐만 골라서 인출했다.
문제는 해킹된 ATM이 사용하는 OS가 윈도XP였다는 점이다. 서비스 종료를 앞둔 시점에서 추가적인 보안조치가 이뤄지지 않고 있었던 ATM이 공격대상이 된 것이다.
아직 국내에서 이런 수법이 발견된 사례는 없다.
그러나 우리나라에서는 높은 보안성이 유지돼야하는 ATM은 물론 은행 내부 업무용 시스템까지 윈도XP를 사용해왔다. 앞서 3.20 사이버테러 당시 주요 금융권 전산망이 마비됐을 때도 대부분 은행들은 윈도XP로 시스템을 운영해왔다.
금감원에 따르면 지난해 5월 기준 금융회사 전체 단말기 78만대 중 약 84%인 65만6천대가 윈도XP 이하 버전을 사용중이다. ATM, CD(현금지급기) 기기는 전체 8만대 중 97.6%인 7만8천대가 윈도XP를 사용해 온 것으로 나타났다.
발등에 불이 떨어진 시점에서 금융권이 ATM 등을 포함한 금융권 전산시스템 교체사업에 들여야하는 총 비용은 730억원에 달하는 것으로 집계됐다. 갑작스러운 비용 부담 탓에 4월8일 이후에도 일부 은행들은 윈도XP 기반 전산시스템을 운영할 것이란 우려가 제기되고 있다.
정 팀장은 단순히 OS만 바꾸면 되는 것이 아니라 하드웨어 인식 등에 문제가 있을 경우 장비 전체를 교체해야 하는 은행들도 있어 일부 은행들은 임시로 윈도XP를 사용하는 대신 망분리 등 추가적인 보안대책을 수립할 것을 권고했다고 말했다.
관련기사
- 지원 종료 앞둔 XP·비스타 점유율 '뚝'2014.01.03
- 윈도XP 지원종료 D-100...점유율 18%2014.01.03
- 윈도XP 지원중단으로 어떤 보안위협이…2014.01.03
- 위기 PC업계, 윈도XP 종료 반사이익2014.01.03
윈도XP에서 윈도7 등 상위버전으로 업그레이드 한다고 해도 ATM이나 은행 업무용 시스템에 장애가 생길 수 있기 때문에 금융권 전체로 봤을 때는 서비스 종료 시한보다 교체시기가 늦어질 가능성이 높다.
현재 금감원은 이달 말 중으로 금융권 내 윈도XP 교체 관련 현황을 재조사할 계획이다.
