랜섬웨어 사태가 드러낸 금융보안의 치명적 맹점
2025년 7월 14일, SGI서울보증의 전산망이 멈췄다. 원인은 랜섬웨어였다. 한순간에 모든 시스템이 잠겼고, 전자보증서 발급은 중단되었으며, 고객은 종이 한 장을 받기 위해 지점을 찾아야 했다. 이행보증보험은 수기로 대체되었고, ‘선 실행 후 보증’이라는 비상 조치가 내려졌다. 나흘 뒤인 7월 17일, 일부 시스템이 복구되었고, 일주일째인 7월 21일, 전체 서버가 정상화됐다는 발표가 있었다. 데이터는 다행히 손실되지 않았고, 고객 피해는 전액 보상됐다. 표면적으로는 완벽한 복구였다. 그러나 그 나흘, 그리고 그 일주일은 단지 보증이 멈춘 시간이 아니었다. 그것은 대한민국 금융 시스템의 가장 깊은 곳에 있는, 보이지 않는 취약점이 실시간으로 드러난 시간이었다.
이 사건은 단순한 해킹 사고가 아니다. 이는 한국의 대표 보증기관이 단 하나의 침투 시도로 사실상 기능 정지에 빠질 수 있음을 보여준 구조적 경고였다. 만약 정상 백업이 존재하지 않았다면, 만약 악성코드의 취약점을 이용한 복호화가 실패했다면, 우리는 지금 '보증시장 붕괴'라는 단어를 쓰고 있었을지도 모른다. 우리는 이 사건을 단지 ‘복구’라는 단어 하나로 정리해도 되는가?
랜섬웨어는 예고하지 않는다. 그리고 항상 약한 고리를 찾는다. 지금까지의 금융 보안은 외부의 침입을 막는 데 집중했다. 그러나 이젠 공격은 방화벽을 넘지 않는다. 이메일 한 통, 외부 협력사의 허점, 혹은 내부 직원의 클릭 한 번이면 충분하다. 실제로 이번 공격도 외부가 아니라 내부에서 발생했다. 침입자는 SSL-VPN 장비의 SSH 포트를 통해 시스템에 접근했고, 로그인 시도 제한조차 설정되지 않았던 점이 결정적 허점이었다. 공격자는 내부 시스템을 순식간에 장악했고, 복수의 계정을 탈취해 중요 데이터를 암호화했다. 기술은 무너지지 않았다. 신뢰가 먼저 무너졌다.
SGI는 복구됐다. 그것은 사실이다. 하지만 그것은 동시에 운이 좋았던 결과이기도 했다. 금융보안원이 악성코드 내부 취약점을 역이용해 복호화 키를 추출했기에 협상 없이 데이터를 되찾을 수 있었던 것이며, 백업도 정기적으로 이뤄졌기에 시스템 복원이 가능했던 것이다. 그러나 이 모두는 있을 수도, 없을 수도 있었던 조건 위에 세워진 우연이었다. 다시 말해, 이번엔 운이 따랐지만 다음에도 그럴 것이란 보장은 없다.
이 사태 이후, 금융권은 신속히 대응에 나섰다. 국민은행은 24시간 365일 실시간 통합보안관제체계를 통해 DDoS, 해킹 등 복합 공격에 대응하고 있으며, 주요 데이터는 이중 암호화되어 관리되고 있다. 하나은행은 머신러닝 기반의 이상 행위 탐지 시스템을 도입해 통합보안관제센터를 중심으로 실시간 모니터링 중이며, 외부 침해지표 수집 채널도 보강했다. 신한은행은 즉시 내부 특명감사를 통해 외부파일 반입 절차 전반을 재점검했고, 우리은행은 클라이언트부터 서버, DB에 이르기까지 5개 영역에 걸쳐 총 40종의 보안시스템을 재정비했다. 농협은행은 망 분리 및 내부망 이상행위 탐지정책을 강화했고, SGI 사태와 유사한 공격이 반복되지 않도록 전 경로를 재설계하고 있다.
그러나 여러 보안 조치를 덧붙이는 것으로는 더 이상 충분하지 않다는 회의도 제기된다. 이번 SGI 사태처럼, 공격자는 보안을 뚫은 것이 아니라 '보안의 전제를 역이용'했다. 내부는 안전하다는 생각, 인증된 계정은 문제없다는 신뢰, 백업은 무조건 복원 가능하다는 가정. 이 모든 전제가 흔들리는 순간이었다. 결국 보안 체계는 기술이 아니라 철학부터 바뀌어야 한다는 결론에 도달하게 된다. ‘무엇을 막을 것인가’보다 ‘무엇을 의심할 것인가’를 묻는 시점이다.
이 전환의 흐름 속에서 주목받는 보안 전략이 바로 제로트러스트(Zero Trust)다. 제로트러스트는 말 그대로 ‘아무도 신뢰하지 않는다’는 원칙에서 출발한다. 사용자든, 시스템이든, 네트워크든. 누구든지, 언제든지 공격의 출발점이 될 수 있다는 가정 하에 보안을 설계하는 방식이다. 기존 보안 모델이 내부와 외부를 구분하고, 인증된 사용자는 ‘신뢰’하는 방식이었다면, 제로트러스트는 내부든 외부든 무조건 의심하고, 모든 접근 요청을 매 순간 검증한다.
이 보안 전략은 세 가지 핵심 축으로 작동한다. 첫째, 지속적 검증(Continuous Verification). 로그인을 한 뒤에도 사용자의 위치, 접속 시간, 기기 보안 상태 등 다양한 조건을 종합적으로 평가해 실시간으로 접근을 허용하거나 차단한다. 둘째, 최소 권한 원칙(Least Privilege). 사용자든 시스템이든 필요한 작업 외에는 절대적인 접근이 불가능하도록 제한한다. 셋째, 세분화된 네트워크 분할(Micro-Segmentation). 내부 네트워크를 작은 단위로 나누어, 침입이 발생하더라도 전체 시스템으로 확산되지 않도록 한다. 즉, 제로트러스트는 단일 솔루션이 아니라 조직 전체를 관통하는 보안 운영 체계이며, 신뢰를 철저히 검증 위에 다시 설계하는 작업이다.
카카오뱅크는 이러한 원칙을 중장기 전략으로 채택했다. 비인가 단말기나 보안 상태가 변경된 기기의 접속은 즉시 차단되며, 모든 데이터 접근 요청은 실시간 모니터링된다. 케이뱅크와 토스뱅크 역시 AI 기반 보안 체계와 제로트러스트 기반 감시 시스템을 강화하며 대응하고 있다. 이들은 모두 하나의 방향을 가리킨다. 신뢰하지 않고, 검증하고, 분리하고, 제한하는 것. 신뢰에서 출발하는 보안이 아니라, 의심에서 출발하는 보안이다.
금융당국도 움직였다. 금융위원회는 SKT 해킹 사고 이후 금융회사 전반에 금융전산 대응체계 강화를 권고했고, SGI 사태 이후에는 보다 구체적인 제도화에 착수했다. 8월 말까지 모든 금융기관에 자체 보안점검을 요구했고, 9월부터는 블라인드 모의해킹을 전면 시행한다. 또한 보안 미비 기관에는 징벌적 과징금을 부과하는 법령 개정도 추진 중이며, CISO 권한 확대, 사고 대응 매뉴얼 의무화, 보안 수준 공시제 도입 등 제도적 정비가 동시다발적으로 진행되고 있다. 단순한 ‘권고’에서 ‘책임’으로 이행하는 과정이다.
그러나 여전히 물음은 남는다. 우리는 정말로 체계를 바꾸고 있는가, 아니면 무너진 신뢰 위에 임시벽돌만 올리고 있는가? SGI는 복구되었지만, 그 구조적 허점은 아직 바뀌지 않았다. 대응은 빨라졌지만, 그 방향이 전략적인지 방어적인지는 불분명하다. 보안 솔루션을 몇 개 더 붙이는 것으로, 다시는 멈추지 않을 시스템이 되는가? 다시 말하지만, SGI는 복구되었다. 그러나 신뢰는 복구되지 않았다. 그 신뢰는 이제 기술의 문제가 아니라, 전략과 철학, 그리고 결단의 문제다. 보안은 시스템이 무너지지 않도록 설계하는 일이 아니다. 무너졌을 때에도 기능하도록 설계하는 일이다. 그리고 우리는, 그 사실을 너무 늦게 배우고 있다.