[토요경제=문혜원 기자]은행들이 CD와 ATM기기가 아직도 보안에 취약한 윈도우XP를 운영체제(OS)로 사용하는 것으로 나타났다. ATM 등 자동화기기가 랜섬웨어에 공격당할 경우 민감한 정보가 유출되거나 오작동을 일으킬 수 있는 만큼 은행들의 대책마련이 시급하다는 지적이다.

24일 금융권에 따르면, CD·ATM기기 운영체제(OX)는 윈도우XP버전에서 윈도우7이상으로 교체해야 한다. XP가 2014년 서비스 종류 이후 해킹 등 보안이 취약해졌다는 지적에 따라 금융당국에서도 은행별 조치를 취하도록 요구했다.

마이크로소프트는 지난 2014년 비용절감과 차기 OS 주력을 위해 구형 XP에 대한 사후지원을 종료했다. 이 같은 방침에 따라 마이크로소프트는 윈도우XP에 대한 보안 업데이트도 함께 중단했다.

문제는 XP OS를 사용함으로서 발생하는 보안 취약점이다. 최근 심각한 문제를 야기하고 있는 ‘랜섬웨어’ 같은 경우 보안 업데이트를 하지 않은 윈도우XP가 주요 타겟으로 다수의 피해를 발생시켰다.

이에 보안성 문제가 상대적으로 안정화 된 윈도우 버전으로 새로 업그레이드해야 한다. 실제 전자금융과 보안법상에 따르면 이 부분 관련 법적규정을 확인할 수 있다. 서버 운영체재 같은 경우(ATM 기기 운영체재 포함) 개선점이 생기면 ‘패치’해야 한다는 규정이 있다.

이 규정은 기기 및 시스템이 10년 이상이 될 경우 ‘최신 패치로 적용하라’는 의미다. 패치란(Patch ·정보통신 응급조치로 프로그램의 일부를 빠르게 수정하는 일) 시스템 업그레이드를 뜻한다. 기능개선에 취약점이 드러나면 최신장비로 교체해야 한다.

이에 전 은행권은 올해 말까지 시스템을 바꾸도록 하겠다는 계획보고서를 금융당국에 제출한 것으로 알려졌다.

금융감독원 IT핀테크 관계자는 “최신 패치를 유지하도록 언제까지 마무리해야 한다는 것은 의무화는 아니다. 다만 보안성을 위해서 만들어진 규정”이라며 “은행들이 예산확보가 걸리는 문제가 있음에도 불구하고 단계적으로 전환 해야하는 것으로 알고 있다”고 말했다.

ATM기기 운영체재 시스템 전환 계획은 지난 2014년으로 거슬러 올라간다. 당시 XP운영기간이 완료되면서 해킹 등 대비 보안대책이 필요하다는 지적에 따라 금융당국은 금융회사에 CD·ATM기기를 외부망과 분리된 페쇄망으로 구축하도록 하고 원도우XP에서 다른 새 운영체제로 전환하도록 요구했다.

업무용PC는 지난해 5월 8일까지 80%이 전환토록 하고, 2014년 말까지 100%전환하도록 각 은행별에 통보했다. CD·ATM기기는 매년 20% 이상 전환하고 2017년까지 전환을 완료하도록 요구했다.

하지만 당국의 요구사항이 2017년임에도 불구하고 아직 못 마친 은행들도 있어 늦장 전환이라는 지적도 나온다. 계획여부 등은 금융회사별로 자체 자율목표를 설정하도록 했지만 은행 ATM 관리 소홀 지적은 지속되고 있다.

4년이 지난 현재 윈도우 운영체재로 전환됐는지 여부 <토요경제>가 각 은행별 확인해 본 결과, 완료가 끝난 은행은 7곳에 불과했고, 나머지는 준비 중에 있었다.

지난해말 전환된 은행은 DGB대구·BNK부산·KB국민·신한·NH농협·SH수협은행 등이다. 경남은행의 경우 윈도우7버전을 사용하고 있는 상태이며 향후 윈도우 10으로 검토 중에 있다. KEB하나은행은 올해 6월 윈도우 7버전으로 교체했다. 우리·IBK기업은행 등은 준비 중에 있다. 우리은행은 지난5월 차세대 전산 시스템 도입 때문에 미뤄져 이달 말부터 12월 21일까지 완료한다.

IBK기업은행 등은 내년 초까지 윈도우7버전으로 업그레이드 한다는 계획이다. 은행들은 교체작업에 시간이 걸린 이유로 정보보호예산 · 기기마다 다른 년식(구형)·업체간 계약 기간 문제로 쉽지 않았다는 설명이다.

ATM을 구성하는 통장입출기, 스캐너 등이 윈도 임베디드 등 운영체제 기반으로 됐던 은행의 대외채널 시스템 최적화 문제도 있었다. 또 디지털금융변화로 고객 수도 줄고 있어 점포수·ATM기기를 먼저 축소해야 했다는 입장이다.

은행의 입장을 반영하듯 CD, ATM과 같은 무인자동화기기의 수는 사라지고 있다.한국은행의 ‘2017 금융정보화 추진현황’의 자료를 보면, 금융기관의 CD/ATM(7만6755대)은 3.7% 감소한 반면, 밴(VAN) 사업자의 CD/ATM(4만4737대)은 10.0% 증가했다.

또 고용진 국회 정무위원회 소속 더불어민주당 의원이 금융감독원에서 제출받은 자료에 따르면, 최근 5년간 CD/ATM 자동화기기는 6월 말 기준 4만3831개로 2013년 말(5만5513개) 대비 1만1682개(감소율 21%)가 감소했다.

한 은행권 관계자는 “구형기기를 새로 업그레이드 할 비용이 만만치 않은데다 이용률도 줄고 있는 추세여서 새로 운영체재를 바꾸기는 쉽지 않았다”고 말했다.

한편, 보안업계에서는 보안성과 편의성을 위해서 윈도우 악성코드·랜섬웨어 감염과 같은 보안 사고를 미리 대비하는 방안도 구상할 필요가 있다는 주장도 나온다.

한 IT업계 관계자는 “XP보다는 윈도우10(빌드1709버전) 이상이 안전성이 위에 있다고 하지만 해킹 차단여부는 늘 위험에 노출돼 있기 때문에 항상 선제적으로 방어하기 위해서라도 금융당국이 적극적으로 감독 의지를 갖추어야 한다”고 말했다.

[저작권자ⓒ 토요경제. 무단전재-재배포 금지]