정보기술(IT) 보안 관리에 허술했던 농협에 대해 중징계가 내려질 것으로 알려졌다. 금융감독원은 지난 해 농협 검사 당시 IT보안 부분의 위법ㆍ위규 사항을 상당 부분 적발, 제재심의위원회에 징계 안건을 상정하기로 했다. 금감원은 다만 현재 농협 전산망에 대해 특별검사가 진행중인 만큼 검사결과를 본 뒤 지난 해 검사 결과와 병합, 가중처리할 방침이다.

21일 금융감독원과 국회 등에 따르면 농협은 지난 해 10~11월 금감원 정기종합검사 당시 전산시스템 비밀번호를 허술하게 관리했다가 지적을 받은 것으로 드러났다. 시스템계정 15개의 비밀번호를 3개월~6년 9개월 간 교체하지 않고 써왔다. 3개월 마다 한 차례 이상 비밀번호를 바꾸도록 돼 있는 농협중앙회 ‘전산업무처리지침’을 지키지 않은 것이다.

사용한 비밀번호도 매우 단순했다. 농협 전산시스템에서 쓰는 총 686개 계정은 비밀번호가 계정 이름과 같거나 ‘계정명 + 숫자’ 또는 아예 숫자로 구성됐다. ‘1’이나 ‘0000’과 같은 누구나 쉽게 유추할 수 있는 단순한 숫자로 구성하기도 했다.

서버나 관리용 소프트웨어를 설치할 때 설정되는 기본 비밀번호를 단 한 번도 바꾸지 않은 경우도 검사 과정에서 발견됐다.

데이터 베이스 접근 통제 시스템이나 신용사업ㆍ경영정보와 관련된 주요 서버시스템에서 쓰이는 계정의 비밀번호도 허술하게 관리했다. 전자금융감독규정 시행세칙에 따르면 비밀번호는 반드시 숫자와 문자를 섞어 6자리 이상으로 부여토록 돼 있다. 농협중앙회 역시 영문과 숫자를 섞어 8자리 이상으로 구성하고, 문자나 숫자의 반복 형태는 사용하지 말 것을 지침에 규정하고 있다.

금감원 관계자는 “지난 해 정기검사 과정에서 발견된 이같은 위규사항에 대해 이미 시정조치를 내렸다”고 밝혔다.

<박정민 기자@wbohe>

bohe@heraldcorp.com