윈도우XP 운영체제 업그레이드 외면
기기 교체 비용 부담으로 전환 지연
마이크로소프트(MS)가 지난해 4월부터 윈도우XP 운영체제에 대한 지원을 종료한 가운데 아직 운영체제를 업그레이드 하지 않은 현금자동입출금기(ATM)는 해킹 등 외부 공격에 무방비 상태인 것으로 나타났다.
금융결제원은 3일 발표한 '안전한 전자금융거래를 위한 ATM 분석평가 방법론 연구' 논문을 통해 기존에 없던 ATM 취약점 분석·평가 방법론을 새롭게 제시했다.
새로운 방법론에서는 기술적·관리적·물리적 분석평가로 나눠 ATM 취약점을 분석했다. 기술적 분석평가는 ATM 운영체제 및 응용소프트웨어에서 발생될 수 있는 취약점을 점검한다. 관리적 분석평가는 금융회사 내 ATM 관리 규정 및 준수 여부를 확인한다. 물리적 분석평가는 ATM 설치현장에서 발생할 수 있는 ATM사기, 물리적 공격 등을 점검한다.
A은행 3개 지점에서 운영하는 윈도우XP·윈도우2000 기반 ATM 10대에 대한 취약점을 분석·평가한다는 가정 하에 시뮬레이션을 수행한 결과, 점검 항목 420개 중 39개에서 취약점이 발견됐다.
논문에서는 "윈도우XP 기반 ATM에 대한 기술적 취약점 뿐 아니라 직접적인 현금 피해 발생 가능성도 있는 것으로 나타났다"며 "지속적으로 발견되는 신규 취약점에 대해 예방 및 관리를 강화해야 한다"고 지적했다.
또 "최근 윈도우XP 운영체제 지원 종료에 따른 ATM 공격 위협이 사회적으로 큰 이슈로 부상했는데도 국내에서는 여전히 ATM에 대한 체계적인 보안 관리가 이뤄지지 않고 있다"며 "전국 8만여대의 윈도우XP 기반 ATM이 모두 잠재적으로 취약점을 이용한 공격 등 기술적인 공격에 무방비 상태나 다름없다"고 강조했다.
금융감독원에 따르면 지난해 4월 현재 윈도우XP 이하 운영체제를 사용하는 국내 ATM은 8만1929대로 전체의 94.1%다.
금융당국은 2014년부터 매년 20% 이상씩 운영체제를 상위 버전으로 전환해 2017년까지 전환을 완료하기로 했다. 전환되지 않은 ATM의 경우 내·외부망 분리 등을 통해 보안사고 발생에 철저히 대비토록 금융사들에게 지도했다.
금감원 관계자는 "윈도우XP를 사용하는 금융사 업무용PC 단말기에 대한 상위 운영체제 전환은 거의 이뤄졌으나, ATM의 경우 기기교체 비용 등을 고려해 점진적 전환을 진행 중"이라며 "오류가 생기는 경우를 대비해 각 자동화기기 코너당 일부만 우선적으로 상위 버전으로 전환토록 하고 있다"고 설명했다.
(뉴시스)