중앙은행 연쇄 해킹…금융계 '스위프트 공포'
지난 2월 방글라데시 중앙은행 직원이 미국 뉴욕연방은행 시스템에 접속해 예치금 중 9억5100만달러(약 1조840억원)를 35개의 각기 다른 계좌로 이체해 달라고 요청했다. 계좌이체를 하던 중 뉴욕연방은행 측은 이상한 점을 발견했다. 계좌이체 대상 이름 가운데 ‘foundation’이 ‘fandation’으로 잘못 기재돼 있었다. 중앙은행이라면 저지르기 힘든 철자 오류였다.

해킹인 것을 알고 화들짝 놀란 뉴욕연방은행은 이체를 중단하고 방글라데시 중앙은행에 거래요청 사실을 확인했으나 늦었다. 이미 1억100만달러가 이체 완료된 뒤였다. 이후 2000만달러를 되찾았지만 8100만달러(약 910억원)는 여전히 행방이 묘연하다.

이 같은 해킹은 다른 은행에도 시도됐다는 사실이 지난주 밝혀져 중앙은행을 포함한 세계 금융계가 긴장하고 있다.

◆다른 은행 피해 가능성도

뉴욕타임스(NYT)와 가디언 등은 이번 해킹사건이 규모가 크다는 것 외에 거대 금융결제망인 ‘스위프트(SWIFT·국제은행간통신협회)’가 뚫렸고, 추가 해킹피해도 나올 수 있다는 점에서 충격이 크다고 1일(현지시간) 보도했다.

스위프트 측은 지난달 말 세계 회원사에 보안프로그램 업데이트를 의무적으로 할 것을 통보하면서 비슷한 해킹시도가 다른 은행에도 있었다고 확인했다. 해킹이 동일범 소행인지, 추가 피해가 있었는지 등은 전혀 알려지지 않았다.

스위프트는 1만1000개에 이르는 금융회사 및 대기업이 하루 2억4000만건의 거래를 통해 수십억달러를 결제하는 금융망이다. 일반 고객과 은행 간 네트워크가 ‘작은 수도관’이라면 이 네트워크는 ‘송유관’에 비유된다. 한번 뚫리면 피해액도 클 수밖에 없다. 그동안 스위프트는 높은 안전성과 보안성 덕분에 금융망의 ‘롤스로이스’로 불려왔다.

◆낮은 보안의식이 화 불러

스위프트가 해킹에 뚫린 것은 시스템 서버의 취약성보다 회원사의 낮은 보안의식이 이유라고 NYT는 지적했다. 방글라데시 중앙은행은 10달러짜리 라우터(네트워크 간 중계장치)를 사용하면서 방화벽 프로그램도 사용하지 않은 것으로 드러났다.

대부분의 미국 은행은 스위프트 취급 단말기에 통상 2, 3중의 방화벽을 치고, 다른 컴퓨터 네트워크와 물리적으로 격리 배치하는 등의 조치를 한다. 해커들이 그렇지 않은 방글라데시 중앙은행을 정교한 프로그램으로 뚫고 들어가 흔적도 남기지 않고 계좌이체에 성공했다고 NYT는 주장했다.

영국 방위산업체 BAE시스템스의 안드레안 니시 사이버안전팀장은 “스위프트 같은 네트워크를 뚫으면 큰 보상이 따른다는 것을 해커들이 알고 있기 때문에 장기적으로 시스템을 안전하게 보호하기는 어려운 일”이라고 말했다.

◆범인, 오리무중 속 책임공방

이번 해킹을 누가 했는지 아직 실마리조차 찾지 못했다. 방글라데시와 뉴욕 중앙은행 간 책임공방만 가열되고 있다.

3월 방글라데시 중앙은행장은 사고책임을 지고 물러났다. 방글라데시 측은 중국인 해커들이 뉴욕연방은행 시스템을 해킹해 들어갔다는 정황이 있다고 주장했다. 뉴욕연방은행을 상대로 대규모 소송을 준비하고 있다.

반면 뉴욕연방은행 측은 “연방은행 시스템이 뚫렸다는 증거는 없다”며 “계좌이체 요청은 전적으로 적법한 절차로 이뤄졌다”고 반박했다. 오히려 방글라데시 중앙은행 측에 책임이 있다는 얘기다.

■ 스위프트(SWIFT)

국제은행간통신협회(Society for Worldwide Interbank Financial Telecommunication). 1973년 유럽과 북미의 240개 금융회사가 회원사 간 결제업무를 위해 만든 폐쇄형 네트워크다. 현재는 1만1000개에 달하는 전 세계 금융회사(중앙은행 포함) 및 기업이 가입해 있다. 3000개 금융회사가 지분을 공동으로 소유하고 있다.

워싱턴=박수진 특파원 psj@hankyung.com