상당수 은행 현금입출금기가 윈도우XP 기술 지원 종료 후에도 운영체제를 상위버전으로 전환하지 않아 보안 위험에 고스란히 노출된 것으로 나타났다.

29일 금융권에 따르면 금융감독원은 지난 4월 마이크로소프트(MS)사의 윈도우XP 기술지원이 중단된 이후 은행권의 CD·ATM 등 자동화기기 운용 상황을 점검한 후 미흡한 부분을 개선토록 조치했다.

금감원은 이번 검사에서 해킹 및 정보유출에 대비한 외부 침입 방지 체계를 제대로 갖췄는 지를 집중적으로 점검했다.

금융당국은 이에 앞서 윈도우XP 이하 운영체제를 상위 버전으로 전환하도록 지도했다. 상위 버전으로 바꾸지 않은 CD·ATM에 대해서는 외부 인터넷 접속을 원천적으로 차단토록 하고, 인가받지 않은 프로그램 설치를 제한하는 등 보안정책을 수립하도록 했다.

금감원 현장점검 결과 농협은행은 정확한 CD·ATM 운영 상황조차 파악하지 못한 것으로 드러났다. 또 윈도우XP 기술지원이 종료됐지만 이에 대한 대비가 미흡해 해킹 위험이 큰 것으로 파악됐다.

또 CD·ATM의 IP주소를 지점의 IP대역으로 임의 변경하는 경우 인터넷 연결도 가능한 것으로 조사됐다. 민원에 대응하기 위해 카드 등 이미지 파일을 보관하면서도 제대로 암호화하지 않아 개인정보 유출 우려도 높은 것으로 드러났다.

경남은행의 자동화기기도 영업점의 직원 PC에서 인터넷 연결이 가능한 것으로 나타났다. 또 본점 및 영업점에서 운영하는 모든 CD·ATM의 운영실태에 대한 현장 점검을 실시하지 않고 있는 것으로 밝혀졌다.

광주은행 CD·ATM은 인터넷 등기소 등 일부 인터넷 사이트와의 통신을 허용하는 것으로 밝혀졌다. CD·ATM 관리자용 프로그램에서는 사용자 인증 없이 인터넷주소(URL)만 입력하면 접속이 가능토록 운영하는 등 보안시스템이 취약했다.

전북은행의 경우 영업점에 설치된 CD·ATM에는 불피요한 인터넷 브라우저, 이메일 송수신 프로그램 등이 설치돼 있었다.

외환은행과 산업은행의 경우 CD·ATM 전용 보안 소프트웨어가 패키지 형태이기 때문에 비밀번호 관리를 수작업으로 처리하고 있는 것으로 나타났다.

금감원 관계자는 "미전환 CD·ATM에 대해 운영체제를 상위버전으로 전환하도록 주문했다"며 "한꺼번에 전환하기는 어려우니까 전환될 때까지는 외부 인터넷망으로부터 악성코드 등이 유입되지 못하도록 보안사고 발생을 철저히 대비하도록 지도했다"고 밝혔다.

한편 지난 4월 기준 윈도우XP 이후 버전을 사용하는 CD·ATM의 비율은 94.1%로 집계됐다. 금감원은 운영체제를 업그레이드한 CD·ATM 현황을 조사하고 있다.