‘3·20 사이버테러’ 사건과 관련해 농협이 안랩을 상대로 손해배상 요구를 한다고 전해져 그 배경에 관심이 집중되고 있다. 임준선 기자 kjlim@ilyo.co.kr
그렇다면 둘 사이 엇갈린 주장 속에서 진실은 무엇일까. 농협 내부에서는 이번 손해배상과 관련한 움직임은 이전부터 있었지만 ‘50억 원’으로 금액이 구체화될 정도의 단계는 아니라는 데 입을 모으고 있다. 농협 관계자는 “협상의 기본은 확정 금액을 노출을 안 하는 것인데 50억 원이라는 얘기가 우리 쪽에서 나왔을 때 도대체 출처가 어딘지 어안이 벙벙했다. 아직 손해배상 금액을 산출하지는 않았다”고 전했다. 안랩 측이 발표한 “손해배상 금액을 통보받지 못했다”는 입장과 일치하는 셈이다. 하지만 둘 사이의 입장 차는 명확히 존재하는 것으로 전해진다. 무엇보다 두 기관 사이에서 벌어지는 3·20 사태의 ‘책임 공방’이 가시화된 것이다.
하지만 손해배상 사실이 알려진 현재는 이러한 사실을 전면 부인하고 있는 상황이다.
안랩 측은 “3·20 전산망 장애 당시 농협으로부터 원인 및 사고 책임을 파악할 만한 충분한 자료를 받지 못한 상황에서 고객사(농협) 주장을 절대적으로 신뢰하여 보고서를 작성해 제출한 것”이라며 “농협은 ‘농협 주장을 근거로 유추 가능한 안랩의 책임부분, 대표자 사과’ 등을 명시한 보도자료를 요구했고 안랩이 이를 수용했다”고 주장했다. 안랩이 농협의 요구에 따라 ‘울며 겨자 먹기’ 식으로 잘못을 시인하는 보고서를 냈다는 것이다.
농협 측은 이에 대해 공식적인 대응은 자제하고 있지만 내부에서는 ‘벙어리 냉가슴’을 앓고 있는 것으로 전해진다. 농협 관계자는 “안랩이 제공한 서버가 3·20 사태에 책임이 있는 것은 사실이다. 그것을 입증할 ‘증빙자료’도 충분히 있다. 비유하자면 ‘제품을 샀는데 불량품을 산 것’과 비슷한 것이고 그러기에 피해보상을 받겠다는 것이다. 그렇다고 해서 안랩과의 사이가 이번 일로 틀어지는 것도 원치 않는다. 어찌됐건 공기업인 우리로서는 안랩과 계속적으로 관계를 맺어야 하는 입장이기 때문이다”라고 토로했다. 결국 농협 입장에서는 안랩에게 반박할 여건이 충분히 갖춰졌음에도 여론을 의식해 쉽게 나서지 못하는 모습이다. 실제로 농협 내부에서는 안랩과 대립하는 모양새가 여론에 비쳐지는 모습을 상당히 우려하고 있는 것으로 전해진다.
3·20 사태에 대한 안랩의 입장 번복은 IT 업계에서도 그리 설득력 있게 들리지 않고 있는 모습이다. 일각에서는 “안랩이 여론 악화에 몰리다 보니 기업 방어를 위해 억지 주장을 펴고 있다”라는 지적도 은밀하게 돌고 있는 것으로 전해진다. 업계 관계자는 “안랩이 국내 최대 백신업체이고 다수 공공기관과 공기업의 방어를 맡고 있는 만큼 스스로의 잘못을 인정하기가 쉽지는 않을 것이다. 그 자체로 신뢰성에 큰 타격을 입기 때문”이라고 전했다. 또 다른 업계 관계자는 “안랩 제품의 문제점은 안랩 스스로가 더 잘 알고 있을 것이다. 소스코드가 공개되지 않는 이상 외부에서는 정확히 문제를 판단하기는 어렵다. 예를 들어 ‘자동차 급발진’과 비슷한 것이다. 급발진은 공공연한 사고지만 자동차 업체는 운전자의 실수로 단정할 뿐 절대 잘못을 인정하지 않는다. 하지만 자동차 업체 내부에서 이를 모를 리가 있겠는가. 안랩도 이와 유사한 것”이라고 분석했다.
3·20 사이버테러 당시 농협 ATM 코너에 시스템 장애 안내문이 붙어 있는 모습.
하지만 당시 안랩 측이 밝혔던 버그 외에도 APC 서버가 노출된 것에 대한 여러 의혹들이 제기된 바 있다. 대표적인 것이 ‘패스워드 방치’ 의혹이다. APC 서버에 접근하기 위해선 여러 계정들이 있고 이를 관리자가 비밀번호를 주기적으로 변경하는 등의 조치를 취해야 하는데, 안랩 측이 유독 하나의 계정만 이러한 조치를 취하지 않아 서버가 뚫렸다는 것이다. 이에 안랩은 언론 인터뷰에서 “백신과 자산 관리 서버를 판매만 했을 뿐 운용은 고객사(농협)가 수행하는 것이다. 비밀번호 변경의 주체는 안랩이 아니라 농협이다”라고 밝힌 바 있다. 전문가들은 농협과 안랩의 대립점이 사실상 여기에 있다고 보고 있다. 한 업계 관계자는 “APC 서버의 관리 소홀 문제가 해킹 사태의 주범이라면 단지 서버를 ‘판매’만 했다던 안랩 입장에서도 할 말은 있을 것”이라며 “관리 소홀의 주체가 누구인가가 이번 손해배상의 쟁점이 될 수 있다”라고 전했다.
하지만 농협 입장에서는 관리 소홀보다는 ‘제품 불량’ 자체에 더 초점을 두고 있는 모습이다. 결국 안랩이 판매한 서버 자체에 문제가 있기에 해킹 사태가 벌어졌다는 내부 목소리가 나오고 있는 것이다. 또 일각에서는 농협과 안랩이 ‘서버유지 보수 계약’도 맺었다는 얘기도 나오고 있다. 계약을 맺은 것이 사실이라면 서버 관리 책임은 안랩에게 있는 셈이다. 농협 관계자는 “서버유지 보수 계약을 맺은 것은 사실 맞다”라고 전했다.
결국 여러 정황을 볼 때 이번 손해배상 공방은 “안랩 측이 책임을 회피하지 못할 것”이라는 분석에 힘이 실리고 있는 상황이다. 하지만 안랩 측의 부인이 계속된다면 결국 협상을 넘어 소송으로 갈 수도 있다는 전망도 제시되고 있다. 이에 농협 측은 “소송 전 화해라는 게 있지 않느냐. 긴 시간이 소요되기에 가급적 소송으로 가고 싶지 않다. 아직까지는 초기 단계일 뿐”이라고 전했다.
손해배상 협상이 가시화된 상황에서 그 금액이 얼마나 될 것이냐는 것도 관심의 초점이다. 3·20 사태 당시 농협은 자사 PC 16만 대가량이 고장 나고 창구 및 자동화기기 거래가 중단되는 등 피해 규모만 200억 원으로 추정되는 것으로 알려졌다. 이를 두고 일각에서는 손해배상이 ‘50억 원 +α’가 되지 않겠느냐는 분석도 이어지고 있다. 농협과 안랩 측은 이러한 금액이 “사실이 아니다”라며 부인하고 있다. 업계 한 관계자는 “어찌됐건 금융기관이 안랩을 상대로 손해배상을 진행하는 것은 초유의 일이다. 안랩이 얼마나 전향적인 자세를 취하느냐에 따라 문제 해결이 달라질 수도 있을 것”이라고 전망했다. 국내 최대 보안업체인 안랩의 ‘방어실수’ 의혹이 불거짐에 따라 안랩에게 방어를 맡겼던 다수 기관들의 불안감도 커지고 있다.
박정환 기자 kulkin85@ilyo.co.kr
