[기자수첩] SGI서울보증, 잃어버린 고객 신뢰 백업 안돼

지난 3일 동안 SGI서울보증(이하 SGI) 홈페이지는 접속조차 어려웠고, 고객센터는 통화 연결조차 되지 않았다.

그 사이 수많은 국민이 전세대출을 못 받고, 휴대폰 개통을 미뤄야 했으며, 보증 서비스가 필요한 순간에 벽을 마주했다. 그런데도 SGI는 이상하리만치 침묵을 유지했다. “대응 중입니다”라는 말 외에 그 어떤 책임의 언어도, 사과의 설명도 들리지 않았다.

14일, SGI는 랜섬웨어 공격을 받았다. 공격자는 정보계 데이터베이스를 침투했고, 이른바 ‘건라(Gunra)’ 계열로 분류되는 악성코드가 SGI 내부 시스템을 감염시켰다. SGI는 곧바로 외부망을 차단하고, 방화벽 정책을 전면 수정했다. 그러나 이미 핵심 업무 시스템은 광범위하게 감염된 뒤였다. 이후 보증서 발급, 전세대출 연계, 휴대폰 할부 인증, MCI보증 등 주요 보증 서비스가 중단되면서 전국적인 민원이 쏟아졌다.

이후 금융보안원, 한국인터넷진흥원(KISA), 안랩, 경찰청 등 민·관·공이 모두 총출동했고, SGI는 약 4일 만에 전산망을 복구했다. 7월 17일부터 보증 업무가 재개됐다. 하지만 전산이 복구됐다고 해서 사건이 끝난 것은 아니다. 그 멈춰 있던 3일간, 아니 수년간 쌓여온 구조적 취약성이 수면 위로 드러난 것이 이 사태의 본질이기 때문이다.

SGI는 최근 몇 년간 상장과 민영화의 큰 흐름 속에 있었다. 예금보험공사는 2025년을 ‘SGI 엑시트 원년’으로 삼고 보유 지분을 매각할 채비를 하고 있었고, 기관 내부에서도 수익성 중심의 조직 개편과 체질 개선이 추진됐다. 상장을 위한 IR 문서에는 ‘디지털 경쟁력’, ‘정보보호 체계 강화’가 빠지지 않고 등장했다. 하지만 현실은 달랐다.

보안업계에 따르면, SGI는 3월 상장 당시 증권신고서에 명시했던 ‘정보보호·개인정보보호 관리체계 인증(ISMS·ISMS-P)’을 취득하지 않았던 것으로 파악된다. 실제 강화된 것은 재무구조와 배당 정책이었다. 고객정보는 ‘투자 유치’의 근거 자료로만 존재했고, 그 정보를 지키기 위한 기술과 인력 투자는 뒷전이었던 것이다.

공공기관이라면 최소한 고객 데이터에 대한 책임을 다해야 한다. 정보보호는 비용이 아니라 신뢰의 기본값이다. 그러나 SGI는 이번 사태를 통해, 말뿐인 디지털 전환이 얼마나 위태로운 결과를 가져올 수 있는지를 보여줬다. 백업 시스템은 왜 작동하지 않았는지, 전산 이중화는 제대로 설계되어 있었는지, 모의훈련과 보안 테스트는 정기적으로 이뤄졌는지에 대해 지금까지 누구도 명확한 답을 하지 않는다.

그보다 더 우려스러운 것은 SGI가 여전히 ‘정상화’라는 말로 사건을 매듭지으려 한다는 점이다. 고객은 지금 이 순간에도 내 정보가 유출됐는지, 어디까지 해킹당했는지, 누가 책임지는지를 알지 못한다. 피해신고센터는 설치됐고, 콜센터도 운영되고 있지만, 가장 중요한 건 ‘내 정보가 안전한가’라는 질문에 대한 확신이다. SGI는 이 질문에 아직까지도 명쾌하게 답하지 못하고 있다.

그 사이, 랜섬웨어는 SGI 데이터 베이스(DB) 안을 모두 구경했다. 국민은 보증서를 기다렸고, SGI는 상장을 준비했다. 보증기관의 본령은 ‘위험을 대신 떠안아주는 것’이다. 그러나 이번 사태에서 SGI는 위험을 막지 못했을 뿐 아니라, 피해를 국민에게 전가했다. 그동안 강조하던 ‘신뢰 기반 공공 금융기관’이라는 수식어는 해커 앞에서, 그리고 국민 앞에서 동시에 붕괴됐다.

예보는 엑시트에만 몰두했고, SGI는 공공성보다는 민간 효율성 논리에 따라 움직였다. 그 결과는 무엇인가. 시스템은 복구됐지만 신뢰는 백업되지 않았다. 기술은 복구할 수 있지만, 잃어버린 신뢰는 복구가 불가능하다. 그건 단순히 해킹에 의한 피해가 아니라, 구조적 태만에 의한 붕괴이기 때문이다.

이번 사태는 단지 한 기관의 위기가 아니다. 공공성과 민영화, 디지털 전환이라는 세가지 과제가 충돌할 때, 무엇을 최우선 가치로 둘 것인가에 대한 질문이다. SGI는 상장을 택했다. 그러나 보안은 상장폐지 수준이었다. 그 결과, 고객의 개인정보는 ‘투자자에게 보여줄 지표’였을 뿐, 보호의 대상이 아니었다.

그렇다면 우리는 다시 물어야 한다. SGI는 누구를 위한 기관인가? 국민을 위한 보증기관인가, 아니면 해커가 먼저 알아본 ‘디지털 빈틈’인가?

오늘도 SGI는 말한다. “시스템은 정상화됐고, 보증서 발급이 가능하다”고. 그러나 고객이 바라는 건 단순한 보증서 한 장이 아니다. 내 이름, 내 주민번호, 내 대출기록이 지금도 누군가의 손에 넘어가 있지 않다는 믿음이다.

그 믿음이 무너졌다면, 그것이야말로 복구되지 않는 손실이다. 그리고 이 손실의 책임은 단지 해커가 아니라, 고객 정보 보호를 ‘IR 문구’ 정도로 취급한 SGI 자신에게 있다.

[스트레이트뉴스 조성진 기자]