금감원 보안검사·감독부실 심각

시스템 보호·해킹방치책 등 빼고 점검
금융기관 26곳 검사, 46곳 평가 누락

금융회사에서 전산망 마비나 고객 정보 유출 사태가 잇따르고 있지만, 금융당국의 감독 부실과 보안 불감증이 심각한 수준이라는 감사원의 감사결과가 나왔다. 외주업체 직원들이 고객정보를 유출할 가능성이 있는 금융회사도 여러 곳 적발됐다.

감사원은 17일 ‘금융권 정보보호 및 사이버안전 관리·감독 실태’ 감사결과를 발표하면서, “금감원이 일부 금융회사에 대해서만 정보·기술(IT) 검사를 실시하는가 하면 ‘해킹 방지대책’ 등 주요 보안 기준을 검사항목에서 누락한 것으로 나타났다”고 밝혔다. 최근 5년 동안 금감원으로부터 검사를 받아야 하는 정보·기술 부문 리스크가 높은 금융기관 144곳(2012년 기준) 가운데 보험개발원 등 46곳은 단 한 차례도 ‘정보·기술 실태평가’를 받지 않은 것으로 드러났다. 또 은행연합회를 비롯한 26개 금융기관은 종합검사격인 ‘정보·기술 검사’ 실적 자체가 전무했다.

감사원은 지난해 11~12월 금융위원회와 금융감독원 등을 대상으로 감사를 실시했다. 2011년 현대캐피탈 해킹으로 175만명의 개인 정보가 유출됐고 같은 해 농협 전산망 마비로 발생한 피해액은 560억여 원에 이른다. 이어 2012년 25개 인터넷쇼핑몰 해킹과 지난해 은행 등 서버를 마비시킨 사이버테러 등 사고가 지속적으로 일어나면서 감사에 착수한 것이다.

게다가 금감원은 정보·기술 안전성에 대한 점검을 하는 과정에서도 30개 기준 조항의 절반인 15개 조항을 아예 제외하거나 미흡하게 반영한 것으로 나타났다. ‘정보처리시스템 보호대책’ ‘해킹 등 방지대책’ ‘홈페이지 등 공개용 웹서버 관리대책’ 등 중요 항목을 빼고 점검했다.

금융회사 외주업체에 대한 보안관리가 허술함에 따라, 은행 등 5개 금융회사 외주업체 직원 피시(PC)에는 해당 금융회사의 전산망 구성도 등 주요 정보를 저장하고 있던 사실도 적발됐다. 또다른 금융회사에선 외주업체가 프로젝트 개발시스템을 통해 운영시스템에 접속, 고객정보를 유출하거나 삭제하는 일이 가능하도록 돼 있었다. 개발시스템과 운영시스템을 분리하지 않으면서 정보 유출 위험을 키운 것이다.

감독 소홀은 개인정보 등이 담긴 전산자료를 허술하게 관리하는 결과로 이어졌다. 한 금융회사는 지난해 7월부터 직원 및 민원인이 함께 사용할 수 있도록 한 본사 1층 휴게실 공용 피시에 투자자 241명의 이름과 연락처, 계좌번호 등이 수록된 파일을 4개월간 저장하고 있었다. 비밀번호 등을 넣지 않고서도 누구나 열람이 가능했다는 뜻이다. 또다른 회사에서도 지난해 4월부터 직원용 피시 3대와 공용피시 1대 등에 개인정보 2만4145건을 암호화하지 않은 채 저장하고 있었던 것으로 나타났다. 외부 유출이 우려되는 데도 감사원 감사가 들어가기전까지는 이런 상황이 방치돼왔다.

황보연 기자 whynot@hani.co.kr