금융기관 해킹, 관리감독 허술이 발단

최근 제2금융권 7곳이 무더기로 해킹되는 등 금융기관 해킹사고가 잇따르면서 이들의 보안 상태를 점검해야 할 금융당국의 허술한 감독체계가 문제가 되고 있다.

30일 금융감독원 및 업계에 따르면 이번에 사고가 발생한 제2금융권은 금융감독당국의 감독 대상에 포함되지 않아 관리체계에 문제가 있는 것으로 나타났다.

최근 인천모아저축은행을 포함, 제2금융권 7개 은행 시스템은 미국인 해커 J씨로부터 해킹되는 사고가 발생했다.

해킹을 당한 은행은 인천 모아저축은행, 솔로몬저축은행 본점, 부천 삼신저축은행, 광명 융창저축은행, 부산 우리저축은행, 전북 스타저축은행, 전남 보해저축은행 등 총 7곳.

금융감독원과 금융위원회를 비롯한 관계기관은 해킹 사고가 발생하자 부랴부랴 지난 19일 금융회사 전산시스템 안전성 현황 점검회의를 열고 28일 회의 결과를 바탕으로 고객정보 해킹 관련 대책을 발표하기도 했다.

하지만 이번 대책은 그간 금융기관 관리에 소홀했던 금융당국이 책임을 덮기위한 면피성 대책이라는 지적이 일고 있다.

◆금융당국 대책, 면피성에 불과

금융감독원은 전자금융감독규정시행세칙에 따라 매년 금융기관을 대상으로 정보보호 실태 등을 관리 감독해 왔다.

그러나 금감원은 금융기관의 보안 실태를 점검했지만, 이번에 사고가 발생한 제2금융권은 관리 감독 대상에 포함하지 않았던 것으로 나타났다.

경찰청 조사 결과 피해 은행중 2곳을 제외한 5곳이 침입차단시스템(IPS/방화벽) 등의 기본적인 보안 솔루션을 전혀 갖추지 않았으며, 인터넷망과 금융망을 분리하지 않아 해킹에 무방비 상태인 것으로 밝혀졌다.

제대로된 관리감독이 이뤄졌다면 예방이 가능했을 수 있다는 뜻이다.

◆형식적 관리 감독이 피해 키워

제2금융권 상호저축은행의 경우 상호저축은행 중앙회가 통합전산망을 운영, 시중 110여개의 상호저축은행중 70여개에 달하는 은행이 중앙회 소속으로 돼있다.

금융감독원은 상호저축은행 중앙회가 통합전산망을 운영, 별도로 원장을 관리하기 때문에 보안체계가 구축됐다고 판단하고 중앙회 소속 상호저측은행에 대해서는 점검을 실시하지 않은 것으로 드러났다.

금감원 관계자는 "그간 실태점검 대상에 제2금융권은 포함되지 않은 경우가 많았다"며 "모든 금융권을 대상으로 실태점검을 할 수 없어 은행·증권 등 대형 금융기관을 중심으로 선별해 실태 조사를 했다"고 말했다.

또 다른 관계자는 "관리 감독 인력 부족 등을 이유로 제2금융권이 실태 점검 대상에서 후순위로 밀린 게 사실"이라며 "6월 진행될 실태 점검에는 7곳의 피해 은행을 포함했다"고 말했다.

하지만 보안업계는 이 역시 근본적인 대책이 아니라는 입장이다. 금감원이 6월 46개 금융회사를 선별해 실태 점검에 나서겠다고 했지만, 시중 은행은 수백여개에 달하기 때문이다.

결국 일부 제2금융권은 여전히 관리 감독 대상에서 제외, 보안의 사각지대에 놓일 수밖에 없다는 지적이다.

◆IT전문검사인력 확충 시급

금융위원회의 대책 역시 형식적이라는 지적이다. 금융위는 255개 금융회사에 대해 5월말까지 자체적으로 취약점을 점검·보고토록 지시했지만, 이는 말그대로 자체적인 보안 점검에 불과하다는 것.

특히 금융위원회의 경우 IT전문검사인력조차 없다.

한 보안전문가는 "제2금융권 보안 상태가 형편없는 것이 사실"이라며 "IPS와 방화벽은 외부 침입을 막는 기본적인 보안 솔루션임에도 불구하고, 전혀 도입하지 않은 기관이 비일비재하다"고 말했다.

업계 관계자는 "이번 해킹 사고는 금융당국의 형식적인 실태 점검이 자초한 일"이라며 "실태점검 대상을 전 금융기관으로 확대하고, IT전문검사인력을 충분히 배치하는 일이 선행돼야 한다"고 지적했다.