|
◇상시평가에서 서면 점검만 한 금융보안원
25일 금융보안원이 국회 정무위원회 강준현 더불어민주당 의원실에 제출한 자료를 이데일리가 입수해 분석한 결과 보안원은 정보보호 상시평가를 할 때 서면 점검만 진행했다. 보안원은 강준현 의원실에 제출한 자료에서 “정보보호 상시평가는 기업의 개인신용정보 활용·관리 실태에 대해 신용정보보호법에 규정된 사항을 점검하는 제도다”며 “보안원은 금융사가 자체 평가한 법 규정 준수 여부를 서면으로 점검한다”고 밝혔다. 특히 보안원은 “서버접근통제나 망분리, 백업관리 등 IT보안의 기술적 조치 사항은 점검 대상에 해당하지 않는다”며 IT보안 기술을 점검할 의무가 없다고 했다.
현행 금융분야 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 방식 또한 허술한 건 마찬가지다. 금융분야 인증기관은 보안원이지만, 심사기관은 정보통신진흥협회·정보통신기술협회·개인정보보호협회·차세대정보보안인증원 등 네 곳이다. 한국인터넷진흥원(KISA)의 ISMS-P 인증심사원 시험에 통과한 심사원이 통상 열흘가량 심사를 진행한다. 금융권 고위 관계자는 “ISMS-P 인증은 정보보호, 개인정보보호 관리체계와 조직, 인력 등 인프라를 갖췄는지 보는 것이지 금융보안 수준을 실질적으로 평가·분석해서 인증해주는 것이 아니다”며 “음식점이 돈을 주고 ‘모범 업소’ 마크를 받는 것과 같이 대외에 잘 보이기 위한 용도로 받는다. 인증을 받았다고 보안이 뛰어나다든지 크게 변별이 없다”고 말했다.
실제 보안원의 최고 평가등급과 인증서를 받은 금융사들에서 대규모 사이버금융 침해사고가 터졌다. SGI서울보증은 최근 4년간 보안원 상시평가에서 ‘S등급(최고등급)’을 받았지만 지난 7월 랜섬웨어 공격으로 81시간 동안 전산이 먹통 됐다. 롯데카드는 지난 8월 12일 보안원에서 ISMS-P 인증을 받은 지 이틀 만에 정보유출이 시작됐다.
|
◇인증받은 금융사, 보험료 절감…사고예방은 미흡
이런 상황에 금융분야 정보보호 평가·인증은 ‘그들만의 리그’로 전락하고 있다. 업계 고위 관계자는 “보안원의 인증을 받은 금융사는 이미지도 좋아지고 개인정보보호법상 손해배상책임 보험에 가입할 때 보험료를 아낄 수 있어 나쁠 게 없다”고 지적했다.
보안원은 뒤늦게 평가제도 개선에 나섰다. 보안원은 강준현 의원실에 제출한 자료에서 “서버접근통제, 백업관리 등 IT보안의 핵심 기술적 보호조치를 정보보호 상시평가 기준에 반영하는 것을 검토하고 있다”며 “해킹 등 침해사고 원인과 정보보호 상시평가의 연관성을 분석해 (사고 발생 시) 감점처리를 하는 방안도 검토 중이다”고 설명했다.
문제는 여전히 금융소비자가 보안원의 정보보호 평가·인증을 받은 금융사는 ‘보안 수준이 높은 곳’이라고 믿고 있다는 점이다. 보안원의 평가·인증제도가 서류 중심의 형식적 점검임을 고려할 때 개인정보를 믿고 맡겨도 되는 기업이라고 오해하고 있는 셈이다. 국회에서도 보안원이 제 역할을 하지 못하는 점을 무겁게 질타하고 있다. 야당 정무위원들은 지난 23일 롯데카드 피해자 보호 방안 및 재발 방지 대책 간담회에서 “인증을 하는 만큼 페이를 받았는데 이틀 만에 해커가 들어왔다. 보안원이 존재하는 이유가 무엇이냐”며 보안원의 책임을 물었다. 강준현 의원은 “금융산업의 신뢰는 곧 보안에서 시작한다”며 “인증제도가 단순한 비용 거래나 형식적 절차로 전락하지 않도록 정보보호·보안 평가 기준과 감독 체계를 정비해 국민이 안심할 수 있는 금융보안 환경을 만들어야 한다”고 강조했다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
