구멍뚫린 금융보안.. 금융당국, 점검·제재 '속도'

[아시아경제 김현정 기자] 최근 금융권에서 IT 보안사고가 빈번하게 발생하면서 금융당국이 이에 대한 제재와 운영체계 확립에 속도를 내고 있다.

13일 금융감독원에 따르면 최근 일부 카드사와 생명보험사, 증권사 등은 홈페이지나 내부업무시스템 비밀번호 관리 등 정보처리시스템 보안을 허술하게 했다는 이유로 금감원으로부터 제재를 받았다. 지난해 15개 금융회사를 상대로 한 테마검사에 대한 결과다. 제재 대상은 신한카드, 신한생명, 푸르덴셜생명, PCA생명, NH농협증권 등 5개 금융회사다.

신한카드는 악의적인 명령어를 주입하는 방식으로 웹 서버를 공격하는 `구조화조회언어(SQL) 주입공격'을 예방하는 데 필요한 프로그램을 설치하지 않아 제재를 받았다.

SQL 주입공격은 웹 클라이언트의 반환 메시지를 이용해 불법 인증을 받고 정보를 유출하는 해킹방식으로, 예방 프로그램이 없으면 해킹공격에 취약해 보안사고가 발생할 가능성이 높다.

신한생명은 외부인이 공인인증서 등 추가 인증을 하지 않아도 아이디와 비밀번호만으로 홈페이지 관리자 페이지에 접속할 수 있도록 시스템을 운영해 전자금융감독규정 제7조와 17조를 위반했다.

푸르덴셜생명은 추가 인증 없이 공개용 웹서버(오피스 웹하드 시스템)에 들어갈 수 있도록 해 같은 규정을 어겼다. 해당 감독규정에 따르면 공개용 웹서버의 안전한 관리를 위해 관리자 등 사용자 계정으로 접속할 때는 아이디와 비밀번호 이외에 공인인증서와 같은 추가 인증수단을 적용해야 한다.

푸르덴셜생명은 자회사 통신망을 자사 내부통신망과 분리하지 않은 것도 문제로 지적됐다. 금융기관은 정보통신망을 해킹 등에서 보호하고자 침입차단시스템 등 정보보호시스템을 설치하고 내부통신망을 다른 기관 내부통신망과 분리해야 한다.

NH농협증권은 주요 정보를 저장할 때 암호화가 불가능한 경우를 제외하고는 암호화 통신을 해야 함에도 불구하고 이를 지키지 않았다. 특히 홈페이지 계정 등 주요정보를 저장하면서 암호화하지 않고 저장해 관리했으며 일부 시스템에서는 해킹 예방프로그램 적용 등의 적절한 대응조치를 취하지 않았던 사실도 적발됐다는 설명이다. 금감원은 이에 따라 담당 직원 1명에 대해 '주의' 조치를 요구했다.

PCA생명은 내부업무시스템의 비밀번호를 암호화하지 않아 IT담당자가 내부 직원의 개인정보에 접근할 수 있는 여지를 뒀다.

금감원은 이와 함께 최근 사고가 잇달았던 농협의 IT 지배구조와 운영체제를 들여다보는 한편, 재발방지 대책 수립과 사후관리에 나선다.

금감원은 지난달 27일부터 농협은행 및 농협생·손보에 대해 사고발생과 관련한 법규위반 여부에 대해 현장검사를 실시하고 있다. 지난 3일부터는 농협중앙회를 검사대상에 포함해 검사를 진행중이며, 10일 발생한 인터넷서비스 장애와 관련해서도 검사를 진행할 예정이다.

금감원 관계자는 "검사결과 사고와 관련해 위법·부당행위가 확인되는 경우 경영진 등 감독자에 대해서도 엄중하게 조치할 것"이라고 강조했다.

김현정 기자 alphag@
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>