감사원 적발…용역업체 직원이 고객정보 삭제 가능한 운영시스템

농협전산망 마비 사고나 정부 기관에 대한 사이버테러 등 대규모 피해를 부르는 사이버공격이 잦아졌음에도 불구하고 여전히 정부의 관리·감독이 제대로 안 되는 것으로 드러났다.

감사원은 지난해 11∼12월 금융위원회, 금융감독원 등을 대상으로 ‘금융권 정보보호 및 사이버안전 관리·감독실태’를 감사해 모두 18건의 부당업무나 업무 태만을 적발했다고 17일 밝혔다.

감사원에 따르면 금감원은 은행·카드·보험·증권 등 금융회사의 정보기술(IT) 부문에 대한 검사와 운영실태평가를 하도록 한 관련 규정을 위반해 최근 5년간 보험개발원 등 46개 금융기관이 실태평가를 전혀 받지 않았다.

이와 함께 은행연합회를 포함한 26개 금융기관은 종합검사격인 IT검사조차 받지 않은 것으로 드러났다.

금감원은 또 IT안전성에 대한 점검을 할 때도 30개 기준 조항의 절반인 15개 조항을 아예 제외하거나 허술하게 반영, 금융회사 등에서 해킹방지 프로그램 보정이나 내부망 보호구간 설정 등의 안전 조치가 이뤄지지 않았다고 감사원은 밝혔다.

한편, 금융위원회는 지난해 7월 ‘금융전산 보안강화 종합대책’을 마련하면서 금융회사의 보안과 관련해 이미 알려진 취약점을 개선안에 반영하지 않았다.

이 때문에 금융회사의 업무시스템에 대한 보안관제(실시간 감시·분석·대응 작업) 및 주요 프로그램에 대한 수정·보완 작업이 제때에 이루어지지 않아 해킹 위협에 노출된 것으로 드러났다.

아울러 금융위원회는 금융회사가 외주업체에 대한 보안관리를 체계적으로 할 수 있는 규정을 갖추지 않아 시중 5개 은행은 용역업체 직원의 컴퓨터에 은행 전산망 구성도 같은 주요정보가 저장된 사실도 적발됐다.

그중에는 외주업체가 개발시스템을 통해 운영시스템에 접속함으로써 고객정보를 유출하거나 삭제할 가능성이 있는 곳도 적발됐다고 감사원은 밝혔다.

금융위원회는 모바일 뱅킹(스마트폰을 통한 금융용무 처리)을 위한 스마트폰 앱(응용프로그램) 관련 규정도 만들지 않아 시중에 나온 72개 모바일 앱 중 38개 앱에서 보안취약점이 발견, 금융정보 유출 우려가 있는 것으로 전해졌다.

미래창조과학부는 음악이나 동영상 같은 콘텐츠 구입비를 통신요금에 포함해 결제할 수 있는 휴대전화 소액결제 사업을 관리·감독하면서 등록자격이 없거나 부당 결제를 유도하는 업체들을 방치, 소비자 피해가 속출하고 있다.

이 때문에 2010년부터 지난해 8월까지 모두 14만건의 부당결제에서 46억원의 피해가 발생했다고 감사원은 밝혔다.

감사원은 이들 기관에 대해 업무를 철저히 하라는 주의나 개선방안 마련을 통보했다.

한편 감사원에 따르면 이번 감사는 카드사 개인정보 유출 사고가 발표되기 전에 실지감사를 마친 것으로 카드사 개인정보유출 관련 감사는 별도로 처리 중이다.

연합뉴스