금융회사 전자금융사고 최근 5년간 1,506건 발생...금융시스템 안정성 확보 불가
김선동 의원, 정보기술 역량 강화토록 평가제도 개선해야

(금융경제신문 김사선 기자) 금융회사 10개사 중 8개사는 사이버 공격에 취약하다는 지적이 제기됐다.

자유한국당 김선동 국회의원(서울 도봉구을, 정무위)은 금융회사 전자금융 사고가 최근 5년간 1,506건이나 발생하고 있는데 금융감독원 정보기술 실태평가결과, 10개 중 8개는 즉각적인 시정을 요하는 다양한 취약점을 내포한 3등급을 받고 있다고 밝혔다.

북한 핵EMP 공격으로 금융거래 전산망이 마비되는 것을 대비하여 금감원은 중요자료 차폐설비와 해외 백업센터를 제한적으로 활용하는 방안을 검토하고 있다.

현재도 북한해커의 해킹 공격으로 현금을 탈취하거나 개인정보가 유출되는 금융보안사고가 지속적으로 발생되고 있고, 정보기술사고 또한 많아 금융 시스템 안정성이 위협받고 있는 실정이다.

국내 금융회사 전자금융사고 발생 현황을 분석한 결과, 최근 5년간 무려 1,506건이나 보고되고 있는 것으로 나타났다.

특히, 해킹으로 인한 정보유출, 디도스(DDoS) 공격, 홈페이지 위변조, 악성코드감염 등 악의적인 범죄가 지속적으로 발생하고 있고, 올해만 하더라도 21건이나 발생하여 지난해 대비 3.5배 증가하였다.

프로그램 오류, 시스템 장애, 전산설비 관련 장애 등으로 인해 10분 이상 시스템이 지연·중단되거나 전산자료 또는 프로그램 조작에 의한 금융사고도 한해 평균 300여건 발생되면서 소비자들이 큰 불편을 겪고 있는 실정이다.

금융회사 전자금융사고는 1건만 터져도 수천만건의 개인정보가 유출되는 2차 피해로 이어져 사건이 일파만파 커진다는 특수성이 있다.

올해만 하더라도 북한해커가 현금자동입출금기(ATM)를 해킹하여 24만건의 금융정보를 빼돌려 신용카드로 복제한 후 현금인출과 현금서비스를 이용하여 총 1억3천만원(302건)의 피해가 발생하였다.

지난 7월에는 20대 해커가 3,300만건의 개인정보를 빼돌렸는데 투자선물회사 개인정보 30만건이 포함되었다.

조선족 해커가 국민카드와 우리카드 홈페이지에서 무기명 기프트카드 정보를 부정 사용하여 4억49백만원을 탈취하는 사건도 발생한 바 있다.

상황이 이런데도 금융보안원이 실시하는 금융회사 사이버공격 대응훈련 결과를 보면 아무런 문제없이 정상수행을 한다고 발표하고 있다.

최근 3년간 453개 금융회사에 대한 DDos, 해킹, APT공격 훈련을 했는데 전 회사에서 정상수행하고 있다는 결과가 나왔다.

금융보안사고와 정보기술사고가 1,506건이나 발생되고 있고, 실제 해커공격으로 금전적 피해가 발생하고 있는데 훈련결과는 정상이라는 한다면 하나마나한 훈련을 하고 있다는 것이다.

심각한 것은 금감원이 매년 시행하는 금융회사 정보기술부문 실태평가도 금융회사의 개선노력을 끌어내지 못하고 형식적으로 운용되고 있다는 것이다.

최근 5년간 총 87번의 평가를 하였는데 최우수(1등급)와 최하위(5등급)는 0건이었고, 80%가 보통 등급 수준인 3등급에 머무르고 있다.

평가규정의 3등급이 의미하는 바는 “전자금융업무와 정보기술부문 전반에 걸쳐 즉각적인 시정을 요하는 다양한 취약점을 내포하고 있어 이를 시정하기 위해 통상적인 수준 이상의 감독상의 주의가 요구됨”인데, 평가 등급이 상향되지 않고 계속 제자리걸음만 하고 있는 것이다.

김선동의원은 “북한 해킹 기술이 갈수록 지능화, 집단화되고 있는데 금융회사 전자금융기술 수준은 3등급, 삼류실력에 머무르고 있고 금감원 평가도 유명무실한 상태로 이런 상황을 방치한 금감원의 책임이 특히 크다”며, “금감원의 존재이유가 금융시스템 안정성 유지·감독인 만큼 정보기술 역량을 강화시킬 수 있도록 평가제도를 개선해야 한다”고 강조했다.

저작권자 © 금융경제신문 무단전재 및 재배포 금지