[이데일리 김국배 김나경 기자] 국내 금융회사 대부분은 사실상 연 1회 수준의 취약점 점검에 의존하고 있는 것으로 확인됐다. 롯데카드가 오래된 보안 취약점 업데이트를 누락해 해킹 사고가 발생한 가운데, 시시각각 변하는 IT 환경에서 연 1회 점검 주기로는 보안 공백을 메우기 충분치 않다는 지적이 제기된다. 보안 인증·평가 제도를 놓고도 실효성이 떨어진다는 비판이 나온다.



[이데일리 김정훈 기자]



25일 금융권에 따르면 전자금융 감독 규정 제37조의 2는 300명인 이상인 금융회사나 전자금융업자는 연 1회 이상 취약점 분석·평가를 실시(홈페이지는 이자계산프로그램 6개월에 1회 이상)하도록 규정하고 있다. 최소 기준이지만 금융사는 대개 연 1회 규정을 따르는 실정이다. 국내 기업들이 취득하고 있는 정보보호와 개인정보보호 관리체계(ISMS-P) 인증 제도에서도 주요 시스템에 대해 연 1회 이상 취약점을 점검하라고 명시하고 있다. 실제로 297만명의 개인정보 유출 피해를 일으킨 롯데카드도 정보시스템, 네트워크 장비, 정 집값상승 보보호시스템 등 인프라 취약점은 연 1회, 웹·앱 취약점은 반기에 한 번 진행했다.

하지만 보안 전문가 사이에선 감독 규정이든 보안 인증 기준이든 1년 단위의 보안 취약점 주기가 짧다는 지적이 나온다. 취약점 점검은 사람으로 치면 일종의 ‘건강검진’인데 시시각각 변하는 IT 환경에선 부족하다는 것이다. IT환경은 소프트 신한은행신용대출조건 웨어 업데이트, 외부 공격 기법 등장 등 보안 상태가 수시로 달라지기 때문에 ‘연 1회’ 점검이 사후 확인에 그칠 수 있다는 설명이다. 김홍선 전 SC제일은행 정보보호최고책임자는 “IT 환경에선 현재 시점과 1시간, 2시간 후 보안 상태가 다를 수 있다”며 “취약점 진단 주기를 좀 더 짧게 가져가는 것이 필요하다”고 말했다.
정보보호 상시 애플캐피탈 평가도 서면 점검에 그치는 상황이다. 금융보안원이 국회 정무위원회 강준현 더불어민주당 의원실에 제출한 자료에 따르면 금융보안원은 정보보호 상시 평가를 서면 점검으로만 진행했다. 특히 서버 접근 통제나 망분리, 백업 관리 등 IT보안의 기술적 조치 사항은 점검 대상에 해당하지 않는다. 실효성이 없다는 지적이 제기되자 금융보안원은 평가제도 개선에 나선 상태다 1년 퇴직금 . 금융보안원은 강준현 의원실에 제출한 자료에서 “서버접근통제, 백업관리 등 IT보안의 핵심 기술적 보호조치를 정보보호 상시평가 기준에 반영하는 것을 검토하고 있다”며 “해킹 등 침해사고 원인과 정보보호 상시평가의 연관성을 분석해 (사고 발생시) 감점처리를 하는 방안도 검토 중이다”고 말했다.
일각에선 보안 인증 제도가 유명무실하다는 목소리도 나온다. 금융보안원 등 심사기관은 인증 수수료로 수익을 내고 인증을 받은 금융사는 사이버 보험료를 아끼는 등 ‘그들만의 리그’로 전락했다는 비판도 있다. 금융업계 관계자는 “통상 금융사들이 ISMS-P 심사 비용으로 1000만원을 낸다”며 “금융보안원은 심사비를 받고, 인증을 받은 금융사는 개인정보보호법상 손해배상책임 보험에 가입할 때 보험료를 아낄 수 있어 양측의 이해관계가 맞아 떨어진다”고 지적했다.
그러나 전문가들은 보안 인증이 해킹을 100% 막을 수 있다는 뜻은 아니며 보안 체계를 운영할 준비가 됐다는 의미라고 설명한다. 다만 업종별 등급을 나눠 통신·금융사 대상으로는 취약점 점검 주기를 더 짧게 하는 등 인증 기준을 차등화하는 방안을 고려해야 한다는 의견이다. 업종별·위험자산별로 위험도를 달리해 지금보다 실효성을 높여야 한다는 차원이다. 염흥렬 순천향대 정보보호학과 교수는 “중소기업은 1년에 한 번 점검하기도 쉽지 않을 수 있다”며 “통신사, 금융사 등 민감 정보를 많이 보유한 고위험 산업군에 대해 인증 기준을 높여 실효성을 강화할 필요는 있다”고 했다.
김국배 (vermeer@edaily.co.kr)