금융권 IT보안감독 대폭 강화

저축은행 부실 등으로 몸살을 앓고 있는 금융감독원은 현대캐피탈, 농협 등 금융 사고와 관련, 사고 재발을 막기 위해 금융권의 자체적인 금융 감독 기능을 강화하도록 유도하기로 했다. 전자금융사고 보고 제도를 개선해 단계별로 발생→ 중간→ 종료보고 등 단계별 보고제도를 만들고, 전자금융사고에 대한 보고 및 처리체계를 정립키로 했다.

금융당국의 이 같은 방침에 따라 현대캐피탈은 사장 직속으로 30명 규모의 정보보안팀을 신설하고 최고정보보호책임자(CSO)를 두기로 했다.

◇ 금융회사 자체 방어능력 키우도록 유도
금융당국이 40개 금융회사에 대한 정보기술(IT) 보안 실태 점검에 나선다.

금융위원회와 금융감독원은 18일 금융결제원을 비롯한 5개사 금융보안 전문가와 함께 만든 민·관 합동 태스크포스(TF)에서 이달말까지 40개 금융회사에 대한 보안실태를 점검한다고 밝혔다. 점검 대상은 은행·증권·카드 각 4개사, 생명보험·손해보험·할부금융·리스 각 상위 5개사와 저축은행 상위 8개사다.

이중 하나은행, 대한생명 등 대형 금융회사와 솔로몬저축은행을 비롯해 2008년 해킹 피해를 입었던 저축은행 일부가 포함됐다. TF는 점검항목을 만들어 이들 회사에서 IT 보안 조치가 제대로 이뤄지고 있는지 점검하고 있다. TF는 이와 별도로 지난달 11일부터 한 달 동안 전체 금융회사의 IT 보안실태를 서면조사했다.

금감원은 검사업무 효율성 제고를 위해 IT 검사반을 사전 검사반으로 운영하고 사전 검사자료를 금융회사 전산시스템과의 일치하는 지 여부를 집중적으로 검증할 계획이다. 또 IT 부문 경영실태 평가를 지속적으로 실시하기로 했다. 금감원은 상반기중으로 손해보험사 및 저축은행을 대상으로 업무보고서 등 제출자료에 대한 금융회사 전산 프로세스를 점검, 금융회사 업무보고서에 대한 적정성 검증을 추진할 예정이다.

금감원은 IPTV 등 신기술에 대한 전자금융거래 안정성 가이드라인도 마련하고 신규 취약점 모니터링 체계 구축 및 취약점 발견시 즉시 새로운 보안대책을 만들기로 했다.
금감원은 IT보안 등 의견교류 활성화를 위해 금융정보보호협의회 기능을 권역별로 나눠 금융회사 CIO 간담회 등도 추진하며 정보보호 관련 학계 및 단체와의 협력도 강화해나갈 계획이다. 금융감독원은 직무별 업무분리, 주요업무 이중승인, 외부기관의 주기적 점검, DR 관련 규정 구체화, 대응훈련 실효성 강구 등을 지속적으로 추진해 나갈 방침이다.

◇ 현대캐피탈, 사장 직속으로 30명 규모 IT보안전담팀 신설

한편, 이날 이익중 금융감독원 여신전문감독국장은 현대캐피탈 검사결과를 발표하면서 “해킹 사건의 주범인 해커 신모씨와 신씨의 도움을 받아 현대캐피탈 서버에 접근해 개인정보를 빼낸 대출중개업체 팀장 윤모씨가 사용한 IP가 모두 9개 발견됐다”고 밝혔다. 사건 초기에는 신씨가 필리핀 등을 경유해 고객 42만명의 이름과 주소, 이메일 등을 해킹할 때 사용한 IP 두개가 검출됐다. 그러나 추후 조사 과정에서 윤씨가 서초동 PC방 등에서 133만명의 정보를 가져가는 데 쓴 IP와 신씨가 현대캐피탈에 협박메일 등에서 7개의 IP가 추가로 발견된 것으로 전해졌다.

신씨 등이 빼내간 175만명의 개인정보 중 현재 현대캐피탈과 거래가 있는 실질적인 고객은 67만명에 달하는 것으로 조사됐다. 과거 고객이었다가 거래가 종료된 경우가 81만명, 단순히 홈페이지 회원 가입자나 현대캐피탈 직원이 27만명이었다. 비밀번호가 유출된 프라임론패스 고객도 사건 초기 1만3000명에서 9900명으로 줄었다. 이중에서도 사용 기간이 만료된 고객 3500명 포함돼 유효고객은 6400명 정도로 집계됐다.
현대캐피탈 관계자는 “자료가 마구잡이로 엉켜 있어 세밀하게 확인하는 데 시간이 걸린다”며 “사건 초기에는 의미 있는 숫자로 보이는 것을 우선 파악했다”라고 말했다.

현대캐피탈 해킹 사건 이후 피해대책센터에는 4만9700여건의 문의가 있었고 이 가운데 불만을 토로한 것은 400건에 달했다. 나머지는 현대캐피탈과 현대카드의 안전성 등을 묻는 단순 문의였다고 현대캐피탈은 설명했다.

현대캐피탈은 이번 해킹 사건을 계기로 정태영닫기정태영기사 모아보기 사장 직속에 30명 규모의 IT 정보보안팀과 정보기술팀을 신설할 계획이다. 또 IT보안을 전적으로 책임질 최고정보보호책임자(CSO)를 외부에서 물색 중이다. 이 회사는 IT보안시스템을 전반적으로 개선하기 위한 컨설팅 작업에 착수했으며 개인정보 보호를 위한 캠페인 활동 등을 검토하고 있다.

현대캐피탈은 보안 관련 예산도 증액할 계획인 것으로 전해졌다. 현대캐피탈의 IT 예산 대비 보안 투자 비중은 2008년 10%, 2009년 4%, 지난해 6% 수준이었다. 금감원 권고는 5% 수준이다.

현대캐피탈 관계자는 “지금도 투자가 부족한 것은 아니지만 하드웨어, 소프트웨어 등 모든 관리 측면에서 획기적인 변화를 위해 대응책을 마련할 것”이라고 말했다.

이에 앞서 BC카드는 지난달에 부서별로 분산된 신용정보관리와 정보보호에 관한 업무를 총괄하는 `정보보안실’을 신설한 바 있다. 정보보안실은 IT기술 보안, 신용정보 보호ㆍ관리, 정보보호 감시 등 모든 정보보안에 관한 모든 업무를 관리, 감독하는 통제센터 역할을 하게 된다. 이처럼 금융권의 IT기술 보안전담 조직이 신설되면 농협 전산 마비 사태까지 겹치면서 금융권의 IT 보안의식이 높아진 만큼 변화가 예상된다.



김의석 기자 eskim@fntimes.com