[끊이지 않는 금융공기업 전산사고]②
연례행사로 전락한 금융공기업 자체 IT검사
서울보증, 침해사고 훈련 연간 한차례만
HUG, 서버 과부하 관련 점검 미흡
"원인분석해 실질적 예방체계 구축을"
개인정보 정책도 외부자문은 1곳뿐
"보호 종류·범위 재정의해 관리해야"
연례행사로 전락한 금융공기업 자체 IT검사
서울보증, 침해사고 훈련 연간 한차례만
HUG, 서버 과부하 관련 점검 미흡
"원인분석해 실질적 예방체계 구축을"
개인정보 정책도 외부자문은 1곳뿐
"보호 종류·범위 재정의해 관리해야"
[이데일리 김나경 기자] 전세대출 보증서 발급 등 국민 일상에 밀접한 일을 수행하는 금융보증기관의 잇따른 사이버 사고는 타성에 젖은 관행적 점검과 보안 불감증이 복합적으로 작용한 결과다. 금융보안 컨트롤타워와 관련 법제는 이미 갖춰져 있지만 각 사의 업무 내용을 고려한 디테일이 빠진 데다 개인정보 보호정책 또한 회사별 특성에 따른 맞춤 설계가 부족한 실정이다. 홈페이지, 정보기반시설 취약점 점검과 사이버 사고 모의훈련 등이 연례행사로 전락해 실질적인 사고 예방으로 이어지지 않고 있다. 전문가들은 금융권 내부통제와 같이 사이버 보안에 대해서도 내재화·고도화가 필요하다고 강조한다.
◇가이드라인 유명무실, IT 보안점검 ‘연례행사’ 전락
5일 SGI서울보증과 주택도시보증공사, 주택금융공사, 신용보증기금, 기술보증기금이 국회 정무위원회 강준현 더불어민주당 의원실에 제출한 자료를 이데일리가 입수해 분석한 결과 각 사의 IT 자체점검은 시행 내용과 주기가 모두 다르고 기관별로 편차가 컸다. 작은 금융사고가 있었지만 예방에 소홀했다가 결국 대형 사고로 드러난다는 ‘하인리히 법칙’이 이번에도 맞아떨어졌다.
점검 내용을 살펴봐도 홈페이지 취약점 점검, 보안시설과 지점 점검 등 가이드라인을 따르는 수준에 그쳤다. 서울보증은 매년 진행하는 IT부문 내부감사, 연 2회 실시하는 홈페이지 보안 취약점 분석·평가 등 지난해 총 9회 IT 점검을 진행했다. 침해사고 대응훈련을 연간 한 차례 실시했을 뿐 예방적 점검은 없었다.
![[이데일리 이미나 기자]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/24/2025/08/05/c73404132e81424aaa2095c6b79f6d78.jpg) |
[이데일리 이미나 기자] |
◇가이드라인 유명무실, IT 보안점검 ‘연례행사’ 전락
5일 SGI서울보증과 주택도시보증공사, 주택금융공사, 신용보증기금, 기술보증기금이 국회 정무위원회 강준현 더불어민주당 의원실에 제출한 자료를 이데일리가 입수해 분석한 결과 각 사의 IT 자체점검은 시행 내용과 주기가 모두 다르고 기관별로 편차가 컸다. 작은 금융사고가 있었지만 예방에 소홀했다가 결국 대형 사고로 드러난다는 ‘하인리히 법칙’이 이번에도 맞아떨어졌다.
점검 내용을 살펴봐도 홈페이지 취약점 점검, 보안시설과 지점 점검 등 가이드라인을 따르는 수준에 그쳤다. 서울보증은 매년 진행하는 IT부문 내부감사, 연 2회 실시하는 홈페이지 보안 취약점 분석·평가 등 지난해 총 9회 IT 점검을 진행했다. 침해사고 대응훈련을 연간 한 차례 실시했을 뿐 예방적 점검은 없었다.
업무량 과다로 서버 과부하 문제가 빈번한 주택도시보증공사(HUG)에서는 같은 문제를 최소화하기 위한 별도의 IT 점검은 없었다. 네이버 클라우드 모의침투 테스트, 홈페이지 대상 자체 모의해킹 등 예방적 점검을 펼쳤지만 데이터베이스(DB) 과부하에 대한 문제 예방·대응 절차는 미흡했던 셈이다. 이와 관련 주택도시보증공사 관계자는 “지난해 말 정보시스템 안정화를 위한 태스크포스(TF)를 구성해 서버 부하 감소를 위한 프로그램 최적화 등 조치를 취하고 있다”며 “근본적 문제 해결을 위해 이달 중 DB 서버를 교체할 예정”이라고 말했다.
기관별로 편차도 컸다. 기술보증기금은 고의적인 해킹을 통해 보안 미비점을 점검하는 화이트 해커 등 IT 자체검사에 대해 “해당사항이 없다”고 밝혔지만 주택금융공사는 월별·분기별 자체 점검과 외부 사이버보안 전문기업을 통한 대응훈련 등 지난해 총 20회 IT 점검을 시행했다고 보고했다.
이기혁 중앙대 산업보안학과 교수는 “대형 기관이라면 침해사고 모의훈련, 화이트해커 모의해킹을 모두 시행하기는 한다. 하지만 실제 해커로서 해킹을 진행하는 실제 모의훈련이라기보다 가이드라인에 나와 있는 체크리스트를 기반으로 관행적으로 진행할 때가 대부분이다”며 “금융보증기관이라는 업무 특성에 맞는 구체적인 IT 점검은 부족하다”고 지적했다.
![[이데일리 이미나 기자]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/24/2025/08/05/ef377de8d4184c3db279d2097ff41d9e.jpg) |
[이데일리 이미나 기자] |
업계 특성 반영 못 하는 개인정보 보호정책 문제
지난달 서울보증 랜섬웨어 공격 사고로 고객 개인정보가 유출됐다는 우려가 계속 나오고 있는 가운데 민감한 개인정보를 가진 금융보증기관의 개인정보 보호정책 역시 관련 법·제도를 준수하는 수준이다. 각 사는 개인정보보호법과 신용정보보호법 등에 따라 업무지침, 내부관리 계획 등의 정책을 마련하고 있다. 하지만 5개 보증기관 중 개인정보 보호정책에 관해 외부서 자문받는 곳은 주택금융공사 한 곳뿐이었다. 다른 기관들은 개인정보 유출 사고가 발생하지 않았고 관련 법에 따라 업무지침·위원회를 운영하고 있어 별도로 외부로부터 자문받진 않고 있다. 하지만 SKT 유심 사태에서 보듯 보호해야 할 개인정보 범위와 운영정책은 시시각각 업데이트하고 외부 전문가의 점검도 필요하다. 이기혁 교수는 “주민등록번호, 운전면허증 번호 등 기존의 개인 고유식별 번호만 암호화해서 되는 것이 아니다. 금융보증기관에서 철저하게 보호해야 할 개인정보 종류·범위는 산업의 특성에 맞게 다시 정의해야 한다”고 강조했다.
각 기관이 사이버 금융사고 발생했을 때 피해 규모를 신속히 파악할 방법이 없다는 것도 문제다. 개인정보 유출을 밝히기까지 시간이 걸리는 데다 피해 종류와 금전적 규모를 산정할 표준화한 체계도 없다. 사이버 금융사고에 따른 제2의 카드사태(개인정보 유출 사고)를 막기 위해서는 모든 업무절차에 금융보안을 녹이고 임직원의 인식을 높여 ‘철저한 보안 문화’가 필요하다는 제언이 잇따르고 있다. 이 교수는 “보안은 비용 문제라고 생각하는 데 꼭 필요한 투자다. 회사의 모든 업무 프로세스 안에 사이버보안과 개인정보 보호를 지키는 체계를 내재화해야 한다”며 “금융보안을 지키도록 업무절차를 설계해 당연한 절차와 문화로 정착시켜야 한다”고 말했다.
이번 금융공공기관 사이버 금융사고 현황을 조사한 강준현 의원은 “보증기관의 사이버 금융사고가 반복되고 있음에도 실질적인 재발방지 대책이 부재하다는 점은 심각한 문제다”며 “보여주기식 점검이 아니라 사고 원인·대응체계를 분석해 국민의 피해를 예방할 수 있는 시스템을 구축할 필요가 있다”고 강조했다.
사이버 금융사고 리스크 관리와 관련해 강 의원은 “주요 보증기관이 사이버 보험에 가입하지 않고 사고 피해를 자체 예산으로 충당하는 구조는 국민 재산권 보호에 대한 무책임한 접근이다”며 “금융공기업의 사이버 보험 가입 의무화를 검토하고, 보장 범위를 현실화하는 기준을 신설해야 한다”고 덧붙였다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.