[단독]금융사 IT 취약점 점검 연 1회 불과…해커 공격에 속수무책

[감독규정·보안인증 곳곳서 빈틈]
'최소 기준' 충족 관행…"수시로 변하는 보안환경에 불충분"
보안 인증 차등화 목소리…"고위험 산업군 인증 기준 높여야"

[이데일리 김국배 기자] 국내 금융회사 대부분은 사실상 연 1회 수준의 취약점 점검에 의존하고 있는 것으로 확인됐다. 롯데카드가 오래된 보안 취약점 업데이트를 누락해 해킹 사고가 발생한 가운데 시시각각 변하는 IT 환경에서 연 1회 점검 주기로는 보안 공백을 메우기 충분치 않다는 지적이 제기된다.

[이데일리 김정훈 기자]

25일 금융권에 따르면 전자금융 감독 규정 제37조의 2는 300명인 이상인 금융회사나 전자금융업자는 연 1회 이상 취약점 분석·평가를 시행(홈페이지는 6개월에 1회 이상)하도록 규정하고 있다. 최소 기준이지만 금융회사는 대개 연 1회 규정을 따르는 실정이다. 국내 기업들이 취득하고 있는 정보보호와 개인정보보호 관리체계(ISMS-P) 인증 제도에서도 주요 시스템에 대해 연 1회 이상 취약점을 점검하라고 명시하고 있다.

보안 당국 관계자는 “ISMS상 연 1회 의무는 없지만 보통 내부 관리 계획을 연 1회 점검하도록 하다 보니 보안 조치 관련 최대 점검 주기도 1년에 그치고 있다”며 “다만 기업 규모나 정보 중요도에 따라 더 짧게 하는 곳들도 있다”고 했다. 실제로 297만명의 개인정보 유출 피해를 일으킨 롯데카드도 정보시스템, 네트워크 장비, 정보보호시스템 등 인프라 취약점은 연 1회, 웹·앱 취약점은 반기에 한 번 진행했다.

하지만 보안 전문가들 사이에선 1년 단위의 보안 취약점 주기가 짧다는 지적이 나온다. 취약점 점검은 사람으로 치면 일종의 ‘건강검진’인데 시시각각 변하는 IT 환경에선 부족하다는 것이다. IT환경은 소프트웨어 업데이트, 외부 공격 기법 등장 등 보안 상태가 수시로 달라지기 때문에 ‘연 1회’ 점검이 사후 확인에 그칠 수 있단 얘기다. 김홍선 전 SC제일은행 정보보호최고책임자는 “IT 환경에선 현재 시점과 1시간, 2시간 후 보안 상태가 다를 수 있다”며 “취약점 진단 주기를 좀 더 짧게 가져가는 것이 필요하다”고 말했다.

(이미지=챗GPT)

금융사가 감독 규정을 충족했는지 금융감독원과 금융보안원이 주로 사후적으로만 확인한다는 것도 문제로 지적된다. 연 1회 규정을 잘 지켰는지를 서류 점검이나 인증 심사로 확인하는 데 그치다 보니 그 사이 발생하는 취약점이나 패치 누락을 적시에 걸러내지 못하는 상황이다. 보안업계 관계자는 “사고가 터지고 나서야 뒤늦게 조사하는 ‘사후 감독’ 체계로는 선제 방어를 할 수 없다”며 “금감원과 금보원이 상시 점검, 상시 모니터링 기능을 강화하지 않는 한 비슷한 사고가 반복될 수밖에 없다”고 말했다.

ISMS 인증의 경우 등급을 나눠 통신·금융사 대상으로는 취약점 점검 주기를 더 짧게 하는 등 인증 기준을 차등화하는 방안을 고려해야 한다는 의견도 나온다. 보안 인증을 받았다고 100% 해킹을 막을 수 있다는 의미는 아니지만, 업종별·위험자산별로 위험도를 달리해 지금보다 실효성을 높이자는 차원에서다. 염흥열 순천향대 정보보호학과 교수는 “중소기업은 1년에 한 번 점검하기도 쉽지 않을 수 있다”며 “통신사, 금융사 등 민감 정보를 많이 보유한 고위험 산업군에 대해 인증 기준을 높여 실효성을 강화할 필요는 있다”고 했다.