또 금융권 정보보호 담당기관인 금융감독원이 일부 금융사에 대해서만 IT 검사를 실시한 사실과 금융위원회의 관련 규정 미비에 따른 금융사 모바일 앱의 심각한 보안취약점 등도 확인됐다.
감사원은 지난해 11~12월 미래부와 금융위, 금감원 등을 대상으로 금융권 정보보호 및 사이버안전 관리·감독 실태를 점검한 결과 이 같은 내용을 포함해 총 18건의 감사결과를 확정했다고 17일 밝혔다.
감사원에 따르면 결제대행업체(휴대폰 소액결제)를 관리·감독하는 미래부는 6개 소액결제 업체가 미등록 상태로 최대 5년에 걸쳐 불법영업을 하는데도 이를 파악조차 못하고 있었다.
미등록 업체 중 A사는 음란물을 유통한 11개 불법 콘텐츠제공업체(CP)의 결제대행을 맡고 있었는데도 미래부는 서비스 제공을 제한하지 않은 것으로 나타났다.
특히 미래부는 자동결제, 무료이벤트, 회원가입 즉시 결제 등 불법 CP들의 결제사기로 인한 피해액이 2010년부터 지난해 9월까지 46억여원에 달하는데도 소액결제 업체와 CP 사이의 서비스 제공은 자율에 맡겨야 한다는 이유로 이를 방치했다.
나아가 미래부는 문자메시지(SMS) 인증번호를 탈취해 이용자 몰래 돈을 빼가는 '스미싱' 피해가 급증하는데도 오히려 소액결제 업체의 편의성을 최대한 보장한다는 이유를 들어 인증절차 강화에 소홀했다.
금감원의 경우 금융사의 IT부문에 대한 검사 및 실태평가를 해오면서 몇 년마다 검사를 한다는 기준도 없이 일반업무 종합검사시에만 IT실태평가를 한 것으로 나타났다.
그 결과 주요 검사대상 144개 금융사 중 최근 5년간 보험개발원 등 46개사는 IT실태평가 실적이, 은행연합회 등 26개사는 IT검사 실적이 전무했다.
그나마도 금감원은 '전자금융감독규정'에서 규정하고 있는 사이버안전 관련 30개 조항 가운데 '해킹 방지대책'이나 '정보처리시스템 보호대책' 등 15개 항목을 반영하지 않고 검사 및 실태평가를 부실하게 운영해 왔다.
전자금융감독규정을 운영하고 있는 금융위에 대해서는 스마트폰 애플리케이션(앱) 보안관리 관련 규정을 제대로 마련하지 않았다고 감사원은 지적했다.
금융사의 주식거래, 스마트폰 뱅킹 등 72개 모바일 앱에 대한 감사원의 점검 결과 38개 앱에서 위·변조 가능성과 소스코드 내 중요정보 노출 등 54개 보안취약점이 확인됐다.
아울러 금융위와 금감원은 사이버 안전 관련 사고발생 정보를 금융정보공유분석센터(금융ISAC) 등 유관기관과 공유도 하지 않았다.
이 밖에 B은행 등 5개 금융사는 용역업체 직원 PC에 주요정보를 저장하거나 개발시스템을 통해 운영시스템에 접속할 수 있게 방치하는 등 용역업체에 대한 보안관리가 취약한 것으로 드러났다.
이는 카드사 개인정보 대량유출 사건이 전산프로그램개발을 담당한 외주직원에게서 비롯된 것처럼 용역업체의 서버 접속에 따른 고객정보 유출 가능성이 상존한다는 의미라고 감사원은 설명했다.
감사원은 이번 감사결과와 관련해 미래부에 소액결제 업체에 대한 관리·감독을 철저히 하라고 요구하고 금감원에 금융사 IT부문에 대한 체계적인 검사방안을 마련하라고 통보했다. 금융위에 대해서는 기존 금융사 모바일 앱의 취약점을 보완하고 안전성 검증단계를 거치도록 관련 규정을 마련토록 했다.
한편 이번 감사는 카드사의 개인정보 대량유출 사고가 발생하기 전 농협, 신한은행 등 금융권 해킹사고가 잇따른 데 대한 점검차 실시된 것이라고 감사원은 설명했다.
카드사 개인정보 유출사고와 관련해서는 올해 초 공익감사청구가 접수됨에 따라 지난달 12일부터 이달 11일까지 금융위, 금감원 등을 대상으로 금융당국의 관리·감독 및 금융사 개인정보 수집·관리·활용의 적정성 등에 대한 감사를 실시해 현재 결과를 처리 중이다.
김선숙 기자
kim87@sisaplusnews.com