해킹대응 과기정통부-금융위 합동 브리핑
"롯데카드 2014년에도 유출…10년만에 또"
"롯데카드, 보안패치 안돼 악성코드 들어와"
권대영 금융위원회 부위원장은 19일 서울 광화문 정부서울청사에서 열린 '해킹 대응을 위한 과기정통부-금융위 합동 브리핑'에서 "보안사고가 발생할 경우 사회적 파장에 상응하는 엄정한 책임을 질 수 있도록 징벌적 과징금 도입 등 방안을 신속히 추진하겠다"고 말했다.
권 부위원장은 "보안투자를 불필요한 비용이나 부차적 업무로 여기는 안이한 자세가 금융권에 있지 않았는지 냉정하게 돌아봐야 할 시점"이라며 "최근 일련의 사태를 계기로 국민들이 금융회사를 신뢰할 수 있도록 보안실태에 대한 밀도있는 점검과 함께 재발방지를 위한 근본적 제도개선도 즉시 착수하겠다"고 밝혔다.
금융위는 금융회사 CEO 책임하에 전산시스템 및 정보보호 체계 전반을 긴급 점검하도록 하고, 금융감독원·금융보안원 등을 통해 점검결과를 면밀히 지도·감독할 방침이다.
아울러 금융사들이 상시적으로 보안관리에 신경쓸 수 있도록 정보보호 최고책임자(CISO) 권한 강화, 소비자 공시 강화 등을 추진한다.
불가피한 침해사고가 발생할 경우 금융회사가 신속하게 시스템을 복구하고 즉시 적절한 피해자 구제에 나설 수 있도록 하는 제도개선 과제도 발굴·추진할 방침이다.
권 부위원장은 "금융위는 최근 연이어 발생하고 있는 금융권 해킹 등 침해사고에 대해 매우 엄중하고 무겁게 인식하고 있다"며 "IT 기술 발전 등으로 해킹 기술과 수법이보다 치밀하고 교묘하게, 빠르게 진화하는 반면 금융권의 대응은 이를 따라가지 못하는 측면이 있다"고 지적했다.
아울러 "AI 선도국가로 도약하는 과정에서 해킹 사고라는 암초에 걸리지 않기 위해서는 정부·금융회사·유관기관이 힘을 합쳐 '보안'이라는 든든한 체계로 무장해야 한다"고 강조했다.
금융위에 따르면 금융당국은 지난 1일 롯데카드 침해사고 신고 즉시 롯데카드 측에 강도 높은 소비자 보호 조치를 주문했고 유사 침해 방지를 위한 정보를 전 금융권에 전파했다. 금감원과 금보원도 지난 2일부터 현장조사에 착수해 정보유출 경위와 내용, 보안 위규사항 등을 파악 중이다.
권 부위원장은 "금감원 조사결과에 따라 위규사항이 확인되면 '일벌백계' 차원에서 엄정한 제재를 취할 방침"이라며 "국민 여러분들이 안심할 수 있도록 사태 수습과 근본적 제도개선 방안 마련에 만전을 기하겠다"고 밝혔다.
권 부위원장은 "2014년에 카드 3사 정보유출이 있었고, 그때도 롯데카드가 포함됐다"며 "이번에 또 롯데카드에서 사고가 발생했는데 지금 금감원이 보안에 소홀했는지, 제도가 제대로 지켜지지 않았는 지 등을 확인하고 있다"고 설명했다.
또 "그런 부분을 정확하게 확인하고, 부족했던 부분이 있으면 엄중하게 제재를 하겠다는 방침"이라며 "검사 결과 등을 종합적으로 보면서 응당한 제재를 할 것이냐, 제도를 개선할 것이냐를 검토해나가겠다"고 했다.
권 부위원장은 또 "해킹이 굉장히 고도화되고 있고, 해커들끼리 성공 사례를 해커들끼리 공유를 한다든지 하며 교묘하게 진화했다"며 "금융권에서도 지난 10여 년간은 큰 사고가 없었기 때문에 IT, 보안예산, 인력·조직 등을 갖추도록 지도했지만 금융권이 소홀했던 측면이 있고, 디지털화와 망 분리 등으로 제도가 바뀌며 취약점이 늘기도 했다"고 설명했다.
권기남 금보원 사이버대응본부장은 롯데카드가 최초 유출 시점 전에 정보보호 및 개인정보보호 관리체계(ISMS-P)를 획득했음에도 사고가 일어난 것과 관련, "ISMS-P 인증을 받았다고 악성코드나 해킹에 완벽히 안심할 수 있는 것은 아니다"며 "인증받은 기업들도 해킹이 언제든지 가능할 수 있다"고 설명했다.
권 본부장은 또 "(롯데카드의 경우) 보안패치가 안 돼서 그쪽으로 악성코드가 들어와 사고가 터진 것"이라며 "추가적 여러 가지 문제점들은 조사 과정에서 상세히 점검하고 이후에 보완해 나가도록 롯데카드와 충분히 협의하겠다"고 밝혔다.
◎공감언론 뉴시스 pjy@newsis.com