(서울=연합인포맥스) 황병극 기자 = 농협의 금융전산망 마비에도 금융기관의 정보보안에 대한 불감증이 심각한 수준이며, 금융위원회와 금융감독원 등 금융당국은 금융회사의 사이버안전에 대한 검사와 감독에 소홀했던 것으로 드러났다.

감사원은 17일 이러한 내용을 담은 '금융권 정보보호 및 사이버안전 관리·감독실태'에 대한 감사결과를 발표했다.

이번 감사는 금융권 정보보호 및 사이버안전 체계를 강화하고 국민 불안을 해소하고자 지난해 11월부터 12월까지 금융위와 금감원 등을 대상으로 실시됐다. 카드사 개인정보 유출사과가 발표되기 전으로, 현재 진행되는 개인정보유출 감사와 별개다.

감사원에 따르면 A은행 등 5개 금융회사는 용역업체 직원 PC에 전산망 구성도 등 주요정보를 저장하고 있고, B금융회사는 개발시스템을 통해 운영시스템에 접속해 고객정보 등의 유출·삭제 등이 가능했던 것으로 드러났다.

그럼에도, 금감원은 전자금융감독규정을 위반하고 최근 5년간 IT실태평가 대상 144개 금융회사 중에서 보험개발원 등 46개사에 대해 IT실태평가를 전혀 하지 않았으며, 은행연합회 등 26개 금융기관은 종합검사격인 IT검사조차 시행하지 않았다.

이어 IT안전성 기준에 대한 금융회사의 준수 여부를 감독해야 하는 금감원은 IT안전성 기준 30개 조항 중 15개 조항을 점검항목에 반영하지 않거나 일부만 반영하고 평가비중도 저조하게 운용했다.

금융위는 지난해 7월 금융전산 보안강화 종합대책을 마련하기 위해 4월 금감원에 감독규정을 상세화한 'IT모범규준' 이행실태를 점검하도록 지시하면서, 기본적인 보안규정을 중점 점검하도록 지시하지 않고 주요 규정이 검사항목에 반영되지 않은 채 검사가 이루어지는 것을 방치했다.

금융위는 금융회사가 홈페이지, 웹메일시스템 등에 대한 보정작업과 보안 관제를 실시하지 않아 보안에 취약하다는 사실을 알고도 개선방안에 반영하지 않았다.

감사원은 이런 결과로 금융회사의 업무시스템에 대한 보안 관제와 주요 프로그램에 대한 보정작업이 적기에 이루어지지 않아 해킹위협에 노출됐다고 지적했다.

감사원은 이어 금융ISAC(금융결제원, 코스콤), 금융보안연구원 등의 업무가 중복돼 비효율이 초래되고 있다며, 금융위에 기관 간 업무중복이 발생하지 않도록 기관별 역할과 기능을 체계적이고 효율적으로 정립하는 방안을 마련하라고 통보했다.

eco@yna.co.kr

(끝)
저작권자 © 연합인포맥스 무단전재 및 재배포 금지