사후 조사만 반복… '컨트롤타워 부재 심각'

모의해킹 도입·현장점검 의무화·징벌적 제재 필요성 주장

강준현 국회의원이 금융위원회에 대한 국정감사에서 이억원 위원장에게 질의하고 있다. /사진= 국회 제공 AD 원본보기 아이콘

국회 정무위원회 소속 강준현 의원(더불어민주당, 세종을)이 20일 열린 금융위원회 · 산업은행 · 기업은행 국정감사에서 이억원 금융위원장에게 "금융보안원이 금융권의 보안사고와 관련해서 사실상 권고 수준의 역할에만 머물러 있어 초동 대응이 불가능하다"며 "보안사고 예방과 피해 확산 방지를 위한 실질적 권한을 부여해야 한다"고 촉구했다.

강 의원은 "현재 금융보안원은 2014년 카드 3사 정보 유출 사태를 계기로 설립된 기관으로, 24시간 모니터링 · 분석·기술지원·교육 등을 담당하고 있지만, 법적 감독권이나 강제권이 없어 실질적인 컨트롤타워 역할을 하지 못하고 있다"며 "지적하고 "금융감독원은 사후 제재만 가능하고, 보안원은 권고만 하는 구조"라고 우려를 표했다.

그러면서 최근 5년간 8개 전업카드사에서 총 159건의 전자금융사고가 발생했는데도 IT 자체 감사에서 '적정' 판정을 받은 경우는 20%에 불과했고, 특히 롯데카드는 최근 5년 동안 단 한 차례만 자체 보안감사를 실시했는데도 금융보안원은 이를 시정할 권한조차 없다는 점을 비판했다.

게다가 SGI 서울보증은 4년 연속 금융보안원 평가에서 최고등급(S)을 받았지만 지난 7월 랜섬웨어 공격으로 전산이 81시간이나 마비됐고, 롯데카드 역시 ISMS-P 인증을 받은 지 이틀 만에 대규모 개인정보 유출이 발생한 점을 꼬집었다.

금융보안원의 평가와 인증이 서류 중심의 형식적 절차에 그치고 있다는 것이라고 판단한 것이다.

강 의원은 ▲금융보안원 권한 강화 및 실질적 조치 권한 부여 ▲정보보호 상시평가에 모의해킹 항목 신설 ▲서류 중심 평가 탈피 및 현장점검 의무화 ▲중대사고 시 징벌적 과징금제도 도입 등 제도 개선 방안을 제안했다.

피해를 은폐하지 않고 조기 자진신고와 피해구제 노력을 한 기업에는 감경 요인을 반영해야 한다고도 주장했다.

보안사고가 터질 때마다 '솜방망이 제재'라는 국민적 불신을 해소하기 위해서라도 이제는 사후대응 중심의 느슨한 체계를 버리고, 실효성 있는 점검과 금융보안원 권한 강화로 신뢰받는 금융보안 체계를 세울 것을 당부했다.

이억원 금융위원장은 "체계적으로 움직여야 할 것으로 보인다"며 "감시, 예방, 사후적발, 제재가 일관되게 효과적으로 이뤄져야 한다"고 답변하면서 "금융감독원과 금융보안원이 합동으로 긴밀히 대응해야 할 필요성이 점점 커지고 있다고 생각한다"고 설명했다.





충청취재본부 김기완 기자 bbkim998@asiae.co.kr





AD



<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>