“서류는 완벽, 시스템은 무방비… 금융보안, 언제까지 종이보안에 머물 건가”

[세종=위키트리 양완영 기자] 잇따른 금융 보안사고에도 책임자 처벌은커녕 제도 개선도 지지부진한 가운데, 금융보안 체계가 ‘사후 대응’ 중심의 형식에 그치고 있다는 지적이 제기됐다. 특히 금융보안원이 실질적 감독권 없이 권고 수준의 역할에 머물러 초동 대응조차 어렵다는 비판이 국정감사장에서 나왔다.

국회 정무위원회 소속 강준현 의원(더불어민주당·세종을)은 20일 열린 금융위원회 및 국책은행 국정감사에서 “보안사고가 터질 때마다 책임자는 없고, 사후 조사만 반복된다”며 금융보안원의 권한 강화를 촉구했다. 그는 “금융보안원은 2014년 카드 3사 정보유출 사태 이후 설립된 기관이지만, 감독이나 제재 권한이 없어 컨트롤타워 역할을 전혀 하지 못하고 있다”고 지적했다.

강 의원은 “최근 5년간 카드사 8곳에서 159건의 전자금융사고가 발생했지만, 자체 IT 감사에서 ‘적정’ 판정을 받은 곳은 20%뿐”이라며 “롯데카드는 최근 5년 동안 단 한 차례만 보안감사를 진행했는데도 금융보안원은 시정 요구조차 하지 못했다”고 꼬집었다.

또한 “SGI서울보증은 4년 연속 최고등급(S)을 받았음에도 랜섬웨어 공격으로 81시간 전산이 마비됐고, 롯데카드는 ISMS-P 인증을 받은 지 이틀 만에 대규모 개인정보 유출이 일어났다”며 “이는 서류 중심의 평가가 얼마나 형식적인지 보여주는 사례”라고 비판했다.

이에 강 의원은 제도 개선책으로 ▲금융보안원에 실질적 조사·제재 권한 부여 ▲정보보호 상시평가에 ‘모의해킹’ 항목 신설 ▲현장 점검 의무화 ▲중대사고에 대한 징벌적 과징금 제도 도입을 제안했다. 동시에 “피해를 은폐하지 않고 자진신고한 기업에는 감경 요인을 반영해야 한다”고 덧붙였다.

이억원 금융위원장은 이에 “감시·예방·제재가 일관되게 작동해야 한다”며 “금융감독원과 금융보안원이 함께 긴밀히 대응하는 시스템이 필요하다”고 답변했다.