[Q&A] 금융위 “금융사 보안 역량 강화 종합대책 마련”

권대영 금융위원회 부위원장이 19일 오전 서울 정부종합청사에서 해킹 대응을 위한 과기정통부·금융위 합동 브리핑을 하고 있다.ⓒ뉴시스

권대영 금융위원회 부위원장은 19일 KT와 롯데카드 등 최근 잇따른 해킹·정보유출 사고와 관련해 “금융회사의 자체 보안 역량 강화를 위한 종합적인 방안을 준비해 발표하겠다”고 밝혔다.

권 부위원장은 이날 오전 서울 정부종합청사에서 해킹 대응을 위한 과기정통부·금융위 합동 브리핑을 통해 “디지털화와 AI 전환 과정에서 망 분리 완화 등 제도 변화로 취약점이 늘어난 측면이 있다”며 “그동안 금융권이 자율에 맡겨진 부분이 많아 상대적으로 보안 투자와 조직 관리가 소홀했다”고 지적했다.

그는 “앞으로 금융회사가 CEO 책임하에 보안계획을 수립하고, CISO가 독립적 권한을 행사할 수 있도록 제도적 기반을 강화하겠다”며 “IT·AI 강국으로 가기 위해서는 활용뿐 아니라 보안도 동등하게 중요한 만큼, 보안 인력과 조직을 정비하는 체계를 갖출 것”이라고 강조했다.

특히 롯데카드 고객정보 유출 사태와 관련해 “2014년 카드 3사 정보유출 이후에도 롯데카드에서 또 사고가 발생했다”며 “그동안 제도를 지키지 않거나 보안 관리에 소홀한 사실이 확인되면 엄중히 제재할 방침”이라고 말했다.

▼ 관련기사 보기
롯데카드 정보유출 297만명…권대영 부위원장 "징벌적 과징금 도입 추진"
금융당국, 롯데카드 해킹 긴급 회의…“일벌백계·재발방지 총력”

다음은 합동브리핑의 주요 질의응답 내용이다.

▲ 롯데카드 유출 사고 원인이 서버 보안 패치 누락으로 알려졌는데, 추가 보안 문제 가능성은 없나. 또 ISMS-P 인증을 받고도 사고가 발생한 이유는 무엇인가.

ISMS-P 인증은 기업의 보안 준비 상태를 확인하는 제도일 뿐 해킹 방지를 보장하는 인증은 아니다. 심사기관 책임 여부까지 포함해 제도 개선 가능성을 검토하겠다.

(권기남 금융보안원 본부장) 패치 미비로 악성코드가 침투한 건 사실이다. 추가적인 문제는 조사 과정에서 면밀히 점검하고 보완하겠다.

▲ 금융권 보안 사고가 반복되는 이유와 정부 대책은 무엇인가.

해킹은 점점 고도화되고 있다. 지난 10년간 큰 사고가 없었고, 금융권 보안 투자가 자율에 맡겨지면서 소홀했던 측면이 있다. 디지털 전환 과정에서 망 분리 완화 등으로 취약점도 늘었다. 앞으로 금융회사가 CEO 책임하에 자체 보안계획을 수립하고, CISO가 독립적으로 권한을 행사할 수 있는 구조를 마련하도록 종합대책을 준비해 발표할 것이다.

▲ 롯데카드의 과거 보안 허점과 국회 국감 소환 가능성에 대한 입장은.

2014년 카드 3사 유출 때도 롯데카드가 포함됐다. 이번에도 제도를 지키지 않았거나 보안에 소홀했다면 엄중히 제재할 방침이다. 국감 소환 여부는 국회의 역할이며, 책무구조도 개선 여부는 검사 결과를 보고 종합적으로 판단하겠다.

▲ 롯데카드가 ‘고객정보 유출은 없다’고 안내한 점에 대한 정부 입장은.

악성코드 감염 사실을 인지한 직후인 9월 초부터 관계기관이 합동으로 조사했다. 그러나 정보 분류·포렌식 과정이 필요했고, 부정사용 위험 가능성은 낮다고 판단했다. 늑장 대응이나 은폐는 없었으며, 위험군에 따라 맞춤형 안내를 진행했다. 확인되지 않은 사실을 과잉 발표해 불안을 키우는 것도 지양해야 한다.

▲ 고객정보가 조합돼 부정사용에 악용될 가능성은 없나.

0.0몇 수준의 극히 낮은 가능성으로 판단했지만, 원천적으로 가능성이 없다고 보진 않는다. 고객에게는 위험군에 따라 비밀번호 변경이나 카드 재발급 등 맞춤형 대응을 안내하고 있다. 롯데카드 역시 해외 결제는 반드시 전화 확인 절차를 거치고, 온라인 거래에는 추가 인증을 적용해 사전·사후 차단을 하고 있다.