전자금융 거래 급증 시대… 해킹에 숭숭 뚫리는 보안

지난 6월 국내 금융회사들은 국제 해커그룹 ‘아르마다 콜렉티브’의 위협에 시달렸다. 아르마다 콜렉티브는 시중은행, 한국거래소 등에 비트코인을 보내라며 디도스(분산 서비스 거부) 공격을 벌였었다. 당시 직접적 피해는 없었다. 하지만 국내 금융회사의 보안 수준이 해킹 공격에 취약하다는 게 다시 드러났다.

전자금융 사고는 한 건만 터져도 수천만건의 개인정보가 유출돼 2차 피해로 이어질 수 있다는 점에서 치명적이다. 2013년 신한·국민·농협카드의 포스단말기 관련 서버가 해킹돼 고객 10만여명의 정보(이름, 전화번호, 카드번호 등)가 빠져나가기도 했다. 전문사들은 금융회사의 배상 책임이 적은 데다 금융 당국의 관리·감독도 부실하다고 꼬집는다.

19일 김선동 자유한국당 의원이 금융감독원으로부터 받은 자료에 따르면 올해 들어 8월까지 금융권에서 발생한 보안사고는 21건에 이른다. 지난해 전체 발생건수(6건)보다 3배 이상 급증했다. 보안사고 외에 정보기술사고 등까지 합한 전자금융사고는 최근 5년간 1506건이다. 금감원 관계자는 “21건 중 16건이 아르마다 콜렉티브의 공격이고 나머지는 해커가 금융회사 홈피를 위변조해 정보를 빼내려 했던 것”이라고 설명했다.

금융회사를 겨냥한 공격이 늘고 있지만 보안 시스템은 허술하다. 지난 5년간 금감원의 ‘금융회사 정보기술 부문 실태평가’에서 금융회사 80%가 3등급을 받는 데 그쳤다. 3등급은 ‘전자금융 업무와 정보기술 부문 전반에 걸쳐 즉각적 시정을 요하는 다양한 취약점을 내포’한 수준이다. 1등급을 받은 회사는 5년간 한 곳도 없다. 감사원도 지난해 ‘국가 사이버 안전 관리 실태’ 보고서에서 금융회사의 전자금융사고 방지체계가 미흡하다고 지적했다.

전문가들은 금융권의 보안 시스템이 취약한 이유로 지나치게 가벼운 책임을 꼽는다. 현행법은 금융회사가 책임지는 사고거래의 기술 유형을 한정한다. 피해자가 손해배상을 받으려면 직접 사고의 기술적 유형 등을 밝혀내야 한다. 이대기 한국금융연구원 연구위원은 “미국 유럽 등 주요 국가들은 전자금융사고 시 금융회사에 입증 책임을 부과한다”며 “금융회사가 자발적으로 피해 방지를 위해 노력하도록 배상책임 제도를 개선해야 한다”고 주장했다. 금융회사의 책임을 확대하는 내용을 담은 ‘전자금융거래법’ 개정안은 19대 국회 때부터 발의됐지만 여전히 국회에 계류 중이다.

여기에다 금융 당국이 제대로 감독하지 못한다는 지적도 나온다. 정보기술 부문 실태 평가에서 5년간 금융회사의 등급이 오르지 않았는데도 금감원은 별다른 조치를 내리지 않았다. 금감원은 올해 발생한 보안사고 중 상당수에 대해 정보 유출 피해가 없다는 이유로 현장조사 등을 건너뛰고 금융회사에 자율조치를 지시했다. 금감원 관계자는 “피해가 발생하지 않은 사고까지 다 살필 수는 없다”며 “금융회사들이 알맞게 조치했는지 점검하고 있다”고 설명했다.

안규영 기자 kyu@kmib.co.kr, 그래픽=전진이 기자