[대전인터넷신문=세종/최대열기자] 금융권 보안사고가 반복되고 있지만 책임자는 없고, 금융보안원은 권한 부재로 초동 대응조차 못 하는 실정이다. 국회 정무위원회 국정감사에서 강준현 의원(더불어민주당, 세종을)은 “컨트롤타워 없는 보안관리 체계가 국민 신뢰를 무너뜨리고 있다”며 금융보안원의 권한 강화와 현장점검·모의해킹 제도화를 촉구했다.

강준현 의원이 2014년 카드 3사 정보유출 사태를 계기로 설립돼 24시간 모니터링, 기술지원, 교육 등을 담당을 목적으로 설립된 금융보안원이 설립취지에 맞지 않는 유명무실한 기관임을 지적하고 있다. [대전인터넷신문]

국회 정무위원회 소속 강준현 의원(더불어민주당, 세종을)은 20일 열린 금융위원회·산업은행·기업은행 국정감사에서 “금융보안원이 금융권 보안사고 때마다 사실상 ‘구경꾼’에 머물고 있다”며 “초동대응은커녕 권고만 되풀이하는 무력한 구조를 바로잡아야 한다”고 강하게 질타했다.

강 의원은 “금융보안원은 2014년 카드 3사 정보유출 사태를 계기로 설립돼 24시간 모니터링, 기술지원, 교육 등을 담당하고 있지만 법적 감독권이나 강제권이 전혀 없다”며 “이 때문에 보안사고가 발생해도 실질적 조치를 취할 수 없는 유명무실한 기관으로 전락했다”고 비판했다.

이어 그는 “금융감독원은 사후 제재만 가능하고, 금융보안원은 권고만 하는 구조 속에서 사고가 터져도 책임자는 없고 조사만 반복되고 있다”며 “이 구조적 문제를 해결하지 않으면 금융보안사고는 계속될 수밖에 없다”고 지적했다.

강 의원은 구체적인 사례도 제시했다. “최근 5년간 8개 전업카드사에서 총 159건의 전자금융사고가 발생했는데, IT 자체감사에서 ‘적정’ 판정을 받은 곳은 20%에 불과하다”며 “특히 롯데카드는 최근 5년 동안 단 한 차례만 자체 보안감사를 실시했는데도 금융보안원은 이를 시정할 권한조차 없다”고 밝혔다.

또 “SGI서울보증은 금융보안원 평가에서 4년 연속 최고등급(S)을 받았지만 지난 7월 랜섬웨어 공격으로 전산이 81시간이나 마비됐다”며 “롯데카드 역시 ISMS-P 인증을 받은 지 이틀 만에 대규모 개인정보 유출이 발생했다”고 지적했다. 그는 “이는 금융보안원의 평가와 인증이 서류 중심의 형식적 절차에 그치고 있음을 보여준다”고 강조했다.

강 의원은 제도 개선 방향으로 ▲금융보안원에 실질적 조치권 부여 ▲정보보호 상시평가에 ‘모의해킹’ 항목 신설 ▲현장점검 의무화 ▲중대사고 시 징벌적 과징금 제도 도입 등을 제안했다. 다만, “피해를 은폐하지 않고 조기 자진신고와 피해구제 노력을 한 기업에는 감경 요인을 반영해야 한다”고 덧붙였다.

그는 “국민들은 보안사고가 터질 때마다 솜방망이 제재라는 불신을 갖고 있다”며 “사후대응 중심의 느슨한 체계를 버리고, 금융보안원이 진정한 컨트롤타워로 거듭나야 한다”고 말했다.

이에 대해 이억원 금융위원장은 “감시, 예방, 사후적발, 제재가 체계적으로 일관되게 이뤄져야 한다”며 “금융감독원과 금융보안원이 합동으로 긴밀히 대응할 필요성이 커지고 있다”고 답변했다.

이번 국정감사를 통해 드러난 금융보안 관리의 구조적 허점은 단순한 제도 미비가 아니라 국민 신뢰를 위협하는 심각한 문제로 지적된다. ‘컨트롤타워 없는 금융보안’이 반복되는 한, 정보유출과 전산마비 사태는 언제든 다시 되풀이될 수 있다는 우려가 커지고 있다.

<무단전재 및 재배포금지> 최대열기자