oto방송 김민석 기자 | 국회 정무위원회 소속 강준현 의원(더불어민주당, 세종을)은 20일 열린 금융위원회·산업은행·기업은행 국정감사에서, 이억원 금융위원장에게 “금융보안원이 금융권의 보안사고와 관련해서 사실상 권고 수준의 역할에만 머물러 있어 초동 대응이 불가능하다”며 “보안사고 예방과 피해 확산 방지를 위한 실질적 권한을 부여해야 한다”고 촉구했다.
강 의원은 “현재 금융보안원은 2014년 카드 3사 정보유출 사태를 계기로 설립된 기관으로, 24시간 모니터링·분석·기술지원·교육 등을 담당하고 있지만 법적 감독권이나 강제권이 없어 실질적인 컨트롤타워 역할을 하지 못하고 있다”고 지적했다. 이어 “금융감독원은 사후 제재만 가능하고, 보안원은 권고만 하는 구조”라고 우려를 표했다.
또, 강 의원은 “최근 5년간 8개 전업카드사에서 총 159건의 전자금융사고가 발생했는데, IT 자체감사에서 ‘적정’ 판정을 받은 경우는 20%에 불과하다”며 “특히 롯데카드는 최근 5년 동안 단 한 차례만 자체 보안감사를 실시했는데도 금융보안원은 이를 시정할 권한 조차 없다”고 비판했다.
아울러 강 의원은 “SGI서울보증은 4년 연속 금융보안원 평가에서 최고등급(S)을 받았지만 지난 7월 랜섬웨어 공격으로 전산이 81시간이나 마비됐다”고 언급하며, “롯데카드 역시 ISMS-P 인증을 받은 지 단 이틀 만에 대규모 개인정보 유출이 발생했다”고 말했다. 그러면서 “이는 금융보안원의 평가와 인증이 서류 중심의 형식적 절차에 그치고 있다는 것”이라고 분석했다.
강 의원은 제도 개선 방안으로 ▲금융보안원 권한 강화 및 실질적 조치 권한 부여, ▲정보보호 상시평가에 ‘모의해킹’ 항목 신설, ▲서류 중심 평가 탈피 및 현장점검 의무화 ▲중대사고 시 징벌적 과징금 제도 도입 등을 제안했다. 다만, 피해를 은폐하지 않고 조기 자진신고와 피해구제 노력을 한 기업에는 감경 요인을 반영해야 한다고 주장했다.
마지막으로 강 의원은 “국민들은 보안사고가 터질 때마다 ‘솜방망이 제재’라는 불신을 갖고 있다”며 “이제는 사후대응 중심의 느슨한 체계를 버리고, 실효성 있는 점검과 금융보안원 권한 강화로 신뢰받는 금융보안 체계를 세워야 한다”고 당부했다.
이와 관련하여 이억원 금융위원장은 “체계적으로 움직여야 될 것으로 보인다”면서 “감시, 예방, 사후적발, 제재가 일관되게 효과적으로 이뤄져야 한다”고 답변했다. 이어 “금융감독원과 금융보안원이 합동으로 긴밀히 대응해야 할 필요성이 점점 커지고 있다고 생각한다”고 덧붙였다.
